Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel beskrives det, hvordan du planlægger udrulningen af samlede sikkerhedshandlinger på Microsoft Defender-portalen. Foren sikkerhedshandlinger for at hjælpe dig med at reducere risikoen, forhindre angreb, registrere og forstyrre cybertrusler i realtid og reagere hurtigere med AI-forbedrede sikkerhedsfunktioner – alt sammen fra Microsoft Defender portalen.
Planlæg din udrulning
Defender-portalen kombinerer tjenester som Microsoft Defender XDR, Microsoft Sentinel, Microsoft Security Exposure Management og Microsoft Security Copilot for samlet sikkerhed Operationer.
Det første trin i planlægningen af udrulningen er at vælge de tjenester, du vil bruge.
Som en grundlæggende forudsætning skal du både Microsoft Defender XDR og Microsoft Sentinel for at overvåge og beskytte både Microsoft- og ikke-Microsoft-tjenester og -løsninger, herunder både cloudressourcer og ressourcer i det lokale miljø.
Udrul en af følgende tjenester for at tilføje sikkerhed på tværs af dine slutpunkter, identiteter, mail og programmer for at sikre integreret beskyttelse mod avancerede angreb.
Microsoft Defender XDR tjenester omfatter:
| Tjeneste | Beskrivelse |
|---|---|
| Microsoft Defender for Office 365 | Beskytter mod trusler fra mails, URL-links og Office 365 samarbejdsværktøjer. |
| Microsoft Defender for Identity | Identificerer, registrerer og undersøger trusler fra både Active Directory i det lokale miljø- og cloudidentiteter, f.eks. Microsoft Entra ID. |
| Microsoft Defender for Endpoint | Overvåger og beskytter slutpunktsenheder, registrerer og undersøger brud på enheden og reagerer automatisk på sikkerhedstrusler. |
| Microsoft Defender til IoT | Giver både IoT-enhedsregistrering og sikkerhedsværdi for IoT-enheder. |
| Microsoft Defender Vulnerability Management | Identificerer aktiver og softwareoversigt og vurderer enhedens stilling for at finde sikkerhedsrisici. |
| Microsoft Defender for Cloud Apps | Beskytter og styrer adgangen til SaaS-cloudapps. |
Andre tjenester, der understøttes på Microsoft Defender-portalen, men som ikke er licenseret med Microsoft Defender XDR, omfatter:
| Tjeneste | Beskrivelse |
|---|---|
| Microsoft Security Exposure Management | Giver en samlet visning af sikkerhedsholdningen på tværs af virksomhedens aktiver og arbejdsbelastninger og forbedrer oplysninger om aktiver med sikkerhedskontekst. |
| Microsoft Security Copilot | Giver AI-drevet indsigt og anbefalinger til at forbedre dine sikkerhedshandlinger. |
| Microsoft Defender for Cloud | Beskytter miljøer med flere cloudmiljøer og hybride miljøer med avanceret trusselsregistrering og -svar. |
| Microsoft Defender Threat Intelligence | Strømliner arbejdsprocesser til trusselsintelligens ved at aggregere og forbedre kritiske datakilder for at korrelere indikatorer for kompromitterede (IOCs) med relaterede artikler, agentprofiler og sårbarheder. |
| Microsoft Entra ID-beskyttelse | Evaluerer risikodata fra logonforsøg for at evaluere risikoen for hvert logon til dit miljø. |
| Styring af Insider-risiko i Microsoft Purview | Korrelerer forskellige signaler for at identificere potentielle skadelige eller utilsigtede insiderrisici, f.eks. IP-tyveri, datalækage og sikkerhedsovertrædelser. |
Gennemse tjenesteforudsætningerne
Før du udruller Microsoft Defender-tjenester til samlede sikkerhedshandlinger, skal du gennemse forudsætningerne for hver tjeneste, du planlægger at bruge. I følgende tabel vises tjenesterne og linkene for at få flere oplysninger:
| Sikkerhedstjeneste | Forudsætninger |
|---|---|
| Påkrævet til samlede sikkerhedshandlinger | |
| Microsoft Defender XDR | Microsoft Defender XDR forudsætninger |
| Microsoft Sentinel | Forudsætninger for installation af Microsoft Sentinel |
| Valgfrie Microsoft Defender XDR tjenester | |
| Microsoft Defender til Office | Microsoft Defender XDR forudsætninger |
