实施威胁防护和 XDR

作为零信任采用指南的一部分,本文介绍如何保护组织免受网络攻击及其可能导致的成本和声誉损失。 本文是防止或减少数据泄漏造成的业务损失业务场景的一部分,重点介绍如何创建威胁防护和 eXtended 检测和响应 (XDR) 基础结构,以检测和挫败正在进行的网络攻击,并最大程度地减少泄漏造成的业务损失。

对于“假定数据泄露”零信任指导原则的要素:

本文假定你已实现了安全状况的现代化

实施威胁防护和 XDR 的采用周期

本文逐步介绍使用与适用于 Azure 的云采用框架相同的生命周期阶段(定义策略、计划、准备、采用以及治理和管理,但针对零信任进行了调整)实施防止或减少数据泄露造成的业务损失的威胁防护和 XDR 要素。

此图显示一个目标或一组目标的采用过程。

下表是示意图的可访问版本。

定义策略 计划 就绪 采用 治理和管理
成果

组织遵循情况

战略目标
利益干系人团队

技术计划

技能就绪
评估

测试

试点
在数字资产中逐步实施 跟踪和度量

监视和检测

迭代提高成熟度

零信任采用框架概述中详细了解零信任采用周期。

有关“防止或减少数据泄露造成的业务损失”业务方案的详细信息,请参阅:

定义策略阶段

此图显示单个目标或一组目标的采用流程,突出显示了“定义策略”阶段。

“定义策略”阶段对于定义和规范我们的工作至关重要 - 它规范了这个方案的具体措施。 在这个阶段,我们将从业务、IT、运营和战略角度了解该场景。 要知道安全是一个循序渐进、不断迭代的历程,并由此定义成果,用于衡量是否在这个场景中取得了成功。

本文列出了与许多组织相关的动机和成果,作为参考建议。 请根据组织的独特需求,使用这些建议来改进组织的策略。

实施威胁防护和 XDR 的动机

实施威胁防护和 XDR 的动机非常简单,但组织的不同部分对此工作有不同的动力源头。 下表汇总了其中的部分动机。

领域 动机
业务需求 为了防止组织执行正常业务活动的能力受到影响或中断或被勒索赎金,请降低网络保险的成本,并防止监管罚款。
IT 需求 协助安全运营 (SecOps) 团队创建和维护集成防御工具集,以保护对业务至关重要的资产。 集成和报告应跨资产类和技术进行,并降低提供可预测的安全结果所需的工作量。
运营需求 通过主动检测和实时响应攻击来保持业务流程运行。
战略需求 将攻击的损害和损失降到最低,并维护组织在客户和合作伙伴中的声誉。

实施威胁防护和 XDR 的结果

应用零信任的总体目标“从不信任,始终验证”可为环境增加一层重要的保护。 请务必明确预期取得的结果,以便你可以为所有相关团队实现适当的保护平衡。 下表提供了实施威胁防护和 XDR 的建议目标和结果。

目标 成果
业务结果 威胁防护导致与业务中断、支付赎金或监管罚款相关的最低损失。
调控 部署威胁防护和 XDR 工具,并更新 SecOps 流程,以适应不断变化的网络安全环境、遇到的威胁以及事件响应的自动化。
组织高弹性 在安全漏洞防护和恢复以及主动威胁防护之间,组织可以从攻击中快速恢复并防止未来发生此类攻击。
安全性 威胁防护已集成到你的总体安全要求和策略中。

计划阶段

此图显示单个目标或一组目标的采用流程,突出显示了“计划”阶段。

采用计划将零信任策略的目标转化为可行的计划。 所有团队可以共同利用采用计划指导其技术工作,使之与组织的业务策略相符。

你与业务领导者和团队一起定义的动机和结果支持解决组织的具体措施问题,成为引导你明确战略方向的“北极星”。 接下来是对如何实现目标的技术规划。

实施威胁防护和 XDR 的技术采用涉及:

  • 设置 Microsoft 提供的 XDR 工具套件以:

    • 执行事件响应以检测和挫败攻击。

    • 主动搜寻威胁。

    • 自动检测和响应已知攻击。

  • 集成 Microsoft Defender XDR 和 Microsoft Sentinel。

  • 定义 SecOps 流程以及事件响应和恢复过程。

实施威胁防护和 XDR 还涉及一些相关活动,包括:

  • 使用 XDR 工具监视业务关键资源和蜜罐资源(你在安全漏洞预防和恢复文章中实施了它们),以吸引攻击者在攻击你的实际资源之前暴露自己。
  • 不断改进 SecOps 团队,了解最新的攻击及其方法。

许多组织可以采取四阶段方法实现这些部署目标,如下图所示。

阶段 1 阶段 2 阶段 3 阶段 4
打开 XDR 工具:
- Defender for Endpoint
- Defender for Office 365
- Microsoft Entra ID 保护
- Defender for Identity
- Defender for Cloud Apps

使用 Microsoft Defender XDR 调查和响应威胁
打开 Defender for Cloud

定义 SecOps 的内部过程

使用 XDR 工具监视业务关键资源和蜜罐资源
打开 Defender for IoT

设计 Microsoft Sentinel 工作区并引入 XDR 信号

主动搜寻威胁
在组织中将 SecOps 作为一项纪律来发展

利用自动化来减少 SecOps 分析师的工作量

如果这种分阶段的方法适用于组织,则可以使用:

  • 这个可下载的 PowerPoint 演示文稿为企业领导者和其他利益干系人展示和跟踪这些阶段及目标的进度。 以下是用于此业务方案的幻灯片。

    关于实施威胁检测和 XDR 部署的各个阶段的 PowerPoint 幻灯片。

  • Excel 工作簿用于分配所有者并跟踪这些阶段、目标及其任务的进度。 以下是用于此业务方案的工作表。

    实施威胁检测和 XDR 部署的进度跟踪工作表。

了解你的组织

推荐的分阶段技术实施方法有助于为了解你的组织提供背景信息。

每个业务方案的零信任采用生命周期的基本步骤包括盘点和确定 SecOps 团队的当前状态。 对于此业务方案,你需要:

  • 盘点当前的 XDR 工具、它们的集成,以及事件响应的自动化使用情况。
  • 检查事件响应和恢复过程和流程。
  • 检查蜜罐资源的部署。
  • 确定安全分析师的就绪状态,以及他们是否需要额外的技能培训或开发。

组织规划和调整

实施威胁防护和 XDR 的技术工作属于组织中负责威胁检测和响应的安全团队的责任,该团队主要由了解当前威胁状况并能够使用 XDR 工具快速检测和响应攻击的一线安全分析师组成。

在构建发起计划和项目管理层次结构时,推荐使用下表总结的角色来确定和推动结果。

计划主管和技术负责人 问责
CISO、CIO 或数据安全总监 执行支持
数据安全性计划主管 推动取得更佳成果并促进跨团队协作
安全架构师 就事件响应策略和做法、XDR 工具和基础结构以及 SecOps 团队发展提出建议
SecOps 主管 在组织中实施事件响应过程、XDR 基础结构配置、事件响应自动化和 SecOps 纪律
IT 安全性主管 建议、实施和管理业务关键资源和蜜罐资源

