Denne serien med artikler veileder deg gjennom hele prosessen med å styre komponentene i Microsoft Defender XDR i produksjonsleieren, slik at du kan evaluere funksjonene og funksjonene deres og deretter fullføre distribusjonen på tvers av organisasjonen.
En eXtended-deteksjons- og responsløsning (XDR) er et skritt fremover i cybersikkerhet fordi den tar trusseldataene fra systemer som en gang var isolert og forener dem, slik at du kan se mønstre og handle på mistenkte cyberangrep raskere.
Microsoft Defender XDR:
Er en XDR-løsning som kombinerer informasjon om cyberangrep for identiteter, endepunkter, e-post og skyapper på ett sted. Den drar nytte av kunstig intelligens (AI) og automatisering for automatisk å stoppe noen typer angrep og utbedre berørte eiendeler til en trygg tilstand.
Er en skybasert, enhetlig, pre- og post-breach enterprise defense suite. Det koordinerer forebygging, gjenkjenning, undersøkelse og respons på tvers av identiteter, endepunkter, e-post, skyapper og deres data.
Bidrar til en sterk nulltillit arkitektur ved å tilby trusselbeskyttelse og -gjenkjenning. Det bidrar til å forhindre eller redusere forretningsskader fra et brudd. Hvis du vil ha mer informasjon, kan du se implementer trusselbeskyttelse og XDR-forretningsscenario i rammeverket for implementering av Microsoft nulltillit.
Microsoft Defender XDR komponenter og arkitektur
Denne tabellen viser komponentene i Microsoft Defender XDR.
Komponent
Beskrivelse
Hvis du vil ha mer informasjon
Microsoft Defender for identitet
Bruker signaler fra lokal Active Directory Domain Services (AD DS) og Active Directory Federation Services (AD FS) til å identifisere, oppdage og undersøke avanserte trusler, kompromitterte identiteter og ondsinnede insiderhandlinger rettet mot organisasjonen.
Den opprinnelige skybaserte SMTP-videresendings- og filtreringstjenesten som bidrar til å beskytte organisasjonen mot søppelpost og skadelig programvare.
Evaluerer risikodata fra milliarder av påloggingsforsøk og bruker disse dataene til å vurdere risikoen for hver pålogging til leieren. Disse dataene brukes av Microsoft Entra ID til å tillate eller forhindre kontotilgang, avhengig av hvordan policyer for betinget tilgang er konfigurert. Microsoft Entra ID-beskyttelse er atskilt fra Microsoft Defender XDR og er inkludert i Microsoft Entra ID P2-lisenser.
Denne illustrasjonen viser arkitekturen og integreringen av Microsoft Defender XDR komponenter.
I denne illustrasjonen:
Microsoft Defender XDR kombinerer signaler fra alle Defender-komponentene for å levere XDR på tvers av domener. Dette inkluderer en enhetlig hendelseskø, automatisert respons for å stoppe angrep, selvhelbredelse (for kompromitterte enheter, brukeridentiteter og postbokser), krysstrusseljakt og trusselanalyse.
Microsoft Defender for Office 365 beskytter organisasjonen mot skadelige trusler fra e-postmeldinger, koblinger og samarbeidsverktøy. Den deler signaler som følge av disse aktivitetene med Microsoft Defender XDR. Exchange Online Protection (EOP) er integrert for å gi ende-til-ende-beskyttelse for innkommende e-post og vedlegg.
Microsoft Defender for identitet samler inn signaler fra AD DS-domenekontrollere og servere som kjører AD FS og AD CS. Den bruker disse signalene til å beskytte hybrididentitetsmiljøet ditt, inkludert beskyttelse mot hackere som bruker kompromitterte kontoer til å bevege seg sidelengs på tvers av arbeidsstasjoner i det lokale miljøet.
Microsoft Defender for endepunkt samler inn signaler fra og beskytter enheter som administreres av organisasjonen.
Microsoft Defender for Cloud Apps samler inn signaler fra organisasjonens bruk av skyapper og beskytter data som flyter mellom IT-miljøet og disse appene, inkludert både sanksjonerte og ikke-helliggjorte skyapper.
Microsoft Entra ID-beskyttelse evaluerer risikodata fra milliarder av påloggingsforsøk og bruker disse dataene til å evaluere risikoen for hver pålogging til leieren. Disse dataene brukes av Microsoft Entra ID til å tillate eller forhindre kontotilgang basert på betingelsene og begrensningene i policyene for betinget tilgang. Microsoft Entra ID-beskyttelse er atskilt fra Microsoft Defender XDR og er inkludert i Microsoft Entra ID P2-lisenser.
Microsoft Defender XDR-komponenter og SIEM-integrering
Du kan integrere Microsoft Defender XDR komponenter med Microsoft Sentinel eller en generell siem-tjeneste (security information and event management) for å aktivere sentralisert overvåking av varsler og aktiviteter fra tilkoblede apper.
Microsoft Sentinel er en skybasert løsning som gir SIEM og sikkerhet orkestrering, automatisering og respons (SOAR) funksjoner. Sammen gir Microsoft Sentinel og Microsoft Defender XDR komponenter en omfattende løsning for å hjelpe organisasjoner med å forsvare seg mot moderne angrep.
Hvis du vil ha informasjon om integrering med tredjeparts SIEM-systemer, kan du se Generell SIEM-integrasjon.
Microsoft Defender XDR og et eksempel på nettsikkerhetsangrep
Dette diagrammet viser et vanlig cyberangrep og komponentene i Microsoft Defender XDR som bidrar til å oppdage og utbedre det.
Cyberangrepet starter med en phishing-e-post som kommer til innboksen til en ansatt i organisasjonen, som uvitende åpner e-postvedlegget. Dette vedlegget installerer skadelig programvare, noe som kan føre til en kjede av angrepsforsøk som kan føre til tyveri av sensitive data.
I illustrasjonen:
Exchange Online Protection, en del av Microsoft Defender for Office 365, kan oppdage phishing-e-posten og bruke regler for e-postflyt (også kjent som transportregler) for å sikre at den aldri kommer til en brukers innboks.
Defender for Office 365 bruker klarerte vedlegg til å teste vedlegget og fastslå at det er skadelig, slik at e-postmeldingen som kommer enten ikke kan utføres av brukeren, eller policyer hindrer at e-posten kommer i det hele tatt.
Defender for Endpoint oppdager enhets- og nettverksproblemer som ellers kan utnyttes for enheter som administreres av organisasjonen.
Defender for Identity noterer seg plutselige lokale brukerkontoendringer som privilegiskalering eller høyrisiko lateral bevegelse. Den rapporterer også om problemer med enkel utnyttelse av identitet, for eksempel ubegrenset Kerberos-delegering, for korrigering av sikkerhetsteamet.
Microsoft Defender for Cloud Apps oppdager uregelmessig atferd, for eksempel umulig reise, legitimasjonstilgang og uvanlig nedlasting, fildeling eller videresending av e-post og rapporterer disse til sikkerhetsteamet.
Pilot- og distribusjonsprosessen for Microsoft Defender XDR
Microsoft anbefaler at du aktiverer komponentene i Microsoft 365 Defender i følgende rekkefølge.
Denne rekkefølgen er utformet for å dra nytte av verdien av funksjonene raskt basert på hvor mye innsats som vanligvis kreves for å distribuere og konfigurere funksjonene. Defender for Office 365 kan for eksempel konfigureres på kortere tid enn det tar å registrere enheter i Defender for endepunkt. Prioriter komponentene for å dekke forretningsbehovene dine.
Start prøveprosjektet
Microsoft anbefaler at du starter prøveversjonen i det eksisterende produksjonsabonnementet på Microsoft 365 for å få innsikt i virkeligheten umiddelbart, og du kan justere innstillingene for å arbeide mot gjeldende trusler i Microsoft 365-leieren. Når du har fått erfaring og er komfortabel med plattformen, utvider du ganske enkelt bruken av hver komponent, én om gangen, til full distribusjon.
Et alternativ er å konfigurere Microsoft Defender XDR prøve lab miljø. Dette miljøet vil imidlertid ikke vise noen reell informasjon om cybersikkerhet, for eksempel trusler eller angrep på Microsoft 365-tenanten i produksjon mens du er pilot, og du vil ikke kunne flytte sikkerhetsinnstillinger fra dette miljøet til produksjonsleieren.
Bruke Microsoft 365 E5 prøveversjonslisenser
Hvis du ikke har Microsoft 365 E5 og ønsker å dra nytte av Microsoft 365 E5 prøvelisenser for prøveversjonen:
Logg på den eksisterende administrasjonsportalen for Microsoft 365-leier.
Velg Kjøp tjenester fra navigasjonsmenyen.
Velg Detaljer under Office 365 E5 lisens fra Office 365-delen.
Velg Start gratis prøveversjon.
Bekreft forespørselen, og velg Prøv nå.
Hvis du bruker prøveversjonen Microsoft 365 E5 lisenser i den eksisterende produksjonsleieren, kan du beholde sikkerhetsinnstillinger og metoder når prøveperioden utløper, og du kjøper tilsvarende lisenser.
For å oppnå denne legitimasjonen for Microsoft Applied Skills demonstrerer elevene muligheten til å bruke Microsoft Defender XDR til å oppdage og svare på netttrusler. Kandidater for denne legitimasjonen bør være kjent med å undersøke og samle bevis om angrep på endepunkter. De bør også ha erfaring med å bruke Microsoft Defender for Endpoint og Kusto Query Language (KQL).
Planlegg og utfør en distribusjonsstrategi for endepunkt ved hjelp av viktige elementer i moderne administrasjon, co-management-tilnærminger og Microsoft Intune-integrering.
Lær hvordan du kan prøve ut og distribuere Microsoft Defender for identitet som en del av Microsoft Defender XDR for å forbedre organisasjonens sikkerhetsstilling.
Finn ut hvordan du kan styre og distribuere Microsoft Defender for Cloud Apps som en del av Microsoft Defender XDR for å forbedre organisasjonens sikkerhetsstilling.