Microsoft 365 Defender evalueren en testen

Van toepassing op:

  • Microsoft 365 Defender

Hoe werkt deze artikelreeks?

Deze reeks artikelen is ontworpen om u te helpen bij het hele proces van het instellen van een XDR-proefomgeving, end-to-end, zodat u de functies en mogelijkheden van Microsoft 365 Defender kunt evalueren en zelfs de evaluatieomgeving rechtstreeks naar productie kunt brengen wanneer en wanneer u klaar bent.

Als u nog niet eerder hebt nagedacht over XDR, kunt u deze 7 gekoppelde artikelen scannen om te zien hoe uitgebreid de oplossing is.

Microsoft 365 Defender is een Microsoft XDR-cyberbeveiligingsoplossing

Microsoft 365 Defender is een XDR-oplossing (eXtended detection and response) die automatisch signaal-, bedreigings- en waarschuwingsgegevens verzamelt, correleert en analyseert vanuit uw Microsoft 365-omgeving, inclusief eindpunten, e-mail, toepassingen en identiteiten. Het maakt gebruik van kunstmatige intelligentie (AI) en automatisering om aanvallen automatisch te stoppen en getroffen activa in een veilige toestand te herstellen.

Zie XDR als de volgende stap in beveiliging, het verbinden van eindpunten (eindpuntdetectie en -respons of EDR), e-mail,app en identiteitsbeveiliging op één plaats.

Aanbevelingen van Microsoft voor het evalueren van Microsoft 365 Defender

Microsoft raadt u aan uw evaluatie te maken in een bestaand productieabonnement op Office 365. Op deze manier krijgt u direct inzichten in de echte wereld en kunt u instellingen afstemmen op de huidige bedreigingen in uw omgeving. Nadat u ervaring hebt opgedaan en vertrouwd bent met het platform, kunt u elk onderdeel één voor één promoveren tot productie.

De anatomie van een cyberbeveiligingsaanval

Microsoft 365 Defender is een cloudgebaseerde, geïntegreerde, pre- en post-breach enterprise defense suite. Het coördineert preventie*,* detectie, onderzoek en antwoord op eindpunten, identiteiten, apps, e-mail, samenwerkingstoepassingen en al hun gegevens.

In deze afbeelding wordt een aanval gestart. Phishing-e-mail komt binnen in het Postvak IN van een werknemer in uw organisatie, die de e-mailbijlage zonder het te weten opent. Hiermee installeert u malware, wat leidt tot een reeks gebeurtenissen die kunnen eindigen met de diefstal van gevoelige gegevens. Maar in dit geval is Defender voor Office 365 in gebruik.

De verschillende aanvalspogingen

In de afbeelding:

  • Exchange Online Protection, onderdeel van Microsoft Defender voor Office 365, kan de phishing-e-mail detecteren en e-mailstroomregels gebruiken om ervoor te zorgen dat deze nooit in het Postvak IN wordt binnenkomt.
  • Defender for Office 365 safe attachments test de bijlage en bepaalt dat deze schadelijk is, zodat de e-mail die binnenkomt niet kan worden uitgevoerd door de gebruiker of dat het beleid verhindert dat de e-mail helemaal binnenkomt.
  • Defender voor Eindpunt beheert apparaten die verbinding maken met het bedrijfsnetwerk en detecteert beveiligingslekken voor apparaten en netwerken die anders mogelijk worden misbruikt.
  • Defender for Identity neemt kennis van plotse accountwijzigingen, zoals escalatie van bevoegdheden of een risicovolle zijbeweging. Het rapport rapporteert ook over gemakkelijk te misbruiken identiteitsproblemen, zoals ongeconstrainde Kerberos-delegatie, voor correctie door het beveiligingsteam.
  • Microsoft Defender voor Cloud-apps merkt afwijkende gedragingen op, zoals onmogelijk reizen, toegang tot referenties en ongebruikelijke download-, bestands delen- of e-mail doorsturen, en rapporteert deze aan het beveiligingsteam.

Microsoft 365 Defender onderdelen beveiligde apparaten, identiteit, gegevens en toepassingen

Microsoft 365 Defender bestaat uit deze beveiligingstechnologieën, die samen worden gebruikt. U hebt niet al deze onderdelen nodig om te profiteren van de mogelijkheden van XDR en Microsoft 365 Defender. U realiseert winst en efficiëntie door er ook een of twee te gebruiken.

Component Omschrijving Referentiemateriaal
Microsoft Defender for Identity Microsoft Defender voor identiteit gebruikt Active Directory-signalen om geavanceerde bedreigingen, gecompromitteerde identiteiten en kwaadaardige insideracties die zijn gericht op uw organisatie te identificeren, te detecteren en te onderzoeken. Wat is Microsoft Defender for Identity?
Exchange Online Protection Exchange Online Protection is de smtp-relay- en filterservice in de cloud die uw organisatie helpt beschermen tegen spam en malware. Exchange Online Protection (EOP) overzicht - Office 365
Microsoft Defender voor Office 365 Microsoft Defender voor Office 365 beschermt uw organisatie tegen schadelijke bedreigingen die worden veroorzaakt door e-mailberichten, koppelingen (URL's) en samenwerkingshulpmiddelen. Microsoft Defender voor Office 365 - Office 365
Microsoft Defender voor Eindpunt Microsoft Defender voor Eindpunt is een geïntegreerd platform voor apparaatbeveiliging, detectie na inbreuken, geautomatiseerd onderzoek en aanbevolen antwoorden. Microsoft Defender voor Eindpunt - Windows beveiliging
Microsoft Defender for Cloud Apps Microsoft Defender voor cloud-apps is een uitgebreide saaS-oplossing die diepe zichtbaarheid, sterke gegevensbesturingselementen en verbeterde bedreigingsbeveiliging biedt voor uw cloud-apps. Wat is Defender voor cloud-apps?
Azure AD Identity Protection Azure AD Identity Protection evalueert risicogegevens van miljoenen aanmeldingspogingen en gebruikt deze gegevens om het risico van elke aanmelding bij uw omgeving te evalueren. Deze gegevens worden door Azure AD gebruikt om accounttoegang toe te staan of te voorkomen, afhankelijk van hoe beleid voor voorwaardelijke toegang is geconfigureerd. Azure AD Identity Protection wordt afzonderlijk gelicentieerd van Microsoft 365 Defender. Deze is inbegrepen bij Azure Active Directory Premium P2. Wat is Identiteitsbeveiliging?

Microsoft 365 Defender architectuur

Het onderstaande diagram illustreert architectuur op hoog niveau voor belangrijke Microsoft 365 Defender onderdelen en integraties. Gedetailleerde architectuur voor elk Defender-onderdeel en scenario's met gebruiksscenario's worden in deze reeks artikelen gegeven.

Een architectuur op hoog niveau van de Microsoft 365 Defender portal

In deze afbeelding:

  • Microsoft 365 Defender combineert de signalen van alle Defender-onderdelen om uitgebreide detectie en respons (XDR) te bieden in domeinen. Dit omvat een geïntegreerde incidentenwachtrij, geautomatiseerde reactie op het stoppen van aanvallen, zelfherstel (voor gecompromitteerde apparaten, gebruikersidentiteiten en postvakken), kruisbedreigingsjacht en bedreigingsanalyse.
  • Microsoft Defender voor Office 365 beschermt je organisatie tegen kwaadwillende bedreigingen afkomstig van e-mailberichten, koppelingen (URL’s) en hulpmiddelen voor samenwerking. Het deelt signalen die het gevolg zijn van deze activiteiten met Microsoft 365 Defender. Exchange Online Protection (EOP) is geïntegreerd om end-to-endbeveiliging te bieden voor inkomende e-mailberichten en bijlagen.
  • Microsoft Defender voor identiteit verzamelt signalen van servers met Active Directory Federated Services (AD FS) en on-premises Active Directory Domain Services (AD DS). Deze signalen worden gebruikt om uw hybride identiteitsomgeving te beschermen, inclusief bescherming tegen hackers die gecompromitteerde accounts gebruiken om lateraal over werkstations in de on-premises omgeving te gaan.
  • Microsoft Defender voor Eindpunt verzamelt signalen van en beschermt apparaten die door uw organisatie worden gebruikt.
  • Microsoft Defender voor cloud-apps verzamelt signalen van het gebruik van cloud-apps van uw organisatie en beschermt gegevens die tussen uw omgeving en deze apps stromen, waaronder zowel goedgekeurde als niet-goedgekeurde cloud-apps.
  • Azure AD Identity Protection evalueert risicogegevens van miljoenen aanmeldingspogingen en gebruikt deze gegevens om het risico van elke aanmelding bij uw omgeving te evalueren. Deze gegevens worden door Azure AD gebruikt om accounttoegang toe te staan of te voorkomen, afhankelijk van hoe beleid voor voorwaardelijke toegang is geconfigureerd. Azure AD Identity Protection wordt afzonderlijk gelicentieerd van Microsoft 365 Defender. Deze is inbegrepen bij Azure Active Directory Premium P2.

Microsoft SIEM en SOAR kunnen gegevens uit Microsoft 365 Defender

Aanvullende optionele architectuuronderdelen die niet in deze afbeelding zijn opgenomen:

  • Gedetailleerde signaalgegevens van alle Microsoft 365 Defender onderdelen kunnen worden geïntegreerd in Microsoft Sentinel en worden gecombineerd met andere logboekregistratiebronnen om volledige SIEM- en SOAR-mogelijkheden en inzichten te bieden.
  • Voor meer informatie over het gebruik van Microsoft Sentinel, een Azure SIEM, met Microsoft 365 Defender als een XDR, bekijkt u dit overzichtsartikel en de stappen voor microsoft-schildwacht en Microsoft 365 Defender integratie.
  • Lees dit artikel voor meer informatie over SOAR in Microsoft Sentinel (inclusief koppelingen naar playbooks in de Microsoft GitHub Repository).

Het evaluatieproces voor Microsoft 365 Defender cyberbeveiliging

Microsoft raadt aan om de onderdelen van Microsoft 365 in te stellen in de volgorde die wordt geïllustreerd:

Een evaluatieproces op hoog niveau in de Microsoft 365 Defender portal

In de volgende tabel wordt deze afbeelding beschreven.

Serienummer Stap Omschrijving
1 De evaluatieomgeving maken Met deze stap hebt u de proeflicentie voor Microsoft 365 Defender.
2 Defender voor identiteit inschakelen Bekijk de architectuurvereisten, schakel de evaluatie in en doorloop zelfstudies voor het identificeren en herstellen van verschillende aanvalstypen.
3 Defender inschakelen voor Office 365 Zorg ervoor dat u voldoet aan de architectuurvereisten, de evaluatie inschakelen en maak vervolgens de testomgeving. Dit onderdeel bevat Exchange Online Protection en dus zult u beide hier evalueren.
4 Defender voor eindpunt inschakelen Zorg ervoor dat u voldoet aan de architectuurvereisten, de evaluatie inschakelen en maak vervolgens de testomgeving.
5 Microsoft Defender inschakelen voor cloud-apps Zorg ervoor dat u voldoet aan de architectuurvereisten, de evaluatie inschakelen en maak vervolgens de testomgeving.
6 Bedreigingen onderzoeken en hierop reageren Simuleert een aanval en gebruik de mogelijkheden voor incidentrespons.
7 De proefversie promoveren naar productie Promoot de Microsoft 365 onderdelen één voor één te produceren.

Dit is een veelgebruikte order die is ontworpen om de waarde van de mogelijkheden snel te benutten op basis van de hoeveelheid inspanning die gewoonlijk nodig is om de mogelijkheden te implementeren en te configureren. Defender voor Office 365 kan bijvoorbeeld in minder tijd worden geconfigureerd dan nodig is om apparaten in te schrijven in Defender voor Eindpunt. Natuurlijk moet u prioriteit geven aan de onderdelen die voldoen aan uw zakelijke behoeften en deze in een andere volgorde kunnen inschakelen.

Naar de volgende stap gaan

Meer informatie over en/of het maken Microsoft 365 Defender evaluatieomgeving