Megosztás a következőn keresztül:


Tervezési útmutató az egyesített biztonsági műveletekhez a Microsoft Defender portálon

Ez a cikk azt ismerteti, hogyan tervezheti meg az egységes biztonsági műveletek üzembe helyezését a Microsoft Defender portálon. A biztonsági műveletek egységesítésével csökkentheti a kockázatokat, megelőzheti a támadásokat, valós időben észlelheti és megzavarhatja a kibertámadásokat, és gyorsabban reagálhat az AI által továbbfejlesztett biztonsági képességekkel, mindezt a Microsoft Defender portálon.

Az üzembe helyezés megtervezése

A Defender portál egyesíti az olyan szolgáltatásokat, mint a Microsoft Defender XDR, a Microsoft Sentinel, a Microsoft Biztonságikitettség-kezelés és a Microsoft Security Copilot az egyesített biztonsági műveletekhez.

Az üzembe helyezés megtervezésének első lépése a használni kívánt szolgáltatások kiválasztása.

Alapvető előfeltételként Microsoft Defender XDR és Microsoft Sentinel is szüksége lesz a Microsoft és a nem Microsoft-szolgáltatások és -megoldások figyeléséhez és védelméhez, beleértve a felhőbeli és a helyszíni erőforrásokat is.

Az alábbi szolgáltatások bármelyikét üzembe helyezheti a végpontok, identitások, e-mailek és alkalmazások biztonságának biztosításához, hogy integrált védelmet nyújtson a kifinomult támadásokkal szemben.

Microsoft Defender XDR szolgáltatások a következők:

Szolgáltatás Leírás
Office 365-höz készült Microsoft Defender Védelmet nyújt az e-mailek, URL-hivatkozások és Office 365 együttműködési eszközök által jelentett fenyegetések ellen.
Microsoft Defender for Identity Azonosítja, észleli és kivizsgálja a helyi Active Directory és a felhőbeli identitások( például Microsoft Entra ID) fenyegetéseit.
Végponthoz készült Microsoft Defender Figyeli és védi a végponteszközöket, észleli és kivizsgálja az eszközmegsértéseket, és automatikusan reagál a biztonsági fenyegetésekre.
Microsoft Defender for IoT IoT-eszközfelderítést és biztonsági értéket is biztosít az IoT-eszközökhöz.
Microsoft Defender biztonságirés-kezelése Azonosítja az eszközöket és a szoftverleltárat, és felméri az eszközök állapotát a biztonsági rések megtalálásához.
Microsoft Defender for Cloud Apps Védi és szabályozza az SaaS-felhőalkalmazásokhoz való hozzáférést.

A Microsoft Defender portálon támogatott, de a Microsoft Defender XDR licenccel nem rendelkező egyéb szolgáltatások közé tartoznak a következők:

Szolgáltatás Leírás
Microsoft Biztonságikitettség-kezelés Egységes képet nyújt a vállalati eszközök és számítási feladatok biztonsági helyzetéről, és gazdagítja az eszközinformációkat a biztonsági környezettel.
Microsoft Biztonsági Copilot A biztonsági műveletek javításához AI-alapú elemzéseket és javaslatokat biztosít.
Microsoft Defender for Cloud Fejlett fenyegetésészleléssel és reagálással védi a többfelhős és hibrid környezeteket.
Microsoft Defender Intelligens veszélyforrás-felderítés Leegyszerűsíti a fenyegetésfelderítési munkafolyamatokat a kritikus adatforrások összesítésével és bővítésével, így korrelálva a biztonsági rések mutatóit a kapcsolódó cikkekkel, aktorprofilokkal és biztonsági résekkel.
Microsoft Entra ID-védelem Kiértékeli a bejelentkezési kísérletekből származó kockázati adatokat, hogy kiértékelje a környezetbe való bejelentkezések kockázatát.
Microsoft Purview Belső kockázatkezelés Különböző jeleket korrelál, hogy azonosítsa a potenciális rosszindulatú vagy véletlen belső kockázatokat, például az IP-lopást, az adatszivárgást és a biztonsági szabálysértéseket.

A szolgáltatás előfeltételeinek áttekintése

Mielőtt Microsoft Defender szolgáltatásokat telepít az egyesített biztonsági műveletekhez, tekintse át az egyes használni kívánt szolgáltatások előfeltételeit. Az alábbi táblázat a szolgáltatásokat és hivatkozásokat sorolja fel további információkért:

Biztonsági szolgáltatás Előfeltételek
Az egyesített biztonsági műveletekhez szükséges
Microsoft Defender XDR Microsoft Defender XDR előfeltételek
Microsoft Sentinel A Microsoft Sentinel üzembe helyezésének előfeltételei
Választható Microsoft Defender XDR szolgáltatások
Office Microsoft Defender Microsoft Defender XDR előfeltételek
Microsoft Defender for Identity Microsoft Defender for Identity előfeltételek
Végponthoz készült Microsoft Defender Végponthoz készült Microsoft Defender üzembe helyezés beállítása
Nagyvállalati monitorozás az IoT-hez készült Microsoft Defender Az IoT-hez készült Defender előfeltételei a Defender portálon
A Microsoft Defender biztonságirés-kezelése Előfeltételek & engedélyek Microsoft Defender biztonságirés-kezelés
Microsoft Defender for Cloud Apps Ismerkedés a Microsoft Defender for Cloud Apps szolgáltatással
A Microsoft Defender portálon támogatott egyéb szolgáltatások
Microsoft Biztonságikitettség-kezelés Előfeltételek és támogatás
Microsoft Biztonsági Copilot Minimális követelmények
Microsoft Defender for Cloud Kezdje el megtervezni a többfelhős védelmet és más cikkeket ugyanabban a szakaszban.
Microsoft Defender Intelligens veszélyforrás-felderítés A Defender veszélyforrás-felderítés előfeltételei
Microsoft Entra ID-védelem A Microsoft Entra ID-védelem előfeltételei
Microsoft Purview Belső kockázatkezelés Első lépések a belső kockázatkezelés terén

Az adatok biztonságának és adatvédelmi gyakorlatának áttekintése

Mielőtt Microsoft Defender szolgáltatásokat telepít az egyesített biztonsági műveletekhez, mindenképpen tisztában kell lenni az egyes használni kívánt szolgáltatások adatbiztonsági és adatvédelmi gyakorlatával. Az alábbi táblázat a szolgáltatásokat és hivatkozásokat sorolja fel további információkért. Vegye figyelembe, hogy számos szolgáltatás használja az adatbiztonságot és az adatmegőrzési eljárásokat a Microsoft Defender XDR ahelyett, hogy külön eljárásokkal rendelkezik.

Biztonsági szolgáltatás Adatbiztonság és adatvédelem
Az egyesített biztonsági műveletekhez szükséges
Microsoft Defender XDR Adatbiztonság és adatmegőrzés a Microsoft Defender XDR
Microsoft Sentinel Földrajzi elérhetőség és adattárolási hely Microsoft Sentinel
Választható Microsoft Defender XDR szolgáltatások
Office Microsoft Defender Adatbiztonság és adatmegőrzés a Microsoft Defender XDR
Microsoft Defender for Identity Adatvédelem a Microsoft Defender for Identity
Végponthoz készült Microsoft Defender Végponthoz készült Microsoft Defender adattárolás és adatvédelem
Nagyvállalati monitorozás az IoT-hez készült Microsoft Defender Adatbiztonság és adatmegőrzés a Microsoft Defender XDR
A Microsoft Defender biztonságirés-kezelése Végponthoz készült Microsoft Defender adattárolás és adatvédelem
Microsoft Defender for Cloud Apps Adatvédelem Microsoft Defender for Cloud Apps
A Microsoft Defender portálon támogatott egyéb szolgáltatások
Microsoft Biztonságikitettség-kezelés Adatok frissessége, megőrzése és a kapcsolódó funkciók
Microsoft Biztonsági Copilot Adatvédelem és adatbiztonság a Microsoft Biztonsági Copilotban
Microsoft Defender for Cloud Microsoft Defender a felhőbeli adatbiztonsághoz
Microsoft Defender Intelligens veszélyforrás-felderítés Adatbiztonság és adatmegőrzés a Microsoft Defender XDR
Microsoft Entra ID-védelem Microsoft Entra adatmegőrzés
Microsoft Purview Belső kockázatkezelés Microsoft Purview belső kockázatkezelés és kommunikációs megfelelőség – adatvédelmi útmutató

