Übersicht über die Planung der Unified Security Operations-Plattform von Microsoft
In diesem Artikel werden Aktivitäten zum Planen einer Bereitstellung der Sicherheitsprodukte von Microsoft auf der Unified Security Operations-Plattform von Microsoft für End-to-End-Sicherheitsvorgänge (SecOps) beschrieben. Vereinheitlichen Sie Ihre SecOps auf der Microsoft-Plattform, um Risiken zu reduzieren, Angriffe zu verhindern, Cyberbedrohungen in Echtzeit zu erkennen und zu unterbrechen und schneller mit KI-erweiterten Sicherheitsfunktionen zu reagieren, alles über das Microsoft Defender-Portal.
Planen Ihrer Bereitstellung
Die einheitliche SecOps-Plattform von Microsoft kombiniert Dienste wie Microsoft Defender XDR, Microsoft Sentinel, Microsoft Security Exposure Management und Microsoft Security Copilot in der Microsoft Defender Portal.
Der erste Schritt bei der Planung Ihrer Bereitstellung besteht darin, die Dienste auszuwählen, die Sie verwenden möchten.
Als Grundlegende Voraussetzung benötigen Sie sowohl Microsoft Defender XDR als auchMicrosoft Sentinel, um sowohl Microsoft- als auch Nicht-Microsoft-Dienste und -Lösungen zu überwachen und zu schützen, einschließlich Cloud- und lokalen Ressourcen.
Stellen Sie einen der folgenden Dienste bereit, um Die Sicherheit für Ihre Endpunkte, Identitäten, E-Mails und Anwendungen zu erhöhen, um integrierten Schutz vor komplexen Angriffen zu bieten.
Microsoft Defender XDR Dienste umfassen:
| Dienst | Beschreibung |
|---|---|
| Microsoft Defender für Office 365 | Schützt vor Bedrohungen durch E-Mail-Nachrichten, URL-Links und Office 365 Tools für die Zusammenarbeit. |
| Microsoft Defender for Identity | Identifiziert, erkennt und untersucht Bedrohungen von lokales Active Directory und Cloudidentitäten wie Microsoft Entra ID. |
| Microsoft Defender für Endpunkt | Überwacht und schützt Endpunktgeräte, erkennt und untersucht Geräteverletzungen und reagiert automatisch auf Sicherheitsbedrohungen. |
| Microsoft Defender für IoT | Stellt sowohl IoT-Geräteermittlung als auch Sicherheitswert für IoT-Geräte bereit. |
| Microsoft Defender Sicherheitsrisikomanagement | Identifiziert Ressourcen und Softwareinventur und bewertet den Gerätestatus, um Sicherheitsrisiken zu finden. |
| Microsoft Defender for Cloud Apps | Schützt und steuert den Zugriff auf SaaS-Cloud-Apps. |
Andere Dienste, die im Microsoft Defender-Portal als Teil der einheitlichen SecOps-Plattform von Microsoft unterstützt werden, aber nicht mit Microsoft Defender XDR lizenziert sind, umfassen:
| Dienst | Beschreibung |
|---|---|
| Microsoft Security Exposure Management | Bietet eine einheitliche Ansicht des Sicherheitsstatus für Unternehmensressourcen und -workloads, die Ressourceninformationen mit Sicherheitskontext anreichern. |
| Microsoft Security Copilot | Bietet KI-gesteuerte Erkenntnisse und Empfehlungen, um Ihre Sicherheitsvorgänge zu verbessern. |
| Microsoft Defender für Cloud | Schützt Multi-Cloud- und Hybridumgebungen mit erweiterter Bedrohungserkennung und -reaktion. |
| Microsoft Defender Threat Intelligence | Optimiert Threat Intelligence-Workflows durch Aggregieren und Anreichern kritischer Datenquellen, um Gefährdungsindikatoren (Indicators of Compromise, IOCs) mit verwandten Artikeln, Akteurprofilen und Sicherheitsrisiken zu korrelieren. |
| Microsoft Entra ID Protection | Wertet Risikodaten von Anmeldeversuchen aus, um das Risiko jeder Anmeldung bei Ihrer Umgebung zu bewerten. |
Überprüfen der Dienstvoraussetzungen
Bevor Sie die Unified Security Operations-Plattform von Microsoft bereitstellen, überprüfen Sie die Voraussetzungen für jeden Dienst, den Sie verwenden möchten. In der folgenden Tabelle sind die Dienste und Links für weitere Informationen aufgeführt:
| Sicherheitsdienst | Voraussetzungen |
|---|---|
| Erforderlich für einheitliche SecOps | |
| Microsoft Defender XDR | Microsoft Defender XDR Voraussetzungen |
| Microsoft Sentinel | Voraussetzungen für die Bereitstellung von Microsoft Sentinel |
| Optionale Microsoft Defender XDR-Dienste | |
| Microsoft Defender für Office | Microsoft Defender XDR Voraussetzungen |
| Microsoft Defender for Identity | Voraussetzungen für Microsoft Defender for Identity |
| Microsoft Defender für Endpunkt | Einrichten Microsoft Defender for Endpoint Bereitstellung |
| Unternehmensüberwachung mit Microsoft Defender für IoT | Voraussetzungen für Defender für IoT im Defender-Portal |
| Microsoft Defender Sicherheitsrisikomanagement | Voraussetzungen & Berechtigungen für Microsoft Defender Vulnerability Management |
| Microsoft Defender for Cloud Apps | Erste Schritte mit Microsoft Defender for Cloud Apps |
| Andere Dienste, die im Microsoft Defender-Portal unterstützt werden | |
| Microsoft Security Exposure Management | Voraussetzungen und Support |
| Microsoft Security Copilot | Mindestanforderungen |
| Microsoft Defender für Cloud | Beginnen Sie mit der Planung des Multicloudschutzes und anderer Artikel im selben Abschnitt. |
| Microsoft Defender Threat Intelligence | Voraussetzungen für Defender Threat Intelligence |
| Microsoft Entra ID Protection | Voraussetzungen für Microsoft Entra ID Protection |
Überprüfen von Datenschutz- und Datenschutzpraktiken
Bevor Sie die Einheitliche Sicherheitsbetriebsplattform von Microsoft bereitstellen, stellen Sie sicher, dass Sie die Datenschutz- und Datenschutzpraktiken für jeden Dienst kennen, den Sie verwenden möchten. In der folgenden Tabelle sind die Dienste und Links für weitere Informationen aufgeführt. Beachten Sie, dass mehrere Dienste die Datensicherheits- und Aufbewahrungsmethoden für Microsoft Defender XDR verwenden, anstatt eigene separate Methoden zu verwenden.
Planen der Architektur Ihres Log Analytics-Arbeitsbereichs
Um die einheitliche SecOps-Plattform von Microsoft verwenden zu können, benötigen Sie einen Log Analytics-Arbeitsbereich, der für Microsoft Sentinel aktiviert ist. Ein einzelner Log Analytics-Arbeitsbereich kann für viele Umgebungen ausreichen, aber viele Organisationen erstellen mehrere Arbeitsbereiche, um Kosten zu optimieren und unterschiedliche Geschäftsanforderungen besser zu erfüllen. Die einheitliche SecOps-Plattform von Microsoft unterstützt nur einen einzelnen Arbeitsbereich.
Entwerfen Sie den Log Analytics-Arbeitsbereich, den Sie für Microsoft Sentinel aktivieren möchten. Berücksichtigen Sie Parameter, z. B. Complianceanforderungen für die Datensammlung und -speicherung und die Steuerung des Zugriffs auf Microsoft Sentinel Daten.
Weitere Informationen finden Sie unter:
Planen Microsoft Sentinel Kosten und Datenquellen
Die einheitliche SecOps-Plattform von Microsoft erfasst Daten aus Erstanbieterdiensten von Microsoft, z. B. Microsoft Defender for Cloud Apps und Microsoft Defender for Cloud. Es wird empfohlen, Ihre Abdeckung auf andere Datenquellen in Ihrer Umgebung zu erweitern, indem Sie Microsoft Sentinel Datenconnectors hinzufügen.
Ermitteln Ihrer Datenquellen
Bestimmen Sie den vollständigen Satz von Datenquellen, aus denen Sie Daten erfassen, und die Anforderungen an die Datengröße, damit Sie das Budget und die Zeitleiste Ihrer Bereitstellung genau projizieren können. Sie können diese Informationen während Ihrer Geschäftlichen Anwendungsfallüberprüfung oder durch Auswerten eines aktuellen SIEM ermitteln, den Sie bereits haben. Wenn Sie bereits über ein SIEM verfügen, analysieren Sie Ihre Daten, um zu verstehen, welche Datenquellen den größten Nutzen bieten und in Microsoft Sentinel erfasst werden sollten.
Sie können beispielsweise eine der folgenden empfohlenen Datenquellen verwenden:
Azure-Dienste: Wenn einer der folgenden Dienste in Azure bereitgestellt wird, verwenden Sie die folgenden Connectors, um die Diagnoseprotokolle dieser Ressourcen an Microsoft Sentinel zu senden:
- Azure Firewall
- Azure-Anwendungsgateway
- Keyvault
- Azure Kubernetes Service
- Azure SQL
- Netzwerksicherheitsgruppen
- Azure-Arc-Server
Es wird empfohlen, Azure Policy so einzurichten, dass ihre Protokolle an den zugrunde liegenden Log Analytics-Arbeitsbereich weitergeleitet werden. Weitere Informationen finden Sie unter Erstellen von Diagnoseeinstellungen im großen Stil mithilfe von Azure Policy.
Virtuelle Computer: Verwenden Sie für virtuelle Computer, die lokal oder in anderen Clouds gehostet werden und deren Protokolle erfasst werden müssen, die folgenden Datenconnectors:
- Windows-Sicherheit Ereignisse mithilfe von AMA
- Ereignisse über Defender für Endpunkt (für Server)
- Syslog
Virtuelle Netzwerkgeräte/lokale Quellen: Verwenden Sie für virtuelle Netzwerkgeräte oder andere lokale Quellen, die CEF-Protokolle (Common Event Format) oder SYSLOG generieren, die folgenden Datenconnectors:
- Syslog über AMA
- Common Event Format (CEF) über AMA
Weitere Informationen finden Sie unter Priorisieren von Datenconnectors.
Planen Ihres Budgets
Planen Sie Ihr Microsoft Sentinel Budget unter Berücksichtigung der Kostenauswirkungen für jedes geplante Szenario. Stellen Sie sicher, dass Ihr Budget die Kosten für die Datenerfassung sowohl für Microsoft Sentinel als auch für Azure Log Analytics, alle bereitgestellten Playbooks usw. abdeckt. Weitere Informationen finden Sie unter:
- Protokollieren von Aufbewahrungsplänen in Microsoft Sentinel
- Planen von Kosten und Verstehen Microsoft Sentinel Preise und Abrechnung
Planen von Rollen und Berechtigungen
Verwenden Sie Microsoft Entra rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC), um Rollen in Ihrem Sicherheitsbetriebsteam zu erstellen und zuzuweisen, um angemessenen Zugriff auf Dienste zu gewähren, die in der einheitlichen SecOps-Plattform von Microsoft enthalten sind.
Das Microsoft Defender XDR Modell der rollenbasierten Zugriffssteuerung (Unified Role-Based Access Control, RBAC) bietet eine einzige Berechtigungsverwaltungsumgebung, die Administratoren einen zentralen Ort zum Steuern von Benutzerberechtigungen über mehrere Sicherheitslösungen hinweg bietet. Weitere Informationen finden Sie unter Microsoft Defender XDR Einheitliche rollenbasierte Zugriffssteuerung (RBAC).
Verwenden Sie für die folgenden Dienste die verschiedenen verfügbaren Rollen, oder erstellen Sie benutzerdefinierte Rollen, um Ihnen eine präzise Kontrolle darüber zu geben, was Benutzer sehen und tun können. Weitere Informationen finden Sie unter:
Planen Zero Trust Aktivitäten
Die einheitliche SecOps-Plattform von Microsoft ist Teil des Zero Trust Sicherheitsmodells von Microsoft, das die folgenden Prinzipien umfasst:
| Prinzip | Beschreibung |
|---|---|
| Explizite Überprüfung | Authentifizieren und autorisieren Sie immer basierend auf allen verfügbaren Datenpunkten. |
| Verwenden Sie den Zugriff mit den geringsten Rechten | Beschränken Sie den Benutzerzugriff mit Just-In-Time und Just-Enough-Access (JIT/JEA), risikobasierten adaptiven Richtlinien und Datenschutz. |
| Annahme einer Sicherheitsverletzung | Minimieren Sie den Strahlradius und den Segmentzugriff. Überprüfen Sie die End-to-End-Verschlüsselung, und nutzen Sie Analysen, um einen Überblick zu erhalten, die Erkennung von Bedrohungen voranzutreiben und den Schutz zu verbessern. |
Zero Trust Sicherheit wurde entwickelt, um moderne digitale Umgebungen zu schützen, indem Netzwerksegmentierung genutzt wird, Lateral Movement verhindert, Zugriff mit den geringsten Rechten bereitgestellt wird und erweiterte Analysen verwendet werden, um Bedrohungen zu erkennen und darauf zu reagieren.
Weitere Informationen zum Implementieren Zero Trust Prinzipien in der einheitlichen SecOps-Plattform von Microsoft finden Sie unter Zero Trust Inhalte für die folgenden Dienste:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender for Identity
- Microsoft Defender für Office 365
- Microsoft Defender für Endpunkt
- Microsoft Defender for Cloud Apps
- Microsoft Security Exposure Management
- Microsoft Defender für Cloud
- Microsoft Security Copilot
- Microsoft Entra ID Protection
Nächster Schritt
Bereitstellen der Unified Security Operations-Plattform von Microsoft