Het geïntegreerde SecOps-platform van Microsoft implementeren

Het geïntegreerde platform voor beveiligingsbewerkingen van Microsoft combineert de mogelijkheden van Microsoft Defender portal, Microsoft Sentinel en andere Microsoft Defender services. Dit platform biedt een uitgebreid overzicht van de beveiligingspostuur van uw organisatie en helpt u bedreigingen in uw organisatie te detecteren, te onderzoeken en erop te reageren.

Microsoft Security Exposure Management en Microsoft Threat Intelligence zijn beschikbaar in elke omgeving die voldoet aan de vereisten, voor gebruikers die zijn geconfigureerd met de vereiste machtigingen.

Vereisten

• Voordat u het geïntegreerde platform voor beveiligingsbewerkingen van Microsoft implementeert, moet u ervoor zorgen dat u beschikt over een plan, inclusief een werkruimteontwerp en inzicht in Microsoft Sentinel kosten en facturering.

  Zie Overzicht van de planning van unified security operations platform voor meer informatie.

Microsoft Defender XDR-services implementeren

Microsoft Defender XDR integreert de reactie op incidenten door de belangrijkste mogelijkheden voor verschillende services te integreren, waaronder Microsoft Defender voor Eindpunt, Microsoft Defender voor Office 365, Microsoft Defender for Cloud Apps en Microsoft Defender for Identity. Deze uniforme ervaring voegt krachtige functies toe die u kunt openen in de Microsoft Defender-portal.

1. Microsoft Defender XDR wordt automatisch ingeschakeld wanneer in aanmerking komende klanten met de vereiste machtigingen Microsoft Defender portal bezoeken. Zie Microsoft Defender XDR inschakelen voor meer informatie.

2. Ga verder met het implementeren van Microsoft Defender XDR-services. We raden u aan de volgende volgorde te gebruiken:

   1. Implementeer Microsoft Defender for Identity.

   2. Implementeer Microsoft Defender voor Office 365.

   3. Implementeer Microsoft Defender voor Eindpunt. Voeg Microsoft Defender Vulnerability Management en/of Enterprise-bewaking toe voor IoT-apparaten, afhankelijk van uw omgeving.

   4. Implementeer Microsoft Defender for Cloud Apps.

Microsoft Entra ID Protection configureren

Microsoft Defender XDR kunt signalen van Microsoft Entra ID Protection opnemen en opnemen, waarmee risicogegevens van miljarden aanmeldingspogingen worden geëvalueerd en het risico van elke aanmelding bij uw omgeving wordt geëvalueerd. Microsoft Entra ID Protection gegevens worden door Microsoft Entra ID gebruikt om accounttoegang toe te staan of te voorkomen, afhankelijk van hoe beleid voor voorwaardelijke toegang is geconfigureerd.

Configureer Microsoft Entra ID Protection om uw beveiligingspostuur te verbeteren en Microsoft Entra signalen toe te voegen aan uw geïntegreerde beveiligingsbewerkingen. Zie Uw Microsoft Entra ID Protection-beleid configureren voor meer informatie.

Microsoft Defender voor cloud implementeren

Microsoft Defender for Cloud biedt een uniforme beveiligingsbeheerervaring voor uw cloudresources en kan ook signalen verzenden naar Microsoft Defender XDR. U kunt bijvoorbeeld beginnen met het verbinden van uw Azure-abonnementen met Microsoft Defender voor Cloud en vervolgens doorgaan naar andere cloudomgevingen.

Zie Uw Azure-abonnementen verbinden voor meer informatie.

Onboarden naar Microsoft Security Copilot

Onboarden naar Microsoft Security Copilot om uw beveiligingsbewerkingen te verbeteren door gebruik te maken van geavanceerde AI-mogelijkheden. Security Copilot helpt bij het detecteren, onderzoeken en reageren van bedreigingen, en biedt bruikbare inzichten en aanbevelingen om potentiële bedreigingen voor te blijven. Gebruik Security Copilot om routinetaken te automatiseren, de tijd te verminderen om incidenten te detecteren en erop te reageren en de algehele efficiëntie van uw beveiligingsteam te verbeteren.