Üzenetkezelési rekordkezelési (MRM) és adatmegőrzési házirendek a Microsoft 365-ben

A Log Analytics-munkaterület architektúrájának megtervezve

A Defender portálra való Microsoft Sentinel előkészítéséhez először engedélyeznie kell egy Log Analytics-munkaterületet a Microsoft Sentinel számára. Egy Log Analytics-munkaterület számos környezethez elegendő lehet, de számos szervezet több munkaterületet hoz létre a költségek optimalizálása és a különböző üzleti követelmények jobb kielégítése érdekében.

Tervezheti meg az Microsoft Sentinel engedélyezni kívánt Log Analytics-munkaterületet. Vegye figyelembe az adatgyűjtésre és tárolásra vonatkozó megfelelőségi követelményeket, valamint a Microsoft Sentinel adatokhoz való hozzáférés szabályozásának módját.

További információ:

  1. Munkaterület architektúrája megtervezése
  2. Minta munkaterülettervek áttekintése

Költségek és adatforrások tervezése Microsoft Sentinel

A Defender portál natív módon betöltheti az adatokat belső Microsoft-szolgáltatásokból, például a Microsoft Defender for Cloud Apps és a felhőhöz készült Microsoft Defender. Javasoljuk, hogy Microsoft Sentinel adatösszekötők hozzáadásával bővítse a lefedettséget a környezet más adatforrásaira.

Az adatforrások meghatározása

Határozza meg az adatforrások teljes készletét, amelyből adatokat fog betölteni, valamint az adatméretre vonatkozó követelményeket, amelyek segítenek az üzemelő példány költségvetésének és ütemtervének pontos kivetítésében. Ezeket az információkat az üzleti használati esetek áttekintése során, vagy egy már meglévő SIEM kiértékelésével határozhatja meg. Ha már rendelkezik SIEM-sel, elemezze az adatokat, és állapítsa meg, hogy mely adatforrások biztosítják a legnagyobb értéket, és Microsoft Sentinel kell betölteni őket.

Előfordulhat például, hogy az alábbi ajánlott adatforrások bármelyikét szeretné használni:

  • Azure-szolgáltatások: Ha az alábbi szolgáltatások bármelyike üzembe van helyezve az Azure-ban, az alábbi összekötőkkel küldje el ezeknek az erőforrásoknak a diagnosztikai naplóit a Microsoft Sentinel:

    • Azure Firewall
    • Azure Application Gateway
    • Kulcstartó
    • Azure Kubernetes Service
    • Azure SQL
    • Hálózati biztonsági csoportok
    • Azure-Arc-kiszolgálók

    Javasoljuk, hogy állítson be Azure Policy, hogy a naplókat a mögöttes Log Analytics-munkaterületre továbbítsák. További információ: Diagnosztikai beállítások létrehozása nagy méretekben Azure Policy használatával.

  • Virtuális gépek: A helyszínen vagy más felhőben üzemeltetett virtuális gépek esetében, amelyek naplóinak gyűjtését igénylik, használja a következő adatösszekötőket:

    • események Windows biztonság az AMA használatával
    • Események a Végponthoz készült Defenderen keresztül (kiszolgálóhoz)
    • Syslog
  • Hálózati virtuális berendezések/helyszíni források: A közös eseményformátumot (CEF) vagy SYSLOG-naplókat létrehozó hálózati virtuális berendezések vagy más helyszíni források esetében használja a következő adatösszekötőket:

    • Syslog az AMA-val
    • Common Event Format (CEF) az AMA-n keresztül

További információ: Az adatösszekötők rangsorolása.

