Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
V této příručce k řešení se dozvíte, jak nastavit nástroje rozšířené detekce a reakce (XDR) Microsoftu a jak je integrovat se službou Microsoft Sentinel, aby vaše organizace rychleji reagovala na útoky na kybernetickou bezpečnost a napravila je.
XDR v programu Microsoft Defender je řešení XDR, které automaticky shromažďuje, koreluje a analyzuje signály, hrozby a upozornění z vašeho prostředí Microsoft 365.
Microsoft Sentinel je cloudové nativní řešení, které poskytuje funkce zabezpečení a správy událostí (SIEM) a orchestrace zabezpečení, automatizace a reakce (SOAR). Microsoft Sentinel a XDR v programu Microsoft Defender společně poskytují komplexní řešení, které organizacím pomáhá bránit se proti moderním útokům.
Tyto pokyny vám pomůžou zlepšit architekturu nulové důvěryhodnosti tím, že namapují principy nulové důvěryhodnosti následujícími způsoby:
| Princip nulové důvěryhodnosti | Setkal jsem se s |
|---|---|
| Ověřte výslovně | Microsoft Sentinel shromažďuje data z celého prostředí a analyzuje hrozby a anomálie, aby vaše organizace a jakákoli automatizace mohly reagovat na ověřená data. XDR v programu Microsoft Defender poskytuje rozšířenou detekci a odezvu napříč uživateli, identitami, zařízeními, aplikacemi a e-maily. Nakonfigurujte automatizaci Microsoft Sentinelu tak, aby používala signály založené na rizicích zachycené XDR v programu Microsoft Defender k provedení akcí, jako je blokování nebo autorizace provozu na základě rizika. |
| Použití nejméně privilegovaného přístupu | Microsoft Sentinel prostřednictvím svého modulu UEBA detekuje neobvyklou aktivitu. Vzhledem k tomu, že se scénáře zabezpečení rychle mění, její analýza hrozeb importuje data od Microsoftu a poskytovatelů třetích stran, aby detekovala a kontextizovala vznikající hrozby. XDR v programu Microsoft Defender zahrnuje ochranu Microsoft Entra ID Protection, která blokuje uživatele na základě rizika identity. Zasílte související data do Služby Microsoft Sentinel pro další analýzu a automatizaci. |
| Předpokládat porušení zabezpečení | XDR v programu Microsoft Defender průběžně kontroluje ohrožení zabezpečení a hrozby v prostředí. Microsoft Sentinel analyzuje shromážděná data a trendy chování za účelem detekce podezřelých aktivit, anomálií a hrozeb s více fázemi v celém podniku. XDR v programu Microsoft Defender i Microsoft Sentinel implementují automatizované úlohy nápravy, včetně vyšetřování, izolace zařízení a karantény dat. Využijte riziko zařízení jako signál pro podmíněný přístup Microsoft Entra. |
Začínáme s Microsoft Defender XDR
Nasazení XDR v programu Microsoft Defender je skvělým výchozím bodem pro vytváření schopností detekce a reakce na incidenty v rámci vaší organizace. XDR v programu Defender je součástí Microsoftu 365 E5 a můžete dokonce začít používat zkušební licence Microsoftu 365 E5. XDR v programu Defender je možné integrovat se službou Microsoft Sentinel nebo s obecným nástrojem SIEM.
Další informace najdete v tématu Pilotování a nasazení Microsoft Defender XDR.
Architektura Microsoft Sentinel a XDR
Zákazníci microsoft Sentinelu můžou pomocí jedné z těchto metod integrovat Microsoft Sentinel se službami XDR v programu Microsoft Defender:
Připojte Microsoft Sentinel k portálu Defender, abyste ho mohli používat společně s XDR v programu Microsoft Defender pro jednotné operace zabezpečení. Zobrazte data Služby Microsoft Sentinel přímo na portálu Defender spolu s incidenty, výstrahami, ohroženími zabezpečení a daty zabezpečení.
Použijte datové konektory Microsoft Sentinelu k ingestování dat služby XDR v programu Microsoft Defender do Microsoft Sentinelu. Zobrazení dat Služby Microsoft Sentinel na webu Azure Portal
Toto centrum doprovodných materiálů poskytuje informace o obou metodách. Pokud jste pracovní prostor onboardovali na portál Defenderu, použijte ho. pokud ne, použijte Azure Portal, pokud není uvedeno jinak.
Následující obrázek ukazuje, jak se řešení XDR od Microsoftu integruje s Microsoft Sentinelem na portálu Defender.
V tomto diagramu:
- Přehledy ze signálů v celé organizaci vstupují do Microsoft Defender XDR a Microsoft Defender for Cloud.
- Microsoft Sentinel poskytuje podporu pro multicloudová prostředí a integruje se s aplikacemi a partnery třetích stran.
- Data Služby Microsoft Sentinel se ingestují společně s daty vaší organizace na portálu Microsoft Defender.
- Týmy SecOps mohou analyzovat hrozby identifikované microsoft Sentinelem a XDR v programu Microsoft Defender na portálu Microsoft Defender a reagovat na ně.
Klíčové funkce
Implementujte přístup nulové důvěryhodnosti pro správu incidentů pomocí funkcí XDR v programu Microsoft Sentinel a Defender. V případě pracovních prostorů přidaných na portál Defender, použijte Microsoft Sentinel.
| Schopnost nebo funkce | Popis | Výrobek |
|---|---|---|
| Air (Automated Investigation & Response) | Funkce AIR jsou navržené tak, aby prozkoumaly výstrahy a přijaly okamžitou akci k vyřešení porušení zabezpečení. Funkce AIR výrazně snižují objem výstrah, což umožňuje operacím zabezpečení zaměřit se na sofistikovanější hrozby a další vysoce hodnotné iniciativy. | Microsoft Defender XDR |
| Pokročilý lov | Rozšířené proaktivní vyhledávání je nástroj proaktivního vyhledávání hrozeb založený na dotazech, který umožňuje zkoumat nezpracovaná data až za 30 dnů. Můžete proaktivně kontrolovat události ve vaší síti a vyhledávat indikátory hrozeb a entity. Flexibilní přístup k datům umožňuje unconstrained proaktivní vyhledávání známých i potenciálních hrozeb. | Microsoft Defender XDR |
| Vlastní indikátory souborů | Zabraňte dalšímu šíření útoku ve vaší organizaci tím, že zakážete potenciálně škodlivé soubory nebo podezřelý malware. | Microsoft Defender XDR |
| Cloud Discovery | Cloud Discovery analyzuje protokoly provozu shromážděné defenderem for Endpoint a posuzuje identifikované aplikace v katalogu cloudových aplikací, aby poskytovaly informace o dodržování předpisů a zabezpečení. | Microsoft Defender pro cloudové aplikace |
| Vlastní indikátory sítě | Vytvořením indikátorů pro IP adresy a adresy URL nebo domény teď můžete na základě vlastní analýzy hrozeb povolit nebo blokovat IP adresy, adresy URL nebo domény. | Microsoft Defender XDR |
| Blok detekce a odezvy koncových bodů (EDR) | Poskytuje přidanou ochranu před škodlivými artefakty, když antivirová ochrana v programu Microsoft Defender (MDAV) není primárním antivirovým produktem a běží v pasivním režimu. EDR v režimu blokování funguje na pozadí a opravuje škodlivé artefakty zjištěné funkcemi EDR. | Microsoft Defender XDR |
| Možnosti odezvy zařízení | Rychlá reakce na zjištěné útoky izolováním zařízení nebo shromažďováním balíčku pro šetření | Microsoft Defender XDR |
| Živá odpověď | Živá reakce poskytuje týmům operací zabezpečení okamžitý přístup k zařízení (označovaným také jako počítač) pomocí vzdáleného připojení prostředí. Získáte tak možnost provádět hloubkové šetření a okamžitě reagovat na zjištěné hrozby v reálném čase. | Microsoft Defender XDR |
| Zabezpečení cloudových aplikací | Řešení vývojových operací zabezpečení (DevSecOps), které sjednocuje správu zabezpečení na úrovni kódu v prostředích s více cloudy a několika kanály. | Microsoft Defender for Cloud |
| Vylepšení stavu zabezpečení | Řešení správy stavu zabezpečení cloudu (CSPM), které poskytuje akce, které můžete provést, aby se zabránilo porušení zabezpečení. | Microsoft Defender for Cloud |
| Ochrana cloudových úloh | Platforma ochrany cloudových úloh (CWPP) s konkrétní ochranou pro servery, kontejnery, úložiště, databáze a další úlohy. | Microsoft Defender for Cloud |
| Analýza chování uživatelů a entit (UEBA) | Analyzuje chování entit organizace, jako jsou uživatelé, hostitelé, IP adresy a aplikace. | Microsoft Sentinel |
| Fúze | Korelační modul založený na škálovatelných algoritmech strojového učení. Automaticky detekuje vícefázové útoky označované také jako pokročilé trvalé hrozby (APT) tím, že identifikuje kombinace neobvyklého chování a podezřelých aktivit, které jsou pozorovány v různých fázích řetězce kill. | Microsoft Sentinel |
| Analýza hrozeb | Pomocí poskytovatelů třetích stran Microsoftu můžete rozšířit data a poskytnout tak další kontext týkající se aktivit, výstrah a protokolů ve vašem prostředí. | Microsoft Sentinel |
| Automatizace | Pravidla automatizace představují způsob, jak centrálně spravovat automatizaci pomocí Služby Microsoft Sentinel. Díky tomu můžete definovat a koordinovat malou sadu pravidel, která se dají použít v různých scénářích. | Microsoft Sentinel |
| Pravidla anomálií | Šablony pravidel anomálií používají strojové učení k detekci konkrétních typů neobvyklého chování. | Microsoft Sentinel |
| Naplánované dotazy | Integrovaná pravidla napsaná odborníky na zabezpečení Microsoftu, která prohledávají protokoly shromážděné službou Microsoft Sentinel pro podezřelé řetězy aktivit, známé hrozby. | Microsoft Sentinel |
| Pravidla NRT (Near-real-time) | Pravidla NRT jsou omezená sada plánovaných pravidel, která jsou navržená tak, aby běžela jednou za minutu, aby vám mohla poskytnout informace, up-to-the-minute. | Microsoft Sentinel |
| Lov | Aby mohli analytici zabezpečení proaktivně hledat nové anomálie, které nebyly detekovány vašimi bezpečnostními aplikacemi nebo dokonce plánovanými analytickými pravidly, předdefinované dotazy pro vyhledávání v Microsoft Sentinelu vás povedou k tomu, abyste položili správné otázky a našli problémy v datech, která už máte ve vaší síti. | Microsoft Sentinel U pracovních prostorů integrovaných v portálu Defender použijte pokročilé funkce lovu na portálu Microsoft Defender. |
| Konektor XDR v programu Microsoft Defender | Konektor XDR v programu Microsoft Defender synchronizuje protokoly a incidenty se službou Microsoft Sentinel. | Microsoft Defender XDR a Microsoft Sentinel |
| Datové konektory | Umožňuje příjem dat pro analýzu v Microsoft Sentinelu. | Microsoft Sentinel |
| Řešení centra obsahu -Zero Důvěra (TIC 3.0) | Nulová důvěra (TIC 3.0) zahrnuje pracovní sešit, analytická pravidla a playbook, což poskytuje automatizovanou vizualizaci principů nulové důvěry, propojených s architekturou Trust Internet Connections, a pomáhá organizacím monitorovat konfigurace v průběhu času. | Microsoft Sentinel |
| Orchestrace zabezpečení, automatizace a odezva (SOAR) | Použití pravidel automatizace a playbooků v reakci na bezpečnostní hrozby zvyšuje efektivitu SOC a šetří čas a prostředky. | Microsoft Sentinel |
| Optimalizace SOC | Zavřete mezery v pokrytí před konkrétními hrozbami a zpřísněte míru příjmu dat, která neposkytují hodnotu zabezpečení. | Microsoft Sentinel Pro pracovní prostory nasazené na portálu Defender využijte optimalizaci SOC v portálu Microsoft Defender. |
Co je v tomto řešení
Toto řešení pomáhá provoznímu týmu zabezpečení opravovat incidenty pomocí přístupu nulové důvěryhodnosti tím, že vás provede implementací Microsoft Sentinelu a XDR v programu Microsoft Defender. Implementace zahrnuje tyto fáze:
| Fáze | Popis |
|---|---|
| 1. Vyzkoušejte a nasazujte služby Microsoft Defender XDR | Začněte pilotním nasazením služeb XDR v programu Microsoft Defender, abyste mohli před dokončením nasazení ve vaší organizaci vyhodnotit jejich funkce a možnosti. |
| 2. Plánování nasazení | Pak naplánujte úplné nasazení SIEM a XDR, včetně služeb XDR a pracovního prostoru pro Microsoft Sentinel. |
| 3. Nastavení nástrojů XDR a návrh vašeho pracovního prostoru | V této fázi nasaďte služby XDR, které jste se rozhodli používat ve vašem prostředí, nasaďte Microsoft Sentinel a další služby pro podporu řešení SIEM a XDR. Pokud plánujete pracovat na webu Azure Portal, přeskočte krok pro připojení Služby Microsoft Sentinel k portálu Microsoft Defender. Tento krok je relevantní jenom v případě, že chcete použít portál Microsoft Sentinel Defender a není relevantní, pokud chcete reagovat na incidenty na webu Azure Portal. |
| 4. Reakce na incidenty | Nakonec reagujte na incidenty podle toho, jestli jste se přihlásili do portálu Defender. - Reakce na incident z portálu Defender - Reakce na incident z webu Azure Portal |
Související obsah
Další informace naleznete v tématu Zero Trust zabezpečení s využitím Microsoft Sentinel a Defender XDR a souvisejícím obsahu pro váš portál.
Další informace o používání principů nulové důvěryhodnosti v Microsoftu 365 najdete tady:
- Plán nasazení modelu Zero Trust s Microsoftem 365
- Nasazení infrastruktury identit pro Microsoft 365
- konfigurace identit nulové důvěryhodnosti a přístupu zařízení
- Správa zařízení pomocí Microsoft Intune
- Správa ochrany osobních údajů a ochrany dat pomocí Microsoft Priva a Microsoft Purview
- Integrujte SaaS aplikace pro model Zero Trust s Microsoftem 365