Дорожная карта безопасности — главные приоритеты для первых 30 дней, 90 дней и более

Важно!

Стал доступен улучшенный портал Microsoft 365 Defender. Этот новый интерфейс Центра безопасности Microsoft 365 объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения. Узнайте о новых возможностях.

В этой статье содержатся рекомендации группы кибербезопасности Корпорации Майкрософт по внедрению возможностей безопасности для защиты Microsoft 365 среды. Эта статья адаптирована из сеанса Microsoft Ignite — secure Microsoft 365 как профессиональный кибербезопасность: главные приоритеты в течение первых 30 дней, 90дней и далее . Этот сеанс был разработан и представлен Марком Симосом и Мэттом Кемелхаром, Enterprise архитекторами кибербезопасности.

В этой статье

Результаты roadmap

Эти рекомендации дорожной карты поэтапно в три этапа в логическом порядке со следующими целями.


Сроки Результаты
30 дней Быстрая конфигурация:
  • Основные средства защиты администратора.
  • Ведение журнала и аналитика.
  • Основные средства защиты удостоверений.

Конфигурация клиента.

Подготовка заинтересованных лиц.

90 дней Расширенные средства защиты:
  • Учетные записи администратора.
  • Данные и учетные записи пользователей.

Видимость соответствия требованиям, угрозам и потребностям пользователей.

Адаптация и реализация политик и защиты по умолчанию.

Beyond Настройка и уточнение ключевых политик и элементов управления.

Расширение защиты для локальной зависимости.

Интеграция с бизнес-процессами и процессами безопасности (юридическая, внутренняя угроза и т.д.).

30 дней — мощные быстрые победы

Эти задачи выполняются быстро и почти не влияют на пользователей.


Область Tasks
Управление безопасностью
Защита от угроз Подключение Microsoft 365 Microsoft Cloud App Security начать мониторинг с помощью политик обнаружения угроз по умолчанию для аномального поведения. Создание базовой базы для обнаружения аномалий занимает семь дней.

Реализация защиты учетных записей администратора:

  • Используйте выделенные учетные записи администратора для действий администратора.
  • Обеспечение многофакторной проверки подлинности (MFA) для учетных записей администратора.
  • Используйте высокобезопасный Windows 10 для действий администратора.
Управление удостоверениями и доступом
Защита информации Просмотрите примеры рекомендаций по защите информации. Защита информации требует координации по всей организации. Приступите к работе с помощью этих ресурсов:

90 дней — расширенные средства защиты

Планирование и реализация этих задач занимают немного больше времени, но это значительно повысит безопасность ваших данных.


Область Задача
Управление безопасностью
  • Проверьте безопасную оценку рекомендуемых действий для вашей среды ( https://security.microsoft.com/securescore ).
  • Продолжайте регулярно проверять панели мониторинга и отчеты на портале Microsoft 365 Defender, Cloud App Security и средствах SIEM.
  • Найми и реализуй обновления программного обеспечения.
  • Проведение имитации атак для фишинга, спрея паролей и атак с использованием методов моделирования атак том числе с Office 365 Threat Intelligence).
  • Просмотрите встроенные отчеты в Cloud App Security (на вкладке Исследование).
  • Проверьте диспетчер соответствия требованиям, чтобы просмотреть состояние правил, применимых к вашей организации (например, GDPR, NIST 800-171).
Защита от угроз Реализация расширенной защиты учетных записей администратора:
  • Настройка рабочих станций привилегированного доступа (PAW) для действий администратора.
  • Настройка azure AD управление привилегированными пользователями.
  • Настройте средство управления сведениями о безопасности и событиями (SIEM) для сбора данных ведения журнала из Office 365, Cloud App Security и других служб, включая AD FS. Журнал аудита хранит данные только в течение 90 дней. Хранение этих данных в средстве SIEM позволяет хранить данные в течение более длительного периода времени.
Управление удостоверениями и доступом
Защита информации Адаптация и реализация политик защиты информации. К этим ресурсам относятся примеры:

Используйте политики предотвращения потери данных и средства мониторинга Microsoft 365 для данных, хранимых в Microsoft 365 (а не Cloud App Security).

Используйте Cloud App Security с Microsoft 365 для расширенных функций оповещения (кроме предотвращения потери данных).

Beyond

Это важные меры безопасности, которые строятся на предыдущей работе.


Область Задача
Управление безопасностью
  • Продолжить планирование следующих действий с помощью secure Score ( https://security.microsoft.com/securescore ).
  • Продолжайте регулярно проверять панели мониторинга и отчеты на портале Microsoft 365 Defender, Cloud App Security и средствах SIEM.
  • Продолжайте искать и внедрять обновления программного обеспечения.
  • Интеграция eDiscovery в процессы реагирования на юридические и угрозы.
Защита от угроз
  • Реализация безопасного привилегированного доступа (SPA) для компонентов удостоверений в помещениях (AD, AD FS).
  • Используйте Cloud App Security для отслеживания инсайдерской угрозы.
  • Откройте для себя использование теневого ИТ-SaaS с помощью Cloud App Security.
Управление удостоверениями и доступом
  • Уточнение политик и операционных процессов.
  • Используйте Службу Azure AD Identity Protection для выявления инсайдерской угрозы.
Защита информации Уточнение политик защиты информации:
  • Microsoft 365 и Office 365 метки конфиденциальности и предотвращение потери данных (DLP) или Azure Information Protection.
  • Cloud App Security политик и оповещений.

См. также: Как смягчить быстрые кибератаки, такие как Petya и WannaCrypt.