Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten przewodnik po rozwiązaniu pokazuje, jak skonfigurować narzędzia do wykrywania rozszerzonego i reagowania firmy Microsoft (XDR) oraz jak zintegrować je z usługą Microsoft Sentinel, aby twoja organizacja mogła szybciej reagować na ataki cyberbezpieczeństwa i korygować je.
Usługa Microsoft Defender XDR to rozwiązanie XDR, które automatycznie zbiera, koreluje i analizuje dane sygnałów, zagrożeń i alertów z całego środowiska platformy Microsoft 365.
Microsoft Sentinel to rozwiązanie natywne dla chmury, które zapewnia funkcje zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM, security orchestration, automation, and response, SOAR). Razem usługi Microsoft Sentinel i Microsoft Defender XDR zapewniają kompleksowe rozwiązanie ułatwiające organizacjom obronę przed nowoczesnymi atakami.
Te wskazówki pomagają ulepszyć architekturę zero trust, mapując zasady zerowego zaufania na następujące sposoby:
| Zasada zerowego zaufania | Spotkane przez |
|---|---|
| Zweryfikuj jawnie | Usługa Microsoft Sentinel zbiera dane z całego środowiska i analizuje zagrożenia i anomalie, dzięki czemu organizacja i dowolna automatyzacja mogą działać na zweryfikowanych danych. Usługa Microsoft Defender XDR zapewnia rozszerzone wykrywanie i reagowanie między użytkownikami, tożsamościami, urządzeniami, aplikacjami i wiadomościami e-mail. Skonfiguruj automatyzację usługi Microsoft Sentinel, aby używać sygnałów opartych na ryzyku przechwyconych przez usługę Microsoft Defender XDR w celu podjęcia działań, takich jak blokowanie lub autoryzowanie ruchu na podstawie ryzyka. |
| Użyj najmniej uprzywilejowanego dostępu | Usługa Microsoft Sentinel wykrywa nietypowe działania za pośrednictwem silnika UEBA. W miarę szybkiego zmieniania się scenariuszy zabezpieczeń jego analiza zagrożeń importuje dane od dostawców firmy Microsoft i innych firm w celu wykrywania i kontekstowania pojawiających się zagrożeń. Usługa Microsoft Defender XDR obejmuje usługę Microsoft Entra ID Protection w celu blokowania użytkowników na podstawie ryzyka związanego z tożsamością. Przekaż powiązane dane do usługi Microsoft Sentinel w celu dalszej analizy i automatyzacji. |
| Przyjmij naruszenie | Usługa Microsoft Defender XDR stale skanuje środowisko pod kątem zagrożeń i luk w zabezpieczeniach. Usługa Microsoft Sentinel analizuje zebrane dane i trendy behawioralne w celu wykrywania podejrzanych działań, anomalii i wielu zagrożeń w całym przedsiębiorstwie. Zarówno usługi Microsoft Defender XDR, jak i Microsoft Sentinel implementują automatyczne zadania korygowania, w tym badania, izolację urządzeń i kwarantannę danych. Użyj ryzyka urządzenia jako sygnału dla dostępu warunkowego firmy Microsoft Entra. |
Wprowadzenie do usługi Microsoft Defender XDR
Wdrażanie usługi Microsoft Defender XDR to doskonały punkt wyjścia do tworzenia możliwości wykrywania i reagowania na zdarzenia w organizacji. Usługa Defender XDR jest dołączona do platformy Microsoft 365 E5 i możesz nawet rozpocząć pracę przy użyciu licencji wersji próbnej platformy Microsoft 365 E5. Usługę Defender XDR można zintegrować z usługą Microsoft Sentinel lub ogólnym narzędziem SIEM.
Aby uzyskać więcej informacji, zobacz Pilotaż i wdrażanie usługi Microsoft Defender XDR.
Architektura usługi Microsoft Sentinel i XDR
Klienci usługi Microsoft Sentinel mogą korzystać z jednej z tych metod w celu zintegrowania usługi Microsoft Sentinel z usługami XDR w usłudze Microsoft Defender:
Dołącz usługę Microsoft Sentinel do portalu usługi Defender, aby używać jej razem z usługą Microsoft Defender XDR na potrzeby ujednoliconych operacji zabezpieczeń. Wyświetlanie danych usługi Microsoft Sentinel bezpośrednio w portalu usługi Defender wraz ze zdarzeniami usługi Defender, alertami, lukami w zabezpieczeniach i danymi zabezpieczeń.
