Valutare e pilotare la sicurezza Microsoft Defender XDR
Si applica a:
- Microsoft Defender XDR
Funzionamento di questa serie di articoli
Questa serie è progettata per eseguire l'intero processo di configurazione di un ambiente XDR di valutazione, end-to-end, in modo da poter valutare le funzionalità e le funzionalità di Microsoft Defender XDR e persino promuovere l'ambiente di valutazione direttamente alla produzione quando si è pronti.
Se non si ha familiarità con la sicurezza XDR, è possibile analizzare i 7 articoli collegati di questa serie per avere un'idea della completezza della soluzione.
- Come creare l'ambiente
- Configurare o ottenere informazioni su ogni tecnologia di questo XDR Microsoft
- Come analizzare e rispondere usando questo XDR
- Promuovere l'ambiente di valutazione nell'ambiente di produzione
Che cos'è XDR e Microsoft Defender XDR?
La sicurezza XDR è un passo avanti nella sicurezza informatica perché prende i dati sulle minacce dai sistemi che una volta erano isolati e li unifica in modo da poter vedere i modelli e agire su di essi più velocemente.
Ad esempio, Microsoft XDR unifica la sicurezza dell'endpoint (rilevamento e risposta degli endpoint o EDR), della posta elettronica, dell'app e dell'identità in un'unica posizione.
Microsoft Defender XDR è una soluzione di rilevamento e risposta (XDR) eXtended che raccoglie, correla e analizza automaticamente i dati di segnale, minaccia e avviso provenienti dall'ambiente Microsoft 365, inclusi endpoint, posta elettronica, applicazioni e identità. Sfrutta l'intelligenza artificiale e l'automazione per arrestare automaticamente gli attacchi e correggere gli asset interessati in uno stato sicuro.
Consigli microsoft per la valutazione della sicurezza Microsoft Defender XDR
Microsoft consiglia di creare la valutazione in una sottoscrizione di produzione esistente di Office 365. In questo modo si otterranno immediatamente informazioni dettagliate sul mondo reale e sarà possibile ottimizzare le impostazioni in modo che funzionino contro le minacce correnti nell'ambiente. Dopo aver acquisito esperienza e aver acquisito familiarità con la piattaforma, è sufficiente promuovere ogni componente, uno alla volta, alla produzione.
L'anatomia di un attacco di cyber security
Microsoft Defender XDR è una suite di difesa aziendale basata sul cloud, unificata, pre e post-violazione. Coordina la prevenzione, il rilevamento, l'analisi e la risposta tra endpoint, identità, app, posta elettronica, applicazioni collaborative e tutti i relativi dati.
In questa illustrazione è in corso un attacco. Il messaggio di posta elettronica di phishing arriva alla posta in arrivo di un dipendente dell'organizzazione, che apre inconsapevolmente l'allegato di posta elettronica. Questo installa il malware, che porta a una catena di eventi che potrebbero terminare con il furto di dati sensibili. Ma in questo caso, Defender per Office 365 è in funzione.
Nella figura:
- Exchange Online Protection, parte di Microsoft Defender per Office 365, può rilevare la posta elettronica di phishing e usare le regole del flusso di posta (note anche come regole di trasporto) per assicurarsi che non arrivi mai nella posta in arrivo.
- Defender per Office 365 usa allegati sicuri per testare l'allegato e determinare che è dannoso, in modo che la posta che arriva non sia utilizzabile dall'utente o i criteri impediscono l'arrivo della posta elettronica.
- Defender per endpoint gestisce i dispositivi che si connettono alla rete aziendale e rilevano le vulnerabilità del dispositivo e della rete che potrebbero altrimenti essere sfruttate.
- Defender per identità prende nota di modifiche improvvise dell'account, ad esempio l'escalation dei privilegi o lo spostamento laterale ad alto rischio. Segnala anche i problemi di identità facilmente sfruttati, ad esempio la delega Kerberos non vincolata, per la correzione da parte del team di sicurezza.
- Microsoft Defender for Cloud Apps rileva un comportamento anomalo, ad esempio spostamento impossibile, accesso alle credenziali e download insolito, condivisione file o attività di inoltro della posta elettronica e le segnala al team di sicurezza.
Microsoft Defender XDR componenti proteggere dispositivi, identità, dati e applicazioni
Microsoft Defender XDR è costituito da queste tecnologie di sicurezza, che operano in parallelo. Non sono necessari tutti questi componenti per trarre vantaggio dalle funzionalità di XDR e Microsoft Defender XDR. Potrai realizzare vantaggi ed efficienza anche usando uno o due.
| Componente | Descrizione | Materiale di riferimento |
|---|---|---|
| Microsoft Defender per identità | Microsoft Defender per identità usa i segnali di Active Directory per identificare, rilevare e analizzare le minacce avanzate, le identità compromesse e le azioni insider dannose dirette all'organizzazione. | Che cos'è Microsoft Defender per identità? |
| Exchange Online Protection | Exchange Online Protection è il servizio di inoltro SMTP nativo basato sul cloud e filtro che consente di proteggere l'organizzazione da posta indesiderata e malware. | Panoramica di Exchange Online Protection (EOP) - Office 365 |
| Microsoft Defender per Office 365 | Microsoft Defender per Office 365 protegge l'organizzazione da minacce dannose poste da messaggi di posta elettronica, collegamenti (URL) e strumenti di collaborazione. | Microsoft Defender per Office 365 - Office 365 |
| Microsoft Defender per endpoint | Microsoft Defender per endpoint è una piattaforma unificata per la protezione dei dispositivi, il rilevamento post-violazione, l'indagine automatizzata e la risposta consigliata. | Microsoft Defender per endpoint - Sicurezza di Windows |
| Microsoft Defender for Cloud Apps | Microsoft Defender for Cloud Apps è una soluzione saaS completa che offre visibilità approfondita, controlli dati avanzati e protezione avanzata dalle minacce per le app cloud. | Cos’è Defender per app cloud? |
| Microsoft Entra ID Protection | Microsoft Entra ID Protection valuta i dati di rischio da miliardi di tentativi di accesso e usa questi dati per valutare il rischio di ogni accesso all'ambiente. Questi dati vengono usati da Microsoft Entra ID per consentire o impedire l'accesso all'account, a seconda della configurazione dei criteri di accesso condizionale. Microsoft Entra ID Protection viene concesso in licenza separatamente da Microsoft Defender XDR. È incluso in Microsoft Entra ID P2. | Che cos'è Identity Protection? |
architettura Microsoft Defender XDR
Il diagramma seguente illustra l'architettura di alto livello per le principali Microsoft Defender XDR componenti e integrazioni. L'architettura dettagliata per ogni componente Defender e gli scenari di casi d'uso sono disponibili in questa serie di articoli.
In questa illustrazione:
- Microsoft Defender XDR combina i segnali provenienti da tutti i componenti di Defender per fornire il rilevamento e la risposta estesi (XDR) tra domini. Sono inclusi una coda unificata degli eventi imprevisti, una risposta automatizzata per arrestare gli attacchi, la correzione automatica (per dispositivi compromessi, identità utente e cassette postali), la ricerca tra minacce e l'analisi delle minacce.
- Microsoft Defender per Office 365 protegge l'organizzazione dalle minacce dannose rappresentate da messaggi di posta elettronica, collegamenti (URL) e strumenti di collaborazione. Condivide i segnali risultanti da queste attività con Microsoft Defender XDR. Exchange Online Protection (EOP) è integrato per fornire protezione end-to-end per la posta elettronica e gli allegati in ingresso.
- Microsoft Defender per identità raccoglie i segnali dai server che eseguono Active Directory Federated Services (AD FS) e Active Directory locale Domain Services (AD DS). Usa questi segnali per proteggere l'ambiente di identità ibrido, inclusa la protezione dagli hacker che usano account compromessi per spostarsi lateralmente tra le workstation nell'ambiente locale.
