Implementera Microsoft Sentinel och Microsoft Defender XDR för Nolltillit
Den här lösningsguiden går igenom processen med att konfigurera XDR-verktyg (Microsoft eXtended Detection and Response) tillsammans med Microsoft Sentinel för att påskynda organisationens förmåga att svara på och åtgärda cybersäkerhetsattacker.
Microsoft Defender XDR är en XDR-lösning som automatiskt samlar in, korrelerar och analyserar signal-, hot- och aviseringsdata från hela Din Microsoft 365-miljö.
Microsoft Sentinel är en molnbaserad lösning som tillhandahåller funktioner för säkerhetsinformation och händelsehantering (SIEM) och säkerhetsorkestrering, automatisering och svar (SOAR). Tillsammans tillhandahåller Microsoft Sentinel och Microsoft Defender XDR en omfattande lösning som hjälper organisationer att försvara sig mot moderna attacker.
Den här vägledningen hjälper dig att utveckla din Nolltillit arkitektur genom att mappa principerna för Nolltillit på följande sätt.
| Nolltillit princip | Uppfylld av |
|---|---|
| Verifiera explicit | Microsoft Sentinel samlar in data från hela miljön, utför analys av hot och avvikelser och kan svara med automatisering. Microsoft Defender XDR ger utökad identifiering och svar mellan användare, identiteter, enheter, appar och e-postmeddelanden. Riskbaserade signaler som fångas upp av Microsoft Defender XDR kan användas av Microsoft Sentinel för att vidta åtgärder. |
| Använd minst privilegierad åtkomst | Microsoft Sentinel kan identifiera avvikande aktivitet via UEBA-motorn (User Entity Behavioral Analytics). Hotinformation med Microsoft Sentinel kan importera hotinformationsdata från Microsoft eller tredjepartsleverantörer för att identifiera nya, framväxande hot och ge extra kontext för undersökningar. Microsoft Defender XDR har Microsoft Entra ID Protection, som kan blockera användare baserat på risknivån med identitet. Data kan matas in i Microsoft Sentinel för ytterligare analys och automatisering. |
| Anta intrång | Microsoft Defender XDR söker kontinuerligt igenom miljön efter hot och sårbarheter. Microsoft Sentinel analyserar insamlade data, beteendetrend för entiteter för att identifiera misstänkt aktivitet, avvikelser och hot i flera steg i företaget. Microsoft Sentinel har arbetsboksvisualiseringar som kan hjälpa organisationer att förstärka miljön, till exempel Nolltillit arbetsbok. Microsoft Defender XDR och Sentinel kan implementera automatiserade reparationsuppgifter, inklusive automatiserade undersökningar, enhetsisolering och datakarantän. Enhetsrisk kan användas som en signal för att mata in i Villkorsstyrd åtkomst i Microsoft Entra. |
Microsoft Sentinel- och XDR-arkitektur
Följande bild visar hur Microsofts XDR-lösning sömlöst integreras med Microsoft Sentinel.
I det här diagrammet:
- Insikter från signaler i hela organisationen matas in i Microsoft Defender XDR och Microsoft Defender för molnet.
- Microsoft Defender XDR och Microsoft Defender för molnet skicka SIEM-loggdata via Microsoft Sentinel-anslutningsappar.
- SecOps-team kan sedan analysera och svara på hot som identifierats i Microsoft Sentinel- och Microsoft Defender-portalerna.
- Microsoft Sentinel tillhandahåller stöd för miljöer med flera moln och integreras med appar och partner från tredje part.
Implementera Microsoft Sentinel och Microsoft Defender XDR för Nolltillit
Microsoft Defender XDR är en XDR-lösning som kompletterar Microsoft Sentinel. En XDR hämtar rådata från flera tjänster som molnprogram, e-postsäkerhet, identitets- och åtkomsthantering.
Med hjälp av artificiell intelligens (AI) och maskininlärning utför XDR sedan automatisk analys, undersökning och svar i realtid. XDR-lösningen korrelerar också säkerhetsaviseringar i större incidenter, vilket ger säkerhetsteam större insyn i attacker och ger incidentprioritering, vilket hjälper analytiker att förstå hotets risknivå.
Med Microsoft Sentinel kan du ansluta till många säkerhetskällor med hjälp av inbyggda anslutningsappar och branschstandarder. Med dess AI kan du korrelera flera låg återgivningssignaler som sträcker sig över flera källor för att skapa en fullständig vy över utpressningstrojaner och prioriterade aviseringar.
Utnyttja SIEM- och XDR-funktioner
I det här avsnittet ska vi titta på ett typiskt attackscenario som involverar en nätfiskeattack och sedan fortsätta med hur vi ska svara på incidenten med Microsoft Sentinel och Microsoft Defender XDR.
Vanlig attackordning
Följande diagram visar en vanlig attackordning för ett nätfiskescenario.
Diagrammet visar även Microsofts säkerhetsprodukter på plats för att identifiera varje attacksteg och hur attacksignaler och SIEM-dataflöde till Microsoft Defender XDR och Microsoft Sentinel.
Här är en sammanfattning av attacken.
| Attacksteg | Identifieringstjänst och signalkälla | Skydd på plats |
|---|---|---|
| 1. Angriparen skickar nätfiskemeddelande | Microsoft Defender for Office 365 | Skyddar postlådor med avancerade funktioner för skydd mot nätfiske som kan skydda mot skadliga personifieringsbaserade nätfiskeattacker. |
| 2. Användaren öppnar den bifogade filen | Microsoft Defender for Office 365 | Funktionen Microsoft Defender för Office 365 Valv Attachments öppnar bifogade filer i en isolerad miljö för ytterligare genomsökning av hot (detonation). |
| 3. Bifogad fil installerar skadlig kod | Microsoft Defender för slutpunkter | Skyddar slutpunkter från skadlig kod med nästa generations skyddsfunktioner, till exempel molnbaserat skydd och beteendebaserat/heuristiskt/realtidsskydd mot antivirusprogram. |
| 4. Skadlig kod stjäl användarautentiseringsuppgifter | Microsoft Entra ID och Microsoft Entra ID Protection | Skyddar identiteter genom att övervaka användarens beteende och aktiviteter, identifiera lateral förflyttning och aviseringar om avvikande aktivitet. |
| 5. Angriparen flyttas i sidled mellan Microsoft 365-appar och data | Microsoft Defender för Cloud Apps | Kan identifiera avvikande aktivitet för användare som har åtkomst till molnappar. |
| 6. Angriparen laddar ned känsliga filer från en SharePoint-mapp | Microsoft Defender för Cloud Apps | Kan identifiera och svara på massnedladdningshändelser för filer från SharePoint. |
Incidenthantering med Microsoft Sentinel och Microsoft Defender XDR
Nu när vi har sett hur en vanlig attack sker ska vi titta på hur vi kan utnyttja integreringen av Microsoft Sentinel och Microsoft Defender XDR för incidenthantering.
Här är processen för att svara på en incident med Microsoft Defender XDR och Microsoft Sentinel:
- Sortera incidenten i Microsoft Sentinel-portalen.
- Gå över till Microsoft Defender-portalen för att starta din undersökning.
- Fortsätt vid behov undersökningen i Microsoft Sentinel-portalen.
- Lös incidenten i Microsoft Sentinel-portalen.
Följande diagram visar processen, som börjar med identifiering och sortering i Microsoft Sentinel.
Mer information finns i Svara på en incident med Hjälp av Microsoft Sentinel och Microsoft Defender XDR.
Viktiga funktioner
Om du vill implementera en nollförtroendemetod för att hantera incidenter använder du dessa Microsoft Sentinel- och XDR-funktioner.
| Funktion eller funktion | beskrivning | Produkt |
|---|---|---|
| Automatiserad undersökning och svar (AIR) | AIR-funktionerna är utformade för att undersöka aviseringar och vidta omedelbara åtgärder för att lösa överträdelser. Air-funktionerna minskar avsevärt aviseringsvolymen, vilket gör att säkerhetsåtgärder kan fokusera på mer avancerade hot och andra värdefulla initiativ. | Microsoft Defender XDR |
| Avancerad jakt | Avancerad jakt är ett frågebaserat verktyg för hotjakt där du kan utforska upp till 30 dagars rådata. Du kan proaktivt inspektera händelser i nätverket för att hitta hotindikatorer och entiteter. Den flexibla åtkomsten till data möjliggör obehindrat jakt på både kända och potentiella hot. | Microsoft Defender XDR |
| Anpassade filindikatorer | Förhindra ytterligare spridning av en attack i din organisation genom att förbjuda potentiellt skadliga filer eller misstänkt skadlig kod. | Microsoft Defender XDR |
| Molnidentifiering | Cloud Discovery analyserar trafikloggar som samlats in av Defender för Endpoint och utvärderar identifierade appar mot molnappkatalogen för att tillhandahålla efterlevnads- och säkerhetsinformation. | Microsoft Defender för Cloud Apps |
| Anpassade nätverksindikatorer | Genom att skapa indikatorer för IP-adresser och URL:er eller domäner kan du nu tillåta eller blockera IP-adresser, URL:er eller domäner baserat på din egen hotinformation. | Microsoft Defender XDR |
| Slutpunktsidentifiering och svar (Identifiering och åtgärd på slutpunkt) Blockera | Ger extra skydd mot skadliga artefakter när Microsoft Defender Antivirus (MDAV) inte är den primära antivirusprodukten och körs i passivt läge. Identifiering och åtgärd på slutpunkt i blockeringsläge fungerar i bakgrunden för att åtgärda skadliga artefakter som har identifierats av Identifiering och åtgärd på slutpunkt funktioner. | Microsoft Defender XDR |
| Funktioner för enhetssvar | Svara snabbt på identifierade attacker genom att isolera enheter eller samla in ett undersökningspaket | Microsoft Defender XDR |
| Livesvar | Live-svar ger säkerhetsåtgärdsteam omedelbar åtkomst till en enhet (kallas även för en dator) med hjälp av en fjärrgränssnittsanslutning. Detta ger dig befogenhet att utföra djupgående utredningsarbete och vidta omedelbara åtgärder för att snabbt begränsa identifierade hot i realtid. | Microsoft Defender XDR |
| Skydda molnprogram | En DevSecOps-lösning (Development Security Operations) som förenar säkerhetshantering på kodnivå i miljöer med flera moln och flera pipelines. | Microsoft Defender for Cloud |
| Förbättra din säkerhetsstatus | En CSPM-lösning (Cloud Security Posture Management) som innehåller åtgärder som du kan vidta för att förhindra överträdelser. | Microsoft Defender for Cloud |
| Skydda molnarbetsbelastningar | En molnbaserad arbetsbelastningsskyddsplattform (CWPP) med specifika skydd för servrar, containrar, lagring, databaser och andra arbetsbelastningar. | Microsoft Defender for Cloud |
| Användar- och entitetsbeteendeanalys (UEBA) | Analyserar beteendet för organisationsentiteter som användare, värdar, IP-adresser och program) | Microsoft Sentinel |
| Fusion | En korrelationsmotor baserad på skalbara maskininlärningsalgoritmer. Identifierar automatiskt flerstegsattacker som även kallas avancerade beständiga hot (APT) genom att identifiera kombinationer av avvikande beteenden och misstänkta aktiviteter som observeras i olika skeden av killkedjan. | Microsoft Sentinel |
| Hotinformation | Använd Microsofts tredjepartsleverantörer för att utöka data för att ge extra kontext kring aktiviteter, aviseringar och loggar i din miljö. | Microsoft Sentinel |
| Automation | Automationsregler är ett sätt att centralt hantera automatisering i Microsoft Sentinel genom att låta dig definiera och samordna en liten uppsättning regler som kan tillämpas i olika scenarier. | Microsoft Sentinel |
| Avvikelseregler | Mallar för avvikelseregler använder maskininlärning för att identifiera specifika typer av avvikande beteende. | Microsoft Sentinel |
| Schemalagda frågor | Inbyggda regler skrivna av Microsofts säkerhetsexperter som söker igenom loggar som samlats in av Sentinel efter misstänkta aktivitetskedjor, kända hot. | Microsoft Sentinel |
| Regler för nära realtid (NRT) | NRT-regler är en begränsad uppsättning schemalagda regler som är utformade för att köras en gång i minuten för att ge dig information så upp till minuten som möjligt. | Microsoft Sentinel |
| Jakt | För att hjälpa säkerhetsanalytiker att proaktivt leta efter nya avvikelser som inte har identifierats av dina säkerhetsappar eller ens av dina schemalagda analysregler, vägleder Microsoft Sentinels inbyggda jaktfrågor dig till att ställa rätt frågor för att hitta problem i de data som du redan har i nätverket. | Microsoft Sentinel |
| Microsoft Defender XDR-Anslut eller | Microsoft Defender XDR-Anslut eller synkroniserar loggar och incidenter med Microsoft Sentinel. | Microsoft Defender XDR och Microsoft Sentinel |
| Dataanslutningsprogram | Tillåt inmatning av data för analys i Microsoft Sentinel. | Microsoft Sentinel |
| Innehållshubblösning – Nolltillit (TIC 3.0) | Nolltillit (TIC 3.0) innehåller en arbetsbok, analysregler och en spelbok som tillhandahåller en automatiserad visualisering av Nolltillit principer, som går över till ramverket Trust Internet Anslut ions som hjälper organisationer att övervaka konfigurationer över tid. | Microsoft Sentinel |
| Säkerhetsorkestrering, automatisering och svar (SOAR) | Genom att utnyttja automatiseringsregler och spelböcker som svar på säkerhetshot ökar soc-effektiviteten och sparar tid och resurser. | Microsoft Sentinel |
Vad finns i den här lösningen
Den här lösningen vägleder dig genom implementeringen av Microsoft Sentinel och XDR så att ditt säkerhetsteam effektivt kan åtgärda incidenter med hjälp av en Nolltillit metod.
Rekommenderad träning
| Utbildning | Anslut Microsoft Defender XDR till Microsoft Sentinel |
|---|---|
|
Läs mer om konfigurationsalternativ och data som tillhandahålls av Microsoft Sentinel-anslutningsappar för Microsoft Defender XDR. |
Nästa steg
Använd de här stegen för att implementera Microsoft Sentinel och XDR för en Nolltillit metod:
- Konfigurera dina XDR-verktyg
- Skapa din Microsoft Sentinel-arbetsyta
- Mata in datakällor
- Svara på en incident
Se även dessa ytterligare artiklar för att tillämpa Nolltillit principer på Azure: