Del via

Pilot og distribuer Microsoft Defender XDR

  • Artikkel

Gjelder for:

  • Microsoft Defender XDR

Denne serien med artikler veileder deg gjennom hele prosessen med å styre komponentene i Microsoft Defender XDR i produksjonsleieren, slik at du kan evaluere funksjonene og funksjonene deres og deretter fullføre distribusjonen på tvers av organisasjonen.

En eXtended-deteksjons- og responsløsning (XDR) er et skritt fremover i cybersikkerhet fordi den tar trusseldataene fra systemer som en gang var isolert og forener dem, slik at du kan se mønstre og handle på mistenkte cyberangrep raskere.

Microsoft Defender XDR:

  • Er en XDR-løsning som kombinerer informasjon om cyberangrep for identiteter, endepunkter, e-post og skyapper på ett sted. Den drar nytte av kunstig intelligens (AI) og automatisering for automatisk å stoppe noen typer angrep og utbedre berørte eiendeler til en trygg tilstand.

  • Er en skybasert, enhetlig, pre- og post-breach enterprise defense suite. Det koordinerer forebygging, gjenkjenning, undersøkelse og respons på tvers av identiteter, endepunkter, e-post, skyapper og deres data.

  • Bidrar til en sterk nulltillit arkitektur ved å tilby trusselbeskyttelse og -gjenkjenning. Det bidrar til å forhindre eller redusere forretningsskader fra et brudd. Hvis du vil ha mer informasjon, kan du se implementer trusselbeskyttelse og XDR-forretningsscenario i rammeverket for implementering av Microsoft nulltillit.

Microsoft Defender XDR komponenter og arkitektur

Denne tabellen viser komponentene i Microsoft Defender XDR.

Komponent Beskrivelse Hvis du vil ha mer informasjon
Microsoft Defender for identitet Bruker signaler fra lokal Active Directory Domain Services (AD DS) og Active Directory Federation Services (AD FS) til å identifisere, oppdage og undersøke avanserte trusler, kompromitterte identiteter og ondsinnede insiderhandlinger rettet mot organisasjonen. Hva er Microsoft Defender for identitet?
Exchange Online Protection Den opprinnelige skybaserte SMTP-videresendings- og filtreringstjenesten som bidrar til å beskytte organisasjonen mot søppelpost og skadelig programvare. Exchange Online Protection (EOP)-oversikt – Office 365
Microsoft Defender for Office 365 Beskytter organisasjonen mot skadelige trusler fra e-postmeldinger, koblinger og samarbeidsverktøy. Microsoft Defender for Office 365 - Office 365
Microsoft Defender for endepunkt En enhetlig plattform for enhetsbeskyttelse, oppdagelse etter brudd, automatisert undersøkelse og anbefalt respons. Microsoft Defender for endepunkt – Windows-sikkerhet
Microsoft Defender for skyapper En omfattende cross-SaaS-løsning som gir dyp synlighet, sterke datakontroller og forbedret trusselbeskyttelse for skyappene dine. Hva er Defender for Cloud Apps?
Microsoft Entra ID-beskyttelse Evaluerer risikodata fra milliarder av påloggingsforsøk og bruker disse dataene til å vurdere risikoen for hver pålogging til leieren. Disse dataene brukes av Microsoft Entra ID til å tillate eller forhindre kontotilgang, avhengig av hvordan policyer for betinget tilgang er konfigurert. Microsoft Entra ID-beskyttelse er atskilt fra Microsoft Defender XDR og er inkludert i Microsoft Entra ID P2-lisenser. Hva er Identitetsbeskyttelse?

Denne illustrasjonen viser arkitekturen og integreringen av Microsoft Defender XDR komponenter.

Et diagram som viser arkitekturen på høyt nivå i Microsoft Defender XDR.

I denne illustrasjonen:

  • Microsoft Defender XDR kombinerer signaler fra alle Defender-komponentene for å levere XDR på tvers av domener. Dette inkluderer en enhetlig hendelseskø, automatisert respons for å stoppe angrep, selvhelbredelse (for kompromitterte enheter, brukeridentiteter og postbokser), krysstrusseljakt og trusselanalyse.
  • Microsoft Defender for Office 365 beskytter organisasjonen mot skadelige trusler fra e-postmeldinger, koblinger og samarbeidsverktøy. Den deler signaler som følge av disse aktivitetene med Microsoft Defender XDR. Exchange Online Protection (EOP) er integrert for å gi ende-til-ende-beskyttelse for innkommende e-post og vedlegg.
  • Microsoft Defender for identitet samler inn signaler fra AD DS-domenekontrollere og servere som kjører AD FS og AD CS. Den bruker disse signalene til å beskytte hybrididentitetsmiljøet ditt, inkludert beskyttelse mot hackere som bruker kompromitterte kontoer til å bevege seg sidelengs på tvers av arbeidsstasjoner i det lokale miljøet.
  • Microsoft Defender for endepunkt samler inn signaler fra og beskytter enheter som administreres av organisasjonen.
  • Microsoft Defender for Cloud Apps samler inn signaler fra organisasjonens bruk av skyapper og beskytter data som flyter mellom IT-miljøet og disse appene, inkludert både sanksjonerte og ikke-helliggjorte skyapper.
  • Microsoft Entra ID-beskyttelse evaluerer risikodata fra milliarder av påloggingsforsøk og bruker disse dataene til å evaluere risikoen for hver pålogging til leieren. Disse dataene brukes av Microsoft Entra ID til å tillate eller forhindre kontotilgang basert på betingelsene og begrensningene i policyene for betinget tilgang. Microsoft Entra ID-beskyttelse er atskilt fra Microsoft Defender XDR og er inkludert i Microsoft Entra ID P2-lisenser.

Microsoft Defender XDR-komponenter og SIEM-integrering

Du kan integrere Microsoft Defender XDR komponenter med Microsoft Sentinel eller en generell siem-tjeneste (security information and event management) for å aktivere sentralisert overvåking av varsler og aktiviteter fra tilkoblede apper.

Et diagram som viser Microsoft Defender XDR integrering med SIEM.

Microsoft Sentinel er en skybasert løsning som gir SIEM og sikkerhet orkestrering, automatisering og respons (SOAR) funksjoner. Sammen gir Microsoft Sentinel og Microsoft Defender XDR komponenter en omfattende løsning for å hjelpe organisasjoner med å forsvare seg mot moderne angrep.

Microsoft Sentinel inneholder koblinger for Microsoft Defender komponenter. Dette gjør at du ikke bare kan få innsyn i skyappene dine, men også få avanserte analyser for å identifisere og bekjempe netttrusler og kontrollere hvordan dataene dine beveger seg. Hvis du vil ha mer informasjon, kan du se Oversikt over Microsoft Defender XDR og Microsoft Sentinel integrerings- og integreringstrinn for Microsoft Sentinel og Microsoft Defender XDR.

Hvis du vil ha mer informasjon om SOAR i Microsoft Sentinel (inkludert koblinger til playbooks i Microsoft Sentinel GitHub Repository), kan du se Automate trusselrespons med playbooks i Microsoft Sentinel.

Hvis du vil ha informasjon om integrering med tredjeparts SIEM-systemer, kan du se Generell SIEM-integrasjon.

Microsoft Defender XDR og et eksempel på nettsikkerhetsangrep

Dette diagrammet viser et vanlig cyberangrep og komponentene i Microsoft Defender XDR som bidrar til å oppdage og utbedre det.

Et diagram som viser de ulike forsøkene på et cybersikkerhetsangrep.

Cyberangrepet starter med en phishing-e-post som kommer til innboksen til en ansatt i organisasjonen, som uvitende åpner e-postvedlegget. Dette vedlegget installerer skadelig programvare, noe som kan føre til en kjede av angrepsforsøk som kan føre til tyveri av sensitive data.

