Pilotaż i wdrażanie Microsoft Defender XDR
Dotyczy:
- Microsoft Defender XDR
W tej serii artykułów opisano cały proces pilotażu składników Microsoft Defender XDR w dzierżawie produkcyjnej, dzięki czemu można ocenić ich funkcje i możliwości, a następnie ukończyć wdrożenie w całej organizacji.
Rozwiązanie do wykrywania i reagowania eXtended (XDR) jest krokiem naprzód w zakresie bezpieczeństwa cybernetycznego, ponieważ pobiera dane o zagrożeniach z systemów, które były kiedyś izolowane, i ujednolica je, aby można było zobaczyć wzorce i szybciej działać w związku z podejrzeniem cyberataków.
Microsoft Defender XDR:
To rozwiązanie XDR, które łączy informacje o cyberatakach na tożsamości, punkty końcowe, pocztę e-mail i aplikacje w chmurze w jednym miejscu. Wykorzystuje sztuczną inteligencję (AI) i automatyzację, aby automatycznie zatrzymać niektóre rodzaje ataków i skorygować zasoby, których dotyczy problem, w bezpiecznym stanie.
To oparty na chmurze, ujednolicony, przed i po naruszeniu zabezpieczeń pakiet obrony przedsiębiorstwa. Koordynuje zapobieganie, wykrywanie, badanie i reagowanie między tożsamościami, punktami końcowymi, pocztą e-mail, aplikacjami w chmurze i ich danymi.
Przyczynia się do silnego Zero Trust architektury, zapewniając ochronę przed zagrożeniami i wykrywanie. Pomaga to zapobiegać lub zmniejszać szkody biznesowe spowodowane naruszeniem. Aby uzyskać więcej informacji, zobacz Implement threat protection and XDR business scenario in the Microsoft Zero Trust adoption framework (Implementowanie ochrony przed zagrożeniami i scenariusza biznesowego XDR w strukturze wdrażania usługi Microsoft Zero Trust).
Microsoft Defender XDR składników i architektury
W tej tabeli wymieniono składniki Microsoft Defender XDR.
| Składnik | Opis | Aby uzyskać więcej informacji |
|---|---|---|
| Microsoft Defender for Identity | Używa sygnałów z lokalna usługa Active Directory Domain Services (AD DS) i Active Directory Federation Services (AD FS) do identyfikowania, wykrywania i badania zaawansowanych zagrożeń, tożsamości z naruszeniem zabezpieczeń i złośliwych działań wewnętrznych skierowanych do organizacji. | Co to jest usługa Microsoft Defender for Identity? |
| Exchange Online Protection | Natywna chmurowa usługa przekaźnika I filtrowania SMTP, która pomaga chronić organizację przed spamem i złośliwym oprogramowaniem. | omówienie Exchange Online Protection (EOP) — Office 365 |
| Ochrona usługi Office 365 w usłudze Microsoft Defender | Chroni organizację przed złośliwymi zagrożeniami, jakie stwarzają wiadomości e-mail, linki (adresy URL) i narzędzia do współpracy. | Ochrona usługi Office 365 w usłudze Microsoft Defender — Office 365 |
| Ochrona punktu końcowego w usłudze Microsoft Defender | Ujednolicona platforma do ochrony urządzeń, wykrywania po naruszeniu zabezpieczeń, zautomatyzowanego badania i zalecanej odpowiedzi. | Ochrona punktu końcowego w usłudze Microsoft Defender — zabezpieczenia systemu Windows |
| Microsoft Defender for Cloud Apps | Kompleksowe rozwiązanie między usługami SaaS zapewniające głęboką widoczność, silne mechanizmy kontroli danych i rozszerzoną ochronę przed zagrożeniami w aplikacjach w chmurze. | Co to jest Defender for Cloud Apps? |
| Ochrona tożsamości Microsoft Entra | Ocenia dane o ryzyku z miliardów prób logowania i używa tych danych do oceny ryzyka związanego z każdym logowaniem do dzierżawy. Te dane są używane przez Tożsamość Microsoft Entra do zezwalania na dostęp do konta lub zapobiegania mu, w zależności od sposobu konfigurowania zasad dostępu warunkowego. Ochrona tożsamości Microsoft Entra jest oddzielona od Microsoft Defender XDR i jest dołączona do licencji Tożsamość Microsoft Entra P2. | Co to jest usługa Identity Protection? |
Na tej ilustracji przedstawiono architekturę i integrację składników Microsoft Defender XDR.
