Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt beschreven hoe u uw implementatie plant voor geïntegreerde beveiligingsbewerkingen in de Microsoft Defender portal. U kunt beveiligingsbewerkingen samenvoegen om risico's te verminderen, aanvallen te voorkomen, cyberdreigingen in realtime te detecteren en te verstoren en sneller te reageren met ai-verbeterde beveiligingsmogelijkheden, allemaal vanuit de Microsoft Defender portal.
Uw implementatie plannen
De Defender-portal combineert services zoals Microsoft Defender XDR, Microsoft Sentinel, Microsoft Security Exposure Management en Microsoft Security Copilot voor geïntegreerde beveiliging Operaties.
De eerste stap bij het plannen van uw implementatie is het selecteren van de services die u wilt gebruiken.
Als basisvoorwaarde hebt u zowel Microsoft Defender XDR als Microsoft Sentinel nodig om zowel Microsoft- als niet-Microsoft-services en -oplossingen te bewaken en te beveiligen, inclusief zowel cloudresources als on-premises resources.
Implementeer een van de volgende services om beveiliging toe te voegen voor uw eindpunten, identiteiten, e-mail en toepassingen om geïntegreerde bescherming te bieden tegen geavanceerde aanvallen.
Microsoft Defender XDR services zijn onder andere:
Service | Beschrijving |
---|---|
Microsoft Defender voor Office 365 | Beschermt tegen bedreigingen die worden veroorzaakt door e-mailberichten, URL-koppelingen en Office 365 samenwerkingshulpprogramma's. |
Microsoft Defender for Identity | Identificeert, detecteert en onderzoekt bedreigingen van zowel on-premises Active Directory als cloudidentiteiten zoals Microsoft Entra ID. |
Microsoft Defender voor Eindpunt | Bewaakt en beveiligt eindpuntapparaten, detecteert en onderzoekt apparaatschendingen en reageert automatisch op beveiligingsrisico's. |
Microsoft Defender voor IoT | Biedt zowel IoT-apparaatdetectie als beveiligingswaarde voor IoT-apparaten. |
Microsoft Defender Vulnerability Management | Identificeert assets en software-inventarisatie en beoordeelt de apparaatpostuur om beveiligingsproblemen te vinden. |
Microsoft Defender for Cloud Apps | Beveiligt en beheert de toegang tot SaaS-cloud-apps. |
Andere services die worden ondersteund in de Microsoft Defender-portal, maar niet met Microsoft Defender XDR zijn gelicentieerd, zijn:
Service | Beschrijving |
---|---|
Microsoft Security Exposure Management | Biedt een uniforme weergave van de beveiligingspostuur voor bedrijfsassets en workloads, waardoor assetinformatie wordt verrijkt met beveiligingscontext. |
Microsoft Copilot voor beveiliging | Biedt ai-gestuurde inzichten en aanbevelingen om uw beveiligingsbewerkingen te verbeteren. |
Microsoft Defender voor Cloud | Beschermt omgevingen met meerdere clouds en hybride omgevingen met geavanceerde detectie en reactie op bedreigingen. |
Microsoft Defender-bedreigingsinformatie | Stroomlijnt werkstromen voor bedreigingsinformatie door kritieke gegevensbronnen te aggregeren en te verrijken om indicatoren van inbreuk (IOC's) te correleren met gerelateerde artikelen, actorprofielen en beveiligingsproblemen. |
Microsoft Entra Id-beveiliging | Evalueert risicogegevens van aanmeldingspogingen om het risico van elke aanmelding bij uw omgeving te evalueren. |
Microsoft Purview-intern risicobeheer | Correleert verschillende signalen om mogelijke schadelijke of onbedoelde interne risico's te identificeren, zoals IP-diefstal, gegevenslekken en beveiligingsschendingen. |
Servicevereisten controleren
Voordat u Microsoft Defender services implementeert voor geïntegreerde beveiligingsbewerkingen, controleert u de vereisten voor elke service die u wilt gebruiken. De volgende tabel bevat de services en koppelingen voor meer informatie:
Beveiligingsservice | Vereisten |
---|---|
Vereist voor geïntegreerde beveiligingsbewerkingen | |
Microsoft Defender XDR | vereisten voor Microsoft Defender XDR |
Microsoft Sentinel | Vereisten voor het implementeren van Microsoft Sentinel |
Optionele Microsoft Defender XDR-services | |
Microsoft Defender voor Office | vereisten voor Microsoft Defender XDR |
Microsoft Defender for Identity | vereisten voor Microsoft Defender for Identity |
Microsoft Defender voor Eindpunt | Microsoft Defender voor Eindpunt-implementatie instellen |
Ondernemingsbewaking met Microsoft Defender voor IoT | Vereisten voor Defender for IoT in de Defender-portal |
Microsoft Defender Vulnerability Management | Vereisten & machtigingen voor Microsoft Defender Vulnerability Management |
Microsoft Defender for Cloud Apps | Aan de slag met Microsoft Defender for Cloud Apps |
Andere services die worden ondersteund in de Microsoft Defender-portal | |
Microsoft Security Exposure Management | Vereisten en ondersteuning |
Microsoft Copilot voor beveiliging | Minimumvereisten |
Microsoft Defender voor Cloud | Begin met het plannen van multicloudbeveiliging en andere artikelen in dezelfde sectie. |
Microsoft Defender-bedreigingsinformatie | Vereisten voor Defender Threat Intelligence |
Microsoft Entra Id-beveiliging | Vereisten voor Microsoft Entra Id-beveiliging |
Microsoft Purview-intern risicobeheer | Aan de slag met insider-risicobeheer |
Gegevensbeveiligings- en privacyprocedures bekijken
Voordat u Microsoft Defender services implementeert voor geïntegreerde beveiligingsbewerkingen, moet u ervoor zorgen dat u de gegevensbeveiligings- en privacyprocedures begrijpt voor elke service die u wilt gebruiken. De volgende tabel bevat de services en koppelingen voor meer informatie. Houd er rekening mee dat verschillende services gebruikmaken van de procedures voor gegevensbeveiliging en -retentie voor Microsoft Defender XDR in plaats van afzonderlijke procedures te hebben.
De architectuur van uw Log Analytics-werkruimte plannen
Als u Microsoft Sentinel wilt onboarden naar de Defender-portal, moet eerst een Log Analytics-werkruimte zijn ingeschakeld voor Microsoft Sentinel. Eén Log Analytics-werkruimte kan voor veel omgevingen voldoende zijn, maar veel organisaties maken meerdere werkruimten om de kosten te optimaliseren en beter te voldoen aan verschillende bedrijfsvereisten.
Ontwerp de Log Analytics-werkruimte die u wilt inschakelen voor Microsoft Sentinel. Houd rekening met parameters zoals nalevingsvereisten voor het verzamelen en opslaan van gegevens en hoe u de toegang tot Microsoft Sentinel gegevens kunt beheren.
Zie voor meer informatie:
Kosten en gegevensbronnen Microsoft Sentinel plannen
De Defender-portal kan systeemeigen gegevens opnemen uit eigen Microsoft-services, zoals Microsoft Defender for Cloud Apps en Microsoft Defender for Cloud. We raden u aan uw dekking uit te breiden naar andere gegevensbronnen in uw omgeving door Microsoft Sentinel gegevensconnectors toe te voegen.
Uw gegevensbronnen bepalen
Bepaal de volledige set gegevensbronnen waaruit u gegevens wilt opnemen en de vereisten voor de gegevensgrootte om u te helpen het budget en de tijdlijn van uw implementatie nauwkeurig te projecteren. U kunt deze informatie bepalen tijdens de beoordeling van uw bedrijfsgebruikscase of door een huidige SIEM te evalueren die u al hebt. Als u al een SIEM hebt, analyseert u uw gegevens om te begrijpen welke gegevensbronnen de meeste waarde bieden en moeten worden opgenomen in Microsoft Sentinel.
U kunt bijvoorbeeld een van de volgende aanbevolen gegevensbronnen gebruiken:
Azure-services: als een van de volgende services in Azure wordt geïmplementeerd, gebruikt u de volgende connectors om de diagnostische logboeken van deze resources te verzenden naar Microsoft Sentinel:
- Azure Firewall
- Azure Application Gateway
- Keyvault
- Azure Kubernetes Service
- Azure SQL
- Netwerkbeveiligingsgroepen
- Azure-Arc-servers
U wordt aangeraden Azure Policy in te stellen om te vereisen dat hun logboeken worden doorgestuurd naar de onderliggende Log Analytics-werkruimte. Zie Diagnostische instellingen op schaal maken met behulp van Azure Policy voor meer informatie.