| Microsoft Defender for Identity | Microsoft Defender for Identity forudsætninger |
| Microsoft Defender for Endpoint | Konfigurer Microsoft Defender for Endpoint installation |
| Virksomhedsovervågning med Microsoft Defender til IoT | Forudsætninger for Defender for IoT på Defender-portalen |
| Microsoft Defender Vulnerability Management | Forudsætninger & tilladelser for Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender |
| Microsoft Defender for Cloud Apps | Kom i gang med Microsoft Defender for Cloudapps |
| Andre tjenester, der understøttes på Microsoft Defender-portalen | |
| Microsoft Security Exposure Management | Forudsætninger og support |
| Microsoft Security Copilot | Minimumskrav |
| Microsoft Defender for Cloud | Begynd at planlægge beskyttelse med flere skyer og andre artikler i samme afsnit. |
| Microsoft Defender Threat Intelligence | Forudsætninger for Defender Threat Intelligence |
| Microsoft Entra ID-beskyttelse | Forudsætninger for Microsoft Entra ID-beskyttelse |
| Styring af Insider-risiko i Microsoft Purview | Kom i gang med styring af insider-risiko |
Gennemse praksis for datasikkerhed og beskyttelse af personlige oplysninger
Før du udruller Microsoft Defender-tjenester til samlede sikkerhedshandlinger, skal du sørge for, at du forstår fremgangsmåderne for datasikkerhed og beskyttelse af personlige oplysninger for hver tjeneste, du planlægger at bruge. I følgende tabel vises tjenesterne og linkene for at få flere oplysninger. Bemærk, at flere tjenester bruger fremgangsmåderne for datasikkerhed og -opbevaring for Microsoft Defender XDR i stedet for at have deres egne separate fremgangsmåder.
Planlæg arkitekturen for dit Log Analytics-arbejdsområde
Hvis du vil onboarde Microsoft Sentinel til Defender-portalen, skal du først have et Log Analytics-arbejdsområde aktiveret til Microsoft Sentinel. Et enkelt Log Analytics-arbejdsområde kan være tilstrækkeligt til mange miljøer, men mange organisationer opretter flere arbejdsområder for at optimere omkostningerne og bedre opfylde forskellige forretningskrav.
Design det Log Analytics-arbejdsområde, du vil aktivere for Microsoft Sentinel. Overvej parametre som f.eks. eventuelle krav til overholdelse af angivne standarder, du har for dataindsamling og -lagring, og hvordan du styrer adgangen til Microsoft Sentinel data.
Du kan finde flere oplysninger under:
Planlæg Microsoft Sentinel omkostninger og datakilder
Defender-portalen kan hente data fra Microsoft-tjenester fra førstepartsudbydere, f.eks. Microsoft Defender for Cloud Apps og Microsoft Defender til Cloud. Vi anbefaler, at du udvider din dækning til andre datakilder i dit miljø ved at tilføje Microsoft Sentinel dataconnectors.
Fastlæg dine datakilder
Bestem det fulde sæt datakilder, du vil indtage data fra, og kravene til datastørrelsen for at hjælpe dig med præcist at projektere din udrulnings budget og tidslinje. Du kan bestemme disse oplysninger under gennemgangen af din virksomheds use case eller ved at evaluere en aktuel SIEM, som du allerede har på plads. Hvis du allerede har en SIEM på plads, skal du analysere dine data for at forstå, hvilke datakilder der giver mest værdi og skal indtages i Microsoft Sentinel.
Det kan f.eks. være en god idé at bruge en af følgende anbefalede datakilder:
Azure-tjenester: Hvis en af følgende tjenester udrulles i Azure, skal du bruge følgende connectors til at sende disse ressourcers diagnosticeringslogfiler til Microsoft Sentinel:
- Azure Firewall
- Azure Application Gateway
- Keyvault
- Azure Kubernetes Service
- Azure SQL
- Netværkssikkerhedsgrupper
- Azure-Arc-servere
Vi anbefaler, at du konfigurerer Azure Policy for at kræve, at deres logge videresendes til det underliggende Log Analytics-arbejdsområde. Du kan få flere oplysninger under Opret diagnosticeringsindstillinger i stor skala ved hjælp af Azure Policy.
