Přehled plánování sjednocených platforem operací zabezpečení od Microsoftu
Tento článek popisuje aktivity při plánování nasazení produktů microsoftu pro zabezpečení na platformu Sjednocené operace zabezpečení microsoftu pro komplexní operace zabezpečení (SecOps). Sjednocte své operace SecOps na platformě Microsoftu, abyste mohli snížit riziko, zabránit útokům, detekovat a narušovat kybernetické hrozby v reálném čase a rychleji reagovat pomocí funkcí zabezpečení s vylepšenou AI, a to vše z portálu Microsoft Defender.
Plánování vašeho nasazení
Sjednocená platforma Microsoftu SecOps kombinuje služby, jako jsou Microsoft Defender XDR, Microsoft Sentinel, Správa míry rizika zabezpečení od Microsoftu a Microsoft Security Copilot na portálu Microsoft Defender.
Prvním krokem při plánování nasazení je výběr služeb, které chcete použít.
Jako základní předpoklad budete potřebovat Microsoft Defender XDR i Microsoft Sentinel k monitorování a ochraně služeb a řešení microsoftu i jiných společností, včetně cloudových i místních prostředků.
Nasaďte některou z následujících služeb a přidejte zabezpečení napříč koncovými body, identitami, e-maily a aplikacemi a získáte tak integrovanou ochranu před sofistikovanými útoky.
Microsoft Defender XDR služby zahrnují:
| Služba | Popis |
|---|---|
| Microsoft Defender for Identity | Identifikuje, detekuje a prošetřuje hrozby z místní Active Directory i cloudových identit, jako je Microsoft Entra ID. |
| Microsoft Defender pro Office 365 | Chrání před hrozbami, které představují e-mailové zprávy, odkazy url a nástroje pro spolupráci Office 365. |
| Microsoft Defender for Endpoint | Monitoruje a chrání zařízení koncových bodů, detekuje a prošetřuje porušení zabezpečení zařízení a automaticky reaguje na bezpečnostní hrozby. |
| Podnikové monitorování IoT z Microsoft Defender pro IoT | Poskytuje hodnotu zjišťování zařízení IoT i hodnotu zabezpečení pro zařízení IoT. |
| Microsoft Defender Správa zranitelností | Identifikuje prostředky a inventář softwaru a vyhodnocuje stav zařízení a zjišťuje ohrožení zabezpečení. |
| Microsoft Defender for Cloud Apps | Chrání a řídí přístup ke cloudovým aplikacím SaaS. |
Mezi další služby podporované na portálu Microsoft Defender jako součást sjednocené platformy Microsoftu SecOps, které ale nejsou licencované s Microsoft Defender XDR, patří:
| Služba | Popis |
|---|---|
| Správa míry rizika zabezpečení od Microsoftu | Poskytuje jednotný pohled na stav zabezpečení napříč firemními prostředky a úlohami a rozšiřuje informace o prostředcích o kontext zabezpečení. |
| Microsoft Security Copilot | Poskytuje přehledy založené na umělé inteligenci a doporučení pro vylepšení operací zabezpečení. |
| Microsoft Defender for Cloud | Chrání vícecloudová a hybridní prostředí pomocí pokročilé detekce hrozeb a reakce na ně. |
| Analýza hrozeb v programu Microsoft Defender | Zjednodušuje pracovní postupy analýzy hrozeb tím, že agreguje a rozšiřuje důležité zdroje dat tak, aby korelovaly indikátory ohrožení (IOC) se souvisejícími články, profily aktérů a ohroženími zabezpečení. |
| Microsoft Entra ID Protection | Vyhodnocuje data rizik z pokusů o přihlášení, aby bylo vyhodnoceno riziko každého přihlášení k vašemu prostředí. |
Kontrola požadavků na službu
Než nasadíte sjednocenou platformu microsoftu pro operace zabezpečení, projděte si požadavky pro každou službu, kterou plánujete používat. V následující tabulce jsou uvedené služby a odkazy na jejich požadavky:
| Služba zabezpečení | Odkaz na požadavky |
|---|---|
| Vyžaduje se pro sjednocené operace SecOps. | |
| Microsoft Defender XDR a Microsoft Defender pro Office | požadavky na Microsoft Defender XDR |
| Microsoft Sentinel | Požadavky na nasazení Microsoft Sentinel |
| Volitelné služby Microsoft Defender XDR | |
| Microsoft Defender for Identity | požadavky na Microsoft Defender for Identity |
| Microsoft Defender for Endpoint | Nastavení nasazení Microsoft Defender for Endpoint |
| Podnikové monitorování s využitím Microsoft Defender pro IoT | Požadavky na zabezpečení IoT pro podniky |
| Správa ohrožení zabezpečení v programu Microsoft Defender | Požadavky & oprávnění pro Microsoft Defender Správa zranitelností |
| Microsoft Defender for Cloud Apps | Začínáme se službou Microsoft Defender for Cloud Apps |
| Další služby podporované na portálu Microsoft Defender | |
| Správa míry rizika zabezpečení od Microsoftu | Požadavky a podpora |
| Microsoft Security Copilot | Minimální požadavky |
| Microsoft Defender for Cloud | Začněte plánovat vícecloudové ochrany a další články ve stejné části. |
| Analýza hrozeb v programu Microsoft Defender | Předpoklady pro analýzu hrozeb defenderu |
| Microsoft Entra ID Protection | Požadavky na Microsoft Entra ID Protection |
Plánování architektury pracovního prostoru služby Log Analytics
Pokud chcete používat sjednocenou platformu SecOps od Microsoftu, potřebujete pracovní prostor služby Log Analytics povolený pro Microsoft Sentinel. Jeden pracovní prostor služby Log Analytics může stačit pro mnoho prostředí, ale mnoho organizací vytváří více pracovních prostorů, aby optimalizovaly náklady a lépe splňovaly různé obchodní požadavky. Sjednocená platforma SecOps od Microsoftu podporuje pouze jeden pracovní prostor.
Navrhněte pracovní prostor služby Log Analytics, který chcete povolit pro Microsoft Sentinel. Zvažte parametry, jako jsou požadavky na dodržování předpisů, které máte pro shromažďování a ukládání dat, a způsob řízení přístupu k Microsoft Sentinel datům.
Další informace najdete tady:
Plánování Microsoft Sentinel nákladů a zdrojů dat
Sjednocená platforma Microsoftu SecOps ingestuje data ze služeb Microsoftu první strany, jako jsou Microsoft Defender for Cloud Apps a Microsoft Defender for Cloud. Doporučujeme rozšířit pokrytí na další zdroje dat ve vašem prostředí přidáním Microsoft Sentinel datových konektorů.
Určení zdrojů dat
Určete úplnou sadu zdrojů dat, ze které budete data ingestovat, a požadavky na velikost dat, které vám pomůžou přesně promítnout rozpočet a časovou osu nasazení. Tyto informace můžete zjistit během kontroly vašeho obchodního případu použití nebo vyhodnocením aktuálního SIEM, který už máte. Pokud už máte SIEM, analyzujte svá data, abyste pochopili, které zdroje dat poskytují největší hodnotu a měly by se ingestovat do Microsoft Sentinel.
Můžete například použít některý z následujících doporučených zdrojů dat:
Služby Azure: Pokud je v Azure nasazená některá z následujících služeb, použijte následující konektory k odeslání diagnostických protokolů těchto prostředků do Microsoft Sentinel:
- Azure Firewall
- Azure Application Gateway
- Keyvault
- Azure Kubernetes Service
- Azure SQL
- Skupiny zabezpečení sítě
- Servery Azure-Arc
Doporučujeme nastavit Azure Policy tak, aby vyžadovaly předávání protokolů do základního pracovního prostoru služby Log Analytics. Další informace najdete v tématu Vytvoření nastavení diagnostiky ve velkém měřítku pomocí Azure Policy.
Virtuální počítače: Pro virtuální počítače hostované místně nebo v jiných cloudech, které vyžadují shromažďování protokolů, použijte následující datové konektory:
- Zabezpečení Windows Události pomocí AMA
- Události přes Defender for Endpoint (pro server)
- Syslog
Síťová virtuální zařízení / místní zdroje: Pro síťová virtuální zařízení nebo jiné místní zdroje, které generují protokoly CEF (Common Event Format) nebo SYSLOG, použijte následující datové konektory:
- Syslog přes AMA
- Formát cef (Common Event Format) přes AMA
Další informace najdete v tématu Stanovení priorit datových konektorů.
Plánování rozpočtu
Naplánujte si rozpočet Microsoft Sentinel s ohledem na náklady na každý plánovaný scénář. Ujistěte se, že váš rozpočet pokrývá náklady na příjem dat pro Microsoft Sentinel a Azure Log Analytics, všechny playbooky, které se nasadí, atd. Další informace najdete tady:
- Plány uchovávání protokolů v Microsoft Sentinel
- Plánování nákladů a vysvětlení Microsoft Sentinel cen a fakturace
Plánování rolí a oprávnění
Pomocí Microsoft Entra řízení přístupu na základě rolí (RBAC) můžete vytvářet a přiřazovat role v rámci týmu operací zabezpečení a udělovat jim odpovídající přístup ke službám, které jsou součástí sjednocené platformy SecOps microsoftu.
Model Microsoft Defender XDR Sjednocené řízení přístupu na základě role (RBAC) poskytuje jediné prostředí pro správu oprávnění, které správcům poskytuje jedno centrální umístění pro řízení uživatelských oprávnění napříč několika řešeními zabezpečení. Další informace najdete v tématu Microsoft Defender XDR Sjednocené řízení přístupu na základě role (RBAC).
Pro následující služby použijte různé dostupné role nebo vytvořte vlastní role, které vám poskytnou podrobnou kontrolu nad tím, co uživatelé můžou zobrazit a dělat. Další informace najdete tady:
Plánování nulová důvěra (Zero Trust) aktivit
Sjednocená platforma SecOps od Microsoftu je součástí modelu zabezpečení nulová důvěra (Zero Trust) microsoftu, který zahrnuje následující principy:
| Princip | Popis |
|---|---|
| Explicitní ověření | Vždy se ověřujte a autorizujete na základě všech dostupných datových bodů. |
| Použití přístupu s nejnižšími oprávněními | Omezte přístup uživatelů pomocí technologie JiT/JEA (Just-In-Time a Just-Enough-Access), adaptivních zásad založených na rizicích a ochrany dat. |
| Předpokládat porušení zabezpečení | Minimalizujte poloměr výbuchu a přístup k segmentům. Ověřte komplexní šifrování a využijte analýzy k získání přehledu, řízení detekce hrozeb a vylepšení ochrany. |
nulová důvěra (Zero Trust) zabezpečení je navržené tak, aby chránilo moderní digitální prostředí tím, že využívá segmentaci sítě, brání laterálnímu pohybu, poskytuje přístup s nejnižšími oprávněními a využívá pokročilé analýzy k detekci hrozeb a reakci na ně.
Další informace o implementaci principů nulová důvěra (Zero Trust) na sjednocené platformě SecOps společnosti Microsoft najdete v tématu nulová důvěra (Zero Trust) obsahu pro následující služby:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender for Identity
- Microsoft Defender pro Office 365
- Microsoft Defender for Endpoint
- Microsoft Defender for Cloud Apps
- Správa míry rizika zabezpečení od Microsoftu
- Microsoft Defender for Cloud
- Microsoft Security Copilot
- Microsoft Entra ID Protection
Další krok
Nasazení sjednocené platformy microsoftu pro operace zabezpečení