Del via


Oversigt over planlægning af Microsofts samlede platform til sikkerhedshandlinger

I denne artikel beskrives aktiviteter til planlægning af en installation af Microsofts sikkerhedsprodukter til Microsofts samlede platform til sikkerhedshandlinger i forbindelse med komplette sikkerhedshandlinger (SecOps). Saml dine SecOps på Microsofts platform for at hjælpe dig med at reducere risikoen, forhindre angreb, registrere og afbryde cybertrusler i realtid og reagere hurtigere med AI-forbedrede sikkerhedsfunktioner – alt sammen fra Microsoft Defender portalen.

Planlæg din udrulning

Microsofts samlede SecOps-platform kombinerer tjenester som Microsoft Defender XDR, Microsoft Sentinel, Microsoft Security Exposure Management og Microsoft Security Copilot i Microsoft Defender portal.

Det første trin i planlægningen af udrulningen er at vælge de tjenester, du vil bruge.

Som en grundlæggende forudsætning skal du både Microsoft Defender XDR og Microsoft Sentinel for at overvåge og beskytte både Microsoft- og ikke-Microsoft-tjenester og -løsninger, herunder både cloudressourcer og ressourcer i det lokale miljø.

Udrul en af følgende tjenester for at tilføje sikkerhed på tværs af dine slutpunkter, identiteter, mail og programmer for at sikre integreret beskyttelse mod avancerede angreb.

Microsoft Defender XDR tjenester omfatter:

Tjeneste Beskrivelse
Microsoft Defender for Office 365 Beskytter mod trusler fra mails, URL-links og Office 365 samarbejdsværktøjer.
Microsoft Defender for Identity Identificerer, registrerer og undersøger trusler fra både Active Directory i det lokale miljø- og cloudidentiteter, f.eks. Microsoft Entra ID.
Microsoft Defender for Endpoint Overvåger og beskytter slutpunktsenheder, registrerer og undersøger brud på enheden og reagerer automatisk på sikkerhedstrusler.
Microsoft Defender til IoT Giver både IoT-enhedsregistrering og sikkerhedsværdi for IoT-enheder.
Microsoft Defender Vulnerability Management Identificerer aktiver og softwareoversigt og vurderer enhedens stilling for at finde sikkerhedsrisici.
Microsoft Defender for Cloud Apps Beskytter og styrer adgangen til SaaS-cloudapps.

Andre tjenester, der understøttes i Microsoft Defender-portalen som en del af Microsofts samlede SecOps-platform, men som ikke er licenseret med Microsoft Defender XDR, omfatter:

Tjeneste Beskrivelse
Microsoft Security Exposure Management Giver en samlet visning af sikkerhedsholdningen på tværs af virksomhedens aktiver og arbejdsbelastninger og forbedrer oplysninger om aktiver med sikkerhedskontekst.
Microsoft Security Copilot Giver AI-drevet indsigt og anbefalinger til at forbedre dine sikkerhedshandlinger.
Microsoft Defender for Cloud Beskytter miljøer med flere cloudmiljøer og hybride miljøer med avanceret trusselsregistrering og -svar.
Microsoft Defender Threat Intelligence Strømliner arbejdsprocesser til trusselsintelligens ved at aggregere og forbedre kritiske datakilder for at korrelere indikatorer for kompromitterede (IOCs) med relaterede artikler, agentprofiler og sårbarheder.
Microsoft Entra ID-beskyttelse Evaluerer risikodata fra logonforsøg for at evaluere risikoen for hvert logon til dit miljø.
Styring af Insider-risiko i Microsoft Purview Korrelerer forskellige signaler for at identificere potentielle skadelige eller utilsigtede insiderrisici, f.eks. IP-tyveri, datalækage og sikkerhedsovertrædelser.

Gennemse tjenesteforudsætningerne

Før du udruller Microsofts platform til samlede sikkerhedshandlinger, skal du gennemse forudsætningerne for hver tjeneste, du planlægger at bruge. I følgende tabel vises tjenesterne og linkene for at få flere oplysninger:

Sikkerhedstjeneste Forudsætninger
Påkrævet for unified SecOps
Microsoft Defender XDR Microsoft Defender XDR forudsætninger
Microsoft Sentinel Forudsætninger for installation af Microsoft Sentinel
Valgfrie Microsoft Defender XDR tjenester
Microsoft Defender til Office Microsoft Defender XDR forudsætninger
Microsoft Defender for Identity Microsoft Defender for Identity forudsætninger
Microsoft Defender for Endpoint Konfigurer Microsoft Defender for Endpoint installation
Virksomhedsovervågning med Microsoft Defender til IoT Forudsætninger for Defender for IoT på Defender-portalen
Microsoft Defender Vulnerability Management Forudsætninger & tilladelser for Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender
Microsoft Defender for Cloud Apps Kom i gang med Microsoft Defender for Cloudapps
Andre tjenester, der understøttes på Microsoft Defender-portalen
Microsoft Security Exposure Management Forudsætninger og support
Microsoft Security Copilot Minimumskrav
Microsoft Defender for Cloud Begynd at planlægge beskyttelse med flere skyer og andre artikler i samme afsnit.
Microsoft Defender Threat Intelligence Forudsætninger for Defender Threat Intelligence
Microsoft Entra ID-beskyttelse Forudsætninger for Microsoft Entra ID-beskyttelse
Styring af Insider-risiko i Microsoft Purview Kom i gang med styring af insider-risiko

Gennemse praksis for datasikkerhed og beskyttelse af personlige oplysninger

Før du udruller Microsofts samlede platform til sikkerhedshandlinger, skal du sørge for, at du forstår fremgangsmåderne for datasikkerhed og beskyttelse af personlige oplysninger for hver tjeneste, du planlægger at bruge. I følgende tabel vises tjenesterne og linkene for at få flere oplysninger. Bemærk, at flere tjenester bruger fremgangsmåderne for datasikkerhed og -opbevaring for Microsoft Defender XDR i stedet for at have deres egne separate fremgangsmåder.

Sikkerhedstjeneste Datasikkerhed og beskyttelse af personlige oplysninger
Påkrævet for unified SecOps
Microsoft Defender XDR Datasikkerhed og -opbevaring i Microsoft Defender XDR
Microsoft Sentinel Geografisk tilgængelighed og dataopbevaring i Microsoft Sentinel
Valgfrie Microsoft Defender XDR tjenester
Microsoft Defender til Office Datasikkerhed og -opbevaring i Microsoft Defender XDR
Microsoft Defender for Identity Beskyttelse af personlige oplysninger med Microsoft Defender for Identity
Microsoft Defender for Endpoint Microsoft Defender for Endpoint datalager og beskyttelse af personlige oplysninger
Virksomhedsovervågning med Microsoft Defender til IoT Datasikkerhed og -opbevaring i Microsoft Defender XDR
Microsoft Defender Vulnerability Management Microsoft Defender for Endpoint datalager og beskyttelse af personlige oplysninger
Microsoft Defender for Cloud Apps Beskyttelse af personlige oplysninger med Microsoft Defender for Cloud Apps
Andre tjenester, der understøttes på Microsoft Defender-portalen
Microsoft Security Exposure Management Opdatering, opbevaring af data og relateret funktionalitet
Microsoft Security Copilot Beskyttelse af personlige oplysninger og datasikkerhed i Microsoft Security Copilot
Microsoft Defender for Cloud Microsoft Defender til clouddatasikkerhed
Microsoft Defender Threat Intelligence Datasikkerhed og -opbevaring i Microsoft Defender XDR
Microsoft Entra ID-beskyttelse Microsoft Entra dataopbevaring
Styring af Insider-risiko i Microsoft Purview vejledning til beskyttelse af personlige oplysninger for Microsoft Purview Styring af insider-risiko og kommunikation

Politikker for administration af beskeder (MRM) og opbevaring i Microsoft 365

Planlæg arkitekturen for dit Log Analytics-arbejdsområde

Hvis du vil bruge Microsofts samlede SecOps-platform, skal du have et Log Analytics-arbejdsområde aktiveret til Microsoft Sentinel. Et enkelt Log Analytics-arbejdsområde kan være tilstrækkeligt til mange miljøer, men mange organisationer opretter flere arbejdsområder for at optimere omkostningerne og bedre opfylde forskellige forretningskrav. Microsofts samlede SecOps-platform understøtter kun et enkelt arbejdsområde.

Design det Log Analytics-arbejdsområde, du vil aktivere for Microsoft Sentinel. Overvej parametre som f.eks. eventuelle krav til overholdelse af angivne standarder, du har for dataindsamling og -lagring, og hvordan du styrer adgangen til Microsoft Sentinel data.

Du kan finde flere oplysninger under:

  1. Design arbejdsområdearkitektur
  2. Gennemse design af eksempelarbejdsområder

Planlæg Microsoft Sentinel omkostninger og datakilder

Microsofts samlede SecOps-platform indtager data fra Microsoft-tjenester fra førsteparten, f.eks. Microsoft Defender for Cloud Apps og Microsoft Defender for Cloud. Vi anbefaler, at du udvider din dækning til andre datakilder i dit miljø ved at tilføje Microsoft Sentinel dataconnectors.

Fastlæg dine datakilder

Bestem det fulde sæt datakilder, du vil indtage data fra, og kravene til datastørrelsen for at hjælpe dig med præcist at projektere din udrulnings budget og tidslinje. Du kan bestemme disse oplysninger under gennemgangen af din virksomheds use case eller ved at evaluere en aktuel SIEM, som du allerede har på plads. Hvis du allerede har en SIEM på plads, skal du analysere dine data for at forstå, hvilke datakilder der giver mest værdi og skal indtages i Microsoft Sentinel.

Det kan f.eks. være en god idé at bruge en af følgende anbefalede datakilder:

  • Azure-tjenester: Hvis en af følgende tjenester udrulles i Azure, skal du bruge følgende connectors til at sende disse ressourcers diagnosticeringslogfiler til Microsoft Sentinel:

    • Azure Firewall
    • Azure Application Gateway
    • Keyvault
    • Azure Kubernetes Service
    • Azure SQL
    • Netværkssikkerhedsgrupper
    • Azure-Arc-servere

    Vi anbefaler, at du konfigurerer Azure Policy for at kræve, at deres logge videresendes til det underliggende Log Analytics-arbejdsområde. Du kan få flere oplysninger under Opret diagnosticeringsindstillinger i stor skala ved hjælp af Azure Policy.

  • Virtuelle maskiner: Brug følgende dataconnectors til virtuelle maskiner, der hostes i det lokale miljø eller i andre cloudmiljøer, som kræver, at deres logge indsamles:

    • Windows Sikkerhed hændelser ved hjælp af AMA
    • Hændelser via Defender for Endpoint (for server)
    • Syslog
  • Virtuelle netværksapparater/kilder i det lokale miljø: Brug følgende dataconnectors til virtuelle netværksapparater eller andre kilder i det lokale miljø, der genererer CEF-logge (Common Event Format) eller SYSLOG:

    • Syslog via AMA
    • CEF (Common Event Format) via AMA

Du kan få mere at vide under Prioriter dataconnectors.

Planlæg dit budget

Planlæg dit Microsoft Sentinel budget under hensyntagen til omkostningskonsekvenserne for hvert planlagt scenarie. Sørg for, at dit budget dækker omkostningerne ved dataindtagelse for både Microsoft Sentinel og Azure Log Analytics, alle playbooks, der udrulles osv. Du kan finde flere oplysninger under:

Om Microsofts sikkerhedsportaler og administrationscentre

Selvom Microsoft Defender-portalen er hjemsted for overvågning og administration af sikkerhed på tværs af dine identiteter, data, enheder og apps, skal du have adgang til forskellige portaler til visse specialiserede opgaver.

Microsofts sikkerhedsportaler omfatter:

Portalnavn Beskrivelse Sammenkæde
Microsoft Defender-portal Overvåg og reager på trusselsaktivitet, og styrk sikkerhedsholdning på tværs af dine identiteter, mails, data, slutpunkter og apps med Microsoft Defender XDR](.. /defender-xdr/microsoft-365-defender.md) security.microsoft.com

I Microsoft Defender-portalen kan du få vist og administrere beskeder, hændelser, indstillinger og meget mere.
Defender for Cloud Portal Brug Microsoft Defender til Cloud til at styrke dine datacentres og dine hybride arbejdsbelastninger i cloudmiljøet portal.azure.com/#blade/Microsoft_Azure_Security
Microsoft Sikkerhedsviden portal Få opdateringer til sikkerhedsintelligens for Microsoft Defender for Endpoint, send eksempler, og udforsk trusselssleksikonet microsoft.com/wdsi

I følgende tabel beskrives portaler til andre arbejdsbelastninger, der kan påvirke sikkerheden. Besøg disse portaler for at administrere identiteter, tilladelser, enhedsindstillinger og politikker for datahåndtering.

Portalnavn Beskrivelse Sammenkæde
Microsoft Entra-administrationscenter Få adgang til og administrer Microsoft Entra-familien for at beskytte din virksomhed med decentraliseret identitetsbeskyttelse, identitetsbeskyttelse, styring og meget mere i et multicloudmiljø entra.microsoft.com
Azure Portal Få vist og administrer alle dine Azure-ressourcer portal.azure.com
Microsoft Purview-portal Administrer politikker for datahåndtering, og sørg for overholdelse af regler purview.microsoft.com
Microsoft 365 Administration Konfigurer Microsoft 365-tjenester. administrere roller, licenser og spore opdateringer til dine Microsoft 365-tjenester admin.microsoft.com
Microsoft Intune Administration Brug Microsoft Intune til at administrere og sikre enheder. Kan også kombinere Intune og Configuration Manager funktioner. intune.microsoft.com
Microsoft Intune portal Brug Microsoft Intune til at installere enhedspolitikker og overvåge enheder for overholdelse af angivne standarder intune.microsoft.com

Planlæg roller og tilladelser

Brug Microsoft Entra rollebaseret adgangskontrol til at oprette og tildele roller i dit sikkerhedsteam for at give passende adgang til tjenester, der er inkluderet i Microsofts samlede SecOps-platform.

Modellen Microsoft Defender XDR Unified-rollebaseret adgangskontrol (RBAC) giver en enkelt oplevelse til administration af tilladelser, der giver administratorer én central placering, hvor de kan styre brugertilladelser på tværs af flere sikkerhedsløsninger. Du kan få flere oplysninger under Microsoft Defender XDR Unified-rollebaseret adgangskontrol (RBAC).

I forbindelse med følgende tjenester skal du bruge de forskellige roller, der er tilgængelige, eller oprette brugerdefinerede roller for at give dig detaljeret kontrol over, hvad brugerne kan se og gøre. Du kan finde flere oplysninger under:

Sikkerhedstjeneste Link til rollekrav
Påkrævet for unified SecOps
Microsoft Defender XDR Administrer adgang til Microsoft Defender XDR med Microsoft Entra globale roller
Microsoft Sentinel Roller og tilladelser i Microsoft Sentinel
Valgfrie Microsoft Defender XDR tjenester
Microsoft Defender for Identity Microsoft Defender for Identity rollegrupper
Microsoft Defender til Office Microsoft Defender for Office 365 tilladelser på Microsoft Defender-portalen
Microsoft Defender for Endpoint Tildel roller og tilladelser til Microsoft Defender for Endpoint installation
Microsoft Defender Vulnerability Management Relevante tilladelsesindstillinger for Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender
Microsoft Defender for Cloud Apps Konfigurer administratoradgang for Microsoft Defender for Cloud Apps
Andre tjenester, der understøttes på Microsoft Defender-portalen
Microsoft Security Exposure Management Tilladelser til Microsoft Security Exposure Management
Microsoft Defender for Cloud Brugerroller og tilladelser
Styring af Insider-risiko i Microsoft Purview Aktivér tilladelser til styring af insiderrisiko

Planlæg Zero Trust aktiviteter

Microsofts unified SecOps-platform er en del af Microsofts Zero Trust sikkerhedsmodel, som omfatter følgende principper:

Sikkerhedsprincippet Beskrivelse
Bekræft eksplicit Godkend og godkend altid baseret på alle tilgængelige datapunkter.
Brug adgang med færrest rettigheder Begræns brugeradgang med Just-In-Time og Just-Enough-Access (JIT/JEA), risikobaserede tilpassede politikker og databeskyttelse.
Antag brud Minimer eksplosionsradius og segmentadgang. Bekræft kryptering fra slutpunkt til slutpunkt, og brug analyser til at få synlighed, skabe trusselsregistrering og forbedre forsvaret.

Zero Trust sikkerhed er udviklet til at beskytte moderne digitale miljøer ved at udnytte netværkssegmentering, forhindre tværgående bevægelse, give mindst privilegerede adgang og bruge avancerede analyser til at registrere og reagere på trusler.

Du kan få flere oplysninger om implementering af Zero Trust principper på Microsofts samlede SecOps-platform under Zero Trust indhold for følgende tjenester:

Du kan finde flere oplysninger i Zero Trust Vejledningscenter.

Næste trin

Udrul Microsofts samlede platform til sikkerhedshandlinger