Teljes felügyelet üzembehelyezési terv Microsoft 365-ös verzióval
Ez a cikk az Microsoft 365-ös biztonsági Teljes felügyelet kiépítésére vonatkozó üzembe helyezési tervet tartalmaz. Teljes felügyelet egy új biztonsági modell, amely biztonsági incidenst feltételez, és minden kérést ellenőriz, mintha ellenőrizetlen hálózatból származna. Függetlenül attól, hogy honnan származik a kérés, vagy milyen erőforráshoz fér hozzá, a Teljes felügyelet modell arra tanít, hogy "soha ne bízzunk meg, mindig ellenőrizzük".
Használja ezt a cikket ezzel a poszterrel együtt.
Teljes felügyelet biztonsági architektúra
A Teljes felügyelet megközelítés az egész digitális tulajdonra kiterjed, és integrált biztonsági filozófiaként és végpontok közötti stratégiaként szolgál.
Ez az ábra azokat az elsődleges elemeket mutatja be, amelyek hozzájárulnak a Teljes felügyelet.
Az ábrán:
- A biztonsági szabályzatok betartatása egy Teljes felügyelet architektúra középpontjában áll. Ez magában foglalja a feltételes hozzáféréssel rendelkező Többtényezős hitelesítést, amely figyelembe veszi a felhasználói fiókok kockázatát, az eszköz állapotát, valamint az Ön által beállított egyéb feltételeket és szabályzatokat.
- Az identitások, az eszközök, az adatok, az alkalmazások, a hálózat és az infrastruktúra egyéb összetevői mind megfelelő biztonsággal vannak konfigurálva. Az egyes összetevőkhöz konfigurált szabályzatok a teljes Teljes felügyelet stratégiával vannak összehangolva. Az eszközszabályzatok például meghatározzák az kifogástalan eszközökre vonatkozó feltételeket, a feltételes hozzáférési szabályzatok pedig kifogástalan állapotú eszközöket igényelnek adott alkalmazásokhoz és adatokhoz való hozzáféréshez.
- A veszélyforrások elleni védelem és az intelligencia figyeli a környezetet, felfedi az aktuális kockázatokat, és automatizált lépéseket tesz a támadások elhárításához.
A Teljes felügyelet kapcsolatos további információkért lásd: Microsoft Teljes felügyelet Útmutató központ.
Teljes felügyelet üzembe helyezése a Microsoft 365-höz
Microsoft 365 szándékosan, számos biztonsági és információvédelmi funkcióval rendelkezik, amelyekkel Teljes felügyelet építhet a környezetébe. Számos képesség kiterjeszthető a szervezet által használt más SaaS-alkalmazásokhoz és az ezeken az alkalmazásokban lévő adatokhoz való hozzáférés védelmére.
Ez az ábra a Teljes felügyelet képességek üzembe helyezésének munkáját mutatja be. Ez a munka olyan munkaegységekbe van bontva, amelyek együtt konfigurálhatók, alulról kezdve és felülről haladva biztosítják az előfeltételként szükséges munka befejezését.
Ebben az ábrán:
- Teljes felügyelet az identitás- és eszközvédelem alapjaival kezdődik.
- A veszélyforrások elleni védelem ezen alaprendszerre épül, és valós idejű monitorozást és a biztonsági fenyegetések elhárítását biztosítja.
- Az információvédelem és a szabályozás kifinomult, meghatározott típusú adatokat célzó vezérlőket biztosít a legértékesebb információk védelme és a megfelelőségi szabványoknak való megfelelés érdekében, beleértve a személyes adatok védelmét is.
Ez a cikk feltételezi, hogy már konfigurálta a felhőbeli identitást. Ha útmutatásra van szüksége ehhez a célhoz, olvassa el az Identitásinfrastruktúra üzembe helyezése Microsoft 365-höz című témakört.
1. lépés: Teljes felügyelet identitás- és eszközhozzáférés-védelem konfigurálása – kezdőszabályzatok
Az első lépés a Teljes felügyelet alaprendszer létrehozása az identitás- és eszközhozzáférés-védelem konfigurálásával.
Ehhez az Teljes felügyelet identitás- és eszközhozzáférés-védelem című cikkben talál részletes útmutatást. Ez a cikksorozat az identitás- és eszközhozzáférés előfeltételeinek konfigurációit, valamint az Azure Active Directory (Azure AD) feltételes hozzáférés, Microsoft Intune és egyéb szabályzatok készletét ismerteti a Microsoft 365 vállalati felhőalkalmazásokhoz és -szolgáltatásokhoz, más SaaS-szolgáltatásokhoz és a következővel közzétett helyszíni alkalmazásokhoz való biztonságos hozzáférés érdekében: Azure AD alkalmazásproxy.
| Tartalmazza | Előfeltételek | Nem tartalmazza a következőket: |
|---|---|---|
Ajánlott identitás- és eszközhozzáférés-szabályzatok három védelmi szinthez:
További javaslatok a következőhöz:
|
E3 vagy E5 Microsoft Az Azure Active Directory az alábbi módok bármelyikében használható:
|
Felügyelt eszközöket igénylő szabályzatok eszközregisztrációja. Lásd: 2. lépés. Végpontok kezelése Intune eszközök regisztrálásához |
Első lépésként implementálja a kezdőpontszintet. Ezekhez a szabályzatokhoz nincs szükség eszközök felügyeletre való regisztrálására.
2. lépés: Végpontok kezelése a Intune
Ezután regisztrálja az eszközöket a felügyeletre, és kezdje el ezeket a kifinomultabb vezérlőkkel védeni.
Ehhez az Eszközök kezelése Intune című cikkben talál részletes útmutatást.
| Tartalmazza | Előfeltételek | Nem tartalmazza a következőket: |
|---|---|---|
Eszközök regisztrálása Intune:
Szabályzatok konfigurálása:
|
Végpontok regisztrálása a Azure AD | Információvédelmi képességek konfigurálása, beleértve a következőket:
Ezekről a képességekről az 5. lépésben olvashat. Bizalmas adatok védelme és szabályozása (a cikk későbbi részében). |
3. lépés: Teljes felügyelet identitás- és eszközhozzáférés-védelem hozzáadása – Vállalati szabályzatok
A felügyeletre regisztrált eszközökkel mostantól teljes körűen implementálhatja az ajánlott Teljes felügyelet identitás- és eszközhozzáférési szabályzatokat, amelyek megfelelő eszközöket igényelnek.
Térjen vissza a Közös identitás- és eszközhozzáférés-szabályzatokhoz , és adja hozzá a szabályzatokat a Vállalati szinten.
4. lépés: A Microsoft 365 Defender kiértékelése, próbaüzeme és üzembe helyezése
Microsoft 365 Defender egy kiterjesztett észlelési és reagálási (XDR) megoldás, amely automatikusan gyűjti, korrelálja és elemzi a Microsoft 365-környezet jel-, fenyegetés- és riasztási adatait, beleértve a végpontokat, az e-maileket, az alkalmazásokat és az identitásokat.
A Microsoft 365 Defender-összetevők kipróbálásához és üzembe helyezéséhez a Kiértékelési és kísérleti Microsoft 365 Defender című témakörben talál módszertani útmutatót.
| Tartalmazza | Előfeltételek | Nem tartalmazza a következőket: |
|---|---|---|
Állítsa be az értékelési és próbakörnyezetet az összes összetevőhöz:
Veszélyforrások elleni védelem Veszélyforrások vizsgálata és reagálás rájuk |
Az útmutatóból megtudhatja, hogy a Microsoft 365 Defender egyes összetevőinek architektúrakövetelményei hogyan követelményeket támasztanak. | Azure AD Identity Protection nem szerepel ebben a megoldási útmutatóban. Az 1. lépés tartalmazza. Konfigurálja Teljes felügyelet identitás- és eszközhozzáférés-védelmet. |
5. lépés: Bizalmas adatok védelme és szabályozása
Implementáljon Microsoft Purview információvédelem, amely segít a bizalmas információk felderítésében, besorolásában és védelmében bárhol is él vagy utazik.
Microsoft Purview információvédelem funkciók Microsoft Purview részét képezik, és olyan eszközöket biztosítanak, amelyekkel megismerheti adatait, megvédheti adatait, és megakadályozhatja az adatvesztést.
Bár ez a munka a cikk korábbi részében bemutatott üzembehelyezési verem tetején jelenik meg, bármikor megkezdheti ezt a munkát.
Microsoft Purview információvédelem olyan keretrendszert, folyamatot és képességeket biztosít, amelyeket az adott üzleti célok eléréséhez használhat.
Az információvédelem megtervezésével és üzembe helyezésével kapcsolatos további információkért lásd: Microsoft Purview információvédelem-megoldás üzembe helyezése.
Ha adatvédelmi szabályzatok alapján helyez üzembe adatvédelmet, ez a megoldási útmutató egy ajánlott keretrendszert biztosít a teljes folyamathoz: Adatvédelem üzembe helyezése adatvédelmi szabályozásokhoz a Microsoft 365-ben.