Planeringsöversikt för Microsofts enhetliga säkerhetsåtgärdsplattform
Den här artikeln beskriver aktiviteter för att planera en distribution av Microsofts säkerhetsprodukter till Microsofts enhetliga säkerhetsåtgärdsplattform för säkerhetsåtgärder från slutpunkt till slutpunkt (SecOps). Förena dina SecOps på Microsofts plattform för att hjälpa dig att minska risken, förhindra attacker, upptäcka och störa cyberhot i realtid och svara snabbare med AI-förbättrade säkerhetsfunktioner, allt från Microsoft Defender-portalen.
Planera distributionen
Microsofts enhetliga SecOps-plattform kombinerar tjänster som Microsoft Defender XDR, Microsoft Sentinel, Microsoft Security Exposure Management och Microsoft Security Copilot i Microsoft Defender portalen.
Det första steget i planeringen av distributionen är att välja de tjänster som du vill använda.
Som en grundläggande förutsättning behöver du både Microsoft Defender XDR och Microsoft Sentinel för att övervaka och skydda tjänster och lösningar från både Microsoft och andra leverantörer, inklusive både molnresurser och lokala resurser.
Distribuera någon av följande tjänster för att lägga till säkerhet över dina slutpunkter, identiteter, e-post och program för att ge integrerat skydd mot avancerade attacker.
Microsoft Defender XDR tjänster omfattar:
| Tjänst | Beskrivning |
|---|---|
| Microsoft Defender för Office 365 | Skyddar mot hot från e-postmeddelanden, URL-länkar och Office 365 samarbetsverktyg. |
| Microsoft Defender for Identity | Identifierar, identifierar och undersöker hot från både lokal Active Directory och molnidentiteter som Microsoft Entra ID. |
| Microsoft Defender för Endpoint | Övervakar och skyddar slutpunktsenheter, identifierar och undersöker enhetsöverträdelser och svarar automatiskt på säkerhetshot. |
| Microsoft Defender för IoT | Tillhandahåller både IoT-enhetsidentifiering och säkerhetsvärde för IoT-enheter. |
| Hantering av hot och säkerhetsrisker för Microsoft Defender | Identifierar tillgångar och programvaruinventering och utvärderar enhetens status för att hitta säkerhetsrisker. |
| Microsoft Defender for Cloud Apps | Skyddar och styr åtkomsten till SaaS-molnappar. |
Andra tjänster som stöds i Microsoft Defender-portalen som en del av Microsofts enhetliga SecOps-plattform, men som inte är licensierade med Microsoft Defender XDR, är:
| Tjänst | Beskrivning |
|---|---|
| Microsoft Security Exposure Management | Ger en enhetlig vy över säkerhetsstatus för företagets tillgångar och arbetsbelastningar, vilket berikar tillgångsinformationen med säkerhetskontext. |
| Microsoft Security Copilot | Ger AI-drivna insikter och rekommendationer för att förbättra dina säkerhetsåtgärder. |
| Microsoft Defender for Molnet | Skyddar miljöer med flera moln och hybridmiljöer med avancerad hotidentifiering och svar. |
| Microsoft Defender Hotinformation | Effektiviserar arbetsflöden för hotinformation genom att aggregera och utöka kritiska datakällor för att korrelera indikatorer för kompromettering (IOP) med relaterade artiklar, aktörsprofiler och sårbarheter. |
| Microsoft Entra ID Protection | Utvärderar riskdata från inloggningsförsök för att utvärdera risken för varje inloggning i din miljö. |
Granska tjänstkrav
Innan du distribuerar Microsofts enhetliga säkerhetsplattform bör du granska förutsättningarna för varje tjänst som du planerar att använda. I följande tabell visas tjänster och länkar för mer information:
| Säkerhetstjänst | Förhandskrav |
|---|---|
| Krävs för enhetliga SecOps | |
| Microsoft Defender XDR | Microsoft Defender XDR förutsättningar |
| Microsoft Sentinel | Förutsättningar för att distribuera Microsoft Sentinel |
| Valfria Microsoft Defender XDR-tjänster | |
| Microsoft Defender för Office | Microsoft Defender XDR förutsättningar |
| Microsoft Defender for Identity | Microsoft Defender for Identity krav |
| Microsoft Defender för Endpoint | Konfigurera Microsoft Defender för Endpoint distribution |
| Företagsövervakning med Microsoft Defender för IoT | Krav för Defender för IoT i Defender-portalen |
| Hantering av hot och säkerhetsrisker för Microsoft Defender | Krav & behörigheter för Microsoft Defender – hantering av säkerhetsrisker |
| Microsoft Defender for Cloud Apps | Kom igång med Microsoft Defender for Cloud Apps |
| Andra tjänster som stöds i Microsoft Defender-portalen | |
| Microsoft Security Exposure Management | Krav och support |
| Microsoft Security Copilot | Minimikrav |
| Microsoft Defender for Molnet | Börja planera skydd för flera moln och andra artiklar i samma avsnitt. |
| Microsoft Defender Hotinformation | Krav för Defender Threat Intelligence |
| Microsoft Entra ID Protection | Förutsättningar för Microsoft Entra ID Protection |
Granska datasäkerhets- och sekretesspraxis
Innan du distribuerar Microsofts enhetliga säkerhetsåtgärdsplattform ska du se till att du förstår datasäkerhets- och sekretesspraxis för varje tjänst som du planerar att använda. I följande tabell visas tjänster och länkar för mer information. Observera att flera tjänster använder datasäkerhets- och kvarhållningsmetoderna för Microsoft Defender XDR i stället för att ha egna separata metoder.
