Microsoft Defender XDR piloten en implementeren
Van toepassing op:
- Microsoft Defender XDR
Deze reeks artikelen begeleidt u door het hele proces van het testen van de onderdelen van Microsoft Defender XDR in uw productietenant, zodat u de functies en mogelijkheden ervan kunt evalueren en vervolgens de implementatie in uw organisatie kunt voltooien.
Een XDR-oplossing (eXtended Detection and Response) is een stap voorwaarts op het gebied van cyberbeveiliging, omdat hiermee de bedreigingsgegevens worden opgehaald van systemen die ooit geïsoleerd waren en deze samenbrengen, zodat u patronen kunt zien en sneller kunt reageren op vermoedelijke cyberaanvallen.
Microsoft Defender XDR:
Is een XDR-oplossing die de informatie over cyberaanvallen voor identiteiten, eindpunten, e-mail en cloud-apps op één plek combineert. Het maakt gebruik van kunstmatige intelligentie (AI) en automatisering om bepaalde typen aanvallen automatisch te stoppen en getroffen assets te herstellen naar een veilige status.
Is een cloudgebaseerde, geïntegreerde, pre- en post-inbreuk enterprise defense suite. Het coördineert preventie, detectie, onderzoek en respons tussen identiteiten, eindpunten, e-mail, cloud-apps en hun gegevens.
Draagt bij aan een sterke Zero Trust-architectuur door bedreigingsbeveiliging en -detectie te bieden. Het helpt bedrijfsschade door een inbreuk te voorkomen of te beperken. Zie het bedrijfsscenario Bedreigingsbeveiliging en XDR implementeren in het Microsoft Zero Trust-acceptatieframework voor meer informatie.
Microsoft Defender XDR-onderdelen en -architectuur
Deze tabel bevat de onderdelen van Microsoft Defender XDR.
| Component | Omschrijving | Voor meer informatie |
|---|---|---|
| Microsoft Defender for Identity | Gebruikt signalen van uw on-premises Active Directory Domain Services (AD DS) en Active Directory Federation Services (AD FS) voor het identificeren, detecteren en onderzoeken van geavanceerde bedreigingen, gecompromitteerde identiteiten en schadelijke acties van binnenuit gericht op uw organisatie. | Wat is Microsoft Defender for Identity? |
| Exchange Online Protection | De systeemeigen cloudgebaseerde SMTP-relay- en filterservice waarmee uw organisatie wordt beschermd tegen spam en malware. | Overzicht van Exchange Online Protection (EOP) - Office 365 |
| Microsoft Defender voor Office 365 | Beschermt uw organisatie tegen schadelijke bedreigingen die worden veroorzaakt door e-mailberichten, koppelingen (URL's) en samenwerkingshulpprogramma's. | Microsoft Defender voor Office 365 - Office 365 |
| Microsoft Defender voor Eindpunt | Een geïntegreerd platform voor apparaatbeveiliging, detectie na inbreuk, geautomatiseerd onderzoek en aanbevolen reactie. | Microsoft Defender voor Eindpunt - Windows-beveiliging |
| Microsoft Defender for Cloud Apps | Een uitgebreide SaaS-oplossing voor uitgebreide zichtbaarheid, krachtige gegevenscontroles en verbeterde beveiliging tegen bedreigingen voor uw cloud-apps. | Wat is Defender for Cloud Apps? |
| Microsoft Entra ID Protection | Evalueert risicogegevens van miljarden aanmeldingspogingen en gebruikt deze gegevens om het risico van elke aanmelding bij uw tenant te evalueren. Deze gegevens worden door Microsoft Entra ID gebruikt om toegang tot accounts toe te staan of te voorkomen, afhankelijk van hoe het beleid voor voorwaardelijke toegang is geconfigureerd. Microsoft Entra ID Protection staat los van Microsoft Defender XDR en is inbegrepen bij Microsoft Entra ID P2-licenties. | Wat is Identity Protection? |
In deze afbeelding ziet u de architectuur en integratie van Microsoft Defender XDR-onderdelen.
In deze afbeelding:
- Microsoft Defender XDR combineert de signalen van alle Defender-onderdelen om XDR in verschillende domeinen te bieden. Dit omvat een uniforme incidentwachtrij, geautomatiseerde reactie om aanvallen te stoppen, zelfherstel (voor gecompromitteerde apparaten, gebruikersidentiteiten en postvakken), opsporing van verschillende bedreigingen en bedreigingsanalyse.
- Microsoft Defender voor Office 365 beschermt je organisatie tegen kwaadwillende bedreigingen afkomstig van e-mailberichten, koppelingen (URL’s) en hulpmiddelen voor samenwerking. Het deelt signalen die het gevolg zijn van deze activiteiten met Microsoft Defender XDR. Exchange Online Protection (EOP) is geïntegreerd om end-to-end beveiliging te bieden voor binnenkomende e-mail en bijlagen.
- Microsoft Defender for Identity verzamelt signalen van AD DS-domeincontrollers en servers met AD FS en AD CS. Deze signalen worden gebruikt om uw hybride identiteitsomgeving te beschermen, inclusief beveiliging tegen hackers die gecompromitteerde accounts gebruiken om lateraal te verplaatsen tussen werkstations in de on-premises omgeving.
- Microsoft Defender voor Eindpunt verzamelt signalen van en beveiligt apparaten die door uw organisatie worden beheerd.
- Microsoft Defender for Cloud Apps verzamelt signalen van het gebruik van cloud-apps door uw organisatie en beveiligt gegevensstromen tussen uw IT-omgeving en deze apps, inclusief zowel goedgekeurde als niet-goedgekeurde cloud-apps.
- Microsoft Entra ID Protection evalueert risicogegevens van miljarden aanmeldingspogingen en gebruikt deze gegevens om het risico van elke aanmelding bij uw tenant te evalueren. Deze gegevens worden door Microsoft Entra ID gebruikt om toegang tot accounts toe te staan of te voorkomen op basis van de voorwaarden en beperkingen van uw beleid voor voorwaardelijke toegang. Microsoft Entra ID Protection staat los van Microsoft Defender XDR en is inbegrepen bij Microsoft Entra ID P2-licenties.
Microsoft Defender XDR-onderdelen en SIEM-integratie
U kunt Microsoft Defender XDR-onderdelen integreren met Microsoft Sentinel of een algemene SIEM-service (Security Information and Event Management) om gecentraliseerde bewaking van waarschuwingen en activiteiten van verbonden apps mogelijk te maken.
Microsoft Sentinel is een cloudeigen oplossing die MOGELIJKHEDEN voor SIEM- en beveiligingsindeling, automatisering en respons (SOAR) biedt. Microsoft Sentinel- en Microsoft Defender XDR-onderdelen bieden samen een uitgebreide oplossing om organisaties te helpen zich te beschermen tegen moderne aanvallen.
Microsoft Sentinel bevat connectors voor Microsoft Defender-onderdelen. Hierdoor kunt u niet alleen inzicht krijgen in uw cloud-apps, maar ook geavanceerde analyses krijgen om cyberdreigingen te identificeren en te bestrijden en om te bepalen hoe uw gegevens reizen. Zie Overzicht van Microsoft Defender XDR- en Microsoft Sentinel-integratie en Integratiestappen voor Microsoft Sentinel en Microsoft Defender XDR voor meer informatie.
Zie Reactie op bedreigingen automatiseren met playbooks in Microsoft Sentinel voor meer informatie over SOAR in Microsoft Sentinel (inclusief koppelingen naar playbooks in de Microsoft Sentinel GitHub-opslagplaats).
Zie Algemene SIEM-integratie voor informatie over integratie met SIEM-systemen van derden.
Microsoft Defender XDR en een voorbeeld van een cyberbeveiligingsaanval
In dit diagram ziet u een veelvoorkomende cyberaanval en de onderdelen van Microsoft Defender XDR waarmee u deze kunt detecteren en herstellen.
De cyberaanval begint met een phishing-e-mail die binnenkomt in het Postvak IN van een werknemer in uw organisatie, die onbewust de e-mailbijlage opent. Met deze bijlage wordt malware geïnstalleerd, wat kan leiden tot een reeks aanvalspogingen die kunnen leiden tot diefstal van gevoelige gegevens.
In de afbeelding:
- Exchange Online Protection, onderdeel van Microsoft Defender voor Office 365, kan de phishing-e-mail detecteren en e-mailstroomregels (ook wel transportregels genoemd) gebruiken om ervoor te zorgen dat deze nooit in het Postvak IN van een gebruiker binnenkomt.
- Defender voor Office 365 maakt gebruik van Veilige bijlagen om de bijlage te testen en te bepalen of deze schadelijk is, zodat de e-mail die binnenkomt niet kan worden uitgevoerd door de gebruiker of door beleid wordt voorkomen dat de e-mail binnenkomt.
- Defender voor Eindpunt detecteert apparaat- en netwerkproblemen die anders mogelijk worden misbruikt voor apparaten die door uw organisatie worden beheerd.
- Defender for Identity noteert plotselinge wijzigingen in on-premises gebruikersaccounts, zoals escalatie van bevoegdheden of laterale verplaatsingen met een hoog risico. Er wordt ook gerapporteerd over eenvoudig misbruikte identiteitsproblemen, zoals niet-getrainde Kerberos-delegatie, ter correctie door uw beveiligingsteam.
- Microsoft Defender for Cloud Apps detecteert afwijkend gedrag, zoals onmogelijk reizen, toegang tot referenties en ongebruikelijk downloaden, bestanden delen of e-mail doorsturen en rapporteert deze aan uw beveiligingsteam.
Het test- en implementatieproces voor Microsoft Defender XDR
Microsoft raadt aan om de onderdelen van Microsoft 365 Defender in de volgende volgorde in te schakelen.
| Fase | Koppelen |
|---|---|
| A. Start de testfase | Start de testfase |
| B. Microsoft Defender XDR-onderdelen piloten en implementeren | - Defender for Identity piloten en implementeren - Defender voor Office 365 uitvoeren en implementeren - Defender voor Eindpunt testen en implementeren - Microsoft Defender for Cloud Apps testen en implementeren |
| C. Bedreigingen onderzoeken en hierop reageren | Incidentonderzoek en -reactie oefenen |
Deze volgorde is ontworpen om snel gebruik te maken van de waarde van de mogelijkheden op basis van hoeveel moeite doorgaans nodig is om de mogelijkheden te implementeren en te configureren. Defender voor Office 365 kan bijvoorbeeld in minder tijd worden geconfigureerd dan nodig is om apparaten in te schrijven bij Defender voor Eindpunt. Geef prioriteit aan de onderdelen om te voldoen aan de behoeften van uw bedrijf.
Start de testfase
Microsoft raadt u aan om uw testfase te starten in uw bestaande productieabonnement van Microsoft 365 om onmiddellijk praktische inzichten te krijgen en u kunt instellingen afstemmen om te werken tegen huidige bedreigingen in uw Microsoft 365-tenant. Nadat u ervaring hebt opgedaan en vertrouwd bent met het platform, kunt u het gebruik van elk onderdeel één voor één uitbreiden tot een volledige implementatie.
Een alternatief is het instellen van uw Proefomgeving voor Microsoft Defender XDR. In deze omgeving worden echter geen echte cyberbeveiligingsinformatie weergegeven, zoals bedreigingen of aanvallen op uw productie-Microsoft 365-tenant terwijl u test en u geen beveiligingsinstellingen van deze omgeving naar uw productietenant kunt verplaatsen.
Proeflicenties voor Microsoft 365 E5 gebruiken
Als u geen Microsoft 365 E5 hebt en wilt profiteren van Microsoft 365 E5-proeflicenties voor uw testfase:
Meld u aan bij uw bestaande Microsoft 365-tenantbeheerportal.
Selecteer Services aanschaffen in het navigatiemenu.
Selecteer in de sectie Office 365 de optie Details onder Office 365 E5-licentie.
Selecteer Gratis proefversie starten.
Bevestig uw aanvraag en selecteer Nu proberen.
Tijdens uw testfase met microsoft 365 E5-proeflicenties in uw bestaande productietenant kunt u alle beveiligingsinstellingen en -methoden behouden wanneer de proefversie verloopt en u gelijkwaardige licenties koopt.
Volgende stap
Zie Microsoft Defender for Identity piloten en implementeren.
Tip
Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor