A Microsoft 365 Defender kiértékelése és próba

Érintett szolgáltatás:

  • Microsoft 365 Defender

A cikksorozat működése

Ez a cikksorozat végigvezeti Önt egy teljes körű próba-XDR-környezet beállításának folyamatán, így kiértékelheti a Microsoft 365 Defender funkcióit és képességeit, és akár közvetlenül az éles környezetbe is előléptetheti a kiértékelési környezetet, amikor és ha készen áll.

Ha még csak most ismerkedik az XDR-sel, tekintse át ezeket a 7 hivatkozott cikket, hogy képet kapjon arról, mennyire átfogó a megoldás.

Microsoft 365 Defender egy Microsoft XDR kiberbiztonsági megoldás

Microsoft 365 Defender egy eXtended detection and response (XDR) megoldás, amely automatikusan gyűjti, korrelálja és elemzi a jelek, fenyegetések és riasztások adatait a Microsoft 365-környezetből, beleértve a végpontokat, az e-maileket, az alkalmazásokat és az identitásokat. Mesterséges intelligencia (AI) és automatizálás használatával automatikusan leállítja a támadásokat, és biztonságos állapotba javítja az érintett eszközöket.

Az XDR a biztonság következő lépése, a végpont egységesítése (végpontészlelés és válasz vagy EDR), az e-mail, az alkalmazás és az identitásbiztonság egy helyen.

Microsoft-javaslatok a Microsoft 365 Defender értékeléséhez

A Microsoft azt javasolja, hogy hozza létre az értékelést egy meglévő éles Office 365-előfizetésben. Így azonnal valós elemzéseket kaphat, és a beállításokat finomhangolhatja a környezet aktuális fenyegetései ellen. Miután tapasztalatot szerzett, és már jól ismeri a platformot, egyszerűen előléptetheti az egyes összetevőket egyenként az éles környezetbe.

A kiberbiztonsági támadás anatómiája

Microsoft 365 Defender egy felhőalapú, egységesített, incidens előtti és utáni vállalati védelmi csomag. Koordinálja a megelőzést, az észlelést, a vizsgálatot és a választ a végpontok, identitások, alkalmazások, e-mailek, együttműködésen alapuló alkalmazások és az összes adatuk között.

Ebben az ábrán egy támadás van folyamatban. Az adathalász e-mailek a szervezet egy alkalmazottjának Beérkezett üzenetek mappájába érkeznek, aki tudtán kívül megnyitja az e-mail mellékletét. Ez telepíti a kártevőket, ami olyan eseményláncot eredményez, amely a bizalmas adatok ellopásához vezethet. De ebben az esetben Office 365-höz készült Defender működik.

A különböző támadási kísérletek

Az ábrán:

  • Exchange Online Védelmi szolgáltatás, amely a Office 365-höz készült Microsoft Defender része, képes észlelni az adathalász e-maileket, és e-mail-forgalomra vonatkozó szabályokat (más néven átviteli szabályokat) használva biztosíthatja, hogy soha ne érkezik meg a Beérkezett üzenetek mappába.
  • Office 365-höz készült Defender a Biztonságos mellékletek funkcióval teszteli a mellékletet, és megállapítja, hogy az káros, így a beérkező e-mailek nem műveletet hajtanak végre a felhasználó számára, vagy a házirendek megakadályozzák, hogy az e-mailek egyáltalán megérkezzenek.
  • A Defender for Endpoint felügyeli a vállalati hálózathoz csatlakozó eszközöket, és észleli az egyéb módon kihasználható eszköz- és hálózati biztonsági réseket.
  • A Defender for Identity figyelembe veszi a fiókok hirtelen változásait, például a jogosultságok eszkalálását vagy a nagy kockázatú oldalirányú mozgást. Emellett a biztonsági csapat által kijavított, könnyen kihasználható identitásproblémákról, például a nem korlátozott Kerberos-delegálásról is beszámol.
  • Microsoft Defender for Cloud Apps rendellenes viselkedést észlel, például lehetetlen utazást, hitelesítőadat-hozzáférést, szokatlan letöltési, fájlmegosztási vagy levéltovábbítási tevékenységeket, és jelenti ezeket a biztonsági csapatnak.

Microsoft 365 Defender összetevők védik az eszközöket, az identitást, az adatokat és az alkalmazásokat

Microsoft 365 Defender ezekből a biztonsági technológiákból áll, amelyek párhuzamosan működnek. Az XDR és a Microsoft 365 Defender képességeinek kihasználásához nincs szükség ezekre az összetevőkre. Egy vagy két használatával nyereséget és hatékonyságot is megvalósíthat.

Összetevő Leírás Referenciaanyag
Microsoft Defender for Identity Microsoft Defender for Identity Active Directory-jelek használatával azonosítja, észleli és kivizsgálja a szervezetre irányuló speciális fenyegetéseket, feltört identitásokat és rosszindulatú belső műveleteket. Mi a Microsoft Defender for Identity?
Exchange Online Védelmi szolgáltatás Exchange Online Védelmi szolgáltatás egy natív felhőalapú SMTP-továbbítási és -szűrőszolgáltatás, amely segít megvédeni a szervezetet a levélszeméttől és a kártevőktől. Exchange Online Védelmi szolgáltatás (EOP) áttekintése – Office 365
Office 365-höz készült Microsoft Defender Office 365-höz készült Microsoft Defender megvédi a szervezetet az e-mailek, hivatkozások (URL-címek) és együttműködési eszközök által okozott rosszindulatú fenyegetésektől. Office 365-höz készült Microsoft Defender – Office 365
Végponthoz készült Microsoft Defender Végponthoz készült Microsoft Defender egy egységes platform az eszközvédelemhez, a biztonsági incidensek észleléséhez, az automatizált vizsgálathoz és az ajánlott válaszokhoz. Végponthoz készült Microsoft Defender – Windows-biztonság
Microsoft Defender for Cloud Apps Microsoft Defender for Cloud Apps egy átfogó, SaaS-alapú megoldás, amely mélyreható átláthatóságot, erős adatvezérlést és fokozott fenyegetésvédelmet biztosít a felhőalkalmazások számára. Mi az a Defender for Cloud Apps?
Azure AD Identity Protection Azure AD Identity Protection több milliárd bejelentkezési kísérlet kockázati adatait értékeli ki, és ezekkel az adatokkal értékeli ki a környezetbe való bejelentkezések kockázatát. Ezeket az adatokat a Azure AD a fiókhozzáférés engedélyezésére vagy megakadályozására használja, a feltételes hozzáférési szabályzatok konfigurálásának módjától függően. Azure AD Identity Protection licencelés a Microsoft 365 Defender külön történik. A Prémium P2 szintű Azure Active Directory tartalmazza. Mi az az Identity Protection?

Microsoft 365 Defender architektúra

Az alábbi ábrán a fő Microsoft 365 Defender összetevők és integrációk magas szintű architektúrája látható. Az egyes Defender-összetevők részletes architektúráját és használatieset-forgatókönyveit ez a cikksorozat ismerteti.

A Microsoft 365 Defender portál magas szintű architektúrája

Ebben az ábrán:

  • Microsoft 365 Defender az összes Defender-összetevőtől származó jeleket kombinálva kiterjesztett észlelést és választ (XDR) biztosít a tartományok között. Ez magában foglalja az egységes incidenssort, a támadások leállítására adott automatizált választ, az önjavítást (a feltört eszközök, a felhasználói identitások és a postaládák esetében), a veszélyforrás-keresést és a fenyegetéselemzést.
  • Office 365-höz készült Microsoft Defender megvédi a szervezetet az e-mailek, hivatkozások (URL-címek) és együttműködési eszközök által okozott rosszindulatú fenyegetésektől. Ezekből a tevékenységekből származó jeleket osztja meg Microsoft 365 Defender. Exchange Online Védelmi szolgáltatás (EOP) integrálva van, hogy teljes körű védelmet biztosítson a bejövő e-mailek és mellékletek számára.
  • Microsoft Defender for Identity jeleket gyűjt az Active Directory összevont szolgáltatásokat (AD FS) és helyi Active Directory Tartományi szolgáltatásokat (AD DS) futtató kiszolgálókról. Ezeket a jeleket használja a hibrid identitáskezelési környezet védelmére, beleértve a feltört fiókokat használó hackerek elleni védelmet a helyszíni környezetben található munkaállomások közötti oldalirányú mozgáshoz.
  • Végponthoz készült Microsoft Defender jeleket gyűjt a szervezet által használt eszközökről, és védi őket.
  • Microsoft Defender for Cloud Apps jeleket gyűjt a szervezet felhőalkalmazásaiból, és védi a környezet és az alkalmazások közötti adatáramlást, beleértve az engedélyezett és a nem engedélyezett felhőalkalmazásokat is.
  • Azure AD Identity Protection több milliárd bejelentkezési kísérlet kockázati adatait értékeli ki, és ezekkel az adatokkal értékeli ki a környezetbe való bejelentkezések kockázatát. Ezeket az adatokat a Azure AD a fiókhozzáférés engedélyezésére vagy megakadályozására használja, a feltételes hozzáférési szabályzatok konfigurálásának módjától függően. Azure AD Identity Protection licencelés a Microsoft 365 Defender külön történik. A Prémium P2 szintű Azure Active Directory tartalmazza.

A Microsoft SIEM és a SOAR a Microsoft 365 Defender

Az ábrán nem szereplő további választható architektúra-összetevők:

  • Az összes Microsoft 365 Defender összetevő részletes jeladatai integrálhatók a Microsoft Sentinelbe, és más naplózási forrásokkal kombinálva teljes körű SIEM- és SOAR-képességeket és elemzéseket kínálnak.
  • A Microsoft Sentinel Azure SIEM XDR-ként Microsoft 365 Defender használatával kapcsolatos további információért tekintse meg ezt az áttekintési cikket, valamint a Microsoft Sentinel és Microsoft 365 Defender integrációs lépéseit.
  • A Microsoft Sentinel SOAR-ról (beleértve a Microsoft Sentinel GitHub-adattárban található forgatókönyvekre mutató hivatkozásokat) olvassa el ezt a cikket.

A kiberbiztonság Microsoft 365 Defender kiértékelési folyamata

A Microsoft az alábbi sorrendben javasolja a Microsoft 365 összetevőinek engedélyezését:

Magas szintű kiértékelési folyamat a Microsoft 365 Defender portálon

Az alábbi táblázat ezt az ábrát ismerteti.

Sorozatszám Lépés Leírás
1 Értékelési környezet létrehozása Ez a lépés biztosítja, hogy rendelkezik a Microsoft 365 Defender próbaverziós licencével.
2 A Defender for Identity engedélyezése Tekintse át az architektúra követelményeit, engedélyezze a kiértékelést, és tekintse át a különböző támadástípusok azonosítására és elhárítására vonatkozó oktatóanyagokat.
3 Office 365-höz készült Defender engedélyezése Győződjön meg arról, hogy megfelel az architektúra követelményeinek, engedélyezi az értékelést, majd létrehozza a próbakörnyezetet. Ez az összetevő Exchange Online Védelmi szolgáltatás tartalmaz, így itt mindkettőt ténylegesen kiértékelheti.
4 A Végponthoz készült Defender engedélyezése Győződjön meg arról, hogy megfelel az architektúra követelményeinek, engedélyezi az értékelést, majd létrehozza a próbakörnyezetet.
5 Microsoft Defender for Cloud Apps engedélyezése Győződjön meg arról, hogy megfelel az architektúra követelményeinek, engedélyezi az értékelést, majd létrehozza a próbakörnyezetet.
6 Veszélyforrások vizsgálata és reagálás rájuk Támadás szimulálása és az incidensmegoldási képességek használatának megkezdése.
7 A próbaverzió előléptetése termelésre A Microsoft 365 összetevőit egyenként előléptetheti éles környezetbe.

Ez a sorrend általában ajánlott, és úgy lett kialakítva, hogy gyorsan kihasználja a képességek értékét annak alapján, hogy általában mekkora erőfeszítésre van szükség a képességek üzembe helyezéséhez és konfigurálásához. Például Office 365-höz készült Defender kevesebb idő alatt konfigurálható, mint amennyi ahhoz szükséges, hogy eszközöket regisztráljon a Defender for Endpointban. Természetesen fontossági sorrendbe kell rendeznie az összetevőket az üzleti igényeinek megfelelően, és ezeket más sorrendben is engedélyezheti.

Ugrás a következő lépésre

A Microsoft 365 Defender evaluation Environment ismertetése és/vagy létrehozása