Na tej ilustracji:
- Microsoft Defender XDR łączy sygnały ze wszystkich składników usługi Defender, aby zapewnić trasę XDR w różnych domenach. Obejmuje to ujednoliconą kolejkę zdarzeń, automatyczną reakcję na ataki, samonaprawianie (w przypadku urządzeń, tożsamości użytkowników i skrzynek pocztowych), wyszukiwanie zagrożeń krzyżowych i analizę zagrożeń.
- Ochrona usługi Office 365 w usłudze Microsoft Defender chroni organizację przed złośliwymi zagrożeniami związanymi z wiadomościami e-mail, linkami (adresami URL) i narzędziami do współpracy. Udostępnia ona sygnały wynikające z tych działań Microsoft Defender XDR. Exchange Online Protection (EOP) jest zintegrowana w celu zapewnienia kompleksowej ochrony przychodzącej poczty e-mail i załączników.
- Microsoft Defender for Identity zbiera sygnały z kontrolerów domeny usług AD DS i serwerów z usługami AD FS i AD CS. Te sygnały są używane do ochrony środowiska tożsamości hybrydowej, w tym ochrony przed hakerami korzystającymi z kont z naruszeniem zabezpieczeń w celu późniejszego przenoszenia między stacjami roboczymi w środowisku lokalnym.
- Ochrona punktu końcowego w usłudze Microsoft Defender zbiera sygnały z urządzeń zarządzanych przez organizację i chroni je.
- Microsoft Defender for Cloud Apps zbiera sygnały z korzystania przez organizację z aplikacji w chmurze i chroni dane przepływające między środowiskiem IT i tymi aplikacjami, w tym zarówno aplikacje w chmurze zaakceptowane, jak i nieakceptowane.
- Ochrona tożsamości Microsoft Entra ocenia dane o ryzyku z miliardów prób logowania i używa tych danych do oceny ryzyka każdego logowania do dzierżawy. Te dane są używane przez Tożsamość Microsoft Entra do zezwalania na dostęp do konta lub zapobiegania mu na podstawie warunków i ograniczeń zasad dostępu warunkowego. Ochrona tożsamości Microsoft Entra jest oddzielona od Microsoft Defender XDR i jest dołączona do licencji Tożsamość Microsoft Entra P2.
Microsoft Defender XDR składniki i integracja rozwiązania SIEM
Możesz zintegrować składniki Microsoft Defender XDR z usługą Microsoft Sentinel lub ogólną usługą zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM), aby umożliwić scentralizowane monitorowanie alertów i działań z połączonych aplikacji.
Microsoft Sentinel jest rozwiązaniem natywnym dla chmury, które zapewnia możliwości rozwiązania SIEM i orkiestracji zabezpieczeń, automatyzacji i reagowania (SOAR). Razem składniki Microsoft Sentinel i Microsoft Defender XDR zapewniają kompleksowe rozwiązanie, które pomaga organizacjom bronić się przed nowoczesnymi atakami.
Microsoft Sentinel zawiera łączniki dla składników Microsoft Defender. Dzięki temu możesz nie tylko uzyskać wgląd w aplikacje w chmurze, ale także uzyskać zaawansowaną analizę w celu identyfikowania i zwalczania cyberzagrożeń oraz kontrolowania sposobu przenoszenia danych. Aby uzyskać więcej informacji, zobacz Omówienie kroków integracji i integracji Microsoft Defender XDR i Microsoft Sentineldla Microsoft Sentinel i Microsoft Defender XDR.
Aby uzyskać więcej informacji na temat funkcji SOAR w Microsoft Sentinel (w tym linki do podręczników w repozytorium usługi GitHub Microsoft Sentinel), zobacz Automatyzowanie reagowania na zagrożenia za pomocą podręczników w Microsoft Sentinel.
Aby uzyskać informacje na temat integracji z systemami SIEM innych firm, zobacz Ogólna integracja SIEM.
Microsoft Defender XDR i przykładowy atak cybernetyczny
Na tym diagramie przedstawiono typowy cyberatak i składniki Microsoft Defender XDR, które pomagają je wykrywać i korygować.
Atak cybernetyczny rozpoczyna się od wiadomości e-mail wyłudzającej informacje, która dociera do skrzynki odbiorczej pracownika w organizacji, który nieświadomie otwiera załącznik wiadomości e-mail. Ten załącznik instaluje złośliwe oprogramowanie, które może prowadzić do łańcucha prób ataku, które mogą spowodować kradzież poufnych danych.
Na ilustracji:
- Exchange Online Protection, część Ochrona usługi Office 365 w usłudze Microsoft Defender, może wykryć wiadomość e-mail wyłudzającą informacje i użyć reguł przepływu poczty (znanych również jako reguły transportu), aby upewnić się, że nigdy nie dociera do skrzynki odbiorczej użytkownika.
- Ochrona usługi Office 365 w usłudze Defender używa bezpiecznych załączników do testowania załącznika i określania, że jest on szkodliwy, więc przychodzące wiadomości e-mail nie są możliwe do wykonania przez użytkownika lub zasady uniemożliwiają dotarcie wiadomości e-mail w ogóle.
- Usługa Defender for Endpoint wykrywa luki w zabezpieczeniach urządzeń i sieci, które w przeciwnym razie mogłyby zostać wykorzystane w przypadku urządzeń zarządzanych przez organizację.
- Usługa Defender for Identity zwraca uwagę na nagłe zmiany konta użytkownika lokalnego, takie jak eskalacja uprawnień lub przenoszenie boczne wysokiego ryzyka. Raportuje również problemy z łatwo wykorzystywaną tożsamością, takie jak nieograniczone delegowanie protokołu Kerberos, w celu skorygowania przez zespół ds. zabezpieczeń.
- Microsoft Defender for Cloud Apps wykrywa nietypowe zachowanie, takie jak niemożliwe podróże, dostęp do poświadczeń i nietypowe działanie pobierania, udostępniania plików lub przekazywania wiadomości e-mail i zgłasza je zespołowi ds. zabezpieczeń.
Proces pilotażowy i wdrażania dla Microsoft Defender XDR
Firma Microsoft zaleca włączenie składników usługi Microsoft 365 Defender w następującej kolejności.
| Faza | Link |
|---|---|
| Odp. Uruchamianie pilotażu | Uruchamianie pilotażu |
| B. Testowanie i wdrażanie składników Microsoft Defender XDR |
-
Pilotaż i wdrażanie usługi Defender for Identity - Pilotaż i wdrażanie Ochrona usługi Office 365 w usłudze Defender - Pilotaż i wdrażanie usługi Defender dla punktu końcowego - Pilotaż i wdrażanie Microsoft Defender for Cloud Apps |
| C. Badanie zagrożeń i odpowiadanie na nie | Badanie i reagowanie na zdarzenia praktyczne |
Ta kolejność ma na celu szybkie wykorzystanie wartości możliwości w zależności od tego, ile nakładu pracy jest zwykle wymagane do wdrożenia i skonfigurowania możliwości. Na przykład Ochrona usługi Office 365 w usłudze Defender można skonfigurować w krótszym czasie niż rejestrowanie urządzeń w usłudze Defender for Endpoint. Określanie priorytetów składników zgodnie z potrzebami biznesowymi.
Uruchamianie pilotażu
Firma Microsoft zaleca rozpoczęcie pilotażu w istniejącej subskrypcji produkcyjnej platformy Microsoft 365 w celu natychmiastowego uzyskania rzeczywistych szczegółowych informacji i dostrojenia ustawień w celu działania w przypadku bieżących zagrożeń w dzierżawie usługi Microsoft 365. Po zdobyciu doświadczenia i komfortu pracy z platformą wystarczy rozszerzyć wykorzystanie każdego składnika, pojedynczo, do pełnego wdrożenia.
Alternatywą jest skonfigurowanie środowiska laboratorium Microsoft Defender XDR próbnego. Jednak to środowisko nie będzie wyświetlać żadnych rzeczywistych informacji o cyberbezpieczeństwie, takich jak zagrożenia lub ataki na produkcyjną dzierżawę platformy Microsoft 365 podczas pilotażu i nie będzie można przenieść ustawień zabezpieczeń z tego środowiska do dzierżawy produkcyjnej.
Korzystanie z licencji Microsoft 365 E5 wersji próbnej
Jeśli nie masz Microsoft 365 E5 i chcesz korzystać z licencji Microsoft 365 E5 wersji próbnej dla pilotażu:
Zaloguj się do istniejącego portalu administracyjnego dzierżawy platformy Microsoft 365.
Wybierz pozycję Kup usługi z menu nawigacji.
W sekcji Office 365 wybierz pozycję Szczegóły w obszarze licencji Office 365 E5.
Wybierz pozycję Rozpocznij bezpłatną wersję próbną.
Potwierdź żądanie i wybierz pozycję Wypróbuj teraz.
Pilotaż korzystający z licencji wersji próbnej Microsoft 365 E5 w istniejącej dzierżawie produkcyjnej umożliwia zachowanie wszelkich ustawień zabezpieczeń i metod po wygaśnięciu wersji próbnej i zakupieniu równoważnych licencji.
Następny krok
Zobacz Pilotaż i wdrażanie Microsoft Defender for Identity.
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.