Overzicht van de planning van het geïntegreerde beveiligingsplatform van Microsoft
In dit artikel worden activiteiten beschreven voor het plannen van een implementatie van de beveiligingsproducten van Microsoft op het geïntegreerde platform voor beveiligingsbewerkingen van Microsoft voor end-to-end-beveiligingsbewerkingen (SecOps). Uw SecOps op het platform van Microsoft samenvoegen om risico's te verminderen, aanvallen te voorkomen, cyberdreigingen in realtime te detecteren en te verstoren en sneller te reageren met ai-verbeterde beveiligingsmogelijkheden, allemaal vanuit de Microsoft Defender portal.
Uw implementatie plannen
Het geïntegreerde SecOps-platform van Microsoft combineert services zoals Microsoft Defender XDR, Microsoft Sentinel, Microsoft Security Exposure Management en Microsoft Security Copilot in de Microsoft Defender portal.
De eerste stap bij het plannen van uw implementatie is het selecteren van de services die u wilt gebruiken.
Als basisvoorwaarde hebt u zowel Microsoft Defender XDR als Microsoft Sentinel nodig om zowel Microsoft- als niet-Microsoft-services en -oplossingen te bewaken en te beveiligen, inclusief zowel cloudresources als on-premises resources.
Implementeer een van de volgende services om beveiliging toe te voegen voor uw eindpunten, identiteiten, e-mail en toepassingen om geïntegreerde bescherming te bieden tegen geavanceerde aanvallen.
Microsoft Defender XDR services zijn onder andere:
| Service | Beschrijving |
|---|---|
| Microsoft Defender voor Office 365 | Beschermt tegen bedreigingen die worden veroorzaakt door e-mailberichten, URL-koppelingen en Office 365 samenwerkingshulpprogramma's. |
| Microsoft Defender for Identity | Identificeert, detecteert en onderzoekt bedreigingen van zowel on-premises Active Directory als cloudidentiteiten zoals Microsoft Entra ID. |
| Microsoft Defender voor Eindpunt | Bewaakt en beveiligt eindpuntapparaten, detecteert en onderzoekt apparaatschendingen en reageert automatisch op beveiligingsrisico's. |
| Microsoft Defender voor IoT | Biedt zowel IoT-apparaatdetectie als beveiligingswaarde voor IoT-apparaten. |
| Microsoft Defender Vulnerability Management | Identificeert assets en software-inventarisatie en beoordeelt de apparaatpostuur om beveiligingsproblemen te vinden. |
| Microsoft Defender for Cloud Apps | Beveiligt en beheert de toegang tot SaaS-cloud-apps. |
Andere services die in de Microsoft Defender-portal worden ondersteund als onderdeel van het geïntegreerde SecOps-platform van Microsoft, maar die niet zijn gelicentieerd met Microsoft Defender XDR, zijn:
| Service | Beschrijving |
|---|---|
| Microsoft Security Exposure Management | Biedt een uniforme weergave van de beveiligingspostuur voor bedrijfsassets en workloads, waardoor assetinformatie wordt verrijkt met beveiligingscontext. |
| Microsoft Copilot voor beveiliging | Biedt ai-gestuurde inzichten en aanbevelingen om uw beveiligingsbewerkingen te verbeteren. |
| Microsoft Defender voor Cloud | Beschermt omgevingen met meerdere clouds en hybride omgevingen met geavanceerde detectie en reactie op bedreigingen. |
| Microsoft Defender-bedreigingsinformatie | Stroomlijnt werkstromen voor bedreigingsinformatie door kritieke gegevensbronnen te aggregeren en te verrijken om indicatoren van inbreuk (IOC's) te correleren met gerelateerde artikelen, actorprofielen en beveiligingsproblemen. |
| Microsoft Entra ID Protection | Evalueert risicogegevens van aanmeldingspogingen om het risico van elke aanmelding bij uw omgeving te evalueren. |
Servicevereisten controleren
Voordat u het geïntegreerde platform voor beveiligingsbewerkingen van Microsoft implementeert, controleert u de vereisten voor elke service die u wilt gebruiken. De volgende tabel bevat de services en koppelingen voor meer informatie:
| Beveiligingsservice | Vereisten |
|---|---|
| Vereist voor geïntegreerde SecOps | |
| Microsoft Defender XDR | vereisten voor Microsoft Defender XDR |
| Microsoft Sentinel | Vereisten voor het implementeren van Microsoft Sentinel |
