הערכה ונסיון Microsoft Defender XDR אבטחה

חל על:

  • Microsoft Defender XDR

כיצד פועלת סידרת מאמרים זו

סידרה זו נועדה לשלב אותך לאורך התהליך כולו של הגדרת סביבת XDR של גירסת ניסיון, מקצה לקצה, כך שתוכל להעריך את התכונות והיכולות של Microsoft Defender XDR ואף לקדם את סביבת ההערכה ישירות לייצור כשתהיה מוכן.

אם אתה חדש במחשבה על אבטחת XDR, באפשרותך לסרוק את 7 המאמרים המקושרים בסידרה זו כדי לקבל מידע על המקיף של הפתרון.

מהם XDR ו- Microsoft Defender XDR?

אבטחת XDR היא צעד קדימה באבטחה של סייבר מכיוון שהיא לוקחת את נתוני האיומים ממערכות שהיו מבודדות בעבר, ומבודדת אותן כך שתוכל לראות דפוסים ופעל לפיהם מהר יותר.

לדוגמה, Microsoft XDR מאחד את נקודת הקצה (זיהוי ותגובה של נקודות קצה או EDR), אבטחת דואר אלקטרוני, אפליקציה וזהות במקום אחד.

Microsoft Defender XDR הוא פתרון eXtended לזיהוי ותגובה (XDR) שאוסף, מתאם ומנתח באופן אוטומטי נתוני אות, איום והתראה מכל סביבת Microsoft 365 שלך, כולל נקודת קצה, דואר אלקטרוני, אפליקציות וזהויות. היא ממנפת בינה מלאכותית (AI) ואוטומציה כדי להפסיק באופן אוטומטי מתקפות, ולתקן נכסים מושפעים למצב בטוח.

המלצות Microsoft להערכת Microsoft Defender XDR האבטחה

Microsoft ממליצה ליצור את ההערכה שלך במנוי ייצור קיים של Office 365. באופן זה תקבל תובנות מהעולם האמיתי באופן מיידי ותן לך לכוונן את ההגדרות כך שיפעלו נגד איומים נוכחיים בסביבה שלך. לאחר שהצברת ניסיון ואתה מרגיש בנוח עם הפלטפורמה, פשוט קדם כל רכיב, אחד בכל פעם, לייצור.

האנטומיה של מתקפות אבטחת סייבר

Microsoft Defender XDR היא חבילת הגנה ארגונית מבוססת ענן, מאוחדת, לפני הפרה ופוסט-הפרה. הוא מתאם מניעה, זיהוי, חקירה ותגובה בין נקודות קצה, זהויות, אפליקציות, דואר אלקטרוני, יישומים שיתופיים וכל הנתונים שלהם.

באיור זה מתבצעת מתקפה. דואר אלקטרוני של דיוג מגיע לתיבת הדואר הנכנס של עובד בארגון שלך, אשר פותח ללא ידיעת את הקובץ המצורף לדואר האלקטרוני. פעולה זו מתקינים תוכנות זדוניות, המובילות לשרשרת אירועים שעלולה להסתיים בגניבת נתונים רגישים. אך במקרה זה, Defender עבור Office 365 נמצא בפעולה.

נסיונות התקיפה השונים

באיור:

  • Exchange Online Protection, חלק מ- Microsoft Defender עבור Office 365, יכול לזהות את הדואר האלקטרוני של הדיוג ולהשתמש בכללי זרימת דואר (שנקראים גם כללי תעבורה) כדי לוודא שהוא לעולם לא מגיע לתיבת הדואר הנכנס.
  • Defender עבור Office 365 משתמש בקבצים מצורפים בטוחים כדי לבדוק את הקובץ המצורף ולברר שהוא מזיק, כך שההודעות שמגיעות אינן ניתנות לפעולה על-ידי המשתמש, או שמדיניות מונעת מההודעות להגיע כלל.
  • Defender for Endpoint מנהל מכשירים המחוברים לרשת הארגונית ומאתר פגיעויות התקן ורשת שעלולות לנצל באופן אחר.
  • Defender for Identity רשום לב לשינויים פתאומיים בחשבון, כגון הסלמת הרשאות או תנועה צדדית בסיכון גבוה. בנוסף, הוא מדווח על בעיות זהות שניתן לנצל בקלות, כגון הקצאת Kerberos לא מאולצת, לתיקון על-ידי צוות האבטחה.
  • יישומי ענן של Microsoft Defender בהתהוות חריגה כגון נסיעה בלתי אפשרית, גישה לאישורים ופעילות חריגה של הורדה, שיתוף קבצים או העברת דואר ומדוחות על פעולות אלה לצוות האבטחה.

