部署Microsoft的统一 SecOps 平台
Microsoft的统一安全操作平台结合了Microsoft Defender门户、Microsoft Sentinel和其他Microsoft Defender服务的功能。 此平台提供组织安全状况的全面视图,并帮助你检测、调查和响应整个组织的威胁。
Microsoft 安全风险管理和Microsoft威胁智能可在满足先决条件的任何环境中提供给配置了所需权限的用户。
先决条件
在部署Microsoft的统一安全操作平台之前,请确保已制定计划,包括工作区设计以及了解Microsoft Sentinel成本和计费。
有关详细信息,请参阅 统一安全操作平台规划概述。
部署Microsoft Defender XDR服务
Microsoft Defender XDR通过跨服务(包括Microsoft Defender for Endpoint、Microsoft Defender for Office 365)集成关键功能来统一事件响应Microsoft Defender for Cloud Apps和Microsoft Defender for Identity。 这种统一体验添加了可在Microsoft Defender门户中访问的强大功能。
当具有所需权限的合格客户访问Microsoft Defender门户时,Microsoft Defender XDR会自动打开。 有关详细信息,请参阅打开Microsoft Defender XDR。
通过部署Microsoft Defender XDR服务继续。 建议使用以下顺序:
配置Microsoft Entra ID 保护
Microsoft Defender XDR可以引入并包含来自Microsoft Entra ID 保护的信号,该信号评估来自数十亿次登录尝试的风险数据,并评估每次登录环境的风险。 Microsoft Entra ID使用Microsoft Entra ID 保护数据来允许或阻止帐户访问,具体取决于条件访问策略的配置方式。
配置Microsoft Entra ID 保护以增强安全态势,并向统一安全操作添加Microsoft Entra信号。 有关详细信息,请参阅配置Microsoft Entra ID 保护策略。
部署 Microsoft Defender for Cloud
Microsoft Defender for Cloud 为云资源提供统一的安全管理体验,还可以向Microsoft Defender XDR发送信号。 例如,你可能希望首先将 Azure 订阅连接到 Microsoft Defender for Cloud,然后转到其他云环境。
有关详细信息,请参阅 连接 Azure 订阅。
载入到Microsoft Security Copilot
加入到Microsoft Security Copilot,通过利用高级 AI 功能来增强安全操作。 Security Copilot协助威胁检测、调查和响应,提供可操作的见解和建议,帮助你在潜在威胁之前保持领先。 使用Security Copilot自动执行日常任务,减少检测和响应事件的时间,并提高安全团队的整体效率。
有关详细信息,请参阅Security Copilot入门。
构建工作区并载入到Microsoft Sentinel
使用 Microsoft Sentinel 的第一步是创建 Log Analytics 工作区(如果还没有)。 对于许多环境,单个 Log Analytics 工作区可能就足够了,但许多组织会创建多个工作区来优化成本并更好地满足不同的业务需求。 Microsoft的统一安全操作平台仅支持单个工作区。
- 创建用于治理目的的安全资源组,以便隔离Microsoft Sentinel资源和对集合的基于角色的访问。
- 在“安全”资源组中创建 Log Analytics 工作区,并在其中加入Microsoft Sentinel。
有关详细信息,请参阅载入Microsoft Sentinel。
配置角色和权限
根据 之前准备的访问计划预配用户。 为了遵守零信任原则,建议使用基于角色的访问控制 (RBAC) ,仅向用户提供对允许的与每个用户相关的资源的访问权限,而不是提供对整个环境的访问权限。
有关更多信息,请参阅:
加入到统一的 SecOps
将Microsoft Sentinel加入 Defender 门户时,可以通过事件管理和高级搜寻等Microsoft Defender XDR统一功能,从而创建统一的 SecOps 平台。
- 从内容中心安装用于Microsoft Sentinel的Microsoft Defender XDR解决方案。 有关详细信息,请参阅 部署和管理现装内容。
- 启用Microsoft Defender XDR数据连接器以收集事件和警报。 有关详细信息,请参阅将数据从Microsoft Defender XDR连接到Microsoft Sentinel。
- 加入到Microsoft的统一 SecOps 平台。 有关详细信息,请参阅将Microsoft Sentinel连接到Microsoft Defender。
微调系统配置
使用以下Microsoft Sentinel配置选项来微调部署:
启用运行状况和审核
通过在Microsoft Sentinel的“设置”页中启用审核和运行状况监视功能,监视支持的Microsoft Sentinel资源的运行状况和完整性。 获取有关运行状况偏差的见解,例如最新的失败事件或从成功到失败状态的变化,以及未经授权的操作,并使用此信息创建通知和其他自动化操作。
有关详细信息,请参阅为Microsoft Sentinel启用审核和运行状况监视。
配置Microsoft Sentinel内容
根据规划部署时选择的数据源,安装Microsoft Sentinel解决方案并配置数据连接器。 Microsoft Sentinel提供了各种内置解决方案和数据连接器,但你也可以生成自定义连接器并设置连接器以引入 CEF 或 Syslog 日志。
有关更多信息,请参阅:
(UEBA) 启用用户和实体行为分析
在 Microsoft Sentinel 中设置数据连接器后,请确保启用用户实体行为分析,以识别可能导致网络钓鱼攻击和最终攻击(如勒索软件)的可疑行为。 有关详细信息,请参阅在 Microsoft Sentinel 中启用 UEBA。
设置交互式和长期数据保留
设置交互式和长期数据保留,以确保组织保留长期重要的数据。 有关详细信息,请参阅 配置交互式和长期数据保留。
启用分析规则
分析规则告知Microsoft Sentinel使用一组你认为重要的条件来提醒你注意事件。 Microsoft Sentinel做出的现用决策基于用户实体行为分析 (UEBA) ,以及跨多个数据源的数据相关性。 为Microsoft Sentinel启用分析规则时,请优先通过连接的数据源、组织风险和 MITRE 策略启用。
有关详细信息,请参阅 Microsoft Sentinel 中的威胁检测。
查看异常规则
Microsoft Sentinel异常规则是现现可用的,默认情况下已启用。 异常规则基于机器学习模型和 UEBA,这些模型和 UEBA 根据工作区中的数据进行训练,以标记用户、主机和其他方面的异常行为。 查看每个规则的异常规则和异常分数阈值。 例如,如果观察到误报,请考虑复制规则并修改阈值。
有关详细信息,请参阅 使用异常情况检测分析规则。
使用Microsoft威胁情报分析规则
启用现Microsoft威胁情报分析规则,并验证 此规则是否将日志数据与Microsoft生成的威胁情报匹配。 Microsoft具有庞大的威胁情报数据存储库,此分析规则使用其中的一部分为 SOC (安全运营中心生成高保真警报和事件,) 团队进行会审。
避免重复事件
将Microsoft Sentinel连接到Microsoft Defender后,会自动在Microsoft Defender XDR事件与Microsoft Sentinel之间建立双向同步。 为了避免为同一警报创建重复事件,我们建议关闭Microsoft Defender XDR集成产品的所有Microsoft事件创建规则,包括 Defender for Endpoint、Defender for Identity、Defender for Office 365、Defender for Cloud Apps 和Microsoft Entra ID 保护。
有关详细信息,请参阅 Microsoft事件创建 。
进行 MITRE ATT&CK 人行横道
启用融合、异常和威胁情报分析规则后,执行 MITRE Att&ck crosswalk,帮助你确定要启用哪些剩余分析规则,并完成实现成熟的 XDR (扩展检测和响应) 过程。 这让你能够在攻击的整个生命周期内检测和响应。
有关详细信息,请参阅 了解安全覆盖范围。