Huomautus
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tässä artikkelissa kuvataan, miten voit suunnitella yhtenäisen suojaustoiminnon käyttöönoton Microsoft Defender portaalissa. Yhtenäistä suojaustoimintoja, joiden avulla voit vähentää riskejä, estää hyökkäyksiä, havaita ja häiritä kyberuhkia reaaliajassa ja reagoida nopeammin tekoälyn parantamien suojausominaisuuksien avulla, kaikki Microsoft Defender portaalista.
Käyttöönoton suunnitteleminen
Defender-portaali yhdistää palvelut, kuten Microsoft Defender XDR, Microsoft Sentinel, Microsoft-suojauksen altistumishallinta ja Microsoft Security Copilot yhtenäiseen suojaukseen toiminta.
Ensimmäinen vaihe käyttöönoton suunnittelussa on valita palvelut, joita haluat käyttää.
Edellytyksenä on, että tarvitset sekä Microsoft Defender XDR että Microsoft Sentinel, jotta voit valvoa ja suojata sekä Microsoftin palveluita että muita kuin Microsoftin palveluita ja ratkaisuja, mukaan lukien sekä pilviresurssit että paikalliset resurssit.
Ota käyttöön jokin seuraavista palveluista, jotta voit lisätä suojausta päätepisteisiin, käyttäjätietoihin, sähköpostiin ja sovelluksiin, jotta voit tarjota integroidun suojauksen kehittyneitä hyökkäyksiä vastaan.
Microsoft Defender XDR palveluita ovat seuraavat:
| Palvelu | Kuvaus |
|---|---|
| Microsoft Defender for Office 365 | Suojaa sähköpostiviestien, URL-linkkien ja Office 365 yhteiskäyttötyökalujen aiheuttamilta uhilta. |
| Microsoft Defender for Identity | Tunnistaa, havaitsee ja tutkii sekä paikallinen Active Directory että pilvipalvelun käyttäjätietojen, kuten Microsoft Entra ID, uhkia. |
| Microsoft Defender for Endpoint | Valvoo ja suojaa päätepistelaitteita, havaitsee ja tutkii laitemurtoja ja vastaa automaattisesti tietoturvauhkiin. |
| Microsoft Defender IoT:lle | Tarjoaa sekä IoT-laitteiden etsinnän että suojausarvon IoT-laitteille. |
| Microsoft Defenderin haavoittuvuuksien hallinta | Tunnistaa resurssit ja ohjelmistovaraston ja arvioi laitteen tilan tietoturvaheikkouksien löytämiseksi. |
| Microsoft Defender for Cloud Apps | Suojaa SaaS-pilvisovellusten käyttöoikeuksia ja hallitsee niiden käyttöä. |
Muita Microsoft Defender portaalissa tuettuja palveluja, joihin ei ole Microsoft Defender XDR käyttöoikeutta, ovat seuraavat:
| Palvelu | Kuvaus |
|---|---|
| Microsoft-suojauksen altistumishallinta | Tarjoaa yhtenäisen näkymän yrityksen resurssien ja kuormitusten suojausasenteista ja resurssitietojen täydentämisestä suojauskontekstin avulla. |
| Microsoft Security Copilot | Tarjoaa tekoälypohjaisia merkityksellisiä tietoja ja suosituksia tietoturvatoimintojesi parantamiseksi. |
| Microsoft Defender for Cloud | Suojaa monipilvi- ja hybridiympäristöjä kehittyneellä uhkien tunnistamisella ja reagoinnilla. |
| Microsoft Defender Threat Intelligence | Virtaviivaistaa uhkatietotyönkulkuja koostamalla ja täydentämällä kriittisiä tietolähteitä korreloimaan kompromissien (IOC) indikaattorit toisiinsa liittyvien artikkelien, toimijaprofiilien ja haavoittuvuuksien kanssa. |
| Microsoft Entra ID -tunnuksien suojaus | Arvioi riskitiedot kirjautumisyrityksistä kunkin ympäristöön kirjautumisen riskin arvioimiseksi. |
| Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta | Korreloi eri signaaleja tunnistaakseen mahdollisia haitallisia tai tahattomia insider-riskejä, kuten IP-varkautta, tietovuotoja ja tietoturvarikkomuksia. |
Tarkista palvelun edellytykset
Ennen kuin otat Microsoft Defender palveluita käyttöön yhtenäisissä suojaustoiminnoissa, tarkista edellytykset kullekin palvelulle, jota aiot käyttää. Seuraavassa taulukossa on lueteltu palvelut ja linkit, jos haluat lisätietoja:
| Suojauspalvelu | Ennakkovaatimukset |
|---|---|
| Pakollinen yhtenäisille suojaustoiminnoille | |
| Microsoft Defender XDR | Microsoft Defender XDR edellytykset |
| Microsoft Sentinel | Microsoft Sentinel käyttöönoton edellytykset |
| Valinnaiset Microsoft Defender XDR palvelut | |
| Officen Microsoft Defender | Microsoft Defender XDR edellytykset |
| Microsoft Defender for Identity | Microsoft Defender for Identity edellytykset |
| Microsoft Defender for Endpoint | Käyttöönoton Microsoft Defender for Endpoint määrittäminen |
| Yritysvalvonta ja Microsoft Defender IoT:lle | IoT:n defenderin edellytykset Defender-portaalissa |
| Microsoft Defenderin haavoittuvuuksien hallinta | Microsoft Defenderin haavoittuvuuksien hallinta käyttöoikeuden & edellytykset |
| Microsoft Defender for Cloud Apps | Microsoft Defender for Cloud Appsin käytön aloittaminen |
| Muut Microsoft Defender portaalissa tuetut palvelut | |
| Microsoft-suojauksen altistumishallinta | Edellytykset ja tuki |
| Microsoft Security Copilot | Vähimmäisvaatimukset |
| Microsoft Defender for Cloud | Aloita monipilvisuojauksen ja muiden artikkeleiden suunnittelu samassa osiossa. |
| Microsoft Defender Threat Intelligence | Defender Threat Intelligencen edellytykset |
| Microsoft Entra ID -tunnuksien suojaus | Microsoft Entra ID -tunnuksien suojaus edellytykset |
| Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta | Sisäisten käyttäjien riskin hallinnan käytön aloittaminen |
Tietoturva- ja tietosuojakäytäntöjen tarkistaminen
Ennen kuin otat Microsoft Defender palveluita käyttöön yhtenäisissä suojaustoiminnoissa, varmista, että ymmärrät jokaisen palvelun tietoturva- ja tietosuojakäytännöt. Seuraavassa taulukossa on lueteltu palvelut ja linkit, jos haluat lisätietoja. Huomaa, että useat palvelut käyttävät tietojen suojaus- ja säilytyskäytäntöjä Microsoft Defender XDR sen sijaan, että niillä olisi omat erilliset käytäntönsä.
Log Analytics -työtilaarkkitehtuurin suunnitteleminen
Jotta voit aloittaa yhtenäiset suojaustoiminnot Microsoft Sentinel avulla Defender-portaalissa, tarvitset ensin Log Analytics -työtilan, joka on käytössä Microsoft Sentinel. Yksittäinen Log Analytics -työtila saattaa riittää moniin ympäristöihin, mutta monet organisaatiot luovat useita työtiloja kustannusten optimoimiseksi ja erilaisten liiketoimintavaatimusten täyttämiseksi.
Suunnittele Log Analytics -työtila, jonka haluat ottaa käyttöön Microsoft Sentinel. Harkitse parametreja, kuten tietojen keräämisen ja tallennuksen yhteensopivuusvaatimuksia sekä sitä, miten voit hallita Microsoft Sentinel tietojen käyttöä.
Lisätietoja on seuraavissa artikkeleissa:
Suunnitelman Microsoft Sentinel kustannukset ja tietolähteet
Defender-portaali voi suoraan käsitellä ensimmäisen osapuolen Microsoft-palveluiden tietoja, kuten Microsoft Defender for Cloud Apps ja Microsoft Defender Cloudille. Suosittelemme laajentamaan kattaveesi ympäristösi muihin tietolähteisiin lisäämällä Microsoft Sentinel tietoyhdistimiä.
Tietolähteiden määrittäminen
Määritä kaikki tietolähteet, joista käytät tietoja, sekä tietojen kokovaatimukset, joiden avulla voit projisoida käyttöönoton budjetin ja aikajanan tarkasti. Voit määrittää nämä tiedot yrityksen käyttötapauksen tarkistuksen aikana tai arvioimalla nykyisen SIEM:n, joka sinulla jo on käytössäsi. Jos sinulla on jo SIEM käytössä, analysoi tiedot, jotta ymmärrät, mitkä tietolähteet tuottavat eniten arvoa, ja ne tulee käsitellä Microsoft Sentinel.
Saatat esimerkiksi haluta käyttää mitä tahansa seuraavista suositelluista tietolähteistä:
Azure-palvelut: Jos jokin seuraavista palveluista otetaan käyttöön Azuressa, lähetä näiden resurssien diagnostiikkalokit Microsoft Sentinel seuraavien liittimien avulla:
- Azure-palomuuri
- Azure Application Gateway
- Keyvault
- Azuren Kubernetes-palvelu
- Azure SQL
- Verkon käyttöoikeusryhmät
- Azure-Arc-palvelimet
Suosittelemme, että määrität Azure Policyn niin, että sen lokit on välitettävä pohjana olevaan Log Analytics -työtilaan. Lisätietoja on artikkelissa Diagnostiikka-asetusten luominen mittakaavassa Azure-käytännön avulla.
Näennäiskoneet: Käytä seuraavia tietoliittimiä näennäiskoneissa, joita isännöidään paikallisesti tai muissa pilvipalveluissa, joiden lokit on kerättävä:
- Windowsin suojaus tapahtumia AMA:n avulla
- Tapahtumat Defender for Endpointin kautta (palvelimelle)
- Syslog
Verkon näennäislaitteet / paikalliset lähteet: Käytä seuraavia tietoliittimiä verkon näennäislaitteille tai muille paikallisille lähteille, jotka luovat yleisiä tapahtumamuotoja (CEF) tai SYSLOG-lokeja:
- Syslog AMA:n kautta
- Yleinen tapahtumamuoto (CEF) AMA:n kautta
Lisätietoja on kohdassa Tietoyhdistimien priorisointi.
Suunnittele budjettisi
Suunnittele Microsoft Sentinel budjettisi ottaen huomioon kunkin suunnitellun skenaarion kustannusvaikutukset. Varmista, että budjettisi kattaa tietojen käsittelykustannukset sekä Microsoft Sentinel että Azure Log Analyticsille, käyttöönotettaville pelikirjoille ja niin edelleen. Lisätietoja on seuraavissa artikkeleissa:
- Kirjaa säilytyssuunnitelmat Microsoft Sentinel
- Suunnittele kustannukset ja tutustu Microsoft Sentinel hinnoitteluun ja laskutukseen
Tutustu Microsoftin suojausportaaleihin ja hallintakeskuksiin
Vaikka Microsoft Defender portaali on koti, jossa voit valvoa ja hallita suojausta käyttäjätiedoissa, tiedoissa, laitteissa ja sovelluksissa, sinun on käytettävä eri portaaleja tietyissä erityistehtävissä.
Microsoftin suojausportaaleja ovat muun muassa seuraavat:
| Portaalin nimi | Kuvaus | Linkki |
|---|---|---|
| Microsoft Defender -portaali | Valvo uhkien toimintaa ja vastaa niihin sekä vahvista suojausasentoja käyttäjätiedoissa, sähköpostissa, tiedoissa, päätepisteissä ja sovelluksissa, joissa on Microsoft Defender XDR |
security.microsoft.com Microsoft Defender portaalissa voit tarkastella ja hallita ilmoituksia, tapauksia, asetuksia ja paljon muuta. |
| Defender for Cloud -portaali | Microsoft Defender pilvipalvelun avulla voit vahvistaa palvelinkeskusten suojausasentoasi ja hybridikuormituksiasi pilvipalvelussa | portal.azure.com/#blade/Microsoft_Azure_Security |
| Microsoftin suojaustiedustelu portaali | Hanki tietoturvatietopäivityksiä Microsoft Defender for Endpoint varten, lähetä näytteitä ja tutki uhkien tietosanakirjaa | microsoft.com/wdsi |
Seuraavassa taulukossa kuvataan muiden tietoturvaan vaikuttavien kuormitusten portaalit. Näissä portaaleissa voit hallita käyttäjätietoja, käyttöoikeuksia, laiteasetuksia ja tietojen käsittelykäytäntöjä.
| Portaalin nimi | Kuvaus | Linkki |
|---|---|---|
| Microsoft Entra -hallintakeskus | Käytä ja hallitse Microsoft Entra perhettäsi, jotta voit suojata yritystäsi hajautetulla käyttäjätiedolla, käyttäjätietojen suojauksella, hallinnalla ja niin edelleen monipilviympäristössä | entra.microsoft.com |
| Azure-portaali | Kaikkien Azure-resurssien tarkasteleminen ja hallinta | portal.azure.com |
| Microsoft Purview -portaali | Hallitse tietojen käsittelykäytäntöjä ja varmista säädösten noudattaminen | purview.microsoft.com |
| Microsoft 365 -hallintakeskus | Määritä Microsoft 365 -palvelut; hallitse Rooleja, käyttöoikeuksia ja seuraa Microsoft 365 -palvelusi päivityksiä | admin.microsoft.com |
| Microsoft Intune hallintakeskus | Microsoft Intune avulla voit hallita ja suojata laitteita. Voi myös yhdistää Intune- ja Configuration Manager ominaisuuksia. | intune.microsoft.com |
| Microsoft Intune portaali | Microsoft Intune avulla voit ottaa käyttöön laitekäytäntöjä ja valvoa laitteita vaatimustenmukaisuuden varmistamiseksi | intune.microsoft.com |
Roolien ja käyttöoikeuksien suunnittelu
Microsoft Defender portaali yhdistää seuraavat roolipohjaiset käytönvalvontamallit yhtenäisiä suojaustoimintoja varten:
- Microsoft Entra ID RBAC,jota käytetään Defenderin käyttöoikeuden, kuten laiteryhmien, delegoinnissa
- Azure RBAC, jota Microsoft Sentinel käyttää käyttöoikeuksien delegoinnissa
- Defender unified RBAC, käytetään delegoimaan käyttöoikeuksia kaikissa Defender-ratkaisuissa
Vaikka Azure RBAC:n kautta Microsoft Sentinel myönnetyt käyttöoikeudet liitetään suorituksen aikana Defenderin yhtenäisellä RBAC:llä, Azure RBAC:a ja Defender RBAC:tä hallitaan silti erikseen.
Defenderin yhdistettyä RBAC:tä ei tarvita, jotta työtilasi voidaan lisätä Defender-portaaliin, ja Microsoft Sentinel käyttöoikeudet toimivat odotetulla tavalla Defender-portaalissa myös ilman yhtenäistä RBAC:tä. Yhtenäisen RBAC:n käyttäminen yksinkertaistaa kuitenkin käyttöoikeuksien delegointia Defender-ratkaisuissa. Lisätietoja on kohdassa Aktivoi Microsoft Defender XDR Yhdistetty roolipohjainen käyttöoikeuksien hallinta (RBAC).
Analyytikon vähimmäisoikeus Microsoft Sentinel tietojen tarkastelemiseen on delegoida Azure RBAC Sentinel Reader -roolin käyttöoikeuksia. Näitä käyttöoikeuksia käytetään myös yhdistetyssä portaalissa. Ilman näitä käyttöoikeuksia Microsoft Sentinel siirtymisvalikko ei ole käytettävissä yhdistetyssä portaalissa, vaikka analyytikolla on Microsoft Defender portaalin käyttöoikeus.
Paras käytäntö on saada kaikki Microsoft Sentinel liittyvät resurssit samaan Azure-resurssiryhmään ja delegoida sitten Microsoft Sentinel roolioikeudet (kuten Sentinel Lukija-rooli) resurssiryhmätasolla, joka sisältää Microsoft Sentinel työtilan. Näin roolimääritys koskee kaikkia resursseja, jotka tukevat Microsoft Sentinel.
Seuraavissa palveluissa voit käyttää käytettävissä olevia rooleja tai luoda mukautettuja rooleja, jotta voit hallita tarkasti, mitä käyttäjät voivat nähdä ja tehdä. Lisätietoja on seuraavissa artikkeleissa:
Lisätietoja on seuraavissa artikkeleissa:
- Microsoft Sentinel roolien ja käyttöoikeuksien suunnittelu
- Azuren sisäiset roolit
- Microsoft Sentinel roolit
- Perehdyttämisen edellytykset
- Yhtenäisen RBAC:n hallinta Microsoft Defender (videoesittely)
Suunnittele Zero Trust -suojausmalli toimintoja
Defender-portaalin yhtenäiset suojaustoiminnot ovat osa Microsoftin Zero Trust -suojausmalli suojausmallia, joka sisältää seuraavat periaatteet:
| Turvallisuusperiaate | Kuvaus |
|---|---|
| Vahvista eksplisiittisesti | Todenna ja valtuuta aina kaikkien käytettävissä olevien arvopisteiden perusteella. |
| Käytä pienintä käyttöoikeutta | Rajoita käyttäjien käyttöoikeuksia Just-In-Timen ja Just-Enough-Accessin (JIT/JEA), riskipohjaisten mukautuvien käytäntöjen ja tietosuojan avulla. |
| Oleta murto | Pienennä räjähdyssäde ja segmentin käyttö. Tarkista päästä päähän -salaus ja käytä analytiikkaa näkyvyyden saamiseksi, uhkien tunnistamisen edistämiseksi ja puolustuksen parantamiseksi. |
Zero Trust -suojausmalli suojaus on suunniteltu suojaamaan nykyaikaisia digitaalisia ympäristöjä hyödyntämällä verkon segmentointia, estämällä sivuttaista liikkumista, tarjoamalla vähiten etuoikeutettu käyttöoikeus ja käyttämällä edistynyttä analytiikkaa uhkien havaitsemiseen ja niihin vastaamiseen.
Lisätietoja Zero Trust -suojausmalli periaatteiden toteuttamisesta Defender-portaalissa on seuraavien palveluiden sisällön Zero Trust -suojausmalli:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
- Microsoft Defender for Endpoint
- Microsoft Defender for Cloud Apps
- Microsoft-suojauksen altistumishallinta
- Microsoft Defender for Cloud
- Microsoft Security Copilot
- Microsoft Entra ID -tunnuksien suojaus
- Microsoft Purview
Lisätietoja on Zero Trust -suojausmalli-ohjekeskuksessa.