Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Lösungshandbuch erfahren Sie, wie Sie Microsoft-Tools für erweiterte Erkennung und Reaktion (Extended Detection and Response, XDR) einrichten und diese in Microsoft Sentinel integrieren können, damit Ihre Organisation schneller auf Cybersicherheitsangriffe reagieren und diese beheben kann.
Microsoft Defender XDR ist eine XDR-Lösung, die Signal-, Bedrohungs- und Warnungsdaten aus Ihrer Microsoft 365-Umgebung automatisch sammelt, korreliert und analysiert.
Microsoft Sentinel ist eine cloudeigene Lösung, die Sicherheitsinformationen und Ereignisverwaltung (SIEM) und Sicherheits-Orchestrierung, Automatisierung und Reaktion (SOAR) bereitstellt. Gemeinsam bieten Microsoft Sentinel und Microsoft Defender XDR eine umfassende Lösung, die Organisationen bei der Verteidigung gegen moderne Angriffe unterstützt.
Dieser Leitfaden hilft Ihnen, Ihre Zero Trust-Architektur zu verbessern, indem Sie die Prinzipien von Zero Trust auf folgende Weise zuordnen:
| Zero Trust-Prinzip | Erfüllt von |
|---|---|
| Explizit verifizieren | Microsoft Sentinel sammelt Daten aus der gesamten Umgebung und analysiert Bedrohungen und Anomalien, damit Ihre Organisation und jede Automatisierung auf überprüfte Daten reagieren kann. Microsoft Defender XDR bietet erweiterte Erkennung und Reaktion auf Benutzer, Identitäten, Geräte, Apps und E-Mails. Konfigurieren Sie die Microsoft Sentinel-Automatisierung so, dass risikobasierte Signale verwendet werden, die von Microsoft Defender XDR erfasst werden, um Maßnahmen zu ergreifen, z. B. das Blockieren oder Autorisieren von Datenverkehr basierend auf Risiken. |
| Geringstmögliche Zugriffsberechtigungen verwenden | Microsoft Sentinel erkennt anomale Aktivitäten mit seiner UEBA-Engine. Da sich Sicherheitsszenarien schnell ändern, importiert ihre Bedrohungserkennung Daten von Microsoft- und Drittanbietern, um neue Bedrohungen zu erkennen und zu kontextualisieren. Microsoft Defender XDR umfasst Microsoft Entra ID Protection, um Benutzer basierend auf Identitätsrisiko zu blockieren. Speisen Sie verwandte Daten in Microsoft Sentinel ein zur weiteren Analyse und Automatisierung. |
| Gehe von einem Verstoß aus | Microsoft Defender XDR überprüft die Umgebung kontinuierlich auf Bedrohungen und Sicherheitsrisiken. Microsoft Sentinel analysiert gesammelte Daten und Verhaltenstrends, um verdächtige Aktivitäten, Anomalien und mehrstufige Bedrohungen im gesamten Unternehmen zu erkennen. Sowohl Microsoft Defender XDR als auch Microsoft Sentinel implementieren automatisierte Wartungsaufgaben, einschließlich Untersuchungen, Geräteisolation und Datenquarantäne. Verwenden Sie das Geräterisiko als Signal für bedingten Zugriff von Microsoft Entra. |
Erste Schritte mit Microsoft Defender XDR
Die Bereitstellung von Microsoft Defender XDR ist ein hervorragender Ausgangspunkt für die Erstellung von Erkennungs- und Reaktionsfähigkeiten für Vorfälle innerhalb Ihrer Organisation. Defender XDR ist in Microsoft 365 E5 enthalten und Sie können sogar mit Microsoft 365 E5-Testlizenzen beginnen. Defender XDR kann in Microsoft Sentinel oder mit einem generischen SIEM-Tool integriert werden.
Weitere Informationen finden Sie unter Pilot und Bereitstellen von Microsoft Defender XDR.
Microsoft Sentinel- und XDR-Architektur
Microsoft Sentinel-Kunden können eine der folgenden Methoden verwenden, um Microsoft Sentinel in Microsoft Defender XDR-Dienste zu integrieren:
Integrieren Sie Microsoft Sentinel in das Defender-Portal, um es zusammen mit Microsoft Defender XDR für einheitliche Sicherheitsvorgänge zu verwenden. Zeigen Sie Microsoft Sentinel-Daten direkt im Defender-Portal zusammen mit Ihren Defender-Vorfällen, Warnungen, Sicherheitsrisiken und Sicherheitsdaten an.
Verwenden Sie Microsoft Sentinel-Datenverbinder, um Dienstdaten des Microsoft Defender XDR-Dienstes in Microsoft Sentinel zu importieren. Zeigen Sie Microsoft Sentinel-Daten im Azure-Portal an.
Dieses Leitfadencenter enthält Informationen für beide Methoden. Wenn Sie Ihren Arbeitsbereich in das Defender-Portal integriert haben, verwenden Sie ihn. wenn nicht, verwenden Sie das Azure-Portal, sofern nicht anders angegeben.
Die folgende Abbildung zeigt, wie die XDR-Lösung von Microsoft in Microsoft Sentinel im Defender-Portal integriert wird.
In diesem Diagramm:
- Erkenntnisse aus Signalen in Ihrer gesamten Organisation werden in Microsoft Defender XDR und Microsoft Defender for Cloud erfasst.
- Microsoft Sentinel bietet Unterstützung für Multicloud-Umgebungen und kann in Drittanbieter-Apps und -Partner integriert werden.
- Microsoft Sentinel-Daten werden zusammen mit den Daten Ihrer Organisation in das Microsoft Defender-Portal aufgenommen.
- SecOps-Teams können Bedrohungen analysieren und darauf reagieren, die von Microsoft Sentinel und Microsoft Defender XDR im Microsoft Defender-Portal identifiziert wurden.
Wichtige Funktionen
Implementieren Sie einen Zero Trust-Ansatz zum Verwalten von Vorfällen mithilfe von Microsoft Sentinel- und Defender XDR-Features. Für in das Defender-Portal integrierte Arbeitsbereiche nutzen Sie Microsoft Sentinel im Defender-Portal.
| Funktion oder Feature | BESCHREIBUNG | Produkt |
|---|---|---|
| Automatisierte Untersuchung & Response (AIR) | AIR-Funktionen wurden entwickelt, um Warnungen zu untersuchen und sofortige Maßnahmen zum Beheben von Verletzungen zu ergreifen. Mit den AIR-Funktionen wird das Warnungsaufkommen erheblich reduziert, sodass sich Sicherheitsaktivitäten auf komplexere Bedrohungen und andere wichtige Maßnahmen konzentrieren können. | Microsoft Defender XDR |
| Erweiterte Suche | Die erweiterte Suche ist ein abfragebasiertes Tool zur Bedrohungssuche, mit dem Sie rohe Daten von bis zu 30 Tagen untersuchen können. Sie können Ereignisse in Ihrem Netzwerk proaktiv überprüfen, um Bedrohungsindikatoren und Entitäten zu finden. Der flexible Zugriff auf Daten ermöglicht die uneingeschränkte Suche nach bekannten und potenziellen Bedrohungen. | Microsoft Defender XDR |
| Benutzerdefinierte Dateiindikatoren | Verhindern Sie die weitere Verbreitung eines Angriffs in Ihrer Organisation, indem Sie potenziell schädliche Dateien oder vermutete Schadsoftware verbieten. | Microsoft Defender XDR |
| Cloud Discovery: | Cloud Discovery analysiert von Defender für Endpunkt gesammelte Datenverkehrsprotokolle und bewertet identifizierte Apps anhand des Cloud-App-Katalogs, um Compliance- und Sicherheitsinformationen bereitzustellen. | Microsoft Defender für Cloud-Apps |
| Benutzerdefinierte Netzwerkindikatoren | Durch die Erstellung von Indikatoren für IP-Adressen und URLs oder Domänen können Sie nun IP-Adressen, URLs oder Domänen auf der Grundlage Ihrer eigenen Threat Intelligence zulassen oder blockieren. | Microsoft Defender XDR |
| Block für Erkennung und Reaktion am Endpunkt (EDR) | Bietet zusätzlichen Schutz vor bösartigen Artefakten, wenn Microsoft Defender Antivirus (MDAV) nicht das primäre Antivirenprodukt ist und im passiven Modus ausgeführt wird. EDR im Blockmodus arbeitet im Hintergrund, um schädliche Artefakte zu beheben, die von EDR-Funktionen erkannt wurden. | Microsoft Defender XDR |
| Geräteantwortfunktionen | Reagieren Sie schnell auf erkannte Angriffe, indem Sie Geräte isolieren oder ein Untersuchungspaket sammeln. | Microsoft Defender XDR |
| Live-Antwort | Live Response bietet Sicherheitsteams über eine Remoteshellverbindung sofortigen Zugriff auf ein Gerät (auch als Computer bezeichnet). Dies gibt Ihnen die Möglichkeit, eingehende Untersuchungen durchzuführen und sofortige Reaktionsaktionen zu ergreifen, um identifizierte Bedrohungen in Echtzeit sofort einzudämmen. | Microsoft Defender XDR |
| Sichere Cloudanwendungen | Eine DevSecOps-Lösung (Development, Security, Operations), die die Sicherheitsverwaltung auf Codeebene in Umgebungen mit mehreren Clouds und mehreren Pipelines vereint. | Microsoft Defender für Cloud |
| Verbessern Ihres Sicherheitsstatus | Eine CSPM-Lösung (Cloud Security Posture Management), die Aktionen zeigt, mit denen Sie Sicherheitsverletzungen verhindern können. | Microsoft Defender für Cloud |
| Cloud-Workloads schützen | Eine Plattform für den Cloudworkloadschutz (Cloud Workload Protection Platform, CWPP) mit spezifischem Schutz für Server, Container, Speicher, Datenbanken und andere Workloads. | Microsoft Defender für Cloud |
| Verhaltensanalysen für Benutzer und Entitäten (User and Entity Behavior Analytics, UEBA) | Analysiert das Verhalten von Organisationsentitäten wie Benutzer, Hosts, IP-Adressen und Anwendungen. | Microsoft Sentinel |
| Verschmelzung | Ein Korrelationsmodul basierend auf skalierbaren Machine Learning-Algorithmen. Erkennt automatisch mehrstufige Angriffe, die auch als erweiterte persistente Bedrohungen (APT) bezeichnet werden, indem Kombinationen von anomaliealen Verhaltensweisen und verdächtigen Aktivitäten identifiziert werden, die in verschiedenen Phasen der Kill Chain beobachtet werden. | Microsoft Sentinel |
| Bedrohungserkennung | Verwenden Sie Microsoft-Drittanbieter, um Daten zu bereichern, um zusätzlichen Kontext zu Aktivitäten, Warnungen und Protokollen in Ihrer Umgebung bereitzustellen. | Microsoft Sentinel |
| Automatisierung | Automatisierungsregeln sind eine Möglichkeit, die Automatisierung mit Microsoft Sentinel zentral zu verwalten, indem Sie eine kleine Gruppe von Regeln definieren und koordinieren können, die für verschiedene Szenarien gelten können. | Microsoft Sentinel |
| Anomalieregeln | Anomalieregelvorlagen verwenden maschinelles Lernen, um bestimmte Arten von Anomalieverhalten zu erkennen. | Microsoft Sentinel |
| Geplante Abfragen | Integrierte Regeln, die von Microsoft-Sicherheitsexperten geschrieben wurden, die von Microsoft Sentinel gesammelte Protokolle nach verdächtigen Aktivitätsketten, bekannten Bedrohungen durchsuchen. | Microsoft Sentinel |
| NRT-Regeln (Near-Real-Time, nahezu in Echtzeit) | NRT-Regeln sind begrenzter Satz von geplanten Regeln, die so konzipiert sind, dass sie einmal pro Minute ausgeführt werden, um Ihnen Informationen so up-to-the-minute wie möglich zur Verfügung zu stellen. | Microsoft Sentinel |
| Jagd | Um Sicherheitsanalysten zu helfen, proaktiv nach neuen Anomalien zu suchen, die von Ihren Sicherheitsanwendungen oder sogar von Ihren geplanten Analyseregeln nicht erkannt wurden, leiten die integrierten Jagdabfragen von Microsoft Sentinel Sie dazu an, die richtigen Fragen zu stellen, um Probleme in den Daten zu finden, die Sie bereits in Ihrem Netzwerk haben. | Microsoft Sentinel Verwenden Sie für Arbeitsbereiche, die in das Defender-Portal integriert sind, die erweiterte Suchfunktion des Microsoft Defender-Portals. |
| Microsoft Defender XDR Connector | Der Microsoft Defender XDR-Connector synchronisiert Protokolle und Vorfälle mit Microsoft Sentinel. | Microsoft Defender XDR und Microsoft Sentinel |
| Datenconnectors | Erlauben Sie die Erfassung von Daten für die Analyse in Microsoft Sentinel. | Microsoft Sentinel |
| Content Hub-Lösung -Zero Trust (TIC 3.0) | Zero Trust (TIC 3.0) enthält eine Arbeitsmappe, Analyseregeln und ein Playbook, das eine automatisierte Visualisierung von Zero Trust-Prinzipien bereitstellt, die dem Trust Internet Connections-Framework querläuft und Organisationen dabei hilft, Konfigurationen im Laufe der Zeit zu überwachen. | Microsoft Sentinel |
| Sicherheits-Orchestrierung, Automatisierung und Reaktion (SOAR) | Die Verwendung von Automatisierungsregeln und Playbooks als Reaktion auf Sicherheitsbedrohungen erhöht die Effektivität Ihres SOC und spart Ihnen Zeit und Ressourcen. | Microsoft Sentinel |
| SOC-Optimierungen | Schließen Sie Abdeckungslücken bei bestimmten Bedrohungen, und senken Sie Ihre Aufnahmeraten in Bezug auf Daten, die keinen Sicherheitswert bieten. | Microsoft Sentinel Verwenden Sie für Arbeitsbereiche, die in das Defender-Portal integriert sind, die SOC-Optimierung im Microsoft Defender-Portal. |
Inhalt dieser Lösung
Diese Lösung hilft Ihrem Sicherheitsteam, Vorfälle mithilfe eines Zero Trust-Ansatzes zu beheben, indem Sie sie durch die Implementierung von Microsoft Sentinel und Microsoft Defender XDR leiten. Die Implementierung umfasst die folgenden Phasen:
| Phase | BESCHREIBUNG |
|---|---|
| 1. Pilotierung und Bereitstellung von Microsoft Defender XDR-Diensten | Beginnen Sie mit der Pilotierung von Microsoft Defender XDR-Diensten, damit Sie ihre Features und Funktionen auswerten können, bevor Sie die Bereitstellung in Ihrer Organisation abschließen. |
| 2. Planen Sie Ihre Bereitstellung | Planen Sie dann Ihre vollständige SIEM- und XDR-Bereitstellung, einschließlich der XDR-Dienste und des Arbeitsbereichs für Microsoft Sentinel. |
| 3. Einrichten von XDR-Tools und Entwerfen Ihres Arbeitsbereichs | Stellen Sie in dieser Phase die XDR-Dienste bereit, die Sie in Ihrer Gesamten Umgebung verwenden möchten, stellen Sie Microsoft Sentinel und andere Dienste bereit, um Ihre SIEM- und XDR-Lösung zu unterstützen. Wenn Sie beabsichtigen, über das Azure-Portal zu arbeiten, überspringen Sie den Schritt, um Microsoft Sentinel mit dem Microsoft Defender-Portal zu verbinden. Dieser Schritt ist nur relevant, wenn Sie das Microsoft Sentinel Defender-Portal verwenden möchten und nicht relevant ist, wenn Sie auf Vorfälle im Azure-Portal reagieren möchten. |
| 4. Reagieren auf Vorfälle | Reagieren Sie schließlich auf Vorfälle, je nachdem, ob Sie in das Defender-Portal integriert sind: - Reagieren auf einen Vorfall aus dem Defender-Portal - Reagieren auf einen Vorfall aus dem Azure-Portal |
Verwandte Inhalte
Weitere Informationen finden Sie unter Zero Trust Security mit Microsoft Sentinel und Defender XDR und verwandten Inhalten für Ihr Portal:
Weitere Informationen zum Anwenden von Zero Trust-Prinzipien in Microsoft 365 finden Sie unter:
- Zero Trust-Bereitstellungsplan mit Microsoft 365
- Bereitstellen Ihrer Identitätsinfrastruktur für Microsoft 365-
- Konfigurationen für Zero Trust-Identitäts- und Gerätezugriffe
- Verwalten von Geräten mit Microsoft Intune
- Verwalten von Datenprivatsphäre und Datenschutz mit Microsoft Priva und Microsoft Purview
- Integrieren von SaaS-Apps für Zero Trust in Microsoft 365