Nasazení sjednocené platformy SecOps od Microsoftu

Sjednocená platforma microsoftu pro operace zabezpečení kombinuje možnosti portálu Microsoft Defender, Microsoft Sentinel a dalších Microsoft Defender služeb. Tato platforma poskytuje komplexní přehled o stavu zabezpečení vaší organizace a pomáhá vám zjišťovat hrozby, prošetřovat je a reagovat na ně v celé organizaci.

Správa míry rizika zabezpečení od Microsoftu a Microsoft Threat Intelligence jsou k dispozici v jakémkoli prostředí, které splňuje požadavky, pro uživatele s nakonfigurovanými požadovanými oprávněními.

Požadavky

• Než nasadíte sjednocenou platformu microsoftu pro operace zabezpečení, ujistěte se, že máte zavedený plán, včetně návrhu pracovního prostoru a znalost nákladů a fakturace Microsoft Sentinel.

  Další informace najdete v tématu Přehled plánování sjednocených platforem operací zabezpečení.

Nasazení služeb Microsoft Defender XDR

Microsoft Defender XDR sjednocuje reakci na incidenty integrací klíčových funkcí napříč službami, včetně Microsoft Defender for Endpoint, Microsoft Defender pro Office 365 Microsoft Defender for Cloud Apps a Microsoft Defender for Identity. Toto jednotné prostředí přidává výkonné funkce, ke které máte přístup na portálu Microsoft Defender.

1. Microsoft Defender XDR se automaticky zapne, když Microsoft Defender portál navštíví opravňující zákazníci s požadovanými oprávněními. Další informace najdete v tématu Zapnutí Microsoft Defender XDR.

2. Pokračujte nasazením služeb Microsoft Defender XDR. Doporučujeme použít následující pořadí:

   1. Nasazení Microsoft Defender for Identity

   2. Nasazení Microsoft Defender pro Office 365.

   3. Nasazení Microsoft Defender for Endpoint. Přidejte Microsoft Defender Správa zranitelností nebo podnikové monitorování pro zařízení IoT podle potřeby pro vaše prostředí.

   4. Nasazení Microsoft Defender for Cloud Apps.

Konfigurace Microsoft Entra ID Protection

Microsoft Defender XDR může ingestovat a zahrnovat signály z Microsoft Entra ID Protection, která vyhodnocuje data rizik z miliard pokusů o přihlášení a vyhodnocuje riziko každého přihlášení k vašemu prostředí. Microsoft Entra ID Protection data používají Microsoft Entra ID k povolení nebo zabránění přístupu k účtu v závislosti na konfiguraci zásad podmíněného přístupu.

Nakonfigurujte Microsoft Entra ID Protection, abyste zlepšili stav zabezpečení a přidali Microsoft Entra signály do sjednocených operací zabezpečení. Další informace najdete v tématu Konfigurace zásad Microsoft Entra ID Protection.

Nasazení Microsoft Defender pro cloud

Microsoft Defender for Cloud poskytuje jednotné prostředí pro správu zabezpečení pro cloudové prostředky a může také odesílat signály do Microsoft Defender XDR. Můžete například chtít začít tím, že svá předplatná Azure propojíte s Microsoft Defender for Cloud a pak přejdete do jiných cloudových prostředí.

Další informace najdete v tématu Připojení předplatných Azure.

Onboarding do Microsoft Security Copilot

Připojte se k Microsoft Security Copilot a vylepšete své operace zabezpečení využitím pokročilých funkcí AI. Security Copilot pomáhá s detekcí hrozeb, vyšetřováním a reakcí na hrozby a poskytuje užitečné přehledy a doporučení, které vám pomůžou udržet si náskok před potenciálními hrozbami. Pomocí Security Copilot můžete automatizovat rutinní úlohy, zkrátit dobu potřebnou k detekci incidentů a reagovat na ně a zlepšit celkovou efektivitu vašeho bezpečnostního týmu.

Další informace najdete v tématu Začínáme s Security Copilot.

Návrh pracovního prostoru a onboarding do Microsoft Sentinel

Prvním krokem při používání Microsoft Sentinel je vytvoření pracovního prostoru služby Log Analytics, pokud ho ještě nemáte. Jeden pracovní prostor služby Log Analytics může stačit pro mnoho prostředí, ale mnoho organizací vytváří více pracovních prostorů, aby optimalizovaly náklady a lépe splňovaly různé obchodní požadavky. Sjednocená platforma microsoftu pro operace zabezpečení podporuje pouze jeden pracovní prostor.

1. Vytvořte skupinu prostředků Zabezpečení pro účely zásad správného řízení, která vám umožní izolovat Microsoft Sentinel prostředky a přístup ke kolekci na základě role.
2. Ve skupině prostředků Zabezpečení vytvořte pracovní prostor služby Log Analytics a připojte do něj Microsoft Sentinel.

Další informace najdete v tématu Onboarding Microsoft Sentinel.

Konfigurace rolí a oprávnění

Zřiďte uživatele na základě plánu přístupu, který jste připravili dříve. V souladu s nulová důvěra (Zero Trust) principy doporučujeme použít řízení přístupu na základě role (RBAC) k tomu, abyste uživatelům poskytli přístup jenom k prostředkům, které jsou povolené a relevantní pro každého uživatele, a neposkytujte přístup k celému prostředí.

Další informace najdete tady:

• Aktivace Microsoft Defender XDR sjednoceného řízení přístupu na základě role (RBAC)
• Přiřazení Microsoft Entra ID rolí uživatelům
• Udělení přístupu uživatele k rolím Azure

Onboarding do sjednocených operací SecOps

Když nasadíte Microsoft Sentinel na portál Defender, sjednotíte funkce pomocí Microsoft Defender XDR, jako je správa incidentů a pokročilé proaktivní vyhledávání, a vytvoříte tak jednotnou platformu SecOps.

1. Nainstalujte řešení Microsoft Defender XDR pro Microsoft Sentinel z centra Obsahu. Další informace najdete v tématu Nasazení a správa obsahu před rámečkem.
2. Povolte datovému konektoru Microsoft Defender XDR shromažďovat incidenty a výstrahy. Další informace najdete v tématu Připojení dat z Microsoft Defender XDR k Microsoft Sentinel.
3. Připojte se ke sjednocené platformě SecOps od Microsoftu. Další informace najdete v tématu Připojení Microsoft Sentinel k Microsoft Defender.

Vyladění konfigurací systému

K vyladění nasazení použijte následující možnosti konfigurace Microsoft Sentinel:

Povolení stavu a auditování

Monitorujte stav a auditujte integritu podporovaných prostředků Microsoft Sentinel zapnutím funkce auditování a monitorování stavu na stránce Nastavení Microsoft Sentinel. Získejte přehled o posunech stavu, jako jsou nejnovější události selhání nebo změny stavu úspěšného na neúspěšné, a o neoprávněných akcích a použijte tyto informace k vytváření oznámení a dalších automatizovaných akcí.

Další informace najdete v tématuZapnutí auditování a monitorování stavu pro Microsoft Sentinel.

Konfigurace obsahu Microsoft Sentinel

Na základě zdrojů dat, které jste vybrali při plánování nasazení, nainstalujte Microsoft Sentinel řešení a nakonfigurujte datové konektory. Microsoft Sentinel poskytuje širokou škálu integrovaných řešení a datových konektorů, ale můžete také vytvářet vlastní konektory a nastavit konektory pro příjem protokolů CEF nebo Syslog.

Další informace najdete tady:

• Konfigurace obsahu
• Zjišťování a správa Microsoft Sentinel předefinovaný obsah
• Vyhledání datového konektoru

Povolení analýzy chování uživatelů a entit (UEBA)

Po nastavení datových konektorů v Microsoft Sentinel nezapomeňte povolit analýzu chování entit uživatelů, abyste identifikovali podezřelé chování, které by mohlo vést ke zneužití phishingu a nakonec útokům, jako je ransomware. Další informace najdete v tématu Povolení UEBA v Microsoft Sentinel.

Nastavení interaktivního a dlouhodobého uchovávání dat

Nastavte interaktivní a dlouhodobé uchovávání dat, abyste měli jistotu, že vaše organizace uchovává data, která jsou z dlouhodobého hlediska důležitá. Další informace najdete v tématu Konfigurace interaktivního a dlouhodobého uchovávání dat.

Povolení analytických pravidel

Analytická pravidla Microsoft Sentinel říkají, aby vás upozorňovali na události pomocí sady podmínek, které považujete za důležité. Rozhodnutí, která Microsoft Sentinel provádíte, jsou založená na analýze chování uživatelských entit (UEBA) a na korelacích dat napříč několika zdroji dat. Při zapnutí analytických pravidel pro Microsoft Sentinel určete prioritu povolení pomocí propojených zdrojů dat, organizačního rizika a taktiky MITRE.

Další informace najdete v tématu Detekce hrozeb v Microsoft Sentinel.

Kontrola pravidel anomálií

Microsoft Sentinel pravidla anomálií jsou k dispozici automaticky a ve výchozím nastavení povolená. Pravidla anomálií jsou založená na modelech strojového učení a rozhraní UEBA, které trénují data ve vašem pracovním prostoru tak, aby označily neobvyklé chování uživatelů, hostitelů a dalších uživatelů. Projděte si pravidla anomálií a prahovou hodnotu skóre anomálií pro každou z nich. Pokud například pozorujete falešně pozitivní výsledky, zvažte duplikování pravidla a úpravu prahové hodnoty.

Další informace najdete v tématu Práce s analytickými pravidly detekce anomálií.

Použití analytického pravidla Analýzy hrozeb Microsoftu

Povolte předefinované analytické pravidlo Analýzy hrozeb Microsoftu a ověřte, že toto pravidlo odpovídá vašim datům protokolů s analýzou hrozeb vygenerovanou Microsoftem. Microsoft má rozsáhlé úložiště dat analýzy hrozeb a toto analytické pravidlo používá jeho podmnožinu ke generování vysoce věrných výstrah a incidentů pro týmy SOC (bezpečnostních center) k posouzení.

Vyhněte se duplicitním incidentům

Po připojení Microsoft Sentinel k Microsoft Defender se automaticky vytvoří obousměrná synchronizace mezi incidenty Microsoft Defender XDR a Microsoft Sentinel. Pokud se chcete vyhnout vytváření duplicitních incidentů pro stejná upozornění, doporučujeme vypnout všechna pravidla vytváření incidentů Microsoftu pro produkty integrované Microsoft Defender XDR, včetně Defenderu for Endpoint, Defenderu for Identity, Defender pro Office 365, Defender for Cloud Apps a Microsoft Entra ID Protection.

Další informace najdete v tématu Vytvoření incidentu Microsoftu .

Provedení MITRE ATT&CK crosswalk

S povolenými analytickými pravidly analýzy fúze, anomálií a analýzy hrozeb proveďte mitre att&ck crosswalk, abyste se mohli rozhodnout, která zbývající analytická pravidla povolíte a dokončíte implementaci vyspělého procesu XDR (rozšířené detekce a reakce). To vám umožní detekovat a reagovat během celého životního cyklu útoku.

Další informace najdete v tématu Vysvětlení pokrytí zabezpečení.