Pilot og distribuer Microsoft Defender XDR
Gjelder for:
- Microsoft Defender XDR
Denne serien med artikler veileder deg gjennom hele prosessen med å styre komponentene i Microsoft Defender XDR i produksjonsleieren, slik at du kan evaluere funksjonene og funksjonene deres og deretter fullføre distribusjonen på tvers av organisasjonen.
En eXtended-deteksjons- og responsløsning (XDR) er et skritt fremover i cybersikkerhet fordi den tar trusseldataene fra systemer som en gang var isolert og forener dem, slik at du kan se mønstre og handle på mistenkte cyberangrep raskere.
Microsoft Defender XDR:
Er en XDR-løsning som kombinerer informasjon om cyberangrep for identiteter, endepunkter, e-post og skyapper på ett sted. Den drar nytte av kunstig intelligens (AI) og automatisering for automatisk å stoppe noen typer angrep og utbedre berørte eiendeler til en trygg tilstand.
Er en skybasert, enhetlig, pre- og post-breach enterprise defense suite. Det koordinerer forebygging, gjenkjenning, undersøkelse og respons på tvers av identiteter, endepunkter, e-post, skyapper og deres data.
Bidrar til en sterk Zero Trust-arkitektur ved å tilby trusselbeskyttelse og -gjenkjenning. Det bidrar til å forhindre eller redusere forretningsskader fra et brudd. Hvis du vil ha mer informasjon, kan du se scenarioet Implementer trusselbeskyttelse og XDR-forretningsscenario i implementeringsrammeverket for Microsoft Zero Trust.
Microsoft Defender XDR-komponenter og -arkitektur
Denne tabellen viser komponentene i Microsoft Defender XDR.
| Komponent | Beskrivelse | Hvis du vil ha mer informasjon |
|---|---|---|
| Microsoft Defender for identitet | Bruker signaler fra lokale Active Directory Domain Services (AD DS) og Active Directory Federation Services (AD FS) til å identifisere, oppdage og undersøke avanserte trusler, kompromitterte identiteter og ondsinnede insiderhandlinger rettet mot organisasjonen. | Hva er Microsoft Defender for identitet? |
| Exchange Online Protection | Den opprinnelige skybaserte SMTP-videresendings- og filtreringstjenesten som bidrar til å beskytte organisasjonen mot søppelpost og skadelig programvare. | Oversikt over Exchange Online Protection (EOP) – Office 365 |
| Microsoft Defender for Office 365 | Beskytter organisasjonen mot skadelige trusler fra e-postmeldinger, koblinger og samarbeidsverktøy. | Microsoft Defender for Office 365 – Office 365 |
| Microsoft Defender for endepunkt | En enhetlig plattform for enhetsbeskyttelse, oppdagelse etter brudd, automatisert undersøkelse og anbefalt respons. | Microsoft Defender for Endpoint – Windows-sikkerhet |
| Microsoft Defender for skyapper | En omfattende cross-SaaS-løsning som gir dyp synlighet, sterke datakontroller og forbedret trusselbeskyttelse for skyappene dine. | Hva er Defender for Skyapper? |
| Microsoft Entra ID Protection | Evaluerer risikodata fra milliarder av påloggingsforsøk og bruker disse dataene til å vurdere risikoen for hver pålogging til leieren. Disse dataene brukes av Microsoft Entra ID til å tillate eller forhindre kontotilgang, avhengig av hvordan policyer for betinget tilgang er konfigurert. Microsoft Entra ID Protection er atskilt fra Microsoft Defender XDR og er inkludert i Microsoft Entra ID P2-lisenser. | Hva er Identitetsbeskyttelse? |
Denne illustrasjonen viser arkitekturen og integreringen av Microsoft Defender XDR-komponenter.
I denne illustrasjonen:
- Microsoft Defender XDR kombinerer signaler fra alle Defender-komponentene for å levere XDR på tvers av domener. Dette inkluderer en enhetlig hendelseskø, automatisert respons for å stoppe angrep, selvhelbredelse (for kompromitterte enheter, brukeridentiteter og postbokser), krysstrusseljakt og trusselanalyse.
- Microsoft Defender for Office 365 beskytter organisasjonen mot skadelige trusler fra e-postmeldinger, koblinger og samarbeidsverktøy. Den deler signaler som følge av disse aktivitetene med Microsoft Defender XDR. Exchange Online Protection (EOP) er integrert for å gi ende-til-ende-beskyttelse for innkommende e-post og vedlegg.
- Microsoft Defender for identity samler inn signaler fra AD DS-domenekontrollere og servere som kjører AD FS og AD CS. Den bruker disse signalene til å beskytte hybrididentitetsmiljøet ditt, inkludert beskyttelse mot hackere som bruker kompromitterte kontoer til å bevege seg sidelengs på tvers av arbeidsstasjoner i det lokale miljøet.
- Microsoft Defender for Endpoint samler inn signaler fra og beskytter enheter som administreres av organisasjonen.
- Microsoft Defender for Cloud Apps samler inn signaler fra organisasjonens bruk av skyapper og beskytter data som flyter mellom IT-miljøet og disse appene, inkludert både sanksjonerte og ikke-helliggjorte skyapper.
- Microsoft Entra ID Protection evaluerer risikodata fra milliarder av påloggingsforsøk og bruker disse dataene til å vurdere risikoen for hver pålogging til leieren. Disse dataene brukes av Microsoft Entra ID til å tillate eller forhindre kontotilgang basert på betingelsene og begrensningene i policyene for betinget tilgang. Microsoft Entra ID Protection er atskilt fra Microsoft Defender XDR og er inkludert i Microsoft Entra ID P2-lisenser.
Microsoft Defender XDR-komponenter og SIEM-integrering
Du kan integrere Microsoft Defender XDR-komponenter med Microsoft Sentinel eller en generell siem-tjeneste (security information and event management) for å aktivere sentralisert overvåking av varsler og aktiviteter fra tilkoblede apper.
Microsoft Sentinel er en skybasert løsning som gir SIEM- og sikkerhetsorkestrerings-, automatiserings- og responsfunksjoner (SOAR). Sammen gir Microsoft Sentinel- og Microsoft Defender XDR-komponenter en omfattende løsning for å hjelpe organisasjoner med å forsvare seg mot moderne angrep.
Microsoft Sentinel inkluderer koblinger for Microsoft Defender-komponenter. Dette gjør at du ikke bare kan få innsyn i skyappene dine, men også få avanserte analyser for å identifisere og bekjempe netttrusler og kontrollere hvordan dataene dine beveger seg. Hvis du vil ha mer informasjon, kan du se Oversikt over microsoft Defender XDR- og Microsoft Sentinel-integrerings- og integreringstrinn for Microsoft Sentinel og Microsoft Defender XDR.
Hvis du vil ha mer informasjon om SOAR i Microsoft Sentinel (inkludert koblinger til playbooks i Microsoft Sentinel GitHub Repository), kan du se Automate trusselrespons med playbooks i Microsoft Sentinel.
Hvis du vil ha informasjon om integrering med tredjeparts SIEM-systemer, kan du se Generell SIEM-integrasjon.
Microsoft Defender XDR og et eksempel på cybersikkerhetsangrep
Dette diagrammet viser et vanlig cyberangrep og komponentene i Microsoft Defender XDR som bidrar til å oppdage og utbedre det.
Cyberangrepet starter med en phishing-e-post som kommer til innboksen til en ansatt i organisasjonen, som uvitende åpner e-postvedlegget. Dette vedlegget installerer skadelig programvare, noe som kan føre til en kjede av angrepsforsøk som kan føre til tyveri av sensitive data.
I illustrasjonen:
- Exchange Online Protection, en del av Microsoft Defender for Office 365, kan oppdage phishing-e-posten og bruke regler for e-postflyt (også kjent som transportregler) for å sikre at den aldri kommer til en brukers innboks.
- Defender for Office 365 bruker klarerte vedlegg til å teste vedlegget og fastslå at det er skadelig, slik at e-postmeldingen som kommer enten ikke kan utføres av brukeren, eller policyer hindrer at e-posten kommer i det hele tatt.
- Defender for Endpoint oppdager enhets- og nettverksproblemer som ellers kan utnyttes for enheter som administreres av organisasjonen.
- Defender for Identity noterer seg plutselige lokale brukerkontoendringer som privilegiskalering eller høyrisiko lateral bevegelse. Den rapporterer også om problemer med enkel utnyttelse av identitet, for eksempel ubegrenset Kerberos-delegering, for korrigering av sikkerhetsteamet.
- Microsoft Defender for Cloud Apps oppdager uregelmessig atferd, for eksempel umulig reise, legitimasjonstilgang og uvanlig nedlasting, fildeling eller videresending av e-post og rapporterer disse til sikkerhetsteamet.
Pilot- og distribusjonsprosessen for Microsoft Defender XDR
Microsoft anbefaler at du aktiverer komponentene i Microsoft 365 Defender i følgende rekkefølge.
| Fase | Lenke |
|---|---|
| En. Start prøveprosjektet | Start prøveprosjektet |
| B. Pilot og distribuer Microsoft Defender XDR-komponenter | - Pilot og distribuer Defender for identitet - Pilot og distribuer Defender for Office 365 - Pilot og distribuer Defender for endepunkt - Pilot og distribuer Microsoft Defender for Skyapper |
| C. Undersøke og svare på trusler | Øv på hendelsesundersøkelse og respons |
Denne rekkefølgen er utformet for å dra nytte av verdien av funksjonene raskt basert på hvor mye innsats som vanligvis kreves for å distribuere og konfigurere funksjonene. Defender for Office 365 kan for eksempel konfigureres på kortere tid enn det tar å registrere enheter i Defender for endepunkt. Prioriter komponentene for å dekke forretningsbehovene dine.
Start prøveprosjektet
Microsoft anbefaler at du starter prøveversjonen i det eksisterende produksjonsabonnementet på Microsoft 365 for å få innsikt i virkeligheten umiddelbart, og du kan justere innstillingene for å arbeide mot gjeldende trusler i Microsoft 365-leieren. Når du har fått erfaring og er komfortabel med plattformen, utvider du ganske enkelt bruken av hver komponent, én om gangen, til full distribusjon.
Et alternativ er å konfigurere prøvelaboratoriemiljøet for Microsoft Defender XDR. Dette miljøet vil imidlertid ikke vise noen reell informasjon om cybersikkerhet, for eksempel trusler eller angrep på Microsoft 365-tenanten i produksjon mens du er pilot, og du vil ikke kunne flytte sikkerhetsinnstillinger fra dette miljøet til produksjonsleieren.
Bruke prøvelisenser for Microsoft 365 E5
Hvis du ikke har Microsoft 365 E5 og ønsker å dra nytte av prøvelisenser for Microsoft 365 E5 for prøveversjonen:
Logg på den eksisterende administrasjonsportalen for Microsoft 365-leier.
Velg Kjøp tjenester fra navigasjonsmenyen.
Velg Detaljer under Office 365 E5-lisens fra Office 365-delen.
Velg Start gratis prøveversjon.
Bekreft forespørselen, og velg Prøv nå.
Hvis du bruker prøveversjonen av Microsoft 365 E5 i den eksisterende produksjonsleieren, kan du beholde eventuelle sikkerhetsinnstillinger og metoder når prøveperioden utløper, og du kjøper tilsvarende lisenser.
Neste trinn:
Se Pilot og distribuer Microsoft Defender for identitet.
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for