| Optionele Microsoft Defender XDR-services | |
| Microsoft Defender voor Office | vereisten voor Microsoft Defender XDR |
| Microsoft Defender for Identity | vereisten voor Microsoft Defender for Identity |
| Microsoft Defender voor Eindpunt | Microsoft Defender voor Eindpunt-implementatie instellen |
| Ondernemingsbewaking met Microsoft Defender voor IoT | Vereisten voor Defender for IoT in de Defender-portal |
| Microsoft Defender Vulnerability Management | Vereisten & machtigingen voor Microsoft Defender Vulnerability Management |
| Microsoft Defender for Cloud Apps | Aan de slag met Microsoft Defender for Cloud Apps |
| Andere services die worden ondersteund in de Microsoft Defender-portal | |
| Microsoft Security Exposure Management | Vereisten en ondersteuning |
| Microsoft Copilot voor beveiliging | Minimumvereisten |
| Microsoft Defender voor Cloud | Begin met het plannen van multicloudbeveiliging en andere artikelen in dezelfde sectie. |
| Microsoft Defender-bedreigingsinformatie | Vereisten voor Defender Threat Intelligence |
| Microsoft Entra ID Protection | Vereisten voor Microsoft Entra ID Protection |
Gegevensbeveiligings- en privacyprocedures bekijken
Voordat u het geïntegreerde platform voor beveiligingsbewerkingen van Microsoft implementeert, moet u ervoor zorgen dat u de procedures voor gegevensbeveiliging en privacy begrijpt voor elke service die u wilt gebruiken. De volgende tabel bevat de services en koppelingen voor meer informatie. Houd er rekening mee dat verschillende services gebruikmaken van de procedures voor gegevensbeveiliging en -retentie voor Microsoft Defender XDR in plaats van afzonderlijke procedures te hebben.
De architectuur van uw Log Analytics-werkruimte plannen
Als u het geïntegreerde SecOps-platform van Microsoft wilt gebruiken, hebt u een Log Analytics-werkruimte nodig die is ingeschakeld voor Microsoft Sentinel. Eén Log Analytics-werkruimte kan voor veel omgevingen voldoende zijn, maar veel organisaties maken meerdere werkruimten om de kosten te optimaliseren en beter te voldoen aan verschillende bedrijfsvereisten. Het geïntegreerde SecOps-platform van Microsoft ondersteunt slechts één werkruimte.
Ontwerp de Log Analytics-werkruimte die u wilt inschakelen voor Microsoft Sentinel. Houd rekening met parameters zoals nalevingsvereisten voor het verzamelen en opslaan van gegevens en hoe u de toegang tot Microsoft Sentinel gegevens kunt beheren.
Zie voor meer informatie:
Kosten en gegevensbronnen Microsoft Sentinel plannen
Het geïntegreerde SecOps-platform van Microsoft neemt gegevens op van eigen Microsoft-services, zoals Microsoft Defender for Cloud Apps en Microsoft Defender for Cloud. We raden u aan uw dekking uit te breiden naar andere gegevensbronnen in uw omgeving door Microsoft Sentinel gegevensconnectors toe te voegen.
Uw gegevensbronnen bepalen
Bepaal de volledige set gegevensbronnen waaruit u gegevens wilt opnemen en de vereisten voor de gegevensgrootte om u te helpen het budget en de tijdlijn van uw implementatie nauwkeurig te projecteren. U kunt deze informatie bepalen tijdens de beoordeling van uw bedrijfsgebruikscase of door een huidige SIEM te evalueren die u al hebt. Als u al een SIEM hebt, analyseert u uw gegevens om te begrijpen welke gegevensbronnen de meeste waarde bieden en moeten worden opgenomen in Microsoft Sentinel.
U kunt bijvoorbeeld een van de volgende aanbevolen gegevensbronnen gebruiken:
Azure-services: als een van de volgende services in Azure wordt geïmplementeerd, gebruikt u de volgende connectors om de diagnostische logboeken van deze resources te verzenden naar Microsoft Sentinel:
- Azure Firewall
- Azure Application Gateway
- Keyvault
- Azure Kubernetes Service
- Azure SQL
- Netwerkbeveiliging Groepen
- Azure-Arc-servers
U wordt aangeraden Azure Policy in te stellen om te vereisen dat hun logboeken worden doorgestuurd naar de onderliggende Log Analytics-werkruimte. Zie Diagnostische instellingen op schaal maken met behulp van Azure Policy voor meer informatie.
Virtuele machines: voor virtuele machines die on-premises of in andere clouds worden gehost en waarvoor de logboeken moeten worden verzameld, gebruikt u de volgende gegevensconnectors:
- gebeurtenissen Windows-beveiliging met behulp van AMA
- Gebeurtenissen via Defender voor Eindpunt (voor server)
- Syslog
Virtuele netwerkapparaten/on-premises bronnen: gebruik de volgende gegevensconnectors voor virtuele netwerkapparaten of andere on-premises bronnen die CEF-logboeken (Common Event Format) of SYSLOG-logboeken genereren:
- Syslog via AMA
- Common Event Format (CEF) via AMA
Zie Gegevensconnectors prioriteren voor meer informatie.
Uw budget plannen
Plan uw Microsoft Sentinel budget, rekening houdend met de kostengevolgen voor elk gepland scenario. Zorg ervoor dat uw budget de kosten van gegevensopname dekt voor zowel Microsoft Sentinel als Azure Log Analytics, eventuele playbooks die worden geïmplementeerd, enzovoort. Zie voor meer informatie:
- Bewaarplannen vastleggen in Microsoft Sentinel
- Kosten plannen en inzicht in Microsoft Sentinel prijzen en facturering
Rollen en machtigingen plannen
Gebruik Microsoft Entra op rollen gebaseerd toegangsbeheer (RBAC) om rollen binnen uw beveiligingsteam te maken en toe te wijzen om de juiste toegang te verlenen tot services die zijn opgenomen in het geïntegreerde SecOps-platform van Microsoft.
Het Microsoft Defender XDR RBAC-model (Unified Role-Based Access Control) biedt één machtigingsbeheerervaring die beheerders één centrale locatie biedt voor het beheren van gebruikersmachtigingen in verschillende beveiligingsoplossingen. Zie Microsoft Defender XDR Op rollen gebaseerd toegangsbeheer (RBAC) voor meer informatie.
Gebruik voor de volgende services de verschillende rollen die beschikbaar zijn of maak aangepaste rollen om u gedetailleerde controle te geven over wat gebruikers kunnen zien en doen. Zie voor meer informatie:
Activiteiten Zero Trust plannen
Het geïntegreerde SecOps-platform van Microsoft maakt deel uit van het Zero Trust-beveiligingsmodel van Microsoft, dat de volgende principes omvat:
| Principe | Beschrijving |
|---|---|
| Expliciet controleren | Verifieer en autoriseer altijd op basis van alle beschikbare gegevenspunten. |
| Minimale toegangsrechten gebruiken | Beperk gebruikerstoegang met Just-In-Time en Just-Enough-Access (JIT/JEA), op risico gebaseerd adaptief beleid en gegevensbescherming. |
| Ga ervan uit dat er sprake is van | Straal van ontploffing en segmenttoegang minimaliseren. Controleer end-to-endversleuteling en gebruik analyses om zichtbaarheid te krijgen, bedreigingsdetectie te stimuleren en de verdediging te verbeteren. |
Zero Trust beveiliging is ontworpen om moderne digitale omgevingen te beschermen door gebruik te maken van netwerksegmentatie, laterale verplaatsing te voorkomen, toegang met minimale bevoegdheden te bieden en geavanceerde analyses te gebruiken om bedreigingen te detecteren en erop te reageren.
Zie Zero Trust inhoud voor de volgende services voor meer informatie over het implementeren van Zero Trust principes in het geïntegreerde SecOps-platform van Microsoft:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender for Identity
- Microsoft Defender voor Office 365
- Microsoft Defender voor Eindpunt
- Microsoft Defender for Cloud Apps
- Microsoft Security Exposure Management
- Microsoft Defender voor Cloud
- Microsoft Copilot voor beveiliging
- Microsoft Entra ID Protection
Volgende stap
Het geïntegreerde platform voor beveiligingsbewerkingen van Microsoft implementeren