Del via

Distribuer Microsofts enhetlige SecOps-plattform

  • Artikkel

Microsofts plattform for enhetlige sikkerhetsoperasjoner kombinerer egenskapene til Microsoft Defender portal, Microsoft Sentinel og andre Microsoft Defender tjenester. Denne plattformen gir en omfattende oversikt over organisasjonens sikkerhetsstilling og hjelper deg med å oppdage, undersøke og svare på trusler på tvers av organisasjonen.

Microsoft Security Exposure Management og Microsoft Threat Intelligence er tilgjengelige i alle miljøer som oppfyller forutsetningene, for brukere som er konfigurert med nødvendige tillatelser.

Forutsetninger

  • Før du distribuerer Microsofts plattform for enhetlige sikkerhetsoperasjoner, må du kontrollere at du har en plan på plass, inkludert en arbeidsområdeutforming og en forståelse av Microsoft Sentinel kostnader og fakturering.

    Hvis du vil ha mer informasjon, kan du se Oversikt over planlegging av unified security operations-plattformen.

Distribuer Microsoft Defender XDR tjenester

Microsoft Defender XDR forener hendelsesrespons ved å integrere viktige funksjoner på tvers av tjenester, inkludert Microsoft Defender for endepunkt, Microsoft Defender for Office 365, Microsoft Defender for Cloud Apps og Microsoft Defender for identitet. Denne enhetlige opplevelsen legger til kraftige funksjoner du har tilgang til i Microsoft Defender-portalen.

  1. Microsoft Defender XDR aktiveres automatisk når kvalifiserte kunder med de nødvendige tillatelsene besøker Microsoft Defender portalen. Hvis du vil ha mer informasjon, kan du se Slå på Microsoft Defender XDR.

  2. Fortsett ved å distribuere Microsoft Defender XDR tjenester. Vi anbefaler at du bruker følgende rekkefølge:

    1. Distribuer Microsoft Defender for identitet.

    2. Distribuer Microsoft Defender for Office 365.

    3. Distribuer Microsoft Defender for endepunkt. Legg til Microsoft Defender Vulnerability Management og/eller Enterprise-overvåking for IoT-enheter, som relevant for miljøet ditt.

    4. Distribuer Microsoft Defender for Cloud Apps.

Konfigurer Microsoft Entra ID-beskyttelse

Microsoft Defender XDR kan ta inn og inkludere signaler fra Microsoft Entra ID-beskyttelse, som evaluerer risikodata fra milliarder av påloggingsforsøk og evaluerer risikoen for hver pålogging til miljøet ditt. Microsoft Entra ID-beskyttelse data brukes av Microsoft Entra ID til å tillate eller forhindre kontotilgang, avhengig av hvordan policyer for betinget tilgang er konfigurert.

Konfigurer Microsoft Entra ID-beskyttelse for å forbedre sikkerhetsstillingen og legge til Microsoft Entra signaler til de enhetlige sikkerhetsoperasjonene. Hvis du vil ha mer informasjon, kan du se Konfigurere Microsoft Entra ID-beskyttelse-policyer.

Distribuer Microsoft Defender for skyen

Microsoft Defender for Cloud gir en enhetlig sikkerhetsstyringsopplevelse for skyressursene dine, og kan også sende signaler til Microsoft Defender XDR. Du kan for eksempel starte med å koble Azure-abonnementene til Microsoft Defender for Cloud, og deretter gå videre til andre skymiljøer.

Hvis du vil ha mer informasjon, kan du se Koble til Azure-abonnementene dine.

Om bord for å Microsoft Security Copilot

Om bord for å Microsoft Security Copilot for å forbedre sikkerhetsoperasjonene dine ved å benytte avanserte funksjoner for kunstig intelligens. Security Copilot bistår i trusselregistrering, undersøkelse og respons, og gir handlingsbar innsikt og anbefalinger for å hjelpe deg med å holde deg i forkant av potensielle trusler. Bruk Security Copilot til å automatisere rutinemessige oppgaver, redusere tiden det tar å oppdage og svare på hendelser, og forbedre den generelle effektiviteten til sikkerhetsteamet.

Hvis du vil ha mer informasjon, kan du se Komme i gang med Security Copilot.

Arkitekt arbeidsområdet og det innebygde for å Microsoft Sentinel

Det første trinnet i å bruke Microsoft Sentinel er å opprette et Log Analytics-arbeidsområde, hvis du ikke allerede har et. Ett enkelt Log Analytics-arbeidsområde kan være tilstrekkelig for mange miljøer, men mange organisasjoner oppretter flere arbeidsområder for å optimalisere kostnader og bedre oppfylle ulike forretningskrav. Microsofts plattform for enhetlige sikkerhetsoperasjoner støtter bare ett enkelt arbeidsområde.

  1. Opprett en sikkerhetsressursgruppe for styringsformål, som lar deg isolere Microsoft Sentinel ressurser og rollebasert tilgang til samlingen.
  2. Opprett et Log Analytics-arbeidsområde i sikkerhetsressursgruppen, og Microsoft Sentinel om bord i det.

Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel om bord.

Konfigurere roller og tillatelser

Klargjør brukerne basert på tilgangsplanen du hadde klargjort tidligere. For å overholde nulltillit prinsipper anbefaler vi at du bruker rollebasert tilgangskontroll (RBAC) til å gi brukeren tilgang bare til ressursene som er tillatt og relevante for hver bruker, i stedet for å gi tilgang til hele miljøet.

Hvis du vil ha mer informasjon, kan du se:

Onboard til unified SecOps

Når du tar Microsoft Sentinel i Defender-portalen, kan du samle funksjoner med Microsoft Defender XDR som hendelsesbehandling og avansert jakt, og opprette en enhetlig SecOps-plattform.

  1. Installer Microsoft Defender XDR løsning for Microsoft Sentinel fra innholdshuben. Hvis du vil ha mer informasjon, kan du se Distribuer og administrer innhold som ikke er i bruk.
  2. Aktiver Microsoft Defender XDR datakobling for å samle inn hendelser og varsler. Hvis du vil ha mer informasjon, kan du se Koble data fra Microsoft Defender XDR til Microsoft Sentinel.
  3. Innføring i Microsofts enhetlige SecOps-plattform. Hvis du vil ha mer informasjon, kan du se Koble Microsoft Sentinel til Microsoft Defender.

Finjustere systemkonfigurasjoner

Bruk følgende Microsoft Sentinel konfigurasjonsalternativer for å finjustere distribusjonen:

Aktiver tilstand og overvåking

Overvåk tilstanden og overvåk integriteten til støttede Microsoft Sentinel ressurser ved å slå på overvåkings- og tilstandsovervåkingsfunksjonen på innstillinger-siden for Microsoft Sentinel. Få innsikt om tilstandsdrift, for eksempel de siste feilhendelsene eller endringer fra suksess til feiltilstander og uautoriserte handlinger, og bruk denne informasjonen til å opprette varsler og andre automatiserte handlinger.

Hvis du vil ha mer informasjon, kan du seSlå på overvåking og tilstandsovervåking for Microsoft Sentinel.

Konfigurer Microsoft Sentinel innhold

Basert på datakildene du valgte da du planla distribusjonen, installerer du Microsoft Sentinel løsninger og konfigurerer datakoblingene. Microsoft Sentinel tilbyr et bredt spekter av innebygde løsninger og datakoblinger, men du kan også bygge egendefinerte koblinger og konfigurere koblinger til inntak av CEF- eller Syslog-logger.

Hvis du vil ha mer informasjon, kan du se:

Aktiver UEBA (User and Entity Behavior Analytics)

Når du har konfigurert datakoblinger i Microsoft Sentinel, må du sørge for at du aktiverer virkemåteanalyse for brukerenhet for å identifisere mistenkelig atferd som kan føre til phishing-utnyttelser og til slutt angrep, for eksempel løsepengevirus. Hvis du vil ha mer informasjon, kan du se Aktivere UEBA i Microsoft Sentinel.

Konfigurere interaktiv og langsiktig dataoppbevaring

Konfigurer interaktiv og langsiktig dataoppbevaring for å sikre at organisasjonen beholder dataene som er viktige på lang sikt. Hvis du vil ha mer informasjon, kan du se Konfigurere interaktiv og langsiktig dataoppbevaring.

Aktiver analyseregler

Analyseregler ber Microsoft Sentinel om å varsle deg om hendelser ved hjelp av et sett med betingelser som du anser for å være viktige. De ut-av-boksen beslutninger Microsoft Sentinel gjør er basert på brukerenhet atferdsanalyse (UEBA) og på korrelasjoner av data på tvers av flere datakilder. Når du slår på analytiske regler for Microsoft Sentinel, prioriterer du aktivering av tilkoblede datakilder, organisasjonsrisiko og MITRE-taktikk.

Hvis du vil ha mer informasjon, kan du se Trusselregistrering i Microsoft Sentinel.

Se gjennom avviksregler

Microsoft Sentinel avviksregler er tilgjengelige som standard. Avviksregler er basert på maskinlæringsmodeller og UEBA som lærer opp dataene i arbeidsområdet for å flagge uregelmessig atferd på tvers av brukere, verter og andre. Se gjennom avviksreglene og terskelverdien for avvikspoengsummen for hver av dem. Hvis du for eksempel observerer falske positiver, kan du vurdere å duplisere regelen og endre terskelen.

Hvis du vil ha mer informasjon, kan du se Arbeide med analyseregler for avviksregistrering.

Bruk analyseregelen for Microsoft Threat Intelligence

Aktiver den forhåndsdefinerte analyseregelen for Microsoft Threat Intelligence, og kontroller at denne regelen samsvarer med loggdataene med Microsoft-generert trusselintelligens. Microsoft har et stort repositorium av trusselintelligensdata, og denne analytiske regelen bruker et delsett av den til å generere varsler og hendelser med høy gjengivelse for SOC-team (sikkerhetsoperasjonssentre) til å triage.

Unngå dupliserte hendelser

Når du har koblet Microsoft Sentinel til Microsoft Defender, opprettes det automatisk en toveis synkronisering mellom Microsoft Defender XDR hendelser og Microsoft Sentinel. For å unngå å opprette dupliserte hendelser for de samme varslene, anbefaler vi at du deaktiverer alle regler for oppretting av Microsoft-hendelser for Microsoft Defender XDR integrerte produkter, inkludert Defender for Endpoint, Defender for Identity, Defender for Office 365, Defender for Cloud Apps og Microsoft Entra ID-beskyttelse.

Hvis du vil ha mer informasjon, kan du se Microsofts opprettelse av hendelser .

Gjennomføre en MITRE ATT&CK crosswalk

Med fusjon, avvik og analytiske regler for trusselintelligens aktivert, utfører du en MITRE Att&ck crosswalk for å hjelpe deg med å bestemme hvilke gjenværende analytiske regler som skal aktiveres og fullføre implementeringen av en moden XDR -prosess (utvidet deteksjon og respons). Dette gir deg mulighet til å oppdage og svare gjennom hele livssyklusen til et angrep.

Hvis du vil ha mer informasjon, kan du se Forstå sikkerhetsdekning.