A Microsoft 365 Defender kiértékelése és próba
Érintett szolgáltatás:
- Microsoft 365 Defender
A cikksorozat működése
Ez a cikksorozat úgy lett kialakítva, hogy végigvezessen egy teljes körű próba-XDR-környezet beállításának folyamatán, hogy kiértékelhesse a Microsoft 365 Defender funkcióit és képességeit, és akár közvetlenül az éles környezetbe is előléptethesse, amikor és ha készen áll rá.
Ha még csak most ismerkedik az XDR-sel, tekintse át ezeket a 7 hivatkozott cikket, amelyekből megtudhatja, mennyire átfogó a megoldás.
- A környezet létrehozása
- A Microsoft XDR egyes technológiáinak beállítása vagy megismerése
- Az XDR vizsgálatának és megválaszolásának menete
- A próbakörnyezet előléptetése éles környezetbe
Microsoft 365 Defender egy Microsoft XDR kiberbiztonsági megoldás
Microsoft 365 Defender egy EX-alapú észlelési és reagálási (XDR) megoldás, amely automatikusan gyűjti, korrelálja és elemzi a jelek, fenyegetések és riasztások adatait a Microsoft 365-környezetből, beleértve a végpontokat, az e-maileket, az alkalmazásokat és az identitásokat. A mesterséges intelligencia (AI) és az automatizálás segítségével automatikusan leállítja a támadásokat, és biztonságos állapotba javítja az érintett eszközöket.
Az XDR a következő lépés a biztonság, a végpont egységesítése (végpontészlelés és válasz vagy EDR), az e-mail, az alkalmazás és az identitásbiztonság egy helyen.
A Microsoft javaslatai a Microsoft 365 Defender értékeléséhez
A Microsoft azt javasolja, hogy hozza létre a kiértékelését egy meglévő éles Office 365-előfizetésben. Így azonnal valós elemzéseket kaphat, és a beállításokat hangolhatja a környezet aktuális fenyegetései ellen. Miután tapasztalatot szerzett, és jól ismeri a platformot, egyszerűen előléptetheti az egyes összetevőket egyenként az éles környezetbe.
A kiberbiztonsági támadás anatómiája
Microsoft 365 Defender egy felhőalapú, egységesített, incidens előtti és utáni vállalati védelmi csomag. Koordinálja a megelőzést, az észlelést, a vizsgálatot és a választ a végpontok, identitások, alkalmazások, e-mailek, együttműködési alkalmazások és az összes adat között.
Ebben az ábrán egy támadás zajlik. Az adathalász e-mailek a szervezet egy alkalmazottjának Beérkezett üzenetek mappájába érkeznek, aki tudatlanul megnyitja az e-mail-mellékletet. Ez kártevőket telepít, amelyek olyan eseményláncot eredményeznek, amely a bizalmas adatok ellopásához vezethet. De ebben az esetben Office 365-höz készült Defender működik.
Az ábrán:
- Exchange Online Védelmi szolgáltatás, amely a Office 365-höz készült Microsoft Defender része, képes észlelni az adathalász e-maileket, és e-mail-forgalmi szabályokkal (más néven átviteli szabályokkal) biztosíthatja, hogy soha ne érkezik meg a Beérkezett üzenetek mappába.
- Office 365-höz készült Defender a Biztonságos mellékletek használatával teszteli a mellékletet, és megállapítja, hogy az ártalmas, így a beérkező e-mailek nem műveletet hajtanak végre a felhasználó számára, vagy a házirendek megakadályozzák, hogy az e-mailek egyáltalán megérkezzenek.
- A Végponthoz készült Defender felügyeli a vállalati hálózathoz csatlakozó eszközöket, és észleli az egyéb módon kihasználható eszköz- és hálózati biztonsági réseket.
- A Defender for Identity a fiókok hirtelen változásait, például a jogosultságok eszkalálását vagy a magas kockázatú oldalirányú mozgást veszi figyelembe. Emellett a biztonsági csapat által kijavított, könnyen kihasználható identitásproblémákról, például a nem korlátozott Kerberos-delegálásról is beszámol.
- Microsoft Defender for Cloud Apps észleli a rendellenes viselkedést, például a lehetetlen utazást, a hitelesítő adatokhoz való hozzáférést, a szokatlan letöltési, fájlmegosztási vagy levéltovábbítási tevékenységeket, és ezeket jelenti a biztonsági csapatnak.
Microsoft 365 Defender összetevők biztosítják az eszközöket, az identitásokat, az adatokat és az alkalmazásokat
Microsoft 365 Defender ezekből a biztonsági technológiákból áll, amelyek párhuzamosan működnek. Az XDR és a Microsoft 365 Defender képességeinek kihasználásához nincs szükség ezekre az összetevőkre. Egy vagy két használatával is nyereséget és hatékonyságot fog elérni.
| Összetevő | Leírás | Referenciaanyag |
|---|---|---|
| Microsoft Defender for Identity | Microsoft Defender for Identity Active Directory-jelek használatával azonosítja, észleli és vizsgálja meg a szervezetre irányuló speciális fenyegetéseket, feltört identitásokat és rosszindulatú belső műveleteket. | Mi a Microsoft Defender for Identity? |
| Exchange Online Védelmi szolgáltatás | Exchange Online Védelmi szolgáltatás egy natív felhőalapú SMTP-továbbító és -szűrő szolgáltatás, amely segít megvédeni a szervezetet a levélszemét és a kártevők ellen. | Exchange Online Védelmi szolgáltatás (EOP) áttekintése – Office 365 |
| Office 365-höz készült Microsoft Defender | Office 365-höz készült Microsoft Defender védi a szervezetet az e-mailek, hivatkozások (URL-címek) és együttműködési eszközök által okozott rosszindulatú fenyegetések ellen. | Office 365-höz készült Microsoft Defender – Office 365 |
| Végponthoz készült Microsoft Defender | Végponthoz készült Microsoft Defender egy egységes platform az eszközvédelemhez, a biztonsági incidensek észleléséhez, az automatizált vizsgálathoz és a javasolt reagáláshoz. | Végponthoz készült Microsoft Defender – Windows-biztonság |
| Microsoft Defender for Cloud Apps | Microsoft Defender for Cloud Apps egy átfogó, SaaS-alapú megoldás, amely részletes láthatóságot, erős adatvezérlést és fokozott fenyegetésvédelmet biztosít a felhőalkalmazások számára. | Mi az a Defender for Cloud Apps? |
| Azure AD Identity Protection | Azure AD Identity Protection több milliárd bejelentkezési kísérlet kockázati adatait értékeli ki, és ezeket az adatokat felhasználva értékeli ki a környezetbe való bejelentkezések kockázatát. Ezeket az adatokat a Azure AD a feltételes hozzáférési szabályzatok konfigurálásának módjától függően a fiókhozzáférés engedélyezésére vagy megakadályozására használja. Azure AD Identity Protection licencelés a Microsoft 365 Defender külön történik. A Prémium P2 szintű Azure Active Directory része. | Mi az az Identity Protection? |
Microsoft 365 Defender architektúra
Az alábbi ábrán a legfontosabb Microsoft 365 Defender összetevők és integrációk magas szintű architektúrája látható. Az egyes Defender-összetevők részletes architektúráját és használatieset-forgatókönyveit ebben a cikksorozatban tekintjük át.
Ebben az ábrán:
- Microsoft 365 Defender az összes Defender-összetevőtől származó jeleket kombinálva kiterjesztett észlelést és választ (XDR) biztosít a tartományok között. Ez magában foglalja az egységes incidenssort, a támadások leállítására adott automatizált reagálást, az önjavítást (a feltört eszközök, felhasználói identitások és postaládák esetében), a veszélyforrás-keresést és a fenyegetéselemzést.
- Office 365-höz készült Microsoft Defender védi a szervezetet az e-mailek, hivatkozások (URL-címek) és együttműködési eszközök által okozott rosszindulatú fenyegetések ellen. Ezekből a tevékenységekből származó jeleket osztja meg Microsoft 365 Defender. Exchange Online Védelmi szolgáltatás (EOP) integrálva van, hogy teljes körű védelmet biztosítson a bejövő e-mailek és mellékletek számára.
- Microsoft Defender for Identity jeleket gyűjt az Active Directory összevont szolgáltatásokat (AD FS) és helyi Active Directory Tartományi szolgáltatásokat (AD DS) futtató kiszolgálókról. Ezeket a jeleket a hibrid identitáskezelési környezet védelmére használja, beleértve a feltört fiókokat használó hackerek elleni védelmet a helyszíni környezetben található munkaállomások közötti oldalirányú mozgáshoz.
- Végponthoz készült Microsoft Defender jeleket gyűjt a szervezet által használt eszközökről, és védelmet nyújt.
- Microsoft Defender for Cloud Apps jeleket gyűjt a szervezet felhőalkalmazásaiból, és védi a környezet és az alkalmazások közötti adatáramlást, beleértve az engedélyezett és a nem engedélyezett felhőalkalmazásokat is.
- Azure AD Identity Protection több milliárd bejelentkezési kísérlet kockázati adatait értékeli ki, és ezeket az adatokat felhasználva értékeli ki a környezetbe való bejelentkezések kockázatát. Ezeket az adatokat a Azure AD a feltételes hozzáférési szabályzatok konfigurálásának módjától függően a fiókhozzáférés engedélyezésére vagy megakadályozására használja. Azure AD Identity Protection licencelés a Microsoft 365 Defender külön történik. A Prémium P2 szintű Azure Active Directory része.
A Microsoft SIEM és a SOAR a Microsoft 365 Defender
Az ábrán nem szereplő további választható architektúra-összetevők:
- Az összes Microsoft 365 Defender összetevő részletes jeladatai integrálhatók a Microsoft Sentinelbe, és kombinálhatók más naplózási forrásokkal, így teljes körű SIEM- és SOAR-képességeket és megállapításokat kínálnak.
- A Microsoft Sentinel, az Microsoft 365 Defender XDR-ként Microsoft 365 Defender Azure SIEM használatával kapcsolatos további információkért tekintse meg ezt az Áttekintés cikket, valamint a Microsoft Sentinel és Microsoft 365 Defender integrációs lépéseit.
- A SoAR-ról a Microsoft Sentinelben (beleértve a Microsoft Sentinel GitHub-adattárban található forgatókönyvekre mutató hivatkozásokat) további információért olvassa el ezt a cikket.
A kiberbiztonság Microsoft 365 Defender kiértékelési folyamata
A Microsoft az alábbi sorrendben javasolja a Microsoft 365 összetevőinek engedélyezését:
Az alábbi táblázat ezt az ábrát ismerteti.
| Sorozatszám | Lépés | Leírás |
|---|---|---|
| 1 | Értékelési környezet létrehozása | Ez a lépés biztosítja, hogy rendelkezik a Microsoft 365 Defender próbaverziós licencével. |
| 2 | A Defender for Identity engedélyezése | Tekintse át az architektúra követelményeit, engedélyezze a kiértékelést, és tekintse át a különböző támadástípusok azonosítására és elhárítására vonatkozó oktatóanyagokat. |
| 3 | Office 365-höz készült Defender engedélyezése | Győződjön meg arról, hogy megfelel az architektúrakövetelményeknek, engedélyezi az értékelést, majd létrehozza a próbakörnyezetet. Ez az összetevő Exchange Online Védelmi szolgáltatás tartalmaz, így itt mindkettőt ténylegesen kiértékelheti. |
| 4 | Végponthoz készült Defender engedélyezése | Győződjön meg arról, hogy megfelel az architektúrakövetelményeknek, engedélyezi az értékelést, majd létrehozza a próbakörnyezetet. |
| 5 | Microsoft Defender for Cloud Apps engedélyezése | Győződjön meg arról, hogy megfelel az architektúrakövetelményeknek, engedélyezi az értékelést, majd létrehozza a próbakörnyezetet. |
| 6 | Veszélyforrások vizsgálata és reagálás rájuk | Szimuláljon egy támadást, és kezdje el használni az incidensmegoldási képességeket. |
| 7 | A próbaverzió előléptetése termelésre | A Microsoft 365 összetevőit egyenként előléptetheti éles környezetbe. |
Ez a sorrend általában ajánlott, és úgy van kialakítva, hogy gyorsan kihasználja a képességek értékét attól függően, hogy általában mekkora erőfeszítésre van szükség a képességek üzembe helyezéséhez és konfigurálásához. Például Office 365-höz készült Defender kevesebb idő alatt konfigurálható, mint az eszközök regisztrálása a Végponthoz készült Defenderben. Természetesen fontossági sorrendbe kell rendeznie az összetevőket az üzleti igényeknek megfelelően, és ezeket különböző sorrendben engedélyezheti.
Ugrás a következő lépésre
A Microsoft 365 Defender-kiértékelési környezet megismerése és/vagy létrehozása