- Microsoft Defender per endpoint raccoglie i segnali da e protegge i dispositivi usati dall'organizzazione.
- Microsoft Defender for Cloud Apps raccoglie segnali dall'uso delle app cloud da parte dell'organizzazione e protegge il flusso di dati tra l'ambiente e queste app, incluse le app cloud approvate e non approvate.
- Microsoft Entra ID Protection valuta i dati di rischio da miliardi di tentativi di accesso e usa questi dati per valutare il rischio di ogni accesso all'ambiente. Questi dati vengono usati da Microsoft Entra ID per consentire o impedire l'accesso all'account, a seconda della configurazione dei criteri di accesso condizionale. Microsoft Entra ID Protection viene concesso in licenza separatamente da Microsoft Defender XDR. È incluso in Microsoft Entra ID P2.
Microsoft SIEM e SOAR possono usare i dati di Microsoft Defender XDR
Altri componenti facoltativi dell'architettura non inclusi in questa illustrazione:
- I dati dettagliati dei segnali di tutti i componenti Microsoft Defender XDR possono essere integrati in Microsoft Sentinel e combinati con altre origini di registrazione per offrire funzionalità e informazioni dettagliate complete su SIEM e SOAR.
- Per altre informazioni sull'uso di Microsoft Sentinel, un SIEM di Azure, con Microsoft Defender XDR come XDR, vedere questo articolo panoramica e i passaggi di integrazione di Microsoft Sentinel e Microsoft Defender XDR.
- Per altre informazioni su SOAR in Microsoft Sentinel (inclusi i collegamenti ai playbook nel repository GitHub di Microsoft Sentinel), leggere questo articolo.
Il processo di valutazione per la sicurezza informatica Microsoft Defender XDR
Microsoft consiglia di abilitare i componenti di Microsoft 365 nell'ordine illustrato:
La tabella seguente descrive questa illustrazione.
| Numero di serie | Passaggio | Descrizione |
|---|---|---|
| 1 | Creare l'ambiente di valutazione | Questo passaggio garantisce la licenza di valutazione per Microsoft Defender XDR. |
| 2 | Abilitare Defender per l'identità | Esaminare i requisiti di architettura, abilitare la valutazione e seguire le esercitazioni per identificare e correggere i diversi tipi di attacco. |
| 3 | Abilitare Defender per Office 365 | Assicurarsi di soddisfare i requisiti di architettura, abilitare la valutazione e quindi creare l'ambiente pilota. Questo componente include Exchange Online Protection e quindi verranno effettivamente valutati entrambi qui. |
| 4 | Abilitare Defender per endpoint | Assicurarsi di soddisfare i requisiti di architettura, abilitare la valutazione e quindi creare l'ambiente pilota. |
| 5 | Abilitare Microsoft Defender for Cloud Apps | Assicurarsi di soddisfare i requisiti di architettura, abilitare la valutazione e quindi creare l'ambiente pilota. |
| 6 | Indagare e rispondere alle minacce | Simulare un attacco e iniziare a usare le funzionalità di risposta agli eventi imprevisti. |
| 7 | Promuovere la versione di valutazione in produzione | Alzare di livello i componenti di Microsoft 365 alla produzione uno per uno. |
Questo ordine è comunemente consigliato e progettato per sfruttare rapidamente il valore delle funzionalità in base all'impegno in genere necessario per distribuire e configurare le funzionalità. Ad esempio, Defender per Office 365 può essere configurato in meno tempo di quanto necessario per registrare i dispositivi in Defender per endpoint. Naturalmente, è necessario assegnare priorità ai componenti per soddisfare le esigenze aziendali e abilitarli in un ordine diverso.
Passare al passaggio successivo
Informazioni su e/o creare l'ambiente di valutazione Microsoft Defender XDR
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per