Microsoft的统一安全操作平台规划概述

本文概述了Microsoft安全产品部署到Microsoft的统一安全操作平台的活动,以便 (SecOps) 进行端到端安全操作。 在 Microsoft 平台上统一 SecOps,帮助你降低风险、防止攻击、实时检测和中断网络威胁,并通过 AI 增强的安全功能更快地做出响应,所有这些都可以从Microsoft Defender门户完成。

规划部署

Microsoft的统一 SecOps 平台将 Microsoft Defender XDR、Microsoft Sentinel、Microsoft 安全风险管理 和 Microsoft Security Copilot 等服务合并在Microsoft Defender门户。

规划部署的第一步是选择要使用的服务。

作为基本先决条件,需要Microsoft Defender XDRMicrosoft Sentinel来监视和保护Microsoft和非Microsoft服务和解决方案,包括云和本地资源。

部署以下任何服务,以跨终结点、标识、电子邮件和应用程序添加安全性,以提供针对复杂攻击的集成保护。

Microsoft Defender XDR服务包括:

服务 说明
Microsoft Defender for Identity 识别、检测和调查来自本地 Active Directory和云标识(如Microsoft Entra ID)的威胁。
Microsoft Defender for Office 365 防止电子邮件、URL 链接和Office 365协作工具构成的威胁。
Microsoft Defender for Endpoint 监视和保护终结点设备,检测和调查设备违规,并自动响应安全威胁。
从 Microsoft Defender for IoT 监视企业IoT 为 IoT 设备提供 IoT 设备发现和安全值。
Microsoft Defender 漏洞管理 识别资产和软件清单,并评估设备状况以查找安全漏洞。
Microsoft Defender for Cloud Apps 保护和控制对 SaaS 云应用的访问。

Microsoft Defender 门户中作为Microsoft统一 SecOps 平台的一部分但未获得Microsoft Defender XDR许可的其他服务包括:

服务 说明
Microsoft 安全风险管理 跨公司资产和工作负载提供安全态势的统一视图,通过安全上下文丰富资产信息。
Microsoft Security Copilot 提供 AI 驱动的见解和建议,以增强安全操作。
Microsoft Defender for Cloud 使用高级威胁检测和响应保护多云和混合环境。
Microsoft Defender 威胁智能 通过聚合和扩充关键数据源来简化威胁情报工作流,将入侵指标 (IOC) 与相关文章、参与者配置文件和漏洞相关联。
Microsoft Entra ID 保护 评估登录尝试的风险数据,以评估每次登录环境的风险。

查看服务先决条件

在部署Microsoft的统一安全操作平台之前,请查看计划使用的每个服务的先决条件。 下表列出了服务及其先决条件的链接:

Security 服务 指向先决条件的链接
统一 SecOps 需要
office Microsoft Defender XDR和Microsoft Defender Microsoft Defender XDR先决条件
Microsoft Sentinel 部署Microsoft Sentinel的先决条件
可选Microsoft Defender XDR服务
Microsoft Defender for Identity Microsoft Defender for Identity 先决条件
Microsoft Defender for Endpoint 设置Microsoft Defender for Endpoint部署
使用适用于 IoT 的 Microsoft Defender 进行企业监视 企业 IoT 安全性的先决条件
Microsoft Defender 漏洞管理 Microsoft Defender 漏洞管理的先决条件 & 权限
Microsoft Defender for Cloud Apps Microsoft Defender for Cloud Apps 入门
Microsoft Defender门户中支持的其他服务
Microsoft 安全风险管理 先决条件和支持
Microsoft Security Copilot 最低要求
Microsoft Defender for Cloud 在同一部分中开始规划多云保护和其他文章。
Microsoft Defender 威胁智能 Defender 威胁情报的先决条件
Microsoft Entra ID 保护 Microsoft Entra ID 保护的先决条件

规划 Log Analytics 工作区体系结构

若要使用 Microsoft 的统一 SecOps 平台,需要为 Microsoft Sentinel 启用 Log Analytics 工作区。 对于许多环境,单个 Log Analytics 工作区可能就足够了,但许多组织会创建多个工作区来优化成本并更好地满足不同的业务需求。 Microsoft的统一 SecOps 平台仅支持单个工作区。

设计要为Microsoft Sentinel启用的 Log Analytics 工作区。 请考虑一些参数,例如数据收集和存储的任何符合性要求,以及如何控制对Microsoft Sentinel数据的访问。

有关更多信息,请参阅:

  1. 设计工作区体系结构
  2. 查看示例工作区设计

规划Microsoft Sentinel成本和数据源

Microsoft的统一 SecOps 平台从第一方Microsoft服务(如 Microsoft Defender for Cloud Apps 和 Microsoft Defender for Cloud)引入数据。 建议通过添加Microsoft Sentinel数据连接器,将覆盖范围扩展到环境中的其他数据源。

确定数据源

确定要从中引入数据的完整数据源集,以及数据大小要求,以帮助准确预测部署的预算和时间线。 可以在业务用例评审期间或通过评估已到位的当前 SIEM 来确定此信息。 如果已有 SIEM,请分析数据,了解哪些数据源提供的价值最大,应引入Microsoft Sentinel。

例如,你可能想要使用以下任何建议的数据源:

  • Azure 服务:如果在 Azure 中部署了以下任何服务,请使用以下连接器将这些资源的诊断日志发送到Microsoft Sentinel:

    • Azure 防火墙
    • Azure 应用程序网关
    • Keyvault
    • Azure Kubernetes 服务
    • Azure SQL
    • 网络安全组
    • Azure-Arc 服务器

    建议将Azure Policy设置为要求其日志转发到基础 Log Analytics 工作区。 有关详细信息,请参阅使用Azure Policy大规模创建诊断设置

  • 虚拟机:对于托管在本地或其他云中需要收集日志的虚拟机,请使用以下数据连接器:

    • 使用 AMA Windows 安全中心 事件
    • 服务器) 通过 Defender for Endpoint (的事件
    • Syslog
  • 网络虚拟设备/本地源:对于生成 通用事件格式 (CEF) 或 SYSLOG 日志的网络虚拟设备或其他本地源,请使用以下数据连接器:

    • 通过 AMA 的 Syslog
    • 通过 AMA (CEF) 的常见事件格式

有关详细信息,请参阅 确定数据连接器的优先级

规划预算

计划Microsoft Sentinel预算,并考虑每个计划方案的成本影响。 请确保预算涵盖 Microsoft Sentinel 和 Azure Log Analytics 的数据引入成本、将部署的任何 playbook 等。 有关更多信息,请参阅:

规划角色和权限

使用Microsoft Entra基于角色的访问控制 (RBAC) 在安全运营团队中创建和分配角色,以授予对Microsoft统一 SecOps 平台中包含的服务的适当访问权限。

Microsoft Defender XDR基于角色的统一访问控制 (RBAC) 模型提供单一权限管理体验,为管理员提供一个中心位置,用于跨多个安全解决方案控制用户权限。 有关详细信息,请参阅 Microsoft Defender XDR统一基于角色的访问控制 (RBAC)

对于以下服务,请使用可用的不同角色或创建自定义角色,以便对用户可以查看和执行的操作进行精细控制。 有关更多信息,请参阅:

Security 服务 指向角色要求的链接
统一 SecOps 需要
Microsoft Defender XDR 使用Microsoft Entra全局角色管理对Microsoft Defender XDR的访问权限
Microsoft Sentinel Microsoft Sentinel中的角色和权限
可选Microsoft Defender XDR服务
Microsoft Defender for Identity Microsoft Defender for Identity 角色组
Microsoft Defender for Office Microsoft Defender门户中的Microsoft Defender for Office 365权限
Microsoft Defender for Endpoint 为Microsoft Defender for Endpoint部署分配角色和权限
Microsoft Defender 漏洞管理 Microsoft Defender 漏洞管理的相关权限选项
Microsoft Defender for Cloud Apps 配置Microsoft Defender for Cloud Apps的管理员访问权限
Microsoft Defender门户中支持的其他服务
Microsoft 安全风险管理 Microsoft 安全风险管理的权限
Microsoft Defender for Cloud 用户角色和权限

计划零信任活动

Microsoft的统一 SecOps 平台是Microsoft零信任安全模型的一部分,其中包括以下原则:

原则 说明
显式验证 始终根据所有可用的数据点进行身份验证和授权。
使用最小特权 使用实时访问和恰时访问限制用户访问权限, (JIT/JEA) 、基于风险的自适应策略和数据保护。
假设存在漏洞 最小化爆炸半径和段访问。 验证端到端加密,并使用分析获取可见性、促进威胁检测和加强防范。

零信任安全性旨在通过利用网络分段、防止横向移动、提供最低特权访问以及使用高级分析来检测和响应威胁来保护现代数字环境。

有关在 Microsoft 的统一 SecOps 平台中实现零信任原则的详细信息,请参阅以下服务的零信任内容:

后续步骤

部署Microsoft的统一安全操作平台