I illustrasjonen:

  • Exchange Online Protection, en del av Microsoft Defender for Office 365, kan oppdage phishing-e-posten og bruke regler for e-postflyt (også kjent som transportregler) for å sikre at den aldri kommer til en brukers innboks.
  • Defender for Office 365 bruker klarerte vedlegg til å teste vedlegget og fastslå at det er skadelig, slik at e-postmeldingen som kommer enten ikke kan utføres av brukeren, eller policyer hindrer at e-posten kommer i det hele tatt.
  • Defender for Endpoint oppdager enhets- og nettverksproblemer som ellers kan utnyttes for enheter som administreres av organisasjonen.
  • Defender for Identity noterer seg plutselige lokale brukerkontoendringer som privilegiskalering eller høyrisiko lateral bevegelse. Den rapporterer også om problemer med enkel utnyttelse av identitet, for eksempel ubegrenset Kerberos-delegering, for korrigering av sikkerhetsteamet.
  • Microsoft Defender for Cloud Apps oppdager uregelmessig atferd, for eksempel umulig reise, legitimasjonstilgang og uvanlig nedlasting, fildeling eller videresending av e-post og rapporterer disse til sikkerhetsteamet.

Pilot- og distribusjonsprosessen for Microsoft Defender XDR

Microsoft anbefaler at du aktiverer komponentene i Microsoft 365 Defender i følgende rekkefølge.

Et diagram som viser pilot- og distribusjonsprosessen for Microsoft Defender XDR.

Fase Lenke
En. Start prøveprosjektet Start prøveprosjektet
B. Pilot og distribuer Microsoft Defender XDR komponenter - Pilot og distribuer Defender for identitet

- Pilot og distribuer Defender for Office 365

- Pilot og distribuer Defender for endepunkt

- Pilot og distribuer Microsoft Defender for Cloud Apps
C. Undersøke og svare på trusler Øv på hendelsesundersøkelse og respons

Denne rekkefølgen er utformet for å dra nytte av verdien av funksjonene raskt basert på hvor mye innsats som vanligvis kreves for å distribuere og konfigurere funksjonene. Defender for Office 365 kan for eksempel konfigureres på kortere tid enn det tar å registrere enheter i Defender for endepunkt. Prioriter komponentene for å dekke forretningsbehovene dine.

Start prøveprosjektet

Microsoft anbefaler at du starter prøveversjonen i det eksisterende produksjonsabonnementet på Microsoft 365 for å få innsikt i virkeligheten umiddelbart, og du kan justere innstillingene for å arbeide mot gjeldende trusler i Microsoft 365-leieren. Når du har fått erfaring og er komfortabel med plattformen, utvider du ganske enkelt bruken av hver komponent, én om gangen, til full distribusjon.

Et alternativ er å konfigurere Microsoft Defender XDR prøve lab miljø. Dette miljøet vil imidlertid ikke vise noen reell informasjon om cybersikkerhet, for eksempel trusler eller angrep på Microsoft 365-tenanten i produksjon mens du er pilot, og du vil ikke kunne flytte sikkerhetsinnstillinger fra dette miljøet til produksjonsleieren.

Bruke Microsoft 365 E5 prøveversjonslisenser

Hvis du ikke har Microsoft 365 E5 og ønsker å dra nytte av Microsoft 365 E5 prøvelisenser for prøveversjonen:

  1. Logg på den eksisterende administrasjonsportalen for Microsoft 365-leier.

  2. Velg Kjøp tjenester fra navigasjonsmenyen.

  3. Velg Detaljer under Office 365 E5 lisens fra Office 365-delen.

    Skjermbilde av Detaljer-knappen i Microsoft Defender-portalen.

  4. Velg Start gratis prøveversjon.

    Skjermbilde av Start gratis prøveversjon-knappen i Microsoft Defender-portalen.

  5. Bekreft forespørselen, og velg Prøv nå.

    Skjermbilde av Prøv nå-knappen i Microsoft Defender-portalen.

Hvis du bruker prøveversjonen Microsoft 365 E5 lisenser i den eksisterende produksjonsleieren, kan du beholde sikkerhetsinnstillinger og metoder når prøveperioden utløper, og du kjøper tilsvarende lisenser.

Neste trinn:

Et diagram som viser Microsoft Defender for identitet i pilotprosessen og distribuer Microsoft Defender XDR prosessen.

Se Pilot og distribuer Microsoft Defender for identitet.

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.