此采用内容的资源 PowerPoint 幻灯片组包含以下幻灯片,可针对组织情况自行定制其中的项目负责人视图。

此 PowerPoint 幻灯片用于确定实施威胁检测和 XDR 部署的关键利益干系人。

技术规划和技能就绪情况

在开始技术工作之前,Microsoft 建议了解这些功能、其协同工作原理以及处理这项工作的最佳做法。

由于零信任假定存在泄漏,因此你必须为泄漏做好准备。 采用基于 NISTISO 27001CISMITRE 的泄漏响应框架,以降低泄漏或网络攻击对组织的影响。

下表包含多个 Microsoft 培训资源,可帮助安全团队获得技能。

资源 说明
模块:使用 Microsoft Defender XDR 缓解事件 了解 Microsoft Defender XDR 门户如何从 Microsoft Defender XDR 系列产品提供事件和警报的统一视图。
学习路径:使用 Microsoft Defender XDR 缓解威胁 利用 Microsoft Defender XDR 中内置的业务流程和自动化,分析各域中的威胁数据并快速修正威胁。
模块:使用新式操作做法提高可靠性:事件响应 了解有效事件响应的基础以及可以实现它们的 Azure 工具。
模块:培训:Microsoft Sentinel 中的安全事件管理 了解 Microsoft Sentinel 事件和实体,并发现解决事件的方法。

阶段 1

阶段 1 部署目标包括启用主要的 Microsoft XDR 工具和使用 Microsoft Defender XDR,它能将工具中的信号集成到单个门户中,以便进行事件响应。

打开 XDR 工具

从 XDR 工具的核心套件开始,保护组织免受针对设备、标识和基于云的应用程序的攻击。

资源 说明
Microsoft Defender for Endpoint 企业终结点安全平台,可帮助企业网络防范、检测、调查和响应针对设备的高级威胁,可包括笔记本电脑、手机、平板电脑、电脑、接入点、路由器和防火墙。
Defender for Office 365 无缝集成到你的 Microsoft 365 或 Office 365 订阅中,防范电子邮件、链接 (URLS)、附件和协作工具中的威胁。
Microsoft Entra ID 保护 帮助组织检测、调查和修正基于标识的风险。 这些基于标识的风险可以进一步馈送给 Entra 条件访问等工具,供其制定访问决策,也可以馈送回安全信息和事件管理 (SIEM) 工具,以进行深入调查和相关性分析。
Defender for Identity 利用来自本地 Active Directory 和云标识的信号,帮助你更好地识别、检测和调查针对组织的高级威胁。
Defender for Cloud Apps 为 SaaS 应用程序提供完全保护,帮助你监视和保护云应用数据。
使用 Microsoft Defender XDR 调查和响应威胁

启用主要的 XDR 工具后,即可开始使用 Microsoft Defender XDR 及其门户分析警报和事件,并针对可疑的网络攻击执行事件响应。

资源 说明
将 Microsoft 365 XDR 集成到安全运营中 仔细规划与 SecOps 团队的集成,以优化日常运营和 Microsoft Defender XDR 中工具的生命周期管理。
使用 Microsoft Defender XDR 进行事件响应 如何使用 Microsoft Defender XDR 分析警报和事件,并将最佳做法融入 SecOps 过程和流程。
使用 Microsoft Defender XDR 调查事件 如何分析影响网络的警报,了解它们的含义,并整理证据,以便设计有效的修正计划。
模块:使用 Microsoft Defender XDR 缓解事件 了解 Microsoft Defender XDR 门户如何从 Microsoft Defender XDR 系列产品提供事件和警报的统一视图。
学习路径:使用 Microsoft Defender XDR 缓解威胁 利用 Microsoft Defender XDR 中内置的业务流程和自动化,分析各域中的威胁数据并快速修正威胁。

阶段 2

在此阶段,你将为 Azure 和本地资源启用其他 XDR 工具,为 Microsoft 威胁防护和 XDR 服务创建或更新 SecOps 流程和过程,并监视业务关键资源和蜜罐资源,以在早期检测到网络攻击者。

打开 Microsoft Defender for Cloud

Microsoft Defender for Cloud 是一个云原生应用程序保护平台 (CNAPP),旨在保护基于云的应用程序免受各种网络威胁和漏洞影响。 将 Microsoft Defender for Cloud 用于 Azure、混合云和本地工作负载保护和安全性。

资源 说明
Microsoft Defender for Cloud 开始使用文档集。
Microsoft Defender for Cloud 的安全警报和事件 使用 Microsoft Defender for Cloud Security 为 Azure、混合云和本地工作负载执行事件响应。
模块:使用 Microsoft Defender for Cloud 修正安全警报 了解如何搜寻威胁,并为 Azure、混合云和本地工作负载修正风险。
学习路径:使用 Microsoft Defender for Cloud 缓解威胁 了解如何检测、调查和响应 Azure、混合云和本地工作负载中的高级威胁。
定义 SecOps 的内部过程

Microsoft XDR 工具就位后,请确保对它们的使用已集成到 SecOps 流程和过程中。

资源 说明
事件响应概述 主动调查和修正针对组织的主动攻击活动。
事件响应规划 将本文用作使 SecOps 团队做好准备响应网络安全事件的清单。
常见攻击事件响应 playbook 使用这些文章获取针对恶意用户日常使用的常见攻击方法的详细指南。
将 Microsoft 365 XDR 集成到安全运营中 仔细规划与 SecOps 团队的集成,以优化日常运营和 Microsoft Defender XDR 中的生命周期管理工具。
六个桌面练习,有助于让你的网络安全团队做好准备 使用这些由 Center for Internet Security (CIS) 提供的练习来让你的 SecOps 团队做好准备。
使用 XDR 工具监视业务关键资源和蜜罐资源

你部署的蜜罐资源充当网络攻击者的目标,并可用于尽早检测其活动,赶在他们针对真实的目标并造成业务损失之前。 将一部分的威胁检测和搜寻侧重于监视业务关键资源和蜜罐资源。

资源 说明
使用 Microsoft Defender XDR 进行事件响应 使用 Microsoft Defender XDR 发现事件,并在业务关键资源和蜜罐资源受影响时收到警报。
Microsoft Defender for Cloud 的安全警报和事件 使用 Microsoft Defender for Cloud 搜索由高级检测触发的针对业务关键资源和蜜罐资源的警报,例如 Azure、混合云和本地工作负载。

阶段 3

在此阶段,你将启用 Defender for IoT,将 Microsoft Defender XDR 与 Microsoft Sentinel 集成,然后使用组合的威胁防护和 XDR 基础结构主动搜寻威胁。

打开 Defender for IoT

物联网 (IoT) 支持数十亿个使用操作技术 (OT) 和 IoT 网络的连接设备。 IoT/OT 设备和网络通常使用专用协议构建,并且可能优先考虑操作挑战,而不是安全性。 Microsoft Defender for IoT 是一种统一的安全解决方案,专门为识别 IoT 和 OT 设备、漏洞和威胁而构建。

资源 说明
Microsoft Defender for IoT 开始使用文档集。
模块:Microsoft Defender for IoT 简介 了解 Defender for IoT 组件和功能,以及它们如何支持 OT 和 IoT 设备安全监视。
学习路径:使用 Microsoft Defender for IoT 增强 IoT 解决方案安全性 了解可在 IoT 解决方案的每个级别应用的安全注意事项,以及可配置为从头解决安全问题的 Azure 服务和工具。
设计 Microsoft Sentinel 工作区并引入 XDR 信号

Microsoft Sentinel 是云原生解决方案,它提供安全信息与事件管理 (SIEM) 以及安全业务流程、自动化和响应 (SOAR) 功能。 Microsoft Sentinel 和 Microsoft Defender XDR 共同提供了一个帮助组织抵御新式网络攻击的综合解决方案。

资源 说明
实现 Microsoft Sentinel 和 Microsoft Defender XDR 以实现零信任 开始使用此解决方案文档,其中还包含了零信任原则。
模块:将 Microsoft Defender XDR 连接到 Microsoft Sentinel 了解用于 Microsoft Defender XDR 的 Microsoft Sentinel 连接器提供的配置选项和数据。
构建 Microsoft Sentinel 工作区 了解如何设计和实现 Microsoft Sentinel 工作区。
引入数据源并在 Microsoft Sentinel 中配置事件检测 了解如何为将数据引入 Microsoft Sentinel 工作区配置数据连接器。
模块:使用数据连接器将数据连接到 Microsoft Sentinel 获取 Microsoft Sentinel 可用的数据连接器的概览。
主动搜寻威胁

