Distribuera Microsofts enhetliga SecOps-plattform

Microsofts enhetliga plattform för säkerhetsåtgärder kombinerar funktionerna i Microsoft Defender-portalen, Microsoft Sentinel och andra Microsoft Defender tjänster. Den här plattformen ger en omfattande vy över organisationens säkerhetsstatus och hjälper dig att identifiera, undersöka och reagera på hot i organisationen.

Microsoft Security Exposure Management och Microsoft Threat Intelligence är tillgängliga i alla miljöer som uppfyller kraven för användare som har konfigurerats med nödvändiga behörigheter.

Förhandskrav

• Innan du distribuerar Microsofts enhetliga säkerhetsåtgärdsplattform ska du se till att du har en plan på plats, inklusive en arbetsytedesign och en förståelse för Microsoft Sentinel kostnader och fakturering.

  Mer information finns i Översikt över plattformsplanering för enhetliga säkerhetsåtgärder.

Distribuera Microsoft Defender XDR tjänster

Microsoft Defender XDR förenar incidenthantering genom att integrera viktiga funktioner i olika tjänster, inklusive Microsoft Defender för Endpoint, Microsoft Defender för Office 365, Microsoft Defender for Cloud Apps och Microsoft Defender for Identity. Den här enhetliga upplevelsen lägger till kraftfulla funktioner som du kan komma åt i Microsoft Defender-portalen.

1. Microsoft Defender XDR aktiveras automatiskt när berättigade kunder med nödvändig behörighet besöker Microsoft Defender portalen. Mer information finns i Aktivera Microsoft Defender XDR.

2. Fortsätt genom att distribuera Microsoft Defender XDR-tjänster. Vi rekommenderar att du använder följande ordning:

   1. Distribuera Microsoft Defender for Identity.

   2. Distribuera Microsoft Defender för Office 365.

   3. Distribuera Microsoft Defender för Endpoint. Lägg till Microsoft Defender – hantering av säkerhetsrisker och/eller Enterprise-övervakning för IoT-enheter, vilket är relevant för din miljö.

   4. Distribuera Microsoft Defender for Cloud Apps.

Konfigurera Microsoft Entra ID Protection

Microsoft Defender XDR kan mata in och inkludera signaler från Microsoft Entra ID Protection, som utvärderar riskdata från miljarder inloggningsförsök och utvärderar risken för varje inloggning i din miljö. Microsoft Entra ID Protection data används av Microsoft Entra ID för att tillåta eller förhindra kontoåtkomst, beroende på hur principer för villkorsstyrd åtkomst konfigureras.

Konfigurera Microsoft Entra ID Protection för att förbättra din säkerhetsstatus och lägga till Microsoft Entra signaler i dina enhetliga säkerhetsåtgärder. Mer information finns i Konfigurera dina Microsoft Entra ID Protection-principer.

Distribuera Microsoft Defender för molnet

Microsoft Defender för molnet ger en enhetlig säkerhetshanteringsupplevelse för dina molnresurser och kan även skicka signaler till Microsoft Defender XDR. Du kanske till exempel vill börja med att ansluta dina Azure-prenumerationer till Microsoft Defender för molnet och sedan gå vidare till andra molnmiljöer.

Mer information finns i Ansluta dina Azure-prenumerationer.

Registrera till Microsoft Security Copilot

Registrera dig för att Microsoft Security Copilot för att förbättra dina säkerhetsåtgärder genom att använda avancerade AI-funktioner. Security Copilot hjälper till med hotidentifiering, undersökning och svar, vilket ger användbara insikter och rekommendationer som hjälper dig att ligga steget före potentiella hot. Använd Security Copilot för att automatisera rutinuppgifter, minska tiden för att identifiera och reagera på incidenter och förbättra säkerhetsteamets övergripande effektivitet.

Mer information finns i Kom igång med Security Copilot.

Skapa din arbetsyta och registrera dig för att Microsoft Sentinel

Det första steget i att använda Microsoft Sentinel är att skapa en Log Analytics-arbetsyta, om du inte redan har en. En enda Log Analytics-arbetsyta kan vara tillräcklig för många miljöer, men många organisationer skapar flera arbetsytor för att optimera kostnaderna och bättre uppfylla olika affärskrav. Microsofts enhetliga plattform för säkerhetsåtgärder stöder endast en enda arbetsyta.

1. Skapa en säkerhetsresursgrupp i styrningssyfte, som gör att du kan isolera Microsoft Sentinel resurser och rollbaserad åtkomst till samlingen.
2. Skapa en Log Analytics-arbetsyta i resursgruppen Säkerhet och registrera Microsoft Sentinel i den.

Mer information finns i Publicera Microsoft Sentinel.

Konfigurera roller och behörigheter

Etablera dina användare baserat på den åtkomstplan som du hade förberett tidigare. För att uppfylla Nolltillit principer rekommenderar vi att du använder rollbaserad åtkomstkontroll (RBAC) för att endast ge användaren åtkomst till de resurser som tillåts och är relevanta för varje användare, i stället för att ge åtkomst till hela miljön.

Mer information finns i:

• Aktivera Microsoft Defender XDR enhetlig rollbaserad åtkomstkontroll (RBAC)
• Tilldela Microsoft Entra ID roller till användare
• Bevilja en användare åtkomst till Azure-roller

Registrera till enhetliga SecOps

När du registrerar Microsoft Sentinel till Defender-portalen förenar du funktioner med Microsoft Defender XDR som incidenthantering och avancerad jakt, vilket skapar en enhetlig SecOps-plattform.

