Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk azt ismerteti, hogyan tervezheti meg az egységes biztonsági műveletek üzembe helyezését a Microsoft Defender portálon. A biztonsági műveletek egységesítésével csökkentheti a kockázatokat, megelőzheti a támadásokat, valós időben észlelheti és megzavarhatja a kibertámadásokat, és gyorsabban reagálhat az AI által továbbfejlesztett biztonsági képességekkel, mindezt a Microsoft Defender portálon.
Az üzembe helyezés megtervezése
A Defender portál egyesíti az olyan szolgáltatásokat, mint a Microsoft Defender XDR, a Microsoft Sentinel, a Microsoft Biztonságikitettség-kezelés és a Microsoft Security Copilot az egyesített biztonsági műveletekhez.
Az üzembe helyezés megtervezésének első lépése a használni kívánt szolgáltatások kiválasztása.
Alapvető előfeltételként Microsoft Defender XDR és Microsoft Sentinel is szüksége lesz a Microsoft és a nem Microsoft-szolgáltatások és -megoldások figyeléséhez és védelméhez, beleértve a felhőbeli és a helyszíni erőforrásokat is.
Az alábbi szolgáltatások bármelyikét üzembe helyezheti a végpontok, identitások, e-mailek és alkalmazások biztonságának biztosításához, hogy integrált védelmet nyújtson a kifinomult támadásokkal szemben.
Microsoft Defender XDR szolgáltatások a következők:
| Szolgáltatás | Leírás |
|---|---|
| Office 365-höz készült Microsoft Defender | Védelmet nyújt az e-mailek, URL-hivatkozások és Office 365 együttműködési eszközök által jelentett fenyegetések ellen. |
| Microsoft Defender for Identity | Azonosítja, észleli és kivizsgálja a helyi Active Directory és a felhőbeli identitások( például Microsoft Entra ID) fenyegetéseit. |
| Végponthoz készült Microsoft Defender | Figyeli és védi a végponteszközöket, észleli és kivizsgálja az eszközmegsértéseket, és automatikusan reagál a biztonsági fenyegetésekre. |
| Microsoft Defender for IoT | IoT-eszközfelderítést és biztonsági értéket is biztosít az IoT-eszközökhöz. |
| Microsoft Defender biztonságirés-kezelése | Azonosítja az eszközöket és a szoftverleltárat, és felméri az eszközök állapotát a biztonsági rések megtalálásához. |
| Microsoft Defender for Cloud Apps | Védi és szabályozza az SaaS-felhőalkalmazásokhoz való hozzáférést. |
A Microsoft Defender portálon támogatott, de a Microsoft Defender XDR licenccel nem rendelkező egyéb szolgáltatások közé tartoznak a következők:
| Szolgáltatás | Leírás |
|---|---|
| Microsoft Biztonságikitettség-kezelés | Egységes képet nyújt a vállalati eszközök és számítási feladatok biztonsági helyzetéről, és gazdagítja az eszközinformációkat a biztonsági környezettel. |
| Microsoft Biztonsági Copilot | A biztonsági műveletek javításához AI-alapú elemzéseket és javaslatokat biztosít. |
| Microsoft Defender for Cloud | Fejlett fenyegetésészleléssel és reagálással védi a többfelhős és hibrid környezeteket. |
| Microsoft Defender Intelligens veszélyforrás-felderítés | Leegyszerűsíti a fenyegetésfelderítési munkafolyamatokat a kritikus adatforrások összesítésével és bővítésével, így korrelálva a biztonsági rések mutatóit a kapcsolódó cikkekkel, aktorprofilokkal és biztonsági résekkel. |
| Microsoft Entra ID-védelem | Kiértékeli a bejelentkezési kísérletekből származó kockázati adatokat, hogy kiértékelje a környezetbe való bejelentkezések kockázatát. |
| Microsoft Purview Belső kockázatkezelés | Különböző jeleket korrelál, hogy azonosítsa a potenciális rosszindulatú vagy véletlen belső kockázatokat, például az IP-lopást, az adatszivárgást és a biztonsági szabálysértéseket. |
A szolgáltatás előfeltételeinek áttekintése
Mielőtt Microsoft Defender szolgáltatásokat telepít az egyesített biztonsági műveletekhez, tekintse át az egyes használni kívánt szolgáltatások előfeltételeit. Az alábbi táblázat a szolgáltatásokat és hivatkozásokat sorolja fel további információkért:
| Biztonsági szolgáltatás | Előfeltételek |
|---|---|
| Az egyesített biztonsági műveletekhez szükséges | |
| Microsoft Defender XDR | Microsoft Defender XDR előfeltételek |
| Microsoft Sentinel | A Microsoft Sentinel üzembe helyezésének előfeltételei |
| Választható Microsoft Defender XDR szolgáltatások | |
| Office Microsoft Defender | Microsoft Defender XDR előfeltételek |
| Microsoft Defender for Identity | Microsoft Defender for Identity előfeltételek |
| Végponthoz készült Microsoft Defender | Végponthoz készült Microsoft Defender üzembe helyezés beállítása |
| Nagyvállalati monitorozás az IoT-hez készült Microsoft Defender | Az IoT-hez készült Defender előfeltételei a Defender portálon |
| A Microsoft Defender biztonságirés-kezelése | Előfeltételek & engedélyek Microsoft Defender biztonságirés-kezelés |
| Microsoft Defender for Cloud Apps | Ismerkedés a Microsoft Defender for Cloud Apps szolgáltatással |
| A Microsoft Defender portálon támogatott egyéb szolgáltatások | |
| Microsoft Biztonságikitettség-kezelés | Előfeltételek és támogatás |
| Microsoft Biztonsági Copilot | Minimális követelmények |
| Microsoft Defender for Cloud | Kezdje el megtervezni a többfelhős védelmet és más cikkeket ugyanabban a szakaszban. |
| Microsoft Defender Intelligens veszélyforrás-felderítés | A Defender veszélyforrás-felderítés előfeltételei |
| Microsoft Entra ID-védelem | A Microsoft Entra ID-védelem előfeltételei |
| Microsoft Purview Belső kockázatkezelés | Első lépések a belső kockázatkezelés terén |
Az adatok biztonságának és adatvédelmi gyakorlatának áttekintése
Mielőtt Microsoft Defender szolgáltatásokat telepít az egyesített biztonsági műveletekhez, mindenképpen tisztában kell lenni az egyes használni kívánt szolgáltatások adatbiztonsági és adatvédelmi gyakorlatával. Az alábbi táblázat a szolgáltatásokat és hivatkozásokat sorolja fel további információkért. Vegye figyelembe, hogy számos szolgáltatás használja az adatbiztonságot és az adatmegőrzési eljárásokat a Microsoft Defender XDR ahelyett, hogy külön eljárásokkal rendelkezik.
A Log Analytics-munkaterület architektúrájának megtervezve
A Defender portálra való Microsoft Sentinel előkészítéséhez először engedélyeznie kell egy Log Analytics-munkaterületet a Microsoft Sentinel számára. Egy Log Analytics-munkaterület számos környezethez elegendő lehet, de számos szervezet több munkaterületet hoz létre a költségek optimalizálása és a különböző üzleti követelmények jobb kielégítése érdekében.
Tervezheti meg az Microsoft Sentinel engedélyezni kívánt Log Analytics-munkaterületet. Vegye figyelembe az adatgyűjtésre és tárolásra vonatkozó megfelelőségi követelményeket, valamint a Microsoft Sentinel adatokhoz való hozzáférés szabályozásának módját.
További információ:
Költségek és adatforrások tervezése Microsoft Sentinel
A Defender portál natív módon betöltheti az adatokat belső Microsoft-szolgáltatásokból, például a Microsoft Defender for Cloud Apps és a felhőhöz készült Microsoft Defender. Javasoljuk, hogy Microsoft Sentinel adatösszekötők hozzáadásával bővítse a lefedettséget a környezet más adatforrásaira.
Az adatforrások meghatározása
Határozza meg az adatforrások teljes készletét, amelyből adatokat fog betölteni, valamint az adatméretre vonatkozó követelményeket, amelyek segítenek az üzemelő példány költségvetésének és ütemtervének pontos kivetítésében. Ezeket az információkat az üzleti használati esetek áttekintése során, vagy egy már meglévő SIEM kiértékelésével határozhatja meg. Ha már rendelkezik SIEM-sel, elemezze az adatokat, és állapítsa meg, hogy mely adatforrások biztosítják a legnagyobb értéket, és Microsoft Sentinel kell betölteni őket.
Előfordulhat például, hogy az alábbi ajánlott adatforrások bármelyikét szeretné használni:
Azure-szolgáltatások: Ha az alábbi szolgáltatások bármelyike üzembe van helyezve az Azure-ban, az alábbi összekötőkkel küldje el ezeknek az erőforrásoknak a diagnosztikai naplóit a Microsoft Sentinel:
- Azure Firewall
- Azure Application Gateway
- Kulcstartó
- Azure Kubernetes Service
- Azure SQL
- Hálózati biztonsági csoportok
- Azure-Arc-kiszolgálók
Javasoljuk, hogy állítson be Azure Policy, hogy a naplókat a mögöttes Log Analytics-munkaterületre továbbítsák. További információ: Diagnosztikai beállítások létrehozása nagy méretekben Azure Policy használatával.
Virtuális gépek: A helyszínen vagy más felhőben üzemeltetett virtuális gépek esetében, amelyek naplóinak gyűjtését igénylik, használja a következő adatösszekötőket:
- események Windows biztonság az AMA használatával
- Események a Végponthoz készült Defenderen keresztül (kiszolgálóhoz)
- Syslog
Hálózati virtuális berendezések/helyszíni források: A közös eseményformátumot (CEF) vagy SYSLOG-naplókat létrehozó hálózati virtuális berendezések vagy más helyszíni források esetében használja a következő adatösszekötőket:
- Syslog az AMA-val
- Common Event Format (CEF) az AMA-n keresztül
További információ: Az adatösszekötők rangsorolása.
A költségvetés megtervezve
Tervezze meg a Microsoft Sentinel költségvetést, figyelembe véve az egyes tervezett forgatókönyvekre gyakorolt költségeket. Győződjön meg arról, hogy a költségvetés fedezi a Microsoft Sentinel és az Azure Log Analytics, az üzembe helyezett forgatókönyvek és így tovább az adatbetöltés költségeit. További információ:
- Naplómegőrzési tervek a Microsoft Sentinel
- Költségek megtervezése és a Microsoft Sentinel díjszabásának és számlázásának ismertetése
A Microsoft biztonsági portáljai és felügyeleti központjai
Bár a Microsoft Defender portál az identitások, adatok, eszközök és alkalmazások biztonságának figyelésének és kezelésének az otthona, bizonyos speciális feladatokhoz különböző portálokhoz kell hozzáférnie.
A Microsoft biztonsági portáljai a következők:
| Portál neve | Leírás | Láncszem |
|---|---|---|
| Microsoft Defender portál | Figyelheti és reagálhat a fenyegetésekkel kapcsolatos tevékenységekre, és megerősítheti a biztonsági állapotot az identitások, az e-mailek, az adatok, a végpontok és az alkalmazások között a Microsoft Defender XDR |
security.microsoft.com A Microsoft Defender portálon tekintheti meg és kezelheti a riasztásokat, incidenseket, beállításokat és egyebeket. |
| Felhőhöz készült Defender portál | A felhőhöz készült Microsoft Defender használata az adatközpontok és a hibrid számítási feladatok biztonsági helyzetének megerősítéséhez a felhőben | portal.azure.com/#blade/Microsoft_Azure_Security |
| Microsoft biztonsági intelligencia portál | Biztonságiintelligencia-frissítések lekérése Végponthoz készült Microsoft Defender, minták beküldése és a fenyegetések enciklopédiájának megismerése | microsoft.com/wdsi |
Az alábbi táblázat más számítási feladatok portáljait ismerteti, amelyek hatással lehetnek a biztonságra. Az identitások, engedélyek, eszközbeállítások és adatkezelési szabályzatok kezeléséhez látogasson el ezekre a portálokra.
| Portál neve | Leírás | Láncszem |
|---|---|---|
| Microsoft Entra felügyeleti központ | A Microsoft Entra család elérése és felügyelete decentralizált identitással, identitásvédelemmel, irányítással és egyebekkel, többfelhős környezetben történő védelméhez | entra.microsoft.com |
| Azure Portal | Az összes Azure-erőforrás megtekintése és kezelése | portal.azure.com |
| Microsoft Purview portál | Adatkezelési szabályzatok kezelése és a szabályozásoknak való megfelelés biztosítása | purview.microsoft.com |
| Microsoft 365 felügyeleti központ | Microsoft 365-szolgáltatások konfigurálása; szerepkörök, licencek kezelése és a Microsoft 365-szolgáltatások frissítéseinek nyomon követése | admin.microsoft.com |
| Microsoft Intune Felügyeleti központ | Az eszközök felügyeletéhez és védelméhez használja a Microsoft Intune. Kombinálhatja Intune és Configuration Manager képességeit is. | intune.microsoft.com |
| Microsoft Intune portál | A Microsoft Intune használata eszközszabályzatok üzembe helyezéséhez és az eszközök megfelelőségének figyeléséhez | intune.microsoft.com |
Szerepkörök és engedélyek tervezése
A Microsoft Defender portál az alábbi szerepköralapú hozzáférés-vezérlési (RBAC-) modelleket egyesíti az egyesített biztonsági műveletekhez:
- Microsoft Entra ID A Defender-hozzáférés delegálásához használt RBAC, például eszközcsoportok
- Az Microsoft Sentinel által az engedélyek delegálásához használt Azure RBAC
- Defender egyesített RBAC, amely engedélyek delegálására szolgál a Defender-megoldások között
Bár az Azure RBAC-ben a Microsoft Sentinel számára megadott engedélyek a futtatás során a Defender egyesített RBAC-jével vannak összevonva, az Azure RBAC és a Defender RBAC továbbra is külön kezelhető.
A Defender egyesített RBAC-jének nincs szüksége a munkaterület Defender portálra való előkészítéséhez, és Microsoft Sentinel engedélyek továbbra is a várt módon működnek a Defender portálon, még egyesített RBAC nélkül is. Az egyesített RBAC használata azonban leegyszerűsíti az engedélyek delegálását a Defender-megoldások között. További információ: Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC) aktiválása.
Az elemzők számára az Microsoft Sentinel adatok megtekintéséhez minimálisan szükséges engedély az Azure RBAC Sentinel Olvasó szerepkör engedélyeinek delegálása. Ezek az engedélyek az egyesített portálra is érvényesek. Ezen engedélyek nélkül a Microsoft Sentinel navigációs menü nem érhető el az egyesített portálon, annak ellenére, hogy az elemző hozzáfér a Microsoft Defender portálhoz.
Az ajánlott eljárás az, hogy az összes Microsoft Sentinel kapcsolódó erőforrás ugyanabban az Azure-erőforráscsoportban található, majd delegálja Microsoft Sentinel szerepköri engedélyeket (például az Sentinel Olvasó szerepkört) a Microsoft Sentinel munkaterületet tartalmazó erőforráscsoport szintjén. Ezzel a szerepkör-hozzárendelés az összes olyan erőforrásra vonatkozik, amely támogatja Microsoft Sentinel.
Az alábbi szolgáltatásokhoz használja a különböző elérhető szerepköröket, vagy hozzon létre egyéni szerepköröket, hogy részletesen szabályozhassa, hogy a felhasználók mit láthatnak és mit tehetnek. További információ:
További információ:
- Szerepkörök és engedélyek tervezése a Microsoft Sentinel
- Beépített Azure-szerepkörök
- Microsoft Sentinel szerepkörök
- Előkészítési előfeltételek
- Egyesített RBAC kezelése Microsoft Defender-ben (videóbemutató)
Teljes felügyelet tevékenységek megtervezése
A Defender portál egyesített biztonsági műveletei a Microsoft Teljes felügyelet biztonsági modelljének részét képezik, amely a következő alapelveket foglalja magában:
| Biztonsági elv | Leírás |
|---|---|
| Explicit ellenőrzés | Mindig az összes rendelkezésre álló adatpont alapján végezze el a hitelesítést és az engedélyezést. |
| Minimális jogosultsági hozzáférés használata | Korlátozza a felhasználói hozzáférést igény szerinti és igény szerinti hozzáféréssel (JIT/JEA), kockázatalapú adaptív szabályzatokkal és adatvédelemmel. |
| Biztonsági incidens feltételezése | Minimalizálja a sugár- és szegmenshozzáférést. Ellenőrizze a végpontok közötti titkosítást, és használja az elemzéseket a láthatóság eléréséhez, a fenyegetésészlelés elősegítéséhez és a védelem javításához. |
Teljes felügyelet biztonság célja a modern digitális környezetek védelme a hálózati szegmentálás használatával, az oldalirányú mozgás megakadályozásával, a legalacsonyabb jogosultsági szintű hozzáférés biztosításával, valamint a fejlett elemzések használatával a fenyegetések észlelésére és elhárítására.
Az Teljes felügyelet alapelvekNek a Defender portálon történő implementálásával kapcsolatos további információkért tekintse meg az alábbi szolgáltatások Teljes felügyelet tartalmát:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender for Identity
- Office 365-höz készült Microsoft Defender
- Végponthoz készült Microsoft Defender
- Microsoft Defender for Cloud Apps
- Microsoft Biztonságikitettség-kezelés
- Microsoft Defender for Cloud
- Microsoft Biztonsági Copilot
- Microsoft Entra ID-védelem
- Microsoft Purview
További információ: Teljes felügyelet Útmutató központ.