Оценка и пилотное развертывание Microsoft 365 Defender
Область применения:
- Microsoft 365 Defender
Как работает эта серия статей
Эта серия статей предназначена для пошагового выполнения всего процесса настройки пробной среды XDR, чтобы вы могли оценить функции и возможности Microsoft 365 Defender и даже продвигать среду оценки непосредственно в рабочую среду, когда и если вы будете готовы.
Если вы не знакомы с XDR, вы можете просмотреть эти 7 связанных статей, чтобы почувствовать, насколько комплексным является решение.
- Создание среды
- Настройка или изучение каждой технологии microsoft XDR
- Исследование и реагирование с помощью этого XDR
- Повышение уровня пробной среды до рабочей среды
Microsoft 365 Defender — это решение для кибербезопасности Microsoft XDR
Microsoft 365 Defender — это решение EXtended обнаружения и реагирования (XDR), которое автоматически собирает, сопоставляет и анализирует данные сигналов, угроз и оповещений из всей среды Microsoft 365, включая конечную точку, электронную почту, приложения и удостоверения. Он использует искусственный интеллект (ИИ) и автоматизацию для автоматической остановки атак и исправления затронутых ресурсов в безопасном состоянии.
Подумайте о XDR как о следующем шаге безопасности, объединяющем конечную точку (обнаружение конечных точек и ответ или EDR), электронную почту, приложение и безопасность удостоверений в одном месте.
Рекомендации Майкрософт по оценке Microsoft 365 Defender
Корпорация Майкрософт рекомендует создать оценку в существующей рабочей подписке Office 365. Таким образом вы сразу получите реальные аналитические сведения и сможете настроить параметры для работы с текущими угрозами в вашей среде. После получения опыта и удобства работы с платформой просто продвигайте каждый компонент по отдельности в рабочую среду.
Структура атаки кибербезопасности
Microsoft 365 Defender — это облачная унифицированная система защиты предприятия до и после нарушения безопасности. Он координирует предотвращение, обнаружение, исследование и реагирование между конечными точками, удостоверениями, приложениями, электронной почтой, приложениями для совместной работы и всеми их данными.
На этом рисунке идет атака. Фишинговое письмо поступает в папку "Входящие" сотрудника вашей организации, который неосознанно открывает вложение электронной почты. Это устанавливает вредоносную программу, которая приводит к цепочке событий, которые могут закончиться кражей конфиденциальных данных. Но в этом случае Defender для Office 365 работает.
На этом рисунке:
- Exchange Online Protection, часть Microsoft Defender для Office 365, может обнаруживать фишинговые сообщения электронной почты и использовать правила потока обработки почты (также известные как правила транспорта), чтобы убедиться, что он никогда не поступает в папку "Входящие".
- Defender для Office 365 использует безопасные вложения, чтобы проверить вложение и определить, что оно вредно, поэтому сообщение, которое поступает, либо не может быть использовано пользователем, либо политики предотвращают получение почты вообще.
- Defender для конечной точки управляет устройствами, которые подключаются к корпоративной сети и обнаруживают уязвимости устройств и сети, которые в противном случае могут быть использованы.
- Defender для удостоверений принимает к сведению внезапные изменения учетной записи, такие как повышение привилегий или боковое смещение с высоким риском. Он также сообщает о легко эксплуатируемых проблемах идентификации, таких как неограниченное делегирование Kerberos, для исправления командой безопасности.
- Microsoft Defender for Cloud Apps замечает аномальное поведение, такое как невозможное перемещение, доступ к учетным данным и необычные действия скачивания, общей папки или пересылки почты, и сообщает об этом команде безопасности.
Microsoft 365 Defender компоненты защиты устройств, удостоверений, данных и приложений
Microsoft 365 Defender состоит из этих технологий безопасности, работающих в тандеме. Вам не нужны все эти компоненты, чтобы воспользоваться возможностями XDR и Microsoft 365 Defender. Вы сможете реализовать преимущества и эффективность, используя один или два.
| Компонент | Описание | Справочные материалы |
|---|---|---|
| Microsoft Defender для удостоверений | Microsoft Defender для удостоверений использует сигналы Active Directory для выявления, обнаружения и исследования расширенных угроз, скомпрометированных удостоверений и вредоносных внутренних действий, направленных на вашу организацию. | Что такое Microsoft Defender для удостоверений? |
| Exchange Online Protection | Exchange Online Protection — это собственная облачная служба ретранслятора SMTP и фильтрации, которая помогает защитить организацию от спама и вредоносных программ. | Обзор Exchange Online Protection (EOP) — Office 365 |
| Microsoft Defender для Office 365 | Microsoft Defender для Office 365 защищает вашу организацию от вредоносных угроз, связанных с сообщениями электронной почты, ссылками (URL-адресами) и средствами совместной работы. | Microsoft Defender для Office 365 — Office 365 |
| Microsoft Defender для конечной точки | Microsoft Defender для конечной точки — это единая платформа для защиты устройств, обнаружения после нарушения безопасности, автоматического исследования и рекомендуемого реагирования. | Microsoft Defender для конечной точки — безопасность Windows |
| Microsoft Defender for Cloud Apps | Microsoft Defender for Cloud Apps — это комплексное решение между SaaS, которое обеспечивает глубокую видимость, надежные средства управления данными и расширенную защиту от угроз в облачных приложениях. | Что такое Defender for Cloud Apps? |
| Защита идентификации Azure AD | Azure AD Защита идентификации оценивает данные о рисках из миллиардов попыток входа и использует эти данные для оценки риска каждого входа в вашу среду. Эти данные используются Azure AD для разрешения или запрета доступа к учетной записи в зависимости от того, как настроены политики условного доступа. Azure AD защита идентификации лицензируется отдельно от Microsoft 365 Defender. Он входит в состав Azure Active Directory Premium P2. | Что такое защита идентификации? |
архитектура Microsoft 365 Defender
На приведенной ниже схеме показана высокоуровневая архитектура для ключевых Microsoft 365 Defender компонентов и интеграций. Подробная архитектура для каждого компонента Defender и сценарии использования приведены в этой серии статей.
На этой иллюстрации:
- Microsoft 365 Defender объединяет сигналы от всех компонентов Defender, чтобы обеспечить расширенное обнаружение и ответ (XDR) в разных доменах. К ним относятся единая очередь инцидентов, автоматическое реагирование на атаки, самовосстановление (для скомпрометированных устройств, удостоверений пользователей и почтовых ящиков), поиск угроз и аналитика угроз.
- Microsoft Defender для Office 365 защищает вашу организацию от угроз, которые могут представлять электронные сообщения, ссылки (URL-адреса) и средства совместной работы. Он передает сигналы, полученные в результате этих действий, с Microsoft 365 Defender. Exchange Online Protection (EOP) интегрирована для обеспечения комплексной защиты входящих сообщений электронной почты и вложений.
- Microsoft Defender для удостоверений собирает сигналы с серверов, на которых запущены федеративные службы Active Directory (AD FS) и доменные службы локальная служба Active Directory (AD DS). Эти сигналы используются для защиты гибридной среды идентификации, в том числе для защиты от хакеров, которые используют скомпрометированные учетные записи для бокового перемещения между рабочими станциями в локальной среде.
- Microsoft Defender для конечной точки собирает сигналы от устройств, используемых вашей организацией, и защищает их.
- Microsoft Defender for Cloud Apps собирает сигналы об использовании облачных приложений в организации и защищает данные, передаваемые между вашей средой и этими приложениями, включая санкционированные и несанкционированные облачные приложения.
- Azure AD Защита идентификации оценивает данные о рисках из миллиардов попыток входа и использует эти данные для оценки риска каждого входа в вашу среду. Эти данные используются Azure AD для разрешения или запрета доступа к учетной записи в зависимости от того, как настроены политики условного доступа. Azure AD защита идентификации лицензируется отдельно от Microsoft 365 Defender. Он входит в состав Azure Active Directory Premium P2.
Microsoft SIEM и SOAR могут использовать данные из Microsoft 365 Defender
Дополнительные необязательные компоненты архитектуры, не включенные в эту иллюстрацию:
- Подробные данные о сигналах из всех компонентов Microsoft 365 Defender можно интегрировать в Microsoft Sentinel и в сочетании с другими источниками ведения журнала, чтобы предоставить полные возможности SIEM и SOAR и аналитические сведения.
- Дополнительные сведения об использовании Microsoft Sentinel( Azure SIEM) с Microsoft 365 Defender в качестве XDR см. в этой статье Обзор и шагах интеграции Microsoft Sentinel и Microsoft 365 Defender.
- Дополнительные сведения о SOAR в Microsoft Sentinel (включая ссылки на сборники схем в репозитории Microsoft Sentinel GitHub) см. в этой статье.
Процесс оценки Microsoft 365 Defender кибербезопасности
Корпорация Майкрософт рекомендует включить компоненты Microsoft 365 в указанном порядке:
Эта иллюстрация описана в следующей таблице.
| серийный номер; | Шаг | Описание |
|---|---|---|
| 1 | Создание среды оценки | Этот шаг гарантирует, что у вас есть пробная лицензия для Microsoft 365 Defender. |
| 2 | Включение Defender для удостоверений | Изучите требования к архитектуре, включите оценку и ознакомьтесь с руководствами по выявлению и устранению различных типов атак. |
| 3 | Включение Defender для Office 365 | Убедитесь, что вы соответствуете требованиям к архитектуре, включите оценку и создайте пилотную среду. Этот компонент включает в себя Exchange Online Protection, поэтому вы фактически оцените оба этих компонента. |
| 4 | Включение Defender для конечной точки | Убедитесь, что вы соответствуете требованиям к архитектуре, включите оценку и создайте пилотную среду. |
| 5 | Включение Microsoft Defender for Cloud Apps | Убедитесь, что вы соответствуете требованиям к архитектуре, включите оценку и создайте пилотную среду. |
| 6 | Изучение оповещений и реагирование на них | Смоделируйте атаку и начните использовать возможности реагирования на инциденты. |
| 7 | Переход с пробной на окончательную версию | Повышение уровня компонентов Microsoft 365 до выпуска по отдельности. |
Этот заказ обычно рекомендуется и предназначен для быстрого использования ценности возможностей в зависимости от того, сколько усилий обычно требуется для развертывания и настройки возможностей. Например, Defender для Office 365 можно настроить за меньшее время, чем требуется для регистрации устройств в Defender для конечной точки. Конечно, следует определить приоритеты компонентов в соответствии с бизнес-потребностями и включить их в другом порядке.
Переход к следующему шагу
Сведения о среде оценки Microsoft 365 Defender и (или) о ней