Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Portál Microsoft Defender poskytuje jednotné operace zabezpečení s Microsoft Defender XDR, Microsoft Sentinel a dalšími službami. Služby portálu Defender společně poskytují komplexní přehled o stavu zabezpečení vaší organizace a pomáhají vám zjišťovat hrozby, prošetřovat je a reagovat na ně v celé organizaci.
Správa míry rizika zabezpečení od Microsoftu a Microsoft Threat Intelligence jsou k dispozici v jakémkoli prostředí, které splňuje požadavky, pro uživatele s nakonfigurovanými požadovanými oprávněními.
Požadavky
Než nasadíte služby Microsoft Defender pro sjednocené operace zabezpečení, ujistěte se, že máte zavedený plán, včetně návrhu pracovního prostoru a pochopení Microsoft Sentinel nákladů a fakturace.
Další informace najdete v tématu Pokyny k plánování sjednocených operací zabezpečení na portálu Microsoft Defender.
Nasazení služeb Microsoft Defender XDR
Microsoft Defender XDR sjednocuje reakci na incidenty integrací klíčových funkcí napříč službami, včetně Microsoft Defender for Endpoint, Microsoft Defender pro Office 365 Microsoft Defender for Cloud Apps a Microsoft Defender for Identity. Toto jednotné prostředí přidává výkonné funkce, ke které máte přístup na portálu Microsoft Defender.
Microsoft Defender XDR se automaticky zapne, když Microsoft Defender portál navštíví opravňující zákazníci s požadovanými oprávněními. Další informace najdete v tématu Zapnutí Microsoft Defender XDR.
Pokračujte nasazením služeb Microsoft Defender XDR. Doporučujeme použít následující pořadí:
Konfigurace Microsoft Entra ID Protection
Microsoft Defender XDR může ingestovat a zahrnovat signály z Microsoft Entra ID Protection, která vyhodnocuje data rizik z miliard pokusů o přihlášení a vyhodnocuje riziko každého přihlášení k vašemu prostředí. Microsoft Entra ID Protection data používají Microsoft Entra ID k povolení nebo zabránění přístupu k účtu v závislosti na konfiguraci zásad podmíněného přístupu.
Nakonfigurujte Microsoft Entra ID Protection, abyste zlepšili stav zabezpečení a přidali Microsoft Entra signály do sjednocených operací zabezpečení. Další informace najdete v tématu Konfigurace zásad Microsoft Entra ID Protection.
Nasazení Microsoft Defender pro cloud
Microsoft Defender for Cloud poskytuje jednotné prostředí pro správu zabezpečení pro cloudové prostředky a může také odesílat signály do Microsoft Defender XDR. Můžete například chtít začít tím, že svá předplatná Azure propojíte s Microsoft Defender for Cloud a pak přejdete do jiných cloudových prostředí.
Další informace najdete v tématu Připojení předplatných Azure.
Onboarding do Microsoft Security Copilot
Připojte se k Microsoft Security Copilot a vylepšete své operace zabezpečení využitím pokročilých funkcí AI. Security Copilot pomáhá s detekcí hrozeb, vyšetřováním a reakcí na hrozby a poskytuje užitečné přehledy a doporučení, které vám pomůžou udržet si náskok před potenciálními hrozbami. Pomocí Security Copilot můžete automatizovat rutinní úlohy, zkrátit dobu potřebnou k detekci incidentů a reagovat na ně a zlepšit celkovou efektivitu vašeho bezpečnostního týmu.
Další informace najdete v tématu Začínáme s Security Copilot.
Návrh pracovního prostoru a onboarding do Microsoft Sentinel
Prvním krokem při používání Microsoft Sentinel je vytvoření pracovního prostoru služby Log Analytics, pokud ho ještě nemáte. Jeden pracovní prostor služby Log Analytics může stačit pro mnoho prostředí, ale mnoho organizací vytváří více pracovních prostorů, aby optimalizovaly náklady a lépe splňovaly různé obchodní požadavky. Portál Defender podporuje primární pracovní prostor a několik sekundárních pracovních prostorů.
- Vytvořte skupinu prostředků Zabezpečení pro účely zásad správného řízení, která vám umožní izolovat Microsoft Sentinel prostředky a přístup ke kolekci na základě role.
- Ve skupině prostředků Zabezpečení vytvořte pracovní prostor služby Log Analytics a připojte do něj Microsoft Sentinel.
Další informace najdete v tématech Onboarding Microsoft Sentinel a Více pracovních prostorů Microsoft Sentinel na portálu Defender.
Konfigurace rolí a oprávnění
Zřiďte uživatele na základě plánu přístupu, který jste připravili dříve. V souladu s nulová důvěra (Zero Trust) principy doporučujeme použít řízení přístupu na základě role (RBAC) k tomu, abyste uživatelům poskytli přístup jenom k prostředkům, které jsou povolené a relevantní pro každého uživatele, a neposkytujte přístup k celému prostředí.
Minimální vyžadované oprávnění analytika k zobrazení Microsoft Sentinel dat spočívá v delegování oprávnění pro roli Čtenář Sentinel Azure RBAC. Tato oprávnění se použijí také na sjednocený portál. Bez těchto oprávnění není navigační nabídka Microsoft Sentinel na jednotném portálu dostupná, přestože analytik má k portálu Microsoft Defender přístup.
Osvědčeným postupem je mít všechny Microsoft Sentinel související prostředky ve stejné skupině prostředků Azure a pak delegovat oprávnění role Microsoft Sentinel (například role čtenáře Sentinel) na úrovni skupiny prostředků, která obsahuje pracovní prostor Microsoft Sentinel. Tím se přiřazení role použije pro všechny prostředky, které podporují Microsoft Sentinel.
Další informace najdete tady:
- Požadavky na onboarding
- Přiřazení Microsoft Entra ID rolí uživatelům
- Udělení přístupu uživatele k rolím Azure
- Správa sjednoceného řízení přístupu na základě role v Microsoft Defender (video ukázka)
Onboarding k portálu Defender
Když nasadíte Microsoft Sentinel na portál Defender, sjednocujete funkce s Microsoft Defender XDR, jako je správa incidentů a pokročilé proaktivní vyhledávání pro sjednocené operace zabezpečení. Další informace najdete v tématu Připojení Microsoft Sentinel k Microsoft Defender.
Vyladění konfigurací systému
K vyladění nasazení použijte následující možnosti konfigurace Microsoft Sentinel:
Povolení stavu a auditování
Monitorujte stav a auditujte integritu podporovaných prostředků Microsoft Sentinel zapnutím funkce auditování a monitorování stavu na stránce Nastavení Microsoft Sentinel. Získejte přehled o posunech stavu, jako jsou nejnovější události selhání nebo změny stavu úspěšného na neúspěšné, a o neoprávněných akcích a použijte tyto informace k vytváření oznámení a dalších automatizovaných akcí.
Další informace najdete v tématuZapnutí auditování a monitorování stavu pro Microsoft Sentinel.
Konfigurace obsahu Microsoft Sentinel
Na základě zdrojů dat, které jste vybrali při plánování nasazení, nainstalujte Microsoft Sentinel řešení a nakonfigurujte datové konektory. Microsoft Sentinel poskytuje širokou škálu integrovaných řešení a datových konektorů, ale můžete také vytvářet vlastní konektory a nastavit konektory pro příjem protokolů CEF nebo Syslog.
Další informace najdete tady:
- Konfigurace obsahu
- Zjišťování a správa Microsoft Sentinel předefinovaný obsah
- Vyhledání datového konektoru
Povolení analýzy chování uživatelů a entit (UEBA)
Po nastavení datových konektorů v Microsoft Sentinel nezapomeňte povolit analýzu chování entit uživatelů, abyste identifikovali podezřelé chování, které by mohlo vést ke zneužití phishingu a nakonec útokům, jako je ransomware. Další informace najdete v tématu Povolení UEBA v Microsoft Sentinel.
Nastavení interaktivního a dlouhodobého uchovávání dat
Nastavte interaktivní a dlouhodobé uchovávání dat, abyste měli jistotu, že vaše organizace uchovává data, která jsou z dlouhodobého hlediska důležitá. Další informace najdete v tématu Konfigurace interaktivního a dlouhodobého uchovávání dat.
Povolení analytických pravidel
Analytická pravidla Microsoft Sentinel říkají, aby vás upozorňovali na události pomocí sady podmínek, které považujete za důležité. Rozhodnutí, která Microsoft Sentinel provádíte, jsou založená na analýze chování uživatelských entit (UEBA) a na korelacích dat napříč několika zdroji dat. Při zapnutí analytických pravidel pro Microsoft Sentinel určete prioritu povolení pomocí propojených zdrojů dat, organizačního rizika a taktiky MITRE.
Další informace najdete v tématu Detekce hrozeb v Microsoft Sentinel.
Kontrola pravidel anomálií
Microsoft Sentinel pravidla anomálií jsou k dispozici automaticky a ve výchozím nastavení povolená. Pravidla anomálií jsou založená na modelech strojového učení a rozhraní UEBA, které trénují data ve vašem pracovním prostoru tak, aby označily neobvyklé chování uživatelů, hostitelů a dalších uživatelů. Projděte si pravidla anomálií a prahovou hodnotu skóre anomálií pro každou z nich. Pokud například pozorujete falešně pozitivní výsledky, zvažte duplikování pravidla a úpravu prahové hodnoty.
Další informace najdete v tématu Práce s analytickými pravidly detekce anomálií.
Použití analytického pravidla Analýzy hrozeb Microsoftu
Povolte předefinované analytické pravidlo Analýzy hrozeb Microsoftu a ověřte, že toto pravidlo odpovídá vašim datům protokolů s analýzou hrozeb vygenerovanou Microsoftem. Microsoft má rozsáhlé úložiště dat analýzy hrozeb a toto analytické pravidlo používá jeho podmnožinu ke generování vysoce věrných výstrah a incidentů pro týmy SOC (bezpečnostních center) k posouzení.
Vyhněte se duplicitním incidentům
Po připojení Microsoft Sentinel k Microsoft Defender se automaticky vytvoří obousměrná synchronizace mezi incidenty Microsoft Defender XDR a Microsoft Sentinel. Pokud se chcete vyhnout vytváření duplicitních incidentů pro stejná upozornění, doporučujeme vypnout všechna pravidla vytváření incidentů Microsoftu pro produkty integrované Microsoft Defender XDR, včetně Defenderu for Endpoint, Defenderu for Identity, Defender pro Office 365, Defender for Cloud Apps a Microsoft Entra ID Protection.
Další informace najdete v tématu Vytvoření incidentu Microsoftu .
Provedení MITRE ATT&CK crosswalk
S povolenými analytickými pravidly analýzy fúze, anomálií a analýzy hrozeb proveďte mitre att&ck crosswalk, abyste se mohli rozhodnout, která zbývající analytická pravidla povolíte a dokončíte implementaci vyspělého procesu XDR (rozšířené detekce a reakce). To vám umožní detekovat a reagovat během celého životního cyklu útoku.
Další informace najdete v tématu Vysvětlení pokrytí zabezpečení.