Zabezpečení nulové důvěryhodnosti s využitím Microsoft Sentinelu a XDR v programu Defender

• Platí pro:

  Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Defender XDR je řešení XDR, které doplňuje Microsoft Sentinel. XDR načítá nezpracovaná telemetrická data z několika služeb, jako jsou cloudové aplikace, zabezpečení e-mailu, identita a správa přístupu.

S využitím umělé inteligence (AI) a strojového učení provádí XDR automatickou analýzu, šetření a odezvu v reálném čase. Také koreluje výstrahy zabezpečení do větších incidentů a poskytuje týmům zabezpečení lepší přehled o útocích a určování priorit incidentů, aby analytici mohli měřit úrovně rizika hrozeb.

S Microsoft Sentinelem se můžete připojit k mnoha zdrojům zabezpečení pomocí integrovaných konektorů a oborových standardů. Pomocí umělé inteligence můžete korelovat několik signálů s nízkou věrností, které pokrývají více zdrojů, a vytvořit tak kompletní přehled o řetězu ukončení ransomwaru a výstrahách s prioritou.

Běžné pořadí útoků

Tato část popisuje typický scénář útoku zahrnující útok phishing a reakce na incident pomocí microsoft Sentinelu a XDR v programu Microsoft Defender.

Diagram ukazuje bezpečnostní produkty Microsoftu, které detekují jednotlivé kroky útoku, a jak jsou signály útoku a data SIEM předávána do systému Microsoft Defender XDR a platformy Microsoft Sentinel.

Tady je souhrn útoku.

Krok útoku	Služba detekce a zdroj signálu	Obrana na místě
1. Útočník odešle phishingový e-mail.	Microsoft Defender pro Office 365	Chrání poštovní schránky pomocí pokročilých anti-phishingových funkcí, které mohou chránit před phishingovými útoky založenými na zneužití identity.
2. Uživatel otevře přílohu.	Microsoft Defender pro Office 365	Funkce Bezpečné přílohy v programu Microsoft Defender pro Office 365 otevírá přílohy v izolovaném prostředí pro další kontrolu hrozeb (detonace).
3. Příloha nainstaluje malware	Microsoft Defender for Endpoint (ochrana koncových bodů)	Chrání koncové body před malwarem pomocí funkcí ochrany nové generace, jako je cloudem poskytovaná ochrana a ochrana založená na chování, heuristická ochrana nebo antivirová ochrana v reálném čase.
4. Malware ukradne přihlašovací údaje uživatele	Microsoft Entra ID a Microsoft Entra ID Protection	Chrání identity monitorováním chování a aktivit uživatelů, zjišťováním laterálního pohybu a upozorňováním na neobvyklou aktivitu.
5. Útočník se přesouvá v aplikacích a datech Microsoftu 365 laterálně.	Microsoft Defender for Cloud Apps	Dokáže detekovat neobvyklou aktivitu uživatelů, kteří přistupují ke cloudovým aplikacím.
6. Útočník stáhne citlivé soubory ze složky SharePointu.	Microsoft Defender for Cloud Apps	Dokáže detekovat události hromadného stahování souborů ze SharePointu a reagovat na ně.

Pokud jste pracovní prostor Microsoft Sentinel integrovali do portálu Defender, data SIEM jsou k dispozici přímo v Microsoft Defenderu na portálu Microsoft Defender.

Reakce na incidenty pomocí Microsoft Sentinelu a XDR v programu Microsoft Defender

Po pozorování běžného útoku použijte k reakci na incidenty Microsoft Sentinel a XDR v programu Microsoft Defender.

Vyberte příslušnou kartu pro váš pracovní prostor v závislosti na tom, jestli jste ho připojili k portálu Defender.

portálu Defenderu

Po připojení Microsoft Sentinelu k portálu Defender dokončete všechny kroky reakce na incidenty přímo na portálu Microsoft Defenderu stejně jako u jiných incidentů XDR v programu Microsoft Defender. Mezi podporované kroky patří vše od třídění až po šetření a řešení.

Oblast Microsoft Sentinel na portálu Microsoft Defender použijte pro funkce, které nejsou dostupné jenom na portálu Defender.

Další informace najdete v tématu Reakce na incident pomocí služby Microsoft Sentinel a XDR v programu Microsoft Defender.

portál Azure

Pomocí následujícího procesu vysoké úrovně můžete reagovat na incident s Microsoft Sentinelem na webu Azure Portal společně s XDR v programu Microsoft Defender:

1. Určení priorit incidentu na portálu Microsoft Sentinel
2. Přejděte na portál Microsoft Defender a zahajte šetření.
3. V případě potřeby pokračujte v šetření na portálu Microsoft Sentinel.
4. Řešení incidentu na portálu Microsoft Sentinel

Následující diagram znázorňuje proces počínaje zjišťováním a tříděním v Microsoft Sentinelu.

Další informace naleznete v tématu Reagovat na incident pomocí služby Microsoft Sentinel a Microsoft Defender XDR.

Související obsah

Další informace naleznete v tématu reakce na incidenty s integrovanými SIEM a XDR.

portálu

Další informace o používání principů nulové důvěryhodnosti v Microsoftu 365 najdete tady:

• Plán nasazení Zero Trust s Microsoftem 365
• Nasazení infrastruktury identit pro Microsoft 365
• konfigurace identit nulové důvěryhodnosti a přístupu zařízení
• Správa zařízení pomocí Microsoft Intune
• Pilotovat a nasadit Microsoft Defender XDR
• Správa ochrany osobních údajů a ochrany dat pomocí Microsoft Priva a Microsoft Purview
• Integrujte SaaS aplikace pro model Zero Trust s Microsoftem 365

portál Azure

Další informace naleznete v tématu Doporučené školení pro SIEM a XDR.

Další informace o použití principů nulové důvěryhodnosti v Azure najdete v tématu:

• Přehled Azure IaaS
• úložiště Azure
• virtuálních počítačů
• Spoke virtuální sítě
• virtuální sítě centra
• paprsková virtuální síť se službou Azure PaaS Services
• Azure Virtual Desktop
• Azure Virtual WAN
• aplikace IaaS v Amazon Web Services