Ocena i pilotaż usługi Microsoft 365 Defender
Dotyczy:
- Microsoft 365 Defender
Jak działa ta seria artykułów
Ta seria artykułów ma na celu kompleksowe przejście przez cały proces konfigurowania środowiska XDR w wersji próbnej, dzięki czemu można ocenić funkcje i możliwości Microsoft 365 Defender, a nawet podwyższyć poziom środowiska ewaluacji bezpośrednio do środowiska produkcyjnego, gdy wszystko będzie gotowe.
Jeśli dopiero zaczynasz myśleć o XDR, możesz przeskanować te 7 połączonych artykułów, aby dowiedzieć się, jak kompleksowe jest rozwiązanie.
- Jak utworzyć środowisko
- Konfigurowanie lub poznawanie każdej technologii tej usługi Microsoft XDR
- Jak zbadać tę trasę XDR i odpowiedzieć na nią
- Podwyższanie poziomu środowiska próbnego do środowiska produkcyjnego
Microsoft 365 Defender jest rozwiązaniem cyberbezpieczeństwa XDR firmy Microsoft
Microsoft 365 Defender to rozwiązanie do wykrywania i reagowania eXtended (XDR), które automatycznie zbiera, koreluje i analizuje dane sygnału, zagrożeń i alertów z całego środowiska platformy Microsoft 365, w tym punkty końcowe, pocztę e-mail, aplikacje i tożsamości. Wykorzystuje sztuczną inteligencję (AI) i automatyzację do automatycznego zatrzymywania ataków i korygowanie dotkniętych zasobów w bezpiecznym stanie.
Program XDR jest kolejnym krokiem zabezpieczeń, ujednolicającym punktem końcowym (wykrywaniem i reagowaniem na punkty końcowe lub EDR), pocztą e-mail, aplikacją i zabezpieczeniami tożsamości w jednym miejscu.
Zalecenia firmy Microsoft dotyczące oceny Microsoft 365 Defender
Firma Microsoft zaleca utworzenie oceny w istniejącej subskrypcji produkcyjnej Office 365. W ten sposób natychmiast uzyskasz rzeczywiste szczegółowe informacje i dostosujesz ustawienia, aby działały z bieżącymi zagrożeniami w twoim środowisku. Po zdobyciu doświadczenia i komfortu pracy z platformą po prostu promuj każdy składnik, po jednym na raz, do produkcji.
Anatomia ataku cybernetycznego
Microsoft 365 Defender to oparty na chmurze, ujednolicony, przed i po naruszeniu zabezpieczeń pakiet obrony przedsiębiorstwa. Koordynuje zapobieganie, wykrywanie, badanie i reagowanie między punktami końcowymi, tożsamościami, aplikacjami, pocztą e-mail, aplikacjami do współpracy i wszystkimi danymi.
Na tej ilustracji trwa atak. Wiadomość e-mail dotycząca wyłudzania informacji dociera do skrzynki odbiorczej pracownika w organizacji, który nieświadomie otwiera załącznik wiadomości e-mail. Spowoduje to zainstalowanie złośliwego oprogramowania, co prowadzi do łańcucha zdarzeń, które mogą zakończyć się kradzieżą poufnych danych. Ale w tym przypadku Ochrona usługi Office 365 w usłudze Defender działa.
Na ilustracji:
- Exchange Online Protection, część Ochrona usługi Office 365 w usłudze Microsoft Defender, może wykryć wiadomość e-mail wyłudzającą informacje i użyć reguł przepływu poczty (znanych również jako reguły transportu), aby upewnić się, że nigdy nie dociera do skrzynki odbiorczej.
- Ochrona usługi Office 365 w usłudze Defender używa bezpiecznych załączników do testowania załącznika i określania, że jest on szkodliwy, więc przychodzące wiadomości e-mail nie są możliwe do wykonania przez użytkownika lub zasady uniemożliwiają dotarcie wiadomości e-mail w ogóle.
- Usługa Defender for Endpoint zarządza urządzeniami, które łączą się z siecią firmową i wykrywają luki w zabezpieczeniach urządzeń i sieci, które w przeciwnym razie mogłyby zostać wykorzystane.
- Usługa Defender for Identity uwzględnia nagłe zmiany kont, takie jak eskalacja uprawnień lub przenoszenie poprzeczne wysokiego ryzyka. Raportuje również problemy z łatwo wykorzystywaną tożsamością, takie jak nieograniczone delegowanie protokołu Kerberos, w celu skorygowania przez zespół ds. zabezpieczeń.
