Dela via

Noll förtroende med Microsoft Sentinel och Defender XDR

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Defender XDR är en XDR-lösning som kompletterar Microsoft Sentinel. En XDR hämtar rådata från flera tjänster som molnprogram, e-postsäkerhet, identitets- och åtkomsthantering.

Med hjälp av artificiell intelligens (AI) och maskininlärning utför XDR automatisk analys, undersökning och realtidssvar. Det korrelerar också säkerhetsaviseringar i större incidenter, vilket ger säkerhetsteam större insyn i attacker och prioritering av incidenter för att hjälpa analytiker att mäta hotrisknivåer.

Med Microsoft Sentinel kan du ansluta till många säkerhetskällor med hjälp av inbyggda anslutningsappar och branschstandarder. Med sin AI kan du korrelera flera lågupplösta signaler som sträcker sig över flera källor för att ge en komplett översikt över ransomware kill chain och prioriterade larm.

Vanlig attackordning

Det här avsnittet beskriver ett typiskt attackscenario som involverar en nätfiskeattack och hur du svarar på incidenten med Microsoft Sentinel och Microsoft Defender XDR.

Diagram över ett vanligt attackscenario och skydd som tillhandahålls av Microsofts säkerhetsprodukter.

Diagrammet visar Microsofts säkerhetsprodukter som identifierar varje attacksteg och hur attacksignaler och SIEM-data flödar till Microsoft Defender XDR och Microsoft Sentinel.

Här är en sammanfattning av attacken.

Attacksteg Identifieringstjänst och signalkälla Skydd på plats
Attacken skickar ett nätfiskelbrev Microsoft Defender för Office 365 Skyddar postlådor med avancerade anti-phishing-funktioner som kan försvara mot skadliga nätfiskeattacker baserade på identitetsstöld.
2. Användaren öppnar den bifogade filen Microsoft Defender för Office 365 Funktionen Microsoft Defender för Office 365 Säkra bifogade filer öppnar bifogade filer i en isolerad miljö för mer hotgenomsökning (detonation).
3. Bifogad fil installerar skadlig kod Microsoft Defender för Endpoint Skyddar slutpunkter från skadlig kod med nästa generations skyddsfunktioner, till exempel molnbaserat skydd och beteendebaserat/heuristiskt/realtidsskydd mot antivirusprogram.
4. Skadlig kod stjäl användarautentiseringsuppgifter Microsoft Entra ID och Microsoft Entra ID Protection Skyddar identiteter genom att övervaka användarens beteende och aktiviteter, identifiera lateral förflyttning och aviseringar om avvikande aktivitet.
5. Angriparen flyttas i sidled mellan Microsoft 365-appar och data Microsoft Defender för Cloud Apps Kan identifiera avvikande aktivitet för användare som har åtkomst till molnappar.
6. Angriparen laddar ned känsliga filer från en SharePoint-mapp Microsoft Defender för Cloud Apps Kan identifiera och svara på massnedladdningshändelser för filer från SharePoint.

Om du registrerade din Microsoft Sentinel-arbetsyta på Defender-portalen är SIEM-data tillgängliga med Microsoft Sentinel direkt i Microsoft Defender-portalen.

Incidenthantering med Microsoft Sentinel och Microsoft Defender XDR

När du har observerat en vanlig attack använder du Microsoft Sentinel och Microsoft Defender XDR för incidenthantering.

Välj relevant flik för din arbetsyta beroende på om du registrerade den i Defender-portalen.

När du har registrerat Microsoft Sentinel på Defender-portalen slutför du alla incidenthanteringssteg direkt i Microsoft Defender-portalen precis som för andra Microsoft Defender XDR-incidenter. De steg som stöds omfattar allt från sortering till undersökning och lösning.

Använd Microsoft Sentinel-området i Microsoft Defender-portalen för funktioner som inte är tillgängliga enbart med Defender-portalen.

Mer information finns i Svara på en incident med hjälp av Microsoft Sentinel och Microsoft Defender XDR.

Relaterat innehåll

Mer information finns i Incidenthantering med integrerade SIEM- och XDR-.