Redigera

Dela via

Skapa det andra försvarsskiktet med Microsoft Defender XDR Security Services

Microsoft Defender for Office 365
Microsoft Defender for Cloud Apps
Microsoft Defender for Identity
Microsoft 365
Microsoft Endpoint Manager

Lösningsidéer

I den här artikeln beskrivs en lösningsidé. Molnarkitekten kan använda den här vägledningen för att visualisera huvudkomponenterna för en typisk implementering av den här arkitekturen. Använd den här artikeln som utgångspunkt för att utforma en välkonstruerad lösning som överensstämmer med arbetsbelastningens specifika krav.

Många organisationer arbetar i en hybridmiljö med resurser som finns både i Azure och lokalt. De flesta Azure-resurser, till exempel virtuella datorer, Azure-program och Microsoft Entra-ID, kan skyddas med hjälp av Azures inbyggda säkerhetstjänster.

Dessutom prenumererar organisationer ofta på Microsoft 365 för att ge användare program som Word, Excel, PowerPoint och Exchange Online. Microsoft 365 erbjuder även säkerhetstjänster som kan användas för att lägga till ett extra skyddslager till några av de mest använda Azure-resurserna.

För att effektivt använda Microsoft 365-säkerhetstjänster är det viktigt att förstå viktig terminologi och strukturen för Microsoft 365-tjänster. Den här fjärde artikeln i en serie med fem utforskar dessa ämnen mer detaljerat och bygger på begrepp som beskrivs i tidigare artiklar, särskilt:

Microsoft 365 och Office 365 är molnbaserade tjänster som utformats för att tillgodose organisationens behov av stark säkerhet, tillförlitlighet och förbättrad användarproduktivitet. Microsoft 365 omfattar tjänster som Power Automate, Forms, Stream, Sway och Office 365. Office 365 innehåller särskilt den välbekanta sviten med produktivitetsprogram. Mer information om prenumerationsalternativ för dessa två tjänster finns i Alternativ för Microsoft 365- och Office 365-abonnemang.

Beroende på vilken licens du skaffar för Microsoft 365 kan du även hämta säkerhetstjänsterna för Microsoft 365. Dessa säkerhetstjänster kallas Microsoft Defender XDR, som tillhandahåller flera tjänster:

  • Microsoft Defender for Endpoint (MDE)
  • Microsoft Defender för identitet (MDI)
  • Microsoft Defender för Office (MDO)
  • Microsoft Defender för molnet Apps (MDA)
  • "Microsoft Defender för molnet Apps" som nås via "security.microsoft.com" skiljer sig från "Microsoft Defender för molnet" som är en annan säkerhetslösning som nås via "portal.azure.com".

Följande diagram illustrerar relationen mellan lösningar och huvudtjänster som Microsoft 365 erbjuder, men inte alla tjänster visas.

Diagram över tjänster och produkter som ingår i Microsoft 365.

Potentiellt användningsfall

Människor blir ofta förvirrade över Microsoft 365-säkerhetstjänster och deras roll inom IT-cybersäkerhet. En viktig orsak till den här förvirringen beror på likheten i namn, inklusive vissa Azure-säkerhetstjänster som Microsoft Defender för molnet (tidigare Azure Security Center) och Defender för molnet Apps (tidigare Microsoft Cloud App Security).

Förvirringen går dock längre än terminologin. Vissa tjänster ger liknande skydd men för olika resurser. Defender for Identity och Azure Identity Protection skyddar till exempel identitetstjänster, men Defender för identitet skyddar lokala identiteter (via Active Directory-domän Services och Kerberos-autentisering), medan Azure Identity Protection skyddar molnidentiteter (via Microsoft Entra-ID och OAuth-autentisering).

De här exemplen belyser vikten av att förstå hur Microsoft 365-säkerhetstjänster skiljer sig från Azure-säkerhetstjänster. Genom att få den här förståelsen kan du planera din säkerhetsstrategi i Microsoft-molnet på ett effektivare sätt samtidigt som du behåller en stark säkerhetsstatus för DIN IT-miljö. Den här artikeln syftar till att hjälpa dig att uppnå det.

I följande diagram visas ett verkligt användningsfall för Microsoft Defender XDR-säkerhetstjänster. Den visar de resurser som behöver skydd, de tjänster som körs i miljön och vissa potentiella hot. Microsoft Defender XDR-tjänster är placerade i mitten och försvarar organisationens resurser mot dessa hot.

Diagram som visar hot, deras attackordning, målresurser och tjänsterna i Microsoft Defender XDR som kan ge skydd.

Arkitektur

Microsofts XDR-lösning (Extended Detection and Response), som kallas Microsoft Defender XDR, integrerar flera säkerhetsverktyg och tjänster för att tillhandahålla enhetligt skydd, identifiering och svar mellan slutpunkter, identiteter, e-post, program och molnmiljöer. Den kombinerar avancerad hotinformation, automatisering och AI-driven analys för att identifiera och svara på avancerade cyberhot i realtid, vilket gör det möjligt för säkerhetsteam att snabbt minimera risker och minska effekten av attacker. Genom att konsolidera säkerhetsdata från olika källor hjälper Microsoft Defender XDR organisationer att uppnå ett omfattande och effektivt skydd i hela IT-infrastrukturen.

Följande diagram visar ett lager, märkt som DEFENDER, som representerar Microsoft Defender XDR-säkerhetstjänsterna. Genom att lägga till dessa tjänster i DIN IT-miljö kan du skapa ett bättre skydd för din miljö. Tjänsterna i Defender-lagret kan fungera med Azure-säkerhetstjänster.

Diagram över tjänster, hot och säkerhetstjänster som du kan konfigurera för att skydda resurserna i din I T-miljö.

Ladda ned en Visio-fil med den här arkitekturen.

©2021 MITRE Corporation. Det här arbetet reproduceras och distribueras med tillstånd av MITRE Corporation.

Arbetsflöde

  1. Microsoft Defender för Endpoint

    Defender för Endpoint skyddar slutpunkter i företaget och är utformat för att hjälpa nätverk att förhindra, identifiera, undersöka och svara på avancerade hot. Det skapar ett skyddslager för virtuella datorer som körs i Azure och lokalt. Mer information om vad det kan skydda finns i Microsoft Defender för Endpoint.

  2. Microsoft Defender for Cloud Apps

    Tidigare känt som Microsoft Cloud Application Security, Defender för molnet Apps är en molnåtkomstsäkerhetskoordinator (CASB) som stöder flera distributionslägen. Dessa lägen omfattar logginsamling, API-anslutningsappar och omvänd proxy. Det ger omfattande synlighet, kontroll över dataresor och avancerad analys för att identifiera och bekämpa cyberhot i alla dina Microsoft- och tredjepartsmolntjänster. Det ger skydd och riskreducering för Cloud Apps och även för vissa appar som körs lokalt. Det ger också ett skyddslager för användare som har åtkomst till dessa appar. Mer information finns i översikten över Microsoft Defender för molnet Apps.

    Det är viktigt att inte förväxla Defender för molnet-appar med Microsoft Defender för molnet, vilket ger rekommendationer och en poäng av säkerhetsstatusen för servrar, appar, lagringskonton och andra resurser som körs i Azure, lokalt och i andra moln. Defender för molnet konsoliderar två tidigare tjänster, Azure Security Center och Azure Defender.

  3. Microsoft Defender för Office

    Defender för Office 365 skyddar din organisation mot skadliga hot som orsakas av e-postmeddelanden, länkar (URL:er) och samarbetsverktyg. Det ger skydd för e-post och samarbete. Beroende på licensen kan du lägga till undersökning, jakt och svar efter intrång samt automatisering och simulering (för träning). Mer information om licensieringsalternativ finns i Microsoft Defender för Office 365 säkerhetsöversikt.

  4. Microsoft Defender for Identity

    Defender for Identity är en molnbaserad säkerhetslösning som använder dina lokal Active Directory-signaler för att identifiera, identifiera och undersöka avancerade hot, komprometterade identiteter och skadliga insideråtgärder som riktas mot din organisation. Den skyddar Active Directory-domän tjänster (AD DS) som körs lokalt. Även om den här tjänsten körs i molnet fungerar den för att skydda identiteter lokalt. Defender for Identity hette tidigare Azure Advanced Threat Protection. Mer information finns i Vad är Microsoft Defender för identitet?

    Om du behöver skydd för identiteter som tillhandahålls av Microsoft Entra-ID och som körs internt i molnet bör du överväga Microsoft Entra ID Protection.

  5. Intune (tidigare en del av Microsoft Endpoint Manager

Microsoft Intune är en molnbaserad tjänst som hjälper organisationer att hantera och skydda sina enheter, appar och data. Det gör det möjligt för IT-administratörer att styra hur företagsenheter som bärbara datorer, smartphones och surfplattor används, vilket säkerställer efterlevnad av säkerhetsprinciper. Med Intune kan du framtvinga enhetskonfigurationer, distribuera programvara, hantera mobila program och skydda företagsdata med hjälp av funktioner som villkorlig åtkomst och fjärrrensning. Det är särskilt användbart för att möjliggöra säkert distansarbete, hantera både företagsägda och personliga enheter (BYOD) och säkerställa datasäkerhet på olika plattformar som Windows, iOS, Android och macOS.

En annan tjänst som ingick i Endpoint Manager är Configuration Manager, en lokal hanteringslösning som gör att du kan hantera klient- och serverdatorer som finns i nätverket, anslutna direkt eller via Internet. Du kan aktivera molnfunktioner för att integrera Configuration Manager med Intune, Microsoft Entra ID, Defender för Endpoint och andra molntjänster. Använd den för att distribuera appar, programuppdateringar och operativsystem. Du kan också övervaka efterlevnad, fråga efter objekt, agera på klienter i realtid och mycket mer. Mer information om alla tillgängliga tjänster finns i Översikt över Microsoft Endpoint Manager.

Attackordning för exempelhot

Hoten som namnges i diagrammet följer en vanlig attackordning:

  1. En angripare skickar ett nätfiskemeddelande med skadlig kod kopplad till sig.

  2. En slutanvändare öppnar den anslutna skadliga koden.

  3. Den skadliga koden installeras i serverdelen utan att användaren märker det.

  4. Den installerade skadliga koden stjäl vissa användares autentiseringsuppgifter.

  5. Angriparen använder autentiseringsuppgifterna för att få åtkomst till känsliga konton.

  6. Om autentiseringsuppgifterna ger åtkomst till ett konto med förhöjd behörighet komprometterar angriparen ytterligare system.

Diagrammet visar också i lagret märkt som DEFENDER som Microsoft Defender XDR-tjänster kan övervaka och minimera dessa attacker. Det här är ett exempel på hur Defender tillhandahåller ytterligare ett säkerhetslager som fungerar med Azure-säkerhetstjänster för att erbjuda ytterligare skydd av de resurser som visas i diagrammet. Mer information om hur potentiella attacker hotar din IT-miljö finns i den andra artikeln i den här serien, Map threats to your IT environment ( Mappa hot mot DIN IT-miljö). Mer information om Microsoft Defender XDR finns i Microsoft Defender XDR.

Få åtkomst till och hantera Microsoft Defender XDR-säkerhetstjänster

Följande diagram visar vilka portaler som för närvarande är tillgängliga och deras relationer med varandra. Vid tidpunkten för uppdateringen för de här artiklarna kanske vissa av dessa portaler redan är inaktuella.

Ett diagram som visar den aktuella relationen mellan portaler och tjänster.

Security.microsoft.com är för närvarande den viktigaste tillgängliga portalen eftersom den innehåller funktioner från Microsoft Defender för Office 365 (1), från Defender för Endpoint (2), från Defender för Office (3), Defender för identitet (5), Defender för appar (4) och även för Microsoft Sentinel.

Det är viktigt att nämna att Microsoft Sentinel har vissa funktioner som fortfarande bara körs på Azure-portalen (portal.azure.com).

Slutligen endpoint.microsoft.com tillhandahåller funktioner främst för Intune och Configuration Manager, men även för andra tjänster som ingår i Endpoint Manager. Eftersom security.microsoft.com och endpoint.microsoft.com levererar säkerhetsskydd för slutpunkter har de många interaktioner mellan dem (9) för att erbjuda en bra säkerhetsstatus för dina slutpunkter.

Komponenter

Exempelarkitekturen i den här artikeln använder följande Azure-komponenter:

  • Microsoft Entra ID är en molnbaserad identitets- och åtkomsthanteringstjänst. Microsoft Entra ID hjälper användarna att komma åt externa resurser, till exempel Microsoft 365, Azure Portal och tusentals andra SaaS-program. Det hjälper dem också att komma åt interna resurser, till exempel appar i företagets intranätnätverk.

  • Azure Virtual Network är den grundläggande byggstenen för ditt privata nätverk i Azure. Med virtuellt nätverk kan många typer av Azure-resurser kommunicera på ett säkert sätt med varandra, internet och lokala nätverk. Virtual Network tillhandahåller ett virtuellt nätverk som drar nytta av Azures infrastruktur, till exempel skalning, tillgänglighet och isolering.

  • Azure Load Balancer är en högpresterande layer 4-tjänst med låg svarstid (inkommande och utgående) för alla UDP- och TCP-protokoll. Den är byggd för att hantera miljontals begäranden per sekund samtidigt som du ser till att din lösning är mycket tillgänglig. Azure Load Balancer är zonredundant, vilket säkerställer hög tillgänglighet i Tillgänglighetszoner.

  • Virtuella datorer är en av flera typer av skalbara beräkningsresurser på begäran som Azure erbjuder. En virtuell Azure-dator (VM) ger dig flexibiliteten i virtualisering utan att behöva köpa och underhålla den fysiska maskinvara som kör den.

  • Azure Kubernetes Service (AKS) är en fullständigt hanterad Kubernetes-tjänst för att distribuera och hantera containerbaserade program. AKS tillhandahåller serverlösa Kubernetes, kontinuerlig integrering/kontinuerlig leverans (CI/CD) och säkerhet och styrning i företagsklass.

  • Azure Virtual Desktop är en tjänst för skrivbords- och appvirtualisering som körs i molnet för att tillhandahålla skrivbord för fjärranvändare.

  • Web Apps är en HTTP-baserad tjänst som är värd för webbprogram, REST-API:er och mobila serverdelar. Du kan utveckla på ditt favoritspråk och program körs och skalas enkelt i både Windows- och Linux-baserade miljöer.

  • Azure Storage är mycket tillgängligt, massivt skalbart, beständigt och säkert lagringsutrymme för olika dataobjekt i molnet, inklusive objekt, blob, fil, disk, kö och tabelllagring. Alla data som skrivs till ett Azure Storage-konto krypteras av tjänsten. Med Azure Storage får du detaljerad kontroll över vem som har tillgång till dina data.

  • Azure SQL Database är en fullständigt hanterad PaaS-databasmotor som hanterar de flesta av databashanteringsfunktionerna, till exempel uppgradering, korrigering, säkerhetskopiering och övervakning. Den tillhandahåller dessa funktioner utan användarengagemang. SQL Database innehåller en rad inbyggda säkerhets- och efterlevnadsfunktioner som hjälper ditt program att uppfylla säkerhets- och efterlevnadskrav.

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudförfattare:

Övriga medarbetare:

Nästa steg

Mer information om den här referensarkitekturen finns i de andra artiklarna i den här serien: