Megosztás a következőn keresztül:


A Microsoft Sentinel és a Microsoft Defender XDR implementálása Teljes felügyelet

Ez a megoldási útmutató végigvezeti a Microsoft eXtended Detection and Response (XDR) eszközeinek beállításán a Microsoft Sentinellel együtt, hogy felgyorsítsa a szervezet kiberbiztonsági támadásokra való reagálását és elhárítását.

A Microsoft Defender XDR egy XDR-megoldás, amely automatikusan gyűjti, korrelálja és elemzi a jelek, fenyegetések és riasztások adatait a Microsoft 365-környezetből.

A Microsoft Sentinel egy natív felhőmegoldás, amely biztonsági információkat és eseménykezelést (SIEM) és biztonsági vezénylési, automatizálási és válaszképességeket (SOAR) biztosít. A Microsoft Sentinel és a Microsoft Defender XDR együttesen átfogó megoldást nyújtanak a szervezeteknek a modern támadások elleni védekezéshez.

Ez az útmutató segít a Teljes felügyelet architektúrájának érettségében a Teljes felügyelet alapelveinek az alábbi módokon történő leképezésével.

Teljes felügyelet elv Megfelelteti:
Explicit ellenőrzés A Microsoft Sentinel adatokat gyűjt a környezet minden részéről, elemzi a fenyegetéseket és a rendellenességeket, és automatizálással képes reagálni.

 A Microsoft Defender XDR kiterjesztett észlelést és választ biztosít a felhasználók, identitások, eszközök, alkalmazások és e-mailek között. A Microsoft Defender XDR által rögzített kockázatalapú jeleket a Microsoft Sentinel használhatja a műveletek elvégzéséhez.
A legkevésbé kiemelt hozzáférés használata A Microsoft Sentinel a user entity behavioral Analytics (UEBA) motoron keresztül képes észlelni a rendellenes tevékenységeket.

A Microsoft Sentinel fenyegetésintelligencia-intelligenciája importálhat fenyegetésfelderítési adatokat a Microsofttól vagy külső szolgáltatóktól, hogy észlelje az új, újonnan megjelenő fenyegetéseket, és további kontextust biztosítson a vizsgálatokhoz.

 A Microsoft Defender XDR Microsoft Entra ID-védelem rendelkezik, amely letilthatja a felhasználókat az identitással járó kockázat szintje alapján. Az adatok a Microsoft Sentinelbe is betáplálhatók további elemzések és automatizálás céljából.
A szabálysértés feltételezése A Microsoft Defender XDR folyamatosan ellenőrzi a környezetet a fenyegetések és a biztonsági rések után. A Microsoft Sentinel elemzi az összegyűjtött adatokat, az entitások viselkedési tendenciáit a gyanús tevékenységek, a rendellenességek és a vállalati szintű fenyegetések észleléséhez.

A Microsoft Sentinel olyan munkafüzet-vizualizációkkal rendelkezik, amelyek segíthetnek a szervezeteknek a környezet megerősítésében, például a Teljes felügyelet munkafüzetben.

A Microsoft Defender XDR és a Sentinel automatizált szervizelési feladatokat valósíthat meg, beleértve az automatizált vizsgálatokat, az eszközelkülönítést és az adat karantént. Az eszközkockázat jelként használható a Microsoft Entra feltételes hozzáférésbe való betöltéshez.

Microsoft Sentinel és XDR architektúra

Az alábbi ábra bemutatja, hogyan integrálható zökkenőmentesen a Microsoft XDR-megoldása a Microsoft Sentinellel.

A Microsoft Sentinel és a Microsoft XDR integrációjának ábrája.

Ebben a diagramban:

  • Elemzések a teljes szervezet jelzéseiből a Microsoft Defender XDR-be és Felhőhöz készült Microsoft Defender.
  • A Microsoft Defender XDR és Felhőhöz készült Microsoft Defender SIEM-naplóadatokat küldenek a Microsoft Sentinel-összekötőken keresztül.
  • A SecOps-csapatok ezután elemezhetik és megválaszolhatják a Microsoft Sentinel és a Microsoft Defender portálon azonosított fenyegetéseket.
  • A Microsoft Sentinel támogatja a többfelhős környezeteket, és integrálható külső alkalmazásokkal és partnerekkel.

A Microsoft Sentinel és a Microsoft Defender XDR implementálása Teljes felügyelet

A Microsoft Defender XDR egy XDR-megoldás, amely kiegészíti a Microsoft Sentinelt. Az XDR nyers telemetriai adatokat kér le több szolgáltatásból, például a felhőalkalmazásokból, az e-mail-biztonságból, az identitáskezelésből és a hozzáférés-kezelésből.

A mesterséges intelligencia (AI) és a gépi tanulás használatával az XDR ezután valós időben végez automatikus elemzést, vizsgálatot és választ. Az XDR-megoldás a biztonsági riasztásokat a nagyobb incidensekkel is korrelálja, így a biztonsági csapatok nagyobb betekintést kapnak a támadásokba, és az incidensek rangsorolását is biztosítják, segítve az elemzőket a fenyegetés kockázati szintjének megértésében.

A Microsoft Sentinel segítségével számos biztonsági forráshoz csatlakozhat beépített összekötők és iparági szabványok használatával. Az AI-vel több, több forrásra kiterjedő alacsony megbízhatósági jelet korrelálhat, hogy teljes képet hozzon létre a zsarolóprogramok elpusztítási láncáról és a rangsorolási riasztásokról.

A SIEM és az XDR képességeinek kihasználása

Ebben a szakaszban egy tipikus, adathalász támadással járó támadási forgatókönyvet vizsgálunk meg, majd a Microsoft Sentinellel és a Microsoft Defender XDR-sel való reagálást.

Gyakori támadási sorrend

Az alábbi ábra egy adathalászati forgatókönyv gyakori támadási sorrendjét mutatja be.

A Microsoft biztonsági termékei által biztosított gyakori támadási forgatókönyv és védelem diagramja.

Az ábrán az egyes támadási lépések észleléséhez rendelkezésre álló Microsoft biztonsági termékek, valamint a Microsoft Defender XDR és a Microsoft Sentinel felé történő támadási jelek és SIEM-adatfolyamok is láthatók.

Íme a támadás összegzése.

Támadási lépés Észlelési szolgáltatás és jelforrás Védelem a helyén
1. A támadó adathalász e-mailt küld Microsoft Defender for Office 365 Speciális adathalászati funkciókkal védi a postaládákat, amelyek védelmet nyújtanak a rosszindulatú megszemélyesítésen alapuló adathalászati támadások ellen.
2. A felhasználó megnyitja a mellékletet Microsoft Defender for Office 365 A Office 365-höz készült Microsoft Defender Széf Mellékletek funkció elszigetelt környezetben nyitja meg a mellékleteket a fenyegetések (detonáció) további vizsgálatához.
3. A melléklet telepíti a kártevőket Microsoft Defender végponthoz A végpontokat a következő generációs védelmi funkciókkal védi a kártevőktől, például a felhőalapú védelemmel és a viselkedésalapú/heurisztikus/valós idejű víruskereső védelemmel.
4. A kártevők ellopják a felhasználói hitelesítő adatokat Microsoft Entra-azonosító és Microsoft Entra ID-védelem A felhasználói viselkedés és tevékenységek monitorozásával, az oldalirányú mozgás észlelésével és a rendellenes tevékenységek riasztásával védi az identitásokat.
5. A támadó oldalirányban mozog a Microsoft 365-alkalmazások és -adatok között Microsoft Defender for Cloud Apps Képes észlelni a felhőalkalmazásokhoz hozzáférő felhasználók rendellenes tevékenységeit.
6. A támadó bizalmas fájlokat tölt le Egy SharePoint-mappából Microsoft Defender for Cloud Apps Képes észlelni és reagálni a SharePointból származó fájlok tömeges letöltési eseményeire.

Incidenskezelés a Microsoft Sentinel és a Microsoft Defender XDR használatával

Most, hogy láttuk, hogyan történik egy gyakori támadás, nézzük meg a Microsoft Sentinel és a Microsoft Defender XDR integrációjának kihasználását az incidensek elhárításához.

Az alábbiakban a Microsoft Defender XDR és a Microsoft Sentinel incidenseire válaszolunk:

  1. Az incidens osztályozása a Microsoft Sentinel portálon.
  2. Lépjen át a Microsoft Defender portálra a vizsgálat megkezdéséhez.
  3. Szükség esetén folytassa a vizsgálatot a Microsoft Sentinel portálon.
  4. Az incidens megoldása a Microsoft Sentinel portálon.

