Udostępnij za pośrednictwem


Wskazówki dotyczące planowania ujednoliconych operacji zabezpieczeń w portalu Microsoft Defender

W tym artykule opisano sposób planowania wdrożenia dla ujednoliconych operacji zabezpieczeń w portalu Microsoft Defender. Ujednolicenie operacji zabezpieczeń w celu zmniejszenia ryzyka, zapobiegania atakom, wykrywania i zakłócania cyberzagrożeń w czasie rzeczywistym oraz szybszego reagowania dzięki możliwościom zabezpieczeń rozszerzonym na sztuczną inteligencję, a wszystko to z poziomu portalu Microsoft Defender.

Planowanie wdrożenia

Portal usługi Defender łączy usługi, takie jak Microsoft Defender XDR, Microsoft Sentinel, Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft i Microsoft Security Copilot w przypadku ujednoliconych operacji zabezpieczeń.

Pierwszym krokiem planowania wdrożenia jest wybranie usług, których chcesz użyć.

Jako podstawowy warunek wstępny musisz zarówno Microsoft Defender XDR, jak i Microsoft Sentinel, aby monitorować i chronić zarówno usługi i rozwiązania firmy Microsoft, jak i inne firmy, w tym zasoby w chmurze i zasoby lokalne.

Wdróż dowolną z następujących usług, aby dodać zabezpieczenia między punktami końcowymi, tożsamościami, pocztą e-mail i aplikacjami, aby zapewnić zintegrowaną ochronę przed zaawansowanymi atakami.

usługi Microsoft Defender XDR obejmują:

Usługa Opis
Ochrona usługi Office 365 w usłudze Microsoft Defender Chroni przed zagrożeniami związanymi z wiadomościami e-mail, linkami adresów URL i narzędziami do współpracy Office 365.
Microsoft Defender for Identity Identyfikuje, wykrywa i bada zagrożenia zarówno ze strony tożsamości lokalna usługa Active Directory, jak i tożsamości w chmurze, takich jak Tożsamość Microsoft Entra.
Ochrona punktu końcowego w usłudze Microsoft Defender Monitoruje i chroni urządzenia punktu końcowego, wykrywa i bada naruszenia urządzeń oraz automatycznie reaguje na zagrożenia bezpieczeństwa.
Usługa Microsoft Defender dla IoT Zapewnia zarówno odnajdywanie urządzeń IoT, jak i wartość zabezpieczeń dla urządzeń IoT.
Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender Identyfikuje zasoby i spis oprogramowania oraz ocenia stan urządzenia w celu znalezienia luk w zabezpieczeniach.
Microsoft Defender for Cloud Apps Chroni i kontroluje dostęp do aplikacji SaaS w chmurze.

Inne usługi obsługiwane w portalu Microsoft Defender, ale nie licencjonowane w Microsoft Defender XDR, obejmują:

Usługa Opis
Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft Zapewnia ujednolicony widok stanu zabezpieczeń między zasobami i obciążeniami firmy, wzbogacając informacje o zasobach o kontekst zabezpieczeń.
Microsoft Security Copilot Udostępnia szczegółowe informacje i zalecenia oparte na sztucznej inteligencji w celu usprawnienia operacji zabezpieczeń.
Microsoft Defender for Cloud Chroni środowiska wielochmurowe i hybrydowe za pomocą zaawansowanego wykrywania zagrożeń i reagowania na nie.
Microsoft Defender Threat Intelligence Usprawnia przepływy pracy analizy zagrożeń przez agregowanie i wzbogacanie krytycznych źródeł danych w celu skorelowania wskaźników naruszenia zabezpieczeń (IOCs) z powiązanymi artykułami, profilami aktora i lukami w zabezpieczeniach.
Ochrona tożsamości Microsoft Entra Ocenia dane o ryzyku związane z próbami logowania w celu oceny ryzyka związanego z każdym logowaniem do środowiska.
Zarządzanie ryzykiem wewnętrznym usługi Microsoft Purview Koreluje różne sygnały w celu zidentyfikowania potencjalnych złośliwych lub niezamierzonych zagrożeń wewnętrznych, takich jak kradzież adresów IP, wyciek danych i naruszenia zabezpieczeń.

Zapoznaj się z wymaganiami wstępnymi usługi

Przed wdrożeniem usług Microsoft Defender dla ujednoliconych operacji zabezpieczeń zapoznaj się z wymaganiami wstępnymi dla każdej usługi, która ma być używana. Poniższa tabela zawiera listę usług i linków, aby uzyskać więcej informacji:

Usługa zabezpieczeń Wymagania wstępne
Wymagane dla ujednoliconych operacji zabezpieczeń
Microsoft Defender XDR Microsoft Defender XDR wymagania wstępne
Microsoft Sentinel Wymagania wstępne dotyczące wdrażania Microsoft Sentinel
Opcjonalne usługi Microsoft Defender XDR
Microsoft Defender dla pakietu Office Microsoft Defender XDR wymagania wstępne
Microsoft Defender for Identity Microsoft Defender for Identity wymagania wstępne
Ochrona punktu końcowego w usłudze Microsoft Defender Konfigurowanie wdrożenia Ochrona punktu końcowego w usłudze Microsoft Defender
Monitorowanie przedsiębiorstwa za pomocą Microsoft Defender dla IoT Wymagania wstępne dotyczące usługi Defender dla IoT w portalu usługi Defender
Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender Wymagania wstępne & uprawnienia dla Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
Microsoft Defender for Cloud Apps Wprowadzenie do usługi Microsoft Defender for Cloud Apps
Inne usługi obsługiwane w portalu Microsoft Defender
Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft Wymagania wstępne i pomoc techniczna
Microsoft Security Copilot Minimalne wymagania
Microsoft Defender for Cloud Rozpocznij planowanie ochrony wielochmurowej i innych artykułów w tej samej sekcji.
Microsoft Defender Threat Intelligence Wymagania wstępne dotyczące analizy zagrożeń w usłudze Defender
Ochrona tożsamości Microsoft Entra Wymagania wstępne dotyczące Ochrona tożsamości Microsoft Entra
Zarządzanie ryzykiem wewnętrznym usługi Microsoft Purview Wprowadzenie do zarządzania ryzykiem wewnętrznym

Przegląd rozwiązań dotyczących zabezpieczeń i prywatności danych

Przed wdrożeniem usług Microsoft Defender dla ujednoliconych operacji zabezpieczeń upewnij się, że rozumiesz rozwiązania dotyczące zabezpieczeń danych i prywatności dla każdej usługi, z których planujesz korzystać. Poniższa tabela zawiera listę usług i linków, aby uzyskać więcej informacji. Należy pamiętać, że kilka usług korzysta z rozwiązań dotyczących zabezpieczeń i przechowywania danych dla Microsoft Defender XDR zamiast własnych odrębnych rozwiązań.

Usługa zabezpieczeń Bezpieczeństwo i prywatność danych
Wymagane dla ujednoliconych operacji zabezpieczeń
Microsoft Defender XDR Bezpieczeństwo i przechowywanie danych w Microsoft Defender XDR
Microsoft Sentinel Dostępność geograficzna i miejsce przechowywania danych w Microsoft Sentinel
Opcjonalne usługi Microsoft Defender XDR
Microsoft Defender dla pakietu Office Bezpieczeństwo i przechowywanie danych w Microsoft Defender XDR
Microsoft Defender for Identity Prywatność za pomocą Microsoft Defender for Identity
Ochrona punktu końcowego w usłudze Microsoft Defender Ochrona punktu końcowego w usłudze Microsoft Defender magazyn danych i prywatność
Monitorowanie przedsiębiorstwa za pomocą Microsoft Defender dla IoT Bezpieczeństwo i przechowywanie danych w Microsoft Defender XDR
Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender Ochrona punktu końcowego w usłudze Microsoft Defender magazyn danych i prywatność
Microsoft Defender for Cloud Apps Prywatność za pomocą Microsoft Defender for Cloud Apps
Inne usługi obsługiwane w portalu Microsoft Defender
Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft Świeżość, przechowywanie danych i pokrewne funkcje
Microsoft Security Copilot Prywatność i zabezpieczenia danych w funkcji Copilot rozwiązań zabezpieczających firmy Microsoft
Microsoft Defender for Cloud Microsoft Defender zabezpieczeń danych w chmurze
Microsoft Defender Threat Intelligence Bezpieczeństwo i przechowywanie danych w Microsoft Defender XDR
Ochrona tożsamości Microsoft Entra przechowywanie danych Microsoft Entra
Zarządzanie ryzykiem wewnętrznym usługi Microsoft Purview Przewodnik po ochronie prywatności Zarządzanie ryzykiem wewnętrznym w Microsoft Purview i zgodności z komunikacją

Zasady zarządzania rekordami obsługi komunikatów (MRM) i przechowywania w usłudze Microsoft 365

Planowanie architektury obszaru roboczego usługi Log Analytics

Aby dołączyć Microsoft Sentinel do portalu usługi Defender, musisz najpierw włączyć obszar roboczy usługi Log Analytics dla Microsoft Sentinel. Pojedynczy obszar roboczy usługi Log Analytics może być wystarczający dla wielu środowisk, ale wiele organizacji tworzy wiele obszarów roboczych w celu optymalizacji kosztów i lepszego spełnienia różnych wymagań biznesowych.

Zaprojektuj obszar roboczy usługi Log Analytics, który chcesz włączyć dla Microsoft Sentinel. Rozważ parametry, takie jak wszelkie wymagania dotyczące zgodności dotyczące zbierania i przechowywania danych oraz sposób kontrolowania dostępu do Microsoft Sentinel danych.

Więcej informacji można znaleźć w następujących artykułach:

  1. Projektowanie architektury obszaru roboczego
  2. Przeglądanie przykładowych projektów obszarów roboczych

Planowanie kosztów Microsoft Sentinel i źródeł danych

Portal usługi Defender może natywnie pozyskiwać dane z usług firmy Microsoft innych firm, takich jak Microsoft Defender for Cloud Apps i Microsoft Defender for Cloud. Zalecamy rozszerzenie zakresu do innych źródeł danych w środowisku przez dodanie łączników danych Microsoft Sentinel.

Określanie źródeł danych

Określ pełny zestaw źródeł danych, z które będziesz pozyskiwać dane, oraz wymagania dotyczące rozmiaru danych, które pomogą Ci dokładnie projektować budżet i oś czasu wdrożenia. Te informacje można określić podczas przeglądu przypadku użycia biznesowego lub przez ocenę bieżącego rozwiązania SIEM, które już istnieje. Jeśli masz już urządzenie SIEM, przeanalizuj dane, aby zrozumieć, które źródła danych zapewniają największą wartość i powinny zostać pozyskane do Microsoft Sentinel.

Możesz na przykład użyć dowolnego z następujących zalecanych źródeł danych:

  • Usługi platformy Azure: Jeśli na platformie Azure wdrożono dowolną z następujących usług, użyj następujących łączników, aby wysłać dzienniki diagnostyczne tych zasobów do Microsoft Sentinel:

    • Azure Firewall
    • Azure Application Gateway
    • Magazyn kluczy
    • Azure Kubernetes Service
    • Azure SQL
    • Sieciowe grupy zabezpieczeń
    • Serwery usługi Azure Arc

    Zalecamy skonfigurowanie Azure Policy, aby wymagać przekazywania ich dzienników do bazowego obszaru roboczego usługi Log Analytics. Aby uzyskać więcej informacji, zobacz Tworzenie ustawień diagnostycznych na dużą skalę przy użyciu Azure Policy.

  • Maszyny wirtualne: w przypadku maszyn wirtualnych hostowanych lokalnie lub w innych chmurach, które wymagają zebrania dzienników, użyj następujących łączników danych:

    • Zabezpieczenia Windows zdarzenia przy użyciu usługi AMA
    • Zdarzenia za pośrednictwem usługi Defender dla punktu końcowego (dla serwera)
    • Dziennik systemowy
  • Wirtualne urządzenia sieciowe /źródła lokalne: w przypadku wirtualnych urządzeń sieciowych lub innych źródeł lokalnych, które generują dzienniki common event format (CEF) lub SYSLOG, użyj następujących łączników danych:

    • Dziennik systemowy za pośrednictwem usługi AMA
    • Format typowych zdarzeń (CEF) za pośrednictwem usługi AMA

Aby uzyskać więcej informacji, zobacz Określanie priorytetów łączników danych.

Planowanie budżetu

Zaplanuj budżet Microsoft Sentinel, biorąc pod uwagę konsekwencje kosztów dla każdego planowanego scenariusza. Upewnij się, że budżet obejmuje koszty pozyskiwania danych zarówno dla Microsoft Sentinel, jak i usługi Azure Log Analytics, wszystkie elementy playbook, które zostaną wdrożone itd. Więcej informacji można znaleźć w następujących artykułach:

Omówienie portali zabezpieczeń i centrów administracyjnych firmy Microsoft

Portal Microsoft Defender jest domem do monitorowania i zarządzania zabezpieczeniami tożsamości, danych, urządzeń i aplikacji, ale w przypadku określonych wyspecjalizowanych zadań musisz uzyskać dostęp do różnych portali.

Portale zabezpieczeń firmy Microsoft obejmują:

Nazwa portalu Opis Link
Portal usługi Microsoft Defender Monitorowanie działań związanych z zagrożeniami i reagowanie na nie oraz wzmacnianie stanu zabezpieczeń w tożsamościach, wiadomościach e-mail, danych, punktach końcowych i aplikacjach przy użyciu Microsoft Defender XDR security.microsoft.com

W portalu Microsoft Defender można wyświetlać alerty, zdarzenia, ustawienia i nie tylko oraz zarządzać nimi.
Portal usługi Defender for Cloud Korzystanie z Microsoft Defender dla chmury w celu wzmocnienia stanu zabezpieczeń centrów danych i obciążeń hybrydowych w chmurze portal.azure.com/#blade/Microsoft_Azure_Security
portal Microsoft Security Intelligence Pobieranie aktualizacji analizy zabezpieczeń dla Ochrona punktu końcowego w usłudze Microsoft Defender, przesyłanie przykładów i eksplorowanie encyklopedii zagrożeń microsoft.com/wdsi

W poniższej tabeli opisano portale dla innych obciążeń, które mogą mieć wpływ na twoje zabezpieczenia. Odwiedź te portale, aby zarządzać tożsamościami, uprawnieniami, ustawieniami urządzenia i zasadami obsługi danych.

Nazwa portalu Opis Link
centrum administracyjne Microsoft Entra Uzyskiwanie dostępu do rodziny Microsoft Entra i administrowanie nimi w celu ochrony firmy przy użyciu zdecentralizowanej tożsamości, ochrony tożsamości, ładu i innych elementów w środowisku wielochmurowym entra.microsoft.com
Azure Portal Wyświetlanie wszystkich zasobów platformy Azure i zarządzanie nimi portal.azure.com
Portal usługi Microsoft Purview Zarządzanie zasadami obsługi danych i zapewnianie zgodności z przepisami purview.microsoft.com
Centrum administracyjne platformy Microsoft 365 Konfigurowanie usług Platformy Microsoft 365; zarządzanie rolami, licencjami i śledzeniem aktualizacji usług Platformy Microsoft 365 admin.microsoft.com
centrum administracyjne Microsoft Intune Zarządzanie urządzeniami i zabezpieczanie ich przy użyciu Microsoft Intune. Można również łączyć funkcje Intune i Configuration Manager. intune.microsoft.com
portal Microsoft Intune Wdrażanie zasad urządzeń i monitorowanie urządzeń pod kątem zgodności przy użyciu Microsoft Intune intune.microsoft.com

Planowanie ról i uprawnień

Portal Microsoft Defender ujednolica następujące modele kontroli dostępu opartej na rolach (RBAC) dla ujednoliconych operacji zabezpieczeń:

Podczas gdy uprawnienia udzielane za pośrednictwem kontroli dostępu opartej na rolach platformy Azure dla Microsoft Sentinel są federacyjne w czasie wykonywania przy użyciu ujednoliconej kontroli dostępu opartej na rolach usługi Defender, kontrola RBAC platformy Azure i kontrola RBAC usługi Defender są nadal zarządzane oddzielnie.

Ujednolicona kontrola dostępu oparta na rolach w usłudze Defender nie jest wymagana do dołączania obszaru roboczego do portalu usługi Defender, a uprawnienia Microsoft Sentinel nadal działają zgodnie z oczekiwaniami w portalu usługi Defender nawet bez ujednoliconej kontroli dostępu opartej na rolach. Jednak użycie ujednoliconej kontroli dostępu opartej na rolach upraszcza delegowanie uprawnień w rozwiązaniach usługi Defender. Aby uzyskać więcej informacji, zobacz Aktywowanie Microsoft Defender XDR ujednoliconej kontroli dostępu opartej na rolach (RBAC).

Minimalnym wymaganym uprawnieniem analityka do wyświetlania danych Microsoft Sentinel jest delegowanie uprawnień dla roli czytelnika Sentinel RBAC platformy Azure. Te uprawnienia są również stosowane do ujednoliconego portalu. Bez tych uprawnień menu nawigacji Microsoft Sentinel nie jest dostępne w ujednoliconym portalu, mimo że analityk ma dostęp do portalu Microsoft Defender.

Najlepszym rozwiązaniem jest posiadanie wszystkich Microsoft Sentinel powiązanych zasobów w tej samej grupie zasobów platformy Azure, a następnie delegowanie uprawnień roli Microsoft Sentinel (takiej jak rola czytelnika Sentinel) na poziomie grupy zasobów, która zawiera Microsoft Sentinel obszar roboczy. W ten sposób przypisanie roli ma zastosowanie do wszystkich zasobów, które obsługują Microsoft Sentinel.

W przypadku następujących usług użyj różnych dostępnych ról lub utwórz role niestandardowe, aby zapewnić szczegółową kontrolę nad tym, co użytkownicy widzą i robią. Więcej informacji można znaleźć w następujących artykułach:

Usługa zabezpieczeń Łączenie z wymaganiami roli
Wymagane dla ujednoliconych operacji zabezpieczeń
Microsoft Defender XDR Zarządzanie dostępem do Microsoft Defender XDR przy użyciu ról globalnych Microsoft Entra
Microsoft Sentinel Role i uprawnienia w Microsoft Sentinel
Opcjonalne usługi Microsoft Defender XDR
Microsoft Defender for Identity grupy ról Microsoft Defender for Identity
Microsoft Defender dla pakietu Office uprawnienia Ochrona usługi Office 365 w usłudze Microsoft Defender w portalu Microsoft Defender
Ochrona punktu końcowego w usłudze Microsoft Defender Przypisywanie ról i uprawnień do wdrożenia Ochrona punktu końcowego w usłudze Microsoft Defender
Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender Odpowiednie opcje uprawnień dla Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
Microsoft Defender for Cloud Apps Konfigurowanie dostępu administratora dla Microsoft Defender for Cloud Apps
Inne usługi obsługiwane w portalu Microsoft Defender
Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft Uprawnienia dla Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft
Microsoft Defender for Cloud Role i uprawnienia użytkowników
Zarządzanie ryzykiem wewnętrznym usługi Microsoft Purview Włączanie uprawnień do zarządzania ryzykiem wewnętrznym

Więcej informacji można znaleźć w następujących artykułach:

Planowanie działań Zero Trust

Ujednolicone operacje zabezpieczeń w portalu usługi Defender są częścią modelu zabezpieczeń Zero Trust firmy Microsoft, który obejmuje następujące zasady:

Zasada zabezpieczeń Opis
Jawne weryfikowanie Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych.
Korzystanie z dostępu z najniższymi uprawnieniami Ogranicz dostęp użytkowników za pomocą funkcji just in time i just-enough-access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych.
Załóżmy, że naruszenie Minimalizuj promień wybuchu i dostęp do segmentu. Zweryfikuj kompleksowe szyfrowanie i użyj analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i ulepszyć ochronę.

Zero Trust zabezpieczenia mają na celu ochronę nowoczesnych środowisk cyfrowych dzięki wykorzystaniu segmentacji sieci, zapobieganiu przenoszeniu w trybie poprzecznym, zapewnianiu dostępu o najniższych uprawnieniach oraz wykorzystaniu zaawansowanej analizy do wykrywania zagrożeń i reagowania na nie.

Aby uzyskać więcej informacji na temat implementowania zasad Zero Trust w portalu usługi Defender, zobacz Zero Trust zawartości dla następujących usług:

Aby uzyskać więcej informacji, zobacz centrum Zero Trust Guidance Center.

Następny krok

Wdrażanie na potrzeby ujednoliconych operacji zabezpieczeń