Oversigt over planlægning af Microsofts samlede platform til sikkerhedshandlinger
I denne artikel beskrives aktiviteter til planlægning af en installation af Microsofts sikkerhedsprodukter til Microsofts samlede platform til sikkerhedshandlinger i forbindelse med komplette sikkerhedshandlinger (SecOps). Saml dine SecOps på Microsofts platform for at hjælpe dig med at reducere risikoen, forhindre angreb, registrere og afbryde cybertrusler i realtid og reagere hurtigere med AI-forbedrede sikkerhedsfunktioner – alt sammen fra Microsoft Defender portalen.
Planlæg din udrulning
Microsofts samlede SecOps-platform kombinerer tjenester som Microsoft Defender XDR, Microsoft Sentinel, Microsoft Security Exposure Management og Microsoft Security Copilot i Microsoft Defender portal.
Det første trin i planlægningen af udrulningen er at vælge de tjenester, du vil bruge.
Som en grundlæggende forudsætning skal du både Microsoft Defender XDR og Microsoft Sentinel for at overvåge og beskytte både Microsoft- og ikke-Microsoft-tjenester og -løsninger, herunder både cloudressourcer og ressourcer i det lokale miljø.
Udrul en af følgende tjenester for at tilføje sikkerhed på tværs af dine slutpunkter, identiteter, mail og programmer for at sikre integreret beskyttelse mod avancerede angreb.
Microsoft Defender XDR tjenester omfatter:
| Tjeneste | Beskrivelse |
|---|---|
| Microsoft Defender for Office 365 | Beskytter mod trusler fra mails, URL-links og Office 365 samarbejdsværktøjer. |
| Microsoft Defender for Identity | Identificerer, registrerer og undersøger trusler fra både Active Directory i det lokale miljø- og cloudidentiteter, f.eks. Microsoft Entra ID. |
| Microsoft Defender for Endpoint | Overvåger og beskytter slutpunktsenheder, registrerer og undersøger brud på enheden og reagerer automatisk på sikkerhedstrusler. |
| Microsoft Defender til IoT | Giver både IoT-enhedsregistrering og sikkerhedsværdi for IoT-enheder. |
| Microsoft Defender Vulnerability Management | Identificerer aktiver og softwareoversigt og vurderer enhedens stilling for at finde sikkerhedsrisici. |
| Microsoft Defender for Cloud Apps | Beskytter og styrer adgangen til SaaS-cloudapps. |
Andre tjenester, der understøttes i Microsoft Defender-portalen som en del af Microsofts samlede SecOps-platform, men som ikke er licenseret med Microsoft Defender XDR, omfatter:
| Tjeneste | Beskrivelse |
|---|---|
| Microsoft Security Exposure Management | Giver en samlet visning af sikkerhedsholdningen på tværs af virksomhedens aktiver og arbejdsbelastninger og forbedrer oplysninger om aktiver med sikkerhedskontekst. |
| Microsoft Security Copilot | Giver AI-drevet indsigt og anbefalinger til at forbedre dine sikkerhedshandlinger. |
| Microsoft Defender for Cloud | Beskytter miljøer med flere cloudmiljøer og hybride miljøer med avanceret trusselsregistrering og -svar. |
| Microsoft Defender Threat Intelligence | Strømliner arbejdsprocesser til trusselsintelligens ved at aggregere og forbedre kritiske datakilder for at korrelere indikatorer for kompromitterede (IOCs) med relaterede artikler, agentprofiler og sårbarheder. |
| Microsoft Entra ID-beskyttelse | Evaluerer risikodata fra logonforsøg for at evaluere risikoen for hvert logon til dit miljø. |
| Styring af Insider-risiko i Microsoft Purview | Korrelerer forskellige signaler for at identificere potentielle skadelige eller utilsigtede insiderrisici, f.eks. IP-tyveri, datalækage og sikkerhedsovertrædelser. |
Gennemse tjenesteforudsætningerne
Før du udruller Microsofts platform til samlede sikkerhedshandlinger, skal du gennemse forudsætningerne for hver tjeneste, du planlægger at bruge. I følgende tabel vises tjenesterne og linkene for at få flere oplysninger:
| Sikkerhedstjeneste | Forudsætninger |
|---|---|
| Påkrævet for unified SecOps | |
| Microsoft Defender XDR | Microsoft Defender XDR forudsætninger |
| Microsoft Sentinel | Forudsætninger for installation af Microsoft Sentinel |
| Valgfrie Microsoft Defender XDR tjenester | |
| Microsoft Defender til Office | Microsoft Defender XDR forudsætninger |
| Microsoft Defender for Identity | Microsoft Defender for Identity forudsætninger |
| Microsoft Defender for Endpoint | Konfigurer Microsoft Defender for Endpoint installation |
| Virksomhedsovervågning med Microsoft Defender til IoT | Forudsætninger for Defender for IoT på Defender-portalen |
| Microsoft Defender Vulnerability Management | Forudsætninger & tilladelser for Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender |
| Microsoft Defender for Cloud Apps | Kom i gang med Microsoft Defender for Cloudapps |
| Andre tjenester, der understøttes på Microsoft Defender-portalen | |
| Microsoft Security Exposure Management | Forudsætninger og support |
| Microsoft Security Copilot | Minimumskrav |
| Microsoft Defender for Cloud | Begynd at planlægge beskyttelse med flere skyer og andre artikler i samme afsnit. |
| Microsoft Defender Threat Intelligence | Forudsætninger for Defender Threat Intelligence |
| Microsoft Entra ID-beskyttelse | Forudsætninger for Microsoft Entra ID-beskyttelse |
| Styring af Insider-risiko i Microsoft Purview | Kom i gang med styring af insider-risiko |
Gennemse praksis for datasikkerhed og beskyttelse af personlige oplysninger
Før du udruller Microsofts samlede platform til sikkerhedshandlinger, skal du sørge for, at du forstår fremgangsmåderne for datasikkerhed og beskyttelse af personlige oplysninger for hver tjeneste, du planlægger at bruge. I følgende tabel vises tjenesterne og linkene for at få flere oplysninger. Bemærk, at flere tjenester bruger fremgangsmåderne for datasikkerhed og -opbevaring for Microsoft Defender XDR i stedet for at have deres egne separate fremgangsmåder.