Microsoft Defender XDR רכיבים מאובטחים, זהות, נתונים ויישומים

Microsoft Defender XDR מורכב מטכנולוגיות אבטחה אלה, הפועלות ביחד. אין צורך בכל הרכיבים האלה כדי ליהנות מהיכולות של XDR ו- Microsoft Defender XDR. תוכל לממש רווחים ויעילות גם באמצעות אחד או שניים.

רכיב תיאור חומר עזר
Microsoft Defender עבור זהות Microsoft Defender עבור זהות ב- Active Directory כדי לזהות ולחקור איומים מתקדמים, זהויות שנחשף לסכנה ופעולות Insider זדוניות המופנים על הארגון שלך. מהו Microsoft Defender עבור זהות?
Exchange Online Protection Exchange Online Protection הוא שירות ממסר וסינון מבוסס ענן מקורי שמסייע להגן על הארגון שלך מפני הודעות זבל ותוכנות זדוניות. Exchange Online Protection (EOP) סקירה - Office 365
Microsoft Defender עבור Office 365 Microsoft Defender עבור Office 365 להגן על הארגון שלך מפני איומים זדוניים שהודעות דואר אלקטרוני, קישורים (כתובות URL) וכלי שיתוף פעולה קיימים. Microsoft Defender עבור Office 365 - Office 365
Microsoft Defender עבור נקודת קצה Microsoft Defender עבור נקודת קצה היא פלטפורמה מאוחדת להגנה על מכשירים, זיהוי לאחר הפרות, חקירה אוטומטית ותגובה מומלצת. Microsoft Defender עבור נקודת קצה - אבטחת Windows
Microsoft Defender עבור יישומי ענן יישומי ענן של Microsoft Defender הוא פתרון חוצה-SaaS מקיף, המספקים ניראות עמוקה, פקדי נתונים חזקים והגנה משופרת מפני איומים על אפליקציות הענן שלך. מהו Defender for Cloud Apps?
הגנה למזהה Microsoft Entra הגנה למזהה Microsoft Entra הערכה של נתוני סיכונים ממיליארד ניסיונות כניסה ומשתמש בנתונים אלה כדי להעריך את הסיכון של כל כניסה לסביבה שלך. נתונים אלה משמשים את Microsoft Entra מזהה כדי לאפשר או למנוע גישה לחשבון, בהתאם לאופן שבו נקבעה תצורה של מדיניות גישה מותנית. הגנה למזהה Microsoft Entra ברשיון בנפרד מ- Microsoft Defender XDR. הוא כלול ב- Microsoft Entra מזהה P2. מהי הגנה על זהות?

Microsoft Defender XDR אישית

הדיאגרמה שלהלן ממחישה ארכיטקטורה ברמה גבוהה לרכיבים Microsoft Defender XDR ושילובים עיקריים. ארכיטקטורה מפורטת עבור כל רכיב Defender ותרחישי מקרה שימוש, נתונה לאורך סידרת מאמרים זו.

ארכיטקטורה ברמה גבוהה של פורטל Microsoft Defender'

באיור זה:

  • Microsoft Defender XDR שילוב האותות מכל רכיבי Defender כדי לספק זיהוי ותגובה מורחבים (XDR) בין תחומים. אפשרות זו כוללת תור אירועים מאוחד, תגובה אוטומטית להפסיק תקיפות, ריפוי עצמי (עבור מכשירים שנחשף לסכנה, זהויות משתמשים ותיבות דואר), ציד איומים מרובים וניתוח איומים.
  • Microsoft Defender עבור Office 365 להגן על הארגון שלך מפני איומים זדוניים שעלולים להיות הודעות דואר אלקטרוני, קישורים (כתובות URL) וכלי שיתוף פעולה. הוא משתף איתותים כתוצאה מפעילויות אלה עם Microsoft Defender XDR. Exchange Online Protection (EOP) משולב כדי לספק הגנה מקצה לקצה עבור דואר אלקטרוני נכנס וקבצים מצורפים.
  • Microsoft Defender עבור זהות אוספת אותות משרתים שבהם פועל Active Directory Federated Services (AD FS) Active Directory מקומי Domain Services (AD DS). הוא משתמש באותות אלה כדי להגן על סביבת הזהות ההיברידית שלך, כולל הגנה מפני פורצי מחשבים המשתמשים בחשבונות שנחשף לסכנה כדי לנוע לרוחב תחנות עבודה בסביבה המקומית.
  • Microsoft Defender עבור נקודת קצה אוספת אותות מהארגון שלך ומגנה עליו.
  • יישומי ענן של Microsoft Defender אוספת אותות מהשימוש של הארגון שלך באפליקציות ענן ומגנה על הנתונים הזורם בין הסביבה שלך לבין אפליקציות אלה, כולל אפליקציות ענן הן מבוססות על חוות דעת והן אפליקציות ענן לא מבוססות.
  • הגנה למזהה Microsoft Entra הערכה של נתוני סיכונים ממיליארד ניסיונות כניסה ומשתמש בנתונים אלה כדי להעריך את הסיכון של כל כניסה לסביבה שלך. נתונים אלה משמשים את Microsoft Entra מזהה כדי לאפשר או למנוע גישה לחשבון, בהתאם לאופן שבו נקבעה תצורה של מדיניות גישה מותנית. הגנה למזהה Microsoft Entra ברשיון בנפרד מ- Microsoft Defender XDR. הוא כלול ב- Microsoft Entra מזהה P2.

Microsoft SIEM ו- SOAR יכולים להשתמש בנתונים Microsoft Defender XDR

רכיבי ארכיטקטורה אופציונליים נוספים שאינם כלולים באיור זה:

  • ניתן לשלב נתוני אותות מפורטים מכל Microsoft Defender XDR הרכיבים של Microsoft Sentinel ולשילוב עם מקורות רישום אחרים כדי להציע יכולות ותובנות מלאות של SIEM ו- SOAR.
  • לקבלת מידע נוסף על השימוש ב- Microsoft Sentinel, Azure SIEM, עם Microsoft Defender XDR כ- XDR, עיין במאמר מבט כולל זה ובפעולות השילוב של Microsoft Sentinel ו- Microsoft Defender XDR שילוב.
  • לקבלת מידע נוסף על SOAR ב- Microsoft Sentinel (כולל קישורים לספרי משחקים במאגר Microsoft Sentinel GitHub), קרא מאמר זה.

תהליך ההערכה עבור אבטחת Microsoft Defender XDR סייבר

Microsoft ממליצה להפוך את רכיבי Microsoft 365 לזמינים בסדר המאויר:

תהליך הערכה ברמה גבוהה בפורטל Microsoft Defender.

הטבלה הבאה מתארת איור זה.

מספר סידורי שלב תיאור
1 צור סביבת הערכה שלב זה מבטיח שיש לך את רשיון הניסיון עבור Microsoft Defender XDR.
2 הפוך את Defender עבור זהות לזמין סקור את דרישות הארכיטקטורה, הפוך את ההערכה לזמינה ועיין בערכות לימוד לזיהוי ותיקון של סוגי תקיפות שונים.
3 הפוך Defender עבור Office 365 ודא שאתה עומד בדרישות הארכיטקטורה, הפוך את ההערכה לזמינה ולאחר מכן צור את סביבת הפיילוט. רכיב זה כולל Exchange Online Protection, ולכן בפועל תעריך את שניהם כאן.
4 הפוך את Defender לזמין עבור נקודת קצה ודא שאתה עומד בדרישות הארכיטקטורה, הפוך את ההערכה לזמינה ולאחר מכן צור את סביבת הפיילוט.
5 הפוך יישומי ענן של Microsoft Defender ודא שאתה עומד בדרישות הארכיטקטורה, הפוך את ההערכה לזמינה ולאחר מכן צור את סביבת הפיילוט.
6 חקור איומים והגב לאיומים בצע הדמיה של התקפה והתחל להשתמש ביכולות תגובה לתקריות.
7 קדם את גירסת הניסיון לייצור קדם את רכיבי Microsoft 365 לייצור אחד-על-אחד.

סדר זה מומלץ בדרך כלל ונועד למנף את ערך היכולות במהירות בהתבסס על המאמץ הנדרש בדרך כלל כדי לפרוס ולהגדיר את היכולות. לדוגמה, Defender עבור Office 365 זמן קצר יותר מכפי שנדרש כדי לרשום מכשירים ב- Defender for Endpoint. כמובן, עליך לתעדף את הרכיבים כך שיעמודו בצרכים העסקיים שלך, ובאפשרותך להפוך אותם לזמינים בסדר אחר.

מעבר לשלב הבא

למד אודות ו/או צור את סביבת Microsoft Defender XDR להערכה

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.