Implementera Microsoft Sentinel och Microsoft Defender XDR för Nulta pouzdanost
Den här lösningsguiden går igenom processen med att konfigurera XDR-verktyg (Microsoft Extended Detection and Response) tillsammans med Microsoft Sentinel för att påskynda organisationens förmåga att svara på och åtgärda cybersäkerhetsattacker.
Microsoft Defender XDR är en XDR-lösning som automatiskt samlar in, korrelerar och analyserar signal-, hot- och aviseringsdata från hela Din Microsoft 365-miljö.
Microsoft Sentinel är en molnbaserad lösning som tillhandahåller funktioner för säkerhetsinformation och händelsehantering (SIEM) och säkerhetsorkestrering, automatisering och svar (SOAR). Tillsammans tillhandahåller Microsoft Sentinel och Microsoft Defender XDR en omfattande lösning som hjälper organisationer att försvara sig mot moderna attacker.
Den här vägledningen hjälper dig att utveckla din Nulta pouzdanost arkitektur genom att mappa principerna för Nulta pouzdanost på följande sätt.
| Nulta pouzdanost princip | Uppfylld av |
|---|---|
| Verifiera explicit | Microsoft Sentinel samlar in data från hela miljön och analyserar hot och avvikelser så att din organisation och all automatisering som implementeras kan agera baserat på alla tillgängliga och verifierade datapunkter. Microsoft Defender XDR ger utökad identifiering och svar mellan användare, identiteter, enheter, appar och e-postmeddelanden. Konfigurera Microsoft Sentinel-automatisering för att använda riskbaserade signaler som fångas upp av Microsoft Defender XDR för att vidta åtgärder, till exempel blockera eller auktorisera trafik baserat på risknivån. |
| Använd minst privilegierad åtkomst | Microsoft Sentinel identifierar avvikande aktivitet via UEBA-motorn (User Entity Behavioral Analytics). Eftersom säkerhetsscenarier kan ändras över tid och ofta mycket snabbt importerar Microsoft Sentinels hotinformation även data från Microsoft eller tredjepartsleverantörer för att identifiera nya, framväxande hot och ge extra kontext för undersökningar. Microsoft Defender XDR har Microsoft Entra ID Protection, som kan blockera användare baserat på risknivån med identitet. Mata in relaterade data i Microsoft Sentinel för ytterligare analys och automatisering. |
| Anta intrång | Microsoft Defender XDR söker kontinuerligt igenom miljön efter hot och sårbarheter. Microsoft Sentinel analyserar insamlade data och varje entitets beteendetrender för att identifiera misstänkt aktivitet, avvikelser och hot i flera steg i företaget. Både Microsoft Defender XDR och Microsoft Sentinel kan implementera automatiserade reparationsåtgärder, inklusive automatiserade undersökningar, enhetsisolering och datakarantän. Enhetsrisk kan användas som en signal för att mata in i Villkorsstyrd åtkomst i Microsoft Entra. |
Microsoft Sentinel- och XDR-arkitektur
Microsoft Sentinel-kunder kan använda någon av följande metoder för att integrera Microsoft Sentinel med Microsoft Defender XDR-tjänster:
Använd Microsoft Sentinel-dataanslutningar för att mata in Microsoft Defender XDR-tjänstdata i Microsoft Sentinel. I det här fallet kan du visa Microsoft Sentinel-data i Azure-portalen.
Integrera Microsoft Sentinel och Microsoft Defender XDR i en enda enhetlig säkerhetsåtgärdsplattform i Microsoft Defender-portalen. I det här fallet kan du visa Microsoft Sentinel-data direkt i Microsoft Defender-portalen med resten av dina Defender-incidenter, aviseringar, sårbarheter och andra säkerhetsdata.
Den här lösningsguiden innehåller information om båda metoderna. I den här lösningsguiden väljer du fliken som är relevant för din arbetsyta. Om du har registrerat din arbetsyta på den enhetliga säkerhetsåtgärdsplattformen kan du arbeta i Defender-portalen. Om du inte har registrerat din arbetsyta kan du arbeta i Azure-portalen om inget annat anges.
Följande bild visar hur Microsofts XDR-lösning sömlöst integreras med Microsoft Sentinel med den enhetliga säkerhetsåtgärdsplattformen.
I det här diagrammet:
- Insikter från signaler i hela organisationen matas in i Microsoft Defender XDR och Microsoft Defender för molnet.
- Microsoft Sentinel tillhandahåller stöd för miljöer med flera moln och integreras med appar och partner från tredje part.
- Microsoft Sentinel-data matas in tillsammans med organisationens data i Microsoft Defender-portalen.
- SecOps-team kan sedan analysera och svara på hot som identifierats av Microsoft Sentinel och Microsoft Defender XDR i Microsoft Defender-portalen.
Implementera Microsoft Sentinel och Microsoft Defender XDR för Nulta pouzdanost
Microsoft Defender XDR är en XDR-lösning som kompletterar Microsoft Sentinel. En XDR hämtar rådata från flera tjänster som molnprogram, e-postsäkerhet, identitets- och åtkomsthantering.
Med hjälp av artificiell intelligens (AI) och maskininlärning utför XDR sedan automatisk analys, undersökning och svar i realtid. XDR-lösningen korrelerar också säkerhetsaviseringar i större incidenter, vilket ger säkerhetsteam större insyn i attacker och ger incidentprioritering, vilket hjälper analytiker att förstå hotets risknivå.
Med Microsoft Sentinel kan du ansluta till många säkerhetskällor med hjälp av inbyggda anslutningsappar och branschstandarder. Med dess AI kan du korrelera flera låg återgivningssignaler som sträcker sig över flera källor för att skapa en fullständig vy över utpressningstrojaner och prioriterade aviseringar.
Använda SIEM- och XDR-funktioner
I det här avsnittet tittar vi på ett typiskt attackscenario som involverar en nätfiskeattack och fortsätter sedan med hur vi ska reagera på incidenten med Microsoft Sentinel och Microsoft Defender XDR.
Vanlig attackordning
Följande diagram visar en vanlig attackordning för ett nätfiskescenario.
Diagrammet visar även Microsofts säkerhetsprodukter på plats för att identifiera varje attacksteg och hur attacksignaler och SIEM-dataflöde till Microsoft Defender XDR och Microsoft Sentinel.
Här är en sammanfattning av attacken.
| Attacksteg | Identifieringstjänst och signalkälla | Skydd på plats |
|---|---|---|
| 1. Angriparen skickar nätfiskemeddelande | Microsoft Defender for Office 365 | Skyddar postlådor med avancerade funktioner för skydd mot nätfiske som kan skydda mot skadliga personifieringsbaserade nätfiskeattacker. |
| 2. Användaren öppnar den bifogade filen | Microsoft Defender for Office 365 | Funktionen Microsoft Defender za Office 365 Säkra bifogade filer öppnar bifogade filer i en isolerad miljö för mer hotgenomsökning (detonation). |
| 3. Bifogad fil installerar skadlig kod | Microsoft Defender för slutpunkter | Skyddar slutpunkter från skadlig kod med nästa generations skyddsfunktioner, till exempel molnbaserat skydd och beteendebaserat/heuristiskt/realtidsskydd mot antivirusprogram. |
| 4. Skadlig kod stjäl användarautentiseringsuppgifter | Microsoft Entra ID och Microsoft Entra ID Protection | Skyddar identiteter genom att övervaka användarens beteende och aktiviteter, identifiera lateral förflyttning och aviseringar om avvikande aktivitet. |
| 5. Angriparen flyttas i sidled mellan Microsoft 365-appar och data | Microsoft Defender för Cloud Apps | Kan identifiera avvikande aktivitet för användare som har åtkomst till molnappar. |
| 6. Angriparen laddar ned känsliga filer från en SharePoint-mapp | Microsoft Defender för Cloud Apps | Kan identifiera och svara på massnedladdningshändelser för filer från SharePoint. |
Om du registrerade din Microsoft Sentinel-arbetsyta på den enhetliga säkerhetsåtgärdsplattformen är SIEM-data tillgängliga med Microsoft Sentinel direkt i Microsoft Defender-portalen.
Incidenthantering med Microsoft Sentinel och Microsoft Defender XDR
Nu när vi har sett hur en vanlig attack sker ska vi titta på hur du använder integreringen av Microsoft Sentinel och Microsoft Defender XDR för incidenthantering.
Välj relevant flik för din arbetsyta beroende på om du registrerade din arbetsyta på den enhetliga säkerhetsåtgärdsplattformen.
När du har integrerat Microsoft Sentinel och Microsoft Defender XDR genom att registrera din arbetsyta på den enhetliga säkerhetsåtgärdsplattformen slutför du alla incidenthanteringssteg direkt i Microsoft Defender-portalen, precis som för andra Microsoft Defender XDR-incidenter. De steg som stöds omfattar allt från sortering till undersökning och lösning.
Använd Microsoft Sentinel-området i Microsoft Defender-portalen för funktioner som inte är tillgängliga enbart med Defender-portalen.
Mer information finns i Svara på en incident med Hjälp av Microsoft Sentinel och Microsoft Defender XDR.
Viktiga funktioner
Om du vill implementera en nollförtroendemetod för att hantera incidenter använder du dessa Microsoft Sentinel- och XDR-funktioner.
| Funktion eller funktion | beskrivning | Produkt |
|---|---|---|
| Automatiserad undersökning och svar (AIR) | AIR-funktionerna är utformade för att undersöka aviseringar och vidta omedelbara åtgärder för att lösa överträdelser. Air-funktionerna minskar avsevärt aviseringsvolymen, vilket gör att säkerhetsåtgärder kan fokusera på mer avancerade hot och andra värdefulla initiativ. | Microsoft Defender XDR |
| Avancerad jakt | Avancerad jakt är ett frågebaserat verktyg för hotjakt där du kan utforska upp till 30 dagars rådata. Du kan proaktivt inspektera händelser i nätverket för att hitta hotindikatorer och entiteter. Den flexibla åtkomsten till data möjliggör obehindrat jakt på både kända och potentiella hot. | Microsoft Defender XDR |
| Anpassade filindikatorer | Förhindra ytterligare spridning av en attack i din organisation genom att förbjuda potentiellt skadliga filer eller misstänkt skadlig kod. | Microsoft Defender XDR |
| Molnidentifiering | Cloud Discovery analyserar trafikloggar som samlats in av Defender för Endpoint och utvärderar identifierade appar mot molnappkatalogen för att tillhandahålla efterlevnads- och säkerhetsinformation. | Microsoft Defender för Cloud Apps |
| Anpassade nätverksindikatorer | Genom att skapa indikatorer för IP-adresser och URL:er eller domäner kan du nu tillåta eller blockera IP-adresser, URL:er eller domäner baserat på din egen hotinformation. | Microsoft Defender XDR |
| Block för slutpunktsidentifiering och svar (EDR) | Ger extra skydd mot skadliga artefakter när Microsoft Defender antivirusni program (MDAV) inte är den primära antivirusprodukten och körs i passivt läge. EDR i blockläge fungerar i bakgrunden för att åtgärda skadliga artefakter som har identifierats av EDR-funktioner. | Microsoft Defender XDR |
| Funktioner för enhetssvar | Svara snabbt på identifierade attacker genom att isolera enheter eller samla in ett undersökningspaket | Microsoft Defender XDR |
| Livesvar | Live-svar ger säkerhetsåtgärdsteam omedelbar åtkomst till en enhet (kallas även för en dator) med hjälp av en fjärrgränssnittsanslutning. Detta ger dig befogenhet att utföra djupgående utredningsarbete och vidta omedelbara åtgärder för att snabbt begränsa identifierade hot i realtid. | Microsoft Defender XDR |
| Skydda molnprogram | En DevSecOps-lösning (Development Security Operations) som förenar säkerhetshantering på kodnivå i miljöer med flera moln och flera pipelines. | Microsoft Defender for Cloud |
| Förbättra din säkerhetsstatus | En CSPM-lösning (Cloud Security Posture Management) som innehåller åtgärder som du kan vidta för att förhindra överträdelser. | Microsoft Defender for Cloud |
| Skydda molnarbetsbelastningar | En molnbaserad arbetsbelastningsskyddsplattform (CWPP) med specifika skydd för servrar, containrar, lagring, databaser och andra arbetsbelastningar. | Microsoft Defender for Cloud |
| Användar- och entitetsbeteendeanalys (UEBA) | Analyserar beteendet för organisationsentiteter som användare, värdar, IP-adresser och program) | Microsoft Sentinel För registrerade arbetsytor, Microsoft Sentinel i den enhetliga säkerhetsåtgärdsplattformen |
| Fusion | En korrelationsmotor baserad på skalbara maskininlärningsalgoritmer. Identifierar automatiskt flerstegsattacker som även kallas avancerade beständiga hot (APT) genom att identifiera kombinationer av avvikande beteenden och misstänkta aktiviteter som observeras i olika skeden av killkedjan. | Microsoft Sentinel För registrerade arbetsytor, Microsoft Sentinel i den enhetliga säkerhetsåtgärdsplattformen |
| Hotinformation | Använd Microsofts tredjepartsleverantörer för att utöka data för att ge extra kontext kring aktiviteter, aviseringar och loggar i din miljö. | Microsoft Sentinel För registrerade arbetsytor, Microsoft Sentinel i den enhetliga säkerhetsåtgärdsplattformen |
| Automation | Automationsregler är ett sätt att centralt hantera automatisering med Microsoft Sentinel genom att låta dig definiera och samordna en liten uppsättning regler som kan tillämpas i olika scenarier. | Microsoft Sentinel För registrerade arbetsytor, Microsoft Sentinel i den enhetliga säkerhetsåtgärdsplattformen |
| Avvikelseregler | Mallar för avvikelseregler använder maskininlärning för att identifiera specifika typer av avvikande beteende. | Microsoft Sentinel För registrerade arbetsytor, Microsoft Sentinel i den enhetliga säkerhetsåtgärdsplattformen |
| Schemalagda frågor | Inbyggda regler skrivna av Microsofts säkerhetsexperter som söker igenom loggar som samlats in av Sentinel efter misstänkta aktivitetskedjor, kända hot. | Microsoft Sentinel För registrerade arbetsytor, Microsoft Sentinel i den enhetliga säkerhetsåtgärdsplattformen |
| Regler för nära realtid (NRT) | NRT-regler är en begränsad uppsättning schemalagda regler som är utformade för att köras en gång i minuten för att ge dig information så upp till minuten som möjligt. | Microsoft Sentinel För registrerade arbetsytor, Microsoft Sentinel i den enhetliga säkerhetsåtgärdsplattformen |
| Jakt | För att hjälpa säkerhetsanalytiker att proaktivt leta efter nya avvikelser som inte har identifierats av dina säkerhetsappar eller ens av dina schemalagda analysregler, vägleder Microsoft Sentinels inbyggda jaktfrågor dig till att ställa rätt frågor för att hitta problem i de data som du redan har i nätverket. | Microsoft Sentinel För registrerade arbetsytor använder du Microsoft Defender-portalens avancerade jaktfunktioner. |
| Microsoft Defender XDR Connector | Microsoft Defender XDR-anslutningsappen synkroniserar loggar och incidenter till Microsoft Sentinel. | Microsoft Defender XDR och Microsoft Sentinel br> För registrerade arbetsytor, Microsoft Sentinel i den enhetliga säkerhetsåtgärdsplattformen |
| Dataanslutningsprogram | Tillåt inmatning av data för analys i Microsoft Sentinel. | Microsoft Sentinel För registrerade arbetsytor, Microsoft Sentinel i den enhetliga säkerhetsåtgärdsplattformen |
| Innehållshubblösning – Nulta pouzdanost (TIC 3.0) | Nulta pouzdanost (TIC 3.0) innehåller en arbetsbok, analysregler och en spelbok som tillhandahåller en automatiserad visualisering av Nulta pouzdanost principer, som går över till ramverket För betrodda Internetanslutningar, vilket hjälper organisationer att övervaka konfigurationer över tid. | Microsoft Sentinel För registrerade arbetsytor, Microsoft Sentinel i den enhetliga säkerhetsåtgärdsplattformen |
| Säkerhetsorkestrering, automatisering och svar (SOAR) | Användning av automatiseringsregler och spelböcker som svar på säkerhetshot ökar soc-effektiviteten och sparar tid och resurser. | Microsoft Sentinel För registrerade arbetsytor, Microsoft Sentinel i den enhetliga säkerhetsåtgärdsplattformen |
| SOC-optimeringar | Stäng luckor i täckningen mot specifika hot och öka inmatningsgraden mot data som inte ger säkerhetsvärde. |
Vad finns i den här lösningen
Den här lösningen vägleder dig genom implementeringen av Microsoft Sentinel och XDR så att ditt säkerhetsteam effektivt kan åtgärda incidenter med hjälp av en Nulta pouzdanost metod.
Rekommenderad träning
Träningsinnehållet täcker för närvarande inte plattformen för enhetliga säkerhetsåtgärder.
| Utbildning | Ansluta Microsoft Defender XDR till Microsoft Sentinel |
|---|---|
|
Läs mer om konfigurationsalternativ och data som tillhandahålls av Microsoft Sentinel-anslutningsappar för Microsoft Defender XDR. |
Nästa steg
Använd de här stegen för att implementera Microsoft Sentinel och XDR för en Nulta pouzdanost metod:
- Konfigurera dina XDR-verktyg
- Skapa din Microsoft Sentinel-arbetsyta
- Mata in datakällor
- Svara på en incident
Se även de här artiklarna för att tillämpa Nulta pouzdanost principer på Azure: