Общие сведения о планировании платформы унифицированных операций безопасности Майкрософт

В этой статье описаны действия по планированию развертывания продуктов безопасности Майкрософт на унифицированной платформе операций безопасности Майкрософт для комплексных операций безопасности (SecOps). Унификация SecOps на платформе Майкрософт, чтобы снизить риски, предотвратить атаки, обнаруживать и нарушать киберугрозы в режиме реального времени, а также быстрее реагировать с помощью возможностей безопасности с поддержкой ИИ на портале Microsoft Defender.

Планирование развертывания

Единая платформа SecOps корпорации Майкрософт объединяет такие службы, как Microsoft Defender XDR, Microsoft Sentinel, Управление рисками Microsoft Security и Microsoft Security Copilot в Microsoft Defender портал.

Первым шагом при планировании развертывания является выбор служб, которые вы хотите использовать.

В качестве основного условия вам потребуется Microsoft Defender XDR и Microsoft Sentinel для мониторинга и защиты служб и решений майкрософт и сторонних разработчиков, включая облачные и локальные ресурсы.

Разверните любую из следующих служб, чтобы обеспечить безопасность конечных точек, удостоверений, электронной почты и приложений, чтобы обеспечить интегрированную защиту от сложных атак.

Microsoft Defender XDR службы:

Служба	Описание
Microsoft Defender для Office 365	Защищает от угроз, связанных с сообщениями электронной почты, URL-ссылками и средствами совместной работы Office 365.
Microsoft Defender для удостоверений	Выявляет, обнаруживает и исследует угрозы со стороны локальная служба Active Directory и облачных удостоверений, таких как Microsoft Entra ID.
Microsoft Defender для конечной точки	Отслеживает и защищает устройства конечных точек, обнаруживает и исследует нарушения безопасности устройств, а также автоматически реагирует на угрозы безопасности.
Microsoft Defender для Интернета вещей	Предоставляет как обнаружение устройств Интернета вещей, так и значение безопасности для устройств Интернета вещей.
Управление уязвимостями в Microsoft Defender	Определяет ресурсы и программное обеспечение, а также оценивает состояние устройства для обнаружения уязвимостей системы безопасности.
Microsoft Defender for Cloud Apps	Защищает и управляет доступом к облачным приложениям SaaS.

Другие службы, поддерживаемые на портале Microsoft Defender в рамках единой платформы SecOps корпорации Майкрософт, но не лицензированные с Microsoft Defender XDR, включают следующие:

Служба	Описание
Управление рисками Microsoft Security	Предоставляет единое представление о состоянии безопасности для всех активов и рабочих нагрузок компании, обогащая сведения об активах контекстом безопасности.
Microsoft Security Copilot	Предоставляет аналитические сведения и рекомендации на основе ИИ для повышения эффективности операций безопасности.
Microsoft Defender для облака	Защищает многооблачные и гибридные среды с помощью расширенного обнаружения угроз и реагирования на нее.
Аналитика угроз Microsoft Defender	Упрощает рабочие процессы аналитики угроз путем агрегирования и обогащения критически важных источников данных для корреляции индикаторов компрометации (IOCs) со связанными статьями, профилями субъектов и уязвимостями.
Защита Microsoft Entra ID	Оценивает данные о рисках при попытках входа, чтобы оценить риск каждого входа в вашу среду.

Проверка предварительных требований к службе

Прежде чем развертывать единую платформу операций безопасности Майкрософт, ознакомьтесь с предварительными условиями для каждой службы, которую вы планируете использовать. В следующей таблице перечислены службы и ссылки для получения дополнительных сведений:

Служба безопасности	Предварительные условия
Требуется для унифицированных secOps
Microsoft Defender XDR	предварительные требования Microsoft Defender XDR
Microsoft Sentinel	Предварительные требования для развертывания Microsoft Sentinel
Необязательные службы Microsoft Defender XDR
Microsoft Defender для Office	предварительные требования Microsoft Defender XDR
Microsoft Defender для удостоверений	Обязательные требования для работы с Microsoft Defender для удостоверений
Microsoft Defender для конечной точки	Настройка развертывания Microsoft Defender для конечной точки
Мониторинг предприятия с помощью Microsoft Defender для Интернета вещей	Предварительные требования для Defender для Интернета вещей на портале Defender
Управление уязвимостями в Microsoft Defender	Предварительные требования & разрешения для Управление уязвимостями Microsoft Defender
Microsoft Defender for Cloud Apps	Начало работы с Microsoft Defender for Cloud Apps
Другие службы, поддерживаемые на портале Microsoft Defender
Управление рисками Microsoft Security	Предварительные требования и поддержка
Microsoft Security Copilot	Минимальные требования
Microsoft Defender для облака	Начните планировать многооблачную защиту и другие статьи в том же разделе.
Аналитика угроз Microsoft Defender	Предварительные требования для аналитики угроз в Defender
Защита Microsoft Entra ID	Предварительные требования для Защита Microsoft Entra ID

Ознакомьтесь с рекомендациями по обеспечению безопасности и конфиденциальности данных

Перед развертыванием унифицированной платформы операций безопасности Майкрософт убедитесь, что вы понимаете рекомендации по обеспечению безопасности и конфиденциальности данных для каждой службы, которую вы планируете использовать. В следующей таблице перечислены службы и ссылки для получения дополнительных сведений. Обратите внимание, что некоторые службы используют методы безопасности и хранения данных для Microsoft Defender XDR вместо того, чтобы использовать отдельные методики.

Служба безопасности	Безопасность и конфиденциальность данных
Требуется для унифицированных secOps
Microsoft Defender XDR	Безопасность и хранение данных в Microsoft Defender XDR
Microsoft Sentinel	Географическая доступность и расположение данных в Microsoft Sentinel
Необязательные службы Microsoft Defender XDR
Microsoft Defender для Office	Безопасность и хранение данных в Microsoft Defender XDR
Microsoft Defender для удостоверений	Конфиденциальность с помощью Microsoft Defender для удостоверений
Microsoft Defender для конечной точки	Microsoft Defender для конечной точки хранения данных и конфиденциальности
Мониторинг предприятия с помощью Microsoft Defender для Интернета вещей	Безопасность и хранение данных в Microsoft Defender XDR
Управление уязвимостями в Microsoft Defender	Microsoft Defender для конечной точки хранения данных и конфиденциальности
Microsoft Defender for Cloud Apps	Конфиденциальность с помощью Microsoft Defender for Cloud Apps
Другие службы, поддерживаемые на портале Microsoft Defender
Управление рисками Microsoft Security	Актуальность, хранение данных и связанные функции
Microsoft Security Copilot	Конфиденциальность и безопасность данных в Microsoft Security Copilot
Microsoft Defender для облака	Microsoft Defender для защиты облачных данных
Аналитика угроз Microsoft Defender	Безопасность и хранение данных в Microsoft Defender XDR
Защита Microsoft Entra ID	хранение данных Microsoft Entra

Планирование архитектуры рабочей области Log Analytics

Чтобы использовать единую платформу SecOps корпорации Майкрософт, необходима рабочая область Log Analytics, включенная для Microsoft Sentinel. Одной рабочей области Log Analytics может быть достаточно для многих сред, но многие организации создают несколько рабочих областей для оптимизации затрат и лучшего удовлетворения различных бизнес-требований. Единая платформа SecOps корпорации Майкрософт поддерживает только одну рабочую область.

Проектируйте рабочую область Log Analytics, которую вы хотите включить для Microsoft Sentinel. Рассмотрите такие параметры, как требования к соответствию для сбора и хранения данных, а также управление доступом к Microsoft Sentinel данным.

Дополнительные сведения см. в разделе:

1. Проектирование архитектуры рабочей области
2. Просмотр примеров макетов рабочих областей

Планирование затрат на Microsoft Sentinel и источников данных

Единая платформа SecOps корпорации Майкрософт прием данных из сторонних служб Майкрософт, таких как Microsoft Defender for Cloud Apps и Microsoft Defender для облака. Мы рекомендуем расширить охват другими источниками данных в вашей среде, добавив Microsoft Sentinel соединители данных.

Определение источников данных

Определите полный набор источников данных, из которые вы будете принимать данные, и требования к размеру данных, которые помогут вам точно проецировать бюджет и временная шкала развертывания. Вы можете определить эту информацию во время проверки варианта использования для бизнеса или путем оценки текущей SIEM, которая у вас уже есть. Если у вас уже есть SIEM, проанализируйте данные, чтобы понять, какие источники данных предоставляют наибольшее значение и должны приниматься в Microsoft Sentinel.

Например, может потребоваться использовать любой из следующих рекомендуемых источников данных:

• Службы Azure. Если в Azure развернута какая-либо из следующих служб, используйте следующие соединители для отправки журналов диагностики этих ресурсов в Microsoft Sentinel:

  • Брандмауэр Azure
  • Шлюз приложений Azure
  • Хранилище ключей
  • Служба Azure Kubernetes
  • Azure SQL
  • Группы безопасности сети
  • Серверы Azure-Arc

  Рекомендуется настроить Политика Azure, чтобы требовать перенаправления журналов в базовую рабочую область Log Analytics. Дополнительные сведения см. в статье Создание параметров диагностики в большом масштабе с помощью Политика Azure.

• Виртуальные машины. Для виртуальных машин, размещенных локально или в других облаках, для которых требуется сбор журналов, используйте следующие соединители данных:

  • события Безопасность Windows с помощью AMA
  • События через Defender для конечной точки (для сервера)
  • Системный журнал

• Сетевые виртуальные модули или локальные источники. Для сетевых виртуальных устройств или других локальных источников, создающих журналы common Event Format (CEF) или SYSLOG, используйте следующие соединители данных:

  • Системный журнал через AMA
  • Общий формат событий (CEF) через AMA

Дополнительные сведения см. в разделе Определение приоритета соединителей данных.

Планирование бюджета

Спланируйте бюджет Microsoft Sentinel с учетом последствий затрат для каждого запланированного сценария. Убедитесь, что ваш бюджет покрывает расходы на прием данных для Microsoft Sentinel и Azure Log Analytics, любых развернутых сборников схем и т. д. Дополнительные сведения см. в разделе:

• Ведение журнала планов хранения в Microsoft Sentinel
• Планирование затрат и понимание Microsoft Sentinel ценообразования и выставления счетов

Планирование ролей и разрешений

Используйте управление доступом на основе Microsoft Entra ролей (RBAC) для создания и назначения ролей в команде по управлению безопасностью, чтобы предоставить соответствующий доступ к службам, включенным в единую платформу SecOps Корпорации Майкрософт.

Модель Microsoft Defender XDR единого управления доступом на основе ролей (RBAC) предоставляет единый интерфейс управления разрешениями, который предоставляет администраторам одно централизованное расположение для управления разрешениями пользователей в нескольких решениях безопасности. Дополнительные сведения см. в разделе Microsoft Defender XDR Единое управление доступом на основе ролей (RBAC).

Для следующих служб используйте различные доступные роли или создайте настраиваемые роли, чтобы получить точный контроль над тем, что пользователи могут видеть и делать. Дополнительные сведения см. в разделе:

Служба безопасности	Ссылка на требования к роли
Требуется для унифицированных secOps
Microsoft Defender XDR	Управление доступом к Microsoft Defender XDR с помощью Microsoft Entra глобальных ролей
Microsoft Sentinel	Роли и разрешения в Microsoft Sentinel
Необязательные службы Microsoft Defender XDR
Microsoft Defender для удостоверений	Группы ролей Microsoft Defender для удостоверений
Microsoft Defender для Office	Microsoft Defender для Office 365 разрешения на портале Microsoft Defender
Microsoft Defender для конечной точки	Назначение ролей и разрешений для развертывания Microsoft Defender для конечной точки
Управление уязвимостями в Microsoft Defender	Соответствующие параметры разрешений для Управление уязвимостями Microsoft Defender
Microsoft Defender for Cloud Apps	Настройка доступа администратора для Microsoft Defender for Cloud Apps
Другие службы, поддерживаемые на портале Microsoft Defender
Управление рисками Microsoft Security	Разрешения для Управление рисками Microsoft Security
Microsoft Defender для облака	Роли и разрешения пользователей

Планирование действий "Никому не доверяй"

Единая платформа SecOps корпорации Майкрософт является частью модели безопасности "Никому не доверяй", которая включает в себя следующие принципы:

Принцип безопасности	Описание
Явная проверка	Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных.
Руководствуйтесь принципом минимальных прав.	Ограничьте доступ пользователей с помощью JIT/JEA, адаптивных политик на основе рисков и защиты данных.
Предположим, что нарушение	Сведите к минимуму радиус взрыва и доступ к сегментам. Проверьте сквозное шифрование и используйте аналитику, чтобы получить представление о ситуации, выявить угрозы и улучшить защиту.

Безопасность "Никому не доверяй" предназначена для защиты современных цифровых сред за счет использования сегментации сети, предотвращения бокового перемещения, предоставления доступа с наименьшими привилегиями и использования расширенной аналитики для обнаружения угроз и реагирования на них.

Дополнительные сведения о реализации принципов "Никому не доверяй" на унифицированной платформе SecOps корпорации Майкрософт см. в статье Никому не доверяй для следующих служб:

• Microsoft Defender XDR
• Microsoft Sentinel
• Microsoft Defender для удостоверений
• Microsoft Defender для Office 365
• Microsoft Defender для конечной точки
• Microsoft Defender for Cloud Apps
• Управление рисками Microsoft Security
• Microsoft Defender для облака
• Microsoft Security Copilot
• Защита Microsoft Entra ID

Дополнительные сведения см. в разделе Центр руководств по принципу "Никому не доверяй".

Следующее действие

Развертывание единой платформы операций безопасности Майкрософт