Оценка и пилотное развертывание Microsoft 365 Defender

Область применения:

  • Microsoft 365 Defender

Принцип работы этой серии статей

Эта серия статей поможет вам полностью настроить пробную среду XDR, чтобы вы могли оценить функции и возможности Microsoft 365 Defender и даже повысить уровень среды оценки до рабочей среды, когда и когда будете готовы.

Если вы не знакомы с XDR, вы можете просмотреть эти 7 связанных статей, чтобы понять, насколько комплексным является решение.

Microsoft 365 Defender — это решение для кибербезопасности Microsoft XDR

Microsoft 365 Defender — это решение для обнаружения и реагирования eXtended (XDR), которое автоматически собирает, коррелирует и анализирует данные сигналов, угроз и оповещений в среде Microsoft 365, включая конечную точку, электронную почту, приложения и удостоверения. Он использует искусственный интеллект (ИИ) и автоматизацию для автоматической остановки атак и исправления затронутых ресурсов в безопасном состоянии.

XDR можно рассматривать как следующий шаг в области безопасности, который в одном месте — ингибирование конечной точки (обнаружение конечных точек и реагирование на них или EDR), электронная почта, приложение и безопасность удостоверений.

Рекомендации Майкрософт по оценке Microsoft 365 Defender

Корпорация Майкрософт рекомендует создать оценку в существующей рабочей подписке Office 365. Таким образом, вы сразу получите реальные аналитические сведения и сможете настроить параметры для работы с текущими угрозами в вашей среде. После получения опыта работы и удобства работы с платформой просто переведите каждый компонент по одному в рабочую среду.

Структура кибератаки

Microsoft 365 Defender — это облачный, унифицированный, предустановив и после взлома корпоративный набор средств защиты. Он координирует предотвращение, обнаружение, исследование и реагирование между конечными точками, удостоверениями, приложениями, электронной почтой, приложениями для совместной работы и всеми их данными.

На этом рисунке выполняется атака. Фишинговое сообщение электронной почты поступает в папку "Входящие" сотрудника в организации, который неявно открывает вложение электронной почты. При этом устанавливаются вредоносные программы, которые приводят к цепочке событий, которые могут завершиться кражей конфиденциальных данных. Но в этом случае Defender для Office 365 выполняется.

Различные попытки атаки

На этом рисунке:

  • Exchange Online Protection, часть Microsoft Defender для Office 365, может обнаружить фишинговое сообщение электронной почты и использовать правила потока обработки почты (также называемые правилами транспорта), чтобы убедиться, что они никогда не поступают в папку "Входящие".
  • Defender для Office 365 использует безопасные вложения для проверки вложения и определения его вреда, поэтому поступающие сообщения не могут быть доступны пользователю, или политики не помешает поступлению почты.
  • Defender для конечной точки управляет устройствами, которые подключаются к корпоративной сети и обнаруживают уязвимости устройств и сетей, которые в противном случае могут использоваться.
  • Defender для удостоверений учитывает внезапное изменение учетной записи, например повышение привилегий или боковое смещение с высоким риском. Он также сообщает о проблемах с легко используемыми удостоверениями, таких как неограниченное делегирование Kerberos, для исправления группой безопасности.
  • Microsoft Defender for Cloud Apps аномальное поведение, например невозможное перемещение, доступ к учетным данным и нестандартное скачивание, общий файл или действия пересылки почты, и сообщает об этом группе безопасности.

Microsoft 365 Defender компонентов для защиты устройств, удостоверений, данных и приложений

Microsoft 365 Defender состоит из этих технологий безопасности, которые выполняются совместно. Вам не нужны все эти компоненты, чтобы воспользоваться преимуществами XDR и Microsoft 365 Defender. Вы также сможете реализации повышения эффективности с помощью одного или двух.

Компонент Описание Справочные материалы
Microsoft Defender для удостоверений Microsoft Defender для удостоверений использует сигналы Active Directory для выявления, обнаружения и исследования сложных угроз, скомпрометированных удостоверений и вредоносных внутренних действий, направленных на вашу организацию. Что такое Microsoft Defender для удостоверений?
Exchange Online Protection Exchange Online Protection — это собственная облачная служба ретрансляции и фильтрации SMTP, которая помогает защитить организацию от нежелательной почты и вредоносных программ. Exchange Online Protection (EOP) — Office 365
Microsoft Defender для Office 365 Microsoft Defender для Office 365 защищает организацию от вредоносных угроз, создаваемых сообщениями электронной почты, ссылками (URL-адресами) и средствами совместной работы. Microsoft Defender для Office 365 — Office 365
Microsoft Defender для конечной точки Microsoft Defender для конечной точки является единой платформой для защиты устройств, обнаружения нарушений, автоматического исследования и рекомендуемого реагирования. Microsoft Defender для конечной точки — безопасность Windows
Microsoft Defender for Cloud Apps Microsoft Defender for Cloud Apps — это комплексное кросс-SaaS-решение, которое обеспечивает глубокую видимость, надежные элементы управления данными и улучшенную защиту от угроз в облачных приложениях. Что такое Defender for Cloud Apps?
Защита идентификации Azure AD Azure AD identity Protection оценивает данные о рисках из миллиардов попыток входа и использует эти данные для оценки риска каждого входа в среду. Эти данные используются Azure AD для разрешения или предотвращения доступа к учетной записи в зависимости от того, как настроены политики условного доступа. Azure AD защита идентификации лицензирована отдельно от Microsoft 365 Defender. Он входит в Azure Active Directory Premium P2. Что такое защита идентификации?

Microsoft 365 Defender архитектуры

На схеме ниже показана высокоуровневая архитектура для ключевых Microsoft 365 Defender и интеграции. Подробная архитектура для каждого компонента Defender и сценарии использования перечислены в этой серии статей.

Высокоуровневая архитектура портала Microsoft 365 Defender.

На этой иллюстрации:

  • Microsoft 365 Defender объединяет сигналы от всех компонентов Defender, чтобы обеспечить расширенное обнаружение и реагирование (XDR) между доменами. К ним относятся унифицированная очередь инцидентов, автоматизированный ответ на остановку атак, самовосстановление (для скомпрометированных устройств, удостоверений пользователей и почтовых ящиков), поиск угроз и аналитика угроз.
  • Microsoft Defender для Office 365 защищает вашу организацию от угроз, которые могут представлять электронные сообщения, ссылки (URL-адреса) и средства совместной работы. Он предоставляет общий доступ к сигналам, полученным в результате этих действий, Microsoft 365 Defender. Exchange Online Protection (EOP) интегрированы для обеспечения сквозной защиты входящих сообщений электронной почты и вложений.
  • Microsoft Defender для удостоверений собирает сигналы с серверов, на котором запущены федеративные службы Active Directory (AD FS) и локальная служба Active Directory доменных служб (AD DS). Он использует эти сигналы для защиты среды гибридной идентификации, включая защиту от злоумышленников, которые используют скомпрометированные учетные записи для бокового смещения между рабочими станциями в локальной среде.
  • Microsoft Defender для конечной точки собирает сигналы с устройств, используемых вашей организацией, и защищает их.
  • Microsoft Defender for Cloud Apps собирает сигналы от использования облачных приложений в вашей организации и защищает данные, которые будут перенаправлены между вашей средой и этими приложениями, включая как санкционированные, так и несанкционированные облачные приложения.
  • Azure AD identity Protection оценивает данные о рисках из миллиардов попыток входа и использует эти данные для оценки риска каждого входа в среду. Эти данные используются Azure AD для разрешения или предотвращения доступа к учетной записи в зависимости от того, как настроены политики условного доступа. Azure AD защита идентификации лицензирована отдельно от Microsoft 365 Defender. Он входит в Azure Active Directory Premium P2.

Microsoft SIEM и SOAR могут использовать данные из Microsoft 365 Defender

Дополнительные необязательные компоненты архитектуры, не включенные в эту иллюстрацию:

  • Подробные сигнальные данные из Microsoft 365 Defender компонентов можно интегрировать в Microsoft Sentinel и объединить с другими источниками ведения журнала, чтобы предложить полные возможности SIEM и SOAR и аналитические сведения.
  • Дополнительные сведения об использовании Microsoft Sentinel, Azure SIEM с Microsoft 365 Defender в качестве XDR, см. в этой статье обзора, а также в шагах по интеграции Microsoft Sentinel и Microsoft 365 Defender интеграции.
  • Дополнительные сведения о SOAR в Microsoft Sentinel (включая ссылки на сборники схем в репозитории Microsoft Sentinel GitHub) см. в этой статье.

Процесс оценки Microsoft 365 Defender кибербезопасности

Корпорация Майкрософт рекомендует включить компоненты Microsoft 365 в порядке, иллюстрирующем следующее:

Высокоуровневый процесс оценки на Microsoft 365 Defender портале

Эта иллюстрация описана в следующей таблице.

серийный номер; Шаг Описание
1 Создание среды оценки Этот шаг гарантирует, что у вас есть пробная лицензия для Microsoft 365 Defender.
2 Включение Defender для удостоверений Изучите требования к архитектуре, включите оценку и изучите руководства по выявлению и устранению различных типов атак.
3 Включение Defender для Office 365 Убедитесь, что выполнены требования к архитектуре, включите оценку, а затем создайте пилотную среду. Этот компонент включает Exchange Online Protection, поэтому вы фактически оцените оба этих компонента.
4 Включение Defender для конечной точки Убедитесь, что выполнены требования к архитектуре, включите оценку, а затем создайте пилотную среду.
5 Включение Microsoft Defender for Cloud Apps Убедитесь, что выполнены требования к архитектуре, включите оценку, а затем создайте пилотную среду.
6 Изучение оповещений и реагирование на них Имитация атаки и начало использования возможностей реагирования на инциденты.
7 Переход с пробной на окончательную версию Выведите компоненты Microsoft 365 в рабочую среду по одному.

Этот порядок обычно рекомендуется и предназначен для быстрого использования значений возможностей в зависимости от того, сколько усилий обычно требуется для развертывания и настройки возможностей. Например, Defender для Office 365 настроить за меньшее время, чем требуется для регистрации устройств в Defender для конечной точки. Конечно, следует расставить приоритеты компонентов в соответствии с бизнес-потребностями и включить их в другом порядке.

Перейти к следующему шагу

Узнайте о среде оценки Microsoft 365 Defender или создайте ее.