Panoramica della pianificazione della piattaforma per le operazioni di sicurezza unificata di Microsoft
Questo articolo descrive le attività per pianificare una distribuzione dei prodotti di sicurezza Microsoft nella piattaforma di operazioni di sicurezza unificata di Microsoft per le operazioni di sicurezza end-to-end (SecOps). Unificare i secOps sulla piattaforma Microsoft per ridurre i rischi, prevenire gli attacchi, rilevare e interrompere le minacce informatiche in tempo reale e rispondere più rapidamente con le funzionalità di sicurezza ottimizzate per l'intelligenza artificiale, il tutto dal portale di Microsoft Defender.
Pianificare la distribuzione
La piattaforma SecOps unificata di Microsoft combina servizi come Microsoft Defender XDR, Microsoft Sentinel, Gestione dell'esposizione in Microsoft Security e Microsoft Security Copilot nel portale di Microsoft Defender.
Il primo passaggio per pianificare la distribuzione consiste nel selezionare i servizi da usare.
Come prerequisito di base, sono necessari sia Microsoft Defender XDR che Microsoft Sentinel per monitorare e proteggere i servizi e le soluzioni Microsoft e non Microsoft, incluse le risorse cloud e locali.
Distribuire uno dei servizi seguenti per aggiungere sicurezza agli endpoint, alle identità, alla posta elettronica e alle applicazioni per offrire protezione integrata da attacchi sofisticati.
Microsoft Defender XDR servizi includono:
| Servizio | Descrizione |
|---|---|
| Microsoft Defender per identità | Identifica, rileva e analizza le minacce provenienti da identità di Active Directory locale e cloud, ad esempio Microsoft Entra ID. |
| Microsoft Defender per Office 365 | Protegge dalle minacce poste da messaggi di posta elettronica, collegamenti URL e strumenti di collaborazione Office 365. |
| Microsoft Defender per endpoint | Monitora e protegge i dispositivi endpoint, rileva e analizza le violazioni dei dispositivi e risponde automaticamente alle minacce alla sicurezza. |
| Monitoraggio IoT aziendale da Microsoft Defender per IoT | Fornisce sia l'individuazione dei dispositivi IoT che il valore di sicurezza per i dispositivi IoT. |
| Gestione delle vulnerabilità di Microsoft Defender | Identifica gli asset e l'inventario software e valuta il comportamento del dispositivo per individuare le vulnerabilità di sicurezza. |
| Microsoft Defender for Cloud Apps | Protegge e controlla l'accesso alle app cloud SaaS. |
Altri servizi supportati nel portale di Microsoft Defender come parte della piattaforma SecOps unificata di Microsoft, ma non concessi in licenza con Microsoft Defender XDR, includono:
| Servizio | Descrizione |
|---|---|
| Gestione dell'esposizione in Microsoft Security | Fornisce una visualizzazione unificata del comportamento di sicurezza tra gli asset e i carichi di lavoro aziendali, arricchendo le informazioni sugli asset con il contesto di sicurezza. |
| Microsoft Security Copilot | Fornisce informazioni dettagliate e consigli basati sull'intelligenza artificiale per migliorare le operazioni di sicurezza. |
| Microsoft Defender for Cloud | Protegge ambienti multi-cloud e ibridi con rilevamento e risposta avanzati delle minacce. |
| Microsoft Defender Threat Intelligence | Semplifica i flussi di lavoro di Intelligence sulle minacce aggregando e arricchendo le origini dati critiche per correlare gli indicatori di compromissione (IOC) con articoli, profili di attori e vulnerabilità correlati. |
| Microsoft Entra ID Protection | Valuta i dati di rischio dei tentativi di accesso per valutare il rischio di ogni accesso all'ambiente. |
Esaminare i prerequisiti del servizio
Prima di distribuire la piattaforma per le operazioni di sicurezza unificata di Microsoft, esaminare i prerequisiti per ogni servizio che si prevede di usare. Nella tabella seguente sono elencati i servizi e i collegamenti ai relativi prerequisiti:
| Servizio di sicurezza | Collegamento ai prerequisiti |
|---|---|
| Obbligatorio per i secOps unificati | |
| Microsoft Defender XDR e Microsoft Defender per Office | prerequisiti Microsoft Defender XDR |
| Microsoft Sentinel | Prerequisiti per la distribuzione di Microsoft Sentinel |
| Servizi di Microsoft Defender XDR facoltativi | |
| Microsoft Defender per identità | Prerequisiti di Microsoft Defender per identità |
| Microsoft Defender per endpoint | Configurare la distribuzione Microsoft Defender per endpoint |
| Monitoraggio aziendale con Microsoft Defender per IoT | Prerequisiti per la sicurezza IoT aziendale |
| Gestione delle vulnerabilità di Microsoft Defender | Prerequisiti & autorizzazioni per Gestione delle vulnerabilità di Microsoft Defender |
| Microsoft Defender for Cloud Apps | Introduzione a Microsoft Defender for Cloud Apps |
| Altri servizi supportati nel portale di Microsoft Defender | |
| Gestione dell'esposizione in Microsoft Security | Prerequisiti e supporto |
| Microsoft Security Copilot | Requisiti minimi |
| Microsoft Defender for Cloud | Iniziare a pianificare la protezione multicloud e altri articoli nella stessa sezione. |
| Microsoft Defender Threat Intelligence | Prerequisiti per Defender Threat Intelligence |
| Microsoft Entra ID Protection | Prerequisiti per Microsoft Entra ID Protection |
Pianificare l'architettura dell'area di lavoro Log Analytics
Per usare la piattaforma SecOps unificata di Microsoft, è necessaria un'area di lavoro Log Analytics abilitata per Microsoft Sentinel. Una singola area di lavoro Log Analytics potrebbe essere sufficiente per molti ambienti, ma molte organizzazioni creano più aree di lavoro per ottimizzare i costi e soddisfare meglio i diversi requisiti aziendali. La piattaforma SecOps unificata di Microsoft supporta solo una singola area di lavoro.
Progettare l'area di lavoro Log Analytics da abilitare per Microsoft Sentinel. Prendere in considerazione parametri come i requisiti di conformità per la raccolta e l'archiviazione dei dati e come controllare l'accesso ai dati Microsoft Sentinel.
Per altre informazioni, vedere:
- Progettare l'architettura dell'area di lavoro
- Esaminare le progettazioni di aree di lavoro di esempio
Pianificare i costi Microsoft Sentinel e le origini dati
La piattaforma SecOps unificata di Microsoft inserisce i dati dai servizi Microsoft di prima parte, ad esempio Microsoft Defender for Cloud Apps e Microsoft Defender per il cloud. È consigliabile espandere la copertura ad altre origini dati nell'ambiente aggiungendo connettori dati Microsoft Sentinel.
Determinare le origini dati
Determinare il set completo di origini dati da cui verranno inseriti i dati e i requisiti relativi alle dimensioni dei dati per pianificare in modo accurato il budget e la sequenza temporale della distribuzione. È possibile determinare queste informazioni durante la revisione del caso d'uso aziendale o valutando un SIEM corrente già esistente. Se si dispone già di un SIEM, analizzare i dati per comprendere quali origini dati forniscono il valore maggiore e devono essere inserite in Microsoft Sentinel.
Ad esempio, è possibile usare una delle origini dati consigliate seguenti:
Servizi di Azure: se uno dei servizi seguenti viene distribuito in Azure, usare i connettori seguenti per inviare i log di diagnostica di queste risorse a Microsoft Sentinel:
- Firewall di Azure
- gateway applicazione di Azure
- Keyvault
- servizio Azure Kubernetes
- Azure SQL
- Gruppi di sicurezza di rete
- Server Azure-Arc
È consigliabile configurare Criteri di Azure per richiedere l'inoltro dei log all'area di lavoro Log Analytics sottostante. Per altre informazioni, vedere Creare impostazioni di diagnostica su larga scala usando Criteri di Azure.
Macchine virtuali: per le macchine virtuali ospitate in locale o in altri cloud che richiedono la raccolta dei log, usare i connettori dati seguenti:
- eventi Sicurezza di Windows con AMA
- Eventi tramite Defender per endpoint (per server)
- Syslog
Appliance virtuali di rete/origini locali: per le appliance virtuali di rete o altre origini locali che generano log CEF (Common Event Format) o SYSLOG, usare i connettori dati seguenti:
- Syslog tramite AMA
- Common Event Format (CEF) via AMA
Per altre informazioni, vedere Assegnare priorità ai connettori dati.
Pianificare il budget
Pianificare il budget Microsoft Sentinel, considerando le implicazioni sui costi per ogni scenario pianificato. Assicurarsi che il budget copra il costo dell'inserimento dei dati sia per Microsoft Sentinel che per Azure Log Analytics, per tutti i playbook che verranno distribuiti e così via. Per altre informazioni, vedere:
- Piani di conservazione dei log in Microsoft Sentinel
- Pianificare i costi e comprendere Microsoft Sentinel prezzi e fatturazione
Pianificare ruoli e autorizzazioni
Usare Microsoft Entra controllo degli accessi in base al ruolo (RBAC) per creare e assegnare ruoli all'interno del team delle operazioni di sicurezza per concedere l'accesso appropriato ai servizi inclusi nella piattaforma SecOps unificata di Microsoft.
Il modello di controllo degli accessi in base al ruolo unificato Microsoft Defender XDR offre un'unica esperienza di gestione delle autorizzazioni che offre agli amministratori un'unica posizione centrale per controllare le autorizzazioni utente in diverse soluzioni di sicurezza. Per altre informazioni, vedere Microsoft Defender XDR Controllo degli accessi in base al ruolo unificato.
Per i servizi seguenti, usare i diversi ruoli disponibili o creare ruoli personalizzati per fornire un controllo dettagliato sulle operazioni che gli utenti possono visualizzare e fare. Per altre informazioni, vedere:
Pianificare le attività Zero Trust
La piattaforma SecOps unificata di Microsoft fa parte del modello di sicurezza Zero Trust microsoft, che include i principi seguenti:
| Principio | Descrizione |
|---|---|
| Verificare in modo esplicito | Eseguire sempre l'autenticazione e l'autorizzazione in base a tutti i punti dati disponibili. |
| Usare l'accesso con privilegi minimi | Limitare l'accesso utente con ji-in-time e just-enough-access (JIT/JEA), criteri adattivi basati sui rischi e protezione dei dati. |
| Presupporre una violazione | Ridurre al minimo il raggio di esplosione e l'accesso al segmento. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese. |
Zero Trust sicurezza è progettata per proteggere gli ambienti digitali moderni sfruttando la segmentazione della rete, impedendo lo spostamento laterale, fornendo accesso con privilegi minimi e usando l'analisi avanzata per rilevare e rispondere alle minacce.
Per altre informazioni sull'implementazione dei principi di Zero Trust nella piattaforma SecOps unificata di Microsoft, vedere Zero Trust contenuto per i servizi seguenti:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender per identità
- Microsoft Defender per Office 365
- Microsoft Defender per endpoint
- Microsoft Defender for Cloud Apps
- Gestione dell'esposizione in Microsoft Security
- Microsoft Defender for Cloud
- Microsoft Security Copilot
- Microsoft Entra ID Protection
Passaggio successivo
Distribuire la piattaforma di operazioni di sicurezza unificata di Microsoft