Freigeben über


Implementieren von Bedrohungsschutz und XDR

Im Rahmen der Zero Trust-Einführungsleitfaden beschreibt dieser Artikel, wie Sie Ihre Organisation vor Cyberangriffen und ihren möglichen Kosten- und Reputationsverlusten schützen können. Dieser Artikel ist Teil des Schäden durch Sicherheitsverletzungen in Unternehmen verhindern oder verringern-Szenarios und konzentriert sich darauf, eine Infrastruktur für Bedrohungsschutz sowie Erkennung und erweiterte Reaktion (XDR) zu erstellen, um laufende Cyberangriffe zu erkennen und abzuwehren und den Geschäftsschaden durch eine Verletzung zu minimieren.

Für die Elemente des "Assume breach Zero Trust"-Leitprinzips:

In diesem Artikel wird davon ausgegangen, dass Sie Ihren Sicherheitsstatus bereits modernisiert haben.

Der Einführungszyklus für die Implementierung von Bedrohungsschutz und XDR

In diesem Artikel werden die Implementierung von Bedrohungsschutz- und XDR-Elementen des Szenarios "Verhindern oder Reduzieren von Geschäftsschäden durch Sicherheitsverletzungen " unter Verwendung derselben Lebenszyklusphasen wie das Cloud Adoption Framework für Azure – Definieren von Strategie, Plan, Bereit, Einführung und Verwaltung – aber für Zero Trust angepasst – erläutert.

Diagramm des Einführungsprozesses für ein Ziel oder eine Reihe von Zielen.

Die folgende Tabelle ist eine barrierefreie Version der Abbildung.

Definieren der Strategie Plan Bereit Adoptieren Steuern und Verwalten
Ergebnisse

Organisationsausrichtung

Strategische Ziele
Stakeholder-Gruppe

Technische Pläne

Fähigkeitsbereitschaft
Auswerten

Test

Pilotphase
Schrittweise Implementierung in Ihrer digitalen Infrastruktur Nachverfolgen und Messen

Überwachen und Erkennen

Auf Reife iterieren

Weitere Informationen zum Zero Trust-Einführungszyklus finden Sie in der Übersicht über das Zero Trust Adoption Framework.

Weitere Informationen zum Geschäftsszenario "Verhindern oder Reduzieren von Unternehmensschäden durch einen Verstoß" finden Sie unter:

Definieren der Strategiephase

Diagramm des Einführungsprozesses für ein einzelnes Ziel oder eine Reihe von Zielen mit hervorgehobener Definitionsstrategiephase.

Die Phase "Strategie definieren" ist entscheidend, um unsere Bemühungen zu definieren und zu formalisieren – es formalisiert das "Warum?" dieses Szenarios. In dieser Phase verstehen Sie das Szenario durch Geschäfts-, IT-, operative und strategische Perspektiven. Sie definieren die Ergebnisse, mit denen der Erfolg im Szenario gemessen werden soll, und verstehen, dass Sicherheit eine inkrementelle und iterative Reise ist.

In diesem Artikel werden Motivationen und Ergebnisse vorgeschlagen, die für viele Organisationen relevant sind. Verwenden Sie diese Vorschläge, um die Strategie für Ihre Organisation basierend auf Ihren individuellen Anforderungen zu optimieren.

Motivationen für die Implementierung von Bedrohungsschutz und XDR

Die Motivationen für die Implementierung von Bedrohungsschutz und XDR sind einfach, aber verschiedene Teile Ihrer Organisation haben unterschiedliche Anreize für diese Arbeit. In der folgenden Tabelle sind einige dieser Motivationen zusammengefasst.

Fläche Beweggründe
Geschäftliche Anforderungen Um eine Auswirkung auf oder Unterbrechung der Fähigkeit Ihrer Organisation zu verhindern, normale Geschäftsaktivitäten auszuführen oder für Lösegeld gehalten zu werden, senken Sie die Kosten für Cyberversicherungen und verhindern regulatorische Geldbußen.
IT-Anforderungen Um das Security Operations (SecOps)-Team beim Erstellen und Verwalten eines integrierten Verteidigungstoolsets zu unterstützen, um die für das Unternehmen wichtigen Ressourcen zu sichern. Die Integration und Berichterstellung sollten über Anlageklassen und Technologien hinweg erfolgen und den erforderlichen Aufwand verringern, um vorhersagbare Sicherheitsergebnisse zu erzielen.
Betriebliche Anforderungen Damit Ihre Geschäftsprozesse durch proaktive Erkennung und Reaktion auf Angriffe in Echtzeit ausgeführt werden.
Strategische Bedürfnisse Minimieren Sie Angriffsschäden und Kosten, und halten Sie den Ruf Ihrer Organisation mit Kunden und Partnern aufrecht.

Ergebnisse für die Implementierung von Bedrohungsschutz und XDR

Die Anwendung des Gesamtziels von Zero Trust auf "Nie vertrauen, immer überprüfen" fügt Ihrer Umgebung eine erhebliche Schutzebene hinzu. Es ist wichtig, eindeutig zu definieren, welche Ergebnisse Sie erwarten zu erreichen, damit Sie ein richtiges Gleichgewicht zwischen Schutzmaßnahmen für alle involvierten Teams schaffen können. Die folgende Tabelle enthält vorgeschlagene Ziele und Ergebnisse für die Implementierung von Bedrohungsschutz und XDR.

Zielsetzung Ergebnis
Unternehmensergebnisse Der Bedrohungsschutz führt zu minimalen Kosten im Zusammenhang mit Geschäftsunterbrechungen, Lösegeldzahlungen oder behördlichen Geldbußen.
Verwaltung Bedrohungsschutz und XDR-Tools werden bereitgestellt, und SecOps-Prozesse werden für die sich ändernde Cybersicherheitslandschaft, bedrohungen, die aufgetreten sind, und die Automatisierung der Reaktion auf Vorfälle aktualisiert.
Resilienz der Organisation Zwischen Der Verhinderung von Sicherheitsverletzungen und der Wiederherstellung und dem proaktiven Bedrohungsschutz kann Ihre Organisation schnell von einem Angriff wiederherstellen und zukünftige Angriffe seines Typs verhindern.
Sicherheit Der Bedrohungsschutz ist in Ihre allgemeinen Sicherheitsanforderungen und -richtlinien integriert.

Planungsphase

Diagramm des Einführungsprozesses für ein einzelnes Ziel oder eine Reihe von Zielen mit hervorgehobener Planungsphase.

Einführungspläne wandeln die Prinzipien der Zero Trust-Strategie in einen umsetzbaren Plan um. Ihre kollektiven Teams können den Einführungsplan verwenden, um ihre technischen Anstrengungen zu leiten und sie an die Geschäftsstrategie Ihrer Organisation auszurichten.

Die Motivationen und Ergebnisse, die Sie gemeinsam mit Ihren Führungskräften und Teams definieren, unterstützen das "Warum?" für Ihre Organisation und werden für Ihre Strategie zum North Star. Als Nächstes kommt die technische Planung, um die Ziele zu erreichen.

Die technische Einführung für die Implementierung von Bedrohungsschutz und XDR umfasst Folgendes:

  • Einrichten der Suite von XDR-Tools, die von Microsoft bereitgestellt werden, für:

    • Führen Sie die Reaktion auf Vorfälle aus, um Angriffe zu erkennen und zu verhindern.

    • Proaktive Suche nach Bedrohungen.

    • Erkennen und reagieren Sie automatisch auf bekannte Angriffe.

  • Integration von Microsoft Defender XDR und Microsoft Sentinel.

  • Definieren von SecOps-Prozesse und Verfahren für die Reaktion auf Vorfällen und die Wiederherstellung.

Die Implementierung von Bedrohungsschutz und XDR umfasst auch einige verwandte Aktivitäten, darunter:

  • Verwenden Sie die XDR-Tools, um sowohl Ihre unternehmenskritischen als auch Honeypot-Ressourcen zu überwachen, die Sie im Artikel zur Verhinderung von Sicherheitsverletzungen und zur Wiederherstellung implementiert haben, um Angreifer dazu zu bringen, ihre Anwesenheit zu zeigen, bevor sie Ihre echten Ressourcen angreifen können.
  • Entwickeln Sie Ihr SecOps-Team, um sich über die neuesten Angriffe und deren Methoden zu informieren.

Viele Organisationen können einen vierstufigen Ansatz für diese Bereitstellungsziele verwenden, die in der folgenden Tabelle zusammengefasst sind.

Phase 1 Phase 2 Phase 3 Phase 4
Aktivieren sie XDR-Tools:
– Defender für Endpunkt
– Defender für Office 365
– Microsoft Entra ID Protection
– Defender for Identity
– Defender für Cloud-Apps

Untersuchen und Reagieren auf Bedrohungen mithilfe von Microsoft Defender XDR
Aktivieren von Defender für Cloud

Definieren des internen Prozesses für SecOps

Überwachen von unternehmenskritischen und Honeypot-Ressourcen mit XDR-Tools
Aktivieren von Defender für IoT

Entwerfen eines Microsoft Sentinel-Arbeitsbereichs und Aufnehmen von XDR-Signalen

Vorbeugende Suche nach Bedrohungen
Entwickeln von SecOps als Disziplin in Ihrer Organisation

Nutzen sie die Automatisierung, um die Auslastung Ihrer SecOps-Analysten zu reduzieren

Wenn dieser mehrstufige Ansatz für Ihre Organisation funktioniert, können Sie Folgendes verwenden:

  • Dieser herunterladbare PowerPoint-Foliensatz zum Präsentieren und Nachverfolgen Ihres Fortschritts durch diese Phasen und Ziele für Führungskräfte und andere Projektbeteiligte. Hier ist die Folie für dieses Geschäftsszenario.

    Die PowerPoint-Folie für die Phasen der Implementierung der Bedrohungserkennung und der XDR-Bereitstellung.

  • Diese Excel-Arbeitsmappe dient dazu, Besitzer zuzuweisen und Ihren Fortschritt in den Phasen, Zielen und deren Aufgaben zu verfolgen. Hier sehen Sie das Arbeitsblatt für dieses Geschäftsszenario.

    Das Arbeitsblatt zur Fortschrittsverfolgung für die Implementierung der Bedrohungserkennung und der XDR-Einführung.

Grundlegendes zu Ihrer Organisation

Dieser empfohlene mehrstufige Ansatz für die technische Implementierung kann dazu beitragen, einen Kontext für das Verständnis Ihrer Organisation zu geben.

Ein grundlegender Schritt im Lebenszyklus der Zero Trust-Einführung für jedes Geschäftsszenario umfasst das Erfassen und Bestimmen des aktuellen Status Ihres SecOps-Teams. Für dieses Geschäftsszenario müssen Sie:

  • Inventarisieren Sie Ihre aktuellen XDR-Tools, deren Integration und die Verwendung der Automatisierung für die Reaktion auf Vorfälle.
  • Überprüfen Sie Ihre Verfahren zur Reaktion auf Vorfälle und Wiederherstellungsverfahren und -prozesse.
  • Überprüfen Sie die Konfiguration Ihrer Honeypot-Ressourcen.
  • Ermitteln Sie den Bereitschaftsstatus Ihrer Sicherheitsanalysten und ob sie zusätzliche Fähigkeiten oder Entwicklung benötigen.

Organisationsplanung und -ausrichtung

Die technische Arbeit zur Implementierung von Bedrohungsschutz und XDR fällt in das Sicherheitsteam Ihrer Organisation, das für die Erkennung und Reaktion auf Bedrohungen verantwortlich ist und überwiegend aus Sicherheitsanalysten an vorderster Front besteht. Diese Analysten verstehen die aktuelle Bedrohungslandschaft und können XDR-Tools einsetzen, um schnell einen Angriff zu erkennen und darauf zu reagieren.

In dieser Tabelle sind Rollen zusammengefasst, die beim Erstellen eines Sponsoringprogramms und einer Projektmanagementhierarchie empfohlen werden, um Ergebnisse zu ermitteln und zu fördern.

Programmverantwortliche und technische Verantwortliche Verantwortlichkeit
CISO, CIO oder Director of Data Security Führungskräfte-Sponsorship
Programmverantwortlicher für Datensicherheit Fördern von Ergebnissen und teamübergreifender Zusammenarbeit
Sicherheitsarchitekt Beratung zu Strategien und Praktiken zur Reaktion auf Vorfälle, XDR-Tools und -Infrastruktur sowie zur Entwicklung des SecOps-Teams
SecOps-Leiter Implementieren von Verfahren zur Reaktion auf Vorfälle, Konfiguration der XDR-Infrastruktur, Automatisierung der Reaktion auf Vorfälle und die SecOps-Disziplin in Ihrer Organisation
Sicherheit für IT-Leiter Beraten, Implementieren und Verwalten von unternehmenskritischen und Honeypot-Ressourcen

Die PowerPoint-Ressourcensammlung für diesen Einführungsinhalt enthält die folgende Folie mit einer Ansicht der Projektbeteiligten, die Sie für Ihre eigene Organisation anpassen können.

Die PowerPoint-Folie, um wichtige Projektbeteiligte für Ihre Implementierung der Bedrohungserkennung und XDR-Bereitstellung zu identifizieren.

Technische Planung und Kompetenzbereitschaft

Bevor Sie mit der technischen Arbeit beginnen, empfiehlt Microsoft, die Funktionen kennenzulernen, wie sie zusammenarbeiten, und bewährte Methoden für den Umgang mit dieser Arbeit.

Da Zero Trust von einer Verletzung ausgeht, müssen Sie sich auf eine Verletzung vorbereiten. Übernehmen Sie einen Rahmen für die Reaktion auf Sicherheitsverletzungen basierend auf NIST, ISO 27001, CIS oder MITRE, um die Auswirkungen einer Sicherheitsverletzung oder eines Cyberangriffs auf Ihre Organisation zu verringern.

Die folgende Tabelle enthält mehrere Microsoft-Schulungsressourcen, die Ihren Sicherheitsteams helfen, Fähigkeiten zu erlangen.

Ressource BESCHREIBUNG
Modul: Minimieren von Vorfällen mit Microsoft Defender XDR Erfahren Sie, wie das Microsoft Defender XDR-Portal eine einheitliche Ansicht von Vorfällen und Warnungen aus der Microsoft Defender XDR-Produktfamilie bietet.
Lernpfad: Mindern von Bedrohungen mithilfe von Microsoft Defender XDR Analysieren Sie Bedrohungsdaten über Domänen hinweg und beheben Sie Bedrohungen schnell mit integrierter Orchestrierung und Automatisierung in Microsoft Defender XDR.
Modul: Verbessern Sie Ihre Zuverlässigkeit mit modernen Betriebspraktiken: Reaktion auf Vorfälle In diesem Modul lernen Sie die Grundlagen einer effizienten Incident-Response-Strategie sowie die Azure-Tools kennen, die diese ermöglichen.
Modul: Schulung: Verwaltung von Sicherheitsvorfällen in Microsoft Sentinel Erfahren Sie mehr über Microsoft Sentinel-Ereignisse und -Entitäten, und entdecken Sie Möglichkeiten zum Beheben von Vorfällen.

Phase 1

Die Bereitstellungsziele der Phase 1 umfassen die Aktivierung Ihrer primären Microsoft XDR-Tools und die Verwendung von Microsoft Defender XDR, die die Signale von den Tools in ein einzelnes Portal integriert, um die Reaktion auf Vorfälle zu ermöglichen.

Aktivieren von XDR-Tools

Beginnen Sie mit der Kernsuite von XDR-Tools, um Ihre Organisation vor Angriffen auf Geräte, Identitäten und cloudbasierte Anwendungen zu schützen.

Ressource BESCHREIBUNG
Microsoft Defender für Endpunkt Eine Sicherheitsplattform für Unternehmensendpunkte, die Ihrem Unternehmensnetzwerk dabei helfen soll, erweiterte Bedrohungen gegen Geräte zu verhindern, zu erkennen, zu untersuchen und darauf zu reagieren, einschließlich Laptops, Smartphones, Tablets, PCs, Zugriffspunkte, Router und Firewalls.
Defender für Office 365 Eine nahtlose Integration in Ihr Microsoft 365- oder Office 365-Abonnement, das vor Bedrohungen in E-Mails, Links (URLS), Anlagen und Tools für die Zusammenarbeit schützt.
Microsoft Entra ID-Schutz Hilft Organisationen dabei, identitätsbasierte Risiken zu erkennen, zu untersuchen und zu beheben. Diese identitätsbasierten Risiken können weiter in Tools wie Entra Conditional Access eingespeist werden, um Zugriffsentscheidungen zu treffen oder zurück zu einem SIEM-Tool (Security Information and Event Management) zur weiteren Untersuchung und Korrelation zu gelangen.
Defender for Identity Nutzt Signale sowohl von lokalen Active Directory- als auch von Cloudidentitäten, um fortschrittliche Bedrohungen, die auf Ihre Organisation abzielen, besser zu identifizieren, zu erkennen und zu untersuchen.
Defender für Cloud-Apps Bietet vollständigen Schutz für SaaS-Anwendungen, die Ihnen dabei helfen, Ihre Cloud-App-Daten zu überwachen und zu schützen.
Untersuchen und Reagieren auf Bedrohungen mithilfe von Microsoft Defender XDR

Nachdem Sie die primären XDR-Tools aktiviert haben, können Sie mit der Verwendung von Microsoft Defender XDR und seinem Portal beginnen, um Warnungen und Vorfälle zu analysieren und Vorfallreaktionen bei verdächtigen Cyberangriffen durchzuführen.

Ressource BESCHREIBUNG
Integrieren von Microsoft 365 XDR in Ihre Sicherheitsvorgänge Planen Sie Ihre Integration in Ihr SecOps-Team sorgfältig, um den täglichen Betrieb und die Lebenszyklusverwaltung der Tools im Microsoft Defender XDR zu optimieren.
Reaktion auf Vorfälle mit Microsoft Defender XDR Verwenden von Microsoft Defender XDR zum Analysieren von Warnungen und Vorfällen und Integrieren bewährter Methoden in Ihre SecOps-Verfahren und -Prozesse.
Untersuchen von Vorfällen mit Microsoft Defender XDR So analysieren Sie die Warnungen, die sich auf Ihr Netzwerk auswirken, verstehen, was sie bedeuten, und ordnen Sie die Nachweise zusammen, damit Sie einen effektiven Wartungsplan entwickeln können.
Modul: Minimieren von Vorfällen mit Microsoft Defender XDR Erfahren Sie, wie das Microsoft Defender XDR-Portal eine einheitliche Ansicht von Vorfällen und Warnungen aus der Microsoft Defender XDR-Produktfamilie bietet.
Lernpfad: Mindern von Bedrohungen mithilfe von Microsoft Defender XDR Analysieren Sie Bedrohungsdaten über Domänen hinweg und beheben Sie Bedrohungen schnell mit integrierter Orchestrierung und Automatisierung in Microsoft Defender XDR.

Phase 2

In dieser Phase aktivieren Sie zusätzliche XDR-Tools für Azure und lokale Ressourcen, erstellen oder aktualisieren Ihre SecOps-Prozesse und -Verfahren für Microsoft Threat Protection und XDR-Dienste und überwachen Ihre unternehmenskritischen und Honeypot-Ressourcen, um Cyber-Angreifer frühzeitig in der Verletzung zu erkennen.

Aktivieren von Microsoft Defender für Cloud

Microsoft Defender für Cloud ist eine cloudeigene Anwendungsschutzplattform (CNAPP), die entwickelt wurde, um cloudbasierte Anwendungen vor verschiedenen Cyberbedrohungen und Sicherheitsrisiken zu schützen. Verwenden Sie Microsoft Defender für Cloud für Azure, hybride Cloud und lokalen Workloadschutz und Sicherheit.

Ressource BESCHREIBUNG
Microsoft Defender für Cloud Erste Schritte mit dem Dokumentationssatz.
Sicherheitswarnungen und Vorfälle für Microsoft Defender für Cloud Verwenden Sie Microsoft Defender für Cloud Security, um Die Reaktion auf Vorfälle für Ihre Azure-, Hybrid-Cloud- und lokalen Workloads durchzuführen.
Modul: Beheben von Sicherheitswarnungen mithilfe von Microsoft Defender für Cloud Erfahren Sie, wie Sie nach Bedrohungen suchen und Risiken für Ihre Azure-, Hybrid-Cloud- und lokalen Workloads beheben.
Lernpfad: Mindern von Bedrohungen mithilfe von Microsoft Defender für Cloud Erfahren Sie, wie Sie erweiterte Bedrohungen in Ihren Azure-, Hybrid-Cloud- und lokalen Workloads erkennen, untersuchen und darauf reagieren.
Definieren des internen Prozesses für SecOps

Stellen Sie sicher, dass die bereits implementierten Microsoft XDR-Tools in Ihre SecOps-Prozesse und -Verfahren integriert werden.

Ressource BESCHREIBUNG
Vorfall Antwort Übersicht Proaktive Untersuchung und Behebung aktiver Angriffskampagnen in Ihrer Organisation.
Planung der Reaktion auf Vorfälle Verwenden Sie diesen Artikel als Checkliste, um Ihr SecOps-Team auf Cybersicherheitsvorfälle vorzubereiten.
Playbooks zur Reaktion auf häufige Angriffsvorfälle Verwenden Sie diese Artikel, um detaillierte Anleitungen zu gängigen Angriffsmethoden zu erhalten, die böswillige Benutzer täglich einsetzen.
Integrieren von Microsoft 365 XDR in Ihre Sicherheitsvorgänge Planen Sie Ihre Integration in Ihr SecOps-Team sorgfältig, um die täglichen Betriebs- und Lebenszyklusverwaltungstools in Microsoft Defender XDR zu optimieren.
Sechs Tabletop-Übungen zur Vorbereitung Ihres Cybersicherheitsteams Verwenden Sie diese Übungen, die vom Center for Internet Security (CIS) bereitgestellt werden, um Ihr SecOps-Team vorzubereiten.
Überwachen von unternehmenskritischen und Honeypot-Ressourcen mit XDR-Tools

Ihre bereitgestellten Honeypot-Ressourcen dienen als Ziel für Cyber-Angreifer und können verwendet werden, um ihre Aktivitäten frühzeitig zu erkennen, bevor sie zu echten Zielen wechseln und Geschäftsschäden verursachen. Konzentrieren Sie einen Teil Ihrer Bemühungen bei der Bedrohungserkennung und -suche auf die Überwachung Ihrer unternehmenskritischen Ressourcen und Honeypots.

Ressource BESCHREIBUNG
Reaktion auf Vorfälle mit Microsoft Defender XDR Verwenden Sie Microsoft Defender XDR, um Vorfälle mit Warnungen zu erkennen, die sich auf Ihre unternehmenskritischen und Honeypot-Ressourcen auswirken.
Sicherheitswarnungen und Vorfälle für Microsoft Defender für Cloud Verwenden Sie Microsoft Defender für Cloud, um nach Warnungen zu suchen, die durch erweiterte Erkennungen für Ihre unternehmenskritischen und Honeypot-Ressourcen wie Azure, hybride Cloud und lokale Workloads ausgelöst werden.

Phase 3

In dieser Phase aktivieren Sie Defender für IoT, integrieren Microsoft Defender XDR in Microsoft Sentinel und verwenden dann die kombinierte Bedrohungsschutz- und XDR-Infrastruktur, um proaktiv nach Bedrohungen zu suchen.

Aktivieren von Defender für IoT

Das Internet of Things (IoT) unterstützt Milliarden verbundener Geräte, die sowohl betriebstechnische (OT)- als auch IoT-Netzwerke verwenden. IoT/OT-Geräte und Netzwerke werden häufig mit speziellen Protokollen erstellt und können operative Herausforderungen gegenüber Sicherheit priorisieren. Microsoft Defender für IoT ist eine einheitliche Sicherheitslösung, die speziell zur Identifizierung von IoT- und OT-Geräten, Sicherheitsrisiken und Bedrohungen entwickelt wurde.

Ressource BESCHREIBUNG
Microsoft Defender für IoT Erste Schritte mit dem Dokumentationssatz.
Modul: Einführung in Microsoft Defender für IoT Erfahren Sie mehr über Defender für IoT-Komponenten und -Features und wie sie die Überwachung von OT- und IoT-Geräten unterstützen.
Lernpfad: Verbessern der IoT-Lösungssicherheit mithilfe von Microsoft Defender für IoT Erfahren Sie mehr über Sicherheitsaspekte, die auf jeder Ebene der IoT-Lösung und der Azure-Dienste und -Tools angewendet werden, die so konfiguriert werden können, dass Sicherheitsbedenken von Grund auf behandelt werden können.
Entwerfen eines Microsoft Sentinel-Arbeitsbereichs und Aufnehmen von XDR-Signalen

Microsoft Sentinel ist eine cloudeigene Lösung, die Sicherheitsinformationen und Ereignisverwaltung (SIEM) und Sicherheits-Orchestrierung, Automatisierung und Reaktion (SOAR) bereitstellt. Gemeinsam bieten Microsoft Sentinel und Microsoft Defender XDR eine umfassende Lösung, die Ihrer Organisation dabei hilft, gegen moderne Cyberangriffe zu schützen.

Ressource BESCHREIBUNG
Implementieren von Microsoft Sentinel und Microsoft Defender XDR für Zero Trust Beginnen Sie mit dieser Lösungsdokumentation, die auch Prinzipien des Zero Trust enthält.
Modul: Verbinden von Microsoft Defender XDR mit Microsoft Sentinel Erfahren Sie mehr über die Konfigurationsoptionen und Daten, die von Microsoft Sentinel Connectors für Microsoft Defender XDR bereitgestellt werden.
Entwerfen Ihres Microsoft Sentinel-Arbeitsbereichs Erfahren Sie, wie Sie Microsoft Sentinel-Arbeitsbereiche entwerfen und implementieren.
Erfassen von Datenquellen und Konfigurieren der Vorfallerkennung in Microsoft Sentinel Erfahren Sie, wie Sie Datenkonnektoren für die Datenintegration in Ihrem Microsoft Sentinel-Arbeitsbereich konfigurieren.
Modul: Verbinden von Daten mit Microsoft Sentinel mithilfe von Datenverbindern Erhalten Sie einen Überblick über die verfügbaren Datenverbinder für Microsoft Sentinel.
Vorbeugende Suche nach Bedrohungen

Nachdem Ihre XDR- und SIEM-Infrastruktur eingerichtet ist, kann Ihr SecOps-Team die Initiative ergreifen und proaktiv nach Bedrohungen suchen, die in Ihrer Umgebung ausgeführt werden, anstatt reaktiv auf Angriffe zu reagieren, die bereits Schäden verursacht haben.

Ressource BESCHREIBUNG
Proaktive Suche nach Bedrohungen mit erweiterter Bedrohungssuche in Microsoft Defender XDR Beginnen Sie mit der Dokumentation zur Bedrohungssuche mit Microsoft Defender XDR.
Suchen nach Bedrohungen mit Microsoft Sentinel Beginnen Sie mit den Dokumentationsunterlagen zur Bedrohungssuche mit Microsoft Sentinel.
Modul: Bedrohungssuche mit Microsoft Sentinel Erfahren Sie, wie Sie Bedrohungsverhalten proaktiv mithilfe von Microsoft Sentinel-Abfragen identifizieren.

Phase 4

In dieser Phase entwickeln Sie SecOps als Disziplin in Ihrer Organisation und verwenden die Funktionen von Microsoft Defender XDR und Microsoft Sentinel, um Vorfallreaktionen für bekannte oder vorherige Angriffe zu automatisieren.

Entwickeln von SecOps als Disziplin in Ihrer Organisation

Mehrere komplexe schädliche Ereignisse, Attribute und Kontextinformationen umfassen erweiterte Cybersicherheitsangriffe. Die Identifizierung und Entscheidung, welche dieser Aktivitäten als verdächtig eingestuft werden, kann eine schwierige Aufgabe sein. Ihr Wissen über bekannte Attribute und ungewöhnliche Aktivitäten, die für Ihre Branche spezifisch sind, ist von grundlegender Bedeutung, um zu wissen, wann ein beobachtetes Verhalten verdächtig ist.

Um Ihr SecOps-Team und Ihre Disziplin über die täglichen Aufgaben der Reaktion auf Vorfälle und die Wiederherstellung hinaus zu entwickeln, sollten Spezialisten oder leitende Mitglieder die größere Bedrohungslandschaft verstehen und dieses Wissen im gesamten Team verbreiten.

Ressource BESCHREIBUNG
Bedrohungsanalyse in Microsoft Defender XDR Verwenden Sie das Dashboard für Bedrohungsanalysen im Microsoft Defender XDR-Portal (erfordert Anmeldung) für Berichte, die für Ihre Organisation am relevantesten sind.
Microsoft Defender Threat Intelligence (Defender TI) Verwenden Sie diese integrierte Plattform, um die Triage, Die Reaktion auf Vorfälle, Bedrohungssuche, Sicherheitsrisikoverwaltung und Cyber threat Intelligence-Workflows zu optimieren, wenn Sie Analysen zur Bedrohungsinfrastruktur durchführen und Bedrohungsintelligenz sammeln.
Microsoft-Sicherheitsblog Erhalten Sie die neuesten Informationen zu Sicherheitsbedrohungen und neuen Features und Updates für Microsoft Defender XDR und Microsoft Sentinel.
Nutzen sie die Automatisierung, um die Auslastung Ihrer SecOps-Analysten zu reduzieren

Verwenden Sie die Funktionen von Microsoft Defender XDR und Microsoft Sentinel, um die Reaktion auf Vorfälle zu automatisieren, um bekannte und erwartete Vorfälle zu erkennen und wiederherzustellen, und um Ihr SecOps-Team besser auf unerwartete Angriffe und neue Angriffsmethoden zu konzentrieren.

Ressource BESCHREIBUNG
Automatisierte Untersuchung und Reaktion in Microsoft Defender XDR Erste Schritte mit dem Microsoft Defender XDR-Dokumentationssatz.
Konfigurieren automatisierter Untersuchungs- und Wartungsfunktionen Bei Angriffen auf Geräten beginnen Sie mit dem Dokumentationssatz "Microsoft Defender für Endpunkt".
Automatisieren der Bedrohungsabwehr mit Playbooks in Microsoft Sentinel Einführung in die Dokumentation zur Nutzung von Playbooks in Microsoft Sentinel.

Cloudeinführungsplan

Ein Einführungsplan ist eine wesentliche Voraussetzung für eine erfolgreiche Cloudakzeptanz. Zu den wichtigsten Attributen eines erfolgreichen Einführungsplans für die Implementierung von Bedrohungsschutz und XDR gehören:

  • Strategie und Planung sind ausgerichtet: Wenn Sie Ihre Pläne für das Testen, Pilotieren und die Einführung von Bedrohungsschutz- und Angriffswiederherstellungsfunktionen in Ihrer lokalen und Cloud-Infrastruktur erstellen, sollten Sie Ihre Strategie und Ziele überdenken, um sicherzustellen, dass Ihre Pläne mit Ihrer Strategie und Ihren Zielen abgestimmt sind. Dazu gehören Prioritäts- und Zielmeilensteine von Zielen für die Angriffserkennung und -reaktion sowie die Verwendung der Automatisierung.
  • Der Plan ist iterativ: Wenn Sie mit dem Rollout Ihres Plans beginnen, lernen Sie viele Dinge über Ihre XDR-Umgebung und die tools kennen, die Sie verwenden. Überprüfen Sie in jeder Phase Ihres Rollouts Ihre Ergebnisse im Vergleich zu den Zielen und optimieren Sie die Pläne. Dies kann z. B. eine erneute Überprüfung früherer Arbeiten umfassen, um Verfahren und Richtlinien zu optimieren.
  • Die Schulung Ihrer SecOps-Mitarbeiter ist gut geplant: Von Ihren Sicherheitsarchitekten bis hin zu Ihren Sicherheitsanalysten in Service und Produktion werden alle geschult, um mit ihrem Bedrohungsschutz, der Erkennung, der Entschärfung und der Wiederherstellung erfolgreich zu arbeiten.

Weitere Informationen aus dem Cloud Adoption Framework für Azure finden Sie unter Plan for Cloud Adoption.

Vorbereitungsphase

Diagramm des Einführungsprozesses für ein einzelnes Ziel oder eine Reihe von Zielen, wobei die Phase

Verwenden Sie die in diesem Artikel aufgeführten Ressourcen, um Ihren Plan zu priorisieren. Die Implementierung von Bedrohungsschutz und XDR stellt eine der Ebenen in Ihrer Mehrschicht-Zero Trust-Bereitstellungsstrategie dar.

Der in diesem Artikel empfohlene stufenweise Ansatz umfasst die Umsetzung der Bedrohungsschutzmaßnahmen in methodischer Weise in Ihrer digitalen Landschaft. Überprüfen Sie in dieser Phase diese Elemente des Plans, um sicherzustellen, dass alles einsatzbereit ist:

  • Ihr SecOps-Team wird informiert, dass Änderungen an ihren Vorfallreaktionsprozessen für Microsoft Defender XDR und Microsoft Sentinel unmittelbar bevorstehen
  • Ihr SecOps-Team wird über Dokumentations- und Schulungsressourcen informiert
  • Verfahren zur Bedrohungssuche und Richtlinien und Automatisierungstechniken sind für die Verwendung durch Analysten bereit.
  • Ihre Honeypot-Ressourcen sind eingerichtet

In der Planungsphase wurde die Lücke zwischen dem, was Sie haben und wo Sie sich befinden möchten, gezeigt. Verwenden Sie diese Phase, um XDR-Tools und deren Verwendung zu implementieren und zu testen. So können z. B. SecOps-Teamleiter:

  • Aktivieren und Verwenden von XDR-Tools für Microsoft Defender XDR zum Ausführen von Vorfallreaktionen auf aktuelle Angriffe
  • Konfigurieren Sie die Integration von Microsoft Defender XDR und Microsoft Sentinel mithilfe von Datenkonnektoren und Arbeitsbereichen
  • Definieren oder Verfeinern der SecOps-Teamprozeduren und -prozesse
  • Erkunden und Testen der Bedrohungssuche zur proaktiven Identifizierung von Bedrohungen und Automatisierung, um bekannte Angriffe zu erkennen und wiederherzustellen

Akzeptanzphase

Diagramm des Einführungsprozesses für ein einzelnes Ziel oder eine Reihe von Zielen mit hervorgehobener Einführungsphase.

Microsoft empfiehlt einen kaskadierenden, iterativen Ansatz zur Implementierung von Bedrohungsschutz und XDR. Auf diese Weise können Sie Ihre Strategie und Richtlinien fortlaufend verfeinern, um die Genauigkeit der Ergebnisse zu erhöhen. Es ist nicht erforderlich, bis eine Phase abgeschlossen ist, bevor die nächste beginnt. Ihre Ergebnisse sind effektiver, wenn Sie Elemente jeder Phase umsetzen und dabei iterieren.

Die wichtigsten Elemente Ihrer Einführungsphase sollten Folgendes umfassen:

  • Machen Sie Microsoft Defender XDR zu Ihrem laufenden, täglichen Vorfallreaktionsworkflow in Ihrem SecOps-Team.
  • Verwenden der Features von Microsoft Sentinel mit Microsoft Defender XDR-Integration.
  • Implementieren von Automatisierung zur Bewältigung bekannter Angriffe, Freigeben Ihres SecOps-Teams zur Bedrohungssuche und Weiterentwicklung der Disziplin Ihres Teams, um zukunftsorientiert zu sein und auf neue Trends in Cyberangriffen vorbereitet zu werden

Steuern und Verwalten von Phasen

Diagramm des Einführungsprozesses für ein einzelnes Ziel oder eine Reihe von Zielen, wobei die Phase

Die Governance der Fähigkeit Ihrer Organisation, Angriffe zu erkennen, und der Bedrohungsschutz- sowie XDR-Infrastruktur ist ein iterativer Prozess. Indem Sie Ihren Implementierungsplan durchdacht erstellen und in Ihrem SecOps-Team einführen, haben Sie eine Grundlage geschaffen. Verwenden Sie die folgenden Aufgaben, um Ihnen bei der Erstellung Ihres anfänglichen Governance-Plans für diese Grundlage zu helfen.

Zielsetzung Aufgaben
Nachverfolgen und Messen Weisen Sie Besitzer für kritische Aktionen und Verantwortlichkeiten zu, wie Vorfallreaktionsverfahren, Bedrohungsintelligenz sammeln und verbreiten, sowie Automatisierungswartung.

Erstellen Sie umsetzbare Pläne mit Daten und Zeitplänen für jede Aktion.
Überwachen und Erkennen Verwalten Sie Sicherheitsbedrohungen mithilfe von Microsoft Defender XDR und Microsoft Sentinel, indem Sie die Automatisierung für häufige oder vorherige Angriffe verwenden.
Auf Reife iterieren Überprüft kontinuierlich Risiken und die Cyberbedrohungslandschaft und ändert die SecOps-Verfahren, -Zuständigkeiten, -Richtlinien und -Prioritäten.

Nächste Schritte

Für dieses Geschäftsszenario:

Weitere Artikel im Zero Trust Adoption Framework:

Ressourcen zur Fortschrittsnachverfolgung

Für jedes der Zero Trust-Geschäftsszenarien können Sie die folgenden Fortschrittsverfolgungsressourcen verwenden.

Fortschrittsverfolgungsressource Das hilft Ihnen... Konzipiert für...
Phase des Einführungsszenarioplans – Herunterladbare Visio-Datei oder PDF-Datei

Ein Beispielplan- und Phasenraster mit Phasen und Zielen.
Verstehen Sie einfach die Sicherheitsverbesserungen für jedes Geschäftsszenario und den Aufwand für die Phasen und Ziele der Planphase. Projektleiter für Geschäftsszenarios, Führungskräfte und andere Projektbeteiligte.
Zero Trust Adoption Tracker herunterladbare PowerPoint-Foliensammlung

Eine PowerPoint-Beispielfolie mit Phasen und Zielen.
Verfolgen Sie Ihren Fortschritt durch die Phasen und Ziele der Planphase. Projektleiter für Geschäftsszenarios, Führungskräfte und andere Projektbeteiligte.
Ziele und Aufgaben eines Geschäftsszenarios als herunterladbare Excel-Arbeitsmappe

Ein Beispiel für ein Excel-Arbeitsblatt mit Phasen, Zielen und Aufgaben.
Weisen Sie Zuständigkeiten zu und verfolgen Sie Ihren Fortschritt durch die Phasen, Ziele und Aufgaben der Planungsphase. Projektleiter für Geschäftsszenarios, IT-Leads und IT-Implementierer.

Weitere Ressourcen finden Sie unter Zero Trust-Bewertung und Fortschrittsverfolgungsressourcen.