Поделиться через

Развертывание унифицированной платформы SecOps корпорации Майкрософт

  • Статья

Единая платформа операций безопасности Майкрософт объединяет возможности Microsoft Defender портала, Microsoft Sentinel и других служб Microsoft Defender. Эта платформа предоставляет комплексное представление о безопасности вашей организации и помогает обнаруживать, исследовать угрозы и реагировать на них в организации.

Управление рисками Microsoft Security и Microsoft Threat Intelligence доступны в любой среде, которая соответствует предварительным требованиям, для пользователей, настроенных с необходимыми разрешениями.

Предварительные условия

Развертывание служб Microsoft Defender XDR

Microsoft Defender XDR унифицировывает реагирование на инциденты, интегрируя ключевые возможности разных служб, включая Microsoft Defender для конечной точки, Microsoft Defender для Office 365, Microsoft Defender for Cloud Apps и Microsoft Defender для удостоверений. Этот унифицированный интерфейс добавляет мощные функции, доступные на портале Microsoft Defender.

  1. Microsoft Defender XDR автоматически включается, когда соответствующие клиенты с необходимыми разрешениями посещают Microsoft Defender портал. Дополнительные сведения см. в разделе Включение Microsoft Defender XDR.

  2. Продолжайте развертывание служб Microsoft Defender XDR. Рекомендуется использовать следующий порядок:

    1. Развертывание Microsoft Defender для удостоверений.

    2. Развертывание Microsoft Defender для Office 365.

    3. Развертывание Microsoft Defender для конечной точки. Добавьте Управление уязвимостями Microsoft Defender и (или) корпоративный мониторинг для устройств Интернета вещей в соответствии с вашей средой.

    4. Развертывание Microsoft Defender for Cloud Apps.

Настройка Защита Microsoft Entra ID

Microsoft Defender XDR может принимать и включать сигналы от Защита Microsoft Entra ID, которая оценивает данные о рисках из миллиардов попыток входа и оценивает риск каждого входа в вашу среду. Защита Microsoft Entra ID данные используются Microsoft Entra ID для разрешения или запрета доступа к учетной записи в зависимости от того, как настроены политики условного доступа.

Настройте Защита Microsoft Entra ID для повышения уровня безопасности и добавления сигналов Microsoft Entra в единые операции безопасности. Дополнительные сведения см. в статье Настройка политик Защита Microsoft Entra ID.

Развертывание Microsoft Defender для облака

Microsoft Defender для облака предоставляет единый интерфейс управления безопасностью для облачных ресурсов, а также может отправлять сигналы Microsoft Defender XDR. Например, вы можете начать с подключения подписок Azure к Microsoft Defender для облака, а затем перейти к другим облачным средам.

Дополнительные сведения см. в статье Подключение подписок Azure.

Подключение к Microsoft Security Copilot

Подключение к Microsoft Security Copilot для повышения эффективности операций безопасности за счет использования расширенных возможностей ИИ. Security Copilot помогает в обнаружении угроз, исследовании и реагировании на нее, предоставляя полезные сведения и рекомендации, помогающие опережать потенциальные угрозы. Используйте Security Copilot для автоматизации рутинных задач, сокращения времени на обнаружение инцидентов и реагирования на них, а также повышения общей эффективности команды безопасности.

Дополнительные сведения см. в статье Начало работы с Security Copilot.

Разработка архитектуры рабочей области и подключение к Microsoft Sentinel

Первым шагом в использовании Microsoft Sentinel является создание рабочей области Log Analytics, если у вас ее еще нет. Одной рабочей области Log Analytics может быть достаточно для многих сред, но многие организации создают несколько рабочих областей для оптимизации затрат и лучшего удовлетворения различных бизнес-требований. Единая платформа операций безопасности Майкрософт поддерживает только одну рабочую область.

  1. Создайте группу ресурсов безопасности для целей управления, которая позволяет изолировать Microsoft Sentinel ресурсов и доступ на основе ролей к коллекции.
  2. Создайте рабочую область Log Analytics в группе ресурсов Безопасность и включите в нее Microsoft Sentinel.

Дополнительные сведения см. в разделе Подключение Microsoft Sentinel.

Настройка ролей и разрешений

Подготовьте пользователей на основе плана доступа, подготовленного ранее. В соответствии с принципами "Никому не доверяй" рекомендуется использовать управление доступом на основе ролей (RBAC), чтобы предоставить пользователям доступ только к ресурсам, которые разрешены и актуальны для каждого пользователя, а не для всей среды.

Дополнительные сведения см. в разделе:

Подключение к унифицированной системе SecOps

При подключении Microsoft Sentinel к порталу Defender вы объединяете возможности с помощью Microsoft Defender XDR, таких как управление инцидентами и расширенная охота, создавая единую платформу SecOps.

  1. Установите решение Microsoft Defender XDR для Microsoft Sentinel из Центра содержимого. Дополнительные сведения см. в статье Развертывание содержимого и управление ими.
  2. Включите соединитель данных Microsoft Defender XDR для сбора инцидентов и оповещений. Дополнительные сведения см. в статье Подключение данных из Microsoft Defender XDR к Microsoft Sentinel.
  3. Подключение к единой платформе SecOps корпорации Майкрософт. Дополнительные сведения см. в статье Подключение Microsoft Sentinel к Microsoft Defender.

Тонкая настройка системных конфигураций

Используйте следующие Microsoft Sentinel параметры конфигурации для точной настройки развертывания:

Включение работоспособности и аудита

Отслеживайте работоспособность и проверяйте целостность поддерживаемых ресурсов Microsoft Sentinel, включив функцию аудита и мониторинга работоспособности на странице параметров Microsoft Sentinel. Получайте аналитические сведения о смещениях работоспособности, таких как последние события сбоя или изменения от состояния успешного выполнения до состояния сбоя, а также о несанкционированных действиях, и используйте эти сведения для создания уведомлений и других автоматических действий.

Дополнительные сведения см.в разделе Включение аудита и мониторинга работоспособности для Microsoft Sentinel.

Настройка содержимого Microsoft Sentinel

В зависимости от источников данных, выбранных при планировании развертывания, установите Microsoft Sentinel решения и настройте соединители данных. Microsoft Sentinel предоставляет широкий спектр встроенных решений и соединителей данных, но вы также можете создавать пользовательские соединители и настраивать соединители для приема журналов CEF или Syslog.

Дополнительные сведения см. в разделе:

Включение аналитики поведения пользователей и сущностей (UEBA)

Настроив соединители данных в Microsoft Sentinel, включите аналитику поведения сущностей пользователя для выявления подозрительного поведения, которое может привести к фишинговым эксплойтам и в конечном итоге атакам, таким как программы-шантажисты. Дополнительные сведения см. в разделе Включение UEBA в Microsoft Sentinel.

Настройка интерактивного и долгосрочного хранения данных

Настройте интерактивное и долгосрочное хранение данных, чтобы убедиться, что в вашей организации хранятся важные в долгосрочной перспективе данные. Дополнительные сведения см. в разделе Настройка интерактивного и долгосрочного хранения данных.

Включение правил аналитики

Правила аналитики сообщают Microsoft Sentinel оповещать вас о событиях с помощью набора условий, которые считаются важными. Готовые решения, Microsoft Sentinel принимает, основаны на аналитике поведения сущностей пользователей (UEBA) и корреляции данных между несколькими источниками данных. При включении правил аналитики для Microsoft Sentinel определите приоритеты включения с помощью подключенных источников данных, организационных рисков и тактики MITRE.

Дополнительные сведения см. в разделе Обнаружение угроз в Microsoft Sentinel.

Просмотр правил аномалий

Microsoft Sentinel правила аномалий доступны по умолчанию и включены по умолчанию. Правила аномалий основаны на моделях машинного обучения и UEBA, которые обучают данные в рабочей области, чтобы отмечать аномальное поведение пользователей, узлов и других пользователей. Просмотрите правила аномалий и пороговое значение оценки аномалий для каждого из них. Например, если вы видите ложные срабатывания, попробуйте дублировать правило и изменить пороговое значение.

Дополнительные сведения см. в статье Работа с правилами аналитики обнаружения аномалий.

Использование правила аналитики угроз (Майкрософт)

Включите встроенное правило аналитики угроз (Майкрософт) и убедитесь, что это правило соответствует данным журнала с аналитикой угроз, созданной Корпорацией Майкрософт. Корпорация Майкрософт располагает обширным репозиторием данных аналитики угроз, и это аналитическое правило использует его подмножество для создания оповещений и инцидентов с высоким уровнем точности для групп SOC (центров управления безопасностью) для рассмотрения.

Избегайте повторяющихся инцидентов

После подключения Microsoft Sentinel к Microsoft Defender автоматически устанавливается двунаправленная синхронизация между инцидентами Microsoft Defender XDR и Microsoft Sentinel. Чтобы избежать дублирования инцидентов для одних и других оповещений, рекомендуется отключить все правила создания инцидентов Майкрософт для продуктов, интегрированных с Microsoft Defender XDR, включая Defender для конечной точки, Defender для удостоверений, Defender для Office 365, Defender for Cloud Apps и Защита Microsoft Entra ID.

Дополнительные сведения см. в статье Создание инцидентов Майкрософт .

Проведение перехода MITRE ATT&CK

С включенными правилами аналитики слиянием, аномалиями и аналитикой угроз выполните mitre Att&ck crosswalk, чтобы помочь вам решить, какие оставшиеся аналитические правила следует включить и завершить реализацию зрелого процесса XDR (расширенного обнаружения и реагирования). Это позволяет обнаруживать атаки и реагировать на них на протяжении всего жизненного цикла.

Дополнительные сведения см. в статье Общие сведения о покрытии безопасности.