W tej serii artykułów opisano cały proces pilotażu składników Microsoft Defender XDR w dzierżawie produkcyjnej, dzięki czemu można ocenić ich funkcje i możliwości, a następnie ukończyć wdrożenie w całej organizacji.
Rozwiązanie do wykrywania i reagowania eXtended (XDR) jest krokiem naprzód w zakresie bezpieczeństwa cybernetycznego, ponieważ pobiera dane o zagrożeniach z systemów, które były kiedyś izolowane, i ujednolica je, aby można było zobaczyć wzorce i szybciej działać w związku z podejrzeniem cyberataków.
Microsoft Defender XDR:
To rozwiązanie XDR, które łączy informacje o cyberatakach na tożsamości, punkty końcowe, pocztę e-mail i aplikacje w chmurze w jednym miejscu. Wykorzystuje sztuczną inteligencję (AI) i automatyzację, aby automatycznie zatrzymać niektóre rodzaje ataków i skorygować zasoby, których dotyczy problem, w bezpiecznym stanie.
To oparty na chmurze, ujednolicony, przed i po naruszeniu zabezpieczeń pakiet obrony przedsiębiorstwa. Koordynuje zapobieganie, wykrywanie, badanie i reagowanie między tożsamościami, punktami końcowymi, pocztą e-mail, aplikacjami w chmurze i ich danymi.
Przyczynia się do silnego Zero Trust architektury, zapewniając ochronę przed zagrożeniami i wykrywanie. Pomaga to zapobiegać lub zmniejszać szkody biznesowe spowodowane naruszeniem. Aby uzyskać więcej informacji, zobacz Implement threat protection and XDR business scenario in the Microsoft Zero Trust adoption framework (Implementowanie ochrony przed zagrożeniami i scenariusza biznesowego XDR w strukturze wdrażania usługi Microsoft Zero Trust).
Microsoft Defender XDR składników i architektury
W tej tabeli wymieniono składniki Microsoft Defender XDR.
Składnik
Opis
Aby uzyskać więcej informacji
Microsoft Defender for Identity
Używa sygnałów z lokalna usługa Active Directory Domain Services (AD DS) i Active Directory Federation Services (AD FS) do identyfikowania, wykrywania i badania zaawansowanych zagrożeń, tożsamości z naruszeniem zabezpieczeń i złośliwych działań wewnętrznych skierowanych do organizacji.
Kompleksowe rozwiązanie między usługami SaaS zapewniające głęboką widoczność, silne mechanizmy kontroli danych i rozszerzoną ochronę przed zagrożeniami w aplikacjach w chmurze.
Ocenia dane o ryzyku z miliardów prób logowania i używa tych danych do oceny ryzyka związanego z każdym logowaniem do dzierżawy. Te dane są używane przez Tożsamość Microsoft Entra do zezwalania na dostęp do konta lub zapobiegania mu, w zależności od sposobu konfigurowania zasad dostępu warunkowego. Ochrona tożsamości Microsoft Entra jest oddzielona od Microsoft Defender XDR i jest dołączona do licencji Tożsamość Microsoft Entra P2.
Na tej ilustracji przedstawiono architekturę i integrację składników Microsoft Defender XDR.
Na tej ilustracji:
Microsoft Defender XDR łączy sygnały ze wszystkich składników usługi Defender, aby zapewnić trasę XDR w różnych domenach. Obejmuje to ujednoliconą kolejkę zdarzeń, automatyczną reakcję na ataki, samonaprawianie (w przypadku urządzeń, tożsamości użytkowników i skrzynek pocztowych), wyszukiwanie zagrożeń krzyżowych i analizę zagrożeń.
Ochrona usługi Office 365 w usłudze Microsoft Defender chroni organizację przed złośliwymi zagrożeniami związanymi z wiadomościami e-mail, linkami (adresami URL) i narzędziami do współpracy. Udostępnia ona sygnały wynikające z tych działań Microsoft Defender XDR. Exchange Online Protection (EOP) jest zintegrowana w celu zapewnienia kompleksowej ochrony przychodzącej poczty e-mail i załączników.
