Jaa

Ota käyttöön Microsoftin yhdistetty SecOps-ympäristö

  • Artikkeli

Microsoftin yhdistetty suojaustoimintojen ympäristö yhdistää Microsoft Defender portaalin, Microsoft Sentinel ja muiden Microsoft Defender -palveluiden ominaisuudet. Tämä ympäristö tarjoaa kattavan näkymän organisaatiosi suojausasennon ja auttaa havaitsemaan uhkia, tutkimaan niihin ja vastaamaan niihin koko organisaatiossasi.

Microsoft-suojauksen altistumishallinta ja Microsoft Threat Intelligence ovat käytettävissä kaikissa edellytykset täyttävissä ympäristöissä käyttäjille, joilla on tarvittavat käyttöoikeudet.

Ennakkovaatimukset

Microsoft Defender XDR palveluiden käyttöönotto

Microsoft Defender XDR yhdistää tapausten käsittelyn integroimalla tärkeimmät ominaisuudet eri palveluihin, kuten Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Cloud Apps ja Microsoft Defender for Identity. Tämä yhtenäinen käyttökokemus lisää tehokkaita ominaisuuksia, joita voit käyttää Microsoft Defender-portaalissa.

  1. Microsoft Defender XDR käynnistyy automaattisesti, kun vaatimukset täyttävät asiakkaat, joilla on tarvittavat käyttöoikeudet, käyvät Microsoft Defender portaalissa. Lisätietoja on artikkelissa Microsoft Defender XDR ottaminen käyttöön.

  2. Jatka ottamalla käyttöön Microsoft Defender XDR palvelut. Suosittelemme käyttämään seuraavaa järjestystä:

    1. Ota Microsoft Defender for Identity käyttöön.

    2. Ota Microsoft Defender for Office 365 käyttöön.

    3. Ota Microsoft Defender for Endpoint käyttöön. Lisää Microsoft Defenderin haavoittuvuuksien hallinta ja/tai Enterprise-valvonta IoT-laitteille ympäristösi kannalta olennaiseksi.

    4. Ota Microsoft Defender for Cloud Apps käyttöön.

määritä Microsoft Entra ID -tunnuksien suojaus

Microsoft Defender XDR voivat käyttää ja sisällyttää signaaleja Microsoft Entra ID -tunnuksien suojaus, joka arvioi miljardien kirjautumisyritysten riskitiedot ja arvioi kunkin ympäristöösi kirjautumisen riskin. Microsoft Entra ID -tunnuksien suojaus Microsoft Entra ID käyttävät tietoja tilin käytön sallimiseen tai estämiseen sen mukaan, miten ehdollisten käyttöoikeuksien käytännöt on määritetty.

Määritä Microsoft Entra ID -tunnuksien suojaus parantamaan suojausasennon asetuksia ja lisäämään Microsoft Entra-signaaleja yhtenäisiin suojaustoimintoihin. Lisätietoja on artikkelissa Microsoft Entra ID -tunnuksien suojaus käytäntöjen määrittäminen.

Microsoft Defender käyttöönotto pilvipalvelussa

Microsoft Defender for Cloud tarjoaa yhtenäisen suojauksen hallintakokemuksen pilviresursseillesi ja voi myös lähettää signaaleja Microsoft Defender XDR. Saatat esimerkiksi haluta aloittaa yhdistämällä Azure-tilauksesi Microsoft Defender Cloudille ja siirtyä sitten muihin pilviympäristöihin.

Lisätietoja on artikkelissa Azure-tilausten yhdistäminen.

Onboard to Microsoft Copilot for Security

Perehdytys Microsoft Copilot tietoturvan parantamiseksi hyödyntämällä kehittyneitä tekoälyominaisuuksia. Copilot for Security auttaa uhkien havaitsemisessa, tutkinnassa ja reagoinnissa tarjoten toiminnallisia merkityksellisiä tietoja ja suosituksia, joiden avulla pysyt mahdollisten uhkien edellä. Copilot for Securityn avulla voit automatisoida rutiinitehtäviä, lyhentää tapahtumien havaitsemiseen ja niihin vastaamiseen kuluvaa aikaa sekä parantaa tietoturvatiimisi yleistä tehokkuutta.

Lisätietoja on artikkelissa Copilot for Securityn käytön aloittaminen.

Suunnittele työtilasi ja perehdytyksesi Microsoft Sentinel

Microsoft Sentinel käyttämisen ensimmäinen vaihe on Log Analytics -työtilan luominen, jos sinulla ei vielä ole sitä. Yksittäinen Log Analytics -työtila saattaa riittää moniin ympäristöihin, mutta monet organisaatiot luovat useita työtiloja kustannusten optimoimiseksi ja erilaisten liiketoimintavaatimusten täyttämiseksi. Microsoftin yhdistetty suojaustoimintojen ympäristö tukee vain yhtä työtilaa.

  1. Luo käyttöoikeusresurssiryhmä hallintaa varten, jolloin voit eristää Microsoft Sentinel resursseja ja roolipohjaisia käyttöoikeuksia kokoelmaan.
  2. Luo Log Analytics -työtila Käyttöoikeusresurssiryhmässä ja Microsoft Sentinel siihen.

Lisätietoja on kohdassa Perehdytys Microsoft Sentinel.

Roolien ja käyttöoikeuksien määrittäminen

Valmistele käyttäjät aiemmin laatimasi käyttöoikeussuunnitelman perusteella. Jos haluat noudattaa Zero Trust -suojausmalli periaatteita, suosittelemme, että käytät roolipohjaista käyttöoikeuksien hallintaa (RBAC) tarjotaksesi käyttäjälle pääsyn vain resursseihin, jotka ovat sallittuja ja olennaisia kullekin käyttäjälle, sen sijaan, että tarjoaisit käyttöoikeuden koko ympäristöön.

Lisätietoja on seuraavissa artikkeleissa:

Perehdytys yhdistettyihin SecOpsiin

Kun perehdytät Microsoft Sentinel Defender-portaaliin, yhdistät ominaisuuksia Microsoft Defender XDR, kuten tapahtumienhallintaan ja kehittyneeseen metsästykseen, luoden yhtenäisen SecOps-ympäristön.

  1. Asenna Microsoft Defender XDR-ratkaisu Microsoft Sentinel varten sisältökeskuksesta. Jos haluat lisätietoja, katso Ota käyttöön ja hallitse valmiita sisältöjä.
  2. Ota käyttöön Microsoft Defender XDR-tietoyhdistin tapausten ja hälytysten keräämistä varten. Lisätietoja on artikkelissa Tietojen yhdistäminen Microsoft Defender XDR Microsoft Sentinel.
  3. Microsoftin yhtenäiseen SecOps-ympäristöön. Lisätietoja on artikkelissa Microsoft Sentinel yhdistäminen Microsoft Defender.

Järjestelmän kokoonpanojen hienosäätäminen

Voit hienosäätää käyttöönottoa seuraavien Microsoft Sentinel määritysasetusten avulla:

Tehtävä Kuvaus
Ota kunto ja valvonta käyttöön Valvo tuettujen Microsoft Sentinel resurssien kuntoa ja eheyttä ottamalla valvonta- ja kunnonvalvontaominaisuus käyttöön Microsoft Sentinel Asetukset-sivulla. Hanki merkityksellisiä tietoja terveysajoista, kuten uusimmista epäonnistumistapahtumista tai muutoksista menestyksestä epäonnistumisvaltioihin, ja luvattomista toimista, ja käytä näitä tietoja ilmoitusten ja muiden automatisoitujen toimien luomiseen.

Lisätietoja on ohjeaiheessa Ota Microsoft Sentinel valvonta käyttöön ja kunnon seuranta.
sisällön Microsoft Sentinel määrittäminen Asenna Microsoft Sentinel ratkaisut ja määritä tietoliittimet niiden tietolähteiden perusteella, jotka valitsit käyttöönottoa suunnitellessasi.

Microsoft Sentinel tarjoaa laajan valikoiman sisäisiä ratkaisuja ja tietoyhdistimiä, mutta voit myös luoda mukautettuja liittimiä ja määrittää liittimiä käyttämään CEF- tai Syslog-lokeja.

Lisätietoja on seuraavissa artikkeleissa:
- Sisällön määrittäminen
- Microsoft Sentinel käyttövalmiin sisällön löytäminen ja hallinta
- Etsi tietoyhdistin
Ota käyttöön käyttäjä- ja entiteettitoiminta-analytiikka (UEBA) Kun olet määrittänyt tietoliittimiä Microsoft Sentinel, varmista, että otat käyttöön käyttäjän entiteetin käyttäytymisanalytiikan tunnistaaksesi epäilyttävän käyttäytymisen, joka voi johtaa tietojenkalastelun hyväksikäyttöihin ja lopulta hyökkäyksiin, kuten kiristyshaittaohjelmiin.

Lisätietoja on kohdassa Ota UEBA käyttöön Microsoft Sentinel.
Määritä vuorovaikutteinen ja pitkäaikainen tietojen säilytys Määritä vuorovaikutteinen ja pitkäaikainen tietojen säilytys varmistaaksesi, että organisaatiosi säilyttää pitkällä aikavälillä tärkeät tiedot.

Lisätietoja on kohdassa Vuorovaikutteisten ja pitkän aikavälin tietojen säilytyksen määrittäminen.
Päällekkäisten tapausten välttäminen Kun olet muodostanut yhteyden Microsoft Sentinel Microsoft Defender, Microsoft Defender XDR tapausten ja Microsoft Sentinel välinen kaksisuuntainen synkronointi muodostetaan automaattisesti.

Jos haluat välttää toistuvien tapausten luomisen samoille ilmoituksille, suosittelemme, että poistat käytöstä kaikki Microsoftin tapausten luontisäännöt Microsoft Defender XDR integroiduille tuotteille, kuten Defender for Endpoint, Defender for Identity, Defender for Office 365, Defender for Cloud Apps ja Microsoft Entra ID -tunnuksien suojaus.

Lisätietoja on artikkelissa Microsoftin tapausten luontisäännöt.