הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
מאמר זה מתאר כיצד לתכנן את הפריסה עבור פעולות אבטחה מאוחדות בפורטל Microsoft Defender שלך. אחד פעולות אבטחה כדי לסייע לך להפחית את הסיכון, למנוע התקפות, לזהות איומי סייבר ולהפריע להם בזמן אמת, ולהגיב מהר יותר באמצעות יכולות אבטחה משופרות של בינה מלאכותית, הכל מפורטל Microsoft Defender.
תכנון הפריסה שלך
פורטל Defender משלב שירותים כגון Microsoft Defender XDR, Microsoft Sentinel, ניהול חשיפה לפגיעויות אבטחה ב-Microsoft ו- Microsoft Security Copilot לאבטחה מאוחדת פעולות.
השלב הראשון בתכנון הפריסה הוא בחירת השירותים שבהם ברצונך להשתמש.
כדרישות מוקדמות בסיסיות, תזדקק ל- Microsoft Defender XDR ול- Microsoft Sentinel כדי לנטר ולהגן הן על השירותים והן על הפתרונות של Microsoft, שאינם של Microsoft, כולל הן בענן והן במשאבים מקומיים.
פרוס כל אחד מהשירותים הבאים כדי להוסיף אבטחה בכל נקודות הקצה, הזהויות, הדואר האלקטרוני והיישומים שלך כדי לספק הגנה משולבת מפני תקיפות מתוחכמות.
Microsoft Defender XDR כוללים:
| שירות | תיאור |
|---|---|
| Microsoft Defender עבור Office 365 | הגנה מפני איומים הקיימים בהודעות דואר אלקטרוני, בקישורי כתובות URL Office 365 שיתוף פעולה. |
| Microsoft Defender עבור זהות | מזהה, מזהה ומחקור איומים הן Active Directory מקומי והן מזהויות ענן כגון מזהה Microsoft Entra. |
| Microsoft Defender עבור נקודת קצה | ניטור והגנה על מכשירי נקודת קצה, זיהוי וגילוי של הפרות מכשירים ותגובה אוטומטית לאיומי אבטחה. |
| Azure Defender עבור IoT | מספק גם גילוי מכשיר IoT וגם ערך אבטחה עבור מכשירי IoT. |
| ניהול פגיעויות של Microsoft Defender | מזהה נכסים ומלאי תוכנה ולהעריך את הצבת המכשיר לאיתור פגיעויות אבטחה. |
| Microsoft Defender עבור יישומי ענן | הגנה על הגישה לאפליקציות ענן SaaS ובקרה עליהן. |
שירותים אחרים הנתמכים בפורטל Microsoft Defender, אך אינם ברישיון עם Microsoft Defender XDR, כוללים:
| שירות | תיאור |
|---|---|
| ניהול חשיפה לפגיעויות אבטחה ב-Microsoft | מספק תצוגה מאוחדת של תציבת אבטחה בכל נכסי החברה ועמסי עבודה, ומעשיר מידע אודות נכסים עם הקשר אבטחה. |
| Microsoft Security Copilot | מספק תובנות והמלצות המבוססות על בינה מלאכותית כדי לשפר את פעולות האבטחה שלכם. |
| Microsoft Defender עבור ענן | מגן על סביבות מרובות ענן וסביבות היברידיות עם זיהוי ותגובה מתקדמים של איומים. |
| בינת איומים של Microsoft Defender | מייעל זרימות עבודה של בינת איומים על-ידי צבירה והעשרת מקורות נתונים קריטיים לתיאום מחווני סכנה (IOCs) עם מאמרים קשורים, פרופילי מעוררים ופגיעות. |
| הגנה למזהה Microsoft Entra | הערכת נתוני סיכונים מניסיונות כניסה להעריך את הסיכון של כל כניסה לסביבה שלך. |
| ניהול סיכונים פנימיים של Microsoft Purview | מתאם אותות שונים לזיהוי סיכונים פוטנציאליים של Insider זדוניים או לא מכוונת, כגון גניבת IP, דליפת נתונים והפרות אבטחה. |
סקירת דרישות מוקדמות של שירות
לפני שתפרוס Microsoft Defender עבור פעולות אבטחה מאוחדות, עיין בדרישות המוקדמות עבור כל שירות שבו בכוונתך להשתמש. הטבלה הבאה מפרטת את השירותים והקישורים לקבלת מידע נוסף:
| שירות אבטחה | דרישות מוקדמות |
|---|---|
| נדרש עבור פעולות אבטחה מאוחדות | |
| Microsoft Defender XDR | Microsoft Defender XDR מוקדמות |
| Microsoft Sentinel | דרישות מוקדמות לפריסת Microsoft Sentinel |
| שירותי Microsoft Defender XDR אופציונליים | |
| Microsoft Defender עבור Office | Microsoft Defender XDR מוקדמות |
| Microsoft Defender עבור זהות | Microsoft Defender עבור זהות מוקדמות |
| Microsoft Defender עבור נקודת קצה | הגדרת Microsoft Defender עבור נקודת קצה אישית |
| ניטור ארגוני עם Microsoft Defender עבור IoT | דרישות מוקדמות עבור Defender עבור IoT בפורטל Defender |
| ניהול פגיעויות של Microsoft Defender | דרישות מוקדמות & הרשאות ניהול פגיעויות של Microsoft Defender |
| Microsoft Defender עבור יישומי ענן | התחל לעבוד עם Microsoft Defender עבור יישומי ענן |
| שירותים אחרים הנתמכים בפורטל Microsoft Defender שלך | |
| ניהול חשיפה לפגיעויות אבטחה ב-Microsoft | דרישות מוקדמות ותמיכה |
| Microsoft Security Copilot | דרישות מינימליות |
| Microsoft Defender עבור ענן | התחל לתכנן הגנה מרובת עננים ומאמרים אחרים באותו סעיף. |
| בינת איומים של Microsoft Defender | דרישות מוקדמות עבור בינת איומים של Defender |
| הגנה למזהה Microsoft Entra | דרישות מוקדמות עבור הגנה למזהה Microsoft Entra |
| ניהול סיכונים פנימיים של Microsoft Purview | התחל לעבוד עם ניהול סיכונים פנימיים |
סקירת אבטחת נתונים ושיטות פרטיות
לפני שתפרוס Microsoft Defender עבור פעולות אבטחה מאוחדות, ודא שאתה מבין את נהלי אבטחת הנתונים והפרטיות עבור כל שירות שבו בכוונתך להשתמש. הטבלה הבאה מפרטת את השירותים והקישורים לקבלת מידע נוסף. שים לב כי כמה שירותים משתמשים בשיטות האבטחה והשמירה של Microsoft Defender XDR במקום בשיטות עבודה נפרדות משלהם.
תכנון ארכיטקטורת סביבת העבודה של 'ניתוח יומן רישום'
כדי להוסיף Microsoft Sentinel לפורטל Defender, תחילה עליך להפוך סביבת עבודה של ניתוח יומן רישום לזמינה עבור Microsoft Sentinel. סביבת עבודה יחידה של ניתוח יומן רישום עשויה להספיק עבור סביבות רבות, אך ארגונים רבים יוצרים סביבות עבודה מרובות כדי למטב את העלויות ולעמוד בדרישות עסקיות שונות.
עצב את סביבת העבודה של ניתוח יומן הרישום שברצונך להפוך לזמינה עבור Microsoft Sentinel. שקול פרמטרים כגון דרישות תאימות שיש לך עבור איסוף נתונים ואחסון וכיצד לשלוט בגישה Microsoft Sentinel הנתונים.
לקבלת מידע נוסף, ראה:
תכנון Microsoft Sentinel עלויות ומקורות נתונים
פורטל Defender יכול להוסיף במקור נתונים מתוך שירותי Microsoft של צד ראשון, כגון יישומי ענן של Microsoft Defender ו Microsoft Defender עבור ענן. אנו ממליצים להרחיב את הכיסוי שלך למקורות נתונים אחרים בסביבה שלך על-ידי Microsoft Sentinel מחברי נתונים.
קביעת מקורות הנתונים שלך
קבע את ערכת מקורות הנתונים המלאה שברצונך לתייק את הנתונים מתוכן ואת דרישות גודל הנתונים שיסייעו לך להקרין במדויק את התקציב וציר הזמן של הפריסה. ייתכן שתקבע מידע זה במהלך סקירת מקרה השימוש העסקי שלך, או על-ידי הערכת סיאם נוכחי שכבר קיים. אם כבר יש לך SIEM, נתח את הנתונים שלך כדי להבין אילו מקורות נתונים מספקים את הערך הרב ביותר ויש לכלול אותם Microsoft Sentinel.
לדוגמה, ייתכן שתרצה להשתמש בכל אחד ממקורות הנתונים המומלצים הבאים:
שירותי Azure: אם אחד מהשירותים הבאים נפרס ב- Azure, השתמש במחברים הבאים כדי לשלוח יומני אבחון של משאבים אלה Microsoft Sentinel:
- Azure Firewall
- Azure Application Gateway
- Keyvault
- Azure Kubernetes Service
- Azure SQL
- קבוצות אבטחת רשת
- Azure-Arc Servers
מומלץ להגדיר את מדיניות Azure כך שתדרוש כי היומנים שלהם יועברו לסביבת העבודה של ניתוח יומן הרישום המשמשת כברירת מחדל. לקבלת מידע נוסף, ראה יצירת הגדרות אבחון בקנה מידה רחב באמצעות מדיניות Azure.
מחשבים וירטואליים: עבור מחשבים וירטואליים המתארחים באופן מקומי או בעננים אחרים הדורשים איסוף של יומני הרישום שלהם, השתמש במחברי הנתונים הבאים:
- אבטחת Windows אירועים באמצעות AMA
- אירועים באמצעות Defender for Endpoint (עבור שרת)
- מנהל מערכת
מכשירים וירטואליים של רשת / מקורות מקומיים: עבור מכשירי חשמל וירטואליים של רשת או מקורות מקומיים אחרים אשר יוצרים את תבנית האירוע Common Event Format (CEF) או יומני SYSLOG, השתמש במחברי הנתונים הבאים:
- Syslog דרך AMA
- Common Event Format (CEF) via AMA
לקבלת מידע נוסף, ראה קביעת סדרי עדיפויות של מחברי נתונים.
תכנון התקציב שלך
תכנן Microsoft Sentinel התקציב שלך, בהתחשב בהשלכות עלות עבור כל תרחיש מתוכנן. ודא שהתקציב שלך מכסה את העלות של עיבוד נתונים עבור Microsoft Sentinel ו- Azure Log Analytics, כל ספרי ההשמעה ייפרסו וכן הלאה. לקבלת מידע נוסף, ראה:
הבנת פורטלי האבטחה ומרכזי הניהול של Microsoft
למרות שפורטל Microsoft Defender הוא הבית לניטור ולניהול של אבטחה בכל הזהויות, הנתונים, המכשירים והאפליקציות שלך, עליך לגשת לפורטלים שונים עבור משימות מיוחדות מסוימות.
פורטלי האבטחה של Microsoft כוללים:
| שם פורטל | תיאור | קישור |
|---|---|---|
| פורטל Microsoft Defender | נטר פעילות איומים והשב לה וחיזוק תנוחת האבטחה בכל הזהויות, הדואר האלקטרוני, הנתונים, נקודות הקצה והאפליקציות שלך באמצעות Microsoft Defender XDR |
security.microsoft.com פורטל Microsoft Defender הוא המקום שבו אתה להציג ולנהל התראות, אירועים, הגדרות ועוד. |
| פורטל Defender for Cloud | השתמש Microsoft Defender עבור ענן כדי לחזק את תציבת האבטחה של מרכזי הנתונים שלך ועומסי העבודה ההיברידיים שלך בענן | portal.azure.com/#blade/Microsoft_Azure_Security |
| בינת אבטחה של Microsoft הפורטל | קבל עדכוני בינת אבטחה עבור Microsoft Defender עבור נקודת קצה, שלח דוגמאות וחקור את אנציקלופדיית האיומים | microsoft.com/wdsi |
הטבלה הבאה מתארת פורטלים עבור עומסי עבודה אחרים שעלולים להשפיע על האבטחה שלך. בקר בפורטלים אלה כדי לנהל זהויות, הרשאות, הגדרות מכשירים ומדיניות טיפול בנתונים.
| שם פורטל | תיאור | קישור |
|---|---|---|
| מרכז הניהול של Microsoft Entra | גש אל Microsoft Entra המשפחה שלך כדי להגן על העסק שלך באמצעות זהות מבוזרת, הגנה על זהות, פיקוח ועוד, בסביבה מרובת עננים | entra.microsoft.com |
| פורטל Azure | הצג ונהל את כל משאבי Azure שלך | portal.azure.com |
| פורטל Microsoft Purview | ניהול מדיניות טיפול בנתונים והבטחת תאימות לתקנות | purview.microsoft.com |
| מרכז הניהול של Microsoft 365 | קביעת התצורה של שירותי Microsoft 365; ניהול תפקידים, רשיונות ומעקב אחר עדכונים עבור שירותי Microsoft 365 שלך | admin.microsoft.com |
| Microsoft Intune הניהול של Microsoft | השתמש Microsoft Intune כדי לנהל ולאבטח מכשירים. יכול גם לשלב Intune ו Configuration Manager יכולות. | intune.microsoft.com |
| Microsoft Intune הפורטל | שימוש Microsoft Intune לפריסת מדיניות מכשירים ולניטור מכשירים לתאימות | intune.microsoft.com |
תכנון תפקידים והרשאות
פורטל Microsoft Defender מאחד את המודלים הבאים של בקרת גישה מבוססת תפקידים (RBAC) עבור פעולות אבטחה מאוחדות:
- מזהה Microsoft Entra RBAC, המשמש להקצאת גישה ל- Defender, כגון קבוצות מכשירים
- Azure RBAC, המשמש את Microsoft Sentinel כדי להקצות הרשאות
- Defender unified RBAC, המשמש להצלת הרשאות בפתרונות Defender
למרות שהרשאות המוענקות באמצעות Azure RBAC עבור Microsoft Sentinel מאוחדות במהלך זמן ריצה עם RBAC המאוחד של Defender, Azure RBAC ו- Defender RBAC עדיין מנוהלים בנפרד.
ה- RBAC המאוחד של Defender אינו נדרש לקלוט את סביבת העבודה שלך בפורטל Defender, והרשאות Microsoft Sentinel ממשיכות לפעול כצפוי בפורטל Defender גם ללא RBAC מאוחד. עם זאת, השימוש ב- RBAC מאוחד מפשט את הקצאת ההרשאות בפתרונות Defender. לקבלת מידע נוסף, ראה הפעלת Microsoft Defender XDR גישה מבוססת תפקידים מאוחדת (RBAC).
ההרשאה המינימלית הנדרשת עבור אנליסט להצגת Microsoft Sentinel היא להקצות הרשאות עבור התפקיד Azure RBAC Sentinel Reader. הרשאות אלה מוחלות גם על הפורטל המאוחד. ללא הרשאות אלה, תפריט Microsoft Sentinel של ה- Microsoft Defender אינו זמין בפורטל המאוחד, למרות שלאנליסט יש גישה לפורטל Microsoft Defender.
מומלץ להקצות את כל המשאבים הקשורים Microsoft Sentinel של Azure לאותה קבוצת משאבים של Azure, ולאחר מכן להקצות הרשאות תפקיד Microsoft Sentinel (כגון התפקיד 'קורא Sentinel') ברמת קבוצת המשאבים המכילה את סביבת העבודה Microsoft Sentinel של Microsoft Sentinel. על-ידי ביצוע פעולה זו, הקצאת התפקיד חלה על כל המשאבים התומכים Microsoft Sentinel.
עבור השירותים הבאים, השתמש בתפקידים השונים הזמינים, או צור תפקידים מותאמים אישית, כדי להעניק לך שליטה מלאה על הפעולות שמשתמשים יכולים לראות ולבצע. לקבלת מידע נוסף, ראה:
לקבלת מידע נוסף, ראה:
- תכנן תפקידים והרשאות עבור Microsoft Sentinel
- תפקידים מוכללים של Azure
- Microsoft Sentinel תפקידים
- דרישות מוקדמות של צירוף
- ניהול RBAC מאוחד ב- Microsoft Defender (הדגמת וידאו)
תכנון פעילויות אפס אמון פעילויות
פעולות אבטחה מאוחדות בפורטל Defender מהוות חלק ממודל האבטחה אפס אמון של Microsoft, הכולל את העקרונות הבאים:
| עקרון אבטחה | תיאור |
|---|---|
| אמת באופן מפורש | תמיד בצע אימות ואשר בהתבסס על כל נקודות הנתונים הזמינות. |
| השתמש בגישה הכי פחות הרשאה | הגבל את גישת המשתמשים באמצעות Just-in-Time ו- Just-Enough-Access (JIT/JEA), מדיניות מסתגלת מבוססת סיכונים והגנת נתונים. |
| נניח שהפרה | מזעור רדיוס הפיצוץ וגישת המקטעים. אמת הצפנה מקצה לקצה והשתמש בכלי ניתוח כדי לקבל ניראות, לנהוג בזיהוי איומים ולשפר את ההגנות. |
אפס אמון אבטחה נועדה להגן על סביבות דיגיטליות מודרניות על-ידי מינוף פילוח רשת, מניעת תנועה רוחבית, מתן גישה פחות מיוחסת, ושימוש בניתוח מתקדם כדי לזהות ולהגיב לאיומים.
לקבלת מידע נוסף על אפס אמון עקרונות השימוש בפורטל Defender, ראה אפס אמון התוכן עבור השירותים הבאים:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender עבור זהות
- Microsoft Defender עבור Office 365
- Microsoft Defender עבור נקודת קצה
- Microsoft Defender עבור יישומי ענן
- ניהול חשיפה לפגיעויות אבטחה ב-Microsoft
- Microsoft Defender עבור ענן
- Microsoft Security Copilot
- הגנה למזהה Microsoft Entra
- Microsoft Purview
לקבלת מידע נוסף, עיין אפס אמון ההדרכה.