Planlæg arkitekturen for dit Log Analytics-arbejdsområde
Hvis du vil bruge Microsofts samlede SecOps-platform, skal du have et Log Analytics-arbejdsområde aktiveret til Microsoft Sentinel. Et enkelt Log Analytics-arbejdsområde kan være tilstrækkeligt til mange miljøer, men mange organisationer opretter flere arbejdsområder for at optimere omkostningerne og bedre opfylde forskellige forretningskrav. Microsofts samlede SecOps-platform understøtter kun et enkelt arbejdsområde.
Design det Log Analytics-arbejdsområde, du vil aktivere for Microsoft Sentinel. Overvej parametre som f.eks. eventuelle krav til overholdelse af angivne standarder, du har for dataindsamling og -lagring, og hvordan du styrer adgangen til Microsoft Sentinel data.
Du kan finde flere oplysninger under:
Planlæg Microsoft Sentinel omkostninger og datakilder
Microsofts samlede SecOps-platform indtager data fra Microsoft-tjenester fra førsteparten, f.eks. Microsoft Defender for Cloud Apps og Microsoft Defender for Cloud. Vi anbefaler, at du udvider din dækning til andre datakilder i dit miljø ved at tilføje Microsoft Sentinel dataconnectors.
Fastlæg dine datakilder
Bestem det fulde sæt datakilder, du vil indtage data fra, og kravene til datastørrelsen for at hjælpe dig med præcist at projektere din udrulnings budget og tidslinje. Du kan bestemme disse oplysninger under gennemgangen af din virksomheds use case eller ved at evaluere en aktuel SIEM, som du allerede har på plads. Hvis du allerede har en SIEM på plads, skal du analysere dine data for at forstå, hvilke datakilder der giver mest værdi og skal indtages i Microsoft Sentinel.
Det kan f.eks. være en god idé at bruge en af følgende anbefalede datakilder:
Azure-tjenester: Hvis en af følgende tjenester udrulles i Azure, skal du bruge følgende connectors til at sende disse ressourcers diagnosticeringslogfiler til Microsoft Sentinel:
- Azure Firewall
- Azure Application Gateway
- Keyvault
- Azure Kubernetes Service
- Azure SQL
- Netværkssikkerhedsgrupper
- Azure-Arc-servere
Vi anbefaler, at du konfigurerer Azure Policy for at kræve, at deres logge videresendes til det underliggende Log Analytics-arbejdsområde. Du kan få flere oplysninger under Opret diagnosticeringsindstillinger i stor skala ved hjælp af Azure Policy.
Virtuelle maskiner: Brug følgende dataconnectors til virtuelle maskiner, der hostes i det lokale miljø eller i andre cloudmiljøer, som kræver, at deres logge indsamles:
- Windows Sikkerhed hændelser ved hjælp af AMA
- Hændelser via Defender for Endpoint (for server)
- Syslog
Virtuelle netværksapparater/kilder i det lokale miljø: Brug følgende dataconnectors til virtuelle netværksapparater eller andre kilder i det lokale miljø, der genererer CEF-logge (Common Event Format) eller SYSLOG:
- Syslog via AMA
- CEF (Common Event Format) via AMA
Du kan få mere at vide under Prioriter dataconnectors.
Planlæg dit budget
Planlæg dit Microsoft Sentinel budget under hensyntagen til omkostningskonsekvenserne for hvert planlagt scenarie. Sørg for, at dit budget dækker omkostningerne ved dataindtagelse for både Microsoft Sentinel og Azure Log Analytics, alle playbooks, der udrulles osv. Du kan finde flere oplysninger under:
- Logfør opbevaringsplaner i Microsoft Sentinel
- Planlæg omkostninger, og forstå Microsoft Sentinel priser og fakturering
Om Microsofts sikkerhedsportaler og administrationscentre
Selvom Microsoft Defender-portalen er hjemsted for overvågning og administration af sikkerhed på tværs af dine identiteter, data, enheder og apps, skal du have adgang til forskellige portaler til visse specialiserede opgaver.
Microsofts sikkerhedsportaler omfatter:
| Portalnavn | Beskrivelse | Sammenkæde |
|---|---|---|
| Microsoft Defender-portal | Overvåg og reager på trusselsaktivitet, og styrk sikkerhedsholdning på tværs af dine identiteter, mails, data, slutpunkter og apps med Microsoft Defender XDR](.. /defender-xdr/microsoft-365-defender.md) |
security.microsoft.com I Microsoft Defender-portalen kan du få vist og administrere beskeder, hændelser, indstillinger og meget mere. |
| Defender for Cloud Portal | Brug Microsoft Defender til Cloud til at styrke dine datacentres og dine hybride arbejdsbelastninger i cloudmiljøet | portal.azure.com/#blade/Microsoft_Azure_Security |
| Microsoft Sikkerhedsviden portal | Få opdateringer til sikkerhedsintelligens for Microsoft Defender for Endpoint, send eksempler, og udforsk trusselssleksikonet | microsoft.com/wdsi |
I følgende tabel beskrives portaler til andre arbejdsbelastninger, der kan påvirke sikkerheden. Besøg disse portaler for at administrere identiteter, tilladelser, enhedsindstillinger og politikker for datahåndtering.
| Portalnavn | Beskrivelse | Sammenkæde |
|---|---|---|
| Microsoft Entra-administrationscenter | Få adgang til og administrer Microsoft Entra-familien for at beskytte din virksomhed med decentraliseret identitetsbeskyttelse, identitetsbeskyttelse, styring og meget mere i et multicloudmiljø | entra.microsoft.com |
| Azure Portal | Få vist og administrer alle dine Azure-ressourcer | portal.azure.com |
| Microsoft Purview-portal | Administrer politikker for datahåndtering, og sørg for overholdelse af regler | purview.microsoft.com |
| Microsoft 365 Administration | Konfigurer Microsoft 365-tjenester. administrere roller, licenser og spore opdateringer til dine Microsoft 365-tjenester | admin.microsoft.com |
| Microsoft Intune Administration | Brug Microsoft Intune til at administrere og sikre enheder. Kan også kombinere Intune og Configuration Manager funktioner. | intune.microsoft.com |
| Microsoft Intune portal | Brug Microsoft Intune til at installere enhedspolitikker og overvåge enheder for overholdelse af angivne standarder | intune.microsoft.com |
Planlæg roller og tilladelser
Brug Microsoft Entra rollebaseret adgangskontrol til at oprette og tildele roller i dit sikkerhedsteam for at give passende adgang til tjenester, der er inkluderet i Microsofts samlede SecOps-platform.
Modellen Microsoft Defender XDR Unified-rollebaseret adgangskontrol (RBAC) giver en enkelt oplevelse til administration af tilladelser, der giver administratorer én central placering, hvor de kan styre brugertilladelser på tværs af flere sikkerhedsløsninger. Du kan få flere oplysninger under Microsoft Defender XDR Unified-rollebaseret adgangskontrol (RBAC).
I forbindelse med følgende tjenester skal du bruge de forskellige roller, der er tilgængelige, eller oprette brugerdefinerede roller for at give dig detaljeret kontrol over, hvad brugerne kan se og gøre. Du kan finde flere oplysninger under:
Planlæg Zero Trust aktiviteter
Microsofts unified SecOps-platform er en del af Microsofts Zero Trust sikkerhedsmodel, som omfatter følgende principper:
| Sikkerhedsprincippet | Beskrivelse |
|---|---|
| Bekræft eksplicit | Godkend og godkend altid baseret på alle tilgængelige datapunkter. |
| Brug adgang med færrest rettigheder | Begræns brugeradgang med Just-In-Time og Just-Enough-Access (JIT/JEA), risikobaserede tilpassede politikker og databeskyttelse. |
| Antag brud | Minimer eksplosionsradius og segmentadgang. Bekræft kryptering fra slutpunkt til slutpunkt, og brug analyser til at få synlighed, skabe trusselsregistrering og forbedre forsvaret. |
Zero Trust sikkerhed er udviklet til at beskytte moderne digitale miljøer ved at udnytte netværkssegmentering, forhindre tværgående bevægelse, give mindst privilegerede adgang og bruge avancerede analyser til at registrere og reagere på trusler.
Du kan få flere oplysninger om implementering af Zero Trust principper på Microsofts samlede SecOps-platform under Zero Trust indhold for følgende tjenester:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
- Microsoft Defender for Endpoint
- Microsoft Defender for Cloud Apps
- Microsoft Security Exposure Management
- Microsoft Defender for Cloud
- Microsoft Security Copilot
- Microsoft Entra ID-beskyttelse
- Microsoft Purview
Du kan finde flere oplysninger i Zero Trust Vejledningscenter.