Sdílet prostřednictvím

Pilotní nasazení a nasazení Microsoft DefenderU XDR

  • Článek

Platí pro:

  • Microsoft Defender XDR

Tato série článků vás provede celým procesem pilotního nasazení komponent Microsoft DefenderU XDR ve vašem produkčním tenantovi, abyste mohli vyhodnotit jejich funkce a možnosti a pak dokončit nasazení v rámci vaší organizace.

Řešení EXtended Detection and Response (XDR) je krokem vpřed v oblasti kybernetického zabezpečení, protože přebírá data hrozeb ze systémů, které byly kdysi izolované, a sjednocuje je, abyste viděli vzory a rychleji reagovali na podezřelé kybernetické útoky.

Microsoft Defender XDR:

  • Je řešení XDR, které kombinuje informace o kybernetických útokech pro identity, koncové body, e-mail a cloudové aplikace na jednom místě. Využívá umělou inteligenci (AI) a automatizaci k automatickému zastavení některých typů útoků a nápravě ovlivněných prostředků do bezpečného stavu.

  • Jedná se o cloudovou sjednocenou podnikovou sadu ochrany před porušením zabezpečení a po něm. Koordinuje prevenci, detekci, šetření a reakce napříč identitami, koncovými body, e-maily, cloudovými aplikacemi a jejich daty.

  • Přispívá k silné architektuře nulové důvěryhodnosti tím, že poskytuje ochranu před hrozbami a detekci. Pomáhá předcházet nebo snižovat obchodní škody způsobené porušením zabezpečení. Další informace najdete v tématu Implementace ochrany před hrozbami a obchodní scénář XDR v architektuře přijetí nulové důvěryhodnosti Microsoftu.

Komponenty a architektura XDR v programu Microsoft Defender

Tato tabulka obsahuje seznam komponent XDR v programu Microsoft Defender.

Součást Popis Další informace
Microsoft Defender for Identity Používá signály z místních služeb Active Directory Domain Services (AD DS) a Active Directory Federation Services (AD FS) k identifikaci, zjišťování a zkoumání pokročilých hrozeb, ohrožených identit a škodlivých akcí insiderů zaměřených na vaši organizaci. Co je Microsoft Defender for Identity?
Exchange Online Protection Nativní cloudová služba pro přenos a filtrování SMTP, která pomáhá chránit vaši organizaci před spamem a malwarem. Přehled Exchange Online Protection (EOP) – Office 365
Microsoft Defender pro Office 365 Chrání vaši organizaci před škodlivými hrozbami, které představují e-mailové zprávy, odkazy (adresy URL) a nástroje pro spolupráci. Microsoft Defender pro Office 365 – Office 365
Microsoft Defender for Endpoint Jednotná platforma pro ochranu zařízení, detekci po porušení zabezpečení, automatizované vyšetřování a doporučenou reakci. Microsoft Defender for Endpoint – Zabezpečení Windows
Microsoft Defender for Cloud Apps Komplexní řešení napříč SaaS, které vašim cloudovým aplikacím přináší hlubokou viditelnost, silné řízení dat a vylepšenou ochranu před hrozbami. Co je Defender for Cloud Apps?
Microsoft Entra ID Protection Vyhodnocuje data rizik z miliard pokusů o přihlášení a používá je k vyhodnocení rizika každého přihlášení k vašemu tenantovi. Tato data používá Microsoft Entra ID k povolení nebo zabránění přístupu k účtu v závislosti na konfiguraci zásad podmíněného přístupu. Microsoft Entra ID Protection je oddělená od Microsoft DefenderU XDR a je součástí licencí Microsoft Entra ID P2. Co je Identity Protection?

Tento obrázek znázorňuje architekturu a integraci komponent XDR v programu Microsoft Defender.

Diagram znázorňující architekturu XDR v programu Microsoft Defender na vysoké úrovni

Na tomto obrázku:

  • Microsoft Defender XDR kombinuje signály ze všech komponent Defenderu a poskytuje XDR napříč doménami. To zahrnuje sjednocenou frontu incidentů, automatizovanou reakci na zastavení útoků, samoopravení (pro ohrožená zařízení, identity uživatelů a poštovní schránky), proaktivní vyhledávání křížových hrozeb a analýzu hrozeb.
  • Microsoft Defender pro Office 365 chrání vaši organizaci před škodlivými hrozbami, které představují e-mailové zprávy, odkazy (adresy URL) a nástroje pro spolupráci. Signály vyplývající z těchto aktivit sdílí s Microsoft Defenderem XDR. Služba Exchange Online Protection (EOP) je integrovaná tak, aby poskytovala komplexní ochranu pro příchozí e-maily a přílohy.
  • Microsoft Defender for Identity shromažďuje signály z řadičů domény služby AD DS a serverů se službami AD FS a AD CS. Tyto signály používá k ochraně prostředí hybridní identity, včetně ochrany před hackery, kteří používají ohrožené účty k laterálně přesunu mezi pracovními stanicemi v místním prostředí.
  • Microsoft Defender for Endpoint shromažďuje signály z zařízení spravovaných vaší organizací a chrání je.
  • Microsoft Defender for Cloud Apps shromažďuje signály z používání cloudových aplikací ve vaší organizaci a chrání tok dat mezi vaším IT prostředím a těmito aplikacemi, včetně schválených i neschválaných cloudových aplikací.
  • Microsoft Entra ID Protection vyhodnocuje data rizik z miliard pokusů o přihlášení a používá je k vyhodnocení rizika každého přihlášení k vašemu tenantovi. Tato data používá Microsoft Entra ID k povolení nebo zabránění přístupu k účtu na základě podmínek a omezení zásad podmíněného přístupu. Microsoft Entra ID Protection je oddělená od Microsoft DefenderU XDR a je součástí licencí Microsoft Entra ID P2.

Komponenty XDR v programu Microsoft Defender a integrace SIEM

Komponenty XDR v programu Microsoft Defender můžete integrovat se službou Microsoft Sentinel nebo obecnou službou pro správu událostí a informací o zabezpečení (SIEM) a povolit tak centralizované monitorování výstrah a aktivit z připojených aplikací.

Diagram znázorňující integraci XDR v programu Microsoft Defender se systémem SIEM

Microsoft Sentinel je řešení nativní pro cloud, které poskytuje funkce SIEM a orchestrace, automatizace a reakce zabezpečení (SOAR). Komponenty Microsoft Sentinel a Microsoft Defender XDR společně poskytují komplexní řešení, které organizacím pomáhá bránit se před moderními útoky.

Microsoft Sentinel obsahuje konektory pro komponenty Microsoft Defenderu. To vám umožní nejen získat přehled o vašich cloudových aplikacích, ale také získat sofistikované analýzy, které vám umožní identifikovat a bojovat proti kybernetickým hrozbám a řídit způsob, jakým se vaše data cestují. Další informace najdete v tématu Přehled kroků integrace a integrace v programu Microsoft Defender XDR a Služby Microsoft Sentinelpro Microsoft Sentinel a Microsoft Defender XDR.

Další informace o funkci SOAR ve službě Microsoft Sentinel (včetně odkazů na playbooky v úložišti Microsoft Sentinel na GitHubu) najdete v tématu Automatizace reakce na hrozby pomocí playbooků ve službě Microsoft Sentinel.

Informace o integraci se systémy SIEM třetích stran najdete v tématu Obecná integrace SIEM.

Microsoft Defender XDR a příklad útoku na kybernetickou bezpečnost

Tento diagram znázorňuje běžný kybernetický útok a komponenty XDR v programu Microsoft Defender, které ho pomáhají rozpoznat a napravit.

Diagram znázorňující různé pokusy o útok na kybernetickou bezpečnost

Kybernetický útok začíná phishingovým e-mailem, který přijde do složky Doručená pošta zaměstnance ve vaší organizaci, který nevědomky otevře přílohu e-mailu. Tato příloha nainstaluje malware, který může vést k řetězu pokusů o útok, které můžou vést ke krádeži citlivých dat.

Na obrázku:

  • Exchange Online Protection, který je součástí Microsoft Defenderu pro Office 365, dokáže rozpoznat phishingové e-maily a pomocí pravidel toku pošty (označovaná také jako pravidla přenosu) zajistit, aby nikdy nepřišla do doručené pošty uživatele.
  • Defender pro Office 365 používá bezpečné přílohy k otestování příloh a zjištění, že je škodlivá, takže doručená pošta buď není ze strany uživatele užitečná, nebo zásady brání tomu, aby pošta vůbec přišla.
  • Defender for Endpoint detekuje ohrožení zabezpečení zařízení a sítě, která by jinak mohla být zneužita pro zařízení spravovaná vaší organizací.
  • Defender for Identity bere na vědomí náhlé změny místních uživatelských účtů, jako je eskalace oprávnění nebo vysoce rizikový laterální pohyb. Hlásí také problémy se snadno zneužítnou identitou, jako je netížené delegování protokolu Kerberos, a opraví ho váš bezpečnostní tým.
  • Microsoft Defender for Cloud Apps detekuje neobvyklé chování, jako je například nemožné cestování, přístup k přihlašovacím údajům a neobvyklé stahování, sdílení souborů nebo přeposílání pošty, a nahlásí je vašemu bezpečnostnímu týmu.

Proces pilotního nasazení pro Microsoft Defender XDR

Microsoft doporučuje povolit komponenty Microsoft 365 Defender v následujícím pořadí.

Diagram znázorňující proces pilotního nasazení pro Microsoft Defender XDR

Fáze Propojit
A. Spuštění pilotního nasazení Spuštění pilotního nasazení
B. Pilotní nasazení a nasazení komponent XDR v programu Microsoft Defender - Pilotní nasazení a nasazení Defenderu for Identity

- Pilotní nasazení Defenderu pro Office 365

- Pilotní nasazení a nasazení Defenderu for Endpoint

- Pilotní nasazení a nasazení Microsoft Defenderu for Cloud Apps
C. Prošetřování hrozeb a reakce na ně Procvičte si šetření incidentů a reakce na ně

Toto pořadí je navržené tak, aby rychle využívalo hodnotu schopností na základě toho, kolik úsilí je obvykle potřeba k nasazení a konfiguraci funkcí. Například Defender pro Office 365 je možné nakonfigurovat za kratší dobu, než je potřeba k registraci zařízení v Defenderu for Endpoint. Určete prioritu komponent tak, aby vyhovovaly vašim obchodním potřebám.

Spuštění pilotního nasazení

Microsoft doporučuje zahájit pilotní nasazení ve stávajícím produkčním předplatném Microsoftu 365, abyste okamžitě získali přehledy z reálného světa a vyladili nastavení tak, aby fungovala proti aktuálním hrozbám ve vašem tenantovi Microsoftu 365. Jakmile jste získali zkušenosti a jste s platformou obeznámeni, jednoduše postupně rozšiřujte používání jednotlivých komponent do úplného nasazení.

Alternativou je nastavení zkušebního testovacího prostředí Microsoft DefenderU XDR. V tomto prostředí se ale během pilotního nasazení nezobrazí žádné skutečné informace o kybernetické bezpečnosti, jako jsou hrozby nebo útoky na vašeho produkčního tenanta Microsoft 365, a nebudete moct přesunout nastavení zabezpečení z tohoto prostředí do produkčního tenanta.

Používání zkušebních licencí Microsoft 365 E5

Pokud nemáte Microsoft 365 E5 a chcete využít zkušební licence Microsoft 365 E5 pro pilotní nasazení:

  1. Přihlaste se ke stávajícímu portálu pro správu tenanta Microsoft 365.

  2. V navigační nabídce vyberte Koupit služby .

  3. V části Office 365 vyberte Podrobnosti v části Licence Office 365 E5.

    Snímek obrazovky s tlačítkem Podrobnosti na portálu Microsoft Defender

  4. Vyberte Spustit bezplatnou zkušební verzi.

    Snímek obrazovky s tlačítkem Spustit bezplatnou zkušební verzi na portálu Microsoft Defender

  5. Potvrďte žádost a vyberte Vyzkoušet.

    Snímek obrazovky s tlačítkem Vyzkoušet na portálu Microsoft Defender

Pilotní nasazení zkušebních licencí Microsoftu 365 E5 ve vašem stávajícím produkčním tenantovi vám umožní zachovat všechna nastavení zabezpečení a metody po vypršení platnosti zkušební verze a zakoupení ekvivalentních licencí.

Další krok

Diagram znázorňující Microsoft Defender for Identity v pilotním a nasazení procesu Microsoft Defender XDR

Viz Pilotní nasazení a nasazení Microsoft Defenderu for Identity.

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.