Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver hur du planerar distributionen för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. Förena säkerhetsåtgärder som hjälper dig att minska risken, förhindra attacker, upptäcka och störa cyberhot i realtid och svara snabbare med AI-förbättrade säkerhetsfunktioner, allt från Microsoft Defender-portalen.
Planera distributionen
Defender-portalen kombinerar tjänster som Microsoft Defender XDR, Microsoft Sentinel, Microsoft Security Exposure Management och Microsoft Security Copilot för enhetlig säkerhet Verksamhet.
Det första steget i planeringen av distributionen är att välja de tjänster som du vill använda.
Som en grundläggande förutsättning behöver du både Microsoft Defender XDR och Microsoft Sentinel för att övervaka och skydda tjänster och lösningar från både Microsoft och andra leverantörer, inklusive både molnresurser och lokala resurser.
Distribuera någon av följande tjänster för att lägga till säkerhet över dina slutpunkter, identiteter, e-post och program för att ge integrerat skydd mot avancerade attacker.
Microsoft Defender XDR tjänster omfattar:
| Tjänst | Beskrivning |
|---|---|
| Microsoft Defender för Office 365 | Skyddar mot hot från e-postmeddelanden, URL-länkar och Office 365 samarbetsverktyg. |
| Microsoft Defender for Identity | Identifierar, identifierar och undersöker hot från både lokal Active Directory och molnidentiteter som Microsoft Entra ID. |
| Microsoft Defender för Endpoint | Övervakar och skyddar slutpunktsenheter, identifierar och undersöker enhetsöverträdelser och svarar automatiskt på säkerhetshot. |
| Microsoft Defender för IoT | Tillhandahåller både IoT-enhetsidentifiering och säkerhetsvärde för IoT-enheter. |
| Hantering av hot och säkerhetsrisker för Microsoft Defender | Identifierar tillgångar och programvaruinventering och utvärderar enhetens status för att hitta säkerhetsrisker. |
| Microsoft Defender for Cloud Apps | Skyddar och styr åtkomsten till SaaS-molnappar. |
Andra tjänster som stöds i Microsoft Defender-portalen, men som inte är licensierade med Microsoft Defender XDR, är:
| Tjänst | Beskrivning |
|---|---|
| Microsoft Security Exposure Management | Ger en enhetlig vy över säkerhetsstatus för företagets tillgångar och arbetsbelastningar, vilket berikar tillgångsinformationen med säkerhetskontext. |
| Microsoft Security Copilot | Ger AI-drivna insikter och rekommendationer för att förbättra dina säkerhetsåtgärder. |
| Microsoft Defender for Molnet | Skyddar miljöer med flera moln och hybridmiljöer med avancerad hotidentifiering och svar. |
| Microsoft Defender Hotinformation | Effektiviserar arbetsflöden för hotinformation genom att aggregera och utöka kritiska datakällor för att korrelera indikatorer för kompromettering (IOP) med relaterade artiklar, aktörsprofiler och sårbarheter. |
| Microsoft Entra ID Protection | Utvärderar riskdata från inloggningsförsök för att utvärdera risken för varje inloggning i din miljö. |
| Hantering av interna risker i Microsoft Purview | Korrelerar olika signaler för att identifiera potentiella skadliga eller oavsiktliga insiderrisker, till exempel IP-stöld, dataläckage och säkerhetsöverträdelser. |
Granska tjänstkrav
Innan du distribuerar Microsoft Defender tjänster för enhetliga säkerhetsåtgärder bör du granska förutsättningarna för varje tjänst som du planerar att använda. I följande tabell visas tjänster och länkar för mer information:
| Säkerhetstjänst | Förhandskrav |
|---|---|
| Krävs för enhetliga säkerhetsåtgärder | |
| Microsoft Defender XDR | Microsoft Defender XDR förutsättningar |
| Microsoft Sentinel | Förutsättningar för att distribuera Microsoft Sentinel |
| Valfria Microsoft Defender XDR-tjänster | |
| Microsoft Defender för Office | Microsoft Defender XDR förutsättningar |
| Microsoft Defender for Identity | Microsoft Defender for Identity krav |
| Microsoft Defender för Endpoint | Konfigurera Microsoft Defender för Endpoint distribution |
| Företagsövervakning med Microsoft Defender för IoT | Krav för Defender för IoT i Defender-portalen |
| Hantering av hot och säkerhetsrisker för Microsoft Defender | Krav & behörigheter för Microsoft Defender – hantering av säkerhetsrisker |
| Microsoft Defender for Cloud Apps | Kom igång med Microsoft Defender for Cloud Apps |
| Andra tjänster som stöds i Microsoft Defender-portalen | |
| Microsoft Security Exposure Management | Krav och support |
| Microsoft Security Copilot | Minimikrav |
| Microsoft Defender for Molnet | Börja planera skydd för flera moln och andra artiklar i samma avsnitt. |
| Microsoft Defender Hotinformation | Krav för Defender Threat Intelligence |
| Microsoft Entra ID Protection | Förutsättningar för Microsoft Entra ID Protection |
| Hantering av interna risker i Microsoft Purview | Komma igång med hantering av Insider-riskhantering |
Granska datasäkerhets- och sekretesspraxis
Innan du distribuerar Microsoft Defender tjänster för enhetliga säkerhetsåtgärder bör du se till att du förstår datasäkerhets- och sekretesspraxis för varje tjänst som du planerar att använda. I följande tabell visas tjänster och länkar för mer information. Observera att flera tjänster använder datasäkerhets- och kvarhållningsmetoderna för Microsoft Defender XDR i stället för att ha egna separata metoder.
Planera din Log Analytics-arbetsytearkitektur
Om du vill publicera Microsoft Sentinel till Defender-portalen behöver du först ha en Log Analytics-arbetsyta aktiverad för Microsoft Sentinel. En enda Log Analytics-arbetsyta kan vara tillräcklig för många miljöer, men många organisationer skapar flera arbetsytor för att optimera kostnaderna och bättre uppfylla olika affärskrav.
Utforma den Log Analytics-arbetsyta som du vill aktivera för Microsoft Sentinel. Överväg parametrar som eventuella efterlevnadskrav som du har för datainsamling och lagring och hur du styr åtkomsten till Microsoft Sentinel data.
Mer information finns i:
Planera Microsoft Sentinel kostnader och datakällor
Defender-portalen kan mata in data från Microsoft-tjänster från första part, till exempel Microsoft Defender for Cloud Apps och Microsoft Defender för molnet. Vi rekommenderar att du utökar täckningen till andra datakällor i din miljö genom att lägga till Microsoft Sentinel dataanslutningar.
Fastställa dina datakällor
Fastställ den fullständiga uppsättningen datakällor som du ska mata in data från och kraven på datastorlek för att hjälpa dig att korrekt projicera distributionens budget och tidslinje. Du kan fastställa den här informationen under granskningen av affärsanvändningsfall eller genom att utvärdera en aktuell SIEM som du redan har på plats. Om du redan har en SIEM på plats analyserar du dina data för att förstå vilka datakällor som ger mest värde och bör matas in i Microsoft Sentinel.
Du kanske till exempel vill använda någon av följande rekommenderade datakällor:
Azure-tjänster: Om någon av följande tjänster distribueras i Azure använder du följande anslutningsappar för att skicka de här resursernas diagnostikloggar till Microsoft Sentinel:
- Azure Firewall
- Azure Application Gateway
- Nyckelvalv
- Azure Kubernetes Service
- Azure SQL
- Nätverkssäkerhetsgrupper
- Azure-Arc-servrar
Vi rekommenderar att du konfigurerar Azure Policy för att kräva att loggarna vidarebefordras till den underliggande Log Analytics-arbetsytan. Mer information finns i Skapa diagnostikinställningar i stor skala med hjälp av Azure Policy.
Virtuella datorer: För virtuella datorer som finns lokalt eller i andra moln som kräver att loggarna samlas in använder du följande dataanslutningar:
- Windows-säkerhet händelser med AMA
- Händelser via Defender för Endpoint (för server)
- Syslog
Virtuella nätverksinstallationer/lokala källor: Använd följande dataanslutningar för virtuella nätverksinstallationer eller andra lokala källor som genererar Common Event Format (CEF) eller SYSLOG-loggar:
- Syslog via AMA
- Common Event Format (CEF) via AMA
Mer information finns i Prioritera dataanslutningar.
Planera din budget
Planera din Microsoft Sentinel budget med tanke på kostnadskonsekvenserna för varje planerat scenario. Se till att din budget täcker kostnaden för datainmatning för både Microsoft Sentinel och Azure Log Analytics, eventuella spelböcker som kommer att distribueras och så vidare. Mer information finns i:
- Loggkvarhållningsplaner i Microsoft Sentinel
- Planera kostnader och förstå Microsoft Sentinel prissättning och fakturering
Förstå Microsofts säkerhetsportaler och administrationscenter
Även om den Microsoft Defender portalen är startpunkt för övervakning och hantering av säkerhet i dina identiteter, data, enheter och appar, måste du komma åt olika portaler för vissa specialiserade uppgifter.
Microsofts säkerhetsportaler omfattar:
| Portalnamn | Beskrivning | Länk |
|---|---|---|
| Portalen för Microsoft Defender | Övervaka och svara på hotaktivitet och stärka säkerhetsstatusen för dina identiteter, e-post, data, slutpunkter och appar med Microsoft Defender XDR |
security.microsoft.com I Microsoft Defender portalen kan du visa och hantera aviseringar, incidenter, inställningar med mera. |
| Defender for Cloud-portalen | Använd Microsoft Defender för molnet för att stärka säkerhetsstatusen för dina datacenter och dina hybridarbetsbelastningar i molnet | portal.azure.com/#blade/Microsoft_Azure_Security |
| Microsoft Säkerhetsinsikter portalen | Hämta säkerhetsinformationsuppdateringar för Microsoft Defender för Endpoint, skicka exempel och utforska hotens uppslagsverk | microsoft.com/wdsi |
I följande tabell beskrivs portaler för andra arbetsbelastningar som kan påverka din säkerhet. Gå till dessa portaler för att hantera identiteter, behörigheter, enhetsinställningar och principer för datahantering.
| Portalnamn | Beskrivning | Länk |
|---|---|---|
| Microsoft Entra administrationscenter | Få åtkomst till och administrera Microsoft Entra familj för att skydda ditt företag med decentraliserad identitet, identitetsskydd, styrning med mera i en miljö med flera moln | entra.microsoft.com |
| Azure Portal | Visa och hantera alla dina Azure-resurser | portal.azure.com |
| Microsoft Purview-portalen | Hantera principer för datahantering och se till att reglerna efterlevs | purview.microsoft.com |
| Administrationscentret för Microsoft 365 | Konfigurera Microsoft 365-tjänster; hantera roller, licenser och spåra uppdateringar av dina Microsoft 365-tjänster | admin.microsoft.com |
| Microsoft Intune administrationscenter | Använd Microsoft Intune för att hantera och skydda enheter. Kan också kombinera Intune och Configuration Manager funktioner. | intune.microsoft.com |
| Microsoft Intune portalen | Använd Microsoft Intune för att distribuera enhetsprinciper och övervaka enheter för efterlevnad | intune.microsoft.com |
Planera roller och behörigheter
Microsoft Defender-portalen förenar följande RBAC-modeller (rollbaserad åtkomstkontroll) för enhetliga säkerhetsåtgärder:
- Microsoft Entra ID RBAC, som används för att delegera åtkomst till Defender-åtkomst, till exempel enhetsgrupper
- Azure RBAC, som används av Microsoft Sentinel för att delegera behörigheter
- Defender Unified RBAC, som används för att delegera behörigheter mellan Defender-lösningar
Även om behörigheter som beviljas via Azure RBAC för Microsoft Sentinel federeras under körning med Defender enhetliga RBAC hanteras Azure RBAC och Defender RBAC fortfarande separat.
Defenders enhetliga RBAC krävs inte för att registrera din arbetsyta på Defender-portalen, och Microsoft Sentinel behörigheter fortsätter att fungera som förväntat i Defender-portalen även utan enhetlig RBAC. Att använda enhetlig RBAC förenklar dock delegeringen av behörigheter mellan Defender-lösningar. Mer information finns i Aktivera Microsoft Defender XDR enhetlig rollbaserad åtkomstkontroll (RBAC).
Den minsta behörighet som krävs för att en analytiker ska kunna visa Microsoft Sentinel data är att delegera behörigheter för rollen Azure RBAC Sentinel Reader. Dessa behörigheter tillämpas också på den enhetliga portalen. Utan dessa behörigheter är Microsoft Sentinel navigeringsmenyn inte tillgänglig på den enhetliga portalen, trots att analytikern har åtkomst till Microsoft Defender-portalen.
Bästa praxis är att ha alla Microsoft Sentinel relaterade resurser i samma Azure-resursgrupp och sedan delegera Microsoft Sentinel rollbehörigheter (till exempel rollen Sentinel Läsare) på resursgruppsnivå som innehåller Microsoft Sentinel-arbetsytan. Detta gör att rolltilldelningen gäller för alla resurser som stöder Microsoft Sentinel.
För följande tjänster använder du de olika roller som är tillgängliga eller skapar anpassade roller för att ge dig detaljerad kontroll över vad användarna kan se och göra. Mer information finns i:
Mer information finns i:
- Planera roller och behörigheter för Microsoft Sentinel
- Inbyggda Azure-roller
- Microsoft Sentinel roller
- Förhandskrav för registrering
- Hantera enhetlig RBAC i Microsoft Defender (videodemo)
Planera Nolltillit aktiviteter
Enhetliga säkerhetsåtgärder i Defender-portalen är en del av Microsofts Nolltillit säkerhetsmodell, som innehåller följande principer:
| Säkerhetsprincip | Beskrivning |
|---|---|
| Verifiera explicit | Autentisera och auktorisera alltid baserat på alla tillgängliga datapunkter. |
| Använd åtkomst med lägsta behörighet | Begränsa användaråtkomst med just-in-time och just-enough-access (JIT/JEA), riskbaserade anpassningsbara principer och dataskydd. |
| Anta intrång | Minimera explosionsradie och segmentåtkomst. Verifiera end-to-end-kryptering och använd analys för att få synlighet, öka hotidentifieringen och förbättra skyddet. |
Nolltillit säkerhet är utformad för att skydda moderna digitala miljöer genom att utnyttja nätverkssegmentering, förhindra lateral förflyttning, ge minst privilegierad åtkomst och använda avancerad analys för att identifiera och svara på hot.
Mer information om hur du implementerar Nolltillit principer i Defender-portalen finns i Nolltillit innehåll för följande tjänster:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender for Identity
- Microsoft Defender för Office 365
- Microsoft Defender för Endpoint
- Microsoft Defender for Cloud Apps
- Microsoft Security Exposure Management
- Microsoft Defender for Molnet
- Microsoft Security Copilot
- Microsoft Entra ID Protection
- Microsoft Purview
Mer information finns i vägledningscentret för Nolltillit.