Vyhodnocení a pilotní nasazení Microsoft 365 Defenderu

Platí pro:

  • Microsoft 365 Defender

Jak tato řada článku funguje

Tato řada článků je navržená tak, aby vás vyšla z celého procesu nastavení zkušebního prostředí XDR( end-to-end), abyste mohli vyhodnotit funkce a funkce Microsoft 365 Defender a dokonce i propagovat zkušební prostředí přímo do produkčního prostředí, kdy a jestli jste připravení.

Pokud ještě nevíte, jak na XDR myslet, můžete si tyto 7 propojené články prohlížet a zjistit, jak komplexní řešení je.

Microsoft 365 Defender je řešení kybernetického zabezpečení Microsoft XDR

Microsoft 365 Defender je eXtended detection and response (XDR) řešení, které automaticky shromažďuje, koreluje a analyzuje data signálů, hrozeb a upozornění z celého prostředí Microsoft 365, včetně koncového bodu, e-mailu, aplikací a identit. Využívá umělou inteligenci a automatizaci k automatickému zastavení útoků a k nápravě ohrožených prostředků do bezpečného stavu.

XDR je dalším krokem v zabezpečení, sjednocení koncového bodu (detekce a reakce u koncových bodů nebo EDR), e-mailu, aplikace a zabezpečení identity na jednom místě.

Doporučení Microsoftu pro vyhodnocování Microsoft 365 Defender

Microsoft vám doporučuje vytvořit zkušební období ve stávajícím produkčním předplatném Office 365. Získáte tak hned přehled o skutečném světě a můžete vyladit nastavení tak, aby fungovala proti současným hrozbám ve vašem prostředí. Až nasbíráte zkušenosti a budete mít s platformou pohodlí, jednoduše povýšte jednotlivé komponenty na produkční prostředí.

Anatomie útoku na kybernetickou bezpečnost

Microsoft 365 Defender je cloudová, sjednocená sada enterprise defense suite s před porušením a po porušení předpisů. Koordinuje prevenci, zjišťování, vyšetřování a odpověď napříč koncovými body, identitami, aplikacemi, e-mailem, aplikacemi pro spolupráci a všemi jejich daty.

Na tomto obrázku probíhá útok. Phishingový e-mail přijde do složky Doručená pošta zaměstnance ve vaší organizaci, který nevědomky otevře přílohu e-mailu. Tím se nainstaluje malware, který vede k řetězu událostí, které by mohly skončit krádeží citlivých dat. V takovém případě je Defender pro Office 365 v provozu.

Různé pokusy o útok

Na obrázku:

  • Exchange Online Protection, která je součástí Microsoft Defender pro Office 365, dokáže detekovat phishingové e-maily a používat pravidla toku pošty, aby se jistá, že nikdy nedorazí do složky Doručená pošta.
  • Defender pro Office 365 přílohy příloh testují přílohu a určují, že je škodlivá, takže doručená pošta není uživatelem možná, nebo zásady brání tomu, aby se pošta vůbec došly.
  • Defender pro koncový bod spravuje zařízení, která se připojují k podnikové síti, a zjišťuje chyby zabezpečení zařízení a sítě, které by jinak mohly být zneužíny.
  • Defender for Identity bere na vědomí náhlé změny účtu, jako je eskalace oprávnění nebo vysoce rizikové boční pohyby. Hlásí také snadno zneužít problémy s identitou, jako je delegování protokolu Kerberos bez omezení, kvůli opravě týmem zabezpečení.
  • Microsoft Defender for Cloud Apps si neobvyklého chování, jako je nemožná cesta, přístup k přihlašovacím údajům a neobvyklá aktivita při stahování, sdílení souborů nebo přeposílání pošty, a hlásí je bezpečnostnímu týmu.

Microsoft 365 Defender zabezpečených zařízení, identity, dat a aplikací

Microsoft 365 Defender se s těmito bezpečnostními technologiemi, které působí společně. K využití funkcí XDR a Microsoft 365 Defender nepotřebujete všechny tyto Microsoft 365 Defender. Zisky a efektivitu si uvědomíte také pomocí jednoho nebo dvou.

Součást Popis Referenční materiál
Microsoft Defender for Identity Microsoft Defender for Identity používá signály služby Active Directory k identifikaci, zjišťování a zkoumání pokročilých hrozeb, ohrožených identit a škodlivých akcí insider, které jsou zaměřené na vaši organizaci. Co je Microsoft Defender for Identity?
Exchange Online Protection Exchange Online Protection je nativní cloudová služba přenosu a filtrování SMTP, která pomáhá chránit vaši organizaci před spamem a malwarem. Exchange Online Protection (EOP) – Office 365
Microsoft Defender pro Office 365 Microsoft Defender pro Office 365 chrání vaši organizaci před škodlivými hrozbami, které představují e-mailové zprávy, odkazy (adresy URL) a nástroje pro spolupráci. Microsoft Defender pro Office 365 – Office 365
Microsoft Defender for Endpoint Microsoft Defender for Endpoint je jednotná platforma pro ochranu zařízení, zjišťování po porušení předpisů, automatizované vyšetřování a doporučenou reakci. Microsoft Defender for Endpoint – Windows zabezpečení
Microsoft Defender for Cloud Apps Microsoft Defender for Cloud Apps je komplexní řešení pro více než SaaS, které přináší hlubokou viditelnost, silné ovládací prvky dat a vylepšenou ochranu před hrozbami pro vaše cloudové aplikace. Co je Defender for Cloud Aplikace?
Azure AD Identity Protection Azure AD Identity Protection vyhodnocuje data rizik z miliard pokusů o přihlášení a používá tato data k vyhodnocení rizika každého přihlášení k vašemu prostředí. Tato data azure AD používá k povolení nebo zabránění přístupu k účtu v závislosti na konfiguraci zásad podmíněného přístupu. Azure AD Identity Protection je licencována odděleně od Microsoft 365 Defender. Je součástí Azure Active Directory Premium P2. Co je ochrana identity?

