שתף באמצעות

פריסה עבור פעולות אבטחה מאוחדות

פורטל Microsoft Defender מספק פעולות אבטחה מאוחדות עם Microsoft Defender XDR, Microsoft Sentinel ושירותים אחרים. שירותי פורטל Defender מספקים תצוגה מקיפה של תציבת האבטחה של הארגון שלך, עוזרים לך לזהות, לחקור ולהגיב לאיומים ברחבי הארגון.

ניהול חשיפה לפגיעויות אבטחה ב-Microsoft האיומים של Microsoft זמינים בכל סביבה העומדת בדרישות המוקדמות, למשתמשים שתצורתם נקבעה עם ההרשאות הנדרשות.

דרישות מוקדמות

פריסת Microsoft Defender XDR שלך

Microsoft Defender XDR מאחד תגובה לתקריות על-ידי שילוב יכולות עיקריות בשירותים שונים, כולל Microsoft Defender עבור נקודת קצה, Microsoft Defender עבור Office 365, יישומי ענן של Microsoft Defender, Microsoft Defender עבור זהות. חוויה מאוחדת זו מוסיפה תכונות רבות-עוצמה שניתן לגשת Microsoft Defender הפורטל.

  1. Microsoft Defender XDR מופעלת באופן אוטומטי כאשר לקוחות זכאים בעלי ההרשאות הנדרשות מבקרים Microsoft Defender הפורטל. לקבלת מידע נוסף, ראה הפעלת Microsoft Defender XDR.

  2. המשך על-ידי פריסת Microsoft Defender XDR שלך. אנו ממליצים להשתמש בסדר הבא:

    1. פרוס Microsoft Defender עבור זהות.

    2. פרוס Microsoft Defender עבור Office 365.

    3. פרוס Microsoft Defender עבור נקודת קצה. הוסף ניהול פגיעויות של Microsoft Defender ו/או ניטור ארגוני עבור מכשירי IoT, בהתאם לסביבה שלך.

    4. פרוס יישומי ענן של Microsoft Defender.

קביעת תצורה של הגנה למזהה Microsoft Entra

Microsoft Defender XDR לכלול אותות מ- הגנה למזהה Microsoft Entra, אשר מעריך נתוני סיכונים ממיליארדי נסיונות כניסה ומעריכה את הסיכון של כל כניסה לסביבה שלך. הגנה למזהה Microsoft Entra הנתונים משמשים את מזהה Microsoft Entra כדי לאפשר או למנוע גישת חשבון, בהתאם לאופן שבו נקבעה תצורה של מדיניות גישה מותנית.

קבע הגנה למזהה Microsoft Entra כדי לשפר את תציבת האבטחה שלך ולהוסיף אותות Microsoft Entra לפעולות האבטחה המאוחדות שלך. לקבלת מידע נוסף, ראה קביעת התצורה של הגנה למזהה Microsoft Entra המדיניות.

פריסת Microsoft Defender עבור ענן

Microsoft Defender עבור Cloud מספקת חוויית ניהול אבטחה מאוחדת עבור משאבי הענן שלך, והיא יכולה גם לשלוח אותות Microsoft Defender XDR. לדוגמה, ייתכן שתרצה להתחיל על-ידי חיבור מנויי Azure שלך ל- Microsoft Defender for Cloud ולאחר מכן מעבר לסביבות ענן אחרות.

לקבלת מידע נוסף, ראה חיבור מנויי Azure שלך.

קלוט כדי Microsoft Security Copilot

קלוט את Microsoft Security Copilot כדי לשפר את פעולות האבטחה שלך על-ידי מינוף יכולות מתקדמות של בינה מלאכותית. Security Copilot מסייעים בזיהוי איומים, בחקירה ובתגובה, ומספקים תובנות והמלצות המאפשרות פעולה כדי לעזור לך להתעדכן באיומים פוטנציאליים. השתמש Security Copilot כדי להפוך משימות שגרתיות לאוטומטיות, לצמצם את הזמן כדי לזהות אירועים ולהגיב לתקריות ולשפר את היעילות הכוללת של צוות האבטחה שלך.

לקבלת מידע נוסף, ראה תחילת העבודה עם Security Copilot.

תכנן את סביבת העבודה שלך וקלוט אותה Microsoft Sentinel

השלב הראשון בשימוש ב- Microsoft Sentinel הוא ליצור סביבת עבודה של ניתוח יומן רישום, אם עדיין אין לך סביבת עבודה. סביבת עבודה יחידה של ניתוח יומן רישום עשויה להספיק עבור סביבות רבות, אך ארגונים רבים יוצרים סביבות עבודה מרובות כדי למטב את העלויות ולעמוד בדרישות עסקיות שונות. פורטל Defender תומך בסביבת עבודה ראשית ובסביבות עבודה משניות מרובות.

  1. צור קבוצת משאבי אבטחה למטרות פיקוח, המאפשרת לך לבודד Microsoft Sentinel משאבים וגישה מבוססת תפקיד לאוסף.
  2. צור סביבת עבודה של ניתוח יומן רישום בקבוצת משאבי האבטחה והכנס Microsoft Sentinel אליה.

לקבלת מידע נוסף, ראה קליטת Microsoft Sentinel וסביבותMicrosoft Sentinel עבודה מרובות בפורטל Defender.

קביעת תצורה של תפקידים והרשאות

הקצה את המשתמשים שלך בהתבסס על תוכנית הגישה שהכנת מוקדם יותר. כדי לציית לעקרונות אפס אמון, מומלץ להשתמש בפקד גישה מבוסס תפקיד (RBAC) כדי לספק גישת משתמשים רק למשאבים המותרים הרלוונטיים לכל משתמש, במקום לספק גישה לסביבה כולה.

ההרשאה המינימלית הנדרשת עבור אנליסט להצגת Microsoft Sentinel היא להקצות הרשאות עבור התפקיד Azure RBAC Sentinel Reader. הרשאות אלה מוחלות גם על הפורטל המאוחד. ללא הרשאות אלה, תפריט Microsoft Sentinel של ה- Microsoft Defender אינו זמין בפורטל המאוחד, למרות שלאנליסט יש גישה לפורטל Microsoft Defender.

מומלץ להקצות את כל המשאבים הקשורים Microsoft Sentinel של Azure לאותה קבוצת משאבים של Azure, ולאחר מכן להקצות הרשאות תפקיד Microsoft Sentinel (כגון התפקיד 'קורא Sentinel') ברמת קבוצת המשאבים המכילה את סביבת העבודה Microsoft Sentinel של Microsoft Sentinel. על-ידי ביצוע פעולה זו, הקצאת התפקיד חלה על כל המשאבים התומכים Microsoft Sentinel.

לקבלת מידע נוסף, ראה:

צירוף לפורטל Defender

בעת קליטת Microsoft Sentinel לפורטל Defender, אתה מאחד יכולות באמצעות Microsoft Defender XDR כגון ניהול מקרים ובייד מתקדם לפעולות אבטחה מאוחדות. לקבלת מידע נוסף, ראה חיבור Microsoft Sentinel כדי Microsoft Defender.

כוונון תצורות מערכת

השתמש באפשרויות Microsoft Sentinel התצורה הבאות כדי לכוונן את הפריסה:

הפיכת תקינות וביקורת לזמינות

נטר את התקינות ובצע ביקורת על תקינות Microsoft Sentinel המשאבים הנתמכים על-ידי הפעלת תכונת הניטור של הביקורת והתקינות בדף Microsoft Sentinel הגדרות המערכת. קבל תובנות לגבי סחף בריאותי, כגון אירועי הכשל האחרונים או שינויים מהצלחה למצבי כשל, ובפעולות לא מורשות, והשתמש במידע זה כדי ליצור הודעות ופעולות אוטומטיות אחרות.

לקבלת מידע נוסף, ראההפעלת ניטור ביקורת ותקינות עבור Microsoft Sentinel.

קביעת תצורה Microsoft Sentinel תוכן

בהתבסס על מקורות הנתונים שבחרת בעת תכנון הפריסה, התקן את הפתרונות Microsoft Sentinel והגדר את מחברי הנתונים שלך. Microsoft Sentinel מספק מגוון רחב של פתרונות ומחברי נתונים מוכללים, אך ניתן גם לבנות מחברים מותאמים אישית ולהגדיר מחברים לצורך אחסון יומני CEF או Syslog.

לקבלת מידע נוסף, ראה:

הפוך ניתוח התנהגות של משתמשים וישויות לזמין (UEBA)

לאחר הגדרת מחברי נתונים ב- Microsoft Sentinel, הקפד לאפשר ניתוח התנהגות של ישות משתמש לזיהוי התנהגות חשודה שעלולה להוביל לניצול לרעה של דיוג ובסופו של דבר לתקיפות כגון תוכנת כופר. לקבלת מידע נוסף, ראה הפיכת UEBA לזמין Microsoft Sentinel.

הגדרת שמירת נתונים אינטראקטיבית לטווח ארוך

הגדר שמירת נתונים אינטראקטיבית לטווח ארוך כדי לוודא שהארגון שלך שומר את הנתונים החשובים בטווח הארוך. לקבלת מידע נוסף, ראה קביעת תצורה של שמירת נתונים אינטראקטיבית לטווח ארוך.

הפוך כללי ניתוח לזמינים

כללי ניתוח Microsoft Sentinel לך להתריע על אירועים באמצעות קבוצת תנאים שאתה מחשיב כחשובים. ההחלטות הנכונות Microsoft Sentinel מבוססות על ניתוח התנהגותי של ישות משתמש (UEBA) ועל מיתאם של נתונים בין מקורות נתונים מרובים. בעת הפעלת כללים אנליטיים עבור Microsoft Sentinel, קבע סדרי עדיפויות להפיכת פריטים ל מופעלים על-ידי מקורות נתונים מחוברים, סיכון ארגוני וטקטיקת MITRE.

לקבלת מידע נוסף, ראה זיהוי איומים ב- Microsoft Sentinel.

סקור כללי חריגה

Microsoft Sentinel חריגה זמינים מחוץ לתיבה וזמינים כברירת מחדל. כללי חריגה מבוססים על מודלים של למידת מכונה ו- UEBA המתרגלים לנתונים בסביבת העבודה שלך כדי לסמן התנהגות חריגה בין משתמשים, מארחים ואחרים. סקור את כללי הסטייה ואת סף הניקוד הסטייה עבור כל אחד מהם. אם אתה צופה בתוצאה חיובית מוטעית לדוגמה, שקול לשכפל את הכלל ולשנות את הסף.

לקבלת מידע נוסף, ראה עבודה עם כללי ניתוח זיהוי חריגות.

השתמש בכלל האנליטי של Microsoft Threat Intelligence

הפוך את כלל הניתוח של Microsoft Threat Intelligence לזמין וודא שכלל זה תואם את נתוני יומן הרישום שלך לבינת איומים שנוצרה על-ידי Microsoft. ל- Microsoft יש מאגר עצום של נתוני בינה מפני איומים, וכלל אנליטי זה משתמש בקבוצות משנה שלו כדי ליצור התראות ותקריות באיכות גבוהה עבור צוותי SOC (מרכזי פעולות אבטחה) כדי לקבוע סדר עדיפויות.

הימנעות משימוש באירועים כפולים

לאחר חיבור Microsoft Sentinel ל- Microsoft Defender, נוצר באופן אוטומטי סינכרון דו-Microsoft Defender XDR בין Microsoft Sentinel בין האירועים. כדי למנוע יצירת אירועים כפולים עבור אותן התראות, מומלץ לבטל את כל כללי יצירת האירועים של Microsoft עבור מוצרים משולבים ב- Microsoft Defender XDR, כולל Defender for Endpoint, Defender for Identity, Defender עבור Office 365, יישומי ענן של Defender, ו- הגנה למזהה Microsoft Entra.

לקבלת מידע נוסף, ראה יצירת אירועים של Microsoft .

ניהול מדרכה של MITRE ATT&CK

כאשר כללים אנליטיים של היתוך, סטייה ובינה של איומים מופעלים, בצע מעבר חציה של MITRE Att&ck כדי לעזור לך להחליט אילו כללים אנליטיים נותרים להפעיל ולסיים את ההטמעה של תהליך XDR למבוגרים (זיהוי ותגובה מורחבים). פעולה זו מאפשרת לך לזהות ולהגיב לאורך מחזור החיים של התקפה.

לקבלת מידע נוסף, ראה הבנת כיסוי האבטחה.

  • Last updated on