Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano sposób planowania wdrożenia dla ujednoliconych operacji zabezpieczeń w portalu Microsoft Defender. Ujednolicenie operacji zabezpieczeń w celu zmniejszenia ryzyka, zapobiegania atakom, wykrywania i zakłócania cyberzagrożeń w czasie rzeczywistym oraz szybszego reagowania dzięki możliwościom zabezpieczeń rozszerzonym na sztuczną inteligencję, a wszystko to z poziomu portalu Microsoft Defender.
Planowanie wdrożenia
Portal usługi Defender łączy usługi, takie jak Microsoft Defender XDR, Microsoft Sentinel, Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft i Microsoft Security Copilot w przypadku ujednoliconych operacji zabezpieczeń.
Pierwszym krokiem planowania wdrożenia jest wybranie usług, których chcesz użyć.
Jako podstawowy warunek wstępny musisz zarówno Microsoft Defender XDR, jak i Microsoft Sentinel, aby monitorować i chronić zarówno usługi i rozwiązania firmy Microsoft, jak i inne firmy, w tym zasoby w chmurze i zasoby lokalne.
Wdróż dowolną z następujących usług, aby dodać zabezpieczenia między punktami końcowymi, tożsamościami, pocztą e-mail i aplikacjami, aby zapewnić zintegrowaną ochronę przed zaawansowanymi atakami.
usługi Microsoft Defender XDR obejmują:
| Usługa | Opis |
|---|---|
| Ochrona usługi Office 365 w usłudze Microsoft Defender | Chroni przed zagrożeniami związanymi z wiadomościami e-mail, linkami adresów URL i narzędziami do współpracy Office 365. |
| Microsoft Defender for Identity | Identyfikuje, wykrywa i bada zagrożenia zarówno ze strony tożsamości lokalna usługa Active Directory, jak i tożsamości w chmurze, takich jak Tożsamość Microsoft Entra. |
| Ochrona punktu końcowego w usłudze Microsoft Defender | Monitoruje i chroni urządzenia punktu końcowego, wykrywa i bada naruszenia urządzeń oraz automatycznie reaguje na zagrożenia bezpieczeństwa. |
| Usługa Microsoft Defender dla IoT | Zapewnia zarówno odnajdywanie urządzeń IoT, jak i wartość zabezpieczeń dla urządzeń IoT. |
| Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender | Identyfikuje zasoby i spis oprogramowania oraz ocenia stan urządzenia w celu znalezienia luk w zabezpieczeniach. |
| Microsoft Defender for Cloud Apps | Chroni i kontroluje dostęp do aplikacji SaaS w chmurze. |
Inne usługi obsługiwane w portalu Microsoft Defender, ale nie licencjonowane w Microsoft Defender XDR, obejmują:
| Usługa | Opis |
|---|---|
| Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft | Zapewnia ujednolicony widok stanu zabezpieczeń między zasobami i obciążeniami firmy, wzbogacając informacje o zasobach o kontekst zabezpieczeń. |
| Microsoft Security Copilot | Udostępnia szczegółowe informacje i zalecenia oparte na sztucznej inteligencji w celu usprawnienia operacji zabezpieczeń. |
| Microsoft Defender for Cloud | Chroni środowiska wielochmurowe i hybrydowe za pomocą zaawansowanego wykrywania zagrożeń i reagowania na nie. |
| Microsoft Defender Threat Intelligence | Usprawnia przepływy pracy analizy zagrożeń przez agregowanie i wzbogacanie krytycznych źródeł danych w celu skorelowania wskaźników naruszenia zabezpieczeń (IOCs) z powiązanymi artykułami, profilami aktora i lukami w zabezpieczeniach. |
| Ochrona tożsamości Microsoft Entra | Ocenia dane o ryzyku związane z próbami logowania w celu oceny ryzyka związanego z każdym logowaniem do środowiska. |
| Zarządzanie ryzykiem wewnętrznym usługi Microsoft Purview | Koreluje różne sygnały w celu zidentyfikowania potencjalnych złośliwych lub niezamierzonych zagrożeń wewnętrznych, takich jak kradzież adresów IP, wyciek danych i naruszenia zabezpieczeń. |
Zapoznaj się z wymaganiami wstępnymi usługi
Przed wdrożeniem usług Microsoft Defender dla ujednoliconych operacji zabezpieczeń zapoznaj się z wymaganiami wstępnymi dla każdej usługi, która ma być używana. Poniższa tabela zawiera listę usług i linków, aby uzyskać więcej informacji:
| Usługa zabezpieczeń | Wymagania wstępne |
|---|---|
| Wymagane dla ujednoliconych operacji zabezpieczeń | |
| Microsoft Defender XDR | Microsoft Defender XDR wymagania wstępne |
| Microsoft Sentinel | Wymagania wstępne dotyczące wdrażania Microsoft Sentinel |
| Opcjonalne usługi Microsoft Defender XDR | |
| Microsoft Defender dla pakietu Office | Microsoft Defender XDR wymagania wstępne |
| Microsoft Defender for Identity | Microsoft Defender for Identity wymagania wstępne |
| Ochrona punktu końcowego w usłudze Microsoft Defender | Konfigurowanie wdrożenia Ochrona punktu końcowego w usłudze Microsoft Defender |
| Monitorowanie przedsiębiorstwa za pomocą Microsoft Defender dla IoT | Wymagania wstępne dotyczące usługi Defender dla IoT w portalu usługi Defender |
| Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender | Wymagania wstępne & uprawnienia dla Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender |
| Microsoft Defender for Cloud Apps | Wprowadzenie do usługi Microsoft Defender for Cloud Apps |
| Inne usługi obsługiwane w portalu Microsoft Defender | |
| Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft | Wymagania wstępne i pomoc techniczna |
| Microsoft Security Copilot | Minimalne wymagania |
| Microsoft Defender for Cloud | Rozpocznij planowanie ochrony wielochmurowej i innych artykułów w tej samej sekcji. |
| Microsoft Defender Threat Intelligence | Wymagania wstępne dotyczące analizy zagrożeń w usłudze Defender |
| Ochrona tożsamości Microsoft Entra | Wymagania wstępne dotyczące Ochrona tożsamości Microsoft Entra |
| Zarządzanie ryzykiem wewnętrznym usługi Microsoft Purview | Wprowadzenie do zarządzania ryzykiem wewnętrznym |
Przegląd rozwiązań dotyczących zabezpieczeń i prywatności danych
Przed wdrożeniem usług Microsoft Defender dla ujednoliconych operacji zabezpieczeń upewnij się, że rozumiesz rozwiązania dotyczące zabezpieczeń danych i prywatności dla każdej usługi, z których planujesz korzystać. Poniższa tabela zawiera listę usług i linków, aby uzyskać więcej informacji. Należy pamiętać, że kilka usług korzysta z rozwiązań dotyczących zabezpieczeń i przechowywania danych dla Microsoft Defender XDR zamiast własnych odrębnych rozwiązań.
Planowanie architektury obszaru roboczego usługi Log Analytics
Aby dołączyć Microsoft Sentinel do portalu usługi Defender, musisz najpierw włączyć obszar roboczy usługi Log Analytics dla Microsoft Sentinel. Pojedynczy obszar roboczy usługi Log Analytics może być wystarczający dla wielu środowisk, ale wiele organizacji tworzy wiele obszarów roboczych w celu optymalizacji kosztów i lepszego spełnienia różnych wymagań biznesowych.
Zaprojektuj obszar roboczy usługi Log Analytics, który chcesz włączyć dla Microsoft Sentinel. Rozważ parametry, takie jak wszelkie wymagania dotyczące zgodności dotyczące zbierania i przechowywania danych oraz sposób kontrolowania dostępu do Microsoft Sentinel danych.
Więcej informacji można znaleźć w następujących artykułach:
- Projektowanie architektury obszaru roboczego
- Przeglądanie przykładowych projektów obszarów roboczych
Planowanie kosztów Microsoft Sentinel i źródeł danych
Portal usługi Defender może natywnie pozyskiwać dane z usług firmy Microsoft innych firm, takich jak Microsoft Defender for Cloud Apps i Microsoft Defender for Cloud. Zalecamy rozszerzenie zakresu do innych źródeł danych w środowisku przez dodanie łączników danych Microsoft Sentinel.
Określanie źródeł danych
Określ pełny zestaw źródeł danych, z które będziesz pozyskiwać dane, oraz wymagania dotyczące rozmiaru danych, które pomogą Ci dokładnie projektować budżet i oś czasu wdrożenia. Te informacje można określić podczas przeglądu przypadku użycia biznesowego lub przez ocenę bieżącego rozwiązania SIEM, które już istnieje. Jeśli masz już urządzenie SIEM, przeanalizuj dane, aby zrozumieć, które źródła danych zapewniają największą wartość i powinny zostać pozyskane do Microsoft Sentinel.
Możesz na przykład użyć dowolnego z następujących zalecanych źródeł danych:
Usługi platformy Azure: Jeśli na platformie Azure wdrożono dowolną z następujących usług, użyj następujących łączników, aby wysłać dzienniki diagnostyczne tych zasobów do Microsoft Sentinel:
- Azure Firewall
- Azure Application Gateway
- Magazyn kluczy
- Azure Kubernetes Service
- Azure SQL
- Sieciowe grupy zabezpieczeń
- Serwery usługi Azure Arc
Zalecamy skonfigurowanie Azure Policy, aby wymagać przekazywania ich dzienników do bazowego obszaru roboczego usługi Log Analytics. Aby uzyskać więcej informacji, zobacz Tworzenie ustawień diagnostycznych na dużą skalę przy użyciu Azure Policy.
Maszyny wirtualne: w przypadku maszyn wirtualnych hostowanych lokalnie lub w innych chmurach, które wymagają zebrania dzienników, użyj następujących łączników danych:
- Zabezpieczenia Windows zdarzenia przy użyciu usługi AMA
- Zdarzenia za pośrednictwem usługi Defender dla punktu końcowego (dla serwera)
- Dziennik systemowy
Wirtualne urządzenia sieciowe /źródła lokalne: w przypadku wirtualnych urządzeń sieciowych lub innych źródeł lokalnych, które generują dzienniki common event format (CEF) lub SYSLOG, użyj następujących łączników danych:
- Dziennik systemowy za pośrednictwem usługi AMA
- Format typowych zdarzeń (CEF) za pośrednictwem usługi AMA
Aby uzyskać więcej informacji, zobacz Określanie priorytetów łączników danych.
Planowanie budżetu
Zaplanuj budżet Microsoft Sentinel, biorąc pod uwagę konsekwencje kosztów dla każdego planowanego scenariusza. Upewnij się, że budżet obejmuje koszty pozyskiwania danych zarówno dla Microsoft Sentinel, jak i usługi Azure Log Analytics, wszystkie elementy playbook, które zostaną wdrożone itd. Więcej informacji można znaleźć w następujących artykułach:
- Plany przechowywania dzienników w Microsoft Sentinel
- Planowanie kosztów i zrozumienie Microsoft Sentinel cennika i rozliczeń
Omówienie portali zabezpieczeń i centrów administracyjnych firmy Microsoft
Portal Microsoft Defender jest domem do monitorowania i zarządzania zabezpieczeniami tożsamości, danych, urządzeń i aplikacji, ale w przypadku określonych wyspecjalizowanych zadań musisz uzyskać dostęp do różnych portali.
Portale zabezpieczeń firmy Microsoft obejmują:
| Nazwa portalu | Opis | Link |
|---|---|---|
| Portal usługi Microsoft Defender | Monitorowanie działań związanych z zagrożeniami i reagowanie na nie oraz wzmacnianie stanu zabezpieczeń w tożsamościach, wiadomościach e-mail, danych, punktach końcowych i aplikacjach przy użyciu Microsoft Defender XDR |
security.microsoft.com W portalu Microsoft Defender można wyświetlać alerty, zdarzenia, ustawienia i nie tylko oraz zarządzać nimi. |
| Portal usługi Defender for Cloud | Korzystanie z Microsoft Defender dla chmury w celu wzmocnienia stanu zabezpieczeń centrów danych i obciążeń hybrydowych w chmurze | portal.azure.com/#blade/Microsoft_Azure_Security |
| portal Microsoft Security Intelligence | Pobieranie aktualizacji analizy zabezpieczeń dla Ochrona punktu końcowego w usłudze Microsoft Defender, przesyłanie przykładów i eksplorowanie encyklopedii zagrożeń | microsoft.com/wdsi |
W poniższej tabeli opisano portale dla innych obciążeń, które mogą mieć wpływ na twoje zabezpieczenia. Odwiedź te portale, aby zarządzać tożsamościami, uprawnieniami, ustawieniami urządzenia i zasadami obsługi danych.
| Nazwa portalu | Opis | Link |
|---|---|---|
| centrum administracyjne Microsoft Entra | Uzyskiwanie dostępu do rodziny Microsoft Entra i administrowanie nimi w celu ochrony firmy przy użyciu zdecentralizowanej tożsamości, ochrony tożsamości, ładu i innych elementów w środowisku wielochmurowym | entra.microsoft.com |
| Azure Portal | Wyświetlanie wszystkich zasobów platformy Azure i zarządzanie nimi | portal.azure.com |
| Portal usługi Microsoft Purview | Zarządzanie zasadami obsługi danych i zapewnianie zgodności z przepisami | purview.microsoft.com |
| Centrum administracyjne platformy Microsoft 365 | Konfigurowanie usług Platformy Microsoft 365; zarządzanie rolami, licencjami i śledzeniem aktualizacji usług Platformy Microsoft 365 | admin.microsoft.com |
| centrum administracyjne Microsoft Intune | Zarządzanie urządzeniami i zabezpieczanie ich przy użyciu Microsoft Intune. Można również łączyć funkcje Intune i Configuration Manager. | intune.microsoft.com |
| portal Microsoft Intune | Wdrażanie zasad urządzeń i monitorowanie urządzeń pod kątem zgodności przy użyciu Microsoft Intune | intune.microsoft.com |
Planowanie ról i uprawnień
Portal Microsoft Defender ujednolica następujące modele kontroli dostępu opartej na rolach (RBAC) dla ujednoliconych operacji zabezpieczeń:
- Tożsamość Microsoft Entra RBAC, używane do delegowania dostępu do usługi Defender, na przykład do grup urządzeń
- Kontrola dostępu oparta na rolach platformy Azure używana przez Microsoft Sentinel do delegowania uprawnień
- Ujednolicona kontrola dostępu oparta na rolach usługi Defender używana do delegowania uprawnień w rozwiązaniach usługi Defender
Podczas gdy uprawnienia udzielane za pośrednictwem kontroli dostępu opartej na rolach platformy Azure dla Microsoft Sentinel są federacyjne w czasie wykonywania przy użyciu ujednoliconej kontroli dostępu opartej na rolach usługi Defender, kontrola RBAC platformy Azure i kontrola RBAC usługi Defender są nadal zarządzane oddzielnie.
Ujednolicona kontrola dostępu oparta na rolach w usłudze Defender nie jest wymagana do dołączania obszaru roboczego do portalu usługi Defender, a uprawnienia Microsoft Sentinel nadal działają zgodnie z oczekiwaniami w portalu usługi Defender nawet bez ujednoliconej kontroli dostępu opartej na rolach. Jednak użycie ujednoliconej kontroli dostępu opartej na rolach upraszcza delegowanie uprawnień w rozwiązaniach usługi Defender. Aby uzyskać więcej informacji, zobacz Aktywowanie Microsoft Defender XDR ujednoliconej kontroli dostępu opartej na rolach (RBAC).
Minimalnym wymaganym uprawnieniem analityka do wyświetlania danych Microsoft Sentinel jest delegowanie uprawnień dla roli czytelnika Sentinel RBAC platformy Azure. Te uprawnienia są również stosowane do ujednoliconego portalu. Bez tych uprawnień menu nawigacji Microsoft Sentinel nie jest dostępne w ujednoliconym portalu, mimo że analityk ma dostęp do portalu Microsoft Defender.
Najlepszym rozwiązaniem jest posiadanie wszystkich Microsoft Sentinel powiązanych zasobów w tej samej grupie zasobów platformy Azure, a następnie delegowanie uprawnień roli Microsoft Sentinel (takiej jak rola czytelnika Sentinel) na poziomie grupy zasobów, która zawiera Microsoft Sentinel obszar roboczy. W ten sposób przypisanie roli ma zastosowanie do wszystkich zasobów, które obsługują Microsoft Sentinel.
W przypadku następujących usług użyj różnych dostępnych ról lub utwórz role niestandardowe, aby zapewnić szczegółową kontrolę nad tym, co użytkownicy widzą i robią. Więcej informacji można znaleźć w następujących artykułach:
Więcej informacji można znaleźć w następujących artykułach:
- Planowanie ról i uprawnień dla Microsoft Sentinel
- Role wbudowane platformy Azure
- role Microsoft Sentinel
- Wymagania wstępne dotyczące dołączania
- Zarządzanie ujednoliconą kontrolą RBAC w Microsoft Defender (pokaz wideo)
Planowanie działań Zero Trust
Ujednolicone operacje zabezpieczeń w portalu usługi Defender są częścią modelu zabezpieczeń Zero Trust firmy Microsoft, który obejmuje następujące zasady:
| Zasada zabezpieczeń | Opis |
|---|---|
| Jawne weryfikowanie | Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych. |
| Korzystanie z dostępu z najniższymi uprawnieniami | Ogranicz dostęp użytkowników za pomocą funkcji just in time i just-enough-access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych. |
| Załóżmy, że naruszenie | Minimalizuj promień wybuchu i dostęp do segmentu. Zweryfikuj kompleksowe szyfrowanie i użyj analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i ulepszyć ochronę. |
Zero Trust zabezpieczenia mają na celu ochronę nowoczesnych środowisk cyfrowych dzięki wykorzystaniu segmentacji sieci, zapobieganiu przenoszeniu w trybie poprzecznym, zapewnianiu dostępu o najniższych uprawnieniach oraz wykorzystaniu zaawansowanej analizy do wykrywania zagrożeń i reagowania na nie.
Aby uzyskać więcej informacji na temat implementowania zasad Zero Trust w portalu usługi Defender, zobacz Zero Trust zawartości dla następujących usług:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender for Identity
- Ochrona usługi Office 365 w usłudze Microsoft Defender
- Ochrona punktu końcowego w usłudze Microsoft Defender
- Microsoft Defender for Cloud Apps
- Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft
- Microsoft Defender for Cloud
- Microsoft Security Copilot
- Ochrona tożsamości Microsoft Entra
- Microsoft Purview
Aby uzyskać więcej informacji, zobacz centrum Zero Trust Guidance Center.