A költségvetés megtervezve

Tervezze meg a Microsoft Sentinel költségvetést, figyelembe véve az egyes tervezett forgatókönyvekre gyakorolt költségeket. Győződjön meg arról, hogy a költségvetés fedezi a Microsoft Sentinel és az Azure Log Analytics, az üzembe helyezett forgatókönyvek és így tovább az adatbetöltés költségeit. További információ:

A Microsoft biztonsági portáljai és felügyeleti központjai

Bár a Microsoft Defender portál az identitások, adatok, eszközök és alkalmazások biztonságának figyelésének és kezelésének az otthona, bizonyos speciális feladatokhoz különböző portálokhoz kell hozzáférnie.

A Microsoft biztonsági portáljai a következők:

Portál neve Leírás Láncszem
Microsoft Defender portál Figyelheti és reagálhat a fenyegetésekkel kapcsolatos tevékenységekre, és megerősítheti a biztonsági állapotot az identitások, az e-mailek, az adatok, a végpontok és az alkalmazások között a Microsoft Defender XDR security.microsoft.com

A Microsoft Defender portálon tekintheti meg és kezelheti a riasztásokat, incidenseket, beállításokat és egyebeket.
Felhőhöz készült Defender portál A felhőhöz készült Microsoft Defender használata az adatközpontok és a hibrid számítási feladatok biztonsági helyzetének megerősítéséhez a felhőben portal.azure.com/#blade/Microsoft_Azure_Security
Microsoft biztonsági intelligencia portál Biztonságiintelligencia-frissítések lekérése Végponthoz készült Microsoft Defender, minták beküldése és a fenyegetések enciklopédiájának megismerése microsoft.com/wdsi

Az alábbi táblázat más számítási feladatok portáljait ismerteti, amelyek hatással lehetnek a biztonságra. Az identitások, engedélyek, eszközbeállítások és adatkezelési szabályzatok kezeléséhez látogasson el ezekre a portálokra.

Portál neve Leírás Láncszem
Microsoft Entra felügyeleti központ A Microsoft Entra család elérése és felügyelete decentralizált identitással, identitásvédelemmel, irányítással és egyebekkel, többfelhős környezetben történő védelméhez entra.microsoft.com
Azure Portal Az összes Azure-erőforrás megtekintése és kezelése portal.azure.com
Microsoft Purview portál Adatkezelési szabályzatok kezelése és a szabályozásoknak való megfelelés biztosítása purview.microsoft.com
Microsoft 365 felügyeleti központ Microsoft 365-szolgáltatások konfigurálása; szerepkörök, licencek kezelése és a Microsoft 365-szolgáltatások frissítéseinek nyomon követése admin.microsoft.com
Microsoft Intune Felügyeleti központ Az eszközök felügyeletéhez és védelméhez használja a Microsoft Intune. Kombinálhatja Intune és Configuration Manager képességeit is. intune.microsoft.com
Microsoft Intune portál A Microsoft Intune használata eszközszabályzatok üzembe helyezéséhez és az eszközök megfelelőségének figyeléséhez intune.microsoft.com

Szerepkörök és engedélyek tervezése

A Microsoft Defender portál az alábbi szerepköralapú hozzáférés-vezérlési (RBAC-) modelleket egyesíti az egyesített biztonsági műveletekhez:

  • Microsoft Entra ID A Defender-hozzáférés delegálásához használt RBAC, például eszközcsoportok
  • Az Microsoft Sentinel által az engedélyek delegálásához használt Azure RBAC
  • Defender egyesített RBAC, amely engedélyek delegálására szolgál a Defender-megoldások között

Bár az Azure RBAC-ben a Microsoft Sentinel számára megadott engedélyek a futtatás során a Defender egyesített RBAC-jével vannak összevonva, az Azure RBAC és a Defender RBAC továbbra is külön kezelhető.

A Defender egyesített RBAC-jének nincs szüksége a munkaterület Defender portálra való előkészítéséhez, és Microsoft Sentinel engedélyek továbbra is a várt módon működnek a Defender portálon, még egyesített RBAC nélkül is. Az egyesített RBAC használata azonban leegyszerűsíti az engedélyek delegálását a Defender-megoldások között. További információ: Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC) aktiválása.

Az elemzők számára az Microsoft Sentinel adatok megtekintéséhez minimálisan szükséges engedély az Azure RBAC Sentinel Olvasó szerepkör engedélyeinek delegálása. Ezek az engedélyek az egyesített portálra is érvényesek. Ezen engedélyek nélkül a Microsoft Sentinel navigációs menü nem érhető el az egyesített portálon, annak ellenére, hogy az elemző hozzáfér a Microsoft Defender portálhoz.

Az ajánlott eljárás az, hogy az összes Microsoft Sentinel kapcsolódó erőforrás ugyanabban az Azure-erőforráscsoportban található, majd delegálja Microsoft Sentinel szerepköri engedélyeket (például az Sentinel Olvasó szerepkört) a Microsoft Sentinel munkaterületet tartalmazó erőforráscsoport szintjén. Ezzel a szerepkör-hozzárendelés az összes olyan erőforrásra vonatkozik, amely támogatja Microsoft Sentinel.

Az alábbi szolgáltatásokhoz használja a különböző elérhető szerepköröket, vagy hozzon létre egyéni szerepköröket, hogy részletesen szabályozhassa, hogy a felhasználók mit láthatnak és mit tehetnek. További információ:

Biztonsági szolgáltatás Hivatkozás a szerepkörökre vonatkozó követelményekre
Az egyesített biztonsági műveletekhez szükséges
Microsoft Defender XDR A Microsoft Defender XDR hozzáférésének kezelése Microsoft Entra globális szerepkörökkel
Microsoft Sentinel Szerepkörök és engedélyek a Microsoft Sentinel
Választható Microsoft Defender XDR szolgáltatások
Microsoft Defender for Identity szerepkörcsoportok Microsoft Defender for Identity
Office Microsoft Defender engedélyek Office 365-höz készült Microsoft Defender a Microsoft Defender portálon
Végponthoz készült Microsoft Defender Szerepkörök és engedélyek hozzárendelése Végponthoz készült Microsoft Defender üzemelő példányhoz
A Microsoft Defender biztonságirés-kezelése A Microsoft Defender biztonságirés-kezelés vonatkozó engedélybeállításai
Microsoft Defender for Cloud Apps Rendszergazdai hozzáférés konfigurálása Microsoft Defender for Cloud Apps
A Microsoft Defender portálon támogatott egyéb szolgáltatások
Microsoft Biztonságikitettség-kezelés A Microsoft Biztonságikitettség-kezelés engedélyei
Microsoft Defender for Cloud Felhasználói szerepkörök és engedélyek
Microsoft Purview Belső kockázatkezelés Belső kockázatkezelés engedélyeinek engedélyezése

További információ:

Teljes felügyelet tevékenységek megtervezése

A Defender portál egyesített biztonsági műveletei a Microsoft Teljes felügyelet biztonsági modelljének részét képezik, amely a következő alapelveket foglalja magában:

Biztonsági elv Leírás
Explicit ellenőrzés Mindig az összes rendelkezésre álló adatpont alapján végezze el a hitelesítést és az engedélyezést.
Minimális jogosultsági hozzáférés használata Korlátozza a felhasználói hozzáférést igény szerinti és igény szerinti hozzáféréssel (JIT/JEA), kockázatalapú adaptív szabályzatokkal és adatvédelemmel.
Biztonsági incidens feltételezése Minimalizálja a sugár- és szegmenshozzáférést. Ellenőrizze a végpontok közötti titkosítást, és használja az elemzéseket a láthatóság eléréséhez, a fenyegetésészlelés elősegítéséhez és a védelem javításához.

Teljes felügyelet biztonság célja a modern digitális környezetek védelme a hálózati szegmentálás használatával, az oldalirányú mozgás megakadályozásával, a legalacsonyabb jogosultsági szintű hozzáférés biztosításával, valamint a fejlett elemzések használatával a fenyegetések észlelésére és elhárítására.

Az Teljes felügyelet alapelvekNek a Defender portálon történő implementálásával kapcsolatos további információkért tekintse meg az alábbi szolgáltatások Teljes felügyelet tartalmát:

További információ: Teljes felügyelet Útmutató központ.

További lépés

Üzembe helyezés egyesített biztonsági műveletekhez