Utvärdera och pilottesta Microsoft 365 Defender

Gäller för:

  • Microsoft 365 Defender

Microsoft 365 Defender är en XDR-lösning (extended detection and response) som automatiskt samlar in, korrelerar och analyserar signal-, hot- och aviseringsdata från din Microsoft 365-miljö, inklusive slutpunkt, e-post, program och identiteter. Det utnyttjar omfattande AI och automatisering för att automatiskt stoppa attacker och åtgärda påverkade tillgångar i ett säkert tillstånd. I följande artiklar får du hjälp med att konfigurera en utvärderingsmiljö så att du kan utvärdera funktionerna i Microsoft 365 Defender.

När du går igenom de här artiklarna visar stegen hur du aktiverar varje komponent, konfigurerar inställningar och börjar övervaka med en pilotgrupp. När du är klar kan du avsluta genom att främja din utvärderingsmiljö direkt i produktionen.

Microsoft rekommenderar att du skapar din utvärdering i en befintlig produktionsprenumeration på Office 365. På så sätt får du verkliga insikter direkt och kan justera inställningarna så att de fungerar mot aktuella hot i din miljö. När du har fått erfarenhet och är bekväm med plattformen kan du helt enkelt marknadsföra varje komponent, en i taget, till produktion.

En attacks struktur

Microsoft 365 Defender är en molnbaserad, enhetlig, före och efter förintrångslösning för företag. Den koordinerar förebyggande, identifiering, undersökning och svar mellan slutpunkter, identiteter, appar, e-post, samarbetsprogram och alla deras data.

I den här illustrationen pågår en attack. Nätfiske kommer till inkorgen för en anställd i organisationen, som oavsiktligt öppnar den bifogade filen i e-postmeddelandet. Det här installerar skadlig programvara, vilket leder till en kedja av händelser som kan sluta med stöld av känsliga data. Men i det här fallet är Defender Office 365 i bruk.

Hur Microsoft 365 Defender stoppa en kedja av hot

På bilden:

  • Exchange Online Protection kan du identifiera nätfiskemeddelanden i en del av Microsoft Defender för Office 365, och använda e-postflödesregler för att se till att de aldrig kommer till Inkorgen.
  • Defender för Office 365 säkra bifogade filer testar den bifogade filen och fastställer att den är skadlig, så att e-post som kommer in antingen inte kan användas av användaren eller principer så att e-postmeddelandet inte kommer alls.
  • Defender för Endpoint hanterar enheter som ansluter till företagsnätverket och identifierar säkerhetsproblem i enheter och nätverk som annars skulle kunna utnyttjas.
  • Defender för identitet noterar plötsligt kontoändringar som eskalering av behörighet eller högriskrörelse. Dessutom rapporter om lätt utnyttjas identitetsproblem, t.ex. unconstrained Kerberos delegering, för korrigering av säkerhetsteamet.
  • Microsoft Cloud App Security observerar avvikelser, t.ex. omöjligt färdas, åtkomst till autentiseringsuppgifter och ovanlig nedladdning, filresurs eller vidarebefordran av e-post samt rapporterar dessa till säkerhetsgruppen.

Microsoft 365 Defender komponenter

Microsoft 365 Defender består av dessa säkerhetstekniker som arbetar tillsammans. Du behöver inte alla dessa komponenter för att dra nytta av funktionerna i XDR och Microsoft 365 Defender. Du kommer också att inse vinster och effektivitet genom att använda en eller två.

Komponent Beskrivning Referensmaterial
Microsoft Defender for Identity Microsoft Defender för identitet använder Active Directory-signaler för att identifiera, identifiera och undersöka avancerade hot, komprometterade identiteter och skadliga Insider-åtgärder riktade till organisationen. Vad är Microsoft Defender for Identity?
Exchange Online Protection Exchange Online Protection är den molnbaserade tjänsten för SMTP-relä och filtrering som hjälper dig att skydda organisationen mot skräppost och skadlig programvara. Exchange Online Protection (EOP) – Office 365
Microsoft Defender för Office 365 Microsoft Defender för Office 365 skyddar organisationen mot skadliga hot som kan orsakas av e-postmeddelanden, länkar (URL:er) och samarbetsverktyg. Microsoft Defender för Office 365 – Office 365
Microsoft Defender för Endpoint Microsoft Defender för Endpoint är en enhetlig plattform för enhetsskydd, identifiering efter intrång, automatisk undersökning och rekommenderade svar. Microsoft Defender för slutpunkt – Windows säkerhet
Microsoft Cloud App Security Microsoft Cloud App-säkerhet är en omfattande SaaS-lösning som ger djup synlighet, starka datakontroller och förbättrat skydd mot hot i dina molnappar. Vad är Cloud App Security?
Azure AD Identity Protection Azure AD Identity Protection utvärderar riskdata från flera miljoner inloggningsförsök och använder dessa data för att utvärdera risken för varje inloggning i miljön. Dessa data används av Azure AD för att tillåta eller förhindra kontoåtkomst, beroende på hur villkorsstyrda åtkomstprinciper konfigureras. Azure AD Identity Protection licensieras separat från Microsoft 365 Defender. Det ingår i Azure Active Directory Premium P2. Vad är identitetsskydd?

Microsoft 365 Defender arkitektur

Diagrammet nedan illustrerar högnivåarkitektur för nyckelkomponenter Microsoft 365 Defender integrationer. Detaljerad arkitektur för varje Defender-komponent och användningsfallsscenarier ges i den här serien med artiklar.

Microsoft 365 Defender arkitektur på hög nivå

I den här illustrationen:

  • Microsoft 365 Defender kombinerar signalerna från alla Defender-komponenter för utökad identifiering och svar (XDR) över domäner. Det inkluderar en enhetlig incidentkö, automatiserat svar för att stoppa attacker, självgående (för komprometterade enheter, användaridentiteter och postlådor), kors hotande hot och hotanalyser.
  • Microsoft Defender skyddar organisationen mot skadliga hot som e-postmeddelanden, länkar och samarbetsverktyg medför. Den delar signaler som härrör från dessa aktiviteter med Microsoft 365 Defender. Exchange Online Protection (EOP) är integrerat för att ge end-to-end-skydd för inkommande e-postmeddelanden och bifogade filer.
  • Microsoft Defender for Identity samlar in signaler från servrar som kör Active Directory Federated Services (AD FS) och AD DS (Lokala Active Directory Domain Services). Dessa signaler används för att skydda hybrididentitetsmiljön, bland annat för att skydda mot hackare som använder komprometterade konton för att flytta runt bland arbetsstationer i den lokala miljön.
  • Microsoft Defender för Endpoint samlar in signaler från och skyddar enheter som används av din organisation.
  • Microsoft Cloud App Security samlar in signaler från organisationens användning av molnappar och skyddar data som flödar mellan din miljö och de här apparna, inklusive både obehöriga och olästa molnappar.
  • Azure AD Identity Protection utvärderar riskdata från flera miljoner inloggningsförsök och använder dessa data för att utvärdera risken för varje inloggning i miljön. Dessa data används av Azure AD för att tillåta eller förhindra kontoåtkomst, beroende på hur villkorsstyrda åtkomstprinciper konfigureras. Azure AD Identity Protection licensieras separat från Microsoft 365 Defender. Det ingår i Azure Active Directory Premium P2.

Ytterligare valfria arkitekturkomponenter som inte ingår i den här illustrationen:

  • Detaljerade signaldata från alla Microsoft Defender-komponenter kan integreras i Azure Sentinel och kombineras med andra loggningskällor för att erbjuda fullständiga SIEM- och SOAR-funktioner och insikter.

Utvärderingsprocessen

Microsoft rekommenderar att du aktiverar komponenterna Microsoft 365 i den ordning som visas:

Microsoft 365 Defender utvärderingsprocess på hög nivå

I följande tabell beskrivs den här illustrationen.

Steg Beskrivning
1 Skapa utvärderingsmiljön Det här steget säkerställer att du har utvärderingslicensen för Microsoft 365 Defender.
2 Aktivera Defender för identitet Granska arkitekturkraven, aktivera utvärderingen och gå igenom självstudiekurser för att identifiera och åtgärda olika attacktyper.
3 Aktivera Defender för Office 365 Se till att du uppfyller arkitekturkraven, aktivera utvärderingen och skapa sedan pilotmiljön. Den här komponenten innehåller Exchange Online Protection och så du kommer att utvärdera båda här.
4 Aktivera Defender för Slutpunkt Se till att du uppfyller arkitekturkraven, aktivera utvärderingen och skapa sedan pilotmiljön.
5 Aktivera Microsoft Cloud App Security Se till att du uppfyller arkitekturkraven, aktivera utvärderingen och skapa sedan pilotmiljön.
6 Undersöka och svara på hot Simulera en attack och börja använda incidentsvarsfunktioner.
7 Höja utvärderingsversionen till produktion Marknadsföra Microsoft 365 en 1:1-produktion.

Det här är en rekommenderad ordning som är utformad för att snabbt få ut värdet av funktionerna baserat på hur mycket arbete som normalt krävs för att distribuera och konfigurera funktionerna. Till exempel kan Defender för Office 365 konfigureras mycket snabbare än vad som krävs för att registrera enheter för Defender för Endpoint. Självklart kan du prioritera komponenterna för att möta verksamhetens behov och aktivera dem i en annan ordning.

Nästa steg

Skapa en Microsoft 365 Defender utvärderingsmiljö