Evaluer og test Microsoft Defender XDR sikkerhet
Gjelder for:
- Microsoft Defender XDR
Slik fungerer denne artikkelserien
Denne serien er utformet for å hjelpe deg gjennom hele prosessen med å konfigurere et XDR-miljø for prøveversjon, ende-til-ende, slik at du kan evaluere funksjonene og egenskapene til Microsoft Defender XDR og til og med fremme evalueringsmiljøet direkte til produksjon når du er klar.
Hvis du ikke har tenkt på XDR-sikkerhet før, kan du skanne de sju koblede artiklene i denne serien for å få en følelse av hvor omfattende løsningen er.
- Slik oppretter du miljøet
- Konfigurere eller lære om hver teknologi i denne Microsoft XDR
- Slik undersøker og svarer du ved hjelp av denne XDR-en
- Heve nivået for prøveversjonsmiljøet til produksjon
Hva er XDR og Microsoft Defender XDR?
XDR-sikkerhet er et skritt fremover innen cybersikkerhet fordi det tar trusseldataene fra systemer som en gang var isolert og forener dem slik at du kan se mønstre og handle på dem raskere.
Microsoft XDR forener for eksempel endepunkt (endepunktgjenkjenning og svar eller EDR), e-post, app og identitetssikkerhet på ett sted.
Microsoft Defender XDR er en eXtended-gjenkjennings- og responsløsning (XDR) som automatisk samler inn, korrelerer og analyserer signal-, trussel- og varseldata fra hele Microsoft 365-miljøet, inkludert endepunkt, e-post, programmer og identiteter. Den drar nytte av kunstig intelligens (AI) og automatisering for automatisk å stoppe angrep og utbedre berørte ressurser til en trygg tilstand.
Microsoft-anbefalinger for evaluering av Microsoft Defender XDR sikkerhet
Microsoft anbefaler at du oppretter evalueringen i et eksisterende produksjonsabonnement på Office 365. På denne måten får du innsikt i virkeligheten umiddelbart og kan justere innstillingene for å arbeide mot aktuelle trusler i miljøet ditt. Når du har fått erfaring og er komfortabel med plattformen, bør du ganske enkelt heve hver komponent, én om gangen, til produksjon.
Anatomien til et cybersikkerhetsangrep
Microsoft Defender XDR er en skybasert, enhetlig forsvarsserie før og etter brudd. Den koordinerer forebygging, gjenkjenning, undersøkelse og respons på tvers av endepunkter, identiteter, apper, e-post, samarbeidsprogrammer og alle dataene deres.
I denne illustrasjonen er et angrep i gang. Phishing-e-post ankommer innboksen til en ansatt i organisasjonen, som uvitende åpner e-postvedlegget. Dette installerer skadelig programvare, noe som fører til en kjede av hendelser som kan ende med tyveri av sensitive data. Men i dette tilfellet er Defender for Office 365 i drift.
I illustrasjonen:
- Exchange Online Protection, en del av Microsoft Defender for Office 365, kan oppdage phishing-e-posten og bruke regler for e-postflyt (også kjent som transportregler) for å forsikre deg om at den aldri kommer til innboksen.
- Defender for Office 365 bruker klarerte vedlegg til å teste vedlegget og fastslå at det er skadelig, slik at e-postmeldingen som kommer enten ikke kan utføres av brukeren, eller policyer hindrer at e-posten kommer i det hele tatt.
- Defender for Endpoint administrerer enheter som kobler til firmanettverket og oppdager enhets- og nettverkssårbarheter som ellers kan utnyttes.
- Defender for Identity noterer seg plutselige kontoendringer som privilegert eskalering eller høyrisiko lateral bevegelse. Den rapporterer også om problemer med enkel utnyttelse av identitet, for eksempel ubegrenset Kerberos-delegering, for korrigering av sikkerhetsteamet.
- Microsoft Defender for Cloud Apps legger merke til avvikende virkemåter som umulig reise, legitimasjonstilgang og uvanlig nedlasting, fildeling eller videresending av e-post og rapporterer disse til sikkerhetsteamet.
Microsoft Defender XDR komponenter sikrer enheter, identitet, data og programmer
Microsoft Defender XDR består av disse sikkerhetsteknologiene, som opererer i tandem. Du trenger ikke alle disse komponentene for å dra nytte av egenskapene til XDR og Microsoft Defender XDR. Du vil realisere gevinster og effektivitet gjennom å bruke en eller to også.
| Komponent | Beskrivelse | Referansemateriale |
|---|---|---|
| Microsoft Defender for identitet | Microsoft Defender for identitet bruker Active Directory-signaler til å identifisere, oppdage og undersøke avanserte trusler, kompromitterte identiteter og ondsinnede insiderhandlinger rettet mot organisasjonen. | Hva er Microsoft Defender for identitet? |
| Exchange Online Protection | Exchange Online Protection er den opprinnelige skybaserte SMTP-videresendings- og filtreringstjenesten som bidrar til å beskytte organisasjonen mot søppelpost og skadelig programvare. | Exchange Online Protection (EOP)-oversikt – Office 365 |
| Microsoft Defender for Office 365 | Microsoft Defender for Office 365 beskytter organisasjonen mot skadelige trusler fra e-postmeldinger, koblinger og samarbeidsverktøy. | Microsoft Defender for Office 365 - Office 365 |
| Microsoft Defender for endepunkt | Microsoft Defender for endepunkt er en enhetlig plattform for enhetsbeskyttelse, oppdagelse etter brudd, automatisert undersøkelse og anbefalt respons. | Microsoft Defender for endepunkt – Windows-sikkerhet |
| Microsoft Defender for skyapper | Microsoft Defender for Cloud Apps er en omfattende cross-SaaS-løsning som gir dyp synlighet, sterke datakontroller og forbedret trusselbeskyttelse for skyappene dine. | Hva er Defender for Skyapper? |
| Microsoft Entra ID-beskyttelse | Microsoft Entra ID-beskyttelse evaluerer risikodata fra milliarder av påloggingsforsøk og bruker disse dataene til å evaluere risikoen for hver pålogging til miljøet ditt. Disse dataene brukes av Microsoft Entra ID til å tillate eller forhindre kontotilgang, avhengig av hvordan policyer for betinget tilgang er konfigurert. Microsoft Entra ID-beskyttelse er lisensiert separat fra Microsoft Defender XDR. Den er inkludert i Microsoft Entra ID P2. | Hva er Identitetsbeskyttelse? |
Microsoft Defender XDR arkitektur
Diagrammet nedenfor illustrerer arkitektur på høyt nivå for viktige Microsoft Defender XDR komponenter og integreringer. Detaljert arkitektur for hver Defender-komponent og scenarioer med brukstilfeller gis i denne artikkelserien.
I denne illustrasjonen:
- Microsoft Defender XDR kombinerer signaler fra alle Defender-komponentene for å gi utvidet gjenkjenning og respons (XDR) på tvers av domener. Dette inkluderer en enhetlig hendelseskø, automatisert respons for å stoppe angrep, selvhelbredelse (for kompromitterte enheter, brukeridentiteter og postbokser), krysstrusseljakt og trusselanalyse.
- Microsoft Defender for Office 365 beskytter organisasjonen mot skadelige trusler fra e-postmeldinger, koblinger og samarbeidsverktøy. Den deler signaler som følge av disse aktivitetene med Microsoft Defender XDR. Exchange Online Protection (EOP) er integrert for å gi ende-til-ende-beskyttelse for innkommende e-post og vedlegg.
- Microsoft Defender for identitet samler inn signaler fra servere som kjører Active Directory Federated Services (AD FS) og lokal Active Directory Domain Services (AD DS). Den bruker disse signalene til å beskytte hybrididentitetsmiljøet ditt, inkludert beskyttelse mot hackere som bruker kompromitterte kontoer til å bevege seg sidelengs på tvers av arbeidsstasjoner i det lokale miljøet.
- Microsoft Defender for endepunkt samler inn signaler fra og beskytter enheter som brukes av organisasjonen.
- Microsoft Defender for Cloud Apps samler inn signaler fra organisasjonens bruk av skyapper og beskytter data som flyter mellom miljøet og disse appene, inkludert både sanksjonerte og ikke-helliggjorte skyapper.
- Microsoft Entra ID-beskyttelse evaluerer risikodata fra milliarder av påloggingsforsøk og bruker disse dataene til å evaluere risikoen for hver pålogging til miljøet ditt. Disse dataene brukes av Microsoft Entra ID til å tillate eller forhindre kontotilgang, avhengig av hvordan policyer for betinget tilgang er konfigurert. Microsoft Entra ID-beskyttelse er lisensiert separat fra Microsoft Defender XDR. Den er inkludert i Microsoft Entra ID P2.
Microsoft SIEM og SOAR kan bruke data fra Microsoft Defender XDR
Flere valgfrie arkitekturkomponenter som ikke er inkludert i denne illustrasjonen:
- Detaljerte signaldata fra alle Microsoft Defender XDR komponenter kan integreres i Microsoft Sentinel og kombineres med andre loggingskilder for å tilby fullstendige SIEM- og SOAR-funksjoner og innsikter.
- Hvis du vil ha mer informasjon om hvordan du bruker Microsoft Sentinel, en Azure SIEM med Microsoft Defender XDR som XDR, kan du ta en titt på denne oversiktsartikkelen og integrasjonstrinnene for Microsoft Sentinel og Microsoft Defender XDR.
- Hvis du vil ha mer informasjon om SOAR i Microsoft Sentinel (inkludert koblinger til playbooks i Microsoft Sentinel GitHub Repository), kan du lese denne artikkelen.
Evalueringsprosessen for Microsoft Defender XDR cybersikkerhet
Microsoft anbefaler at du aktiverer komponentene i Microsoft 365 i den illustrerte rekkefølgen:
Tabellen nedenfor beskriver denne illustrasjonen.
| Serienummer | Trinn | Beskrivelse |
|---|---|---|
| 1 | Opprett evalueringsmiljøet | Dette trinnet sikrer at du har prøvelisensen for Microsoft Defender XDR. |
| 2 | Aktiver Defender for identitet | Se gjennom arkitekturkravene, aktiver evalueringen, og gå gjennom veiledninger for å identifisere og utbedre forskjellige angrepstyper. |
| 3 | Aktiver Defender for Office 365 | Sørg for at du oppfyller arkitekturkravene, aktiver evalueringen og opprett deretter pilotmiljøet. Denne komponenten inneholder Exchange Online Protection, og derfor evaluerer du begge her. |
| 4 | Aktiver Defender for endepunkt | Sørg for at du oppfyller arkitekturkravene, aktiver evalueringen og opprett deretter pilotmiljøet. |
| 5 | Aktiver Microsoft Defender for Cloud Apps | Sørg for at du oppfyller arkitekturkravene, aktiver evalueringen og opprett deretter pilotmiljøet. |
| 6 | Undersøke og svare på trusler | Simuler et angrep og begynn å bruke hendelsesresponsfunksjoner. |
| 7 | Heve nivået for prøveversjonen til produksjon | Hev Microsoft 365-komponentene til produksjon én etter én. |
Denne rekkefølgen anbefales vanligvis og utformes for å utnytte verdien av funksjonene raskt basert på hvor mye innsats som vanligvis kreves for å distribuere og konfigurere funksjonene. Defender for Office 365 kan for eksempel konfigureres på kortere tid enn det tar å registrere enheter i Defender for endepunkt. Du bør selvfølgelig prioritere komponentene for å dekke forretningsbehovene dine, og aktivere disse i en annen rekkefølge.
Gå til neste trinn
Finn ut mer om og/eller opprett Microsoft Defender XDR evalueringsmiljøet
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for