- Microsoft Defender for Cloud Apps zauważa nietypowe zachowanie, takie jak niemożliwe podróże, dostęp do poświadczeń i nietypowe działanie pobierania, udostępniania plików lub przekazywania wiadomości e-mail i zgłasza je zespołowi ds. zabezpieczeń.
Microsoft 365 Defender składniki zabezpieczają urządzenia, tożsamość, dane i aplikacje
Microsoft 365 Defender składa się z tych technologii zabezpieczeń, działających w parze. Nie potrzebujesz wszystkich tych składników, aby korzystać z możliwości XDR i Microsoft 365 Defender. Będziesz realizować zyski i wydajność poprzez użycie jednego lub dwóch, jak również.
| Składnik | Opis | Materiał referencyjny |
|---|---|---|
| Microsoft Defender for Identity | Microsoft Defender for Identity używa sygnałów usługi Active Directory do identyfikowania, wykrywania i badania zaawansowanych zagrożeń, tożsamości, których zabezpieczenia zostały naruszone, oraz złośliwych akcji wewnętrznych skierowanych do organizacji. | Co to jest usługa Microsoft Defender for Identity? |
| Exchange Online Protection | Exchange Online Protection jest natywną chmurową usługą przekaźnika I filtrowania SMTP, która pomaga chronić organizację przed spamem i złośliwym oprogramowaniem. | omówienie Exchange Online Protection (EOP) — Office 365 |
| Ochrona usługi Office 365 w usłudze Microsoft Defender | Ochrona usługi Office 365 w usłudze Microsoft Defender chroni organizację przed złośliwymi zagrożeniami związanymi z wiadomościami e-mail, linkami (adresami URL) i narzędziami do współpracy. | Ochrona usługi Office 365 w usłudze Microsoft Defender — Office 365 |
| Ochrona punktu końcowego w usłudze Microsoft Defender | Ochrona punktu końcowego w usłudze Microsoft Defender to ujednolicona platforma do ochrony urządzeń, wykrywania po naruszeniu zabezpieczeń, zautomatyzowanego badania i zalecanej reakcji. | Ochrona punktu końcowego w usłudze Microsoft Defender — zabezpieczenia systemu Windows |
| Microsoft Defender for Cloud Apps | Microsoft Defender for Cloud Apps to kompleksowe rozwiązanie obejmujące wiele rozwiązań SaaS zapewniające głęboką widoczność, silne mechanizmy kontroli danych i rozszerzoną ochronę przed zagrożeniami w aplikacjach w chmurze. | Co to jest usługa Defender for Cloud Apps? |
| Ochrona tożsamości w usłudze Azure AD | Azure AD Identity Protection ocenia dane o ryzyku z miliardów prób logowania i używa tych danych do oceny ryzyka związanego z każdym logowaniem do środowiska. Te dane są używane przez Azure AD do zezwalania na dostęp do konta lub zapobiegania mu, w zależności od sposobu konfigurowania zasad dostępu warunkowego. Azure AD usługa Identity Protection jest licencjonowana niezależnie od Microsoft 365 Defender. Jest on dołączony do Azure Active Directory — wersja Premium P2. | Co to jest usługa Identity Protection? |
architektura Microsoft 365 Defender
Na poniższym diagramie przedstawiono architekturę wysokiego poziomu dla kluczowych składników Microsoft 365 Defender i integracji. Szczegółowa architektura dla każdego składnika usługi Defender i scenariuszy przypadków użycia jest podana w tej serii artykułów.
Na tej ilustracji:
- Microsoft 365 Defender łączy sygnały ze wszystkich składników usługi Defender w celu zapewnienia rozszerzonego wykrywania i reagowania (XDR) w różnych domenach. Obejmuje to ujednoliconą kolejkę zdarzeń, automatyczną reakcję na ataki, samonaprawianie się (w przypadku urządzeń, tożsamości użytkowników i skrzynek pocztowych), wyszukiwanie zagrożeń krzyżowych i analizę zagrożeń.
- Ochrona usługi Office 365 w usłudze Microsoft Defender chroni organizację przed złośliwymi zagrożeniami związanymi z wiadomościami e-mail, linkami (adresami URL) i narzędziami do współpracy. Udostępnia sygnały wynikające z tych działań Microsoft 365 Defender. Exchange Online Protection (EOP) jest zintegrowana w celu zapewnienia kompleksowej ochrony przychodzącej poczty e-mail i załączników.
- Microsoft Defender for Identity zbiera sygnały z serwerów z usługami Federacyjnymi Active Directory (AD FS) i lokalna usługa Active Directory Domain Services (AD DS). Te sygnały są używane do ochrony środowiska tożsamości hybrydowej, w tym ochrony przed hakerami korzystającymi z kont z naruszeniem zabezpieczeń w celu późniejszego przenoszenia między stacjami roboczymi w środowisku lokalnym.
- Ochrona punktu końcowego w usłudze Microsoft Defender zbiera sygnały z urządzeń używanych przez organizację i chroni je.
- Microsoft Defender for Cloud Apps zbiera sygnały z korzystania przez organizację z aplikacji w chmurze i chroni dane przepływające między środowiskiem i tymi aplikacjami, w tym zarówno aplikacje w chmurze zaakceptowane, jak i nieakceptowane.
- Azure AD Identity Protection ocenia dane o ryzyku z miliardów prób logowania i używa tych danych do oceny ryzyka związanego z każdym logowaniem do środowiska. Te dane są używane przez Azure AD do zezwalania na dostęp do konta lub zapobiegania mu, w zależności od sposobu konfigurowania zasad dostępu warunkowego. Azure AD usługa Identity Protection jest licencjonowana niezależnie od Microsoft 365 Defender. Jest on dołączony do Azure Active Directory — wersja Premium P2.
Rozwiązania Microsoft SIEM i SOAR mogą używać danych z Microsoft 365 Defender
Dodatkowe opcjonalne składniki architektury nie są uwzględnione na tej ilustracji:
- Szczegółowe dane sygnału ze wszystkich składników Microsoft 365 Defender można zintegrować z usługą Microsoft Sentinel i połączyć z innymi źródłami rejestrowania w celu zaoferowania pełnych możliwości i szczegółowych informacji dotyczących rozwiązania SIEM i SOAR.
- Aby uzyskać więcej informacji na temat korzystania z usługi Microsoft Sentinel, rozwiązania Azure SIEM z Microsoft 365 Defender jako trasą XDR, zapoznaj się z tym artykułem Przegląd oraz krokami integracji z usługą Microsoft Sentinel i Microsoft 365 Defender.
- Aby uzyskać więcej informacji na temat aplikacji SOAR w usłudze Microsoft Sentinel (w tym linki do podręczników w repozytorium GitHub usługi Microsoft Sentinel), przeczytaj ten artykuł.
Proces oceny zabezpieczeń cybernetycznych Microsoft 365 Defender
Firma Microsoft zaleca włączenie składników platformy Microsoft 365 w przedstawionej kolejności:
Poniższa tabela opisuje tę ilustrację.
| Serial Number (Numer seryjny) | Krok | Opis |
|---|---|---|
| 1 | Tworzenie środowiska ewaluacyjnego | Ten krok gwarantuje, że masz licencję próbną dla Microsoft 365 Defender. |
| 2 | Włączanie usługi Defender for Identity | Przejrzyj wymagania dotyczące architektury, włącz ocenę i zapoznaj się z samouczkami dotyczącymi identyfikowania i korygowania różnych typów ataków. |
| 3 | Włączanie Ochrona usługi Office 365 w usłudze Defender | Upewnij się, że spełniasz wymagania dotyczące architektury, włącz ocenę, a następnie utwórz środowisko pilotażowe. Ten składnik zawiera Exchange Online Protection, więc w tym miejscu faktycznie ocenisz oba te elementy. |
| 4 | Włączanie usługi Defender dla punktu końcowego | Upewnij się, że spełniasz wymagania dotyczące architektury, włącz ocenę, a następnie utwórz środowisko pilotażowe. |
| 5 | Włącz Microsoft Defender for Cloud Apps | Upewnij się, że spełniasz wymagania dotyczące architektury, włącz ocenę, a następnie utwórz środowisko pilotażowe. |
| 6 | Badanie zagrożeń i odpowiadanie na nie | Symulowanie ataku i rozpoczynanie korzystania z funkcji reagowania na zdarzenia. |
| 7 | Podwyższanie wersji próbnej do poziomu wersji produkcyjnej | Podwyższanie poziomu składników platformy Microsoft 365 do produkcji pojedynczo. |
Ta kolejność jest często zalecana i zaprojektowana w celu szybkiego wykorzystania wartości możliwości w zależności od tego, ile nakładu pracy jest zwykle wymagane do wdrożenia i skonfigurowania możliwości. Na przykład Ochrona usługi Office 365 w usłudze Defender można skonfigurować w krótszym czasie niż rejestrowanie urządzeń w usłudze Defender for Endpoint. Oczywiście należy określić priorytety składników zgodnie z potrzebami biznesowymi i włączyć je w innej kolejności.
Przejdź do następnego kroku
Dowiedz się więcej o środowisku ewaluacji Microsoft 365 Defender i/lub utwórz go