Zie Aan de slag met Security Copilot voor meer informatie.

Uw werkruimte ontwerpen en onboarden voor Microsoft Sentinel

De eerste stap bij het gebruik van Microsoft Sentinel is het maken van een Log Analytics-werkruimte, als u er nog geen hebt. Eén Log Analytics-werkruimte kan voor veel omgevingen voldoende zijn, maar veel organisaties maken meerdere werkruimten om de kosten te optimaliseren en beter te voldoen aan verschillende bedrijfsvereisten. Het geïntegreerde platform voor beveiligingsbewerkingen van Microsoft ondersteunt slechts één werkruimte.

1. Maak een beveiligingsresourcegroep voor governancedoeleinden, waarmee u Microsoft Sentinel resources en op rollen gebaseerde toegang tot de verzameling kunt isoleren.
2. Maak een Log Analytics-werkruimte in de resourcegroep Beveiliging en onboard Microsoft Sentinel erin.

Zie Onboard Microsoft Sentinel voor meer informatie.

Rollen en machtigingen configureren

Richt uw gebruikers in op basis van het toegangsplan dat u eerder hebt voorbereid. Om te voldoen aan Zero Trust principes, raden we u aan om op rollen gebaseerd toegangsbeheer (RBAC) te gebruiken om gebruikers alleen toegang te bieden tot de resources die zijn toegestaan en relevant zijn voor elke gebruiker, in plaats van toegang te bieden tot de hele omgeving.

Zie voor meer informatie:

• Activeer Microsoft Defender XDR Op rollen gebaseerd toegangsbeheer (RBAC)
• Microsoft Entra ID-rollen toewijzen aan gebruikers
• Een gebruiker toegang verlenen tot Azure-rollen

Onboarden naar unified SecOps

Wanneer u Microsoft Sentinel naar de Defender-portal onboardt, kunt u mogelijkheden samenvoegen met Microsoft Defender XDR zoals incidentbeheer en geavanceerde opsporing, waardoor een geïntegreerd SecOps-platform wordt gemaakt.

1. Installeer de Microsoft Defender XDR-oplossing voor Microsoft Sentinel vanuit de hub Inhoud. Zie Out-of-the-box-inhoud implementeren en beheren voor meer informatie.
2. Schakel de Microsoft Defender XDR-gegevensconnector in om incidenten en waarschuwingen te verzamelen. Zie Gegevens van Microsoft Defender XDR verbinden met Microsoft Sentinel voor meer informatie.
3. Onboarden naar het geïntegreerde SecOps-platform van Microsoft. Zie Connect Microsoft Sentinel to Microsoft Defender (Verbinding maken met Microsoft Defender) voor meer informatie.

Systeemconfiguraties nauwkeurig afstemmen

Gebruik de volgende Microsoft Sentinel configuratieopties om uw implementatie af te stemmen:

Status en controle inschakelen

Controleer de status en controleer de integriteit van ondersteunde Microsoft Sentinel resources door de controle- en statuscontrolefunctie in te schakelen op de pagina Instellingen van Microsoft Sentinel. Krijg inzicht in statusafwijkingen, zoals de meest recente foutgebeurtenissen of wijzigingen van geslaagde naar foutstatus, en over niet-geautoriseerde acties, en gebruik deze informatie om meldingen en andere geautomatiseerde acties te maken.

ZieControle en statuscontrole inschakelen voor Microsoft Sentinel voor meer informatie.

Microsoft Sentinel-inhoud configureren

Op basis van de gegevensbronnen die u hebt geselecteerd bij het plannen van uw implementatie, installeert u Microsoft Sentinel-oplossingen en configureert u uw gegevensconnectors. Microsoft Sentinel biedt een breed scala aan ingebouwde oplossingen en gegevensconnectors, maar u kunt ook aangepaste connectors bouwen en connectors instellen om CEF- of Syslog-logboeken op te nemen.

Zie voor meer informatie:

• Inhoud configureren
• Out-of-the-box-inhoud van Microsoft Sentinel detecteren en beheren
• Uw gegevensconnector zoeken

Gebruikers- en entiteitsgedraganalyse (UEBA) inschakelen

Nadat u gegevensconnectors hebt ingesteld in Microsoft Sentinel, moet u analyse van gebruikersentiteitsgedrag inschakelen om verdacht gedrag te identificeren dat kan leiden tot phishing-aanvallen en uiteindelijk aanvallen zoals ransomware. Zie UEBA inschakelen in Microsoft Sentinel voor meer informatie.

Interactieve en langetermijnretentie van gegevens instellen

Stel interactieve en langetermijnretentie in om ervoor te zorgen dat uw organisatie de gegevens bewaart die belangrijk zijn op de lange termijn. Zie Interactieve en langetermijnretentie van gegevens configureren voor meer informatie.

Analyseregels inschakelen

Analyseregels vertellen Microsoft Sentinel u te waarschuwen voor gebeurtenissen met behulp van een set voorwaarden die u belangrijk vindt. De kant-en-klare beslissingen die Microsoft Sentinel neemt, zijn gebaseerd op UEBA (User Entity Behavioral Analytics) en op correlaties van gegevens tussen meerdere gegevensbronnen. Bij het inschakelen van analytische regels voor Microsoft Sentinel prioriteit geven aan het inschakelen door verbonden gegevensbronnen, organisatierisico's en MITRE-tactiek.

Zie Bedreigingsdetectie in Microsoft Sentinel voor meer informatie.

Anomalieregels controleren

Microsoft Sentinel anomalieregels zijn standaard beschikbaar en zijn standaard ingeschakeld. Anomalieregels zijn gebaseerd op machine learning-modellen en UEBA die trainen op de gegevens in uw werkruimte om afwijkend gedrag tussen gebruikers, hosts en anderen te markeren. Controleer de anomalieregels en de drempelwaarde voor de anomaliescore voor elke regel. Als u bijvoorbeeld fout-positieven ziet, kunt u overwegen om de regel te dupliceren en de drempelwaarde te wijzigen.

Zie Werken met analyseregels voor anomaliedetectie voor meer informatie.

De microsoft threat intelligence-analyseregel gebruiken

Schakel de out-of-the-box Microsoft Threat Intelligence-analyseregel in en controleer of deze regel overeenkomt met uw logboekgegevens met door Microsoft gegenereerde bedreigingsinformatie. Microsoft heeft een enorme opslagplaats met bedreigingsinformatiegegevens en deze analyseregel gebruikt een subset ervan om waarschuwingen en incidenten met hoge kwaliteit te genereren voor SOC-teams (security operations centers) om te sorteren.

Dubbele incidenten voorkomen

Nadat u Microsoft Sentinel verbinding hebt gemaakt met Microsoft Defender, wordt automatisch een synchronisatie in twee richtingen tussen Microsoft Defender XDR incidenten en Microsoft Sentinel tot stand gebracht. Om dubbele incidenten voor dezelfde waarschuwingen te voorkomen, raden we u aan alle regels voor het maken van microsoft-incidenten uit te schakelen voor Microsoft Defender XDR geïntegreerde producten, waaronder Defender voor Eindpunt, Defender voor Identiteit, Defender voor Office 365, Defender for Cloud Apps en Microsoft Entra ID Protection.

Zie Microsoft-incident maken voor meer informatie.

Voer een MITRE ATT-&CK-crosswalk uit

Als de analyseregels voor fusie, anomalie en bedreigingsinformatie zijn ingeschakeld, voert u een MITRE Att&ck-crosswalk uit om u te helpen bepalen welke resterende analytische regels een volwassen XDR-proces (uitgebreide detectie en respons) inschakelen en voltooien. Dit stelt u in staat om een aanval te detecteren en erop te reageren gedurende de levenscyclus van een aanval.

Zie Informatie over beveiligingsdekking voor meer informatie.