Microsoft Defender for Identity zbiera sygnały z kontrolerów domeny usług AD DS i serwerów z usługami AD FS i AD CS. Te sygnały są używane do ochrony środowiska tożsamości hybrydowej, w tym ochrony przed hakerami korzystającymi z kont z naruszeniem zabezpieczeń w celu późniejszego przenoszenia między stacjami roboczymi w środowisku lokalnym.
Ochrona punktu końcowego w usłudze Microsoft Defender zbiera sygnały z urządzeń zarządzanych przez organizację i chroni je.
Microsoft Defender for Cloud Apps zbiera sygnały z korzystania przez organizację z aplikacji w chmurze i chroni dane przepływające między środowiskiem IT i tymi aplikacjami, w tym zarówno aplikacje w chmurze zaakceptowane, jak i nieakceptowane.
Ochrona tożsamości Microsoft Entra ocenia dane o ryzyku z miliardów prób logowania i używa tych danych do oceny ryzyka każdego logowania do dzierżawy. Te dane są używane przez Tożsamość Microsoft Entra do zezwalania na dostęp do konta lub zapobiegania mu na podstawie warunków i ograniczeń zasad dostępu warunkowego. Ochrona tożsamości Microsoft Entra jest oddzielona od Microsoft Defender XDR i jest dołączona do licencji Tożsamość Microsoft Entra P2.
Microsoft Defender XDR składniki i integracja rozwiązania SIEM
Możesz zintegrować składniki Microsoft Defender XDR z usługą Microsoft Sentinel lub ogólną usługą zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM), aby umożliwić scentralizowane monitorowanie alertów i działań z połączonych aplikacji.
Microsoft Sentinel jest rozwiązaniem natywnym dla chmury, które zapewnia możliwości rozwiązania SIEM i orkiestracji zabezpieczeń, automatyzacji i reagowania (SOAR). Razem składniki Microsoft Sentinel i Microsoft Defender XDR zapewniają kompleksowe rozwiązanie, które pomaga organizacjom bronić się przed nowoczesnymi atakami.
Aby uzyskać informacje na temat integracji z systemami SIEM innych firm, zobacz Ogólna integracja SIEM.
Microsoft Defender XDR i przykładowy atak cybernetyczny
Na tym diagramie przedstawiono typowy cyberatak i składniki Microsoft Defender XDR, które pomagają je wykrywać i korygować.
Atak cybernetyczny rozpoczyna się od wiadomości e-mail wyłudzającej informacje, która dociera do skrzynki odbiorczej pracownika w organizacji, który nieświadomie otwiera załącznik wiadomości e-mail. Ten załącznik instaluje złośliwe oprogramowanie, które może prowadzić do łańcucha prób ataku, które mogą spowodować kradzież poufnych danych.
Na ilustracji:
Exchange Online Protection, część Ochrona usługi Office 365 w usłudze Microsoft Defender, może wykryć wiadomość e-mail wyłudzającą informacje i użyć reguł przepływu poczty (znanych również jako reguły transportu), aby upewnić się, że nigdy nie dociera do skrzynki odbiorczej użytkownika.
Ochrona usługi Office 365 w usłudze Defender używa bezpiecznych załączników do testowania załącznika i określania, że jest on szkodliwy, więc przychodzące wiadomości e-mail nie są możliwe do wykonania przez użytkownika lub zasady uniemożliwiają dotarcie wiadomości e-mail w ogóle.
Usługa Defender for Endpoint wykrywa luki w zabezpieczeniach urządzeń i sieci, które w przeciwnym razie mogłyby zostać wykorzystane w przypadku urządzeń zarządzanych przez organizację.