Az alábbi ábra a Microsoft Sentinel felderítésével és osztályozásával kezdődő folyamatot mutatja be.

A Sentinel és a Microsoft Defender XDR használatával végzett incidensvizsgálat diagramja.

További információ: Válasz egy incidensre a Microsoft Sentinel és a Microsoft Defender XDR használatával.

Főbb funkciók

Ha nulla megbízhatósági megközelítést szeretne alkalmazni az incidensek kezelésére, használja ezeket a Microsoft Sentinel- és XDR-funkciókat.

Képesség vagy funkció Leírás Termék
Automatizált vizsgálat és válasz (AIR) Az AIR-képességek a riasztások vizsgálatára és a szabálysértések elhárítására szolgáló azonnali lépések végrehajtására szolgálnak. Az AIR képességei jelentősen csökkentik a riasztások mennyiségét, így a biztonsági műveletek a kifinomultabb fenyegetésekre és más nagy értékű kezdeményezésekre összpontosítanak. Microsoft Defender XDR
Speciális vadászat A speciális vadászat egy lekérdezésalapú fenyegetéskereső eszköz, amellyel akár 30 napnyi nyers adatot is felfedezhet. Proaktív módon megvizsgálhatja a hálózat eseményeit a fenyegetésjelzők és entitások megkereséséhez. Az adatokhoz való rugalmas hozzáférés lehetővé teszi az ismert és potenciális fenyegetések korlátozás nélküli vadászatát. Microsoft Defender XDR
Egyéni fájljelzők A potenciálisan rosszindulatú fájlok vagy kártevőgyanús kártevők letiltásával megakadályozhatja a szervezeten belüli támadások további propagálását. Microsoft Defender XDR
Felhőfelderítés A Cloud Discovery elemzi a Defender for Endpoint által gyűjtött forgalmi naplókat, és kiértékeli az azonosított alkalmazásokat a felhőalkalmazás-katalógusban a megfelelőségi és biztonsági információk biztosítása érdekében. Microsoft Defender for Cloud Apps
Egyéni hálózati jelzők Az IP-címek, URL-címek vagy tartományok mutatóinak létrehozásával mostantól engedélyezheti vagy letilthatja az IP-címeket, URL-címeket vagy tartományokat a saját fenyegetésintelligencia alapján. Microsoft Defender XDR
Végpontészlelés és -válasz (Végponti észlelés és reagálás) blokk További védelmet nyújt a rosszindulatú összetevők ellen, ha a Microsoft Defender víruskereső (MDAV) nem az elsődleges víruskereső termék, és passzív módban fut. Végponti észlelés és reagálás blokk módban a színfalak mögött dolgozik a Végponti észlelés és reagálás képességei által észlelt rosszindulatú összetevők elhárításához. Microsoft Defender XDR
Eszköz válaszképességei Eszközök elkülönítésével vagy vizsgálati csomag gyűjtésével gyorsan reagálhat az észlelt támadásokra Microsoft Defender XDR
Élő válasz Az élő válasz azonnali hozzáférést biztosít a biztonsági műveleti csapatoknak egy távoli rendszerhéj-kapcsolattal rendelkező eszközhöz (más néven géphez). Ez lehetővé teszi, hogy alapos vizsgálati munkát végezzenek, és azonnali válaszlépéseket hajtsanak végre az azonosított fenyegetések valós idejű azonnali megfékezése érdekében. Microsoft Defender XDR
Felhőalkalmazások biztonságossá tétele Egy fejlesztési biztonsági üzemeltetési (DevSecOps) megoldás, amely kódszinten egyesíti a többfelhős és többfolyamatos környezetek biztonsági felügyeletét. Microsoft Defender for Cloud
A biztonsági helyzet javítása Felhőbeli biztonsági helyzetkezelési (CSPM) megoldás, amely olyan műveleteket tesz lehetővé, amelyekkel megelőzheti a behatolásokat. Microsoft Defender for Cloud
Felhőbeli számítási feladatok védelme Felhőbeli számítási feladatok védelmére szolgáló platform (CWPP) kiszolgálók, tárolók, tárolók, adatbázisok és egyéb számítási feladatok speciális védelmével. Microsoft Defender for Cloud
User and Entity Behavioral Analytics (UEBA) Elemzi a szervezeti entitások, például a felhasználók, a gazdagépek, az IP-címek és az alkalmazások viselkedését) Microsoft Sentinel
Fusion Skálázható gépi tanulási algoritmusokon alapuló korrelációs motor. Automatikusan észleli a többszörös támadásokat, más néven speciális állandó fenyegetéseket (APT) a rendellenes viselkedések és a gyilkossági lánc különböző szakaszaiban megfigyelt gyanús tevékenységek kombinációinak azonosításával. Microsoft Sentinel
Fenyegetésintelligencia A Microsoft külső szolgáltatókkal bővítheti az adatokat, hogy további kontextust biztosítson a környezet tevékenységei, riasztásai és naplói körül. Microsoft Sentinel
Automatizálás  Az automatizálási szabályok segítségével központilag kezelheti az automatizálást a Microsoft Sentinelben azáltal, hogy lehetővé teszi a különböző forgatókönyvekre alkalmazható szabályok kis csoportjának definiálását és koordinálását. Microsoft Sentinel
Anomáliák szabályai Az anomáliaszabály-sablonok gépi tanulással észlelik a rendellenes viselkedés bizonyos típusait. Microsoft Sentinel
Ütemezett lekérdezések A Microsoft biztonsági szakértői által írt beépített szabályok, amelyek a Sentinel által gyűjtött naplókban keresnek gyanús tevékenységláncokat, ismert fenyegetéseket. Microsoft Sentinel
Közel valós idejű (NRT) szabályok Az NRT-szabályok korlátozott számú ütemezett szabályt tartalmaznak, amelyek percenként egyszer futnak annak érdekében, hogy a lehető legperces információkat biztosíthassák Önnek.  Microsoft Sentinel
Vadászat Annak érdekében, hogy a biztonsági elemzők proaktív módon keressenek olyan új anomáliákat, amelyeket a biztonsági alkalmazások vagy akár az ütemezett elemzési szabályok nem észleltek, a Microsoft Sentinel beépített keresési lekérdezései segítenek a megfelelő kérdések feltevésében, hogy problémákat találjon a hálózaton már meglévő adatokban. Microsoft Sentinel
Microsoft Defender XDR Csatlakozás or A Microsoft Defender XDR Csatlakozás or szinkronizálja a naplókat és incidenseket a Microsoft Sentinelnel. Microsoft Defender XDR és Microsoft Sentinel
Adatösszekötők Adatbetöltés engedélyezése elemzéshez a Microsoft Sentinelben. Microsoft Sentinel
Content Hub-Teljes felügyelet megoldás (TIC 3.0) Teljes felügyelet (TIC 3.0) tartalmaz egy munkafüzetet, elemzési szabályokat és egy forgatókönyvet, amely automatikus vizualizációt biztosít Teljes felügyelet alapelvekről, és keresztútra lép a Trust Internet Csatlakozás ions keretrendszerben, segítve a szervezeteket a konfigurációk időbeli monitorozásában. Microsoft Sentinel
Biztonsági vezénylés, automatizálás és válasz (SOAR) A biztonsági fenyegetésekre reagáló automatizálási szabályok és forgatókönyvek használata növeli az SOC hatékonyságát, és időt és erőforrásokat takarít meg. Microsoft Sentinel

A megoldás újdonságai

Ez a megoldás végigvezeti a Microsoft Sentinel és az XDR implementálásán, hogy a biztonsági üzemeltetési csapat hatékonyan orvosolhassa az incidenseket egy Teljes felügyelet megközelítéssel.

A Microsoft Sentinel és az XDR megoldás lépéseinek képe

Oktatás A Microsoft Defender XDR Csatlakozás a Microsoft Sentinelhez
Ismerje meg a Microsoft Defender XDR-hez készült Microsoft Sentinel-összekötők által biztosított konfigurációs beállításokat és adatokat.

Következő lépések

Az alábbi lépésekkel implementálhatja a Microsoft Sentinelt és az XDR-t Teljes felügyelet megközelítéshez:

  1. Az XDR-eszközök beállítása
  2. A Microsoft Sentinel-munkaterület létrehozása
  3. Adatforrások betöltése
  4. Reagálás incidensre

Tekintse meg az alábbi további cikkeket Teljes felügyelet alapelvek Azure-ra való alkalmazásához: