Evaluer og pilot Microsoft Defender XDR sikkerhed
Gælder for:
- Microsoft Defender XDR
Sådan fungerer denne artikelserie
Denne serie er designet til at hjælpe dig gennem hele processen med at konfigurere et XDR-prøveversionsmiljø fra ende til anden, så du kan evaluere funktionerne og funktionerne i Microsoft Defender XDR og endda hæve evalueringsmiljøet direkte til produktion, når du er klar.
Hvis du ikke har tænkt på XDR-sikkerhed, kan du scanne de syv sammenkædede artikler i denne serie for at få en fornemmelse af, hvor omfattende løsningen er.
- Sådan opretter du miljøet
- Konfigurer eller få mere at vide om hver teknologi i denne Microsoft XDR
- Sådan undersøges og reageres der ved hjælp af denne XDR
- Hæv prøvemiljøet til produktion
Hvad er XDR og Microsoft Defender XDR?
XDR-sikkerhed er et skridt fremad inden for cybersikkerhed, fordi det tager trusselsdata fra systemer, der engang var isoleret og samler dem, så du kan se mønstre og reagere på dem hurtigere.
Microsoft XDR samler f.eks. slutpunkter (registrering af slutpunkter og svar eller EDR), mail, app og identitetssikkerhed på ét sted.
Microsoft Defender XDR er en XDR-løsning (eXtended detection and response), der automatisk indsamler, korrelerer og analyserer signal-, trussels- og beskeddata fra hele dit Microsoft 365-miljø, herunder slutpunkt, mail, programmer og identiteter. Den udnytter kunstig intelligens og automatisering til automatisk at stoppe angreb og afhjælpe berørte aktiver til en sikker tilstand.
Microsofts anbefalinger til evaluering af Microsoft Defender XDR sikkerhed
Microsoft anbefaler, at du opretter din evaluering i et eksisterende produktionsabonnement på Office 365. På denne måde får du øjeblikkelig indsigt i den virkelige verden og kan indstille indstillingerne for at arbejde mod aktuelle trusler i dit miljø. Når du har fået erfaring og er fortrolig med platformen, skal du blot hæve hver komponent, én ad gangen, til produktion.
Anatomien i et cybersikkerhedsangreb
Microsoft Defender XDR er en cloudbaseret, samlet, før- og efter sikkerhedsbrud virksomhedsforsvarspakke. Den koordinerer forebyggelse, registrering, undersøgelse og svar på tværs af slutpunkter, identiteter, apps, mail, samarbejdsprogrammer og alle deres data.
I denne illustration er et angreb i gang. Phishing-mail modtages i indbakken for en medarbejder i din organisation, som ubevidst åbner den vedhæftede fil. Dette installerer malware, hvilket fører til en kæde af hændelser, der kan ende med tyveri af følsomme data. Men i dette tilfælde er Defender for Office 365 i funktion.
I illustrationen:
- Exchange Online Protection, der er en del af Microsoft Defender for Office 365, kan registrere phishing-mailen og bruge regler for mailflow (også kaldet transportregler) til at sikre, at den aldrig modtages i indbakken.
- Defender for Office 365 bruger Sikre vedhæftede filer til at teste den vedhæftede fil og fastslå, at den er skadelig, så den mail, der modtages, enten ikke kan handles af brugeren, eller politikker forhindrer, at mailen ankommer.
- Defender for Endpoint administrerer enheder, der opretter forbindelse til virksomhedens netværk, og registrerer sikkerhedsrisici for enheder og netværk, der ellers kan udnyttes.
- Defender for Identity noterer sig pludselige ændringer som rettighedseskalering eller højrisiko tværgående bevægelse. Den rapporterer også om letudnyttede identitetsproblemer, f.eks. begrænset Kerberos-delegering, til rettelse af sikkerhedsteamet.
- Microsoft Defender for Cloud Apps bemærker unormal adfærd som f.eks. umulig rejse, adgang til legitimationsoplysninger og usædvanlig download, fildeling eller videresendelse af mail og rapporterer disse til sikkerhedsteamet.
Microsoft Defender XDR komponenter sikre enheder, identitet, data og programmer
Microsoft Defender XDR består af disse sikkerhedsteknologier, der fungerer parallelt. Du behøver ikke alle disse komponenter for at drage fordel af funktionerne i XDR og Microsoft Defender XDR. Du vil realisere gevinster og effektivitet ved hjælp af en eller to samt.
| Komponent | Beskrivelse | Referencemateriale |
|---|---|---|
| Microsoft Defender for Identity | Microsoft Defender for Identity bruger Active Directory-signaler til at identificere, registrere og undersøge avancerede trusler, kompromitterede identiteter og skadelige insiderhandlinger, der er rettet mod din organisation. | Hvad er Microsoft Defender for Identity? |
| Exchange Online Protection | Exchange Online Protection er det oprindelige skybaserede SMTP-relæ og den oprindelige filtreringstjeneste, der hjælper med at beskytte din organisation mod spam og malware. | oversigt over Exchange Online Protection (EOP) – Office 365 |
| Microsoft Defender for Office 365 | Microsoft Defender for Office 365 beskytter din organisation mod skadelige trusler fra mails, links (URL-adresser) og samarbejdsværktøjer. | Microsoft Defender for Office 365 - Office 365 |
| Microsoft Defender for Endpoint | Microsoft Defender for Endpoint er en samlet platform til enhedsbeskyttelse, registrering efter sikkerhedsbrud, automatiseret undersøgelse og anbefalet svar. | Microsoft Defender for Endpoint – Windows-sikkerhed |
| Microsoft Defender for Cloud Apps | Microsoft Defender for Cloud Apps er en omfattende saaS-løsning, der giver dig dyb synlighed, stærke datakontroller og forbedret trusselsbeskyttelse af dine cloudapps. | Hvad er Defender for Cloud Apps? |
| Microsoft Entra ID-beskyttelse | Microsoft Entra ID-beskyttelse evaluerer risikodata fra milliarder af logonforsøg og bruger disse data til at evaluere risikoen for hvert logon til dit miljø. Disse data bruges af Microsoft Entra ID til at tillade eller forhindre kontoadgang, afhængigt af hvordan politikker for betinget adgang er konfigureret. Microsoft Entra ID-beskyttelse er licenseret separat fra Microsoft Defender XDR. Det er inkluderet i Microsoft Entra ID P2. | Hvad er identitetsbeskyttelse? |
Microsoft Defender XDR arkitektur
Nedenstående diagram illustrerer arkitektur på højt niveau for vigtige Microsoft Defender XDR komponenter og integrationer. Der er angivet en detaljeret arkitektur for hver Defender-komponent og use case-scenarier i hele denne artikelserie.
I denne illustration:
- Microsoft Defender XDR kombinerer signalerne fra alle Defender-komponenterne for at levere udvidet registrering og svar (XDR) på tværs af domæner. Dette omfatter en samlet hændelseskø, automatiseret svar på stopangreb, selvreparerende (for kompromitterede enheder, brugeridentiteter og postkasser), jagt på tværs af trusler og trusselsanalyser.
- Microsoft Defender for Office 365 beskytter din organisation mod skadelige trusler fra mails, links (URL-adresser) og samarbejdsværktøjer. Den deler signaler fra disse aktiviteter med Microsoft Defender XDR. Exchange Online Protection (EOP) er integreret for at sikre beskyttelse fra slutpunkt til slutpunkt for indgående mails og vedhæftede filer.
- Microsoft Defender for Identity indsamler signaler fra servere, der kører AD FS (Active Directory Federated Services) og Active Directory i det lokale miljø domæneservices (AD DS). Den bruger disse signaler til at beskytte dit hybride identitetsmiljø, herunder beskyttelse mod hackere, der bruger kompromitterede konti til at flytte tværgående på tværs af arbejdsstationer i det lokale miljø.
- Microsoft Defender for Endpoint indsamler signaler fra og beskytter enheder, der bruges af din organisation.
- Microsoft Defender for Cloud Apps indsamler signaler fra din organisations brug af cloudapps og beskytter data, der flyder mellem dit miljø og disse apps, herunder både godkendte og ikke-godkendte cloudapps.
- Microsoft Entra ID-beskyttelse evaluerer risikodata fra milliarder af logonforsøg og bruger disse data til at evaluere risikoen for hvert logon til dit miljø. Disse data bruges af Microsoft Entra ID til at tillade eller forhindre kontoadgang, afhængigt af hvordan politikker for betinget adgang er konfigureret. Microsoft Entra ID-beskyttelse er licenseret separat fra Microsoft Defender XDR. Det er inkluderet i Microsoft Entra ID P2.
Microsoft SIEM og SOAR kan bruge data fra Microsoft Defender XDR
Yderligere valgfrie arkitekturkomponenter, der ikke er inkluderet i denne illustration:
- Detaljerede signaldata fra alle Microsoft Defender XDR komponenter kan integreres i Microsoft Sentinel og kombineres med andre logføringskilder for at tilbyde fuld SIEM- og SOAR-funktioner og -indsigt.
- Hvis du vil have mere at vide om brug af Microsoft Sentinel, en Azure SIEM med Microsoft Defender XDR som XDR, kan du se denne oversigtsartikel og integrationstrinnene for Microsoft Sentinel og Microsoft Defender XDR.
- Du kan få mere at vide om SOAR i Microsoft Sentinel (herunder links til playbooks i Microsoft Sentinel GitHub Repository) ved at læse denne artikel.
Evalueringsprocessen for Microsoft Defender XDR cybersikkerhed
Microsoft anbefaler, at du aktiverer komponenterne i Microsoft 365 i den illustrerede rækkefølge:
I følgende tabel beskrives denne illustration.
| Serienummer | Trin | Beskrivelse |
|---|---|---|
| 1 | Opret evalueringsmiljøet | Dette trin sikrer, at du har prøvelicensen til Microsoft Defender XDR. |
| 2 | Aktivér Defender for Identity | Gennemse arkitekturkravene, aktivér evalueringen, og gennemgå selvstudier til identifikation og afhjælpning af forskellige angrebstyper. |
| 3 | Aktivér Defender for Office 365 | Sørg for, at du opfylder arkitekturkravene, aktivér evalueringen, og opret derefter pilotmiljøet. Denne komponent indeholder Exchange Online Protection, så du skal faktisk evaluere begge her. |
| 4 | Aktivér Defender for Slutpunkt | Sørg for, at du opfylder arkitekturkravene, aktivér evalueringen, og opret derefter pilotmiljøet. |
| 5 | Aktivér Microsoft Defender for Cloud Apps | Sørg for, at du opfylder arkitekturkravene, aktivér evalueringen, og opret derefter pilotmiljøet. |
| 6 | Undersøg og reager på trusler | Simuler et angreb, og begynd at bruge funktioner til svar på hændelser. |
| 7 | Hæv prøveversionen til produktion | Hæv Microsoft 365-komponenterne til produktion én for én. |
Denne rækkefølge anbefales ofte og er designet til at udnytte værdien af egenskaberne hurtigt baseret på, hvor meget indsats der typisk kræves for at udrulle og konfigurere egenskaberne. Defender for Office 365 kan f.eks. konfigureres på kortere tid, end det tager at tilmelde enheder til Defender for Endpoint. Du skal selvfølgelig prioritere komponenterne, så de opfylder dine forretningsbehov, og du kan aktivere dem i en anden rækkefølge.
Gå til næste trin
Få mere at vide om og/eller opret det Microsoft Defender XDR evalueringsmiljø
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om