Bereitstellen der einheitlichen SecOps-Plattform von Microsoft

Die Unified Security Operations-Plattform von Microsoft kombiniert die Funktionen von Microsoft Defender Portal, Microsoft Sentinel und anderen Microsoft Defender-Diensten. Diese Plattform bietet einen umfassenden Überblick über den Sicherheitsstatus Ihrer organization und hilft Ihnen, Bedrohungen in Ihren organization zu erkennen, zu untersuchen und darauf zu reagieren.

Microsoft Security Exposure Management und Microsoft Threat Intelligence sind in jeder Umgebung verfügbar, die die Voraussetzungen erfüllt, für Benutzer, die mit den erforderlichen Berechtigungen konfiguriert sind.

Voraussetzungen

• Stellen Sie vor der Bereitstellung der Unified Security Operations-Plattform von Microsoft sicher, dass Sie über einen Plan verfügen, einschließlich eines Arbeitsbereichsentwurfs und eines Verständnisses Microsoft Sentinel Kosten und Abrechnung.

  Weitere Informationen finden Sie unter Übersicht über die Planung der Unified Security Operations-Plattform.

Bereitstellen von Microsoft Defender XDR Diensten

Microsoft Defender XDR vereinheitlicht die Reaktion auf Vorfälle durch die Integration wichtiger Funktionen zwischen Diensten, einschließlich Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Cloud Apps und Microsoft Defender for Identity. Diese einheitliche Oberfläche bietet leistungsstarke Features, auf die Sie im Microsoft Defender-Portal zugreifen können.

1. Microsoft Defender XDR wird automatisch aktiviert, wenn berechtigte Kunden mit den erforderlichen Berechtigungen Microsoft Defender Portal besuchen. Weitere Informationen finden Sie unter Aktivieren von Microsoft Defender XDR.

2. Fahren Sie fort, indem Sie Microsoft Defender XDR Dienste bereitstellen. Es wird empfohlen, die folgende Reihenfolge zu verwenden:

   1. Stellen Sie Microsoft Defender for Identity bereit.

   2. Stellen Sie Microsoft Defender for Office 365 bereit.

   3. Stellen Sie Microsoft Defender for Endpoint bereit. Fügen Sie Microsoft Defender Vulnerability Management- und/oder Unternehmensüberwachung für IoT-Geräte hinzu, die für Ihre Umgebung relevant sind.

   4. Stellen Sie Microsoft Defender for Cloud Apps bereit.

Konfigurieren von Microsoft Entra ID Protection

Microsoft Defender XDR können Signale von Microsoft Entra ID Protection erfassen und einschließen, die Risikodaten von Milliarden von Anmeldeversuchen auswertet und das Risiko jeder Anmeldung bei Ihrer Umgebung auswertet. Microsoft Entra ID Protection Daten werden von Microsoft Entra ID verwendet, um den Kontozugriff zuzulassen oder zu verhindern, je nachdem, wie Richtlinien für bedingten Zugriff konfiguriert sind.

Konfigurieren Sie Microsoft Entra ID Protection, um Ihren Sicherheitsstatus zu verbessern und Ihren einheitlichen Sicherheitsvorgängen Microsoft Entra Signale hinzuzufügen. Weitere Informationen finden Sie unter Konfigurieren Ihrer Microsoft Entra ID Protection-Richtlinien.

Bereitstellen von Microsoft Defender für die Cloud

Microsoft Defender für Cloud bietet eine einheitliche Sicherheitsverwaltung für Ihre Cloudressourcen und kann auch Signale an Microsoft Defender XDR senden. Beispielsweise können Sie zunächst Ihre Azure-Abonnements mit Microsoft Defender für Cloud verbinden und dann mit anderen Cloudumgebungen fortfahren.

Weitere Informationen finden Sie unter Verbinden Ihrer Azure-Abonnements.

Onboarding in Microsoft Security Copilot

Onboarding in Microsoft Security Copilot, um Ihre Sicherheitsvorgänge durch die Nutzung erweiterter KI-Funktionen zu verbessern. Security Copilot unterstützt Sie bei der Erkennung, Untersuchung und Reaktion auf Bedrohungen und bietet umsetzbare Erkenntnisse und Empfehlungen, die Ihnen helfen, potenziellen Bedrohungen einen Schritt voraus zu sein. Verwenden Sie Security Copilot, um Routineaufgaben zu automatisieren, die Zeit für die Erkennung und Reaktion auf Vorfälle zu verkürzen und die Gesamteffizienz Ihres Sicherheitsteams zu verbessern.