现在,你的 XDR 和 SIEM 基础结构已就位,你的 SecOps 团队可以主动积极地搜寻环境中正在行动的威胁,而不是对已造成损害的攻击采取被动反应。

资源 说明
使用 Microsoft Defender XDR 中的高级搜寻功能主动搜寻威胁 开始使用关于通过 Microsoft Defender XDR 进行威胁搜寻的文档集。
使用 Microsoft Sentinel 搜寻威胁 开始使用关于通过 Microsoft Sentinel 进行威胁搜寻的文档集。
模块:使用 Microsoft Sentinel 进行威胁搜寻 了解如何使用 Microsoft Sentinel 查询主动识别威胁行为。

阶段 4

在此阶段,你将 SecOps 发展为组织中的一项纪律,并使用 Microsoft Defender XDR 和 Microsoft Sentinel 的功能自动执行针对已知或以往的攻击的事件响应。

在组织中将 SecOps 作为一项纪律来发展

多个复杂的恶意事件、特性和上下文信息构成了高级网络安全攻击。 确定和决定哪些活动符合可疑的条件可能是一项具有挑战性的任务。 对特定于你的行业的已知特性和异常活动的了解是知晓何时能够确定观察到的行为可疑的基础。

为了在事件响应和恢复的日常任务之外改进 SecOps 团队和纪律,专家或高级成员应了解更大的威胁环境,并在整个团队中传播该知识。

资源 说明
Microsoft Defender XDR 中的威胁分析 对于与组织最相关的报告,请使用 Microsoft Defender XDR 门户(需要登录)中的威胁分析仪表板。
Microsoft Defender 威胁情报 (Defender TI) 使用此内置平台在执行威胁基础结构分析和收集威胁情报时简化会审、事件响应、威胁搜寻、漏洞管理和网络威胁情报分析员工作流。
Microsoft 安全博客 获取有关安全威胁以及 Microsoft Defender XDR 和 Microsoft Sentinel 的新功能和更新的最新信息。
利用自动化来减少 SecOps 分析师的工作量

使用 Microsoft Defender XDR 和 Microsoft Sentinel 的功能自动执行事件响应,以检测已知和预期事件并从中恢复,从而更好地将 SecOps 团队集中在意外攻击和新的攻击方法上。

资源 说明
Microsoft Defender XDR 中的自动调查和响应 开始使用 Microsoft Defender XDR 文档集。
配置自动调查和修正功能 对于针对设备的攻击,请开始使用 Microsoft Defender for Endpoint 文档集。
在 Microsoft Sentinel 中使用 playbook 自动响应威胁 开始使用关于使用 Microsoft Sentinel 中的 playbook 的文档集。

云采用计划

采用计划是云采用成功的基本要求。 威胁防护和 XDR 实施的成功采用计划的关键属性包括:

  • 策略和计划一致:当制定在本地和云基础结构中测试、试点和推出威胁防护和攻击恢复功能的计划时,请务必重新审视你的策略和目标,以确保你的计划保持一致。 这包括攻击检测和响应以及使用自动化的目标的优先级和目标里程碑。
  • 计划是迭代的:当你开始推出计划时,你将了解有关你的 XDR 环境和正在使用的工具的许多信息。 在推出的每个阶段,重新查看与目标相比的结果,并微调计划。 例如,它可能包括回顾之前的工作以微调过程和策略。
  • 对 SecOps 员工的培训是精心策划的:从安全架构师到一线安全分析师,每个人都接受培训,从而胜任威胁防护、检测、缓解和恢复的职责。

有关 Azure 云采用框架的详细信息,请参阅云采用计划

就绪阶段

此图显示单个目标或一组目标的采用流程,突出显示了“就绪”阶段。

使用本文中列出的资源确定计划的优先级。 实施威胁防护和 XDR 的工作是多层零信任部署策略中的一层。

本文建议的分阶段方法包括在数字资产中采用有序的方式逐级开展威胁防护工作。 在此阶段,重新审视计划的以下要素,以确保一切准备就绪:

  • 你的 SecOps 团队知晓 Microsoft Defender XDR 和 Microsoft Sentinel 的事件响应流程的更改即将发生
  • 你的 SecOps 团队知晓文档和培训资源
  • 威胁搜寻过程和指南以及自动化技术已准备好供分析师使用
  • 你的蜜罐资源已就位

规划阶段展示了你的位置与你的目标位置之间的差距。 使用此阶段来实施和测试 XDR 工具及其用法。 例如,SecOps 团队主管可以:

  • 启用并使用适用于 Microsoft Defender XDR 的 XDR 工具对当前攻击执行事件响应
  • 使用数据连接器和工作区配置 Microsoft Defender XDR 和 Microsoft Sentinel 的集成
  • 制定或优化 SecOps 团队过程和流程
  • 探索并测试威胁搜寻,主动识别威胁并使用自动化,以检测已知攻击并从中恢复

采用阶段

此图显示单个目标或一组目标的采用流程,突出显示了“采用”阶段。

Microsoft 建议采用逐级迭代的方法来实施威胁防护和 XDR。 这样,就可以优化战略和策略,以提高结果的准确性。 在开始下一阶段之前,无需等到当前阶段完成。 如果你能在每个阶段都实施一些要素,并不断迭代,那么你的成果就会更加有效。

采用阶段的主要要素应包括:

  • 使 Microsoft Defender XDR 成为 SecOps 团队中正在进行的日常事件响应工作流的一部分。
  • 使用 Microsoft Sentinel 的功能以及 Microsoft Defender XDR 集成。
  • 实施自动化以解决已知攻击,解放 SecOps 团队以执行威胁搜寻,并改进团队的纪律,发展前瞻性思维,为网络攻击的新趋势做好准备

治理和管理阶段

此图显示单个目标或一组目标的采用流程,突出显示了“治理和管理”阶段。

对组织检测攻击的能力以及威胁防护和 XDR 基础结构的治理是一个迭代过程。 通过深思熟虑地制定实施计划并将其推广到你的 SecOps 团队中,你已经打下了基础。 使用以下任务帮助你开始为此基础制定初始治理计划。

目标 任务
跟踪和度量 为所有者分配关键的操作和职责,例如事件响应过程、威胁情报收集和传播以及自动化维护。

为每个操作创建具有日期和日程安排的可操作计划。
监视和检测 使用 Microsoft Defender XDR 和 Microsoft Sentinel 管理安全威胁,使用自动化处理常见或以往的攻击。
迭代提高成熟度 不断重新评估风险和网络威胁环境,并对 SecOps 过程、职责、策略和优先级进行更改。

后续步骤

对于此业务方案:

零信任采用框架中的其他文章:

进度跟踪资源

对于任何零信任业务方案,都可以使用以下进度跟踪资源。

进度跟踪资源 有助于… 面向的对象
采用方案计划阶段网格 - 可下载的 Visio 文件PDF

一个示例计划和阶段网格,显示了阶段和目标。
轻松了解每个业务方案的安全增强,以及“计划”阶段的各个阶段和目标的工作量。 业务方案项目负责人、业务主管和其他利益干系人。
零信任采用跟踪器 - 可下载的 PowerPoint 幻灯片

一个 PowerPoint 幻灯片示例,显示了阶段和目标。
跟踪“计划”阶段的各个阶段和目标的进度。 业务方案项目负责人、业务主管和其他利益干系人。
业务方案目标和任务 - 可下载的 Excel 工作簿

一个 Excel 工作表示例,显示了阶段、目标和任务。
分配所有权并跟踪“计划”阶段的各个阶段、目标和任务的进度。 业务方案项目负责人、IT 负责人和 IT 实现者。

有关其他资源,请参阅零信任评估和进度跟踪资源