Microsoft Defender XDR beveiliging evalueren en piloten

Van toepassing op:

  • Microsoft Defender XDR

Hoe deze artikelenreeks werkt

Deze serie is ontworpen om u door het hele proces van het instellen van een XDR-proefomgeving te begeleiden, end-to-end, zodat u de functies en mogelijkheden van Microsoft Defender XDR kunt evalueren en zelfs de evaluatieomgeving direct naar productie kunt promoveren wanneer u klaar bent.

Als u geen idee hebt van XDR-beveiliging, kunt u de 7 gekoppelde artikelen in deze reeks scannen om een idee te krijgen van hoe uitgebreid de oplossing is.

Wat zijn XDR en Microsoft Defender XDR?

XDR-beveiliging is een stap voorwaarts op het gebied van cyberbeveiliging, omdat de bedreigingsgegevens van systemen die ooit geïsoleerd waren, worden gebruikt en ze samengevoegd, zodat u patronen kunt zien en er sneller op kunt reageren.

Microsoft XDR verenigt bijvoorbeeld eindpunten (eindpuntdetectie en -respons of EDR), e-mail, app en identiteitsbeveiliging op één plaats.

Microsoft Defender XDR is een XDR-oplossing (eXtended detection and response) die automatisch signaal-, bedreigings- en waarschuwingsgegevens uit uw Microsoft 365-omgeving verzamelt, correleert en analyseert, waaronder eindpunten, e-mail, toepassingen en identiteiten. Het maakt gebruik van kunstmatige intelligentie (AI) en automatisering om aanvallen automatisch te stoppen en getroffen assets te herstellen naar een veilige status.

Microsoft-aanbevelingen voor het evalueren van Microsoft Defender XDR beveiliging

Microsoft raadt u aan uw evaluatie te maken in een bestaand productieabonnement van Office 365. Op deze manier krijgt u direct echte inzichten en kunt u instellingen afstemmen om te werken tegen huidige bedreigingen in uw omgeving. Nadat u ervaring hebt opgedaan en vertrouwd bent met het platform, kunt u elk onderdeel één voor één promoveren naar productie.

De anatomie van een cyber security-aanval

Microsoft Defender XDR is een cloudgebaseerde, geïntegreerde, pre- en post-inbreuk enterprise defense suite. Het coördineert preventie, detectie, onderzoek en reactie op eindpunten, identiteiten, apps, e-mail, samenwerkingstoepassingen en al hun gegevens.

In deze afbeelding wordt een aanval uitgevoerd. Phishing-e-mail komt binnen in het Postvak IN van een werknemer in uw organisatie, die onbewust de e-mailbijlage opent. Hiermee wordt malware geïnstalleerd, wat leidt tot een keten van gebeurtenissen die kunnen eindigen met de diefstal van gevoelige gegevens. Maar in dit geval is Defender voor Office 365 in gebruik.

De verschillende aanvalspogingen

In de afbeelding:

  • Exchange Online Protection, onderdeel van Microsoft Defender voor Office 365, kunt de phishing-e-mail detecteren en e-mailstroomregels (ook wel transportregels genoemd) gebruiken om ervoor te zorgen dat deze nooit in het Postvak IN aankomt.
  • Defender voor Office 365 veilige bijlagen gebruikt om de bijlage te testen en te bepalen of deze schadelijk is, zodat de e-mail die binnenkomt, niet kan worden uitgevoerd door de gebruiker, of het beleid verhindert dat de e-mail binnenkomt.
  • Defender voor Eindpunt beheert apparaten die verbinding maken met het bedrijfsnetwerk en detecteert apparaat- en netwerkproblemen die anders mogelijk worden misbruikt.
  • Defender for Identity noteert plotselinge accountwijzigingen, zoals escalatie van bevoegdheden of laterale verplaatsingen met een hoog risico. Het rapport rapporteert ook over eenvoudig misbruikte identiteitsproblemen, zoals niet-getrainde Kerberos-delegatie, ter correctie door het beveiligingsteam.
  • Microsoft Defender for Cloud Apps merkt afwijkend gedrag op, zoals onmogelijk reizen, toegang tot referenties en ongebruikelijke download-, bestandsshare- of e-maildoorstuuractiviteit en rapporteert deze aan het beveiligingsteam.

Microsoft Defender XDR-onderdelen apparaten, identiteit, gegevens en toepassingen beveiligen

Microsoft Defender XDR bestaat uit deze beveiligingstechnologieën, die in combinatie met elkaar werken. U hebt niet al deze onderdelen nodig om te profiteren van de mogelijkheden van XDR en Microsoft Defender XDR. U realiseert voordelen en efficiëntie door er ook een of twee te gebruiken.

Component Omschrijving Referentiemateriaal
Microsoft Defender for Identity Microsoft Defender for Identity gebruikt Active Directory-signalen voor het identificeren, detecteren en onderzoeken van geavanceerde bedreigingen, gecompromitteerde identiteiten en schadelijke interne acties gericht op uw organisatie. Wat is Microsoft Defender for Identity?
Exchange Online Protection Exchange Online Protection is de systeemeigen cloudgebaseerde SMTP-relay- en filterservice waarmee uw organisatie wordt beschermd tegen spam en malware. overzicht van Exchange Online Protection (EOP) - Office 365
Microsoft Defender voor Office 365 Microsoft Defender voor Office 365 beschermt uw organisatie tegen schadelijke bedreigingen door e-mailberichten, koppelingen (URL's) en samenwerkingshulpprogramma's. Microsoft Defender voor Office 365 - Office 365
Microsoft Defender voor Eindpunt Microsoft Defender voor Eindpunt is een geïntegreerd platform voor apparaatbeveiliging, detectie na inbreuk, geautomatiseerd onderzoek en aanbevolen reactie. Microsoft Defender voor Eindpunt - Windows-beveiliging
Microsoft Defender for Cloud Apps Microsoft Defender for Cloud Apps is een uitgebreide SaaS-oplossing voor meerdere SaaS-toepassingen, die uitgebreide zichtbaarheid, krachtige gegevensbeheer en verbeterde bescherming tegen bedreigingen biedt. Wat is Defender for Cloud Apps?
Microsoft Entra ID Protection Microsoft Entra ID Protection evalueert risicogegevens van miljarden aanmeldingspogingen en gebruikt deze gegevens om het risico van elke aanmelding bij uw omgeving te evalueren. Deze gegevens worden door Microsoft Entra ID gebruikt om accounttoegang toe te staan of te voorkomen, afhankelijk van hoe het beleid voor voorwaardelijke toegang is geconfigureerd. Microsoft Entra ID Protection wordt afzonderlijk van Microsoft Defender XDR gelicentieerd. Het is inbegrepen bij Microsoft Entra ID P2. Wat is Identity Protection?

Microsoft Defender XDR-architectuur

In het onderstaande diagram ziet u de architectuur op hoog niveau voor belangrijke Microsoft Defender XDR onderdelen en integraties. In deze reeks artikelen worden gedetailleerde architectuur voor elk Defender-onderdeel en gebruiksscenario's gegeven.

Een architectuur op hoog niveau van de Microsoft Defender-portal

In deze afbeelding:

  • Microsoft Defender XDR combineert de signalen van alle Defender-onderdelen om uitgebreide detectie en respons (XDR) tussen domeinen te bieden. Dit omvat een uniforme incidentwachtrij, geautomatiseerde reactie om aanvallen te stoppen, zelfherstel (voor gecompromitteerde apparaten, gebruikersidentiteiten en postvakken), opsporing van verschillende bedreigingen en bedreigingsanalyse.
  • Microsoft Defender voor Office 365 beschermt je organisatie tegen kwaadwillende bedreigingen afkomstig van e-mailberichten, koppelingen (URL’s) en hulpmiddelen voor samenwerking. Het deelt signalen die voortvloeien uit deze activiteiten met Microsoft Defender XDR. Exchange Online Protection (EOP) is geïntegreerd om end-to-end beveiliging te bieden voor binnenkomende e-mail en bijlagen.
  • Microsoft Defender for Identity verzamelt signalen van servers met Active Directory Federated Services (AD FS) en on-premises Active Directory Domeinservices (AD DS). Deze signalen worden gebruikt om uw hybride identiteitsomgeving te beschermen, inclusief beveiliging tegen hackers die gecompromitteerde accounts gebruiken om lateraal te verplaatsen tussen werkstations in de on-premises omgeving.
  • Microsoft Defender voor Eindpunt verzamelt signalen van en beschermt apparaten die door uw organisatie worden gebruikt.
  • Microsoft Defender for Cloud Apps verzamelt signalen van het gebruik van cloud-apps door uw organisatie en beschermt gegevens die tussen uw omgeving en deze apps stromen, inclusief zowel goedgekeurde als niet-goedgekeurde cloud-apps.
  • Microsoft Entra ID Protection evalueert risicogegevens van miljarden aanmeldingspogingen en gebruikt deze gegevens om het risico van elke aanmelding bij uw omgeving te evalueren. Deze gegevens worden door Microsoft Entra ID gebruikt om accounttoegang toe te staan of te voorkomen, afhankelijk van hoe het beleid voor voorwaardelijke toegang is geconfigureerd. Microsoft Entra ID Protection wordt afzonderlijk van Microsoft Defender XDR gelicentieerd. Het is inbegrepen bij Microsoft Entra ID P2.

Microsoft SIEM en SOAR kunnen gegevens uit Microsoft Defender XDR

Aanvullende optionele architectuuronderdelen die niet in deze afbeelding zijn opgenomen:

  • Gedetailleerde signaalgegevens van alle Microsoft Defender XDR onderdelen kunnen worden geïntegreerd in Microsoft Sentinel en worden gecombineerd met andere logboekregistratiebronnen om volledige SIEM- en SOAR-mogelijkheden en -inzichten te bieden.
  • Voor meer informatie over het gebruik van Microsoft Sentinel, een Azure SIEM, met Microsoft Defender XDR als een XDR, raadpleegt u dit overzichtsartikel en de integratiestappen van Microsoft Sentinel en Microsoft Defender XDR.
  • Lees dit artikel voor meer informatie over SOAR in Microsoft Sentinel (inclusief koppelingen naar playbooks in de Microsoft Sentinel GitHub-opslagplaats).

Het evaluatieproces voor Microsoft Defender XDR cyber security

Microsoft raadt aan om de onderdelen van Microsoft 365 in te schakelen in de weergegeven volgorde:

Een evaluatieproces op hoog niveau in de Microsoft Defender portal

In de volgende tabel wordt deze afbeelding beschreven.

Serienummer Stap Omschrijving
1 De evaluatieomgeving maken Deze stap zorgt ervoor dat u de proeflicentie voor Microsoft Defender XDR hebt.
2 Defender for Identity inschakelen Bekijk de architectuurvereisten, schakel de evaluatie in en doorloop zelfstudies voor het identificeren en oplossen van verschillende aanvalstypen.
3 Defender voor Office 365 inschakelen Zorg ervoor dat u voldoet aan de architectuurvereisten, schakel de evaluatie in en maak vervolgens de testomgeving. Dit onderdeel bevat Exchange Online Protection en dus evalueert u beide hier daadwerkelijk.
4 Defender voor eindpunt inschakelen Zorg ervoor dat u voldoet aan de architectuurvereisten, schakel de evaluatie in en maak vervolgens de testomgeving.
5 Microsoft Defender for Cloud Apps inschakelen Zorg ervoor dat u voldoet aan de architectuurvereisten, schakel de evaluatie in en maak vervolgens de testomgeving.
6 Bedreigingen onderzoeken en hierop reageren Simuleer een aanval en begin met het gebruik van de reactiemogelijkheden voor incidenten.
7 De proefversie promoveren naar productie Promoot de Microsoft 365-onderdelen één voor één naar productie.

Deze volgorde wordt meestal aanbevolen en ontworpen om snel gebruik te maken van de waarde van de mogelijkheden op basis van hoeveel inspanning doorgaans nodig is om de mogelijkheden te implementeren en te configureren. Defender voor Office 365 kan bijvoorbeeld in minder tijd worden geconfigureerd dan nodig is om apparaten in te schrijven bij Defender voor Eindpunt. Natuurlijk moet u de onderdelen prioriteren om te voldoen aan de behoeften van uw bedrijf en kunt u deze in een andere volgorde inschakelen.

Naar de volgende stap gaan

Meer informatie over en/of het maken van de Microsoft Defender XDR Evaluatieomgeving

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.