Udostępnij za pośrednictwem


Omówienie planowania ujednoliconej platformy operacji zabezpieczeń firmy Microsoft

W tym artykule opisano działania związane z planowaniem wdrożenia produktów zabezpieczeń firmy Microsoft na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft na potrzeby kompleksowych operacji zabezpieczeń (SecOps). Ujednolicenie usługi SecOps na platformie firmy Microsoft w celu zmniejszenia ryzyka, zapobiegania atakom, wykrywania i zakłócania cyberzagrożeń w czasie rzeczywistym oraz szybszego reagowania dzięki ulepszonym funkcjom zabezpieczeń opartym na sztucznej inteligencji — wszystko to z poziomu portalu Microsoft Defender.

Planowanie wdrożenia

Ujednolicona platforma SecOps firmy Microsoft łączy usługi takie jak Microsoft Defender XDR, Microsoft Sentinel, Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft i Microsoft Security Copilot w portalu Microsoft Defender.

Pierwszym krokiem planowania wdrożenia jest wybranie usług, których chcesz użyć.

Jako podstawowy warunek wstępny musisz zarówno Microsoft Defender XDR, jak i Microsoft Sentinel, aby monitorować i chronić zarówno usługi i rozwiązania firmy Microsoft, jak i inne firmy, w tym zasoby w chmurze i zasoby lokalne.

Wdróż dowolną z następujących usług, aby dodać zabezpieczenia między punktami końcowymi, tożsamościami, pocztą e-mail i aplikacjami, aby zapewnić zintegrowaną ochronę przed zaawansowanymi atakami.

usługi Microsoft Defender XDR obejmują:

Usługa Opis
Microsoft Defender for Identity Identyfikuje, wykrywa i bada zagrożenia zarówno ze strony tożsamości lokalna usługa Active Directory, jak i tożsamości w chmurze, takich jak Tożsamość Microsoft Entra.
Ochrona usługi Office 365 w usłudze Microsoft Defender Chroni przed zagrożeniami związanymi z wiadomościami e-mail, linkami adresów URL i narzędziami do współpracy Office 365.
Ochrona punktu końcowego w usłudze Microsoft Defender Monitoruje i chroni urządzenia punktu końcowego, wykrywa i bada naruszenia urządzeń oraz automatycznie reaguje na zagrożenia bezpieczeństwa.
Monitorowanie IoT w przedsiębiorstwie z Microsoft Defender dla IoT Zapewnia zarówno odnajdywanie urządzeń IoT, jak i wartość zabezpieczeń dla urządzeń IoT.
Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender Identyfikuje zasoby i spis oprogramowania oraz ocenia stan urządzenia w celu znalezienia luk w zabezpieczeniach.
Microsoft Defender for Cloud Apps Chroni i kontroluje dostęp do aplikacji SaaS w chmurze.

Inne usługi obsługiwane w portalu Microsoft Defender w ramach ujednoliconej platformy SecOps firmy Microsoft, ale nie licencjonowane na Microsoft Defender XDR, obejmują:

Usługa Opis
Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft Zapewnia ujednolicony widok stanu zabezpieczeń między zasobami i obciążeniami firmy, wzbogacając informacje o zasobach o kontekst zabezpieczeń.
Microsoft Security Copilot Udostępnia szczegółowe informacje i zalecenia oparte na sztucznej inteligencji w celu usprawnienia operacji zabezpieczeń.
Microsoft Defender for Cloud Chroni środowiska wielochmurowe i hybrydowe za pomocą zaawansowanego wykrywania zagrożeń i reagowania na nie.
Microsoft Defender Threat Intelligence Usprawnia przepływy pracy analizy zagrożeń przez agregowanie i wzbogacanie krytycznych źródeł danych w celu skorelowania wskaźników naruszenia zabezpieczeń (IOCs) z powiązanymi artykułami, profilami aktora i lukami w zabezpieczeniach.
Ochrona tożsamości Microsoft Entra Ocenia dane o ryzyku związane z próbami logowania w celu oceny ryzyka związanego z każdym logowaniem do środowiska.

Zapoznaj się z wymaganiami wstępnymi usługi

Przed wdrożeniem ujednoliconej platformy operacji zabezpieczeń firmy Microsoft zapoznaj się z wymaganiami wstępnymi dotyczącymi każdej usługi, która ma być używana. W poniższej tabeli wymieniono usługi i linki do ich wymagań wstępnych:

Usługa zabezpieczeń Łącze do wymagań wstępnych
Wymagane dla ujednoliconej metodyki SecOps
Microsoft Defender XDR i Microsoft Defender dla pakietu Office Microsoft Defender XDR wymagania wstępne
Microsoft Sentinel Wymagania wstępne dotyczące wdrażania Microsoft Sentinel
Opcjonalne usługi Microsoft Defender XDR
Microsoft Defender for Identity Microsoft Defender for Identity wymagania wstępne
Ochrona punktu końcowego w usłudze Microsoft Defender Konfigurowanie wdrożenia Ochrona punktu końcowego w usłudze Microsoft Defender
Monitorowanie przedsiębiorstwa za pomocą Microsoft Defender dla IoT Wymagania wstępne dotyczące zabezpieczeń IoT w przedsiębiorstwie
Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender Wymagania wstępne & uprawnienia dla Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
Microsoft Defender for Cloud Apps Wprowadzenie do usługi Microsoft Defender for Cloud Apps
Inne usługi obsługiwane w portalu Microsoft Defender
Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft Wymagania wstępne i pomoc techniczna
Microsoft Security Copilot Minimalne wymagania
Microsoft Defender for Cloud Rozpocznij planowanie ochrony wielochmurowej i innych artykułów w tej samej sekcji.
Microsoft Defender Threat Intelligence Wymagania wstępne dotyczące analizy zagrożeń w usłudze Defender
Ochrona tożsamości Microsoft Entra Wymagania wstępne dotyczące Ochrona tożsamości Microsoft Entra

Planowanie architektury obszaru roboczego usługi Log Analytics

Do korzystania z ujednoliconej platformy SecOps firmy Microsoft potrzebny jest obszar roboczy usługi Log Analytics z włączoną obsługą Microsoft Sentinel. Pojedynczy obszar roboczy usługi Log Analytics może być wystarczający dla wielu środowisk, ale wiele organizacji tworzy wiele obszarów roboczych w celu optymalizacji kosztów i lepszego spełnienia różnych wymagań biznesowych. Ujednolicona platforma SecOps firmy Microsoft obsługuje tylko jeden obszar roboczy.

Zaprojektuj obszar roboczy usługi Log Analytics, który chcesz włączyć dla Microsoft Sentinel. Rozważ parametry, takie jak wszelkie wymagania dotyczące zgodności dotyczące zbierania i przechowywania danych oraz sposób kontrolowania dostępu do Microsoft Sentinel danych.

Więcej informacji można znaleźć w następujących artykułach:

  1. Projektowanie architektury obszaru roboczego
  2. Przeglądanie przykładowych projektów obszarów roboczych

Planowanie kosztów Microsoft Sentinel i źródeł danych

Ujednolicona platforma SecOps firmy Microsoft pozyskuje dane z usług firmy Microsoft, takich jak Microsoft Defender for Cloud Apps i Microsoft Defender for Cloud. Zalecamy rozszerzenie zakresu do innych źródeł danych w środowisku przez dodanie łączników danych Microsoft Sentinel.

Określanie źródeł danych

Określ pełny zestaw źródeł danych, z które będziesz pozyskiwać dane, oraz wymagania dotyczące rozmiaru danych, które pomogą Ci dokładnie projektować budżet i oś czasu wdrożenia. Te informacje można określić podczas przeglądu przypadku użycia biznesowego lub przez ocenę bieżącego rozwiązania SIEM, które już istnieje. Jeśli masz już urządzenie SIEM, przeanalizuj dane, aby zrozumieć, które źródła danych zapewniają największą wartość i powinny zostać pozyskane do Microsoft Sentinel.

Możesz na przykład użyć dowolnego z następujących zalecanych źródeł danych:

  • Usługi platformy Azure: Jeśli na platformie Azure wdrożono dowolną z następujących usług, użyj następujących łączników, aby wysłać dzienniki diagnostyczne tych zasobów do Microsoft Sentinel:

    • Azure Firewall
    • Azure Application Gateway
    • Magazyn kluczy
    • Azure Kubernetes Service
    • Azure SQL
    • Grupy zabezpieczeń sieci
    • Serwery usługi Azure Arc

    Zalecamy skonfigurowanie Azure Policy, aby wymagać przekazywania ich dzienników do bazowego obszaru roboczego usługi Log Analytics. Aby uzyskać więcej informacji, zobacz Tworzenie ustawień diagnostycznych na dużą skalę przy użyciu Azure Policy.

  • Maszyny wirtualne: w przypadku maszyn wirtualnych hostowanych lokalnie lub w innych chmurach, które wymagają zebrania dzienników, użyj następujących łączników danych:

    • Zabezpieczenia Windows zdarzenia przy użyciu usługi AMA
    • Zdarzenia za pośrednictwem usługi Defender dla punktu końcowego (dla serwera)
    • Dziennik systemowy
  • Wirtualne urządzenia sieciowe /źródła lokalne: w przypadku wirtualnych urządzeń sieciowych lub innych źródeł lokalnych, które generują dzienniki common event format (CEF) lub SYSLOG, użyj następujących łączników danych:

    • Dziennik systemowy za pośrednictwem usługi AMA
    • Format typowych zdarzeń (CEF) za pośrednictwem usługi AMA

Aby uzyskać więcej informacji, zobacz Określanie priorytetów łączników danych.

Planowanie budżetu

Zaplanuj budżet Microsoft Sentinel, biorąc pod uwagę konsekwencje kosztów dla każdego planowanego scenariusza. Upewnij się, że budżet obejmuje koszty pozyskiwania danych zarówno dla Microsoft Sentinel, jak i usługi Azure Log Analytics, wszystkie elementy playbook, które zostaną wdrożone itd. Więcej informacji można znaleźć w następujących artykułach:

Planowanie ról i uprawnień

Użyj Microsoft Entra kontroli dostępu opartej na rolach (RBAC), aby utworzyć i przypisać role w zespole operacji zabezpieczeń, aby udzielić odpowiedniego dostępu do usług uwzględnionych na ujednoliconej platformie SecOps firmy Microsoft.

Model ujednoliconej kontroli dostępu opartej na rolach (RBAC) Microsoft Defender XDR zapewnia pojedyncze środowisko zarządzania uprawnieniami, które zapewnia administratorom jedną centralną lokalizację do kontrolowania uprawnień użytkowników w kilku rozwiązaniach zabezpieczeń. Aby uzyskać więcej informacji, zobacz Microsoft Defender XDR Ujednolicona kontrola dostępu oparta na rolach (RBAC).

W przypadku następujących usług użyj różnych dostępnych ról lub utwórz role niestandardowe, aby zapewnić szczegółową kontrolę nad tym, co użytkownicy widzą i robią. Więcej informacji można znaleźć w następujących artykułach:

Usługa zabezpieczeń Łączenie z wymaganiami roli
Wymagane dla ujednoliconej metodyki SecOps
Microsoft Defender XDR Zarządzanie dostępem do Microsoft Defender XDR przy użyciu ról globalnych Microsoft Entra
Microsoft Sentinel Role i uprawnienia w Microsoft Sentinel
Opcjonalne usługi Microsoft Defender XDR
Microsoft Defender for Identity grupy ról Microsoft Defender for Identity
Microsoft Defender dla pakietu Office uprawnienia Ochrona usługi Office 365 w usłudze Microsoft Defender w portalu Microsoft Defender
Ochrona punktu końcowego w usłudze Microsoft Defender Przypisywanie ról i uprawnień do wdrożenia Ochrona punktu końcowego w usłudze Microsoft Defender
Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender Odpowiednie opcje uprawnień dla Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
Microsoft Defender for Cloud Apps Konfigurowanie dostępu administratora dla Microsoft Defender for Cloud Apps
Inne usługi obsługiwane w portalu Microsoft Defender
Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft Uprawnienia dla Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft
Microsoft Defender for Cloud Role i uprawnienia użytkowników

Planowanie działań Zero Trust

Ujednolicona platforma SecOps firmy Microsoft jest częścią modelu zabezpieczeń Zero Trust firmy Microsoft, który obejmuje następujące zasady:

Zasada Opis
Jawne weryfikowanie Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych.
Korzystanie z dostępu z najniższymi uprawnieniami Ogranicz dostęp użytkowników za pomocą funkcji just in time i just-enough-access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych.
Załóżmy, że naruszenie Minimalizuj promień wybuchu i dostęp do segmentu. Zweryfikuj kompleksowe szyfrowanie i użyj analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i ulepszyć ochronę.

Zero Trust zabezpieczenia mają na celu ochronę nowoczesnych środowisk cyfrowych dzięki wykorzystaniu segmentacji sieci, zapobieganiu przenoszeniu w trybie poprzecznym, zapewnianiu dostępu o najniższych uprawnieniach oraz wykorzystaniu zaawansowanej analizy do wykrywania zagrożeń i reagowania na nie.

Aby uzyskać więcej informacji na temat implementowania zasad Zero Trust na ujednoliconej platformie SecOps firmy Microsoft, zobacz Zero Trust zawartości dla następujących usług:

Następny krok

Wdrażanie ujednoliconej platformy operacji zabezpieczeń firmy Microsoft