Łączniki danych Microsoft Sentinel służą do zbierania danych z usługi Microsoft Defender XDR i wprowadzania ich do usługi Microsoft Sentinel. Wyświetlanie danych usługi Microsoft Sentinel w witrynie Azure Portal.
To centrum wskazówek zawiera informacje dotyczące obu metod. Jeśli obszar roboczy został dołączony do portalu Defendera, użyj go; jeśli nie, użyj portalu Azure, chyba że podano inaczej.
Na poniższej ilustracji pokazano, jak rozwiązanie XDR firmy Microsoft integruje się z usługą Microsoft Sentinel w portalu usługi Defender.
Na tym diagramie:
- Szczegółowe informacje z sygnałów w całej organizacji są wprowadzane do usługi Microsoft Defender XDR i Microsoft Defender dla Chmury.
- Usługa Microsoft Sentinel zapewnia obsługę środowisk wielochmurowych i integruje się z aplikacjami i partnerami innych firm.
- Dane usługi Microsoft Sentinel są pozyskiwane wraz z danymi organizacji w portalu usługi Microsoft Defender.
- Zespoły SecOps mogą analizować zagrożenia identyfikowane przez usługi Microsoft Sentinel i Microsoft Defender XDR i reagować na nie w portalu usługi Microsoft Defender.
Kluczowe możliwości
Zaimplementuj podejście zero trust do zarządzania zdarzeniami przy użyciu funkcji Microsoft Sentinel i Defender XDR. W przypadku obszarów roboczych dołączonych do portalu usługi Defender użyj usługi Microsoft Sentinel w portalu usługi Defender.
| Możliwość lub funkcja | Opis | Produkt |
|---|---|---|
| Automatyczna odpowiedź & badania (AIR) | Funkcje funkcji AIR są przeznaczone do sprawdzania alertów i podjęcia natychmiastowych działań w celu rozwiązania naruszeń. Możliwości funkcji AIR znacznie zmniejszają liczbę alertów, umożliwiając operacjom zabezpieczeń skupienie się na bardziej zaawansowanych zagrożeniach i innych inicjatywach o wysokiej wartości. | Microsoft Defender XDR |
| Zaawansowane polowanie | Zaawansowane wyszukiwanie zagrożeń to oparte na zapytaniach narzędzie do wyszukiwania zagrożeń, które umożliwia eksplorowanie nieprzetworzonych danych przez maksymalnie 30 dni. Możesz aktywnie sprawdzać zdarzenia w sieci, aby zlokalizować wskaźniki zagrożeń i jednostki. Elastyczny dostęp do danych umożliwia nieograniczone wyszukiwanie zagrożeń zarówno znanych, jak i potencjalnych. | Microsoft Defender XDR |
| Niestandardowe wskaźniki plików | Zapobiegaj dalszemu propagowaniu ataku w organizacji, zakazując potencjalnie złośliwych plików lub podejrzanego złośliwego oprogramowania. | Microsoft Defender XDR |
| Odnajdywanie w chmurze | Usługa Cloud Discovery analizuje dzienniki ruchu zebrane przez usługę Defender for Endpoint i ocenia zidentyfikowane aplikacje względem katalogu aplikacji w chmurze w celu zapewnienia zgodności i informacji o zabezpieczeniach. | Microsoft Defender dla aplikacji chmurowych |
| Niestandardowe wskaźniki sieci | Tworząc wskaźniki dla adresów IP i adresów URL lub domen, można teraz zezwalać na adresy IP, adresy URL lub domeny lub blokować je na podstawie własnej analizy zagrożeń. | Microsoft Defender XDR |
| Blok wykrywania i reagowania na punkty końcowe (EDR) | Zapewnia dodatkową ochronę przed złośliwymi artefaktami, gdy program antywirusowy Microsoft Defender (MDAV) nie jest podstawowym produktem antywirusowym i działa w trybie pasywnym. EDR w trybie bloku działa w tle, aby korygować złośliwe artefakty, które zostały wykryte przez możliwości EDR. | Microsoft Defender XDR |
| Możliwości odpowiedzi urządzenia | Szybko reaguj na wykryte ataki, izolując urządzenia lub zbierając pakiet śledczy. | Microsoft Defender XDR |
| Odpowiedź na żywo | Reagowanie na żywo zapewnia zespołom operacji zabezpieczeń natychmiastowy dostęp do urządzenia (nazywanego również maszyną) przy użyciu zdalnego połączenia powłoki. Daje to możliwość wykonywania szczegółowych działań dochodzeniowych i podejmowania natychmiastowych działań reagowania w celu szybkiego powstrzymania zidentyfikowanych zagrożeń w czasie rzeczywistym. | Microsoft Defender XDR |
| Zabezpieczanie aplikacji w chmurze | Rozwiązanie do tworzenia operacji zabezpieczeń (DevSecOps), które łączy zarządzanie zabezpieczeniami na poziomie kodu w środowiskach wielochmurowych i wielu potoków. | Microsoft Defender for Cloud |
| Zwiększanie poziomu zabezpieczeń | Rozwiązanie do zarządzania stanem zabezpieczeń w chmurze (CSPM), które zawiera akcje, które można wykonać, aby zapobiec naruszeniom. | Microsoft Defender for Cloud |
| Ochrona obciążeń w chmurze | Platforma ochrony obciążeń w chmurze (CWPP) z określonymi zabezpieczeniami serwerów, kontenerów, magazynu, baz danych i innych obciążeń. | Microsoft Defender for Cloud |
| Analiza behawioralna użytkowników i jednostek (UEBA) | Analizuje zachowanie jednostek organizacji, takich jak użytkownicy, hosty, adresy IP i aplikacje | Microsoft Sentinel |
| Fuzja | Aparat korelacji oparty na skalowalnych algorytmach uczenia maszynowego. Automatycznie wykrywa ataki wieloetapowe znane również jako zaawansowane trwałe zagrożenia (APT), identyfikując kombinacje nietypowych zachowań i podejrzanych działań obserwowanych na różnych etapach łańcucha zabić. | Microsoft Sentinel |
| Analiza zagrożeń | Użyj dostawców innych firm firmy Microsoft, aby wzbogacić dane w celu zapewnienia dodatkowego kontekstu działań, alertów i dzienników w środowisku. | Microsoft Sentinel |
| Automatyzacja | Reguły automatyzacji to sposób centralnego zarządzania automatyzacją za pomocą usługi Microsoft Sentinel, umożliwiając definiowanie i koordynowanie małego zestawu reguł, które mogą być stosowane w różnych scenariuszach. | Microsoft Sentinel |
| Reguły anomalii | Szablony reguł anomalii używają uczenia maszynowego do wykrywania określonych typów nietypowych zachowań. | Microsoft Sentinel |
| Zaplanowane zapytania | Wbudowane reguły napisane przez ekspertów ds. zabezpieczeń firmy Microsoft, które wyszukują dzienniki zebrane przez usługę Microsoft Sentinel pod kątem podejrzanych łańcuchów aktywności, znanych zagrożeń. | Microsoft Sentinel |
| Reguły NRT (niemal w czasie rzeczywistym) | Reguły NRT są ograniczonym zestawem zaplanowanych reguł, zaprojektowanych do uruchamiania raz na minutę, aby dostarczyć informacje tak up-to-the-minute, jak to możliwe. | Microsoft Sentinel |
| Polowanie | Aby ułatwić analitykom zabezpieczeń proaktywne wyszukiwanie nowych anomalii, które nie zostały wykryte przez aplikacje zabezpieczeń, a nawet zgodnie z zaplanowanymi regułami analizy, wbudowane zapytania wyszukiwania zagrożeń w usłudze Microsoft Sentinel prowadzą Cię do zadawania właściwych pytań w celu znalezienia problemów w danych, które już masz w sieci. | Microsoft Sentinel W przypadku obszarów roboczych dołączonych do portalu usługi Defender użyj zaawansowanej funkcji wyszukiwania zagrożeń w portalu Microsoft Defender. |
| Łącznik Microsoft Defender XDR | Łącznik XDR usługi Microsoft Defender synchronizuje dzienniki i zdarzenia z usługą Microsoft Sentinel. | Microsoft Defender XDR i Microsoft Sentinel |
| Łączniki danych | Zezwalaj na pozyskiwanie danych do analizy w usłudze Microsoft Sentinel. | Microsoft Sentinel |
| Rozwiązanie centrum zawartości -Zero Trust (TIC 3.0) | Zero Trust (TIC 3.0) zawiera skoroszyt, reguły analizy oraz playbook, które zapewniają zautomatyzowaną wizualizację zasad Zero Trust powiązanych z platformą Trust Internet Connections, pomagając organizacjom monitorować konfiguracje w czasie. | Microsoft Sentinel |
| Orkiestracja zabezpieczeń, automatyzacja i reagowanie (SOAR) | Korzystanie z reguł automatyzacji i podręczników w odpowiedzi na zagrożenia bezpieczeństwa zwiększa efektywność SOC i oszczędza czas i zasoby. | Microsoft Sentinel |
| Optymalizacje SOC | Zapełnij luki w ochronie przed określonymi zagrożeniami i zwiększ skuteczność pozyskiwania danych, które nie zapewniają wartości zabezpieczeń. | Microsoft Sentinel W przypadku obszarów roboczych dołączonych do portalu usługi Defender użyj optymalizacji SOC w portalu usługi Microsoft Defender. |
Co jest w tym rozwiązaniu
To rozwiązanie ułatwia zespołowi ds. operacji zabezpieczeń korygowanie zdarzeń przy użyciu podejścia Zero Trust, kierując Cię przez implementację usługi Microsoft Sentinel i usługi Microsoft Defender XDR. Implementacja obejmuje następujące fazy:
| Faza | Opis |
|---|---|
| 1. Pilotaż i wdrażanie usług Microsoft Defender XDR | Zacznij od pilotażu usług XDR w usłudze Microsoft Defender, aby móc ocenić ich funkcje i możliwości przed zakończeniem wdrażania w całej organizacji. |
| 2. Planowanie wdrożenia | Następnie zaplanuj pełne wdrożenie rozwiązania SIEM i XDR, w tym usługi XDR i obszar roboczy usługi Microsoft Sentinel. |
| 3. Konfigurowanie narzędzi XDR i tworzenie architektury obszaru roboczego | W tej fazie wdróż usługi XDR, których chcesz używać w całym środowisku, wdróż usługę Microsoft Sentinel i inne usługi w celu obsługi rozwiązania SIEM i XDR. Jeśli planujesz pracę z witryny Azure Portal, pomiń krok w celu połączenia usługi Microsoft Sentinel z portalem usługi Microsoft Defender. Ten krok jest istotny tylko wtedy, gdy chcesz użyć portalu usługi Microsoft Sentinel Defender i nie ma znaczenia, jeśli chcesz reagować na zdarzenia w witrynie Azure Portal. |
| 4. Reagowanie na zdarzenia | Na koniec, reaguj na incydenty w zależności od tego, czy zostałeś wprowadzony na portal Defender. - Odpowiedz na zdarzenie w portalu Defender - Reagowanie na zdarzenie z witryny Azure Portal |
Treści powiązane
Aby uzyskać więcej informacji, zobacz Zabezpieczenia Zero Trust z usługami Microsoft Sentinel i Defender XDR oraz powiązaną zawartość dla Twojego portalu:
Aby uzyskać więcej informacji na temat stosowania zasad zero trust w rozwiązaniu Microsoft 365, zobacz:
- Plan wdrożenia Zero Trust z platformą Microsoft 365
- Wdrażanie infrastruktury tożsamości na platformie Microsoft 365
- Konfiguracje tożsamości i dostępu do urządzeń w modelu Zero Trust
- Zarządzanie urządzeniami za pomocą usługi Microsoft Intune
- Zarządzanie prywatnością danych i ochroną danych za pomocą usług Microsoft Priva i Microsoft Purview
- Integrowanie aplikacji SaaS for Zero Trust z platformą Microsoft 365