Implementace Služby Microsoft Sentinel a Microsoft 365 Defenderu pro nulová důvěra (Zero Trust)
Tento průvodce řešením vás provede procesem nastavení nástrojů Microsoft eXtended detection and response (XDR) společně s Microsoft Sentinelem, které urychlují schopnost vaší organizace reagovat na útoky na kybernetickou bezpečnost a napravit je.
Microsoft 365 Defender je řešení XDR, které automaticky shromažďuje, koreluje a analyzuje signály, hrozby a upozorňují data z prostředí Microsoftu 365.
Microsoft Sentinel je cloudové nativní řešení, které poskytuje funkce zabezpečení a správy událostí (SIEM) a orchestrace zabezpečení, automatizace a reakce (SOAR). Microsoft Sentinel a Microsoft 365 Defender společně poskytují komplexní řešení, které organizacím pomáhá bránit se proti moderním útokům.
Tyto pokyny vám pomůžou zralovat architekturu nulová důvěra (Zero Trust) mapováním principů nulová důvěra (Zero Trust) následujícími způsoby.
| princip nulová důvěra (Zero Trust) | Met by |
|---|---|
| Explicitní ověření | Microsoft Sentinel shromažďuje data z celého prostředí, provádí analýzu hrozeb a anomálií a dokáže reagovat automatizací. Microsoft 365 Defender poskytuje rozšířenou detekci a odezvu napříč uživateli, identitami, zařízeními, aplikacemi a e-maily. Microsoft Sentinel může používat signály založené na rizicích zachycené v programu Microsoft 365 Defender k provádění akcí. |
| Použití nejméně privilegovaného přístupu | Microsoft Sentinel dokáže detekovat neobvyklou aktivitu prostřednictvím modulu UEBA (User Entity Behavioral Analytics). Analýza hrozeb s Microsoft Sentinelem dokáže importovat data analýzy hrozeb od Microsoftu nebo poskytovatelů třetích stran, aby zjistila nové, vznikající hrozby a poskytla další kontext pro vyšetřování. Microsoft 365 Defender má ochranu Microsoft Entra ID Protection, která může blokovat uživatele na základě úrovně rizika s identitou. Data je možné předávat do Microsoft Sentinelu pro další analýzu a automatizaci. |
| Předpokládat porušení zabezpečení | Microsoft 365 Defender průběžně kontroluje prostředí za hrozby a ohrožení zabezpečení. Microsoft Sentinel analyzuje shromážděná data, trend chování entit za účelem detekce podezřelých aktivit, anomálií a vícefázových hrozeb napříč podniky. Microsoft Sentinel obsahuje vizualizace sešitů, které můžou organizacím pomoct posílit zabezpečení prostředí, jako je nulová důvěra (Zero Trust) sešit. Microsoft 365 Defender a Sentinel můžou implementovat automatizované úlohy nápravy, včetně automatizovaných šetření, izolace zařízení a karantény dat. Riziko zařízení se dá použít jako signál pro podávání do podmíněného přístupu Microsoft Entra. |
Architektura Microsoft Sentinelu a XDR
Následující obrázek ukazuje, jak se řešení XDR od Microsoftu bezproblémově integruje s Microsoft Sentinelem.
V tomto diagramu:
- Přehledy z signálů v celé organizaci do Microsoftu 365 Defenderu a Microsoft Defenderu pro cloud.
- Microsoft 365 Defender a Microsoft Defender for Cloud odesílají data protokolů SIEM prostřednictvím konektorů Microsoft Sentinelu.
- Týmy SecOps pak můžou analyzovat hrozby zjištěné na portálech Microsoft Sentinel a Microsoft 365 Defender a reagovat na ně.
- Microsoft Sentinel poskytuje podporu pro více cloudová prostředí a integruje se s aplikacemi a partnery třetích stran.