Planera din Log Analytics-arbetsytearkitektur
Om du vill använda Microsofts enhetliga SecOps-plattform behöver du en Log Analytics-arbetsyta aktiverad för Microsoft Sentinel. En enda Log Analytics-arbetsyta kan vara tillräcklig för många miljöer, men många organisationer skapar flera arbetsytor för att optimera kostnaderna och bättre uppfylla olika affärskrav. Microsofts enhetliga SecOps-plattform stöder endast en enda arbetsyta.
Utforma den Log Analytics-arbetsyta som du vill aktivera för Microsoft Sentinel. Överväg parametrar som eventuella efterlevnadskrav som du har för datainsamling och lagring och hur du styr åtkomsten till Microsoft Sentinel data.
Mer information finns i:
Planera Microsoft Sentinel kostnader och datakällor
Microsofts enhetliga SecOps-plattform matar in data från Microsoft-tjänster från första part, till exempel Microsoft Defender for Cloud Apps och Microsoft Defender för molnet. Vi rekommenderar att du utökar täckningen till andra datakällor i din miljö genom att lägga till Microsoft Sentinel dataanslutningar.
Fastställa dina datakällor
Fastställ den fullständiga uppsättningen datakällor som du ska mata in data från och kraven på datastorlek för att hjälpa dig att korrekt projicera distributionens budget och tidslinje. Du kan fastställa den här informationen under granskningen av affärsanvändningsfall eller genom att utvärdera en aktuell SIEM som du redan har på plats. Om du redan har en SIEM på plats analyserar du dina data för att förstå vilka datakällor som ger mest värde och bör matas in i Microsoft Sentinel.
Du kanske till exempel vill använda någon av följande rekommenderade datakällor:
Azure-tjänster: Om någon av följande tjänster distribueras i Azure använder du följande anslutningsappar för att skicka de här resursernas diagnostikloggar till Microsoft Sentinel:
- Azure Firewall
- Azure Application Gateway
- Nyckelvalv
- Azure Kubernetes Service
- Azure SQL
- Nätverkssäkerhet Grupper
- Azure-Arc-servrar
Vi rekommenderar att du konfigurerar Azure Policy för att kräva att loggarna vidarebefordras till den underliggande Log Analytics-arbetsytan. Mer information finns i Skapa diagnostikinställningar i stor skala med hjälp av Azure Policy.
Virtuella datorer: För virtuella datorer som finns lokalt eller i andra moln som kräver att loggarna samlas in använder du följande dataanslutningar:
- Windows-säkerhet händelser med AMA
- Händelser via Defender för Endpoint (för server)
- Syslog
Virtuella nätverksinstallationer/lokala källor: Använd följande dataanslutningar för virtuella nätverksinstallationer eller andra lokala källor som genererar Common Event Format (CEF) eller SYSLOG-loggar:
- Syslog via AMA
- Common Event Format (CEF) via AMA
Mer information finns i Prioritera dataanslutningar.
Planera din budget
Planera din Microsoft Sentinel budget med tanke på kostnadskonsekvenserna för varje planerat scenario. Se till att din budget täcker kostnaden för datainmatning för både Microsoft Sentinel och Azure Log Analytics, eventuella spelböcker som kommer att distribueras och så vidare. Mer information finns i:
- Loggkvarhållningsplaner i Microsoft Sentinel
- Planera kostnader och förstå Microsoft Sentinel prissättning och fakturering
Planera roller och behörigheter
Använd Microsoft Entra rollbaserad åtkomstkontroll (RBAC) för att skapa och tilldela roller i ditt säkerhetsåtgärdsteam för att bevilja lämplig åtkomst till tjänster som ingår i Microsofts enhetliga SecOps-plattform.
Modellen Microsoft Defender XDR enhetlig rollbaserad åtkomstkontroll (RBAC) ger en enda hanteringsupplevelse för behörigheter som ger administratörer en central plats för att kontrollera användarbehörigheter i flera säkerhetslösningar. Mer information finns i Microsoft Defender XDR enhetlig rollbaserad åtkomstkontroll (RBAC).
För följande tjänster använder du de olika roller som är tillgängliga eller skapar anpassade roller för att ge dig detaljerad kontroll över vad användarna kan se och göra. Mer information finns i:
Planera Nolltillit aktiviteter
Microsofts enhetliga SecOps-plattform är en del av Microsofts Nolltillit säkerhetsmodell, som innehåller följande principer:
| Säkerhetsprincip | Beskrivning |
|---|---|
| Verifiera explicit | Autentisera och auktorisera alltid baserat på alla tillgängliga datapunkter. |
| Använd åtkomst med lägsta behörighet | Begränsa användaråtkomst med just-in-time och just-enough-access (JIT/JEA), riskbaserade anpassningsbara principer och dataskydd. |
| Anta intrång | Minimera explosionsradie och segmentåtkomst. Verifiera end-to-end-kryptering och använd analys för att få synlighet, öka hotidentifieringen och förbättra skyddet. |
Nolltillit säkerhet är utformad för att skydda moderna digitala miljöer genom att utnyttja nätverkssegmentering, förhindra lateral förflyttning, ge minst privilegierad åtkomst och använda avancerad analys för att identifiera och svara på hot.
Mer information om hur du implementerar Nolltillit principer i Microsofts enhetliga SecOps-plattform finns i Nolltillit innehåll för följande tjänster:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender for Identity
- Microsoft Defender för Office 365
- Microsoft Defender för Endpoint
- Microsoft Defender for Cloud Apps
- Microsoft Security Exposure Management
- Microsoft Defender for Molnet
- Microsoft Security Copilot
- Microsoft Entra ID Protection
Mer information finns i vägledningscentret för Nolltillit.