1. Installera Microsoft Defender XDR lösning för Microsoft Sentinel från innehållshubben. Mer information finns i Distribuera och hantera färdigt innehåll.
2. Aktivera Microsoft Defender XDR dataanslutning för att samla in incidenter och aviseringar. Mer information finns i Ansluta data från Microsoft Defender XDR till Microsoft Sentinel.
3. Registrera dig för Microsofts enhetliga SecOps-plattform. Mer information finns i Ansluta Microsoft Sentinel till Microsoft Defender.

Finjustera systemkonfigurationer

Använd följande Microsoft Sentinel konfigurationsalternativ för att finjustera distributionen:

Aktivera hälsa och granskning

Övervaka hälsotillståndet och granska integriteten för Microsoft Sentinel resurser som stöds genom att aktivera funktionen för granskning och hälsoövervakning på Microsoft Sentinel sidan Inställningar. Få insikter om hälsoavvikelser, till exempel de senaste felhändelserna eller ändringarna från lyckade till misslyckade tillstånd och om obehöriga åtgärder, och använd den här informationen för att skapa meddelanden och andra automatiserade åtgärder.

Mer information finnsi Aktivera granskning och hälsoövervakning för Microsoft Sentinel.

Konfigurera Microsoft Sentinel innehåll

Baserat på de datakällor som du valde när du planerade distributionen installerar du Microsoft Sentinel lösningar och konfigurerar dina dataanslutningar. Microsoft Sentinel tillhandahåller ett brett utbud av inbyggda lösningar och dataanslutningar, men du kan också skapa anpassade anslutningsappar och konfigurera anslutningsappar för att mata in CEF- eller Syslog-loggar.

Mer information finns i:

• Konfigurera innehåll
• Identifiera och hantera Microsoft Sentinel inbyggt innehåll
• Hitta din dataanslutning

Aktivera användar- och entitetsbeteendeanalys (UEBA)

När du har konfigurerat dataanslutningar i Microsoft Sentinel ska du aktivera analys av användarentitetsbeteende för att identifiera misstänkt beteende som kan leda till nätfiskeangrepp och så småningom attacker som utpressningstrojaner. Mer information finns i Aktivera UEBA i Microsoft Sentinel.

Konfigurera interaktiv och långsiktig datakvarhållning

Konfigurera interaktiv och långsiktig datakvarhållning för att se till att din organisation behåller de data som är viktiga på lång sikt. Mer information finns i Konfigurera interaktiv och långsiktig datakvarhållning.

Aktivera analysregler

Analysregler uppmanar Microsoft Sentinel att varna dig för händelser med hjälp av en uppsättning villkor som du anser vara viktiga. De färdiga beslut som Microsoft Sentinel fattar baseras på UEBA (User Entity Behavioral Analytics) och på korrelationer av data mellan flera datakällor. När du aktiverar analysregler för Microsoft Sentinel prioriterar du aktivering av anslutna datakällor, organisationsrisker och MITRE-taktik.

Mer information finns i Hotidentifiering i Microsoft Sentinel.

Granska avvikelseregler

Microsoft Sentinel avvikelseregler är tillgängliga direkt och aktiverade som standard. Avvikelseregler baseras på maskininlärningsmodeller och UEBA som tränar på data på din arbetsyta för att flagga avvikande beteende för användare, värdar och andra. Granska tröskelvärdet för avvikelseregler och avvikelsepoäng för var och en. Om du till exempel observerar falska positiva identifieringar kan du överväga att duplicera regeln och ändra tröskelvärdet.

Mer information finns i Arbeta med analysregler för avvikelseidentifiering.

Använda Microsoft Threat Intelligence-analysregeln

Aktivera den färdiga Microsoft Threat Intelligence-analysregeln och kontrollera att den här regeln matchar dina loggdata med Microsoft-genererad hotinformation. Microsoft har en omfattande lagringsplats för hotinformationsdata, och den här analysregeln använder en delmängd av den för att generera aviseringar och incidenter med hög återgivning för SOC-team (säkerhetsåtgärder) för prioritering.

Undvik duplicerade incidenter

När du har anslutit Microsoft Sentinel till Microsoft Defender upprättas automatiskt en dubbelriktad synkronisering mellan Microsoft Defender XDR incidenter och Microsoft Sentinel. För att undvika att skapa dubblettincidenter för samma aviseringar rekommenderar vi att du inaktiverar alla Microsoft-regler för incidentskapande för Microsoft Defender XDR-integrerade produkter, inklusive Defender för Endpoint, Defender för identitet, Defender för Office 365, Defender for Cloud Apps och Microsoft Entra ID Protection.

Mer information finns i Skapa Microsoft-incidenter .

Genomför en MITRE ATT-&CK-korsning

När analysregler för fusion, avvikelse och hotinformation är aktiverade utför du en MITRE Att&ck crosswalk som hjälper dig att avgöra vilka återstående analysregler som ska aktivera och slutföra implementeringen av en mogen XDR-process (utökad identifiering och svar). På så sätt kan du identifiera och svara under hela livscykeln för en attack.

Mer information finns i Förstå säkerhetstäckning.