实现 Microsoft Sentinel 和 Microsoft Defender XDR 以实现零信任
此解决方案指南将逐步讲解如何设置 Microsoft 扩展检测和响应 (XDR) 工具以及 Microsoft Sentinel,以提高组织应对和修正网络安全攻击的能力。
Microsoft Defender XDR 是一种 XDR 解决方案,可自动从 Microsoft 365 环境中收集、关联和分析信号、威胁和警报数据。
Microsoft Sentinel 是云原生解决方案,它提供安全信息与事件管理 (SIEM) 以及安全业务流程、自动化和响应 (SOAR) 功能。 Microsoft Sentinel 和 Microsoft Defender XDR 共同提供了一个帮助组织抵御新式攻击的综合解决方案。
本指南通过以下方式映射零信任原则,进而帮助你完善零信任体系结构。
| 零信任原则 | 满足者 |
|---|---|
| 显式验证 | Microsoft Sentinel 从整个环境中收集数据,并分析威胁和异常,这样组织以及实现的任何自动化都可以基于所有可用和已验证的数据点进行操作。 Microsoft Defender XDR 提供跨用户、标识、设备、应用和电子邮件的扩展的检测和响应。 请将 Microsoft Sentinel 自动化配置为使用 Microsoft Defender XDR 捕获的基于风险的信号采取措施,例如根据风险级别阻止或授权流量。 |
| 使用最低权限访问 | Microsoft Sentinel 通过其用户实体行为分析 (UEBA) 引擎来检测异常活动。 由于安全场景可能会随时间而变化,而且往往变化非常快,因此 Microsoft Sentinel 的威胁情报还会导入 Microsoft 或第三方提供商提供的数据,以检测新出现的威胁,并为调查提供额外的背景。 Microsoft Defender XDR 具有 Microsoft Entra ID Protection,可通过标识根据风险级别阻止用户。 请将所有相关数据馈送到 Microsoft Sentinel 中,以便实现进一步分析和自动化。 |
| 假定数据泄露 | Microsoft Defender XDR 持续扫描环境是否存在威胁和漏洞。 Microsoft Sentinel 分析收集的数据和每个实体的行为趋势,以检测整个企业中的可疑活动、异常和多阶段威胁。 Microsoft Defender XDR 和 Microsoft Sentinel 都可以实现自动化修正任务,包括自动调查、设备隔离和数据隔离。 设备风险可用作向 Microsoft Entra 条件访问馈送的信号。 |
Microsoft Sentinel 和 XDR 体系结构
Microsoft Sentinel 客户可以使用以下方法之一将Microsoft Sentinel 与 Microsoft Defender XDR 服务集成:
使用 Microsoft Sentinel 数据连接器将 Microsoft Defender XDR 服务数据引入 Microsoft Sentinel。 在这种情况下,请在 Azure 门户中查看 Microsoft Sentinel 数据。
将 Microsoft Sentinel 和 Microsoft Defender XDR 集成到 Microsoft Defender 门户中的单个统一安全运营平台中。 在这种情况下,请直接在 Microsoft Defender 门户中查看 Microsoft Sentinel 数据,以及 Defender 事件、警报、漏洞和其他安全数据。
本解决方案指南提供了有关这两种方法的信息。 在按照本解决方案指南操作的过程中,选择与你的工作区相关的选项卡。 如果已将该工作区加入到统一安全运营平台,请在 Defender 门户中进行操作。 如果尚未将工作区加入,除非另有说明,否则请在 Azure 门户中进行操作。
下图显示了如何通过统一安全运营平台将 Microsoft 的 XDR 解决方案与 Microsoft Sentinel 无缝集成。
在此图中:
- 来自整个组织信号的见解会馈送到 Microsoft Defender XDR 和 Microsoft Defender for Cloud。
- Microsoft Sentinel 为多云环境提供支持,并与第三方应用和合作伙伴集成。
- Microsoft Sentinel 数据与组织的数据一起引入到 Microsoft Defender 门户中。
- 然后,SecOps 团队可以在 Microsoft Defender 门户中分析和响应 Microsoft Sentinel 和 Microsoft Defender XDR 所识别的威胁。
实现 Microsoft Sentinel 和 Microsoft Defender XDR 以实现零信任
Microsoft Defender XDR 是作为 Microsoft Sentinel 的补充的 XDR 解决方案。 XDR 从多个服务(如云应用程序、电子邮件安全、身份和访问管理)提取原始遥测数据。
然后,XDR 使用人工智能 (AI) 和机器学习,然后实时执行自动分析、调查和响应。 XDR 解决方案还将安全警报关联到更大的事件中,使安全团队能够更深入地了解攻击,并提供事件优先级,帮助分析员了解威胁的风险级别。
借助 Microsoft Sentinel,可以使用内置连接器和行业标准连接到许多安全源。 借助其 AI,可以关联跨多个源的多个低保真信号,以创建勒索软件终止链和优先警报的完整视图。
应用 SIEM 和 XDR 功能
在本部分中,我们将探讨一个涉及网络钓鱼攻击的典型攻击场景,然后了解如何使用 Microsoft Sentinel 和 Microsoft Defender XDR 对该事件作出响应。
常见攻击顺序
下图显示了网络钓鱼场景的常见攻击顺序。
此图还显示了准备就绪的 Microsoft 安全产品,这些产品可检测每个攻击步骤以及攻击信号和 SIEM 数据流向 Microsoft Defender XDR 和 Microsoft Sentinel 的方式。
以下是有关该攻击的摘要。
| 攻击步骤 | 检测服务和信号源 | 防御措施就位 |
|---|---|---|
| 1. 攻击者发送网络钓鱼电子邮件 | Microsoft Defender for Office 365 | 使用高级防钓鱼功能保护邮箱,这些功能可以防范基于恶意模拟的网络钓鱼攻击。 |
| 2. 用户打开附件 | Microsoft Defender for Office 365 | Microsoft Defender for Office 365 的“安全附件”功能将在隔离的环境中打开附件,以便进行更多的威胁扫描(引爆)。 |
| 3. 附件安装恶意软件 | 用于终结点的 Microsoft Defender | 使用下一代保护功能(例如云交付保护和基于行为的/启发式/实时防病毒保护),保护端点免受恶意软件的攻击。 |
| 4. 恶意软件窃取用户凭据 | Microsoft Entra ID 和 Microsoft Entra ID 保护 | 监视用户行为和活动、检测横向移动以及针对异常活动发出警报,进而保护标识。 |
| 5. 攻击者在 Microsoft 365 应用版和数据之间横向移动 | Microsoft Defender for Cloud Apps | 可以检测用户访问云应用的异常活动。 |
| 6. 攻击者从 SharePoint 文件夹中下载敏感文件 | Microsoft Defender for Cloud Apps | 可以检测和响应 SharePoint 中文件的批量下载事件。 |
如果将 Microsoft Sentinel 工作区加入到统一安全运营平台,则可直接在 Microsoft Defender 门户中通过 Microsoft Sentinel 使用 SIEM 数据。
使用 Microsoft Sentinel 和 Microsoft Defender XDR 进行事件响应
我们在前面了解了一种常见攻击的发生方式,现在来了解如何利用 Microsoft Sentinel 和 Microsoft Defender XDR 的集成来进行事件响应。
请根据是否已将工作区加入统一安全运营平台,来为工作区选择相关的选项卡。
通过将工作区加入统一安全运营平台来集成 Microsoft Sentinel 和 Microsoft Defender XDR 后,请直接在 Microsoft Defender 门户中完成所有事件响应步骤,就像对待其他 Microsoft Defender XDR 事件一样。 支持的步骤包括了从会审到调查和解决的所有环节。
对于无法单独通过 Defender 门户获得的功能,请使用 Microsoft Defender 门户中的 Microsoft Sentinel 区域。
有关详细信息,请参阅使用 Microsoft Sentinel 和 Microsoft Defender XDR 作出事件响应。
关键功能
若要在管理事件时实现零信任方法,请使用这些 Microsoft Sentinel 和 XDR 功能。
| 功能或特性 | 说明 | 产品 |
|---|---|---|
| 自动调查和响应 (AIR) | AIR 功能旨在检查警报并立即采取措施来解决违规问题。 AIR 功能将极大地减少警报量,使安全操作能够专注于更复杂的威胁和其他高价值计划。 | Microsoft Defender XDR |
| 高级追寻 | 高级搜寻是一种基于查询的威胁搜寻工具,可用于浏览最长 30 天内的原始数据。 你可以主动检查网络上的事件来查找威胁指标和实体。 通过灵活地访问数据,可以无限制地搜寻已知和潜在的威胁。 | Microsoft Defender XDR |
| 自定义文件指示器 | 通过禁止潜在的恶意文件或可疑恶意软件,阻止攻击在贵组织中的进一步传播。 | Microsoft Defender XDR |
| Cloud Discovery | Cloud Discovery 分析 Defender for Endpoint 收集的流量日志,并针对云应用目录评估已识别的应用,进而提供合规性和安全信息。 | Microsoft Defender for Cloud Apps |
| 自定义网络指示器 | 通过为 IP、URL 或域创建指示器,现在可根据自己的威胁情报允许或阻止 IP、URL 或域。 | Microsoft Defender XDR |
| 终结点检测和响应 (EDR) 阻止 | 当 Microsoft Defender 防病毒 (MDAV) 不是主要防病毒软件产品且以被动模式运行时,提供对恶意项目的额外保护。 阻止模式下的 EDR 可在后台工作,以修正入侵后检测到的恶意项目。 | Microsoft Defender XDR |
| 设备响应功能 | 通过隔离设备或收集调查包快速响应检测到的攻击 | Microsoft Defender XDR |
| 实时响应 | 实时响应使安全运营团队可以使用远程 shell 连接即时访问设备(也称为计算机)。 这使你能够执行深入的调查工作并立即采取响应操作,以及时地实时控制已识别的威胁。 | Microsoft Defender XDR |
| 安全云应用程序 | 一种开发安全运营 (DevSecOps) 解决方案,可跨多云和多管道环境统一代码级别的安全管理。 | Microsoft Defender for Cloud |
| 改善安全状况 | 一种云安全态势管理 (CSPM) 解决方案,能够展示可采取的用于防止违规的措施。 | Microsoft Defender for Cloud |
| 保护云工作负载 | 一种云工作负载保护平台 (CWPP),可为服务器、容器、存储、数据库和其他工作负载提供特定保护。 | Microsoft Defender for Cloud |
| 用户和实体行为分析 (UEBA) | 分析组织实体的行为,例如用户、主机、IP 地址和应用程序 | Microsoft Sentinel 对于已加入的工作区,则是统一安全运营平台中的 Microsoft Sentinel |
| 融合物 | 基于可缩放的机器学习算法的关联引擎。 自动检测多阶段攻击也称为高级持续性威胁 (APT),可标识在终止链的不同阶段观察到的异常行为和可疑活动的组合。 | Microsoft Sentinel 对于已加入的工作区,则是统一安全运营平台中的 Microsoft Sentinel |
| 威胁情报 | 使用 Microsoft 第三方提供程序扩充数据,以提供有关环境中活动、警报和日志的额外上下文。 | Microsoft Sentinel 对于已加入的工作区,则是统一安全运营平台中的 Microsoft Sentinel |
| 自动化 | 自动化规则是一种通过 Microsoft Sentinel 集中管理自动化的方法,它允许你定义并协调一小组可应用于不同场景的规则。 | Microsoft Sentinel 对于已加入的工作区,则是统一安全运营平台中的 Microsoft Sentinel |
| 异常规则 | 异常规则模板使用机器学习来检测特定类型的异常行为。 | Microsoft Sentinel 对于已加入的工作区,则是统一安全运营平台中的 Microsoft Sentinel |
| 计划的查询 | 由 Microsoft 安全专家编写的内置规则,这些规则通过 Sentinel 收集的日志搜索可疑活动链(已知威胁)。 | Microsoft Sentinel 对于已加入的工作区,则是统一安全运营平台中的 Microsoft Sentinel |
| 准实时 (NRT) 规则 | NRT 规则是一组有限的计划规则,设计为每分钟运行一次,以便尽可能为你提供最新信息。 | Microsoft Sentinel 对于已加入的工作区,则是统一安全运营平台中的 Microsoft Sentinel |
| 搜寻 | 为了帮助安全分析师主动找出未由安全应用甚至计划分析规则检测到的新异常,Microsoft Sentinel 的内置搜寻式查询可引导你提出正确的问题,以便在你的网络上已有的数据中发现问题。 | Microsoft Sentinel 对于已加入的工作区,请使用 Microsoft Defender 门户的高级搜寻功能。 |
| Microsoft Defender XDR 连接器 | Microsoft Defender XDR 连接器将日志和事件同步到 Microsoft Sentinel。 | Microsoft Defender XDR 和 Microsoft Sentinel |
| 数据连接器 | 允许引入数据,以在 Microsoft Sentinel 中进行分析。 | Microsoft Sentinel 对于已加入的工作区,则是统一安全运营平台中的 Microsoft Sentinel |
| 内容中心解决方案 - 零信任 (TIC 3.0) | 零信任 (TIC 3.0) 包括一个工作簿、分析规则和一个 playbook,它们提供零信任原则的自动可视化效果,可交叉访问信任 Internet 连接框架,帮助组织持续监视配置。 | Microsoft Sentinel 对于已加入的工作区,则是统一安全运营平台中的 Microsoft Sentinel |
| 安全业务流程、自动化和响应 (SOAR) | 使用自动化规则和 playbook 来应对安全威胁会提高 SOC 的有效性,并节省时间和资源。 | Microsoft Sentinel 对于已加入的工作区,则是统一安全运营平台中的 Microsoft Sentinel |
| SOC 优化 | 消除针对特定威胁的漏洞,并收紧对无法提供安全价值的数据的引入率。 |
解决方案所含内容
此解决方案将逐步引导你完成 Microsoft Sentinel 和 XDR 的实现,以便安全运营团队可以使用零信任方法有效地修正事件。
建议训练
培训内容目前未涵盖统一安全运营平台。
| 培训 | 将 Microsoft Defender XDR 连接到 Microsoft Sentinel |
|---|---|
|
了解用于 Microsoft Defender XDR 的 Microsoft Sentinel 连接器提供的配置选项和数据。 |
后续步骤
使用以下步骤为零信任方法实现 Microsoft Sentinel 和 XDR:
另请参阅以下文章,了解如何将零信任原则应用于 Azure: