Utvärdera och pilot Microsoft 365 Defender

Gäller för:

  • Microsoft 365 Defender

Så här fungerar den här artikelserien

Den här artikelserien är utformad för att stega dig igenom hela processen med att konfigurera en XDR-utvärderingsmiljö från slutpunkt till slutpunkt, så att du kan utvärdera funktionerna i Microsoft 365 Defender och till och med marknadsföra utvärderingsmiljön direkt till produktion när och om du är redo.

Om du är nybörjare på att tänka på XDR kan du skanna dessa 7 länkade artiklar för att få en känsla för hur omfattande lösningen är.

Microsoft 365 Defender är en Microsoft XDR-cybersäkerhetslösning

Microsoft 365 Defender är en XDR-lösning (eXtended detection and response) som automatiskt samlar in, korrelerar och analyserar signal-, hot- och aviseringsdata från hela Microsoft 365-miljön, inklusive slutpunkt, e-post, program och identiteter. Den använder artificiell intelligens (AI) och automatisering för att automatiskt stoppa attacker och åtgärda berörda tillgångar i ett säkert tillstånd.

Tänk på XDR som nästa steg i säkerhet, enande slutpunkt (slutpunktsidentifiering och svar eller EDR), e-post, app och identitetssäkerhet på ett och samma ställe.

Microsofts rekommendationer för utvärdering av Microsoft 365 Defender

Microsoft rekommenderar att du skapar din utvärdering i en befintlig produktionsprenumeration på Office 365. På så sätt får du verkliga insikter omedelbart och kan justera inställningarna för att arbeta mot aktuella hot i din miljö. När du har fått erfarenhet och är bekväm med plattformen kan du helt enkelt höja upp varje komponent, en i taget, till produktion.

Uppbyggnad av en cybersäkerhetsattack

Microsoft 365 Defender är en molnbaserad, enhetlig företagsförsvarssvit före och efter intrång. Den samordnar förebyggande, identifiering, undersökning och svar mellan slutpunkter, identiteter, appar, e-post, samarbetsprogram och alla deras data.

I den här bilden pågår en attack. Nätfiskemeddelandet kommer till inkorgen för en anställd i din organisation, som omedvetet öppnar e-postbilagan. Detta installerar skadlig kod, vilket leder till en kedja av händelser som kan sluta med stöld av känsliga data. Men i det här fallet är Defender pre Office 365 i drift.

De olika attackförsöken

På bilden:

  • Exchange Online Protection, som är en del av Pertahanan Microsoft untuk Office 365, kan identifiera nätfiskemeddelandet och använda e-postflödesregler (kallas även transportregler) för att se till att de aldrig kommer till Inkorgen.
  • Defender pre Office 365 använder säkra bifogade filer för att testa den bifogade filen och fastställa att den är skadlig, så att e-postmeddelandet som anländer antingen inte kan åtgärdas av användaren eller principer förhindrar att e-postmeddelandet kommer alls.
  • Defender för Endpoint hanterar enheter som ansluter till företagsnätverket och identifierar säkerhetsrisker för enheter och nätverk som annars kan utnyttjas.
  • Defender for Identity noterar plötsliga kontoändringar som behörighetseskalering eller lateral förflyttning med hög risk. Den rapporterar också om lättanvända identitetsproblem som obegränsad Kerberos-delegering, för korrigering av säkerhetsteamet.
  • Microsoft Defender for Cloud Apps märker avvikande beteende som omöjlig resa, åtkomst till autentiseringsuppgifter och ovanlig nedladdning, filresurs eller vidarebefordran av e-post och rapporterar dessa till säkerhetsteamet.

Microsoft 365 Defender komponenter säkra enheter, identiteter, data och program

Microsoft 365 Defender består av dessa säkerhetstekniker, som fungerar tillsammans. Du behöver inte alla dessa komponenter för att dra nytta av funktionerna i XDR och Microsoft 365 Defender. Du kommer att inse vinster och effektivitet genom att använda en eller två också.

Komponent Beskrivning Referensmaterial
Microsoft Defender for Identity Pertahanan Microsoft untuk Identitas använder Active Directory-signaler för att identifiera, identifiera och undersöka avancerade hot, komprometterade identiteter och skadliga insideråtgärder riktade mot din organisation. Vad är Microsoft Defender for Identity?
Exchange Online Protection Exchange Online Protection är den interna molnbaserade SMTP-relä- och filtreringstjänsten som skyddar din organisation mot skräppost och skadlig kod. översikt över Exchange Online Protection (EOP) – Office 365
Microsoft Defender för Office 365 Pertahanan Microsoft untuk Office 365 skyddar din organisation mot skadliga hot från e-postmeddelanden, länkar (URL:er) och samarbetsverktyg. Pertahanan Microsoft untuk Office 365 - Office 365
Microsoft Defender för Endpoint Pertahanan Microsoft untuk Titik Akhir är en enhetlig plattform för enhetsskydd, identifiering efter intrång, automatiserad undersökning och rekommenderat svar. Pertahanan Microsoft untuk Titik Akhir – Windows-säkerhet
Microsoft Defender for Cloud Apps Microsoft Defender for Cloud Apps är en omfattande lösning mellan SaaS som ger djup synlighet, starka datakontroller och förbättrat skydd mot hot i dina molnappar. Vad är Defender för Cloud Apps?
Azure AD Identity Protection Azure AD Identity Protection utvärderar riskdata från miljarder inloggningsförsök och använder dessa data för att utvärdera risken för varje inloggning i din miljö. Dessa data används av Azure AD för att tillåta eller förhindra kontoåtkomst, beroende på hur principer för villkorsstyrd åtkomst konfigureras. Azure AD Identity Protection licensieras separat från Microsoft 365 Defender. Den ingår i Azure Active Directory Premium P2. Vad är Identity Protection?

Microsoft 365 Defender arkitektur

Diagrammet nedan illustrerar övergripande arkitektur för viktiga Microsoft 365 Defender komponenter och integreringar. Detaljerad arkitektur för varje Defender-komponent och användningsfall ges i den här artikelserien.

En övergripande arkitektur i Microsoft 365 Defender-portalen

I den här illustrationen:

  • Microsoft 365 Defender kombinerar signalerna från alla Defender-komponenter för att tillhandahålla utökad identifiering och svar (XDR) mellan domäner. Detta inkluderar en enhetlig incidentkö, automatiserat svar för att stoppa attacker, självåterställning (för komprometterade enheter, användaridentiteter och postlådor), jakt över hot och hotanalys.
  • Microsoft Defender för Office 365 skyddar din organisation mot skadliga hot från e-postmeddelanden, länkar (URL: er) och samarbetsverktyg. Den delar signaler som följer av dessa aktiviteter med Microsoft 365 Defender. Exchange Online Protection (EOP) är integrerad för att ge skydd från slutpunkt till slutpunkt för inkommande e-post och bifogade filer.
  • Pertahanan Microsoft untuk Identitas samlar in signaler från servrar som kör Active Directory Federated Services (AD FS) och lokal Active Directory Domain Services (AD DS). Den använder dessa signaler för att skydda din hybrididentitetsmiljö, inklusive skydd mot hackare som använder komprometterade konton för att flytta i detalj mellan arbetsstationer i den lokala miljön.
  • Pertahanan Microsoft untuk Titik Akhir samlar in signaler från och skyddar enheter som används av din organisation.
  • Microsoft Defender for Cloud Apps samlar in signaler från organisationens användning av molnappar och skyddar data som flödar mellan din miljö och dessa appar, inklusive både sanktionerade och icke sanktionerade molnappar.
  • Azure AD Identity Protection utvärderar riskdata från miljarder inloggningsförsök och använder dessa data för att utvärdera risken för varje inloggning i din miljö. Dessa data används av Azure AD för att tillåta eller förhindra kontoåtkomst, beroende på hur principer för villkorsstyrd åtkomst konfigureras. Azure AD Identity Protection licensieras separat från Microsoft 365 Defender. Den ingår i Azure Active Directory Premium P2.

Microsoft SIEM och SOAR kan använda data från Microsoft 365 Defender

Ytterligare valfria arkitekturkomponenter som inte ingår i den här bilden:

  • Detaljerade signaldata från alla Microsoft 365 Defender komponenter kan integreras i Microsoft Sentinel och kombineras med andra loggningskällor för att erbjuda fullständiga SIEM- och SOAR-funktioner och insikter.
  • Mer information om hur du använder Microsoft Sentinel, en Azure SIEM, med Microsoft 365 Defender som en XDR finns i den här översiktsartikeln och integreringsstegen för Microsoft Sentinel och Microsoft 365 Defender.
  • Mer information om SOAR i Microsoft Sentinel (inklusive länkar till spelböcker på GitHub-lagringsplatsen för Microsoft Sentinel) finns i den här artikeln.

Utvärderingsprocessen för Microsoft 365 Defender cybersäkerhet

Microsoft rekommenderar att du aktiverar komponenterna i Microsoft 365 i den ordning som visas:

En utvärderingsprocess på hög nivå i Microsoft 365 Defender-portalen

Följande tabell beskriver den här bilden.

Serienummer Steg Beskrivning
1 Skapa utvärderingsmiljön Det här steget säkerställer att du har utvärderingslicensen för Microsoft 365 Defender.
2 Aktivera Defender för identitet Granska arkitekturkraven, aktivera utvärderingen och gå igenom självstudier för att identifiera och åtgärda olika attacktyper.
3 Aktivera Defender pre Office 365 Se till att du uppfyller arkitekturkraven, aktiverar utvärderingen och skapar sedan pilotmiljön. Den här komponenten innehåller Exchange Online Protection och därför utvärderar du båda här.
4 Aktivera Defender för Endpoint Se till att du uppfyller arkitekturkraven, aktiverar utvärderingen och skapar sedan pilotmiljön.
5 Aktivera Microsoft Defender for Cloud Apps Se till att du uppfyller arkitekturkraven, aktiverar utvärderingen och skapar sedan pilotmiljön.
6 Undersöka och svara på hot Simulera en attack och börja använda incidenthanteringsfunktioner.
7 Framhäva utvärderingsversionen till produktion Uppgradera Microsoft 365-komponenterna till produktion en i taget.

Den här ordningen rekommenderas ofta och är utformad för att utnyttja värdet av funktionerna snabbt baserat på hur mycket arbete som vanligtvis krävs för att distribuera och konfigurera funktionerna. Till exempel kan Defender pre Office 365 konfigureras på kortare tid än det tar att registrera enheter i Defender för Endpoint. Du bör naturligtvis prioritera komponenterna så att de uppfyller dina affärsbehov och aktivera dem i en annan ordning.

Gå till nästa steg

Lär dig mer om och/eller skapa Microsoft 365 Defender Utvärderingsmiljö