Virtuelle maskiner: Brug følgende dataconnectors til virtuelle maskiner, der hostes i det lokale miljø eller i andre cloudmiljøer, som kræver, at deres logge indsamles:
- Windows Sikkerhed hændelser ved hjælp af AMA
- Hændelser via Defender for Endpoint (for server)
- Syslog
Virtuelle netværksapparater/kilder i det lokale miljø: Brug følgende dataconnectors til virtuelle netværksapparater eller andre kilder i det lokale miljø, der genererer CEF-logge (Common Event Format) eller SYSLOG:
- Syslog via AMA
- CEF (Common Event Format) via AMA
Du kan få mere at vide under Prioriter dataconnectors.
Planlæg dit budget
Planlæg dit Microsoft Sentinel budget under hensyntagen til omkostningskonsekvenserne for hvert planlagt scenarie. Sørg for, at dit budget dækker omkostningerne ved dataindtagelse for både Microsoft Sentinel og Azure Log Analytics, alle playbooks, der udrulles osv. Du kan finde flere oplysninger under:
- Logfør opbevaringsplaner i Microsoft Sentinel
- Planlæg omkostninger, og forstå Microsoft Sentinel priser og fakturering
Om Microsofts sikkerhedsportaler og administrationscentre
Selvom Microsoft Defender-portalen er hjemsted for overvågning og administration af sikkerhed på tværs af dine identiteter, data, enheder og apps, skal du have adgang til forskellige portaler til visse specialiserede opgaver.
Microsofts sikkerhedsportaler omfatter:
| Portalnavn | Beskrivelse | Sammenkæde |
|---|---|---|
| Microsoft Defender-portal | Overvåg og reager på trusselsaktivitet, og styrk sikkerhedsholdning på tværs af dine identiteter, mails, data, slutpunkter og apps med Microsoft Defender XDR |
security.microsoft.com I Microsoft Defender-portalen kan du få vist og administrere beskeder, hændelser, indstillinger og meget mere. |
| Defender for Cloud Portal | Brug Microsoft Defender til Cloud til at styrke dine datacentres og dine hybride arbejdsbelastninger i cloudmiljøet | portal.azure.com/#blade/Microsoft_Azure_Security |
| Microsoft Sikkerhedsviden portal | Få opdateringer til sikkerhedsintelligens for Microsoft Defender for Endpoint, send eksempler, og udforsk trusselssleksikonet | microsoft.com/wdsi |
I følgende tabel beskrives portaler til andre arbejdsbelastninger, der kan påvirke sikkerheden. Besøg disse portaler for at administrere identiteter, tilladelser, enhedsindstillinger og politikker for datahåndtering.
| Portalnavn | Beskrivelse | Sammenkæde |
|---|---|---|
| Microsoft Entra-administrationscenter | Få adgang til og administrer Microsoft Entra-familien for at beskytte din virksomhed med decentraliseret identitetsbeskyttelse, identitetsbeskyttelse, styring og meget mere i et multicloudmiljø | entra.microsoft.com |
| Azure Portal | Få vist og administrer alle dine Azure-ressourcer | portal.azure.com |
| Microsoft Purview-portal | Administrer politikker for datahåndtering, og sørg for overholdelse af regler | purview.microsoft.com |
| Microsoft 365 Administration | Konfigurer Microsoft 365-tjenester. administrere roller, licenser og spore opdateringer til dine Microsoft 365-tjenester | admin.microsoft.com |
| Microsoft Intune Administration | Brug Microsoft Intune til at administrere og sikre enheder. Kan også kombinere Intune og Configuration Manager funktioner. | intune.microsoft.com |
| Microsoft Intune portal | Brug Microsoft Intune til at installere enhedspolitikker og overvåge enheder for overholdelse af angivne standarder | intune.microsoft.com |
Planlæg roller og tilladelser
Microsoft Defender-portalen samler følgende rollebaserede RBAC-modeller (Access Control) for samlede sikkerhedshandlinger:
- Microsoft Entra ID RBAC, der bruges til at delegere adgang til Defender-adgang, f.eks. enhedsgrupper
- Azure RBAC, der bruges af Microsoft Sentinel til at uddelegere tilladelser
- Defender Unified RBAC, der bruges til at delegere tilladelser på tværs af Defender-løsninger
Selvom tilladelser, der er tildelt via Azure RBAC til Microsoft Sentinel er sammenkædet under kørsel med Defenders unified RBAC, administreres Azure RBAC og Defender RBAC stadig separat.
Defenders unified RBAC kræves ikke for at onboarde dit arbejdsområde til Defender-portalen, og Microsoft Sentinel tilladelser fungerer fortsat som forventet på Defender-portalen, selv uden unified RBAC. Brugen af unified RBAC forenkler dog delegering af tilladelser på tværs af Defender-løsninger. Du kan få flere oplysninger under Aktivér Microsoft Defender XDR Unified-rollebaseret adgangskontrol (RBAC).
Den minimale påkrævede tilladelse til, at en analytiker kan få vist Microsoft Sentinel data, er at delegere tilladelser til rollen Azure RBAC Sentinel Reader. Disse tilladelser anvendes også på den samlede portal. Uden disse tilladelser er navigationsmenuen Microsoft Sentinel ikke tilgængelig på den samlede portal, selvom analytikeren har adgang til Microsoft Defender-portalen.
Bedste praksis er at have alle Microsoft Sentinel relaterede ressourcer i den samme Azure-ressourcegruppe og derefter delegere Microsoft Sentinel rolletilladelser (f.eks. rollen Sentinel Læser) på det ressourcegruppeniveau, der indeholder det Microsoft Sentinel arbejdsområde. Ved at gøre dette gælder rolletildelingen for alle de ressourcer, der understøtter Microsoft Sentinel.
I forbindelse med følgende tjenester skal du bruge de forskellige roller, der er tilgængelige, eller oprette brugerdefinerede roller for at give dig detaljeret kontrol over, hvad brugerne kan se og gøre. Du kan finde flere oplysninger under:
Du kan finde flere oplysninger under:
- Planlæg roller og tilladelser for Microsoft Sentinel
- Indbyggede Azure-roller
- Microsoft Sentinel roller
- Forudsætninger for onboarding
- Administration af unified RBAC i Microsoft Defender (videodemo)
Planlæg Zero Trust aktiviteter
Unified-sikkerhedshandlinger på Defender-portalen er en del af Microsofts Zero Trust sikkerhedsmodel, som omfatter følgende principper:
| Sikkerhedsprincippet | Beskrivelse |
|---|---|
| Bekræft eksplicit | Godkend og godkend altid baseret på alle tilgængelige datapunkter. |
| Brug adgang med færrest rettigheder | Begræns brugeradgang med Just-In-Time og Just-Enough-Access (JIT/JEA), risikobaserede tilpassede politikker og databeskyttelse. |
| Antag brud | Minimer eksplosionsradius og segmentadgang. Bekræft kryptering fra slutpunkt til slutpunkt, og brug analyser til at få synlighed, skabe trusselsregistrering og forbedre forsvaret. |
Zero Trust sikkerhed er udviklet til at beskytte moderne digitale miljøer ved at udnytte netværkssegmentering, forhindre tværgående bevægelse, give mindst privilegerede adgang og bruge avancerede analyser til at registrere og reagere på trusler.
Du kan få flere oplysninger om implementering af Zero Trust principper på Defender-portalen under Zero Trust indhold til følgende tjenester:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
- Microsoft Defender for Endpoint
- Microsoft Defender for Cloud Apps
- Microsoft Security Exposure Management
- Microsoft Defender for Cloud
- Microsoft Security Copilot
- Microsoft Entra ID-beskyttelse
- Microsoft Purview
Du kan finde flere oplysninger i Zero Trust Vejledningscenter.