Шаг 1. Настройка средств XDR
В этой статье описаны лучшие подходы к настройке Microsoft Defender 365 и других средств Microsoft XDR, которые являются первым шагом в настройке интегрированной среды с помощью Microsoft Sentinel.
Продукты Microsoft Defender лучше всего относятся к классу для набора безопасности. Зрелые организации объединяют свои платформы безопасности, чтобы обеспечить совместное использование информации друг с другом для более детального обнаружения угроз. Средства Microsoft XDR имеют параметры, позволяющие служебным программам пересылать свои сведения друг другу. Кроме того, каждое средство предназначено для обогащения данных друг другу.
Пилотная программа и развертывание XDR в Microsoft Defender
Корпорация Майкрософт предоставляет рекомендации по настройке и началу работы с компонентами XDR в Microsoft Defender. Ниже перечислены службы компонентов, которые являются частью стека XDR в Microsoft Defender:
- Microsoft Defender для удостоверений
- Microsoft Defender для Office 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender для конечной точки
Рекомендуемый порядок включения компонентов XDR в Microsoft Defender
Если вы еще не настроили компоненты XDR в Microsoft Defender, корпорация Майкрософт рекомендует включить компоненты в указанном порядке:
На рисунке:
- Создание среды оценки
- Настройка и пилотная настройка Defender для удостоверений
- Настройка Defender для Office 365
- Настройка Defender для конечной точки
- Настройка приложений Defender для облака
- Исследование угроз безопасности и реагирование на них
- Повышение уровня оценки в рабочей среде
Этот порядок обычно рекомендуется и предназначен для быстрого применения значений возможностей на основе того, сколько усилий обычно требуется для развертывания и настройки возможностей. Например, Defender для Office 365 можно настроить меньше времени, чем требуется для регистрации устройств в Defender для конечной точки. Необходимо указать приоритеты компонентов в соответствии с вашими бизнес-потребностями и включить их в другом порядке.
Используйте следующие рекомендации, чтобы включить возможности Microsoft 365 и интегрировать их с другими компонентами.
| Задача | Description | См. раздел . . . |
|---|---|---|
| Пилотная программа и развертывание XDR в Microsoft Defender | Используйте этот методический процесс для развертывания компонентов XDR в Microsoft Defender. | Оценка и пилотная оценка XDR в Microsoft Defender |
| Интеграция Microsoft Defender для конечной точки с приложениями Microsoft Defender для облака | Defender для облака Приложения используют сведения о трафике, собранные Defender для конечной точки, о облачных приложениях и службах, к которым осуществляется доступ с ИТ-управляемых ит-устройств, указанных в предварительных требованиях ниже. Интеграция не требует дополнительного развертывания и может быть включена непосредственно из параметров в Defender для конечной точки и XDR в Microsoft Defender. | интеграция Microsoft Defender для конечной точки с приложениями Microsoft Defender для облака |
| Интеграция Microsoft Defender для удостоверений с приложениями Defender для облака | Microsoft Defender для облака Приложения интегрируются с Microsoft Defender для удостоверений для предоставления аналитики поведения сущностей пользователей (UEBA) в гибридной среде — облачном приложении и локальной среде. | интеграция Microsoft Defender для удостоверений |
| Интеграция Microsoft Purview с приложениями Defender для облака | Microsoft Defender для облака Приложения позволяют автоматически применять метки конфиденциальности из Защита информации Microsoft Purview. Затем вы можете исследовать файлы с помощью этих меток. | интеграция Защита информации Microsoft Purview |
Портал Microsoft Defender
Портал Microsoft Defender объединяет защиту, обнаружение, исследование и ответ на сообщения электронной почты, совместную работу, идентификацию, устройства и угрозы облачных приложений в центре. Единый портал Microsoft Defender XDR подчеркивает быстрый доступ к информации, упрощению макетов и совместному использованию связанных сведений.
Единый портал включает в себя:
- Microsoft Defender для Office 365 Microsoft Defender для Office 365 помогает организациям защитить свою организацию с помощью набора функций предотвращения, обнаружения, исследования и охоты для защиты электронной почты и ресурсов Office 365.
- Microsoft Defender для конечной точки обеспечивает предотвращаемую защиту, обнаружение после нарушений, автоматическое исследование и реагирование на устройства в организации.
- Microsoft Defender для удостоверений — облачное решение для обеспечения безопасности, которое использует локальные сигналы Active Directory для обнаружения, выявления и анализа сложных угроз, скомпрометированных удостоверений и вредоносных действий внутренних пользователей, направленных на вашу организацию.
- приложения Microsoft Defender для облака — это комплексное решение SaaS и PaaS, которое обеспечивает глубокую видимость, надежные элементы управления данными и расширенную защиту от угроз в облачных приложениях.
Просмотрите это короткое видео, чтобы узнать о портале Microsoft Defender.
Включение Защита идентификации Microsoft Entra
XDR в Microsoft Defender также выполняет прием и включает сигналы Защита идентификации Microsoft Entra, как показано ниже.
Защита идентификации Microsoft Entra лицензируется отдельно от XDR в Microsoft Defender. Он входит в состав Microsoft Entra ID P2.
Защита идентификации Microsoft Entra оценивает данные риска из миллиардов попыток входа и использует эти данные для оценки риска каждого входа в вашу среду. Эти данные используются идентификатором Microsoft Entra для разрешения или предотвращения доступа к учетной записи в зависимости от того, как настроены политики условного доступа.
Для этого решения и целевого сценария мы также будем прием сигналов от Защита идентификации Microsoft Entra в Sentinel. Чтобы включить Защита идентификации Microsoft Entra, используйте следующие ресурсы.
| Задача | Description | См. раздел . . . |
|---|---|---|
| Интеграция Защита идентификации Microsoft Entra с приложениями Defender для облака | Microsoft Defender для облака Приложения интегрируются с Защита идентификации Microsoft Entra для предоставления аналитики поведения пользователей (UEBA) в гибридной среде. | Защита идентификации Microsoft Entra |
Включение Microsoft Defender для облака
Вы можете завершить развертывание средств Microsoft XDR, включив Microsoft Defender для облака, а затем включить эти сигналы в рабочую область Sentinel.
Используйте следующее руководство, чтобы включить Defender для облака и интегрировать возможности.
| Задача | Description | См. раздел . . . |
|---|---|---|
| Настройка Defender для облака | Рекомендуемые шаги по включению Microsoft Defender для облака и расширенных функций безопасности | Краткое руководство. Настройка Microsoft Defender для облака |
| Защита ресурсов сервера | С помощью Microsoft Defender для серверов (включенных в Defender для облака), вы получаете доступ к ресурсам сервера и можете развертывать Microsoft Defender для конечной точки. | Защита конечных точек с помощью интегрированного решения EDR в Defender для облака: Microsoft Defender для конечной точки |
Рекомендуемое обучение
Изучение решений безопасности в XDR в Microsoft Defender
| Обучение | Изучение решений безопасности в XDR в Microsoft Defender |
|---|---|
|
В этом модуле вы познакомитесь с некоторыми функциями Microsoft 365, которые помогают защитить организацию от киберугроз, определить, компрометацию пользователей и компьютеров, а также отслеживать подозрительные действия в организации. |
Включение Microsoft Defender для облака и управление им
| Обучение | Включение Microsoft Defender для облака и управление ими |
|---|---|
|
Используйте Microsoft Defender для облака для укрепления состояния безопасности и защиты рабочих нагрузок от современных угроз. |
Следующие шаги
Перейдите к шагу 2 , чтобы создать рабочую область Sentinel.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по