Omówienie planowania ujednoliconej platformy operacji zabezpieczeń firmy Microsoft
W tym artykule opisano działania związane z planowaniem wdrożenia produktów zabezpieczeń firmy Microsoft na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft na potrzeby kompleksowych operacji zabezpieczeń (SecOps). Ujednolicenie usługi SecOps na platformie firmy Microsoft w celu zmniejszenia ryzyka, zapobiegania atakom, wykrywania i zakłócania cyberzagrożeń w czasie rzeczywistym oraz szybszego reagowania dzięki ulepszonym funkcjom zabezpieczeń opartym na sztucznej inteligencji — wszystko to z poziomu portalu Microsoft Defender.
Planowanie wdrożenia
Ujednolicona platforma SecOps firmy Microsoft łączy usługi takie jak Microsoft Defender XDR, Microsoft Sentinel, Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft i Microsoft Security Copilot w portalu Microsoft Defender.
Pierwszym krokiem planowania wdrożenia jest wybranie usług, których chcesz użyć.
Jako podstawowy warunek wstępny musisz zarówno Microsoft Defender XDR, jak i Microsoft Sentinel, aby monitorować i chronić zarówno usługi i rozwiązania firmy Microsoft, jak i inne firmy, w tym zasoby w chmurze i zasoby lokalne.
Wdróż dowolną z następujących usług, aby dodać zabezpieczenia między punktami końcowymi, tożsamościami, pocztą e-mail i aplikacjami, aby zapewnić zintegrowaną ochronę przed zaawansowanymi atakami.
usługi Microsoft Defender XDR obejmują:
Usługa | Opis |
---|---|
Microsoft Defender for Identity | Identyfikuje, wykrywa i bada zagrożenia zarówno ze strony tożsamości lokalna usługa Active Directory, jak i tożsamości w chmurze, takich jak Tożsamość Microsoft Entra. |
Ochrona usługi Office 365 w usłudze Microsoft Defender | Chroni przed zagrożeniami związanymi z wiadomościami e-mail, linkami adresów URL i narzędziami do współpracy Office 365. |
Ochrona punktu końcowego w usłudze Microsoft Defender | Monitoruje i chroni urządzenia punktu końcowego, wykrywa i bada naruszenia urządzeń oraz automatycznie reaguje na zagrożenia bezpieczeństwa. |
Monitorowanie IoT w przedsiębiorstwie z Microsoft Defender dla IoT | Zapewnia zarówno odnajdywanie urządzeń IoT, jak i wartość zabezpieczeń dla urządzeń IoT. |
Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender | Identyfikuje zasoby i spis oprogramowania oraz ocenia stan urządzenia w celu znalezienia luk w zabezpieczeniach. |
Microsoft Defender for Cloud Apps | Chroni i kontroluje dostęp do aplikacji SaaS w chmurze. |
Inne usługi obsługiwane w portalu Microsoft Defender w ramach ujednoliconej platformy SecOps firmy Microsoft, ale nie licencjonowane na Microsoft Defender XDR, obejmują:
Usługa | Opis |
---|---|
Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft | Zapewnia ujednolicony widok stanu zabezpieczeń między zasobami i obciążeniami firmy, wzbogacając informacje o zasobach o kontekst zabezpieczeń. |
Microsoft Security Copilot | Udostępnia szczegółowe informacje i zalecenia oparte na sztucznej inteligencji w celu usprawnienia operacji zabezpieczeń. |
Microsoft Defender for Cloud | Chroni środowiska wielochmurowe i hybrydowe za pomocą zaawansowanego wykrywania zagrożeń i reagowania na nie. |
Microsoft Defender Threat Intelligence | Usprawnia przepływy pracy analizy zagrożeń przez agregowanie i wzbogacanie krytycznych źródeł danych w celu skorelowania wskaźników naruszenia zabezpieczeń (IOCs) z powiązanymi artykułami, profilami aktora i lukami w zabezpieczeniach. |
Ochrona tożsamości Microsoft Entra | Ocenia dane o ryzyku związane z próbami logowania w celu oceny ryzyka związanego z każdym logowaniem do środowiska. |
Zapoznaj się z wymaganiami wstępnymi usługi
Przed wdrożeniem ujednoliconej platformy operacji zabezpieczeń firmy Microsoft zapoznaj się z wymaganiami wstępnymi dotyczącymi każdej usługi, która ma być używana. W poniższej tabeli wymieniono usługi i linki do ich wymagań wstępnych:
Usługa zabezpieczeń | Łącze do wymagań wstępnych |
---|---|
Wymagane dla ujednoliconej metodyki SecOps | |
Microsoft Defender XDR i Microsoft Defender dla pakietu Office | Microsoft Defender XDR wymagania wstępne |
Microsoft Sentinel | Wymagania wstępne dotyczące wdrażania Microsoft Sentinel |
Opcjonalne usługi Microsoft Defender XDR | |
Microsoft Defender for Identity | Microsoft Defender for Identity wymagania wstępne |
Ochrona punktu końcowego w usłudze Microsoft Defender | Konfigurowanie wdrożenia Ochrona punktu końcowego w usłudze Microsoft Defender |
Monitorowanie przedsiębiorstwa za pomocą Microsoft Defender dla IoT | Wymagania wstępne dotyczące zabezpieczeń IoT w przedsiębiorstwie |
Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender | Wymagania wstępne & uprawnienia dla Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender |
Microsoft Defender for Cloud Apps | Wprowadzenie do usługi Microsoft Defender for Cloud Apps |
Inne usługi obsługiwane w portalu Microsoft Defender | |
Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft | Wymagania wstępne i pomoc techniczna |
Microsoft Security Copilot | Minimalne wymagania |
Microsoft Defender for Cloud | Rozpocznij planowanie ochrony wielochmurowej i innych artykułów w tej samej sekcji. |
Microsoft Defender Threat Intelligence | Wymagania wstępne dotyczące analizy zagrożeń w usłudze Defender |
Ochrona tożsamości Microsoft Entra | Wymagania wstępne dotyczące Ochrona tożsamości Microsoft Entra |
Planowanie architektury obszaru roboczego usługi Log Analytics
Do korzystania z ujednoliconej platformy SecOps firmy Microsoft potrzebny jest obszar roboczy usługi Log Analytics z włączoną obsługą Microsoft Sentinel. Pojedynczy obszar roboczy usługi Log Analytics może być wystarczający dla wielu środowisk, ale wiele organizacji tworzy wiele obszarów roboczych w celu optymalizacji kosztów i lepszego spełnienia różnych wymagań biznesowych. Ujednolicona platforma SecOps firmy Microsoft obsługuje tylko jeden obszar roboczy.
Zaprojektuj obszar roboczy usługi Log Analytics, który chcesz włączyć dla Microsoft Sentinel. Rozważ parametry, takie jak wszelkie wymagania dotyczące zgodności dotyczące zbierania i przechowywania danych oraz sposób kontrolowania dostępu do Microsoft Sentinel danych.
Więcej informacji można znaleźć w następujących artykułach:
- Projektowanie architektury obszaru roboczego
- Przeglądanie przykładowych projektów obszarów roboczych
Planowanie kosztów Microsoft Sentinel i źródeł danych
Ujednolicona platforma SecOps firmy Microsoft pozyskuje dane z usług firmy Microsoft, takich jak Microsoft Defender for Cloud Apps i Microsoft Defender for Cloud. Zalecamy rozszerzenie zakresu do innych źródeł danych w środowisku przez dodanie łączników danych Microsoft Sentinel.
Określanie źródeł danych
Określ pełny zestaw źródeł danych, z które będziesz pozyskiwać dane, oraz wymagania dotyczące rozmiaru danych, które pomogą Ci dokładnie projektować budżet i oś czasu wdrożenia. Te informacje można określić podczas przeglądu przypadku użycia biznesowego lub przez ocenę bieżącego rozwiązania SIEM, które już istnieje. Jeśli masz już urządzenie SIEM, przeanalizuj dane, aby zrozumieć, które źródła danych zapewniają największą wartość i powinny zostać pozyskane do Microsoft Sentinel.
Możesz na przykład użyć dowolnego z następujących zalecanych źródeł danych:
Usługi platformy Azure: Jeśli na platformie Azure wdrożono dowolną z następujących usług, użyj następujących łączników, aby wysłać dzienniki diagnostyczne tych zasobów do Microsoft Sentinel:
- Azure Firewall
- Azure Application Gateway
- Magazyn kluczy
- Azure Kubernetes Service
- Azure SQL
- Grupy zabezpieczeń sieci
- Serwery usługi Azure Arc
Zalecamy skonfigurowanie Azure Policy, aby wymagać przekazywania ich dzienników do bazowego obszaru roboczego usługi Log Analytics. Aby uzyskać więcej informacji, zobacz Tworzenie ustawień diagnostycznych na dużą skalę przy użyciu Azure Policy.
Maszyny wirtualne: w przypadku maszyn wirtualnych hostowanych lokalnie lub w innych chmurach, które wymagają zebrania dzienników, użyj następujących łączników danych:
- Zabezpieczenia Windows zdarzenia przy użyciu usługi AMA
- Zdarzenia za pośrednictwem usługi Defender dla punktu końcowego (dla serwera)
- Dziennik systemowy
Wirtualne urządzenia sieciowe /źródła lokalne: w przypadku wirtualnych urządzeń sieciowych lub innych źródeł lokalnych, które generują dzienniki common event format (CEF) lub SYSLOG, użyj następujących łączników danych:
- Dziennik systemowy za pośrednictwem usługi AMA
- Format typowych zdarzeń (CEF) za pośrednictwem usługi AMA
Aby uzyskać więcej informacji, zobacz Określanie priorytetów łączników danych.
Planowanie budżetu
Zaplanuj budżet Microsoft Sentinel, biorąc pod uwagę konsekwencje kosztów dla każdego planowanego scenariusza. Upewnij się, że budżet obejmuje koszty pozyskiwania danych zarówno dla Microsoft Sentinel, jak i usługi Azure Log Analytics, wszystkie elementy playbook, które zostaną wdrożone itd. Więcej informacji można znaleźć w następujących artykułach:
- Plany przechowywania dzienników w Microsoft Sentinel
- Planowanie kosztów i zrozumienie Microsoft Sentinel cennika i rozliczeń
Planowanie ról i uprawnień
Użyj Microsoft Entra kontroli dostępu opartej na rolach (RBAC), aby utworzyć i przypisać role w zespole operacji zabezpieczeń, aby udzielić odpowiedniego dostępu do usług uwzględnionych na ujednoliconej platformie SecOps firmy Microsoft.
Model ujednoliconej kontroli dostępu opartej na rolach (RBAC) Microsoft Defender XDR zapewnia pojedyncze środowisko zarządzania uprawnieniami, które zapewnia administratorom jedną centralną lokalizację do kontrolowania uprawnień użytkowników w kilku rozwiązaniach zabezpieczeń. Aby uzyskać więcej informacji, zobacz Microsoft Defender XDR Ujednolicona kontrola dostępu oparta na rolach (RBAC).
W przypadku następujących usług użyj różnych dostępnych ról lub utwórz role niestandardowe, aby zapewnić szczegółową kontrolę nad tym, co użytkownicy widzą i robią. Więcej informacji można znaleźć w następujących artykułach:
Planowanie działań Zero Trust
Ujednolicona platforma SecOps firmy Microsoft jest częścią modelu zabezpieczeń Zero Trust firmy Microsoft, który obejmuje następujące zasady:
Zasada | Opis |
---|---|
Jawne weryfikowanie | Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych. |
Korzystanie z dostępu z najniższymi uprawnieniami | Ogranicz dostęp użytkowników za pomocą funkcji just in time i just-enough-access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych. |
Załóżmy, że naruszenie | Minimalizuj promień wybuchu i dostęp do segmentu. Zweryfikuj kompleksowe szyfrowanie i użyj analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i ulepszyć ochronę. |
Zero Trust zabezpieczenia mają na celu ochronę nowoczesnych środowisk cyfrowych dzięki wykorzystaniu segmentacji sieci, zapobieganiu przenoszeniu w trybie poprzecznym, zapewnianiu dostępu o najniższych uprawnieniach oraz wykorzystaniu zaawansowanej analizy do wykrywania zagrożeń i reagowania na nie.
Aby uzyskać więcej informacji na temat implementowania zasad Zero Trust na ujednoliconej platformie SecOps firmy Microsoft, zobacz Zero Trust zawartości dla następujących usług:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender for Identity
- Ochrona usługi Office 365 w usłudze Microsoft Defender
- Ochrona punktu końcowego w usłudze Microsoft Defender
- Microsoft Defender for Cloud Apps
- Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft
- Microsoft Defender for Cloud
- Microsoft Security Copilot
- Ochrona tożsamości Microsoft Entra
Następny krok
Wdrażanie ujednoliconej platformy operacji zabezpieczeń firmy Microsoft