Weitere Informationen finden Sie unter Erste Schritte mit Security Copilot.

Entwerfen Ihres Arbeitsbereichs und Onboarding in Microsoft Sentinel

Der erste Schritt bei der Verwendung von Microsoft Sentinel besteht darin, einen Log Analytics-Arbeitsbereich zu erstellen, sofern Sie noch keinen haben. Ein einzelner Log Analytics-Arbeitsbereich kann für viele Umgebungen ausreichen, aber viele Organisationen erstellen mehrere Arbeitsbereiche, um Kosten zu optimieren und unterschiedliche Geschäftsanforderungen besser zu erfüllen. Die Unified Security Operations-Plattform von Microsoft unterstützt nur einen einzelnen Arbeitsbereich.

1. Erstellen Sie eine Sicherheitsressourcengruppe für Governancezwecke, mit der Sie Microsoft Sentinel Ressourcen und rollenbasierten Zugriff auf die Sammlung isolieren können.
2. Erstellen Sie einen Log Analytics-Arbeitsbereich in der Ressourcengruppe Sicherheit, und integrieren Sie Microsoft Sentinel darin.

Weitere Informationen finden Sie unter Onboarding Microsoft Sentinel.

Konfigurieren von Rollen und Berechtigungen

Stellen Sie Ihre Benutzer basierend auf dem Zugriffsplan bereit, den Sie zuvor vorbereitet haben. Zur Einhaltung Zero Trust Prinzipien empfehlen wir, dass Sie die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) verwenden, um Benutzern nur Zugriff auf die Ressourcen zu gewähren, die für jeden Benutzer zulässig und relevant sind, anstatt Zugriff auf die gesamte Umgebung zu gewähren.

Weitere Informationen finden Sie unter:

• Aktivieren Microsoft Defender XDR vereinheitlichten rollenbasierten Zugriffssteuerung (RBAC)
• Zuweisen von Microsoft Entra ID Rollen zu Benutzern
• Gewähren des Zugriffs auf Azure-Rollen für einen Benutzer

Onboarding in unified SecOps

Wenn Sie Microsoft Sentinel in das Defender-Portal integrieren, vereinheitlichen Sie Funktionen mit Microsoft Defender XDR wie Incident management und advanced Hunting und erstellen eine einheitliche SecOps-Plattform.

1. Installieren Sie die Microsoft Defender XDR Lösung für Microsoft Sentinel über den Inhaltshub. Weitere Informationen finden Sie unter Bereitstellen und Verwalten von sofort einsatzbereiten Inhalten.
2. Aktivieren Sie den Microsoft Defender XDR-Datenconnector, um Incidents und Warnungen zu sammeln. Weitere Informationen finden Sie unter Verbinden von Daten von Microsoft Defender XDR mit Microsoft Sentinel.
3. Onboarding in die einheitliche SecOps-Plattform von Microsoft. Weitere Informationen finden Sie unter Verbinden von Microsoft Sentinel mit Microsoft Defender.

Optimieren von Systemkonfigurationen

Verwenden Sie die folgenden Microsoft Sentinel-Konfigurationsoptionen, um Ihre Bereitstellung zu optimieren:

Aktivieren von Integrität und Überwachung

Überwachen Sie die Integrität und die Integrität unterstützter Microsoft Sentinel Ressourcen, indem Sie das Überwachungs- und Integritätsüberwachungsfeature auf der Seite Einstellungen von Microsoft Sentinel aktivieren. Erhalten Sie Erkenntnisse zu Integritätsabweichungen, z. B. zu den neuesten Fehlerereignissen oder Änderungen vom Status "Erfolg" zu "Fehler" sowie zu nicht autorisierten Aktionen, und verwenden Sie diese Informationen, um Benachrichtigungen und andere automatisierte Aktionen zu erstellen.

Weitere Informationen finden Sie unterAktivieren der Überwachung und Integritätsüberwachung für Microsoft Sentinel.

Konfigurieren von Microsoft Sentinel Inhalten

Installieren Sie basierend auf den Datenquellen, die Sie bei der Planung Ihrer Bereitstellung ausgewählt haben, Microsoft Sentinel Lösungen, und konfigurieren Sie Ihre Datenconnectors. Microsoft Sentinel bietet eine Vielzahl von integrierten Lösungen und Datenconnectors. Sie können aber auch benutzerdefinierte Connectors erstellen und Connectors einrichten, um CEF- oder Syslog-Protokolle zu erfassen.

Weitere Informationen finden Sie unter:

• Inhalt konfigurieren
• Entdecken und Verwalten von Microsoft Sentinel sofort einsatzbereiten Inhalten
• Suchen des Datenconnectors

Aktivieren der Benutzer- und Entitätsverhaltensanalyse (UEBA)

Stellen Sie nach dem Einrichten von Datenconnectors in Microsoft Sentinel sicher, dass Sie die Verhaltensanalyse von Benutzerentitäten aktivieren, um verdächtiges Verhalten zu identifizieren, das zu Phishing-Exploits und schließlich Angriffen wie Ransomware führen könnte. Weitere Informationen finden Sie unter Aktivieren von UEBA in Microsoft Sentinel.

Einrichten der interaktiven und langfristigen Datenaufbewahrung

Richten Sie eine interaktive und langfristige Datenaufbewahrung ein, um sicherzustellen, dass Ihre organization die langfristig wichtigen Daten beibehält. Weitere Informationen finden Sie unter Konfigurieren der interaktiven und langfristigen Datenaufbewahrung.

Aktivieren von Analyseregeln

Analyseregeln weisen Microsoft Sentinel an, Sie bei Ereignissen mit einer Reihe von Bedingungen zu benachrichtigen, die Sie als wichtig erachten. Die sofort einsatzbereiten Entscheidungen, die Microsoft Sentinel treffen, basieren auf der Verhaltensanalyse von Benutzerentitäten (User Entity Behavior Analytics, UEBA) und auf Korrelationen von Daten über mehrere Datenquellen hinweg. Wenn Sie Analyseregeln für Microsoft Sentinel aktivieren, priorisieren Sie die Aktivierung durch verbundene Datenquellen, Organisationsrisiken und MITRE-Taktik.

Weitere Informationen finden Sie unter Bedrohungserkennung in Microsoft Sentinel.

Überprüfen von Anomalieregeln

Microsoft Sentinel Anomalieregeln sind standardmäßig verfügbar und standardmäßig aktiviert. Anomalieregeln basieren auf Machine Learning-Modellen und UEBA, die mit den Daten in Ihrem Arbeitsbereich trainieren, um anomales Verhalten für Benutzer, Hosts und andere zu kennzeichnen. Überprüfen Sie die Anomalieregeln und den Schwellenwert für die Anomaliebewertung für jeden Einzelnen. Wenn Sie beispielsweise falsch positive Ergebnisse beobachten, sollten Sie erwägen, die Regel zu duplizieren und den Schwellenwert zu ändern.

Weitere Informationen finden Sie unter Arbeiten mit Analyseregeln für die Anomalieerkennung.

Verwenden der Microsoft Threat Intelligence-Analyseregel

Aktivieren Sie die sofort einsatzbereite Microsoft Threat Intelligence-Analyseregel, und überprüfen Sie, ob diese Regel Ihren Protokolldaten mit von Microsoft generierten Threat Intelligence-Funktionen entspricht. Microsoft verfügt über ein umfangreiches Repository von Threat Intelligence-Daten, und diese Analyseregel verwendet eine Teilmenge davon, um Warnungen und Vorfälle mit hoher Genauigkeit für SOC-Teams (Security Operations Center) zu generieren, um selektieren zu können.

Vermeiden doppelter Vorfälle

Nachdem Sie Microsoft Sentinel mit Microsoft Defender verbunden haben, wird automatisch eine bidirektionale Synchronisierung zwischen Microsoft Defender XDR Incidents und Microsoft Sentinel eingerichtet. Um das Erstellen doppelter Vorfälle für dieselben Warnungen zu vermeiden, empfehlen wir, alle Microsoft-Regeln zur Erstellung von Vorfällen für Microsoft Defender XDR integrierte Produkte zu deaktivieren, einschließlich Defender für Endpunkt, Defender for Identity, Defender for Office 365, Defender for Cloud Apps und Microsoft Entra ID Protection.

Weitere Informationen finden Sie unter Erstellen von Microsoft-Incidents .

Durchführen eines MITRE ATT&CK-Crosswalks

Wenn Fusions-, Anomalie- und Threat Intelligence-Analyseregeln aktiviert sind, führen Sie einen MITRE Att&ck Crosswalk durch, um zu entscheiden, welche verbleibenden Analyseregeln sie aktivieren und abschließen möchten, um die Implementierung eines ausgereiften XDR-Prozesses (erweiterte Erkennung und Reaktion) abzuschließen. Dadurch können Sie während des gesamten Lebenszyklus eines Angriffs erkennen und darauf reagieren.

Weitere Informationen finden Sie unter Grundlegendes zur Sicherheitsabdeckung.