Microsoft Defender XDR biztonság kiértékelése és próbaüzeme
Érintett szolgáltatás:
- Microsoft Defender XDR
A cikksorozat működése
Ez a sorozat úgy lett kialakítva, hogy végigvezessen egy teljes körű próba-XDR-környezet beállításának folyamatán, hogy kiértékelhesse az Microsoft Defender XDR funkcióit és képességeit, és akár közvetlenül az éles környezetbe is előléptethesse a kiértékelési környezetet, amikor készen áll.
Ha még csak most ismerkedik az XDR biztonságával, tekintse át a sorozat 7 hivatkozott cikkét, amelyekből megtudhatja, mennyire átfogó a megoldás.
- A környezet létrehozása
- A Microsoft XDR egyes technológiáinak beállítása vagy megismerése
- Az XDR vizsgálatának és megválaszolásának menete
- A próbakörnyezet előléptetése éles környezetbe
Mi az az XDR és a Microsoft Defender XDR?
Az XDR-biztonság egy lépés a kiberbiztonság terén, mivel az egykor elszigetelt rendszerekből származó fenyegetési adatokat veszi fel, és egyesíti őket, hogy gyorsabban láthassa a mintákat, és gyorsabban reagáljon rájuk.
A Microsoft XDR például egy helyen egyesíti a végpontot (végpontészlelés és válasz vagy EDR), az e-mail-, az alkalmazás- és az identitásbiztonságot.
Microsoft Defender XDR egy EX-alapú észlelési és reagálási (XDR) megoldás, amely automatikusan gyűjti, korrelálja és elemzi a jelek, fenyegetések és riasztások adatait a Microsoft 365-környezetből, beleértve a végpontokat, az e-maileket, az alkalmazásokat és az identitásokat. A mesterséges intelligencia (AI) és az automatizálás segítségével automatikusan leállítja a támadásokat, és biztonságos állapotba javítja az érintett eszközöket.
A Microsoft javaslatai a Microsoft Defender XDR biztonság értékeléséhez
A Microsoft azt javasolja, hogy hozza létre a kiértékelését egy meglévő éles Office 365-előfizetésben. Így azonnal valós elemzéseket kaphat, és a beállításokat finomhangolhatja a környezet aktuális fenyegetései ellen. Miután tapasztalatot szerzett, és jól ismeri a platformot, egyszerűen előléptetheti az egyes összetevőket egyenként az éles környezetbe.
A kiberbiztonsági támadás anatómiája
Microsoft Defender XDR egy felhőalapú, egységesített, incidens előtti és utáni vállalati védelmi csomag. Koordinálja a megelőzést, az észlelést, a vizsgálatot és a választ a végpontok, identitások, alkalmazások, e-mailek, együttműködési alkalmazások és az összes adat között.
Ebben az ábrán egy támadás zajlik. Az adathalász e-mailek a szervezet egy alkalmazottjának Beérkezett üzenetek mappájába érkeznek, aki tudatlanul megnyitja az e-mail-mellékletet. Ez kártevőket telepít, amelyek olyan eseményláncot eredményeznek, amely a bizalmas adatok ellopásához vezethet. De ebben az esetben Office 365-höz készült Defender működik.
Az ábrán:
- Exchange Online Védelmi szolgáltatás, amely a Office 365-höz készült Microsoft Defender része, képes észlelni az adathalász e-maileket, és e-mail-forgalomra vonatkozó szabályokat (más néven átviteli szabályokat) használva biztosíthatja, hogy soha ne érkezik meg a Beérkezett üzenetek mappába.
- Office 365-höz készült Defender a Biztonságos mellékletek használatával teszteli a mellékletet, és megállapítja, hogy az ártalmas, így a beérkező e-mailek nem műveletet hajtanak végre a felhasználó számára, vagy a házirendek megakadályozzák, hogy az e-mailek egyáltalán megérkezzenek.
- A Végponthoz készült Defender felügyeli a vállalati hálózathoz csatlakozó eszközöket, és észleli az egyéb módon kihasználható eszköz- és hálózati biztonsági réseket.
- A Defender for Identity a fiókok hirtelen változásait, például a jogosultságok eszkalálását vagy a magas kockázatú oldalirányú mozgást veszi figyelembe. Emellett a biztonsági csapat által kijavított, könnyen kihasználható identitásproblémákról, például a nem korlátozott Kerberos-delegálásról is beszámol.
- Microsoft Defender for Cloud Apps észleli a rendellenes viselkedést, például a lehetetlen utazást, a hitelesítő adatokhoz való hozzáférést, a szokatlan letöltési, fájlmegosztási vagy levéltovábbítási tevékenységeket, és ezeket jelenti a biztonsági csapatnak.
Microsoft Defender XDR összetevők biztosítják az eszközöket, az identitásokat, az adatokat és az alkalmazásokat
Microsoft Defender XDR ezekből a biztonsági technológiákból áll, amelyek párhuzamosan működnek. Az XDR és a Microsoft Defender XDR képességeinek kihasználásához nincs szükség ezekre az összetevőkre. Egy vagy két használatával is nyereséget és hatékonyságot fog elérni.
| Összetevő | Leírás | Referenciaanyag |
|---|---|---|
| Microsoft Defender for Identity | Microsoft Defender for Identity Active Directory-jelek használatával azonosítja, észleli és vizsgálja meg a szervezetre irányuló speciális fenyegetéseket, feltört identitásokat és rosszindulatú belső műveleteket. | Mi a Microsoft Defender for Identity? |
| Exchange Online Védelmi szolgáltatás | Exchange Online Védelmi szolgáltatás egy natív felhőalapú SMTP-továbbító és -szűrő szolgáltatás, amely segít megvédeni a szervezetet a levélszemét és a kártevők ellen. | Exchange Online Védelmi szolgáltatás (EOP) áttekintése – Office 365 |
| Office 365-höz készült Microsoft Defender | Office 365-höz készült Microsoft Defender védi a szervezetet az e-mailek, hivatkozások (URL-címek) és együttműködési eszközök által okozott rosszindulatú fenyegetések ellen. | Office 365-höz készült Microsoft Defender – Office 365 |
| Végponthoz készült Microsoft Defender | Végponthoz készült Microsoft Defender egy egységes platform az eszközvédelemhez, a biztonsági incidensek észleléséhez, az automatizált vizsgálathoz és a javasolt reagáláshoz. | Végponthoz készült Microsoft Defender – Windows-biztonság |
| Microsoft Defender for Cloud Apps | Microsoft Defender for Cloud Apps egy átfogó, SaaS-alapú megoldás, amely részletes láthatóságot, erős adatvezérlést és fokozott fenyegetésvédelmet biztosít a felhőalkalmazások számára. | Mi az a Defender for Cloud Apps? |
| Microsoft Entra ID-védelem | Microsoft Entra ID-védelem több milliárd bejelentkezési kísérlet kockázati adatait értékeli ki, és ezeket az adatokat felhasználva értékeli ki a környezetbe való bejelentkezések kockázatát. Ezeket az adatokat a Microsoft Entra ID a feltételes hozzáférési szabályzatok konfigurálásának módjától függően a fiókhozzáférés engedélyezésére vagy megakadályozására használja. Microsoft Entra ID-védelem licencelés a Microsoft Defender XDR külön történik. A Microsoft Entra ID P2 tartalmazza. | Mi az az Identity Protection? |
Microsoft Defender XDR architektúra
Az alábbi ábrán a fő Microsoft Defender XDR összetevők és integrációk magas szintű architektúrája látható. Az egyes Defender-összetevők részletes architektúráját és használatieset-forgatókönyveit ebben a cikksorozatban tekintjük át.
Ebben az ábrán:
- Microsoft Defender XDR az összes Defender-összetevőtől származó jeleket kombinálva kiterjesztett észlelést és választ (XDR) biztosít a tartományok között. Ez magában foglalja az egységes incidenssort, a támadások leállítására irányuló automatizált reagálást, az önjavítást (a feltört eszközök, felhasználói identitások és postaládák esetében), a veszélyforrás-keresést és a fenyegetéselemzést.
- Office 365-höz készült Microsoft Defender védi a szervezetet az e-mailek, hivatkozások (URL-címek) és együttműködési eszközök által okozott rosszindulatú fenyegetések ellen. Ezekből a tevékenységekből származó jeleket osztja meg Microsoft Defender XDR. Exchange Online Védelmi szolgáltatás (EOP) integrálva van, hogy teljes körű védelmet biztosítson a bejövő e-mailek és mellékletek számára.
- Microsoft Defender for Identity jeleket gyűjt az Active Directory összevont szolgáltatásokat (AD FS) és helyi Active Directory Tartományi szolgáltatások (AD DS) futtató kiszolgálókról. Ezeket a jeleket a hibrid identitáskezelési környezet védelmére használja, beleértve a feltört fiókokat használó hackerek elleni védelmet a helyszíni környezetben található munkaállomások közötti oldalirányú mozgáshoz.
- Végponthoz készült Microsoft Defender jeleket gyűjt a szervezet által használt eszközökről, és védelmet nyújt.
- Microsoft Defender for Cloud Apps jeleket gyűjt a szervezet felhőalkalmazásaiból, és védi a környezet és az alkalmazások közötti adatáramlást, beleértve az engedélyezett és a nem engedélyezett felhőalkalmazásokat is.
- Microsoft Entra ID-védelem több milliárd bejelentkezési kísérlet kockázati adatait értékeli ki, és ezeket az adatokat felhasználva értékeli ki a környezetbe való bejelentkezések kockázatát. Ezeket az adatokat a Microsoft Entra ID a feltételes hozzáférési szabályzatok konfigurálásának módjától függően a fiókhozzáférés engedélyezésére vagy megakadályozására használja. Microsoft Entra ID-védelem licencelés a Microsoft Defender XDR külön történik. A Microsoft Entra ID P2 tartalmazza.
A Microsoft SIEM és a SOAR a Microsoft Defender XDR
Az ábrán nem szereplő további választható architektúra-összetevők:
- Az összes Microsoft Defender XDR összetevő részletes jeladatai integrálhatók a Microsoft Sentinelbe, és kombinálhatók más naplózási forrásokkal, hogy teljes körű SIEM- és SOAR-képességeket és megállapításokat nyújtsanak.
- A Microsoft Sentinel, az Microsoft Defender XDR XDR-ként Microsoft Defender XDR Azure SIEM használatával kapcsolatos további információkért tekintse meg ezt az Áttekintés cikket, valamint a Microsoft Sentinel és Microsoft Defender XDR integrációs lépéseit.
- A SoAR-ról a Microsoft Sentinelben (beleértve a Microsoft Sentinel GitHub-adattárban található forgatókönyvekre mutató hivatkozásokat) olvassa el ezt a cikket.
A kiberbiztonság Microsoft Defender XDR kiértékelési folyamata
A Microsoft az alábbi sorrendben javasolja a Microsoft 365 összetevőinek engedélyezését:
Az alábbi táblázat ezt az ábrát ismerteti.
| Sorozatszám | Lépés | Leírás |
|---|---|---|
| 1 | Értékelési környezet létrehozása | Ez a lépés biztosítja, hogy rendelkezik a Microsoft Defender XDR próbaverziós licencével. |
| 2 | A Defender for Identity engedélyezése | Tekintse át az architektúra követelményeit, engedélyezze a kiértékelést, és tekintse át a különböző támadástípusok azonosítására és elhárítására vonatkozó oktatóanyagokat. |
| 3 | Office 365-höz készült Defender engedélyezése | Győződjön meg arról, hogy megfelel az architektúrakövetelményeknek, engedélyezi az értékelést, majd létrehozza a próbakörnyezetet. Ez az összetevő Exchange Online Védelmi szolgáltatás tartalmaz, így itt mindkettőt ténylegesen kiértékelheti. |
| 4 | Végponthoz készült Defender engedélyezése | Győződjön meg arról, hogy megfelel az architektúrakövetelményeknek, engedélyezi az értékelést, majd létrehozza a próbakörnyezetet. |
| 5 | Microsoft Defender for Cloud Apps engedélyezése | Győződjön meg arról, hogy megfelel az architektúrakövetelményeknek, engedélyezi az értékelést, majd létrehozza a próbakörnyezetet. |
| 6 | Veszélyforrások vizsgálata és reagálás rájuk | Szimuláljon egy támadást, és kezdje el használni az incidensmegoldási képességeket. |
| 7 | A próbaverzió előléptetése termelésre | A Microsoft 365 összetevőit egyenként előléptetheti éles környezetbe. |
Ez a sorrend általában ajánlott, és úgy van kialakítva, hogy gyorsan kihasználja a képességek értékét attól függően, hogy általában mekkora erőfeszítésre van szükség a képességek üzembe helyezéséhez és konfigurálásához. Például Office 365-höz készült Defender kevesebb idő alatt konfigurálható, mint az eszközök regisztrálása a Végponthoz készült Defenderben. Természetesen fontossági sorrendbe kell rendeznie az összetevőket az üzleti igényeknek megfelelően, és ezeket különböző sorrendben engedélyezheti.
Ugrás a következő lépésre
A Microsoft Defender XDR-kiértékelési környezet megismerése és/vagy létrehozása
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: