Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Deze oplossingshandleiding laat zien hoe u XDR-hulpprogramma's (Extended Detection and Response) van Microsoft instelt en hoe u deze integreert met Microsoft Sentinel, zodat uw organisatie sneller kan reageren op en cyberbeveiligingsaanvallen kan oplossen.
Microsoft Defender XDR is een XDR-oplossing die automatisch signaal-, bedreigings- en waarschuwingsgegevens verzamelt, correleert en analyseert vanuit uw Microsoft 365-omgeving.
Microsoft Sentinel is een cloudeigen oplossing die mogelijkheden biedt voor security information and event management (SIEM) en security orchestration, automation and response (SOAR). Samen bieden Microsoft Sentinel en Microsoft Defender XDR een uitgebreide oplossing om organisaties te helpen zich te beschermen tegen moderne aanvallen.
Deze richtlijnen helpen u uw Zero Trust-architectuur te verbeteren door de principes van Zero Trust op de volgende manieren toe te wijzen:
| Zero Trust-principe | Ontmoet door |
|---|---|
| Uitdrukkelijk verifiëren | Microsoft Sentinel verzamelt gegevens uit de hele omgeving en analyseert bedreigingen en afwijkingen, zodat uw organisatie en elke automatisering kan reageren op geverifieerde gegevens. Microsoft Defender XDR biedt uitgebreide detectie en respons voor gebruikers, identiteiten, apparaten, apps en e-mailberichten. Configureer Microsoft Sentinel-automatisering om risicogebaseerde signalen te gebruiken die zijn vastgelegd door Microsoft Defender XDR om actie te ondernemen, zoals het blokkeren of autoriseren van verkeer op basis van risico's. |
| Toegang met minimale bevoegdheden gebruiken | Microsoft Sentinel detecteert afwijkende activiteit via de UEBA-engine. Naarmate beveiligingsscenario's snel veranderen, importeert de bedreigingsinformatie gegevens van Microsoft en externe providers om opkomende bedreigingen te detecteren en te contextualiseren. Microsoft Defender XDR bevat Microsoft Entra ID Protection om gebruikers te blokkeren op basis van identiteitsrisico's. Voer gerelateerde gegevens in Microsoft Sentinel in voor verdere analyse en automatisering. |
| Stel dat er sprake is van een schending | Microsoft Defender XDR scant continu de omgeving op bedreigingen en beveiligingsproblemen. Microsoft Sentinel analyseert verzamelde gegevens en gedragstrends om verdachte activiteiten, afwijkingen en bedreigingen met meerdere fasen in de hele onderneming te detecteren. Zowel Microsoft Defender XDR als Microsoft Sentinel implementeren geautomatiseerde hersteltaken, waaronder onderzoeken, apparaatisolatie en gegevensquarantaine. Gebruik apparaatrisico's als signaal voor voorwaardelijke toegang van Microsoft Entra. |
Aan de slag met Microsoft Defender XDR
Het implementeren van Microsoft Defender XDR is een goed uitgangspunt voor het bouwen van mogelijkheden voor incidentdetectie en -respons binnen uw organisatie. Defender XDR is inbegrepen bij Microsoft 365 E5 en u kunt zelfs aan de slag gaan met microsoft 365 E5-proeflicenties. Defender XDR kan worden geïntegreerd met Microsoft Sentinel of met een algemeen SIEM-hulpprogramma.
Zie Testfase en implementeer Microsoft Defender XDR voor meer informatie.
Architectuur van Microsoft Sentinel en XDR
Microsoft Sentinel-klanten kunnen een van deze methoden gebruiken om Microsoft Sentinel te integreren met Microsoft Defender XDR-services:
Onboard Microsoft Sentinel naar de Defender-portal om deze samen met Microsoft Defender XDR te gebruiken voor geïntegreerde beveiligingsbewerkingen. Bekijk Microsoft Sentinel-gegevens rechtstreeks in de Defender-portal, naast uw Defender-incidenten, waarschuwingen, beveiligingsproblemen en beveiligingsgegevens.
Gebruik Microsoft Sentinel-gegevensconnectors om Microsoft Defender XDR-servicegegevens te integreren in Microsoft Sentinel. Microsoft Sentinel-gegevens weergeven in Azure Portal.
Dit richtlijnencentrum biedt informatie voor beide methoden. Als u uw werkruimte hebt toegevoegd aan de Defender-portal, gebruikt u deze; Als dat niet het is, gebruikt u Azure Portal, tenzij anders aangegeven.
In de volgende afbeelding ziet u hoe de XDR-oplossing van Microsoft kan worden geïntegreerd met Microsoft Sentinel in de Defender-portal.
In dit diagram:
- Inzichten uit signalen in uw hele organisatie voeren microsoft Defender XDR en Microsoft Defender voor Cloud in.
- Microsoft Sentinel biedt ondersteuning voor omgevingen met meerdere clouds en kan worden geïntegreerd met apps en partners van derden.
- Microsoft Sentinel-gegevens worden samen met de gegevens van uw organisatie opgenomen in de Microsoft Defender-portal.
- SecOps-teams kunnen bedreigingen analyseren en erop reageren die zijn geïdentificeerd door Microsoft Sentinel en Microsoft Defender XDR in de Microsoft Defender-portal.
Belangrijkste mogelijkheden
Implementeer een Zero Trust-benadering voor het beheren van incidenten met behulp van Microsoft Sentinel- en Defender XDR-functies. Gebruik Microsoft Sentinel in de Defender-portal voor werkruimten die zijn toegevoegd aan de Defender-portal.
| Mogelijkheid of functie | Beschrijving | Product |
|---|---|---|
| Geautomatiseerd onderzoek en respons (AIR) | AIR-mogelijkheden zijn ontworpen om waarschuwingen te onderzoeken en onmiddellijk actie te ondernemen om schendingen op te lossen. AIR-mogelijkheden verminderen het waarschuwingsvolume aanzienlijk, waardoor beveiligingsbewerkingen zich kunnen richten op geavanceerdere bedreigingen en andere initiatieven met een hoge waarde. | Microsoft Defender XDR |
| Geavanceerde opsporing | Geavanceerde opsporing is een hulpprogramma voor het opsporen van bedreigingen op basis van query's waarmee u tot 30 dagen aan onbewerkte gegevens kunt verkennen. U kunt proactief gebeurtenissen in uw netwerk inspecteren om bedreigingsindicatoren en entiteiten te vinden. De flexibele toegang tot gegevens maakt een onbeperkte opsporing van zowel bekende als potentiële bedreigingen mogelijk. | Microsoft Defender XDR |
| Aangepaste bestandsindicatoren | Voorkom verdere doorgifte van een aanval in uw organisatie door mogelijk schadelijke bestanden of verdachte malware te verbieden. | Microsoft Defender XDR |
| Clouddetectie | Cloud Discovery analyseert verkeerslogboeken die door Defender voor Eindpunt worden verzameld en evalueert geïdentificeerde apps op basis van de cloud-app-catalogus om nalevings- en beveiligingsinformatie te bieden. | Microsoft Defender voor Cloud Apps |
| Aangepaste netwerkindicatoren | Door indicatoren te maken voor IP-adressen en URL's of domeinen, kunt u nu IP-adressen, URL's of domeinen toestaan of blokkeren op basis van uw eigen bedreigingsinformatie. | Microsoft Defender XDR |
| EDR-blok (Eindpuntdetectie en -respons) | Biedt extra bescherming tegen schadelijke artefacten wanneer Microsoft Defender Antivirus (MDAV) niet het primaire antivirusproduct is en wordt uitgevoerd in de passieve modus. EDR in de blokmodus werkt achter de schermen om schadelijke artefacten te herstellen die zijn gedetecteerd door EDR-mogelijkheden. | Microsoft Defender XDR |
| Mogelijkheden voor apparaatrespons | Snel reageren op gedetecteerde aanvallen door apparaten te isoleren of een onderzoekspakket te verzamelen | Microsoft Defender XDR |
| Live reactie | Live response geeft beveiligingsteams direct toegang tot een apparaat (ook wel een computer genoemd) met behulp van een externe shellverbinding. Dit geeft u de bevoegdheid om uitgebreid onderzoek uit te voeren en onmiddellijk actie te ondernemen om geïdentificeerde bedreigingen in realtime te beperken. | Microsoft Defender XDR |
| Cloudtoepassingen beveiligen | Een DevSecOps-oplossing (Development Security Operations) die beveiligingsbeheer op codeniveau in meerdere cloud- en meerdere pijplijnomgevingen samenstelt. | Microsoft Defender voor Cloud |
| Uw beveiligingspostuur verbeteren | Een CSPM-oplossing (Cloud Security Posture Management) waarmee acties worden weergegeven die u kunt ondernemen om schendingen te voorkomen. | Microsoft Defender voor Cloud |
| Cloudworkloads beveiligen | Een cloudworkloadbeveiligingsplatform (CWPP) met specifieke beveiligingen voor servers, containers, opslag, databases en andere workloads. | Microsoft Defender voor Cloud |
| Gedragsanalyse van gebruikers en entiteiten (UEBA) | Analyseert gedrag van organisatie-entiteiten, zoals gebruikers, hosts, IP-adressen en toepassingen | Microsoft Sentinel |
| Samensmelting | Een correlatie-engine op basis van schaalbare machine learning-algoritmen. Detecteert automatisch aanvallen met meerdere fasen, ook wel bekend als geavanceerde permanente bedreigingen (APT), door combinaties van afwijkend gedrag en verdachte activiteiten te identificeren die in verschillende fasen van de kill chain worden waargenomen. | Microsoft Sentinel |
| Bedreigingsinformatie | Gebruik externe providers van Microsoft om gegevens te verrijken om extra context te bieden rond activiteiten, waarschuwingen en logboeken in uw omgeving. | Microsoft Sentinel |
| Automatisering | Automatiseringsregels zijn een manier om automatisering centraal te beheren met Microsoft Sentinel, doordat u een kleine set regels kunt definiëren en coördineren die in verschillende scenario's kunnen worden toegepast. | Microsoft Sentinel |
| Anomalieregels | Sjablonen voor anomalieregels gebruiken machine learning om specifieke typen afwijkend gedrag te detecteren. | Microsoft Sentinel |
| Geplande queries | Ingebouwde regels die zijn geschreven door Microsoft-beveiligingsexperts die zoeken in logboeken die door Microsoft Sentinel zijn verzameld voor verdachte activiteitenketens, bekende bedreigingen. | Microsoft Sentinel |
| Regels voor bijna realtime (NRT) | NRT-regels zijn een beperkt aantal geplande regels, ontworpen om elke minuut één keer te worden uitgevoerd, zodat u informatie zo up-to-the-minute mogelijk kunt leveren. | Microsoft Sentinel |
| Jacht | Om beveiligingsanalisten te helpen proactief te zoeken naar nieuwe afwijkingen die niet zijn gedetecteerd door uw beveiligingsapps of zelfs door uw geplande analyseregels, helpen de ingebouwde opsporingsquery's van Microsoft Sentinel u bij het stellen van de juiste vragen om problemen te vinden in de gegevens die u al in uw netwerk hebt. | Microsoft Sentinel Voor werkruimten die zijn toegevoegd aan de Defender-portal, gebruikt u de geavanceerde opsporingsfunctionaliteit van de Microsoft Defender-portal. |
| Microsoft Defender XDR-connector | De Microsoft Defender XDR-connector synchroniseert logboeken en incidenten met Microsoft Sentinel. | Microsoft Defender XDR en Microsoft Sentinel |
| Gegevensconnectors | Toestaan dat gegevens worden opgenomen voor analyse in Microsoft Sentinel. | Microsoft Sentinel |
| Content Hub-oplossing -Zero Vertrouwen (TIC 3.0) | Zero Trust (TIC 3.0) bevat een werkmap, analyseregels en een playbook, dat een geautomatiseerde visualisatie van Zero Trust-principes biedt, die doorloopt naar het framework voor vertrouwensinternetverbindingen, waarmee organisaties configuraties in de loop van de tijd kunnen bewaken. | Microsoft Sentinel |
| Beveiligingsindeling, automatisering en respons (SOAR) | Het gebruik van automatiseringsregels en playbooks als reactie op beveiligingsrisico's verhoogt de effectiviteit van uw SOC en bespaart u tijd en resources. | Microsoft Sentinel |
| SOC-optimalisaties | Sluit hiaten in dekking tegen specifieke bedreigingen en versnel uw opnamepercentages ten opzichte van gegevens die geen beveiligingswaarde bieden. | Microsoft Sentinel Voor werkruimten die zijn toegevoegd aan de Defender-portal, gebruikt u SOC-optimalisatie in de Microsoft Defender-portal. |
Wat zit er in deze oplossing?
Deze oplossing helpt uw beveiligingsteam incidenten te herstellen met behulp van een Zero Trust-benadering door u te begeleiden bij de implementatie van Microsoft Sentinel en Microsoft Defender XDR. De implementatie omvat deze fasen:
| Fase | Beschrijving |
|---|---|
| 1. Uitproberen en implementeren van Microsoft Defender XDR-services | Begin met het testen van Microsoft Defender XDR-services, zodat u hun functies en mogelijkheden kunt evalueren voordat u de implementatie in uw organisatie voltooit. |
| 2. Uw implementatie plannen | Plan vervolgens uw volledige SIEM- en XDR-implementatie, inclusief de XDR-services en de werkruimte voor Microsoft Sentinel. |
| 3. XDR-hulpprogramma's instellen en uw werkruimte ontwerpen | In deze fase implementeert u de XDR-services die u in uw omgeving hebt gebruikt, implementeert u Microsoft Sentinel en andere services ter ondersteuning van uw SIEM- en XDR-oplossing. Als u van plan bent om vanuit Azure Portal te werken, slaat u de stap over om Microsoft Sentinel te verbinden met de Microsoft Defender-portal. Deze stap is alleen relevant als u de Microsoft Sentinel Defender-portal wilt gebruiken en niet relevant is als u wilt reageren op incidenten in Azure Portal. |
| 4. Reageren op incidenten | Reageer ten slotte op incidenten op basis van of u onboarding hebt uitgevoerd op de Defender-portal: - Reageren op een incident vanuit de Defender-portal - Reageren op een incident vanuit Azure Portal |
Verwante inhoud
Zie Zero Trust-beveiliging met Microsoft Sentinel en Defender XDR en gerelateerde inhoud voor uw portal voor meer informatie:
Zie voor meer informatie over het toepassen van Zero Trust-principes in Microsoft 365:
- Zero Trust-implementatieplan met Microsoft 365
- Uw identiteitsinfrastructuur voor Microsoft 365 implementeren
- Zero Trust-identiteits- en apparaattoegangsconfiguraties
- Apparaten beheren met Microsoft Intune
- Gegevensprivacy en gegevensbescherming beheren met Microsoft Priva en Microsoft Purview
- SaaS-apps integreren voor Zero Trust met Microsoft 365