Udrul Microsofts samlede SecOps-platform

Microsofts unified security operations-platform kombinerer funktionerne i Microsoft Defender portalen, Microsoft Sentinel og andre Microsoft Defender tjenester. Denne platform giver en omfattende visning af din organisations sikkerhedsholdning og hjælper dig med at registrere, undersøge og reagere på trusler på tværs af organisationen.

Microsoft Security Exposure Management og Microsoft Threat Intelligence er tilgængelige i alle miljøer, der opfylder forudsætningerne, for brugere, der er konfigureret med påkrævede tilladelser.

Forudsætninger

• Før du udruller Microsofts unified security operations-platform, skal du sørge for, at du har en plan på plads, herunder et arbejdsområdedesign og en forståelse af Microsoft Sentinel omkostninger og fakturering.

  Du kan få flere oplysninger under Oversigt over planlægning af unified-sikkerhedshandlinger.

Udrul Microsoft Defender XDR tjenester

Microsoft Defender XDR samler svar på hændelser ved at integrere vigtige funktioner på tværs af tjenester, herunder Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Cloud Apps og Microsoft Defender for Identity. Denne samlede oplevelse tilføjer effektive funktioner, som du kan få adgang til på Microsoft Defender-portalen.

1. Microsoft Defender XDR aktiveres automatisk, når berettigede kunder med de nødvendige tilladelser besøger Microsoft Defender portal. Du kan få flere oplysninger under Slå Microsoft Defender XDR til.

2. Fortsæt ved at installere Microsoft Defender XDR-tjenester. Vi anbefaler, at du bruger følgende rækkefølge:

   1. Installer Microsoft Defender for Identity.

   2. Installer Microsoft Defender for Office 365.

   3. Installer Microsoft Defender for Endpoint. Tilføj Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender og/eller virksomhedsovervågning for IoT-enheder som relevant for dit miljø.

   4. Installer Microsoft Defender for Cloud Apps.

Konfigurer Microsoft Entra ID-beskyttelse

Microsoft Defender XDR kan indtage og inkludere signaler fra Microsoft Entra ID-beskyttelse, som evaluerer risikodata fra milliarder af logonforsøg og evaluerer risikoen for hvert logon til dit miljø. Microsoft Entra ID-beskyttelse data bruges af Microsoft Entra ID til at tillade eller forhindre kontoadgang, afhængigt af hvordan politikker for betinget adgang er konfigureret.

Konfigurer Microsoft Entra ID-beskyttelse for at forbedre din sikkerhedsholdning og føje Microsoft Entra signaler til dine samlede sikkerhedshandlinger. Du kan få flere oplysninger under Konfigurer dine Microsoft Entra ID-beskyttelse politikker.

Udrul Microsoft Defender til Cloud

Microsoft Defender til Cloud giver en samlet sikkerhedsadministrationsoplevelse for dine cloudressourcer og kan også sende signaler til Microsoft Defender XDR. Det kan f.eks. være, at du vil starte med at oprette forbindelse mellem dine Azure-abonnementer og Microsoft Defender til Cloud og derefter gå videre til andre cloudmiljøer.

Du kan få flere oplysninger under Opret forbindelse til dine Azure-abonnementer.

Onboard til Microsoft Security Copilot

Onboard til Microsoft Security Copilot for at forbedre dine sikkerhedshandlinger ved at udnytte avancerede funktioner til kunstig intelligens. Security Copilot hjælper med trusselsregistrering, undersøgelse og svar og giver handlingsrettet indsigt og anbefalinger, der kan hjælpe dig med at holde dig foran potentielle trusler. Brug Security Copilot til at automatisere rutineopgaver, reducere tiden til at registrere og reagere på hændelser og forbedre sikkerhedsteamets overordnede effektivitet.

Du kan få flere oplysninger under Kom i gang med Security Copilot.

Opret et arbejdsområde, og onboard til Microsoft Sentinel

Det første trin i at bruge Microsoft Sentinel er at oprette et Log Analytics-arbejdsområde, hvis du ikke allerede har et. Et enkelt Log Analytics-arbejdsområde kan være tilstrækkeligt til mange miljøer, men mange organisationer opretter flere arbejdsområder for at optimere omkostningerne og bedre opfylde forskellige forretningskrav. Microsofts samlede platform til sikkerhedshandlinger understøtter kun et enkelt arbejdsområde.

1. Opret en sikkerhedsressourcegruppe til styringsformål, som giver dig mulighed for at isolere Microsoft Sentinel ressourcer og rollebaseret adgang til samlingen.
2. Opret et Log Analytics-arbejdsområde i sikkerhedsressourcegruppen, og onboarder Microsoft Sentinel i den.

Du kan få flere oplysninger under Onboard Microsoft Sentinel.

Konfigurer roller og tilladelser

Klargør dine brugere baseret på den adgangsplan, du har forberedt tidligere. For at overholde Zero Trust principper anbefaler vi, at du bruger rollebaseret adgangskontrol til kun at give brugeradgang til de ressourcer, der er tilladt og relevante for hver bruger, i stedet for at give adgang til hele miljøet.

Du kan finde flere oplysninger under:

• Aktivér Microsoft Defender XDR Unified-rollebaseret adgangskontrol (RBAC)
• Tildel Microsoft Entra ID roller til brugere
• Giv en bruger adgang til Azure-roller

Onboard til unified SecOps

Når du onboarder Microsoft Sentinel til Defender-portalen, samler du funktioner med Microsoft Defender XDR som f.eks. administration af hændelser og avanceret jagt, hvilket skaber en samlet SecOps-platform.

1. Installér Microsoft Defender XDR-løsningen til Microsoft Sentinel fra indholdshubben. Du kan få flere oplysninger under Udrul og administrer indhold, der er klar til brug.
2. Aktivér den Microsoft Defender XDR dataconnector for at indsamle hændelser og beskeder. Du kan få flere oplysninger under Opret forbindelse mellem data fra Microsoft Defender XDR og Microsoft Sentinel.
3. Onboard til Microsofts samlede SecOps-platform. Du kan få flere oplysninger under Opret forbindelse Microsoft Sentinel til Microsoft Defender.

Finjuster systemkonfigurationer

Brug følgende Microsoft Sentinel konfigurationsindstillinger til at finjustere installationen:

Aktivér tilstand og overvågning

Overvåg tilstanden, og overvåg integriteten af understøttede Microsoft Sentinel ressourcer ved at aktivere overvågnings- og tilstandsovervågningsfunktionen på siden Indstillinger for Microsoft Sentinel. Få indsigt i tilstandsdrift, f.eks. de seneste fejlhændelser eller ændringer fra succes til fejltilstande og om uautoriserede handlinger, og brug disse oplysninger til at oprette meddelelser og andre automatiserede handlinger.

Du kan få flere oplysninger underSlå overvågning og tilstandsovervågning til for Microsoft Sentinel.

Konfigurer Microsoft Sentinel indhold

På baggrund af de datakilder, du valgte, da du planlagde udrulningen, skal du installere Microsoft Sentinel løsninger og konfigurere dine dataconnectors. Microsoft Sentinel indeholder en lang række indbyggede løsninger og dataconnectors, men du kan også oprette brugerdefinerede connectors og konfigurere forbindelser til indfødning af CEF- eller Syslog-logge.

Du kan finde flere oplysninger under:

• Konfigurer indhold
• Find og administrer Microsoft Sentinel indbyggede indhold
• Find din dataconnector

Aktivér UEBA (User and Entity Behavior Analytics)

Når du har konfigureret dataconnectors i Microsoft Sentinel, skal du sørge for at aktivere analyse af funktionsmåder for brugere for at identificere mistænkelig adfærd, der kan føre til phishing-udnyttelser og til sidst angreb som ransomware. Du kan få flere oplysninger under Aktivér UEBA i Microsoft Sentinel.

Konfigurer interaktiv og langsigtet dataopbevaring

Konfigurer interaktiv og langsigtet dataopbevaring for at sikre, at din organisation bevarer de data, der er vigtige på lang sigt. Du kan få flere oplysninger under Konfigurer interaktiv og langsigtet dataopbevaring.

Aktivér analyseregler

Analyseregler fortæller Microsoft Sentinel om at advare dig om hændelser ved hjælp af et sæt betingelser, som du anser for at være vigtige. De direkte beslutninger, Microsoft Sentinel træffer, er baseret på UEBA (user entity behavioral analytics) og på korrelationer mellem data på tværs af flere datakilder. Når du aktiverer analyseregler for Microsoft Sentinel, skal du prioritere aktivering af forbundne datakilder, organisationsrisici og MITRE-taktik.

Du kan få flere oplysninger under Trusselsregistrering i Microsoft Sentinel.

Gennemse regler for uregelmæssigheder

Microsoft Sentinel regler for uregelmæssigheder er som standard tilgængelige klar til brug og aktiveret. Regler for uregelmæssigheder er baseret på modeller til maskinel indlæring og UEBA, der oplærer dataene i dit arbejdsområde til at markere uregelmæssigheder på tværs af brugere, værter og andre. Gennemse reglerne for uregelmæssigheder og grænsen for score for uregelmæssigheder for hver enkelt. Hvis du f.eks. observerer falske positiver, kan du overveje at kopiere reglen og ændre tærsklen.

Du kan få flere oplysninger under Arbejd med regler for registrering af uregelmæssigheder.

Brug Microsoft Threat Intelligence-analysereglen

Aktivér den køreklare Microsoft Threat Intelligence-analyseregel, og bekræft, at denne regel stemmer overens med dine logdata med Microsoft-genereret trusselsintelligens. Microsoft har et stort lager med trusselsintelligensdata, og denne analyseregel bruger et undersæt af dem til at generere vigtige beskeder og hændelser for SOC-teams (security operations centers) til at triage.

Undgå dublerede hændelser

Når du har oprettet forbindelse Microsoft Sentinel til Microsoft Defender, oprettes der automatisk en tovejssynkronisering mellem Microsoft Defender XDR hændelser og Microsoft Sentinel. For at undgå at oprette dublethændelser for de samme beskeder anbefaler vi, at du deaktiverer alle Microsoft-regler for oprettelse af hændelser for Microsoft Defender XDR integrerede produkter, herunder Defender for Endpoint, Defender for Identity, Defender for Office 365, Defender for Cloud Apps og Microsoft Entra ID-beskyttelse.

Du kan få flere oplysninger under Oprettelse af Microsoft-hændelse .

Udfør et MITRE ATT&CK crosswalk

Når regler for fusion, uregelmæssigheder og trusselsintelligensanalyse er aktiveret, skal du udføre et MITRE-att-&ck crosswalk for at hjælpe dig med at beslutte, hvilke resterende analyseregler der skal aktiveres, og afslutte implementering af en moden XDR-proces (udvidet registrering og svar). Dette giver dig mulighed for at registrere og reagere i hele livscyklussen for et angreb.

Du kan få flere oplysninger under Forstå sikkerhedsdækning.