Microsoft 365 Defender architektura

Následující diagram znázorňuje architekturu na vysoké úrovni pro klíčové Microsoft 365 Defender a integrace. V této řadě článků je dána podrobná architektura pro každou komponentu Defenderu a scénáře případu použití.

Architektura na vysoké úrovni Microsoft 365 Defender portálu

Na tomto obrázku:

  • Microsoft 365 Defender kombinuje signály ze všech komponent Defenderu a poskytuje rozšířené zjišťování a odezvu (XDR) napříč doménami. Patří sem sjednocená fronta incidentů, automatická odpověď na zastavení útoků, self-healing (pro ohrožená zařízení, identity uživatelů a poštovní schránky), hledání křížových hrozeb a analýzu hrozeb.
  • Microsoft Defender pro Office 365 chrání vaši organizaci před škodlivými hrozbami, které představují e-mailové zprávy, odkazy (adresy URL) a nástroje pro spolupráci. Sdílí signály vyplývající z těchto aktivit s Microsoft 365 Defender. Exchange Online Protection (EOP) je integrovaná, aby poskytovala ochranu mezi koncovými hovory pro příchozí e-maily a přílohy.
  • Microsoft Defender for Identity shromažďuje signály ze serverů se službou AD FS (Active Directory Federated Services) a místní Active Directory Domain Services (služba AD DS). Používá tyto signály k ochraně prostředí hybridní identity, včetně ochrany před hackery, které používají ohrožené účty k přecházování napříč pracovními stanicemi v místním prostředí.
  • Microsoft Defender for Endpoint shromažďuje signály ze zařízení používaných vaší organizací a chrání je.
  • Microsoft Defender for Cloud Apps shromažďuje signály z používání cloudových aplikací vaší organizace a chrání tok dat mezi vaším prostředím a těmito aplikacemi, včetně sankcí i neschycených cloudových aplikací.
  • Azure AD Identity Protection vyhodnocuje data rizik z miliard pokusů o přihlášení a používá tato data k vyhodnocení rizika každého přihlášení k vašemu prostředí. Tato data azure AD používá k povolení nebo zabránění přístupu k účtu v závislosti na konfiguraci zásad podmíněného přístupu. Azure AD Identity Protection je licencována odděleně od Microsoft 365 Defender. Je součástí Azure Active Directory Premium P2.

Microsoft SIEM a SOAR používejte data z Microsoft 365 Defender

Další volitelné součásti architektury, které nejsou součástí tohoto obrázku:

  • Podrobná data signálu ze všech Microsoft 365 Defender komponent lze integrovat do Microsoft Sentinelu a kombinovat s jinými zdroji protokolování a nabídnout tak úplné funkce a přehledy siem SIEM a SOAR.
  • Další informace o používání Microsoft Sentinelu, Azure SIEM, s Microsoft 365 Defender jako XDR, najdete v tomto článku Přehled a v krocích pro integraci Microsoft Sentinel a Microsoft 365 Defender integrace.
  • Další informace o soaru v Microsoft Sentinelu (včetně odkazů na playbooky v úložišti Microsoft Sentinel GitHub Repository) najdete v tomto článku.

Proces vyhodnocování Microsoft 365 Defender kybernetické bezpečnosti

Společnost Microsoft doporučuje povolit součásti Microsoft 365 v následujícím pořadí:

Proces vyhodnocování na vysoké úrovni na Microsoft 365 Defender portálu

Následující tabulka popisuje tento obrázek.

Sériové číslo Krok Popis
1 Vytvoření zkušebního prostředí Tento krok zajistí, že máte zkušební licenci pro Microsoft 365 Defender.
2 Povolení defenderu pro identitu Zkontrolujte požadavky na architekturu, povolte vyhodnocování a projděte si kurzy pro identifikaci a nápravu různých typů útoků.
3 Povolení Defender pro Office 365 Ujistěte se, že splňujete požadavky na architekturu, povolte vyhodnocení a pak vytvořte pilotní prostředí. Tato komponenta zahrnuje Exchange Online Protection, a proto budete ve skutečnosti vyhodnocovat obojí tady.
4 Povolení defenderu pro koncový bod Ujistěte se, že splňujete požadavky na architekturu, povolte vyhodnocení a pak vytvořte pilotní prostředí.
5 Povolení Microsoft Defender for Cloud Apps Ujistěte se, že splňujete požadavky na architekturu, povolte vyhodnocení a pak vytvořte pilotní prostředí.
6 Prošetřování hrozeb a reakce na ně Simulujte útok a začněte používat možnosti reakce na incidenty.
7 Propagace zkušební verze na produkční verzi Povýšte Microsoft 365 komponenty na produkční prostředí po jednom.

Toto je běžně doporučené pořadí navržené tak, aby rychle využilo hodnotu funkcí na základě toho, kolik úsilí je obvykle potřeba k nasazení a konfiguraci funkcí. Můžete třeba Defender pro Office 365 nakonfigurovat za kratší dobu, než je potřeba k registraci zařízení v Defenderu pro koncový bod. Komponenty byste samozřejmě měli upřednostňovat tak, aby splňovaly potřeby vaší firmy, a můžete je povolit v jiném pořadí.

Přejít na další krok

Další informace o a/nebo vytvoření Microsoft 365 Defender prostředí