Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается планирование развертывания для унифицированных операций безопасности на портале Microsoft Defender. Унифицируйте операции безопасности, чтобы снизить риски, предотвратить атаки, обнаруживать и нарушать киберугрозы в режиме реального времени, а также быстрее реагировать с помощью возможностей безопасности с поддержкой ИИ на портале Microsoft Defender.
Планирование развертывания
Портал Defender объединяет такие службы, как Microsoft Defender XDR, Microsoft Sentinel, Управление рисками Microsoft Security и Microsoft Security Copilot для унифицированных операций безопасности.
Первым шагом при планировании развертывания является выбор служб, которые вы хотите использовать.
В качестве основного условия вам потребуется Microsoft Defender XDR и Microsoft Sentinel для мониторинга и защиты служб и решений майкрософт и сторонних разработчиков, включая облачные и локальные ресурсы.
Разверните любую из следующих служб, чтобы обеспечить безопасность конечных точек, удостоверений, электронной почты и приложений, чтобы обеспечить интегрированную защиту от сложных атак.
Microsoft Defender XDR службы:
Служба | Описание |
---|---|
Microsoft Defender для Office 365 | Защищает от угроз, связанных с сообщениями электронной почты, URL-ссылками и средствами совместной работы Office 365. |
Microsoft Defender для удостоверений | Выявляет, обнаруживает и исследует угрозы со стороны локальная служба Active Directory и облачных удостоверений, таких как Microsoft Entra ID. |
Microsoft Defender для конечной точки | Отслеживает и защищает устройства конечных точек, обнаруживает и исследует нарушения безопасности устройств, а также автоматически реагирует на угрозы безопасности. |
Microsoft Defender для Интернета вещей | Предоставляет как обнаружение устройств Интернета вещей, так и значение безопасности для устройств Интернета вещей. |
Управление уязвимостями в Microsoft Defender | Определяет ресурсы и программное обеспечение, а также оценивает состояние устройства для обнаружения уязвимостей системы безопасности. |
Microsoft Defender for Cloud Apps | Защищает и управляет доступом к облачным приложениям SaaS. |
Другие службы, поддерживаемые на портале Microsoft Defender, но не лицензированные с Microsoft Defender XDR, включают:
Служба | Описание |
---|---|
Управление рисками Microsoft Security | Предоставляет единое представление о состоянии безопасности для всех активов и рабочих нагрузок компании, обогащая сведения об активах контекстом безопасности. |
Microsoft Security Copilot | Предоставляет аналитические сведения и рекомендации на основе ИИ для повышения эффективности операций безопасности. |
Microsoft Defender для облака | Защищает многооблачные и гибридные среды с помощью расширенного обнаружения угроз и реагирования на нее. |
Аналитика угроз Microsoft Defender | Упрощает рабочие процессы аналитики угроз путем агрегирования и обогащения критически важных источников данных для корреляции индикаторов компрометации (IOCs) со связанными статьями, профилями субъектов и уязвимостями. |
Защита Microsoft Entra ID | Оценивает данные о рисках при попытках входа, чтобы оценить риск каждого входа в вашу среду. |
Управление внутренними рисками Microsoft Purview | Сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. |
Проверка предварительных требований к службе
Перед развертыванием служб Microsoft Defender для унифицированных операций безопасности ознакомьтесь с предварительными условиями для каждой службы, которые вы планируете использовать. В следующей таблице перечислены службы и ссылки для получения дополнительных сведений:
Ознакомьтесь с рекомендациями по обеспечению безопасности и конфиденциальности данных
Перед развертыванием служб Microsoft Defender для унифицированных операций безопасности убедитесь, что вы понимаете принципы безопасности и конфиденциальности данных для каждой службы, которую вы планируете использовать. В следующей таблице перечислены службы и ссылки для получения дополнительных сведений. Обратите внимание, что некоторые службы используют методы безопасности и хранения данных для Microsoft Defender XDR вместо того, чтобы использовать отдельные методики.
Планирование архитектуры рабочей области Log Analytics
Чтобы подключить Microsoft Sentinel к порталу Defender, сначала необходимо включить рабочую область Log Analytics для Microsoft Sentinel. Одной рабочей области Log Analytics может быть достаточно для многих сред, но многие организации создают несколько рабочих областей для оптимизации затрат и лучшего удовлетворения различных бизнес-требований.
Проектируйте рабочую область Log Analytics, которую вы хотите включить для Microsoft Sentinel. Рассмотрите такие параметры, как требования к соответствию для сбора и хранения данных, а также управление доступом к Microsoft Sentinel данным.
Дополнительные сведения см. в разделе:
Планирование затрат на Microsoft Sentinel и источников данных
Портал Defender может принимать данные из сторонних служб Майкрософт, таких как Microsoft Defender for Cloud Apps и Microsoft Defender для облака. Мы рекомендуем расширить охват другими источниками данных в вашей среде, добавив Microsoft Sentinel соединители данных.
Определение источников данных
Определите полный набор источников данных, из которые вы будете принимать данные, и требования к размеру данных, которые помогут вам точно проецировать бюджет и временная шкала развертывания. Вы можете определить эту информацию во время проверки варианта использования для бизнеса или путем оценки текущей SIEM, которая у вас уже есть. Если у вас уже есть SIEM, проанализируйте данные, чтобы понять, какие источники данных предоставляют наибольшее значение и должны приниматься в Microsoft Sentinel.
Например, может потребоваться использовать любой из следующих рекомендуемых источников данных:
Службы Azure. Если в Azure развернута какая-либо из следующих служб, используйте следующие соединители для отправки журналов диагностики этих ресурсов в Microsoft Sentinel:
- Брандмауэр Azure
- Шлюз приложений Azure
- Хранилище ключей
- Служба Azure Kubernetes
- Azure SQL
- Группы безопасности сети
- Серверы Azure-Arc
Рекомендуется настроить Политика Azure, чтобы требовать перенаправления журналов в базовую рабочую область Log Analytics. Дополнительные сведения см. в статье Создание параметров диагностики в большом масштабе с помощью Политика Azure.
Виртуальные машины. Для виртуальных машин, размещенных локально или в других облаках, для которых требуется сбор журналов, используйте следующие соединители данных:
- события Безопасность Windows с помощью AMA
- События через Defender для конечной точки (для сервера)
- Системный журнал
Сетевые виртуальные модули или локальные источники. Для сетевых виртуальных устройств или других локальных источников, создающих журналы common Event Format (CEF) или SYSLOG, используйте следующие соединители данных:
- Системный журнал через AMA
- Общий формат событий (CEF) через AMA
Дополнительные сведения см. в разделе Определение приоритета соединителей данных.
Планирование бюджета
Спланируйте бюджет Microsoft Sentinel с учетом последствий затрат для каждого запланированного сценария. Убедитесь, что ваш бюджет покрывает расходы на прием данных для Microsoft Sentinel и Azure Log Analytics, любых развернутых сборников схем и т. д. Дополнительные сведения см. в разделе:
- Ведение журнала планов хранения в Microsoft Sentinel
- Планирование затрат и понимание Microsoft Sentinel ценообразования и выставления счетов
Общие сведения о порталах безопасности и центрах администрирования Майкрософт
Хотя портал Microsoft Defender является домом для мониторинга и управления безопасностью удостоверений, данных, устройств и приложений, вам необходимо получить доступ к различным порталам для определенных специализированных задач.
Порталы безопасности Майкрософт включают:
Имя портала | Описание | Ссылка |
---|---|---|
Портал Microsoft Defender | Мониторинг и реагирование на действия с угрозами и повышение уровня безопасности для удостоверений, электронной почты, данных, конечных точек и приложений с помощью Microsoft Defender XDR |
security.microsoft.com На портале Microsoft Defender можно просматривать оповещения, инциденты, параметры и управлять ими. |
Портал Defender для облака | Использование Microsoft Defender для облака для повышения уровня безопасности центров обработки данных и гибридных рабочих нагрузок в облаке | portal.azure.com/#blade/Microsoft_Azure_Security |
портал портал для обнаружения угроз (Microsoft) | Получение обновлений аналитики безопасности для Microsoft Defender для конечной точки, отправка примеров и изучение энциклопедии угроз | microsoft.com/wdsi |
В следующей таблице описаны порталы для других рабочих нагрузок, которые могут повлиять на безопасность. Посетите эти порталы для управления удостоверениями, разрешениями, параметрами устройства и политиками обработки данных.
Имя портала | Описание | Ссылка |
---|---|---|
Центр администрирования Microsoft Entra | Доступ и администрирование семьи Microsoft Entra для защиты бизнеса с помощью децентрализованных удостоверений, защиты идентификации, управления и т. д. в многооблачной среде | entra.microsoft.com |
Портал Azure | Просмотр всех ресурсов Azure и управление ими | portal.azure.com |
Портал Microsoft Purview | Управление политиками обработки данных и обеспечение соответствия нормативным требованиям | purview.microsoft.com |
Центр администрирования Microsoft 365 | Настройка служб Microsoft 365; управление ролями, лицензиями и отслеживание обновлений служб Microsoft 365 | admin.microsoft.com |
Центр администрирования Microsoft Intune | Используйте Microsoft Intune для управления устройствами и защиты устройств. Также можно сочетать возможности Intune и Configuration Manager. | intune.microsoft.com |
портал Microsoft Intune | Использование Microsoft Intune для развертывания политик устройств и мониторинга устройств на соответствие требованиям | intune.microsoft.com |
Планирование ролей и разрешений
Портал Microsoft Defender объединяет следующие модели управления доступом на основе ролей (RBAC) для унифицированных операций безопасности:
- Microsoft Entra ID RBAC, используемый для делегирования доступа к Доступу в Defender, например группам устройств
- Azure RBAC, используемый Microsoft Sentinel для делегирования разрешений
- Единый RBAC Defender, используемый для делегирования разрешений в решениях Defender
Хотя разрешения, предоставляемые через Azure RBAC для Microsoft Sentinel, объединяются в федерацию во время выполнения с унифицированным RBAC Defender, Azure RBAC и RBAC Defender по-прежнему управляются отдельно.
Единый RBAC Defender не требуется для подключения рабочей области к порталу Defender, и Microsoft Sentinel разрешения продолжают работать должным образом на портале Defender даже без единого RBAC. Однако использование унифицированного RBAC упрощает делегирование разрешений в решениях Defender. Дополнительные сведения см. в разделе Активация Microsoft Defender XDR единого управления доступом на основе ролей (RBAC).
Минимальное разрешение, необходимое аналитику для просмотра Microsoft Sentinel данных, — делегировать разрешения для роли читателя Sentinel Azure RBAC. Эти разрешения также применяются к единому порталу. Без этих разрешений меню навигации Microsoft Sentinel недоступно на едином портале, несмотря на то, что аналитик имеет доступ к порталу Microsoft Defender.
Рекомендуется иметь все Microsoft Sentinel связанные ресурсы в одной группе ресурсов Azure, а затем делегировать разрешения Microsoft Sentinel роли (например, роль читателя Sentinel) на уровне группы ресурсов, содержащей рабочую область Microsoft Sentinel. При этом назначение роли применяется ко всем ресурсам, которые поддерживают Microsoft Sentinel.
Для следующих служб используйте различные доступные роли или создайте настраиваемые роли, чтобы получить точный контроль над тем, что пользователи могут видеть и делать. Дополнительные сведения см. в разделе:
Дополнительные сведения см. в разделе:
- Планирование ролей и разрешений для Microsoft Sentinel
- Встроенные роли Azure
- роли Microsoft Sentinel
- Предварительные требования для подключения
- Управление унифицированным RBAC в Microsoft Defender (демонстрация видео)
Планирование действий "Никому не доверяй"
Единые операции безопасности на портале Defender являются частью модели безопасности "Никому не доверяй", которая включает в себя следующие принципы:
Принцип безопасности | Описание |
---|---|
Явная проверка | Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных. |
Руководствуйтесь принципом минимальных прав. | Ограничьте доступ пользователей с помощью JIT/JEA, адаптивных политик на основе рисков и защиты данных. |
Предположим, что нарушение | Сведите к минимуму радиус взрыва и доступ к сегментам. Проверьте сквозное шифрование и используйте аналитику, чтобы получить представление о ситуации, выявить угрозы и улучшить защиту. |
Безопасность "Никому не доверяй" предназначена для защиты современных цифровых сред за счет использования сегментации сети, предотвращения бокового перемещения, предоставления доступа с наименьшими привилегиями и использования расширенной аналитики для обнаружения угроз и реагирования на них.
Дополнительные сведения о реализации принципов "Никому не доверяй" на портале Defender см. в разделе "Никому не доверяй" для следующих служб:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender для удостоверений
- Microsoft Defender для Office 365
- Microsoft Defender для конечной точки
- Microsoft Defender for Cloud Apps
- Управление рисками Microsoft Security
- Microsoft Defender для облака
- Microsoft Security Copilot
- Защита Microsoft Entra ID
- Microsoft Purview
Дополнительные сведения см. в разделе Центр руководств по принципу "Никому не доверяй".