Usługa Defender for Identity zwraca uwagę na nagłe zmiany konta użytkownika lokalnego, takie jak eskalacja uprawnień lub przenoszenie boczne wysokiego ryzyka. Raportuje również problemy z łatwo wykorzystywaną tożsamością, takie jak nieograniczone delegowanie protokołu Kerberos, w celu skorygowania przez zespół ds. zabezpieczeń.
Microsoft Defender for Cloud Apps wykrywa nietypowe zachowanie, takie jak niemożliwe podróże, dostęp do poświadczeń i nietypowe działanie pobierania, udostępniania plików lub przekazywania wiadomości e-mail i zgłasza je zespołowi ds. zabezpieczeń.
Proces pilotażowy i wdrażania dla Microsoft Defender XDR
Firma Microsoft zaleca włączenie składników usługi Microsoft 365 Defender w następującej kolejności.
Ta kolejność ma na celu szybkie wykorzystanie wartości możliwości w zależności od tego, ile nakładu pracy jest zwykle wymagane do wdrożenia i skonfigurowania możliwości. Na przykład Ochrona usługi Office 365 w usłudze Defender można skonfigurować w krótszym czasie niż rejestrowanie urządzeń w usłudze Defender for Endpoint. Określanie priorytetów składników zgodnie z potrzebami biznesowymi.
Uruchamianie pilotażu
Firma Microsoft zaleca rozpoczęcie pilotażu w istniejącej subskrypcji produkcyjnej platformy Microsoft 365 w celu natychmiastowego uzyskania rzeczywistych szczegółowych informacji i dostrojenia ustawień w celu działania w przypadku bieżących zagrożeń w dzierżawie usługi Microsoft 365. Po zdobyciu doświadczenia i komfortu pracy z platformą wystarczy rozszerzyć wykorzystanie każdego składnika, pojedynczo, do pełnego wdrożenia.
Alternatywą jest skonfigurowanie środowiska laboratorium Microsoft Defender XDR próbnego. Jednak to środowisko nie będzie wyświetlać żadnych rzeczywistych informacji o cyberbezpieczeństwie, takich jak zagrożenia lub ataki na produkcyjną dzierżawę platformy Microsoft 365 podczas pilotażu i nie będzie można przenieść ustawień zabezpieczeń z tego środowiska do dzierżawy produkcyjnej.
Korzystanie z licencji Microsoft 365 E5 wersji próbnej
Jeśli nie masz Microsoft 365 E5 i chcesz korzystać z licencji Microsoft 365 E5 wersji próbnej dla pilotażu:
Zaloguj się do istniejącego portalu administracyjnego dzierżawy platformy Microsoft 365.
Wybierz pozycję Kup usługi z menu nawigacji.
W sekcji Office 365 wybierz pozycję Szczegóły w obszarze licencji Office 365 E5.
Wybierz pozycję Rozpocznij bezpłatną wersję próbną.
Potwierdź żądanie i wybierz pozycję Wypróbuj teraz.
Pilotaż korzystający z licencji wersji próbnej Microsoft 365 E5 w istniejącej dzierżawie produkcyjnej umożliwia zachowanie wszelkich ustawień zabezpieczeń i metod po wygaśnięciu wersji próbnej i zakupieniu równoważnych licencji.
Aby zdobyć te poświadczenia umiejętności zastosowane przez firmę Microsoft, uczniowie pokazują możliwość używania usługi Microsoft Defender XDR do wykrywania cyberataków i reagowania na nie. Kandydaci do tego poświadczenia powinni być zaznajomieni z badaniem i zbieraniem dowodów na ataki na punkty końcowe. Powinni również mieć doświadczenie w korzystaniu z Ochrona punktu końcowego w usłudze Microsoft Defender i język zapytań Kusto (KQL).
Planowanie i wykonywanie strategii wdrażania punktu końcowego przy użyciu podstawowych elementów nowoczesnego zarządzania, podejścia do współzarządzania i integracji z usługą Microsoft Intune.
