Edit

Bagikan melalui

Membangun lapisan pertahanan kedua dengan layanan Keamanan XDR Pertahanan Microsoft

Microsoft Defender for Office 365
Microsoft Defender for Cloud Apps
Microsoft Defender for Identity
Microsoft 365
Microsoft Endpoint Manager

Ide solusi

Artikel ini menjelaskan ide solusi. Arsitek cloud Anda dapat menggunakan panduan ini untuk membantu memvisualisasikan komponen utama untuk implementasi umum arsitektur ini. Gunakan artikel ini sebagai titik awal untuk merancang solusi yang dirancang dengan baik yang selaras dengan persyaratan spesifik beban kerja Anda.

Umum bagi organisasi untuk menggunakan lingkungan hibrid, dengan sumber daya yang berjalan baik di Azure maupun lokal. Sebagian besar sumber daya Azure, seperti komputer virtual (VM), aplikasi Azure, dan ID Microsoft Entra, dapat dilindungi oleh layanan keamanan yang berjalan di Azure.

Organisasi sering juga berlangganan Microsoft 365 untuk menyediakan aplikasi kepada pengguna seperti Word, Excel, PowerPoint, dan Exchange online. Microsoft 365 juga menawarkan layanan keamanan yang dapat Anda gunakan untuk membangun lapisan keamanan tambahan untuk beberapa sumber daya Azure yang paling banyak digunakan.

Untuk mempertimbangkan penggunaan layanan keamanan dari Microsoft 365, sangat membantu untuk mengetahui beberapa terminologi dan memahami struktur layanan Microsoft 365. Artikel keempat ini dalam serangkaian lima dapat membantu dengan itu. Artikel ini dibangun berdasarkan topik yang dibahas dalam artikel sebelumnya, terutama:

Microsoft 365 dan Office 365 adalah layanan berbasis cloud yang dirancang untuk membantu Anda memenuhi kebutuhan organisasi akan keamanan, keandalan, dan produktivitas pengguna yang kuat. Microsoft 365 menyertakan layanan seperti Power Automate, Formulir, Stream, Sway, dan Office 365. Office 365 menyertakan rangkaian aplikasi produktivitas yang terkenal. Untuk informasi selengkapnya tentang opsi langganan untuk kedua layanan ini, lihat Opsi paket Microsoft 365 dan Office 365.

Bergantung pada lisensi yang Anda peroleh untuk Microsoft 365, Anda juga bisa mendapatkan layanan keamanan untuk Microsoft 365. Layanan keamanan ini disebut Microsoft Defender XDR, yang menyediakan beberapa layanan:

  • Pertahanan Microsoft untuk Titik Akhir
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365
  • Microsoft Defender for Cloud Apps

Diagram berikut mengilustrasikan hubungan solusi dan layanan utama yang ditawarkan Microsoft 365, meskipun tidak semua layanan tercantum.

Diagram layanan dan produk yang merupakan bagian dari Microsoft 365.

Potensi kasus penggunaan

Orang-orang terkadang bingung tentang layanan keamanan Microsoft 365 dan peran mereka dalam keamanan cyber TI. Penyebab utamanya adalah nama yang mirip satu sama lain, termasuk beberapa layanan keamanan yang berjalan di Azure, seperti Microsoft Defender untuk Cloud (sebelumnya dikenal sebagai Azure Security Center) dan Defender untuk Cloud Apps (sebelumnya dikenal sebagai Microsoft Cloud Application Security).

Tapi kebingungan bukan hanya tentang terminologi. Beberapa layanan memberikan perlindungan serupa tetapi untuk sumber daya yang berbeda, seperti Defender for Identity dan Azure Identity Protection. Kedua layanan menawarkan perlindungan untuk layanan identitas, tetapi Defender for Identity melindungi identitas lokal (melalui Layanan Domain Direktori Aktif, berdasarkan autentikasi Kerberos) sementara Azure Identity Protection melindungi identitas di cloud (melalui ID Microsoft Entra, berdasarkan autentikasi OAuth).

Contoh-contoh ini menunjukkan bahwa jika Anda memahami cara kerja layanan keamanan Microsoft 365 dan perbedaannya dibandingkan dengan layanan keamanan Azure, Anda dapat merencanakan strategi untuk keamanan di cloud Microsoft dengan cara yang efektif dan masih memberikan postur keamanan yang bagus untuk lingkungan TI Anda. Itulah tujuan artikel ini.

Diagram berikut mengilustrasikan kasus penggunaan nyata di mana Anda mungkin mempertimbangkan untuk menggunakan layanan keamanan Pertahanan Microsoft XDR. Diagram menunjukkan sumber daya yang perlu dilindungi. Layanan yang berjalan di lingkungan ditampilkan di atas. Beberapa potensi ancaman ditampilkan di bagian bawah. Layanan Microsoft Defender XDR berada di tengah, mempertahankan sumber daya organisasi dari potensi ancaman.

Diagram yang menunjukkan ancaman, urutan serangan, sumber daya yang ditargetkan, dan layanan Microsoft Defender XDR yang dapat memberikan perlindungan.

Sistem

Diagram berikut menunjukkan lapisan, berlabel DEFENDER, yang mewakili layanan keamanan Pertahanan Microsoft XDR. Menambahkan layanan ini ke lingkungan IT membantu Anda membangun pertahanan yang lebih baik untuk lingkungan Anda. Layanan di lapisan Defender dapat bekerja dengan layanan keamanan Azure.

Diagram layanan, ancaman, dan layanan keamanan yang dapat Anda konfigurasi untuk memberikan perlindungan pada sumber daya di lingkungan I T Anda.

Unduh file Visio arsitektur ini.

©2021 Mitre Corporation. Pekerjaan ini direprodisi dan didistribusikan dengan izin Dari Mitre Corporation.

Alur kerja

  1. Microsoft Defender untuk Titik Akhir

    Defender for Endpoint mengamankan titik akhir di perusahaan Anda dan dirancang untuk membantu jaringan mencegah, mendeteksi, menyelidiki, dan merespons ancaman tingkat lanjut. Ini membuat lapisan perlindungan untuk VM yang berjalan di Azure dan lokal. Untuk informasi selengkapnya tentang apa yang dapat dilindunginya, lihat Microsoft Defender untuk Titik Akhir.

  2. Aplikasi Microsoft Defender untuk Cloud

    Sebelumnya dikenal sebagai Microsoft Cloud Application Security, Defender untuk Cloud Apps adalah broker keamanan akses cloud (CASB) yang mendukung beberapa mode penyebaran. Mode tersebut termasuk pengumpulan log, konektor API, dan proksi terbalik. Ini memberikan visibilitas yang kaya, kontrol atas perjalanan data, dan analitik canggih untuk mengidentifikasi dan memerangi ancaman siber di semua layanan cloud Microsoft dan pihak ketiga Anda. Ini memberikan perlindungan dan mitigasi risiko untuk Aplikasi Cloud dan bahkan untuk beberapa aplikasi yang berjalan secara lokal. Ini juga menyediakan lapisan perlindungan bagi pengguna yang mengakses aplikasi tersebut. Untuk informasi selengkapnya, lihat gambaran umum aplikasi Microsoft Defender untuk Cloud.

    Penting untuk tidak membingungkan Defender untuk Cloud Apps dengan Microsoft Defender untuk Cloud, yang memberikan rekomendasi dan skor postur keamanan server, aplikasi, akun penyimpanan, dan sumber daya lain yang berjalan di Azure, lokal, dan di cloud lainnya. Defender untuk Cloud mengonsolidasikan dua layanan sebelumnya, Azure Security Center dan Azure Defender.

  3. Microsoft Defender untuk Office 365

    Defender untuk Office 365 melindungi organisasi Anda dari ancaman berbahaya yang ditimbulkan oleh pesan email, tautan (URL), dan alat kolaborasi. Ini memberikan perlindungan untuk email dan kolaborasi. Bergantung pada lisensi, Anda dapat menambahkan investigasi pasca-pelanggaran, perburuan, dan respons, serta otomatisasi dan simulasi (untuk pelatihan). Untuk informasi selengkapnya tentang opsi lisensi, lihat gambaran umum keamanan Microsoft Defender untuk Office 365.

  4. Pertahanan Microsoft untuk Identitas

    Defender for Identity adalah solusi keamanan berbasis cloud yang menggunakan sinyal Active Directory lokal Anda untuk mengidentifikasi, mendeteksi, dan menyelidiki ancaman tingkat lanjut, identitas yang disusupi, dan tindakan orang dalam berbahaya yang diarahkan ke organisasi Anda. Ini melindungi Active Directory Domain Services (AD DS) yang berjalan secara lokal. Meskipun layanan ini berjalan di cloud, layanan ini berfungsi untuk melindungi identitas lokal. Defender for Identity sebelumnya bernama Azure Advanced Threat Protection. Untuk informasi selengkapnya, lihat Apa itu Microsoft Defender untuk Identitas?

    Jika Anda memerlukan perlindungan untuk identitas yang disediakan oleh MICROSOFT Entra ID dan yang berjalan secara asli di cloud, pertimbangkan Microsoft Entra ID Protection.

  5. Microsoft Endpoint Manager

    Endpoint Manager menyediakan layanan untuk layanan cloud, layanan lokal, dan untuk Microsoft Intune, yang memungkinkan Anda mengontrol fitur dan pengaturan di perangkat Android, Android Enterprise, iOS, iPadOS, macOS, Windows 10, dan Windows 11. Ini terintegrasi dengan layanan lain, termasuk:

    • ID Microsoft Entra.
    • Pertahanan ancaman seluler.
    • Templat administratif (ADMX).
    • Aplikasi Win32.
    • Aplikasi lini bisnis kustom.

    Layanan lain yang sekarang menjadi bagian dari Endpoint Manager adalah Configuration Manager, solusi manajemen lokal yang memungkinkan Anda mengelola komputer klien dan server yang ada di jaringan Anda, terhubung langsung atau melalui internet. Anda dapat mengaktifkan fungsionalitas cloud untuk mengintegrasikan Configuration Manager dengan Intune, MICROSOFT Entra ID, Defender for Endpoint, dan layanan cloud lainnya. Gunakan untuk menyebarkan aplikasi, pembaruan perangkat lunak, dan sistem operasi. Anda juga dapat memantau kepatuhan, kueri untuk objek, bertindak berdasarkan klien secara real time, dan banyak lagi. Untuk mempelajari tentang semua layanan yang tersedia, lihat Gambaran umum Microsoft Endpoint Manager.

Urutan serangan contoh ancaman

Ancaman yang dinamai dalam diagram mengikuti urutan serangan umum:

  1. Penyerang mengirim email phishing dengan malware yang melekat padanya.

  2. Pengguna akhir membuka malware yang terlampir.

  3. Malware diinstal di ujung belakang tanpa memperhatikan pengguna.

  4. Malware yang diinstal mencuri kredensial beberapa pengguna.

  5. Penyerang menggunakan kredensial untuk mendapatkan akses ke akun sensitif.

  6. Jika kredensial memberikan akses ke akun yang memiliki hak istimewa yang ditingkatkan, penyerang membahmakan sistem tambahan.

Diagram juga menunjukkan di lapisan berlabel DEFENDER yang dapat dipantau dan dimitigasi oleh layanan Microsoft Defender XDR. Ini adalah contoh bagaimana Defender menyediakan lapisan keamanan tambahan yang berfungsi dengan layanan keamanan Azure untuk menawarkan perlindungan tambahan dari sumber daya yang ditunjukkan dalam diagram. Untuk informasi selengkapnya tentang bagaimana potensi serangan mengancam lingkungan TI Anda, lihat artikel kedua dalam seri ini, Memetakan ancaman terhadap lingkungan TI Anda. Untuk informasi selengkapnya tentang Microsoft Defender XDR, lihat Pertahanan Microsoft XDR.

Mengakses dan mengelola layanan Keamanan Pertahanan Microsoft XDR

Saat ini, Anda mungkin perlu menggunakan beberapa portal untuk mengelola layanan Microsoft Defender XDR. Namun, Microsoft berupaya mempusatkan fungsionalitas sebanyak mungkin. Diagram berikut menunjukkan portal mana yang saat ini tersedia dan hubungannya satu sama lain.

Diagram yang memperlihatkan hubungan portal saat ini dengan layanan.

Security.microsoft.com saat ini adalah portal terpenting yang tersedia karena membawa fungsionalitas dari Microsoft Defender untuk Office 365 (1) dan dari Pertahanan untuk Titik Akhir (2). Namun, pada Maret 2022, Anda masih dapat mengakses protection.office.com fungsionalitas keamanan mengenai Office 365 (3). Untuk Defender for Endpoint, jika Anda mencoba mengakses portal lama, securitycenter.windows.com, Anda dialihkan ke portal baru di security.microsoft.com (7).

Penggunaan portal.cloudappsecurity.com utama adalah mengelola (4) aplikasi Defender untuk Cloud. Ini memungkinkan Anda mengelola aplikasi cloud dan beberapa aplikasi yang berjalan di tempat, mengelola aplikasi yang tidak sah (SHADOW IT), dan meninjau sinyal pengguna dari Perlindungan Identitas. Anda juga dapat menggunakan portal ini untuk mengelola banyak sinyal dan fitur dari (5) Perlindungan identitas lokal, yang memungkinkan Anda mengonsolidasikan banyak fungsi dari (6) portal.atp.azure.com pada (4) portal untuk aplikasi Defender untuk Cloud. Namun, Anda masih dapat mengakses (6) portal.atp.azure.com jika Anda membutuhkannya.

Terakhir, endpoint.microsoft.com menyediakan fungsionalitas terutama untuk Intune dan Configuration Manager, tetapi juga untuk layanan lain yang merupakan bagian dari Endpoint Manager. Karena security.microsoft.com dan endpoint.microsoft.com memberikan perlindungan keamanan untuk titik akhir, mereka memiliki banyak interaksi di antara mereka (9) untuk menawarkan postur keamanan yang bagus untuk titik akhir Anda.

Komponen

Contoh arsitektur dalam artikel ini menggunakan komponen Azure berikut:

  • ID Microsoft Entra adalah layanan manajemen identitas dan akses berbasis cloud. MICROSOFT Entra ID membantu pengguna Anda mengakses sumber daya eksternal, seperti Microsoft 365, portal Azure, dan ribuan aplikasi SaaS lainnya. Ini juga membantu mereka mengakses sumber daya internal, seperti aplikasi di jaringan intranet perusahaan Anda.

  • Azure Virtual Network adalah blok bangunan dasar untuk jaringan pribadi Anda di Azure. Virtual Network memungkinkan banyak jenis sumber daya Azure untuk berkomunikasi satu sama lain dengan aman, internet, dan jaringan lokal. Virtual Network menyediakan jaringan virtual yang mendapat manfaat dari infrastruktur Azure, seperti skala, ketersediaan, dan isolasi.

  • Azure Load Balancer adalah layanan penyeimbangan beban Lapisan 4 latensi rendah berkinerja tinggi (masuk dan keluar) untuk semua protokol UDP dan TCP. Opsi ini dibangun untuk menangani jutaan permintaan setiap detik sambil memastikan bahwa solusi Anda sangat tersedia. Azure Load Balancer bersifat zona-redundan, memastikan ketersediaan tinggi di seluruh Zona Ketersediaan.

  • Komputer virtual adalah salah satu dari beberapa jenis sumber daya komputasi sesuai permintaan dan dapat diskalakan yang ditawarkan Azure. Mesin virtual (VM) Azure memberi Anda fleksibilitas virtualisasi tanpa harus membeli dan memelihara perangkat keras fisik yang menjalankannya.

  • Azure Kubernetes Service (AKS) adalah layanan Kubernetes yang dikelola sepenuhnya untuk menyebarkan dan mengelola aplikasi dalam kontainer. AKS menyediakan Kubernetes tanpa server, integrasi berkelanjutan/pengiriman berkelanjutan (CI/CD), dan keamanan dan tata kelola tingkat perusahaan.

  • Azure Virtual Desktop adalah layanan virtualisasi desktop dan aplikasi yang berjalan di cloud untuk menyediakan desktop bagi pengguna jarak jauh.

  • Web Apps adalah layanan berbasis HTTP untuk menghosting aplikasi web, REST API, dan back end seluler. Anda dapat mengembangkan dalam bahasa favorit Anda, dan aplikasi berjalan dan menskalakan dengan mudah di lingkungan berbasis Windows dan Linux.

  • Azure Storage sangat tersedia, penyimpanan yang dapat diskalakan, tahan lama, dan aman secara besar-besaran untuk berbagai objek data di cloud, termasuk objek, blob, file, disk, antrean, dan penyimpanan tabel. Semua data yang ditulis ke akun penyimpanan Microsoft Azure dienkripsi oleh layanan. Azure Storage memberi Anda kontrol mendetail atas siapa yang memiliki akses ke data Anda.

  • Database Azure SQL adalah mesin database PaaS yang dikelola sepenuhnya yang menangani sebagian besar fungsi manajemen database seperti peningkatan, patching, pencadangan, dan pemantauan. Ini menyediakan fungsi-fungsi ini tanpa keterlibatan pengguna. SQL Database menyediakan berbagai fitur keamanan dan kepatuhan bawaan untuk membantu aplikasi Anda memenuhi persyaratan keamanan dan kepatuhan.

Kontributor

Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.

Penulis utama:

Kontributor lain:

Langkah berikutnya

Untuk detail selengkapnya tentang arsitektur referensi ini, lihat artikel lain dalam seri ini: