Series Microsoft Security: Lập kế hoạch xây dựng Zero Trust từ A đến Z

Đăng vào bởi Long Tran

Chào các bạn!

Đây là trang tổng hợp toàn bộ series Microsoft Security trên khongkho.com, 12 bài đi theo một lộ trình liên tục, từ bảo vệ identity đến vận hành SOC hoàn chỉnh.

Nếu bạn mới vào series, bắt đầu từ bài 1. Nếu bạn đang tìm một chủ đề cụ thể, dùng mục lục bên dưới.

Series này dành cho ai

  • IT Security Engineer / SOC Analyst muốn xây hệ thống bảo mật Microsoft 365 bài bản
  • Cloud / System Admin đang triển khai Azure và cần hiểu security stack đi kèm
  • CTO / IT Manager cần roadmap bảo mật thực tế, không phải lý thuyết
  • Người đang chuẩn bị thi SC-200, SC-100, AZ-500

Mỗi bài đều có hướng dẫn step-by-step, KQL query thực tế và screenshot thiết kế để bạn làm theo được trên demo tenant ngay.

Lộ trình học đề xuất

Identity & Access  →  Endpoint  →  Detection  →  SIEM/SOAR  →  Cloud & Data  →  AI & Ops
   (Bài 1–3)          (Bài 4)      (Bài 5–6)     (Bài 7–8)      (Bài 9–10)      (11–12)

Mỗi nhóm xây trên nền của nhóm trước. Bài 1 (Zero Trust, MFA) là foundation không có nó, các bài sau sẽ thiếu context.

Nhóm 1: Identity & Access Management

Lớp bảo vệ đầu tiên và quan trọng nhất: kiểm soát ai được vào, từ đâu, với thiết bị nào.

Xây dựng Zero Trust từ đầu với Microsoft Entra ID

Break-glass account, Identity Secure Score, tắt Security Defaults, bật MFA cho toàn bộ user, cấu hình phishing-resistant MFA cho admin, và thiết lập Identity Protection risk policies. Nền tảng của toàn bộ series.

Conditional Access nâng cao: Thiết kế policy matrix, block đăng nhập nước ngoài và yêu cầu thiết bị compliant

Policy matrix CA001–CA006, named locations, block legacy auth, block login ngoài Việt Nam (report-only trước), yêu cầu Intune-compliant device, giới hạn session cho thiết bị không quản lý. Có hướng dẫn dùng What If tool để test trước khi enforce.

Microsoft Entra Privileged Identity Management: Kiểm soát tài khoản admin với just-in-time access

Eligible vs Active assignment, cấu hình PIM cho Global Admin (thời hạn 4 giờ, yêu cầu approval), chuyển tài khoản Active sang Eligible, access review tự động hàng quý, và PIM alerts. Giảm attack surface của tài khoản admin xuống gần bằng 0.

Nhóm 2: Endpoint & Detection

Bảo vệ và giám sát thiết bị, nơi attacker thường đặt chân đầu tiên.

Microsoft Defender for Endpoint: Onboard thiết bị, cấu hình ASR rules, và kết nối vào Zero Trust

Kết nối MDE với Intune, onboard Windows và macOS, 12 ASR rules từ Audit → Block, next-gen protection policy, và vòng lặp compliance signal: MDE risk → Intune not compliant → Conditional Access block. Test bằng EICAR.

Microsoft Defender XDR: Điều tra tấn công end-to-end từ một màn hình duy nhất

Attack simulation thực tế (Credential Harvest), đọc incident graph, timeline, và alerts từ nhiều nguồn, response actions (revoke session, isolate device, live response), AIR automation, Threat Analytics, và custom detection rule bằng KQL.

Advanced Hunting với KQL: Tự viết query tìm mối đe dọa mà alert tự động bỏ sót

6 operators KQL thiết yếu, schema 16 tables, 5 hunting scenario đầy đủ query (PowerShell encoded, impossible travel, phishing bypass Safe Links, lateral movement, mass SharePoint download), join cross-table, và tạo custom detection rule có MITRE mapping.

Nhóm 3: SIEM & SOAR

Tập trung log, phát hiện tấn công, và tự động hóa phản hồi.

Microsoft Sentinel: Xây dựng SIEM từ đầu, kết nối dữ liệu và tạo Analytics rules

Tạo Log Analytics workspace, deploy Sentinel, kết nối M365 Defender XDR / Entra ID / Defender for Cloud / Windows Security Events, analytics rule tùy chỉnh (Global Admin ngoài giờ làm việc), Fusion rule, UEBA, và bảng ước tính chi phí (~3.9 GB/ngày trong giới hạn miễn phí E5).

Microsoft Sentinel SOAR thực chiến: Tự động block user, gửi alert Teams và tạo ticket khi có incident

Automation Rules vs Playbooks, 3 automation rules (assign/auto-close FP/tag), 3 playbook: Teams notification, block compromised user qua Graph API, và context enrichment. Rollout theo 3 phase: notify-only → enrich → block.

Nhóm 4: Cloud & Data Security

Mở rộng bảo vệ ra Azure workloads và dữ liệu nhạy cảm.

Microsoft Defender for Cloud: Bảo vệ Azure workloads, CSPM và Vulnerability Assessment tự động

CSPM vs CWPP, bật Defender plans, Secure Score strategy, Regulatory Compliance (ISO 27001), Vulnerability Assessment (ưu tiên theo Exploit available + CVSS), JIT VM access, File Integrity Monitoring, và attack path analysis.

Microsoft Purview: Chiến lược bảo vệ dữ liệu hoàn chỉnh từ phân loại đến phát hiện Insider threat

Vòng đời Know → Classify → Protect → Prevent → Monitor, custom Sensitive Information Type (regex mã nhân viên), sensitivity label hierarchy, DLP block upload lên cloud cá nhân và AI tools (ChatGPT/Gemini/Claude), Insider Risk Management, và Purview Audit cho điều tra pháp lý.

Nhóm 5: AI & SOC Operations

Tăng tốc SOC bằng AI và xây quy trình vận hành bài bản.

Microsoft Copilot for Security: AI tăng tốc SOC Analyst tóm tắt incident, viết KQL và giải thích Malware script

Standalone vs embedded, SCU pricing, morning briefing prompt, 6-step promptbook triage incident, generate KQL từ ngôn ngữ tự nhiên, phân tích PowerShell Base64, nghiên cứu threat actor, custom plugin, và bảng ROI (tiết kiệm 75–85% thời gian điều tra).

Xây dựng SOC playbook với Microsoft Security: Kiến trúc tổng thể, runbooks và KPIs vận hành

Kiến trúc stack đầy đủ, SOC roles (L1/L2/Lead/Engineer), checklist hàng ngày 7 tasks, 4 runbook hoàn chỉnh (compromised account / malware-ransomware / phishing campaign / insider threat), 12 KPIs vận hành, và SOC Maturity Model 5 cấp độ.

Bảng tóm tắt toàn series

Chủ đềCông nghệ chínhLink
Zero Trust & IdentityEntra ID, MFA, Identity ProtectionXây dựng Zero Trust từ đầu với Microsoft Entra ID
Conditional AccessConditional Access, Intune, Named LocationsThiết kế policy matrix, block đăng nhập nước ngoài và yêu cầu thiết bị compliant
Privileged IdentityPIM, Just-in-Time, Access ReviewKiểm soát tài khoản admin với just-in-time access
Endpoint SecurityDefender for Endpoint, ASR, IntuneOnboard thiết bị, cấu hình ASR rules, và kết nối vào Zero Trust
XDR & Incident ResponseDefender XDR, AIR, Threat AnalyticsĐiều tra tấn công end-to-end từ một màn hình duy nhất
Threat HuntingKQL, Advanced Hunting, MITRE ATT&CKTự viết query tìm mối đe dọa mà alert tự động bỏ sót
SIEMMicrosoft Sentinel, Analytics Rules, UEBAXây dựng SIEM từ đầu, kết nối dữ liệu và tạo Analytics rules
SOARLogic Apps, Playbooks, Graph APITự động block user, gửi alert Teams và tạo ticket khi có incident
Cloud SecurityDefender for Cloud, CSPM, JITBảo vệ Azure workloads, CSPM và Vulnerability Assessment tự động
Data SecurityPurview DLP, Sensitivity Labels, IRMChiến lược bảo vệ dữ liệu hoàn chỉnh từ phân loại đến phát hiện Insider threat
AI for SOCCopilot for Security, SCU, PromptbooksAI tăng tốc SOC Analyst tóm tắt incident, viết KQL và giải thích Malware script
SOC OperationsRunbooks, KPIs, Maturity ModelKiến trúc tổng thể, runbooks và KPIs vận hành

Yêu cầu để thực hành

Toàn bộ series được thiết kế để chạy trên demo tenant, bạn không cần môi trường production:

Thứ cần cóGhi chú
Microsoft 365 E5 trial (90 ngày)Bao gồm Entra ID P2, Defender, Purview, Sentinel miễn phí 10 GB/ngày
Azure subscription (Pay-as-you-go)Dùng cho Sentinel workspace và Defender for Cloud
Ít nhất 2–3 tài khoản testĐể test MFA, PIM, incident response
Máy Windows 10/11 để onboardHoặc VM trên Azure

Gợi ý: Đăng ký M365 E5 Developer Program tại developer.microsoft.com, tenant miễn phí 90 ngày, tự động gia hạn nếu dùng đều.

Có câu hỏi về bài nào trong series, comment trực tiếp vào bài đó, mình theo dõi và trả lời ngay khi có thể.

Long Tran | khongkho.com