实现 Microsoft Sentinel 和 Microsoft Defender XDR 以实现零信任
此解决方案指南逐步讲解如何设置 Microsoft 扩展检测和响应 (XDR) 工具以及 Microsoft Sentinel,以加快组织响应和修正网络安全攻击的能力。
Microsoft Defender XDR 是一种 XDR 解决方案,可自动从 Microsoft 365 环境中收集、关联和分析信号、威胁和警报数据。
Microsoft Sentinel 是云原生解决方案,它提供安全信息与事件管理 (SIEM) 以及安全业务流程、自动化和响应 (SOAR) 功能。 Microsoft Sentinel 和 Microsoft Defender XDR 共同提供了一个帮助组织抵御新式攻击的综合解决方案。
本指南通过以下方式映射零信任原则,进而帮助你完善零信任体系结构。
| 零信任原则 | 满足者 |
|---|---|
| 显式验证 | Microsoft Sentinel 从环境中收集数据,对威胁和异常进行分析,并可以使用自动化做出响应。 Microsoft Defender XDR 提供跨用户、标识、设备、应用和电子邮件的扩展的检测和响应。 Microsoft Sentinel 可利用 Microsoft Defender XDR 捕获的基于风险的信号来采取措施。 |
| 使用最低权限访问 | Microsoft Sentinel 可以通过其用户实体行为分析 (UEBA) 引擎检测异常活动。 使用 Microsoft Sentinel 的威胁情报可以从 Microsoft 或第三方提供商导入威胁情报数据,以检测新出现的威胁,并为调查提供额外的上下文。 Microsoft Defender XDR 具有 Microsoft Entra ID Protection,可通过标识根据风险级别阻止用户。 可以将数据馈送到 Microsoft Sentinel 中,以便进一步分析和自动化。 |
| 假定数据泄露 | Microsoft Defender XDR 持续扫描环境是否存在威胁和漏洞。 Microsoft Sentinel 分析收集的数据、实体的行为趋势,以检测可疑活动、异常和跨企业的多阶段威胁。 Microsoft Sentinel 具有工作簿可视化效果,可帮助组织强化环境,例如零信任工作簿。 Microsoft Defender XDR 和 Sentinel 可实现自动修正任务,包括自动调查、设备隔离和数据隔离。 设备风险可用作向 Microsoft Entra 条件访问馈送的信号。 |
Microsoft Sentinel 和 XDR 体系结构
下图显示了 Microsoft XDR 解决方案如何与 Microsoft Sentinel 无缝集成。
在此图中:
- 来自整个组织信号的见解会馈送到 Microsoft Defender XDR 和 Microsoft Defender for Cloud。
- Microsoft Defender XDR 和 Microsoft Defender for Cloud 通过 Microsoft Sentinel 连接器发送 SIEM 日志数据。
- 然后,SecOps 团队可以分析和响应 Microsoft Sentinel 和 Microsoft Defender 门户中识别的威胁。
- Microsoft Sentinel 可为多云环境提供支持,并与第三方应用和合作伙伴集成。
实现 Microsoft Sentinel 和 Microsoft Defender XDR 以实现零信任
Microsoft Defender XDR 是作为 Microsoft Sentinel 的补充的 XDR 解决方案。 XDR 从多个服务(如云应用程序、电子邮件安全、身份和访问管理)提取原始遥测数据。
然后,XDR 使用人工智能 (AI) 和机器学习,然后实时执行自动分析、调查和响应。 XDR 解决方案还将安全警报关联到更大的事件中,使安全团队能够更深入地了解攻击,并提供事件优先级,帮助分析员了解威胁的风险级别。
借助 Microsoft Sentinel,可以使用内置连接器和行业标准连接到许多安全源。 借助其 AI,可以关联跨多个源的多个低保真信号,以创建勒索软件终止链和优先警报的完整视图。
利用 SIEM 和 XDR 功能
在本部分中,我们将探讨涉及网络钓鱼攻击的典型攻击方案,然后了解如何使用 Microsoft Sentinel 和 Microsoft Defender XDR 作出事件响应。
常见攻击顺序
下图显示了网络钓鱼场景的常见攻击顺序。
此图还显示了准备就绪的 Microsoft 安全产品,这些产品可检测每个攻击步骤以及攻击信号和 SIEM 数据流向 Microsoft Defender XDR 和 Microsoft Sentinel 的方式。
以下是攻击的汇总:
| 攻击步骤 | 检测服务和信号源 | 防御措施就位 |
|---|---|---|
| 1. 攻击者发送网络钓鱼电子邮件 | Microsoft Defender for Office 365 | 使用高级防钓鱼功能保护邮箱,这些功能可以防范基于恶意模拟的网络钓鱼攻击。 |
| 2. 用户打开附件 | Microsoft Defender for Office 365 | Microsoft Defender for Office 365 安全附件功能在隔离的环境中打开附件,以便进一步扫描威胁(引爆)。 |
| 3. 附件安装恶意软件 | 用于终结点的 Microsoft Defender | 使用下一代保护功能(例如云交付保护和基于行为的/启发式/实时防病毒保护),保护端点免受恶意软件的攻击。 |
| 4. 恶意软件窃取用户凭据 | Microsoft Entra ID 和 Microsoft Entra ID 保护 | 监视用户行为和活动、检测横向移动以及针对异常活动发出警报,进而保护标识。 |
| 5. 攻击者在 Microsoft 365 应用版和数据之间横向移动 | Microsoft Defender for Cloud Apps | 可以检测用户访问云应用的异常活动。 |
| 6. 攻击者从 SharePoint 文件夹中下载敏感文件 | Microsoft Defender for Cloud Apps | 可以检测和响应 SharePoint 中文件的批量下载事件。 |
使用 Microsoft Sentinel 和 Microsoft Defender XDR 进行事件响应
现在我们已了解常见攻击的发生方式,现在来了解如何利用 Microsoft Sentinel 和 Microsoft Defender XDR 的集成来响应事件。
下面是使用 Microsoft Defender XDR 和 Microsoft Sentinel 作出事件响应的过程:
- 在 Microsoft Sentinel 门户中会审事件。
- 转到 Microsoft Defender 门户开始调查。
- 如果需要,可继续在 Microsoft Sentinel 门户中进行调查。
- 在 Microsoft Sentinel 门户中解决事件。
下图显示了从 Microsoft Sentinel 中的发现和会审开始的流程。
有关详细信息,请参阅使用 Microsoft Sentinel 和 Microsoft Defender XDR 作出事件响应。
关键功能
若要在管理事件时实现零信任方法,请使用这些 Microsoft Sentinel 和 XDR 功能。
| 功能或特性 | 说明 | 产品 |
|---|---|---|
| 自动调查和响应 (AIR) | AIR 功能旨在检查警报并立即采取措施来解决违规问题。 AIR 功能将极大地减少警报量,使安全操作能够专注于更复杂的威胁和其他高价值计划。 | Microsoft Defender XDR |
| 高级追寻 | 高级搜寻是一种基于查询的威胁搜寻工具,可用于浏览最长 30 天内的原始数据。 你可以主动检查网络上的事件来查找威胁指标和实体。 通过灵活地访问数据,可以无限制地搜寻已知和潜在的威胁。 | Microsoft Defender XDR |
| 自定义文件指示器 | 通过禁止潜在的恶意文件或可疑恶意软件,阻止攻击在贵组织中的进一步传播。 | Microsoft Defender XDR |
| Cloud Discovery | Cloud Discovery 分析 Defender for Endpoint 收集的流量日志,并针对云应用目录评估已识别的应用,进而提供合规性和安全信息。 | Microsoft Defender for Cloud Apps |
| 自定义网络指示器 | 通过为 IP、URL 或域创建指示器,现在可根据自己的威胁情报允许或阻止 IP、URL 或域。 | Microsoft Defender XDR |
| 终结点检测和响应 (EDR) 阻止 | 当 Microsoft Defender 防病毒 (MDAV) 不是主要防病毒软件产品且以被动模式运行时,提供对恶意项目的额外保护。 阻止模式下的 EDR 可在后台工作,以修正入侵后检测到的恶意项目。 | Microsoft Defender XDR |
| 设备响应功能 | 通过隔离设备或收集调查包快速响应检测到的攻击 | Microsoft Defender XDR |
| 实时响应 | 实时响应使安全运营团队可以使用远程 shell 连接即时访问设备(也称为计算机)。 这使你能够执行深入的调查工作并立即采取响应操作,以及时地实时控制已识别的威胁。 | Microsoft Defender XDR |
| 安全云应用程序 | 一种开发安全运营 (DevSecOps) 解决方案,可跨多云和多管道环境统一代码级别的安全管理。 | Microsoft Defender for Cloud |
| 改善安全状况 | 一种云安全态势管理 (CSPM) 解决方案,能够展示可采取的用于防止违规的措施。 | Microsoft Defender for Cloud |
| 保护云工作负载 | 一种云工作负载保护平台 (CWPP),可为服务器、容器、存储、数据库和其他工作负载提供特定保护。 | Microsoft Defender for Cloud |
| 用户和实体行为分析 (UEBA) | 分析组织实体的行为,例如用户、主机、IP 地址和应用程序 | Microsoft Sentinel |
| 融合物 | 基于可缩放的机器学习算法的关联引擎。 自动检测多阶段攻击也称为高级持续性威胁 (APT),可标识在终止链的不同阶段观察到的异常行为和可疑活动的组合。 | Microsoft Sentinel |
| 威胁情报 | 使用 Microsoft 第三方提供程序扩充数据,以提供有关环境中活动、警报和日志的额外上下文。 | Microsoft Sentinel |
| 自动化 | 自动化规则是一种在 Microsoft Sentinel 中集中管理自动化的方法,它允许你定义并协调一小组可应用于不同场景的规则。 | Microsoft Sentinel |
| 异常规则 | 异常规则模板使用机器学习来检测特定类型的异常行为。 | Microsoft Sentinel |
| 计划的查询 | 由 Microsoft 安全专家编写的内置规则,这些规则通过 Sentinel 收集的日志搜索可疑活动链(已知威胁)。 | Microsoft Sentinel |
| 准实时 (NRT) 规则 | NRT 规则是一组有限的计划规则,设计为每分钟运行一次,以便尽可能为你提供最新信息。 | Microsoft Sentinel |
| 搜寻 | 为了帮助安全分析师主动找出未由安全应用甚至计划分析规则检测到的新异常,Microsoft Sentinel 的内置搜寻式查询可引导你提出正确的问题,以便在你的网络上已有的数据中发现问题。 | Microsoft Sentinel |
| Microsoft Defender XDR 连接器 | Microsoft Defender XDR 连接器将日志和事件同步到 Microsoft Sentinel。 | Microsoft Defender XDR 和 Microsoft Sentinel |
| 数据连接器 | 允许引入数据,以在 Microsoft Sentinel 中进行分析。 | Microsoft Sentinel |
| 内容中心解决方案 - 零信任 (TIC 3.0) | 零信任 (TIC 3.0) 包括一个工作簿、分析规则和一个 playbook,它们提供零信任原则的自动可视化效果,可交叉访问信任 Internet 连接框架,帮助组织持续监视配置。 | Microsoft Sentinel |
| 安全业务流程、自动化和响应 (SOAR) | 利用自动化规则和剧本来应对安全威胁可增加 SOC 的有效性,同时还可节省时间和资源。 | Microsoft Sentinel |
解决方案所含内容
此解决方案将逐步引导你完成 Microsoft Sentinel 和 XDR 的实现,以便安全运营团队可以使用零信任方法有效地修正事件。
建议训练
| 培训 | 将 Microsoft Defender XDR 连接到 Microsoft Sentinel |
|---|---|
|
了解用于 Microsoft Defender XDR 的 Microsoft Sentinel 连接器提供的配置选项和数据。 |
后续步骤
使用以下步骤为零信任方法实现 Microsoft Sentinel 和 XDR:
另外,请参阅以下有关将零信任原则应用于 Azure 的其他文章: