Oversikt over planlegging av Microsofts plattform for enhetlige sikkerhetsoperasjoner
Denne artikkelen beskriver aktiviteter for å planlegge en distribusjon av Microsofts sikkerhetsprodukter til Microsofts plattform for enhetlige sikkerhetsoperasjoner for ende-til-ende-sikkerhetsoperasjoner (SecOps). Samle SecOps på Microsofts plattform for å hjelpe deg med å redusere risiko, forhindre angrep, oppdage og forstyrre cybertrusler i sanntid, og svare raskere med ai-forbedrede sikkerhetsfunksjoner, alt fra Microsoft Defender portalen.
Planlegg distribusjonen
Microsofts enhetlige SecOps-plattform kombinerer tjenester som Microsoft Defender XDR, Microsoft Sentinel, Microsoft Security Exposure Management og Microsoft Security Copilot i Microsoft Defender portal.
Det første trinnet i planleggingen av distribusjonen er å velge tjenestene du vil bruke.
Som en grunnleggende forutsetning trenger du både Microsoft Defender XDR og Microsoft Sentinel for å overvåke og beskytte både Microsoft- og ikke-Microsoft-tjenester og -løsninger, inkludert både skyressurser og lokale ressurser.
Distribuer følgende tjenester for å legge til sikkerhet på tvers av endepunkter, identiteter, e-post og programmer for å gi integrert beskyttelse mot avanserte angrep.
Microsoft Defender XDR tjenester inkluderer:
| Tjeneste | Beskrivelse |
|---|---|
| Microsoft Defender for identitet | Identifiserer, oppdager og undersøker trusler fra både lokal Active Directory- og skyidentiteter som Microsoft Entra ID. |
| Microsoft Defender for Office 365 | Beskytter mot trusler fra e-postmeldinger, nettadressekoblinger og Office 365 samarbeidsverktøy. |
| Microsoft Defender for endepunkt | Overvåker og beskytter endepunktenheter, oppdager og undersøker enhetsbrudd og reagerer automatisk på sikkerhetstrusler. |
| Enterprise IoT-overvåking fra Microsoft Defender for IoT | Gir både IoT-enhetsoppdagelse og sikkerhetsverdi for IoT-enheter. |
| Håndtering av trusler og sikkerhetsproblemer i Microsoft Defender | Identifiserer aktiva og programvarebeholdning, og vurderer enhetens holdning for å finne sikkerhetssårbarheter. |
| Microsoft Defender for skyapper | Beskytter og kontrollerer tilgang til SaaS-skyapper. |
Andre tjenester som støttes i Microsoft Defender portalen som en del av Microsofts enhetlige SecOps-plattform, men ikke lisensiert med Microsoft Defender XDR, inkluderer:
| Tjeneste | Beskrivelse |
|---|---|
| Microsoft Security Exposure Management | Gir en enhetlig oversikt over sikkerhetsstillingen på tvers av firmaets ressurser og arbeidsbelastninger, og beriker aktivainformasjon med sikkerhetskontekst. |
| Microsoft Sikkerhet Copilot | Gir kunstig intelligens og anbefalinger for å forbedre sikkerhetsoperasjonene dine. |
| Microsoft Defender for skyen | Beskytter miljøer med flere skyer og hybrider med avansert trusselregistrering og respons. |
| Microsoft Defender trusselinformasjon | Effektiviserer arbeidsflyter for trusselintelligens ved å aggregere og berike kritiske datakilder for å koordinere indikatorer for kompromiss (IOCer) med relaterte artikler, aktørprofiler og sårbarheter. |
| Microsoft Entra ID-beskyttelse | Evaluerer risikodata fra påloggingsforsøk for å vurdere risikoen for hver pålogging til miljøet ditt. |
Se gjennom forutsetninger for tjeneste
Før du distribuerer Microsofts plattform for enhetlige sikkerhetsoperasjoner, må du se gjennom forutsetningene for hver tjeneste du planlegger å bruke. Tabellen nedenfor viser tjenestene og koblingene til forutsetningene:
| Sikkerhetstjeneste | Kobling til forutsetninger |
|---|---|
| Obligatorisk for enhetlige SecOps | |
| Microsoft Defender XDR og Microsoft Defender for Office | Microsoft Defender XDR forutsetninger |
| Microsoft Sentinel | Forutsetninger for å distribuere Microsoft Sentinel |
| Valgfrie Microsoft Defender XDR tjenester | |
| Microsoft Defender for identitet | Microsoft Defender for identitet forutsetninger |
| Microsoft Defender for endepunkt | Konfigurer Microsoft Defender for endepunkt distribusjon |
| Bedriftsovervåking med Microsoft Defender for IoT | Forutsetninger for Enterprise IoT-sikkerhet |
| Håndtering av trusler og sikkerhetsproblemer i Microsoft Defender | Forutsetninger & tillatelser for Microsoft Defender Vulnerability Management |
| Microsoft Defender for skyapper | Kom i gang med Microsoft Defender for skyapper |
| Andre tjenester som støttes i Microsoft Defender-portalen | |
| Microsoft Security Exposure Management | Forutsetninger og støtte |
| Microsoft Sikkerhet Copilot | Minimumskrav |
| Microsoft Defender for skyen | Begynn å planlegge multiskybeskyttelse og andre artikler i samme del. |
| Microsoft Defender trusselinformasjon | Forutsetninger for Defender Threat Intelligence |
| Microsoft Entra ID-beskyttelse | Forutsetninger for Microsoft Entra ID-beskyttelse |
Planlegge arkitekturen for Log Analytics-arbeidsområdet
Hvis du vil bruke Microsofts enhetlige SecOps-plattform, trenger du et Log Analytics-arbeidsområde aktivert for Microsoft Sentinel. Ett enkelt Log Analytics-arbeidsområde kan være tilstrekkelig for mange miljøer, men mange organisasjoner oppretter flere arbeidsområder for å optimalisere kostnader og bedre oppfylle ulike forretningskrav. Microsofts enhetlige SecOps-plattform støtter bare ett enkelt arbeidsområde.
Utform log analytics-arbeidsområdet du vil aktivere for Microsoft Sentinel. Vurder parametere som eventuelle samsvarskrav du har for datainnsamling og lagring, og hvordan du kontrollerer tilgang til Microsoft Sentinel data.
Hvis du vil ha mer informasjon, kan du se:
Planlegge Microsoft Sentinel kostnader og datakilder
Microsofts enhetlige SecOps-plattform inntar data fra førsteparts Microsoft-tjenester, for eksempel Microsoft Defender for Cloud Apps og Microsoft Defender for Cloud. Vi anbefaler at du utvider dekningen til andre datakilder i miljøet ditt ved å legge til Microsoft Sentinel datakoblinger.
Fastslå datakildene
Bestem det fullstendige settet med datakilder du skal ta inn data fra, og kravene til datastørrelse for å hjelpe deg med å projisere budsjett og tidslinje for distribusjonen nøyaktig. Du kan avgjøre denne informasjonen under gjennomgang av forretningsbrukstilfeller, eller ved å evaluere en gjeldende SIEM som du allerede har på plass. Hvis du allerede har en SIEM på plass, kan du analysere dataene for å forstå hvilke datakilder som gir mest verdi og bør tas inn i Microsoft Sentinel.
Du kan for eksempel bruke en av følgende anbefalte datakilder:
Azure-tjenester: Hvis noen av følgende tjenester distribueres i Azure, kan du bruke følgende koblinger til å sende diagnoseloggene til disse ressursene for å Microsoft Sentinel:
- Azure Firewall
- Azure Application Gateway
- Keyvault
- Azure Kubernetes Service
- Azure SQL
- Nettverkssikkerhet Grupper
- Azure-Arc-servere
Vi anbefaler at du konfigurerer Azure Policy til å kreve at loggene deres videresendes til det underliggende Log Analytics-arbeidsområdet. Hvis du vil ha mer informasjon, kan du se Opprette diagnoseinnstillinger i stor skala ved hjelp av Azure Policy.
Virtuelle maskiner: Bruk følgende datakoblinger for virtuelle maskiner som driftes lokalt eller i andre skyer som krever at loggene deres samles inn:
- Windows Sikkerhet hendelser ved hjelp av AMA
- Hendelser via Defender for endepunkt (for server)
- Syslog
Virtuelle nettverk / lokale kilder: Bruk følgende datakoblinger for virtuelle nettverk eller andre lokale kilder som genererer Common Event Format -logger (CEF) eller SYSLOG-logger:
- Syslog via AMA
- Common Event Format (CEF) via AMA
Hvis du vil ha mer informasjon, kan du se Prioritere datakoblinger.
Planlegge budsjettet
Planlegg budsjettet for Microsoft Sentinel, med tanke på kostnadsimplikasjoner for hvert planlagte scenario. Kontroller at budsjettet dekker kostnadene for datainntak for både Microsoft Sentinel og Azure Log Analytics, eventuelle strategibøker som skal distribueres og så videre. Hvis du vil ha mer informasjon, kan du se:
- Logger oppbevaringsplaner i Microsoft Sentinel
- Planlegge kostnader og forstå Microsoft Sentinel priser og fakturering
Planlegge roller og tillatelser
Bruk Microsoft Entra rollebasert tilgangskontroll (RBAC) til å opprette og tilordne roller i sikkerhetsoperasjonsteamet for å gi riktig tilgang til tjenester som er inkludert i Microsofts enhetlige SecOps-plattform.
Den Microsoft Defender XDR unified rollebaserte tilgangskontrollmodellen (RBAC) gir en enkel tillatelsesbehandlingsopplevelse som gir én sentral plassering for administratorer for å kontrollere brukertillatelser på tvers av flere sikkerhetsløsninger. Hvis du vil ha mer informasjon, kan du se Microsoft Defender XDR Enhetlig rollebasert tilgangskontroll (RBAC).
For følgende tjenester kan du bruke de ulike rollene som er tilgjengelige, eller opprette egendefinerte roller, for å gi deg finkornet kontroll over hva brukere kan se og gjøre. Hvis du vil ha mer informasjon, kan du se:
Planlegge nulltillit aktiviteter
Microsofts enhetlige SecOps-plattform er en del av Microsofts nulltillit sikkerhetsmodell, som inkluderer følgende prinsipper:
| Prinsipp | Beskrivelse |
|---|---|
| Bekreft eksplisitt | Godkjenn og godkjenn alltid basert på alle tilgjengelige datapunkter. |
| Bruk minst tilgang til rettigheter | Begrens brukertilgang med Just-In-Time og Just-Enough-Access (JIT/JEA), risikobaserte adaptive policyer og databeskyttelse. |
| Anta brudd | Minimer eksplosjonsradius og segmenttilgang. Bekreft ende-til-ende-kryptering og bruk analyse for å få synlighet, drive trusselregistrering og forbedre forsvar. |
nulltillit sikkerhet er utformet for å beskytte moderne digitale miljøer ved å utnytte nettverkssegmentering, forhindre sidebevegelse, gi minst privilegert tilgang og bruke avansert analyse til å oppdage og reagere på trusler.
Hvis du vil ha mer informasjon om hvordan du implementerer nulltillit prinsipper i Microsofts enhetlige SecOps-plattform, kan du se nulltillit innhold for følgende tjenester:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender for identitet
- Microsoft Defender for Office 365
- Microsoft Defender for endepunkt
- Microsoft Defender for skyapper
- Microsoft Security Exposure Management
- Microsoft Defender for skyen
- Microsoft Sikkerhet Copilot
- Microsoft Entra ID-beskyttelse
Neste trinn:
Distribuer Microsofts plattform for enhetlige sikkerhetsoperasjoner