Wdrażanie ujednoliconej platformy SecOps firmy Microsoft

Ujednolicona platforma operacji zabezpieczeń firmy Microsoft łączy możliwości portalu Microsoft Defender, Microsoft Sentinel i innych usług Microsoft Defender. Ta platforma zapewnia kompleksowy wgląd w stan zabezpieczeń organizacji oraz pomaga wykrywać, badać zagrożenia i reagować na nie w całej organizacji.

Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft i Microsoft Threat Intelligence są dostępne w dowolnym środowisku, które spełnia wymagania wstępne, dla użytkowników skonfigurowanych z wymaganymi uprawnieniami.

Wymagania wstępne

• Przed wdrożeniem ujednoliconej platformy operacji zabezpieczeń firmy Microsoft upewnij się, że masz wdrożony plan, w tym projekt obszaru roboczego i zrozumienie kosztów Microsoft Sentinel i rozliczeń.

  Aby uzyskać więcej informacji, zobacz Omówienie ujednoliconego planowania platformy operacji zabezpieczeń.

Wdrażanie usług Microsoft Defender XDR

Microsoft Defender XDR ujednolicenie reagowania na zdarzenia przez zintegrowanie kluczowych funkcji w usługach, w tym Ochrona punktu końcowego w usłudze Microsoft Defender, Ochrona usługi Office 365 w usłudze Microsoft Defender, Microsoft Defender for Cloud Apps i Microsoft Defender for Identity. To ujednolicone środowisko dodaje zaawansowane funkcje, do których można uzyskać dostęp w portalu Microsoft Defender.

1. Microsoft Defender XDR automatycznie włącza się, gdy uprawnieni klienci z wymaganymi uprawnieniami odwiedzają portal Microsoft Defender. Aby uzyskać więcej informacji, zobacz Włączanie Microsoft Defender XDR.

2. Kontynuuj, wdrażając usługi Microsoft Defender XDR. Zalecamy użycie następującej kolejności:

   1. Wdróż Microsoft Defender for Identity.

   2. Wdróż Ochrona usługi Office 365 w usłudze Microsoft Defender.

   3. Wdróż Ochrona punktu końcowego w usłudze Microsoft Defender. Dodaj Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender i/lub monitorowanie przedsiębiorstwa dla urządzeń IoT w zależności od środowiska.

   4. Wdróż Microsoft Defender for Cloud Apps.

Konfigurowanie Ochrona tożsamości Microsoft Entra

Microsoft Defender XDR może pozyskiwać i dołączać sygnały z Ochrona tożsamości Microsoft Entra, które oceniają dane o ryzyku z miliardów prób logowania i oceniają ryzyko każdego logowania do środowiska. Ochrona tożsamości Microsoft Entra dane są używane przez Tożsamość Microsoft Entra do zezwalania na dostęp do konta lub zapobiegania mu, w zależności od sposobu konfigurowania zasad dostępu warunkowego.

Skonfiguruj Ochrona tożsamości Microsoft Entra, aby zwiększyć poziom zabezpieczeń i dodać sygnały Microsoft Entra do ujednoliconych operacji zabezpieczeń. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad Ochrona tożsamości Microsoft Entra.

Wdrażanie Microsoft Defender dla chmury

Microsoft Defender for Cloud zapewnia ujednolicone środowisko zarządzania zabezpieczeniami dla zasobów w chmurze, a także może wysyłać sygnały do Microsoft Defender XDR. Możesz na przykład zacząć od połączenia subskrypcji platformy Azure z usługą Microsoft Defender for Cloud, a następnie przejść do innych środowisk w chmurze.

Aby uzyskać więcej informacji, zobacz Łączenie subskrypcji platformy Azure.

Dołączanie do Microsoft Security Copilot

Dołącz do Microsoft Security Copilot, aby ulepszyć operacje zabezpieczeń dzięki wykorzystaniu zaawansowanych możliwości sztucznej inteligencji. Security Copilot pomaga w wykrywaniu zagrożeń, badaniu i reagowaniu, zapewniając praktyczne szczegółowe informacje i zalecenia, które pomogą Ci wyprzedzić potencjalne zagrożenia. Użyj Security Copilot, aby zautomatyzować rutynowe zadania, skrócić czas wykrywania zdarzeń i reagować na nie oraz poprawić ogólną wydajność zespołu ds. zabezpieczeń.

Aby uzyskać więcej informacji, zobacz Wprowadzenie do Security Copilot.

Tworzenie architektury obszaru roboczego i dołączanie do Microsoft Sentinel

Pierwszym krokiem korzystania z Microsoft Sentinel jest utworzenie obszaru roboczego usługi Log Analytics, jeśli jeszcze go nie masz. Pojedynczy obszar roboczy usługi Log Analytics może być wystarczający dla wielu środowisk, ale wiele organizacji tworzy wiele obszarów roboczych w celu optymalizacji kosztów i lepszego spełnienia różnych wymagań biznesowych. Ujednolicona platforma operacji zabezpieczeń firmy Microsoft obsługuje tylko jeden obszar roboczy.

1. Utwórz grupę zasobów zabezpieczeń na potrzeby ładu, która umożliwia izolowanie Microsoft Sentinel zasobów i dostępu opartego na rolach do kolekcji.
2. Utwórz obszar roboczy usługi Log Analytics w grupie zasobów Zabezpieczenia i dołącz do niego Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz Dołączanie Microsoft Sentinel.

Konfigurowanie ról i uprawnień

Aprowizuj użytkowników na podstawie wcześniej przygotowanego planu dostępu. Aby zapewnić zgodność z zasadami Zero Trust, zalecamy użycie kontroli dostępu opartej na rolach (RBAC), aby zapewnić użytkownikowi dostęp tylko do zasobów dozwolonych i odpowiednich dla każdego użytkownika, zamiast zapewniać dostęp do całego środowiska.

Więcej informacji można znaleźć w następujących artykułach:

• Aktywowanie Microsoft Defender XDR ujednoliconej kontroli dostępu opartej na rolach (RBAC)
• Przypisywanie ról Tożsamość Microsoft Entra użytkownikom
• Udzielanie użytkownikowi dostępu do ról platformy Azure

Dołączanie do ujednoliconej usługi SecOps

Gdy dołączasz Microsoft Sentinel do portalu usługi Defender, ujednolicasz możliwości za pomocą Microsoft Defender XDR, takich jak zarządzanie zdarzeniami i zaawansowane wyszukiwanie zagrożeń, tworząc ujednoliconą platformę SecOps.

1. Zainstaluj rozwiązanie Microsoft Defender XDR dla Microsoft Sentinel z centrum zawartości. Aby uzyskać więcej informacji, zobacz Wdrażanie zawartości typu out-of-the-box i zarządzanie nią.
2. Włącz łącznik danych Microsoft Defender XDR, aby zbierać zdarzenia i alerty. Aby uzyskać więcej informacji, zobacz Łączenie danych z Microsoft Defender XDR do Microsoft Sentinel.
3. Dołącz do ujednoliconej platformy SecOps firmy Microsoft. Aby uzyskać więcej informacji, zobacz Łączenie Microsoft Sentinel z Microsoft Defender.

Dostrajanie konfiguracji systemu

Użyj następujących opcji konfiguracji Microsoft Sentinel, aby dostosować wdrożenie:

Włączanie kondycji i inspekcji

Monitoruj kondycję i przeprowadź inspekcję integralności obsługiwanych zasobów Microsoft Sentinel, włączając funkcję inspekcji i monitorowania kondycji na stronie Ustawienia Microsoft Sentinel. Uzyskaj szczegółowe informacje na temat dryfów kondycji, takich jak najnowsze zdarzenia awarii lub zmiany od powodzenia do stanów niepowodzenia, a także na temat nieautoryzowanych akcji i użyj tych informacji do tworzenia powiadomień i innych zautomatyzowanych akcji.

Aby uzyskać więcej informacji, zobaczWłączanie inspekcji i monitorowania kondycji dla Microsoft Sentinel.

Konfigurowanie zawartości Microsoft Sentinel

Na podstawie źródeł danych wybranych podczas planowania wdrożenia zainstaluj rozwiązania Microsoft Sentinel i skonfiguruj łączniki danych. Microsoft Sentinel oferuje szeroką gamę wbudowanych rozwiązań i łączników danych, ale można również tworzyć łączniki niestandardowe i konfigurować łączniki w celu pozyskiwania dzienników CEF lub Syslog.

Więcej informacji można znaleźć w następujących artykułach:

• Konfigurowanie zawartości
• Odnajdywanie zawartości Microsoft Sentinel i zarządzanie nią
• Znajdowanie łącznika danych

Włączanie analizy zachowań użytkowników i jednostek (UEBA)

Po skonfigurowaniu łączników danych w Microsoft Sentinel należy włączyć analizę zachowań jednostek użytkownika w celu zidentyfikowania podejrzanych zachowań, które mogą prowadzić do wyłudzania informacji i ataków, takich jak oprogramowanie wymuszające okup. Aby uzyskać więcej informacji, zobacz Włączanie interfejsu UEBA w Microsoft Sentinel.

Konfigurowanie interakcyjnego i długoterminowego przechowywania danych

Skonfiguruj interaktywne i długoterminowe przechowywanie danych, aby upewnić się, że organizacja zachowuje dane, które są ważne w dłuższej perspektywie. Aby uzyskać więcej informacji, zobacz Konfigurowanie interakcyjnego i długoterminowego przechowywania danych.

Włączanie reguł analizy

Reguły analizy informują Microsoft Sentinel o powiadamianiu o zdarzeniach przy użyciu zestawu warunków, które uważasz za ważne. Dostępne decyzje Microsoft Sentinel są oparte na analizie behawioralnej jednostek użytkownika (UEBA) i korelacjach danych w wielu źródłach danych. Podczas włączania reguł analitycznych dla Microsoft Sentinel należy określić priorytety włączania według połączonych źródeł danych, ryzyka organizacyjnego i taktyki MITRE.

Aby uzyskać więcej informacji, zobacz Wykrywanie zagrożeń w Microsoft Sentinel.

Przeglądanie reguł anomalii

Microsoft Sentinel reguły anomalii są domyślnie dostępne i włączone. Reguły anomalii są oparte na modelach uczenia maszynowego i interfejsie UEBA, które trenują dane w obszarze roboczym w celu oznaczania nietypowych zachowań użytkowników, hostów i innych użytkowników. Przejrzyj reguły anomalii i próg oceny anomalii dla każdego z nich. Jeśli na przykład obserwujesz wyniki fałszywie dodatnie, rozważ duplikowanie reguły i zmodyfikowanie progu.

Aby uzyskać więcej informacji, zobacz Praca z regułami analizy wykrywania anomalii.

Używanie reguły analizy zagrożeń firmy Microsoft

Włącz wbudowaną regułę analizy zagrożeń firmy Microsoft i sprawdź, czy ta reguła jest zgodna z danymi dziennika z analizą zagrożeń wygenerowaną przez firmę Microsoft. Firma Microsoft ma ogromne repozytorium danych analizy zagrożeń, a ta reguła analityczna używa podzestawu do generowania alertów o wysokiej wierności i zdarzeń dla zespołów SOC (centrów operacji zabezpieczeń) do klasyfikacji.

Unikanie zduplikowanych zdarzeń

Po nawiązaniu połączenia Microsoft Sentinel z Microsoft Defender zostanie automatycznie ustanowiona dwukierunkowa synchronizacja między zdarzeniami Microsoft Defender XDR i Microsoft Sentinel. Aby uniknąć tworzenia zduplikowanych zdarzeń dla tych samych alertów, zalecamy wyłączenie wszystkich reguł tworzenia zdarzeń firmy Microsoft dla produktów zintegrowanych z Microsoft Defender XDR, w tym usług Defender for Endpoint, Defender for Identity, Ochrona usługi Office 365 w usłudze Defender, Defender for Cloud Apps i Ochrona tożsamości Microsoft Entra.

Aby uzyskać więcej informacji, zobacz Tworzenie zdarzenia firmy Microsoft .

Przeprowadzanie przejścia dla pieszych MITRE ATT&CK

Po włączeniu reguł analizy zagrożeń, łączenia, anomalii i analizy zagrożeń należy przeprowadzić przejście mitre att&ck, aby ułatwić podjęcie decyzji o pozostałych regułach analitycznych, aby włączyć i zakończyć implementowanie dojrzałego procesu XDR (rozszerzonego wykrywania i reagowania). Umożliwia to wykrywanie i reagowanie przez cały cykl życia ataku.

Aby uzyskać więcej informacji, zobacz Omówienie zakresu zabezpieczeń.