Implementace Microsoft Sentinelu a Microsoftu 365 Defenderu pro nulová důvěra (Zero Trust)
Microsoft 365 Defender je řešení XDR, které doplňuje Microsoft Sentinel. XDR načítá nezpracovaná telemetrická data z různých služeb, jako jsou cloudové aplikace, zabezpečení e-mailu, identita a správa přístupu.
Pomocí umělé inteligence (AI) a strojového učení pak XDR provádí automatickou analýzu, šetření a reakci v reálném čase. Řešení XDR také koreluje výstrahy zabezpečení s většími incidenty, poskytuje týmům zabezpečení lepší přehled o útocích a poskytuje stanovení priorit incidentů, což analytikům pomáhá pochopit úroveň rizika hrozby.
S Microsoft Sentinelem se můžete připojit k mnoha zdrojům zabezpečení pomocí integrovaných konektorů a oborových standardů. Díky své umělé inteligenci můžete korelovat několik signálů s nízkou věrností, které pokrývají více zdrojů, a vytvořit tak kompletní pohled na řetěz ukončení ransomwaru a výstrahy s určením priority.
Využití možností SIEM a XDR
V této části se podíváme na typický scénář útoku zahrnující útok phishing a pak pokračujeme v reakci na incident pomocí Microsoft Sentinelu a Microsoftu 365 Defenderu.
Běžné pořadí útoků
Následující diagram znázorňuje běžný pořadí útoku útoku útoku phishing.
Diagram také ukazuje nasazené bezpečnostní produkty Microsoftu pro detekci jednotlivých kroků útoku a způsobu, jakým signály útoku a tok dat SIEM do Microsoft 365 Defenderu a Microsoft Sentinelu.
Tady je souhrn útoku.
| Krok útoku | Služba detekce a zdroj signálu | Obrana na místě |
|---|---|---|
| 1. Útočník odešle phishingový e-mail. | Microsoft Defender for Office 365 | Chrání poštovní schránky pomocí pokročilých anti-phishingových funkcí, které můžou chránit před útoky phishing založenými na zosobnění na základě zosobnění. |
| 2. Uživatel otevře přílohu. | Microsoft Defender for Office 365 | Funkce Microsoft Defender pro Office 365 Sejf Přílohy otevře přílohy v izolovaném prostředí pro další kontrolu hrozeb (detonace). |
| 3. Příloha nainstaluje malware | Microsoft Defender for Endpoint | Chrání koncové body před malwarem pomocí funkcí ochrany nové generace, jako je ochrana před cloudem a ochrana antivirová ochrana založená na heuristickém prostředí nebo antivirové ochraně v reálném čase. |
| 4. Malware ukradne přihlašovací údaje uživatele | Microsoft Entra ID a Microsoft Entra ID Protection | Chrání identity monitorováním chování a aktivit uživatelů, zjišťováním laterálního pohybu a upozorňováním na neobvyklou aktivitu. |
| 5. Útočník se přesouvá v aplikacích a datech Microsoftu 365 laterálně. | Microsoft Defender for Cloud Apps | Dokáže detekovat neobvyklou aktivitu uživatelů, kteří přistupují ke cloudovým aplikacím. |
| 6. Útočník stáhne citlivé soubory ze složky SharePointu. | Microsoft Defender for Cloud Apps | Dokáže detekovat události hromadného stahování souborů ze SharePointu a reagovat na ně. |
Reakce na incidenty pomocí Microsoft Sentinelu a Microsoftu 365 Defenderu
Teď, když jsme viděli, jak probíhá běžný útok, se podíváme na využití integrace Microsoft Sentinelu a Microsoftu 365 Defenderu pro reakci na incidenty.
Tady je proces reakce na incident s Microsoft 365 Defenderem a Microsoft Sentinelem:
- Určení priorit incidentu na portálu Microsoft Sentinel
- Přejděte na portál Microsoft 365 Defender a zahajte šetření.
- V případě potřeby pokračujte v šetření na portálu Microsoft Sentinel.
- Řešení incidentu na portálu Microsoft Sentinel
Následující diagram znázorňuje proces počínaje zjišťováním a tříděním v Microsoft Sentinelu.
Další informace najdete v tématu Reakce na incident pomocí Microsoft Sentinelu a Microsoftu 365 Defenderu.
Klíčové funkce
K implementaci přístupu nulové důvěryhodnosti při správě incidentů použijte tyto funkce Microsoft Sentinelu a XDR.
| Funkce nebo funkce | Popis | Produkt |
|---|---|---|
| Automatická reakce na šetření & (AIR) | Funkce AIR jsou navržené tak, aby prozkoumaly výstrahy a přijaly okamžitou akci k vyřešení porušení zabezpečení. Funkce AIR výrazně snižují objem výstrah, což umožňuje operacím zabezpečení zaměřit se na sofistikovanější hrozby a další vysoce hodnotné iniciativy. | Microsoft 365 Defender |
| Pokročilý proaktivní vyhledávání | Pokročilý proaktivní vyhledávání hrozeb je nástroj proaktivního vyhledávání hrozeb založený na dotazech, který umožňuje prozkoumat až 30 dnů nezpracovaných dat. Můžete proaktivně kontrolovat události ve vaší síti a vyhledávat indikátory hrozeb a entity. Flexibilní přístup k datům umožňuje nekontrénovaný proaktivní vyhledávání známých i potenciálních hrozeb. | Microsoft 365 Defender |
| Vlastní indikátory souborů | Zabraňte dalšímu šíření útoku ve vaší organizaci tím, že zakážete potenciálně škodlivé soubory nebo podezřelý malware. | Microsoft 365 Defender |
| Cloud Discovery | Cloud Discovery analyzuje protokoly provozu shromážděné defenderem for Endpoint a posuzuje identifikované aplikace v katalogu cloudových aplikací, aby poskytovaly informace o dodržování předpisů a zabezpečení. | Microsoft Defender for Cloud Apps |
| Vlastní indikátory sítě | Vytvořením indikátorů pro IP adresy a adresy URL nebo domény teď můžete na základě vlastní analýzy hrozeb povolit nebo blokovat IP adresy, adresy URL nebo domény. | Microsoft 365 Defender |
| Blok detekce a odezvy koncových bodů (EDR) | Poskytuje přidanou ochranu před škodlivými artefakty, když Antivirová ochrana v programu Microsoft Defender (MDAV) není primární antivirový produkt a běží v pasivním režimu. EDR v režimu blokování funguje na pozadí k nápravě škodlivých artefaktů, které byly zjištěny funkcemi EDR. | Microsoft 365 Defender |
| Možnosti odezvy zařízení | Rychlá reakce na zjištěné útoky izolováním zařízení nebo shromažďováním balíčku pro šetření | Microsoft 365 Defender |
| Živá odpověď | Živá odezva dává týmům operací zabezpečení okamžitý přístup k zařízení (označovaným také jako počítač) pomocí připojení ke vzdálenému prostředí. Díky tomu můžete provádět hloubkovou šetření a okamžitě reagovat na zjištěné hrozby v reálném čase. | Microsoft 365 Defender |
| Zabezpečení cloudových aplikací | Řešení vývojových operací zabezpečení (DevSecOps), které sjednocuje správu zabezpečení na úrovni kódu v prostředích s více cloudy a několika kanály. | Microsoft Defender for Cloud |
| Vylepšení stavu zabezpečení | Řešení správy stavu zabezpečení cloudu (CSPM), které poskytuje akce, které můžete provést, aby se zabránilo porušení zabezpečení. | Microsoft Defender for Cloud |
| Ochrana cloudových úloh | Platforma ochrany cloudových úloh (CWPP) s konkrétní ochranou pro servery, kontejnery, úložiště, databáze a další úlohy. | Microsoft Defender for Cloud |
| Analýza chování uživatelů a entit (UEBA) | Analyzuje chování entit organizace, jako jsou uživatelé, hostitelé, IP adresy a aplikace. | Microsoft Sentinel |
| Fúze | Korelační modul založený na škálovatelných algoritmech strojového učení. Automaticky detekuje vícefázové útoky označované také jako pokročilé trvalé hrozby (APT) tím, že identifikuje kombinace neobvyklého chování a podezřelých aktivit, které jsou pozorovány v různých fázích řetězce kill. | Microsoft Sentinel |
| Analýza hrozeb | Pomocí poskytovatelů třetích stran Microsoftu můžete rozšířit data a poskytnout tak další kontext týkající se aktivit, výstrah a protokolů ve vašem prostředí. | Microsoft Sentinel |
| Automation | Pravidla automatizace představují způsob, jak centrálně spravovat automatizaci v Microsoft Sentinelu tím, že vám umožní definovat a koordinovat malou sadu pravidel, která se dají použít v různých scénářích. | Microsoft Sentinel |
| Pravidla anomálií | Šablony pravidel anomálií používají strojové učení k detekci konkrétních typů neobvyklého chování. | Microsoft Sentinel |
| Naplánované dotazy | Integrovaná pravidla napsaná odborníky na zabezpečení Microsoftu, která prohledávají protokoly shromážděné službou Sentinel pro podezřelé řetězy aktivit, známé hrozby. | Microsoft Sentinel |
| Pravidla NRT (Near-real-time) | Pravidla NRT jsou omezená sada plánovaných pravidel, která jsou navržená tak, aby běžela jednou za minutu, aby vám mohla poskytnout co nejvíce informací. | Microsoft Sentinel |
| Lov | Aby analytici zabezpečení proaktivně hledali nové anomálie, které vaše aplikace zabezpečení nezjistily, nebo dokonce podle plánovaných analytických pravidel, vás předdefinované dotazy Microsoft Sentinelu proaktivně proaktivní vyhledávání provedou tím, že položíte správné otázky, abyste našli problémy s daty, která už máte ve vaší síti. | Microsoft Sentinel |
| Microsoft 365 Defender Připojení or | Microsoft 365 Defender Připojení or synchronizuje protokoly a incidenty s Microsoft Sentinelem. | Microsoft 365 Defender a Microsoft Sentinel |
| Datové konektory | Umožňuje příjem dat pro analýzu v Microsoft Sentinelu. | Microsoft Sentinel |
| Řešení centra obsahu –nulová důvěra (Zero Trust) (TIC 3.0) | nulová důvěra (Zero Trust) (TIC 3.0) obsahuje sešit, analytická pravidla a playbook, který poskytuje automatizovanou vizualizaci principů nulová důvěra (Zero Trust), křížově procházený architekturou Trust Internet Připojení ions a pomáhá organizacím monitorovat konfigurace v průběhu času. | Microsoft Sentinel |
| Orchestrace zabezpečení, automatizace a reakce (SOAR) | Využití pravidel automatizace a playbooků v reakci na bezpečnostní hrozby zvyšuje efektivitu SOC a šetří vám čas a prostředky. | Microsoft Sentinel |
Co je v tomto řešení
Toto řešení vás provede implementací služby Microsoft Sentinel a XDR, aby váš provozní tým zabezpečení mohl efektivně opravovat incidenty pomocí nulová důvěra (Zero Trust) přístupu.
Doporučené školení
| Školení | Připojení Microsoft 365 Defender do Microsoft Sentinelu |
|---|---|
|
Přečtěte si o možnostech konfigurace a datech poskytovaných konektory Microsoft Sentinelu pro Microsoft 365 Defender. |
Další kroky
Pomocí těchto kroků implementujte Microsoft Sentinel a XDR pro přístup nulová důvěra (Zero Trust):
- Nastavení nástrojů XDR
- Návrh pracovního prostoru Microsoft Sentinelu
- Příjem zdrojů dat
- Reakce na incident
Projděte si také tyto další články týkající se uplatňování principů nulová důvěra (Zero Trust) v Azure: