Utvärdera och pilot Microsoft 365 Defender
Gäller för:
- Microsoft 365 Defender
Microsoft 365 Defender är en utökad lösning för identifiering och svar (XDR) som automatiskt samlar in, korrelerar och analyserar signal-, hot- och aviseringsdata från din Microsoft 365-miljö, inklusive slutpunkt, e-post, program och identiteter. Det utnyttjar omfattande AI och automatisering för att automatiskt stoppa attacker och åtgärda påverkade tillgångar i ett säkert tillstånd. I följande artiklar får du hjälp med att konfigurera en utvärderingsmiljö så att du kan utvärdera funktionerna i Microsoft 365 Defender.
När du går igenom de här artiklarna visar stegen hur du aktiverar varje komponent, konfigurerar inställningar och börjar övervaka med en pilotgrupp. När du är klar kan du avsluta genom att främja din utvärderingsmiljö direkt i produktionen.
Microsoft rekommenderar att du skapar din utvärdering i en befintlig produktionsprenumeration på Office 365. På så sätt får du verkliga insikter direkt och kan justera inställningarna så att de fungerar mot aktuella hot i din miljö. När du har fått erfarenhet och är bekväm med plattformen kan du helt enkelt marknadsföra varje komponent, en i taget, till produktion.
En attacks struktur
Microsoft 365 Defender är en molnbaserad, enhetlig, före och efterintrång för Enterprise Defense Suite. Den koordinerar förebyggande, identifiering, undersökning och svar mellan slutpunkter, identiteter, appar, e-post, samarbetsprogram och alla deras data.
I den här illustrationen pågår en attack. Nätfiske kommer till inkorgen för en anställd i organisationen, som oavsiktligt öppnar den bifogade filen i e-postmeddelandet. Det här installerar skadlig programvara, vilket leder till en kedja av händelser som kan sluta med stöld av känsliga data. Men i det här fallet är Defender Office 365 i bruk.
På bilden:
- Exchange Online Protection i Microsoft Defender för Office 365 kan du identifiera nätfiskemeddelanden och använda e-postflödesregler för att se till att de aldrig anländer i Inkorgen.
- Defender för Office 365 säkra bifogade filer testar den bifogade filen och anser att den är skadlig, så att e-post som kommer in antingen inte kan användas av användaren eller principer så att e-postmeddelandet inte kommer alls.
- Defender för Endpoint hanterar enheter som ansluter till företagsnätverket och identifierar säkerhetsproblem i enheter och nätverk som annars skulle kunna utnyttjas.
- Defender för identitet noterar plötsligt kontoändringar som eskalering av behörighet eller högriskrörelse. Dessutom rapporter om lätt utnyttjas identitetsproblem, t.ex. unconstrained Kerberos delegering, för korrigering av säkerhetsteamet.
- I Microsoft Defender för molnappar observeras avvikande beteende, som till exempel omöjligt resor, åtkomst till autentiseringsuppgifter och ovanlig nedladdning, filresurs eller vidarebefordran av e-post samt rapporter till säkerhetsteamet.
Microsoft 365 Defender komponenter
Microsoft 365 Defender består av dessa säkerhetstekniker och fungerar tillsammans. Du behöver inte alla dessa komponenter för att dra nytta av funktionerna i XDR och Microsoft 365 Defender. Du kommer också att inse vinster och effektivitet genom att använda en eller två.
| Komponent | Beskrivning | Referensmaterial |
|---|---|---|
| Microsoft Defender for Identity | Microsoft Defender för identitet använder Active Directory-signaler för att identifiera, identifiera och undersöka avancerade hot, komprometterade identiteter och skadliga Insider-åtgärder riktade till organisationen. | Vad är Microsoft Defender for Identity? |
| Exchange Online Protection | Exchange Online Protection är den molnbaserade tjänsten för SMTP-relä och filtrering som hjälper dig att skydda organisationen mot skräppost och skadlig programvara. | Exchange Online Protection (EOP) – Office 365 |
| Microsoft Defender för Office 365 | Microsoft Defender för Office 365 skyddar organisationen mot skadliga hot som kan orsakas av e-postmeddelanden, länkar (URL:er) och samarbetsverktyg. | Microsoft Defender för Office 365 – Office 365 |
| Microsoft Defender för Endpoint | Microsoft Defender för Endpoint är en enhetlig plattform för enhetsskydd, identifiering efter intrång, automatisk undersökning och rekommenderade svar. | Microsoft Defender för slutpunkt – Windows säkerhet |
| Microsoft Defender for Cloud Apps | Microsoft Defender för molnappar är en omfattande SaaS-lösning som ger djup synlighet, starka datakontroller och förbättrat skydd mot hot i dina molnappar. | Vad är Defender för molnappar? |
| Azure AD Identity Protection | Azure AD Identity Protection utvärderar riskdata från flera miljoner inloggningsförsök och använder dessa data för att utvärdera risken för varje inloggning i miljön. Dessa data används av Azure AD för att tillåta eller förhindra kontoåtkomst, beroende på hur villkorsstyrda åtkomstprinciper konfigureras. Azure AD Identity Protection licensieras separat från Microsoft 365 Defender. Det ingår i Azure Active Directory Premium P2. | Vad är identitetsskydd? |
Microsoft 365 Defender arkitektur
Diagrammet nedan illustrerar högnivåarkitektur för Microsoft 365 Defender komponenter och integreringar. Detaljerad arkitektur för varje Defender-komponent och användningsfallsscenarier ges i den här serien med artiklar.
I den här illustrationen:
- Microsoft 365 Defender kombinerar signalerna från alla Defender-komponenter för utökad identifiering och svar (XDR) över domäner. Det inkluderar en enhetlig incidentkö, automatiserat svar för att stoppa attacker, självgående (för komprometterade enheter, användaridentiteter och postlådor), kors hotande hot och hotanalyser.
- Microsoft 365 Defender skyddar organisationen mot skadliga hot som e-postmeddelanden, länkar och samarbetsverktyg medför. Den delar signaler som härrör från dessa aktiviteter med Microsoft 365 Defender. Exchange Online Protection (EOP) är integrerat för att ge end-to-end-skydd för inkommande e-postmeddelanden och bifogade filer.
- Microsoft Defender for Identity samlar in signaler från servrar som kör Active Directory Federated Services (AD FS) och AD DS (premises Active Directory Domain Services). Dessa signaler används för att skydda hybrididentitetsmiljön, bland annat för att skydda mot hackare som använder komprometterade konton för att flytta runt bland arbetsstationer i den lokala miljön.
- Microsoft Defender för Endpoint samlar in signaler från och skyddar enheter som används av din organisation.
- Microsoft Defender för molnappar samlar in signaler från din organisations användning av molnappar och skyddar data som flödar mellan din miljö och dessa appar, inklusive både obehöriga och olästa molnappar.
- Azure AD Identity Protection utvärderar riskdata från flera miljoner inloggningsförsök och använder dessa data för att utvärdera risken för varje inloggning i miljön. Dessa data används av Azure AD för att tillåta eller förhindra kontoåtkomst, beroende på hur villkorsstyrda åtkomstprinciper konfigureras. Azure AD Identity Protection licensieras separat från Microsoft 365 Defender. Det ingår i Azure Active Directory Premium P2.
Ytterligare valfria arkitekturkomponenter som inte ingår i den här illustrationen:
- Detaljerade signaldata från alla Microsoft 365 Defender-komponenter kan integreras i Microsoft Sentinel och kombineras med andra loggningskällor för att kunna erbjuda fullständiga SIEM- och SOAR-funktioner och insikter.
Utvärderingsprocessen
Microsoft rekommenderar att du aktiverar komponenterna Microsoft 365 i den ordning som visas:
I följande tabell beskrivs den här illustrationen.
| Steg | Beskrivning | |
|---|---|---|
| 1 | Skapa utvärderingsmiljön | Det här steget säkerställer att du har utvärderingslicensen för Microsoft 365 Defender. |
| 2 | Aktivera Defender för identitet | Granska arkitekturkraven, aktivera utvärderingen och gå igenom självstudiekurser för att identifiera och åtgärda olika attacktyper. |
| 3 | Aktivera Defender för Office 365 | Se till att du uppfyller arkitekturkraven, aktivera utvärderingen och skapa sedan pilotmiljön. Den här komponenten innehåller Exchange Online Protection och så du kommer att utvärdera båda här. |
| 4 | Aktivera Defender för Slutpunkt | Se till att du uppfyller arkitekturkraven, aktivera utvärderingen och skapa sedan pilotmiljön. |
| 5 | Aktivera Microsoft Defender för molnappar | Se till att du uppfyller arkitekturkraven, aktivera utvärderingen och skapa sedan pilotmiljön. |
| 6 | Undersöka och svara på hot | Simulera en attack och börja använda incidentsvarsfunktioner. |
| 7 | Framhäva utvärderingsversionen till produktion | Marknadsföra Microsoft 365 en 1:1-produktion. |
Det här är en rekommenderad ordning som är utformad för att snabbt få ut värdet av funktionerna baserat på hur mycket arbete som normalt krävs för att distribuera och konfigurera funktionerna. Till exempel kan Defender för Office 365 konfigureras på kortare tid än vad som krävs för att registrera enheter i Defender för Slutpunkt. Självklart kan du prioritera komponenterna så att de uppfyller dina affärsbehov och aktivera dem i en annan ordning.