Jaa

Pilottikoe ja käyttöönotto Microsoft Defender XDR

  • Artikkeli

Koskee seuraavia:

  • Microsoft Defender XDR

Tämä artikkelisarja opastaa koko tuotantovuokraajan Microsoft Defender XDR osien pilotointiprosessin, jotta voit arvioida niiden ominaisuuksia ja ominaisuuksia sekä viimeistellä käyttöönoton koko organisaatiossasi.

EXtended detection and response (XDR) -ratkaisu on askel eteenpäin kyberturvallisuudessa, koska se ottaa uhkatiedot järjestelmistä, jotka olivat kerran eristettyjä ja yhdistävät niitä, jotta näet kuviot ja toimit epäillyillä kyberhyökkäyksillä nopeammin.

Microsoft Defender XDR:

  • On XDR-ratkaisu, joka yhdistää tiedot käyttäjätietojen, päätepisteiden, sähköpostin ja pilvisovellusten kyberhyökkäyksistä yhteen paikkaan. Se hyödyntää tekoälyä (AI) ja automaatiota pysäyttääkseen automaattisesti tietyntyyppiset hyökkäykset ja korjatakseen kyseiset resurssit turvalliseen tilaan.

  • On pilvipohjainen, yhtenäinen, ennen ja jälkeen murron yrityspuolustusohjelmisto. Se koordinoi ennaltaehkäisyä, havaitsemista, tutkimuksia ja vastauksia käyttäjätietojen, päätepisteiden, sähköpostin, pilvisovellusten ja niiden tietojen välillä.

  • Edistää vahvaa Zero Trust -suojausmalli arkkitehtuuria tarjoamalla uhkien suojausta ja havaitsemista. Se auttaa estämään tai vähentämään murron aiheuttamia liiketoimintavaurioita. Lisätietoja on Microsoft Zero Trust -suojausmalli käyttöönoton kehyksen kohdassa Uhkien suojauksen ja XDR-liiketoimintaskenaarion toteuttaminen.

Microsoft Defender XDR osat ja arkkitehtuuri

Tässä taulukossa on luettelo Microsoft Defender XDR osista.

Osa Kuvaus Lisätietoja
Microsoft Defender for Identity Käyttää paikallinen Active Directory toimialuepalvelut (AD DS) ja Active Directory -liittoutumispalvelut (AD FS) signaaleja tunnistaakseen, tunnistaakseen ja tutkiakseen kehittyneitä uhkia, vaarantuneita käyttäjätietoja ja haitallisia insider-toimintoja, jotka on suunnattu käyttäjän organisaatio. Mikä on Microsoft Defender for Identity?
Exchange Online Protection Alkuperäinen pilvipohjainen SMTP-rele- ja suodatuspalvelu, joka auttaa suojaamaan organisaatiotasi roskapostilta ja haittaohjelmilta. Exchange Online Protection (EOP) -yleiskatsaus – Office 365
Microsoft Defender for Office 365 Suojaa organisaatiosi sähköpostiviestien, linkkien (URL-osoitteet) ja yhteistyötyökalujen aiheuttamia haitallisia uhkia vastaan. Microsoft Defender for Office 365 – Office 365
Microsoft Defender for Endpoint Yhdistetty ympäristö laitesuojausta, murron jälkeistä tunnistusta, automaattista tutkintaa ja suositeltua vastausta varten. Microsoft Defender for Endpoint – Windowsin suojaus
Microsoft Defender for Cloud Apps Kattava SaaS-ratkaisu, joka tuo syvän näkyvyyden, vahvat tietotoiminnot ja parannetun uhkien suojauksen pilvisovelluksillesi. Mitä Defender for Cloud Apps on?
Microsoft Entra ID -tunnuksien suojaus Arvioi miljardien kirjautumisyritysten riskitiedot ja arvioi näiden tietojen avulla kunkin vuokraajaan kirjautumisen riskin. Microsoft Entra ID käyttää näitä tietoja tilin käytön sallimiseen tai estämiseen sen mukaan, miten ehdollisen käytön käytännöt on määritetty. Microsoft Entra ID -tunnuksien suojaus on erillinen Microsoft Defender XDR ja sisältyy Microsoft Entra ID P2 -käyttöoikeuksiin. Mikä on käyttäjätietojen suojaus?

Tässä kuvassa näytetään Microsoft Defender XDR osien arkkitehtuuri ja integrointi.

Kaavio, joka näyttää Microsoft Defender XDR korkean tason arkkitehtuurin.

Tässä kuvassa:

  • Microsoft Defender XDR yhdistää kaikkien Defenderin osien signaalit ja tarjoaa XDR:n toimialueiden välillä. Tämä sisältää yhtenäisen tapausjonon, automaattisen reagoinnin hyökkäysten pysäyttämiseksi, itsekorjautumisen (vaarantuneille laitteille, käyttäjätunnuksille ja postilaatikoille), uhkien metsästyksen ja uhkien analysoinnin.
  • Microsoft Defender for Office 365 suojaa organisaatiosi sähköpostiviestien, linkkien ja yhteistyötyökalujen aiheuttamia haitallisia uhkia vastaan. Se jakaa näiden toimien tuloksena syntyvät signaalit Microsoft Defender XDR kanssa. Exchange Online Protection (EOP) on integroitu tarjoamaan päästä päähän -suojaus saapuville sähköposteille ja liitteille.
  • Microsoft Defender for Identity kerää signaaleja AD DS -toimialueen ohjauskoneista ja palvelimista, jotka toimivat AD FS- ja AD CS -ohjaimissa. Se käyttää näitä signaaleja hybridi-identiteettiympäristön suojaamiseen, mukaan lukien suojautuminen hakkereilta, jotka käyttävät vaarantuneita tilejä siirtyäkseen sivuttain paikallisen ympäristön työasemien välillä.
  • Microsoft Defender for Endpoint kerää signaaleja organisaatiosi hallitsemista laitteista ja suojaa ne.
  • Microsoft Defender for Cloud Apps kerää signaaleja siitä, miten organisaatiosi käyttää pilvisovelluksia, ja suojaa IT-ympäristösi ja näiden sovellusten välillä virtaavia tietoja, mukaan lukien sekä pakotteiden kohteena olevat että hyväksymättömät pilvisovellukset.
  • Microsoft Entra ID -tunnuksien suojaus arvioi miljardien kirjautumisyritysten riskitiedot ja käyttää näitä tietoja kunkin vuokraajaan kirjautumisen riskin arvioimiseen. Microsoft Entra ID käyttää näitä tietoja tilin käytön sallimiseen tai estämiseen ehdollisten käyttöoikeuskäytäntöjen ehtojen ja rajoitusten perusteella. Microsoft Entra ID -tunnuksien suojaus on erillinen Microsoft Defender XDR ja sisältyy Microsoft Entra ID P2 -käyttöoikeuksiin.

Microsoft Defender XDR osat ja SIEM-integrointi

Voit integroida Microsoft Defender XDR komponentteja Microsoft Sentinel tai yleisten suojaustietojen ja tapahtumienhallintapalvelun (SIEM) kanssa, jotta yhdistettyjen sovellusten hälytyksiä ja toimintoja voidaan valvoa keskitetysti.

Kaavio, joka näyttää Microsoft Defender XDR integroinnin SIEM:n kanssa.

Microsoft Sentinel on pilvipohjainen ratkaisu, joka tarjoaa SIEM- ja suojauksen orkestrointi-, automaatio- ja vastaustoiminnot (SOAR). Yhdessä Microsoft Sentinel- ja Microsoft Defender XDR komponentit tarjoavat kattavan ratkaisun, jonka avulla organisaatiot voivat suojautua nykyaikaisilta hyökkäyksiltä.

Microsoft Sentinel sisältää Microsoft Defender osien liittimet. Näin voit paitsi saada näkyvyyttä pilvisovelluksiin myös saada kehittyneitä analyysejä kyberuhkia tunnistamalla ja torjumalla sekä hallitsemalla tietojesi kulkua. Lisätietoja on artikkelissa yleiskatsaus Microsoft Sentinel ja Microsoft Defender XDR Microsoft Defender XDR ja Microsoft Sentinel integroinninja integroinnin osavaiheista.

Lisätietoja SOAR in Microsoft Sentinel (mukaan lukien linkit Microsoft Sentinel GitHub -säilön pelikirjoihin) on artikkelissa Microsoft Sentinel Automaten uhkavastaus pelikirjoilla.

Lisätietoja integroinnista kolmannen osapuolen SIEM-järjestelmiin on kohdassa Yleinen SIEM-integrointi.

Microsoft Defender XDR ja esimerkki kyberturvallisuushyökkäyksestä

Tässä kaaviossa näytetään yleinen kyberhyökkäys ja Microsoft Defender XDR osat, jotka auttavat sen havaitsemisessa ja korjaamisessa.

Kaavio, joka näyttää kyberturvallisuushyökkäyksen eri yritykset.

Kyberhyökkäys alkaa tietojenkalastelusähköpostiviestillä, joka saapuu organisaatiosi työntekijän Saapuneet-kansioon, joka tietämättään avaa sähköpostiliitteen. Tämä liite asentaa haittaohjelmia, mikä voi johtaa hyökkäysketjuun, joka voi johtaa luottamuksellisten tietojen varkauteen.

Kuvassa:

  • Exchange Online Protection, joka on osa Microsoft Defender for Office 365, voi tunnistaa tietojenkalastelusähköpostin ja käyttää postinkulun sääntöjä (kutsutaan myös siirtosäännöiksi) varmistaakseen, ettei se koskaan saavu käyttäjän Saapuneet-kansioon.
  • Defender for Office 365 käyttää turvallisia liitteitä liitteen testaamiseen ja sen määrittämiseen, että se on haitallista, joten saapuva sähköposti ei ole käyttäjän käytettävissä, tai käytännöt estävät sähköpostiviestin saapumisen ollenkaan.
  • Defender for Endpoint havaitsee laitteen ja verkon haavoittuvuudet, joita muuten voitaisiin hyödyntää organisaatiosi hallitsemien laitteiden kohdalla.
  • Defender for Identity panee merkille äkilliset paikallisen käyttäjätilin muutokset, kuten oikeuksien eskaloinnin tai suuren riskin sivuliikkeen. Se raportoi myös helposti hyödynnetyistä käyttäjätieto-ongelmista, kuten rajoittamattomasta Kerberos-delegoinnista, tietoturvatiimisi korjattavaksi.
  • Microsoft Defender for Cloud Apps havaitsee poikkeavan toiminnan, kuten mahdottoman matkustamisen, tunnistetietojen käytön ja epätavallisen lataamisen, tiedostojen jakamisen tai sähköpostin edelleenlähetystoiminnan ja raportoi niistä suojaustiimillesi.

Microsoft Defender XDR pilotti- ja käyttöönottoprosessi

Microsoft suosittelee, että Microsoft 365 Defenderin osat otetaan käyttöön seuraavassa järjestyksessä.

Kaavio, joka näyttää Microsoft Defender XDR pilotti- ja käyttöönottoprosessin.

Vaihe Linkki
A. Käynnistä pilotti Käynnistä pilotti
B. Microsoft Defender XDR osien pilottikoe ja käyttöönotto - Defender for Identityn pilottikoe ja käyttöönotto

- Defender for Office 365 pilottikoe ja käyttöönotto

- Defender for Endpointin pilottikoe ja käyttöönotto

- Microsoft Defender for Cloud Apps pilottikoe ja käyttöönotto
C. Tutki uhkia ja reagoi niihin Tapausten tutkinnan ja reagointikäytännön harjoittaminen

Tämä järjestys on suunniteltu hyödyntämään ominaisuuksien arvoa nopeasti sen mukaan, kuinka paljon vaivaa ominaisuuksien käyttöönotto ja määrittäminen yleensä vaatii. Esimerkiksi Defender for Office 365 voidaan määrittää lyhyemmässä ajassa kuin mitä laitteiden rekisteröinti Defender for Endpointiin kestää. Priorisoi osat liiketoimintasi tarpeiden mukaan.

Käynnistä pilotti

Microsoft suosittelee käynnistämään pilottikokeilun olemassa olevassa Microsoft 365 -tuotantotilauksessasi, jotta saat heti reaalimaailman merkityksellisiä tietoja, ja voit hienosäätää asetuksia, joilla voit suojautua nykyisiin uhkiin Microsoft 365 -vuokraajassasi. Kun olet saanut kokemusta ja olet tutustunut käyttöympäristöön, laajenna jokaisen komponentin käyttö yksi kerrallaan täyteen käyttöönottoon.

Voit myös määrittää Microsoft Defender XDR kokeiluympäristön. Tämä ympäristö ei kuitenkaan näytä mitään todellisia kyberturvallisuustietoja, kuten uhkia tai hyökkäyksiä tuotantoasi Microsoft 365 -vuokraajaasi vastaan pilottikokeilun aikana, etkä voi siirtää suojausasetuksia tästä ympäristöstä tuotantovuokraajaan.

Microsoft 365 E5 kokeiluversion käyttöoikeuksien käyttäminen

Jos sinulla ei ole Microsoft 365 E5 ja haluat hyötyä kokeiluversion Microsoft 365 E5 käyttöoikeuksista pilottikokeilulle:

  1. Kirjaudu sisään aiemmin luotuun Microsoft 365 -vuokraajan hallintaportaaliin.

  2. Valitse siirtymisvalikosta Osta palveluita .

  3. Valitse Office 365 osiossa Tiedot kohdassa Office 365 E5 käyttöoikeus.

    Näyttökuva Microsoft Defender portaalin Tiedot-painikkeesta.

  4. Valitse Aloita ilmainen kokeilu.

    Näyttökuva aloita maksuton kokeilu -painikkeesta Microsoft Defender portaalissa.

  5. Vahvista pyyntösi ja valitse Kokeile nyt.

    Näyttökuva kokeile nyt -painikkeesta Microsoft Defender portaalissa.

Jos käytät Microsoft 365 E5 kokeiluversion käyttöoikeuksia olemassa olevassa tuotantovuokraajassasi, voit säilyttää suojausasetukset ja -menetelmät kokeilujakson päätyttyä ja ostat vastaavat käyttöoikeudet.

Seuraavat vaiheet

Kaavio, joka näyttää pilottikokeilun Microsoft Defender for Identity ja käyttöönottoprosessin Microsoft Defender XDR.

Katso Pilotti ja ota käyttöön Microsoft Defender for Identity.

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.