Virtuele machines: voor virtuele machines die on-premises of in andere clouds worden gehost en waarvoor de logboeken moeten worden verzameld, gebruikt u de volgende gegevensconnectors:
- gebeurtenissen Windows-beveiliging met behulp van AMA
- Gebeurtenissen via Defender voor Eindpunt (voor server)
- Syslog
Virtuele netwerkapparaten/on-premises bronnen: gebruik de volgende gegevensconnectors voor virtuele netwerkapparaten of andere on-premises bronnen die CEF-logboeken (Common Event Format) of SYSLOG-logboeken genereren:
- Syslog via AMA
- Common Event Format (CEF) via AMA
Zie Gegevensconnectors prioriteren voor meer informatie.
Uw budget plannen
Plan uw Microsoft Sentinel budget, rekening houdend met de kostengevolgen voor elk gepland scenario. Zorg ervoor dat uw budget de kosten van gegevensopname dekt voor zowel Microsoft Sentinel als Azure Log Analytics, eventuele playbooks die worden geïmplementeerd, enzovoort. Zie voor meer informatie:
- Bewaarplannen vastleggen in Microsoft Sentinel
- Kosten plannen en inzicht in Microsoft Sentinel prijzen en facturering
Inzicht in Microsoft-beveiligingsportals en -beheercentra
Hoewel de Microsoft Defender portal de thuisbasis is voor het bewaken en beheren van de beveiliging van uw identiteiten, gegevens, apparaten en apps, moet u toegang hebben tot verschillende portals voor bepaalde gespecialiseerde taken.
Microsoft-beveiligingsportals omvatten:
Portalnaam | Beschrijving | Koppelen |
---|---|---|
Microsoft Defender-portal | Bewaak en reageer op bedreigingsactiviteiten en versterk de beveiligingspostuur voor uw identiteiten, e-mail, gegevens, eindpunten en apps met Microsoft Defender XDR |
security.microsoft.com In de Microsoft Defender portal kunt u waarschuwingen, incidenten, instellingen en meer bekijken en beheren. |
Defender for Cloud-portal | Gebruik Microsoft Defender for Cloud om de beveiligingsstatus van uw datacenters en uw hybride workloads in de cloud te versterken | portal.azure.com/#blade/Microsoft_Azure_Security |
Microsoft-beveiligingsinformatie portal | Updates voor beveiligingsinformatie voor Microsoft Defender voor Eindpunt downloaden, voorbeelden verzenden en de bedreigingsencyclopedie verkennen | microsoft.com/wdsi |
In de volgende tabel worden portals beschreven voor andere workloads die van invloed kunnen zijn op uw beveiliging. Ga naar deze portals om identiteiten, machtigingen, apparaatinstellingen en beleidsregels voor gegevensverwerking te beheren.
Portalnaam | Beschrijving | Koppelen |
---|---|---|
Microsoft Entra-beheercentrum | De Microsoft Entra-familie openen en beheren om uw bedrijf te beschermen met gedecentraliseerde identiteit, identiteitsbeveiliging, governance en meer, in een omgeving met meerdere clouds | entra.microsoft.com |
Azure Portal | Al uw Azure-resources weergeven en beheren | portal.azure.com |
Microsoft Purview-portal | Beleid voor gegevensverwerking beheren en ervoor zorgen dat de regelgeving wordt nageleefd | purview.microsoft.com |
Microsoft 365-beheercentrum | Microsoft 365-services configureren; rollen, licenties beheren en updates voor uw Microsoft 365-services bijhouden | admin.microsoft.com |
Microsoft Intune beheercentrum | Gebruik Microsoft Intune om apparaten te beheren en te beveiligen. Kan ook Intune en Configuration Manager mogelijkheden combineren. | intune.microsoft.com |
Microsoft Intune portal | Gebruik Microsoft Intune om apparaatbeleid te implementeren en apparaten te controleren op naleving | intune.microsoft.com |
Rollen en machtigingen plannen
De Microsoft Defender portal verenigt de volgende RBAC-modellen (op rollen gebaseerd toegangsbeheer) voor geïntegreerde beveiligingsbewerkingen:
- Microsoft Entra ID RBAC, dat wordt gebruikt voor het delegeren van toegang tot Defender, zoals apparaatgroepen
- Azure RBAC, gebruikt door Microsoft Sentinel om machtigingen te delegeren
- Geïntegreerde RBAC van Defender, gebruikt voor het delegeren van machtigingen voor Defender-oplossingen
Hoewel machtigingen die zijn verleend via Azure RBAC voor Microsoft Sentinel tijdens runtime worden gefedereerd met de geïntegreerde RBAC van Defender, worden Azure RBAC en Defender RBAC nog steeds afzonderlijk beheerd.
De geïntegreerde RBAC van Defender is niet vereist voor het onboarden van uw werkruimte naar de Defender-portal en Microsoft Sentinel machtigingen blijven werken zoals verwacht in de Defender-portal, zelfs zonder geïntegreerde RBAC. Het gebruik van geïntegreerde RBAC vereenvoudigt echter wel de overdracht van machtigingen tussen Defender-oplossingen. Zie Activeer Microsoft Defender XDR Unified role-based access control (RBAC) voor meer informatie.
De minimaal vereiste machtiging voor een analist om Microsoft Sentinel gegevens weer te geven, is het delegeren van machtigingen voor de rol Azure RBAC Sentinel Lezer. Deze machtigingen worden ook toegepast op de geïntegreerde portal. Zonder deze machtigingen is het Microsoft Sentinel navigatiemenu niet beschikbaar in de geïntegreerde portal, hoewel de analist toegang heeft tot de Microsoft Defender portal.
Een best practice is om alle Microsoft Sentinel gerelateerde resources in dezelfde Azure-resourcegroep te hebben en vervolgens Microsoft Sentinel rolmachtigingen (zoals de rol Sentinel Lezer) te delegeren op het niveau van de resourcegroep die de Microsoft Sentinel werkruimte bevat. Hierdoor is de roltoewijzing van toepassing op alle resources die ondersteuning bieden voor Microsoft Sentinel.
Gebruik voor de volgende services de verschillende rollen die beschikbaar zijn of maak aangepaste rollen om u gedetailleerde controle te geven over wat gebruikers kunnen zien en doen. Zie voor meer informatie:
Zie voor meer informatie:
- Rollen en machtigingen voor Microsoft Sentinel plannen
- Ingebouwde Azure-rollen
- Microsoft Sentinel rollen
- Vereisten voor onboarding
- Geïntegreerde RBAC beheren in Microsoft Defender (videodemo)
Activiteiten Zero Trust plannen
Geïntegreerde beveiligingsbewerkingen in de Defender-portal maken deel uit van het Zero Trust-beveiligingsmodel van Microsoft, dat de volgende principes omvat:
Beveiligingsprincipe | Beschrijving |
---|---|
Expliciet controleren | Verifieer en autoriseer altijd op basis van alle beschikbare gegevenspunten. |
Minimale toegangsrechten gebruiken | Beperk gebruikerstoegang met Just-In-Time en Just-Enough-Access (JIT/JEA), op risico gebaseerd adaptief beleid en gegevensbescherming. |
Ga ervan uit dat er sprake is van | Straal van ontploffing en segmenttoegang minimaliseren. Controleer end-to-endversleuteling en gebruik analyses om zichtbaarheid te krijgen, bedreigingsdetectie te stimuleren en de verdediging te verbeteren. |
Zero Trust beveiliging is ontworpen om moderne digitale omgevingen te beschermen door gebruik te maken van netwerksegmentatie, laterale verplaatsing te voorkomen, toegang met minimale bevoegdheden te bieden en geavanceerde analyses te gebruiken om bedreigingen te detecteren en erop te reageren.
Zie Zero Trust inhoud voor de volgende services voor meer informatie over het implementeren van Zero Trust-principes in de Defender-portal:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender for Identity
- Microsoft Defender voor Office 365
- Microsoft Defender voor Eindpunt
- Microsoft Defender for Cloud Apps
- Microsoft Security Exposure Management
- Microsoft Defender voor Cloud
- Microsoft Copilot voor beveiliging
- Microsoft Entra Id-beveiliging
- Microsoft Purview
Zie het Zero Trust Guidance Center voor meer informatie.