Vyhodnocení a pilotní nasazení Microsoft 365 Defenderu

Platí pro:

  • Microsoft 365 Defender

Jak tato řada článků funguje

Tato série článků je navržená tak, abyste prošli celým procesem nastavení zkušebního prostředí XDR od konce do konce, abyste mohli vyhodnotit funkce a možnosti Microsoft 365 Defender a dokonce povýšit zkušební prostředí přímo do produkčního prostředí, až budete připravení.

Pokud s XDR začínáte přemýšlet, můžete si projít těchto 7 odkazovaných článků, abyste získali pocit, jak komplexní je řešení.

Microsoft 365 Defender je řešení kybernetického zabezpečení Microsoft XDR.

Microsoft 365 Defender je řešení XDR (eXtended detection and response), které automaticky shromažďuje, koreluje a analyzuje data o signálech, hrozbách a výstrahách z prostředí Microsoft 365, včetně koncových bodů, e-mailů, aplikací a identit. Využívá umělou inteligenci (AI) a automatizaci k automatickému zastavení útoků a nápravě ovlivněných prostředků do bezpečného stavu.

XDR si můžete představit jako další krok v oblasti zabezpečení, sjednocení koncového bodu (detekce koncových bodů a odpovědí nebo EDR), e-mailu, aplikací a zabezpečení identit na jednom místě.

Microsoft doporučení pro hodnocení Microsoft 365 Defender

Microsoft doporučuje vytvořit hodnocení v existujícím produkčním předplatném Office 365. Díky tomu okamžitě získáte přehledy z reálného světa a můžete vyladit nastavení tak, aby fungovalo proti aktuálním hrozbám ve vašem prostředí. Poté, co jste získali zkušenosti a jste obeznámeni s platformou, jednoduše propagujte jednotlivé komponenty, jednu po druhé, do produkčního prostředí.

Anatomie útoku na kybernetickou bezpečnost

Microsoft 365 Defender je cloudová sjednocená podniková sada ochrany před porušením zabezpečení a po něm. Koordinuje prevenci, detekci, šetření a reakce napříč koncovými body, identitami, aplikacemi, e-maily, aplikacemi pro spolupráci a všemi jejich daty.

Na tomto obrázku probíhá útok. Phishingový e-mail přijde do složky Doručená pošta zaměstnance ve vaší organizaci, který nevědomky otevře přílohu e-mailu. Tím se nainstaluje malware, což vede k řetězu událostí, které by mohly končit krádeží citlivých dat. V tomto případě ale funguje Defender pro Office 365.

Různé pokusy o útok

Na obrázku:

  • Exchange Online Protection, která je součástí Microsoft Defender pro Office 365, dokáže rozpoznat phishingový e-mail a použít pravidla toku pošty (označovaná také jako pravidla přenosu), aby se ujistila, že nikdy nedorazí do složky Doručená pošta.
  • Defender pro Office 365 pomocí bezpečných příloh otestuje přílohu a zjistí, jestli je škodlivá, takže doručená pošta buď není ze strany uživatele použitelná, nebo zásady brání tomu, aby pošta vůbec přišla.
  • Defender for Endpoint spravuje zařízení, která se připojují k podnikové síti, a zjišťuje ohrožení zabezpečení zařízení a sítě, která by jinak mohla být zneužita.
  • Defender for Identity bere na vědomí náhlé změny účtu, jako je eskalace oprávnění nebo vysoce rizikový laterální pohyb. Také hlásí problémy s snadno zneužítelnými identitami, jako je netížené delegování protokolu Kerberos, a opravuje ho bezpečnostní tým.
  • Microsoft Defender for Cloud Apps si všimne neobvyklého chování, jako je například nemožné cestování, přístup k přihlašovacím údajům nebo neobvyklá aktivita stahování, sdílení souborů nebo přeposílání pošty, a ohlásí je týmu zabezpečení.

Microsoft 365 Defender komponenty zabezpečí zařízení, identitu, data a aplikace

Microsoft 365 Defender se skládá z těchto bezpečnostních technologií, které fungují společně. Abyste mohli využívat výhod funkcí XDR a Microsoft 365 Defender, nepotřebujete všechny tyto komponenty. Prostřednictvím jednoho nebo dvou také dosáhnete výhod a efektivity.

Součást Popis Referenční materiál
Microsoft Defender for Identity Microsoft Defender for Identity používá signály služby Active Directory k identifikaci, detekci a vyšetřování pokročilých hrozeb, ohrožených identit a škodlivých akcí insiderů zaměřených na vaši organizaci. Co je Microsoft Defender for Identity?
Exchange Online Protection Exchange Online Protection je nativní cloudová služba pro přenos a filtrování protokolu SMTP, která pomáhá chránit vaši organizaci před spamem a malwarem. přehled Exchange Online Protection (EOP) – Office 365
Microsoft Defender pro Office 365 Microsoft Defender pro Office 365 chrání vaši organizaci před škodlivými hrozbami, které představují e-mailové zprávy, odkazy (adresy URL) a nástroje pro spolupráci. Microsoft Defender pro Office 365 – Office 365
Microsoft Defender for Endpoint Microsoft Defender for Endpoint je sjednocená platforma pro ochranu zařízení, detekci po porušení zabezpečení, automatizované vyšetřování a doporučenou reakci. Microsoft Defender for Endpoint – Zabezpečení Windows
Microsoft Defender for Cloud Apps Microsoft Defender for Cloud Apps je komplexní řešení napříč SaaS, které vašim cloudovým aplikacím přináší hlubokou viditelnost, silnou kontrolu dat a vylepšenou ochranu před hrozbami. Co je Defender for Cloud Apps?
Azure AD Identity Protection Azure AD Identity Protection vyhodnocuje data rizik z miliard pokusů o přihlášení a používá je k vyhodnocení rizika každého přihlášení do vašeho prostředí. Tato data používají Azure AD k povolení nebo zabránění přístupu k účtu v závislosti na konfiguraci zásad podmíněného přístupu. Azure AD Identity Protection je licencována odděleně od Microsoft 365 Defender. Je součástí Azure Active Directory Premium P2. Co je Identity Protection?

architektura Microsoft 365 Defender

Následující diagram znázorňuje architekturu vysoké úrovně pro klíčové komponenty a integrace Microsoft 365 Defender. V této řadě článků najdete podrobnou architekturu jednotlivých komponent Defenderu a scénáře použití.

Architektura portálu Microsoft 365 Defender na vysoké úrovni

Na tomto obrázku:

  • Microsoft 365 Defender kombinuje signály ze všech komponent Defenderu a poskytuje rozšířené detekce a odezvy (XDR) napříč doménami. To zahrnuje sjednocenou frontu incidentů, automatizovanou reakci na zastavení útoků, samoopravení (pro ohrožená zařízení, identity uživatelů a poštovní schránky), proaktivní vyhledávání křížových hrozeb a analýzu hrozeb.
  • Microsoft Defender pro Office 365 chrání vaši organizaci před škodlivými hrozbami, které představují e-mailové zprávy, odkazy (adresy URL) a nástroje pro spolupráci. Signály vyplývající z těchto aktivit sdílí s Microsoft 365 Defender. Exchange Online Protection (EOP) je integrovaný, aby poskytoval kompletní ochranu příchozích e-mailů a příloh.
  • Microsoft Defender for Identity shromažďuje signály ze serverů se službou AD FS (Active Directory Federated Services) a službou místní Active Directory Domain Services (AD DS). Tyto signály používá k ochraně prostředí hybridní identity, včetně ochrany před hackery, kteří používají ohrožené účty k laterálně přesunu mezi pracovními stanicemi v místním prostředí.
  • Microsoft Defender for Endpoint shromažďuje signály ze zařízení používaných vaší organizací a chrání je.
  • Microsoft Defender for Cloud Apps shromažďuje signály z používání cloudových aplikací ve vaší organizaci a chrání tok dat mezi vaším prostředím a těmito aplikacemi, včetně schválených i neschválaných cloudových aplikací.
  • Azure AD Identity Protection vyhodnocuje data rizik z miliard pokusů o přihlášení a používá je k vyhodnocení rizika každého přihlášení do vašeho prostředí. Tato data používají Azure AD k povolení nebo zabránění přístupu k účtu v závislosti na konfiguraci zásad podmíněného přístupu. Azure AD Identity Protection je licencována odděleně od Microsoft 365 Defender. Je součástí Azure Active Directory Premium P2.

Microsoft SIEM a SOAR můžou používat data z Microsoft 365 Defender

Další volitelné komponenty architektury, které nejsou součástí tohoto obrázku:

  • Podrobná data signálu ze všech komponent Microsoft 365 Defender je možné integrovat do služby Microsoft Sentinel a kombinovat s dalšími zdroji protokolování a nabízet tak úplné funkce a přehledy SIEM a SOAR.
  • Další informace o používání služby Azure SIEM Microsoft Sentinel s Microsoft 365 Defender jako XDR najdete v tomto článku s přehledem a postupem integrace Microsoft Sentinel a Microsoft 365 Defender.
  • Další informace o funkci SOAR ve službě Microsoft Sentinel (včetně odkazů na playbooky v úložišti Microsoft Sentinel na GitHubu) najdete v tomto článku.

Proces hodnocení Microsoft 365 Defender kybernetické bezpečnosti

Microsoft doporučuje povolit komponenty Microsoft 365 v zobrazeném pořadí:

Proces hodnocení na vysoké úrovni na portálu Microsoft 365 Defender

Následující tabulka popisuje tento obrázek.

Sériové číslo Krok Popis
1 Vytvoření prostředí vyhodnocení Tento krok zajistí, že máte zkušební licenci pro Microsoft 365 Defender.
2 Povolení Služby Defender for Identity Projděte si požadavky na architekturu, povolte vyhodnocení a projděte si kurzy pro identifikaci a nápravu různých typů útoků.
3 Povolit Defender pro Office 365 Ujistěte se, že splňujete požadavky na architekturu, povolte vyhodnocení a pak vytvořte pilotní prostředí. Tato komponenta zahrnuje Exchange Online Protection, takže zde ve skutečnosti vyhodnotíte obojí.
4 Povolení Defenderu pro koncový bod Ujistěte se, že splňujete požadavky na architekturu, povolte vyhodnocení a pak vytvořte pilotní prostředí.
5 Povolit Microsoft Defender for Cloud Apps Ujistěte se, že splňujete požadavky na architekturu, povolte vyhodnocení a pak vytvořte pilotní prostředí.
6 Prošetřování hrozeb a reakce na ně Simulujte útok a začněte používat možnosti reakce na incidenty.
7 Propagace zkušební verze na produkční verzi Zvyšte úroveň Microsoft 365 komponent do produkčního prostředí po jednom.

Toto pořadí se obvykle doporučuje a navrhuje tak, aby rychle využilo hodnotu schopností na základě toho, kolik úsilí je obvykle potřeba k nasazení a konfiguraci funkcí. Například Defender pro Office 365 je možné nakonfigurovat za kratší dobu, než je potřeba k registraci zařízení v Defenderu for Endpoint. Samozřejmě byste měli upřednostnit komponenty tak, aby vyhovovaly vašim obchodním potřebám, a můžete je povolit v jiném pořadí.

Přechod na další krok

Další informace o prostředí pro vyhodnocení Microsoft 365 Defender a/nebo jeho vytvoření