Megosztás a következőn keresztül:


A Microsoft Sentinel és a Microsoft Defender XDR implementálása Teljes felügyelet

Ez a megoldási útmutató végigvezeti a Microsoft kiterjesztett észlelési és válaszeszközök (XDR) beállításának folyamatát a Microsoft Sentinellel együtt, hogy felgyorsítsa a szervezet kiberbiztonsági támadásokra való reagálását és elhárítását.

A Microsoft Defender XDR egy XDR-megoldás, amely automatikusan gyűjti, korrelálja és elemzi a jelek, fenyegetések és riasztások adatait a Microsoft 365-környezetből.

A Microsoft Sentinel egy natív felhőmegoldás, amely biztonsági információkat és eseménykezelést (SIEM) és biztonsági vezénylési, automatizálási és válaszképességeket (SOAR) biztosít. A Microsoft Sentinel és a Microsoft Defender XDR együttesen átfogó megoldást nyújtanak a szervezeteknek a modern támadások elleni védekezéshez.

Ez az útmutató segít a Teljes felügyelet architektúrájának érettségében a Teljes felügyelet alapelveinek az alábbi módokon történő leképezésével.

Teljes felügyelet elv Megfelelteti:
Explicit ellenőrzés A Microsoft Sentinel adatokat gyűjt a környezet minden részéről, és elemzi a fenyegetéseket és a rendellenességeket, hogy a szervezet és a megvalósított automatizálás az összes elérhető és ellenőrzött adatpont alapján működjön.

 A Microsoft Defender XDR kiterjesztett észlelést és választ biztosít a felhasználók, identitások, eszközök, alkalmazások és e-mailek között. Konfigurálja a Microsoft Sentinel automatizálását a Microsoft Defender XDR által rögzített kockázatalapú jelek végrehajtására, például a forgalom kockázatszinten alapuló blokkolására vagy engedélyezésére.
A legkevésbé kiemelt hozzáférés használata A Microsoft Sentinel a rendellenes tevékenységet a User Entity Behavioral Analytics (UEBA) motoron keresztül észleli. Mivel a biztonsági forgatókönyvek idővel változhatnak, és gyakran nagyon gyorsan, a Microsoft Sentinel fenyegetésfelderítése adatokat is importál a Microsoft vagy külső szolgáltatók számára, hogy észleljék az új, újonnan megjelenő fenyegetéseket, és további kontextust biztosítsanak a vizsgálatokhoz.

 A Microsoft Defender XDR Microsoft Entra ID-védelem rendelkezik, amely letilthatja a felhasználókat az identitással járó kockázat szintje alapján. A kapcsolódó adatokat a Microsoft Sentinelbe továbbíthatja további elemzések és automatizálás céljából.
A szabálysértés feltételezése A Microsoft Defender XDR folyamatosan ellenőrzi a környezetet a fenyegetések és a biztonsági rések után. A Microsoft Sentinel elemzi az összegyűjtött adatokat és az egyes entitások viselkedési trendjeit a gyanús tevékenységek, a rendellenességek és a többfázisú fenyegetések nagyvállalati észleléséhez.

A Microsoft Defender XDR és a Microsoft Sentinel egyaránt képes automatizált szervizelési feladatok implementálására, beleértve az automatizált vizsgálatokat, az eszközök elkülönítését és az adatok karanténba helyezését. Az eszközkockázat jelként használható a Microsoft Entra feltételes hozzáférésbe való betöltéshez.

Microsoft Sentinel és XDR architektúra

A Microsoft Sentinel ügyfelei az alábbi módszerek egyikével integrálhatják a Microsoft Sentinelt a Microsoft Defender XDR szolgáltatásaival:

  • A Microsoft Sentinel adatösszekötőkkel betölthet Microsoft Defender XDR szolgáltatásadatokat a Microsoft Sentinelbe. Ebben az esetben a Microsoft Sentinel-adatokat az Azure Portalon tekintheti meg.

  • A Microsoft Sentinel és a Microsoft Defender XDR integrálása egyetlen egységes biztonsági üzemeltetési platformba a Microsoft Defender portálon. Ebben az esetben közvetlenül a Microsoft Defender portálon tekintheti meg a Microsoft Sentinel-adatokat a Többi Defender-incidenssel, riasztással, biztonsági résekkel és egyéb biztonsági adatokkal.

Ez a megoldási útmutató mindkét módszerről nyújt információt. Ebben a megoldási útmutatóban válassza ki a munkaterület szempontjából releváns lapot. Ha a munkaterületet az egyesített biztonsági üzemeltetési platformra előkészítette, a Defender portálon dolgozhat. Ha még nem tette meg a munkaterületet, az Azure Portalon dolgozhat, hacsak másként nem jelöli meg.

Az alábbi ábra bemutatja, hogyan integrálható zökkenőmentesen a Microsoft XDR-megoldása a Microsoft Sentinellel az egyesített biztonsági üzemeltetési platformmal.

A Microsoft Sentinel és a Microsoft Defender XDR architektúrájának diagramja az egyesített biztonsági üzemeltetési platformmal.

Ebben a diagramban:

  • A teljes szervezeten belüli jelekből származó információk a Microsoft Defender XDR-be és Felhőhöz készült Microsoft Defender.
  • A Microsoft Sentinel támogatja a többfelhős környezeteket, és integrálható külső alkalmazásokkal és partnerekkel.
  • A Microsoft Sentinel-adatok a szervezet adataival együtt kerülnek be a Microsoft Defender portálra.
  • A SecOps-csapatok ezután elemezhetik és megválaszolhatják a Microsoft Sentinel és a Microsoft Defender XDR által a Microsoft Defender portálon azonosított fenyegetéseket.

A Microsoft Sentinel és a Microsoft Defender XDR implementálása Teljes felügyelet

A Microsoft Defender XDR egy XDR-megoldás, amely kiegészíti a Microsoft Sentinelt. Az XDR nyers telemetriai adatokat kér le több szolgáltatásból, például a felhőalkalmazásokból, az e-mail-biztonságból, az identitáskezelésből és a hozzáférés-kezelésből.

A mesterséges intelligencia (AI) és a gépi tanulás használatával az XDR ezután valós időben végez automatikus elemzést, vizsgálatot és választ. Az XDR-megoldás a biztonsági riasztásokat a nagyobb incidensekkel is korrelálja, így a biztonsági csapatok nagyobb betekintést kapnak a támadásokba, és az incidensek rangsorolását is biztosítják, segítve az elemzőket a fenyegetés kockázati szintjének megértésében.

A Microsoft Sentinel segítségével számos biztonsági forráshoz csatlakozhat beépített összekötők és iparági szabványok használatával. Az AI-vel több, több forrásra kiterjedő alacsony megbízhatósági jelet korrelálhat, hogy teljes képet hozzon létre a zsarolóprogramok elpusztítási láncáról és a rangsorolási riasztásokról.

SIEM- és XDR-képességek alkalmazása

Ebben a szakaszban egy tipikus, adathalász támadással járó támadási forgatókönyvet vizsgálunk meg, majd a Microsoft Sentinellel és a Microsoft Defender XDR-sel való incidensre való reagálást folytatjuk.

Gyakori támadási sorrend

Az alábbi ábra egy adathalászati forgatókönyv gyakori támadási sorrendjét mutatja be.

A Microsoft biztonsági termékei által biztosított gyakori támadási forgatókönyv és védelem diagramja.

Az ábrán az egyes támadási lépések észleléséhez rendelkezésre álló Microsoft biztonsági termékek, valamint a Microsoft Defender XDR és a Microsoft Sentinel felé történő támadási jelek és SIEM-adatfolyamok is láthatók.

Íme a támadás összegzése.

Támadási lépés Észlelési szolgáltatás és jelforrás Védelem a helyén
1. A támadó adathalász e-mailt küld Microsoft Defender for Office 365 Speciális adathalászati funkciókkal védi a postaládákat, amelyek védelmet nyújtanak a rosszindulatú megszemélyesítésen alapuló adathalászati támadások ellen.
2. A felhasználó megnyitja a mellékletet Microsoft Defender for Office 365 A Office 365-höz készült Microsoft Defender Biztonságos mellékletek funkció izolált környezetben nyitja meg a mellékleteket a további veszélyforrások vizsgálatához (detonáció).
3. A melléklet telepíti a kártevőket Microsoft Defender végponthoz A végpontokat a következő generációs védelmi funkciókkal védi a kártevőktől, például a felhőalapú védelemmel és a viselkedésalapú/heurisztikus/valós idejű víruskereső védelemmel.
4. A kártevők ellopják a felhasználói hitelesítő adatokat Microsoft Entra-azonosító és Microsoft Entra ID-védelem A felhasználói viselkedés és tevékenységek monitorozásával, az oldalirányú mozgás észlelésével és a rendellenes tevékenységek riasztásával védi az identitásokat.
5. A támadó oldalirányban mozog a Microsoft 365-alkalmazások és -adatok között Microsoft Defender for Cloud Apps Képes észlelni a felhőalkalmazásokhoz hozzáférő felhasználók rendellenes tevékenységeit.
6. A támadó bizalmas fájlokat tölt le Egy SharePoint-mappából Microsoft Defender for Cloud Apps Képes észlelni és reagálni a SharePointból származó fájlok tömeges letöltési eseményeire.

Ha a Microsoft Sentinel-munkaterületet az egyesített biztonsági üzemeltetési platformra előkészítette, a SIEM-adatok közvetlenül a Microsoft Sentinelben érhetők el a Microsoft Defender portálon.

Incidenskezelés a Microsoft Sentinel és a Microsoft Defender XDR használatával

Most, hogy láttuk, hogyan történik egy gyakori támadás, nézzük meg a Microsoft Sentinel és a Microsoft Defender XDR integrációját incidensmegoldáshoz.

Válassza ki a munkaterület megfelelő lapját attól függően, hogy a munkaterületet az egyesített biztonsági üzemeltetési platformra előkészítette-e.

Miután integrálta a Microsoft Sentinelt és a Microsoft Defender XDR-t a munkaterület egységes biztonsági üzemeltetési platformra való előkészítésével, végezze el az összes incidenskezelési lépést közvetlenül a Microsoft Defender portálon, ugyanúgy, mint más Microsoft Defender XDR-incidensek esetében. A támogatott lépések a osztályozástól a vizsgálaton és a megoldáson át mindenre kiterjednek.

Használja a Microsoft Defender portál Microsoft Sentinel területét a csak a Defender portálon nem elérhető funkciókhoz.

További információ: Válasz egy incidensre a Microsoft Sentinel és a Microsoft Defender XDR használatával.

Főbb funkciók

Ha nulla megbízhatósági megközelítést szeretne alkalmazni az incidensek kezelésére, használja ezeket a Microsoft Sentinel- és XDR-funkciókat.

Képesség vagy funkció Leírás Termék
Automatizált vizsgálat és válasz (AIR) Az AIR-képességek a riasztások vizsgálatára és a szabálysértések elhárítására szolgáló azonnali lépések végrehajtására szolgálnak. Az AIR képességei jelentősen csökkentik a riasztások mennyiségét, így a biztonsági műveletek a kifinomultabb fenyegetésekre és más nagy értékű kezdeményezésekre összpontosítanak. Microsoft Defender XDR
Speciális vadászat A speciális vadászat egy lekérdezésalapú fenyegetéskereső eszköz, amellyel akár 30 napnyi nyers adatot is felfedezhet. Proaktív módon megvizsgálhatja a hálózat eseményeit a fenyegetésjelzők és entitások megkereséséhez. Az adatokhoz való rugalmas hozzáférés lehetővé teszi az ismert és potenciális fenyegetések korlátozás nélküli vadászatát. Microsoft Defender XDR
Egyéni fájljelzők A potenciálisan rosszindulatú fájlok vagy kártevőgyanús kártevők letiltásával megakadályozhatja a szervezeten belüli támadások további propagálását. Microsoft Defender XDR
Felhőfelderítés A Cloud Discovery elemzi a Defender for Endpoint által gyűjtött forgalmi naplókat, és kiértékeli az azonosított alkalmazásokat a felhőalkalmazás-katalógusban a megfelelőségi és biztonsági információk biztosítása érdekében. Microsoft Defender for Cloud Apps
Egyéni hálózati jelzők Az IP-címek, URL-címek vagy tartományok mutatóinak létrehozásával mostantól engedélyezheti vagy letilthatja az IP-címeket, URL-címeket vagy tartományokat a saját fenyegetésintelligencia alapján. Microsoft Defender XDR
Végpontészlelés és -válasz (EDR) blokk További védelmet nyújt a rosszindulatú összetevők ellen, ha a Microsoft Defender víruskereső (MDAV) nem az elsődleges víruskereső termék, és passzív módban fut. Az EDR blokk módban a színfalak mögött működik az EDR képességei által észlelt rosszindulatú összetevők szervizeléséhez. Microsoft Defender XDR
Eszköz válaszképességei Eszközök elkülönítésével vagy vizsgálati csomag gyűjtésével gyorsan reagálhat az észlelt támadásokra Microsoft Defender XDR
Élő válasz Az élő válasz azonnali hozzáférést biztosít a biztonsági műveleti csapatoknak egy távoli rendszerhéj-kapcsolattal rendelkező eszközhöz (más néven géphez). Ez lehetővé teszi, hogy alapos vizsgálati munkát végezzenek, és azonnali válaszlépéseket hajtsanak végre az azonosított fenyegetések valós idejű azonnali megfékezése érdekében. Microsoft Defender XDR
Felhőalkalmazások biztonságossá tétele Egy fejlesztési biztonsági üzemeltetési (DevSecOps) megoldás, amely kódszinten egyesíti a többfelhős és többfolyamatos környezetek biztonsági felügyeletét. Microsoft Defender for Cloud
A biztonsági helyzet javítása Felhőbeli biztonsági helyzetkezelési (CSPM) megoldás, amely olyan műveleteket tesz lehetővé, amelyekkel megelőzheti a behatolásokat. Microsoft Defender for Cloud
Felhőbeli számítási feladatok védelme Felhőbeli számítási feladatok védelmére szolgáló platform (CWPP) kiszolgálók, tárolók, tárolók, adatbázisok és egyéb számítási feladatok speciális védelmével. Microsoft Defender for Cloud
User and Entity Behavioral Analytics (UEBA) Elemzi a szervezeti entitások, például a felhasználók, a gazdagépek, az IP-címek és az alkalmazások viselkedését) Microsoft Sentinel

Az előkészített munkaterületek esetében a Microsoft Sentinel az egyesített biztonsági üzemeltetési platformon
Fúzió Skálázható gépi tanulási algoritmusokon alapuló korrelációs motor. Automatikusan észleli a többszörös támadásokat, más néven speciális állandó fenyegetéseket (APT) a rendellenes viselkedések és a gyilkossági lánc különböző szakaszaiban megfigyelt gyanús tevékenységek kombinációinak azonosításával. Microsoft Sentinel

Az előkészített munkaterületek esetében a Microsoft Sentinel az egyesített biztonsági üzemeltetési platformon
Fenyegetésintelligencia A Microsoft külső szolgáltatókkal bővítheti az adatokat, hogy további kontextust biztosítson a környezet tevékenységei, riasztásai és naplói körül. Microsoft Sentinel

Az előkészített munkaterületek esetében a Microsoft Sentinel az egyesített biztonsági üzemeltetési platformon
Automatizálás  Az automatizálási szabályok segítségével központilag kezelheti az automatizálást a Microsoft Sentinellel, lehetővé téve a különböző forgatókönyvekre alkalmazható szabályok kis csoportjának definiálását és koordinálását. Microsoft Sentinel

Az előkészített munkaterületek esetében a Microsoft Sentinel az egyesített biztonsági üzemeltetési platformon
Anomáliák szabályai Az anomáliaszabály-sablonok gépi tanulással észlelik a rendellenes viselkedés bizonyos típusait. Microsoft Sentinel

Az előkészített munkaterületek esetében a Microsoft Sentinel az egyesített biztonsági üzemeltetési platformon
Ütemezett lekérdezések A Microsoft biztonsági szakértői által írt beépített szabályok, amelyek a Sentinel által gyűjtött naplókban keresnek gyanús tevékenységláncokat, ismert fenyegetéseket. Microsoft Sentinel

Az előkészített munkaterületek esetében a Microsoft Sentinel az egyesített biztonsági üzemeltetési platformon
Közel valós idejű (NRT) szabályok Az NRT-szabályok korlátozott számú ütemezett szabályt tartalmaznak, amelyek percenként egyszer futnak annak érdekében, hogy a lehető legperces információkat biztosíthassák Önnek.  Microsoft Sentinel

Az előkészített munkaterületek esetében a Microsoft Sentinel az egyesített biztonsági üzemeltetési platformon
Vadászat Annak érdekében, hogy a biztonsági elemzők proaktív módon keressenek olyan új anomáliákat, amelyeket a biztonsági alkalmazások vagy akár az ütemezett elemzési szabályok nem észleltek, a Microsoft Sentinel beépített keresési lekérdezései segítenek a megfelelő kérdések feltevésében, hogy problémákat találjon a hálózaton már meglévő adatokban. Microsoft Sentinel

Az előkészített munkaterületek esetében használja a Microsoft Defender portál speciális vadászati funkcióit.
Microsoft Defender XDR-összekötő A Microsoft Defender XDR-összekötő szinkronizálja a naplókat és incidenseket a Microsoft Sentinelnel. Microsoft Defender XDR és Microsoft Sentinel br>
Az előkészített munkaterületek esetében a Microsoft Sentinel az egyesített biztonsági üzemeltetési platformon
Adatösszekötők Adatbetöltés engedélyezése elemzéshez a Microsoft Sentinelben. Microsoft Sentinel

Az előkészített munkaterületek esetében a Microsoft Sentinel az egyesített biztonsági üzemeltetési platformon
Content Hub-Teljes felügyelet megoldás (TIC 3.0) Teljes felügyelet (TIC 3.0) tartalmaz egy munkafüzetet, elemzési szabályokat és egy forgatókönyvet, amely automatikus vizualizációt biztosít a Teljes felügyelet alapelvekről, és áttér a Trust Internet Connections keretrendszerre, és segít a szervezeteknek a konfigurációk időbeli monitorozásában. Microsoft Sentinel

Az előkészített munkaterületek esetében a Microsoft Sentinel az egyesített biztonsági üzemeltetési platformon
Biztonsági vezénylés, automatizálás és válasz (SOAR) A biztonsági fenyegetésekre reagáló automatizálási szabályok és forgatókönyvek használata növeli az SOC hatékonyságát, és időt és erőforrásokat takarít meg. Microsoft Sentinel

Az előkészített munkaterületek esetében a Microsoft Sentinel az egyesített biztonsági üzemeltetési platformon
SOC-optimalizálás Zárja be a lefedettségi réseket bizonyos fenyegetések ellen, és húzza meg a betöltési arányt olyan adatokkal szemben, amelyek nem biztosítanak biztonsági értéket.

A megoldás újdonságai

Ez a megoldás végigvezeti a Microsoft Sentinel és az XDR implementálásán, hogy a biztonsági üzemeltetési csapat hatékonyan orvosolhassa az incidenseket egy Teljes felügyelet megközelítéssel.

A Microsoft Sentinel és az XDR megoldás lépéseinek képe

A betanítási tartalmak jelenleg nem fedik le az egységes biztonsági üzemeltetési platformot.

Oktatás A Microsoft Defender XDR csatlakoztatása a Microsoft Sentinelhez
Ismerje meg a Microsoft Defender XDR-hez készült Microsoft Sentinel-összekötők által biztosított konfigurációs beállításokat és adatokat.

Következő lépések

Az alábbi lépésekkel implementálhatja a Microsoft Sentinelt és az XDR-t Teljes felügyelet megközelítéshez:

  1. Az XDR-eszközök beállítása
  2. A Microsoft Sentinel-munkaterület létrehozása
  3. Adatforrások betöltése
  4. Reagálás incidensre

Ezeket a cikkeket Teljes felügyelet elvek Azure-ra való alkalmazásával kapcsolatban is tekintse meg: