部署Microsoft的整合 SecOps 平臺
Microsoft的統一安全性作業平臺結合 Microsoft Defender 入口網站、Microsoft Sentinel 和其他 Microsoft Defender 服務的功能。 此平臺提供組織安全性狀態的完整檢視,並協助您偵測、調查及回應整個組織的威脅。
Microsoft 安全性暴露風險管理和Microsoft威脅情報可在符合必要條件的任何環境中提供給具有必要許可權的使用者。
必要條件
在部署Microsoft的統一安全性作業平臺之前,請確定您已備妥計劃,包括工作區設計,以及瞭解 Microsoft Sentinel 成本和計費。
如需詳細資訊,請參閱 整合安全性作業平臺規劃概觀。
部署 Microsoft Defender 全面偵測回應 服務
Microsoft Defender 全面偵測回應 整合跨服務的重要功能來整合事件回應,包括 適用於端點的 Microsoft Defender、適用於 Office 365 的 Microsoft Defender、Microsoft Defender for Cloud Apps和 適用於身分識別的 Microsoft Defender。 此整合體驗新增了您可在 Microsoft Defender 入口網站中存取的強大功能。
當具有必要許可權的合格客戶造訪入口網站時,Microsoft Defender 全面偵測回應 會自動開啟 Microsoft Defender。 如需詳細資訊,請參閱開啟 Microsoft Defender 全面偵測回應。
繼續部署 Microsoft Defender 全面偵測回應 服務。 建議您使用下列順序:
設定 Microsoft Entra ID Protection
Microsoft Defender 全面偵測回應 可以內嵌並包含來自 Microsoft Entra ID Protection 的訊號,以評估數十億次登入嘗試的風險數據,並評估每次登入環境的風險。 Microsoft Entra ID Protection 數據是由 Microsoft Entra ID 用來允許或防止帳戶存取,視條件式存取原則的設定方式而定。
設定 Microsoft Entra ID Protection 以增強您的安全性狀態,並將 Microsoft Entra 訊號新增至您的統一安全性作業。 如需詳細資訊,請參閱設定 Microsoft Entra ID Protection 原則。
部署雲端 Microsoft Defender
Microsoft Defender for Cloud 可為您的雲端資源提供統一的安全性管理體驗,也可以將訊號傳送至 Microsoft Defender 全面偵測回應。 例如,您可能想要從將 Azure 訂用帳戶連線到雲端 Microsoft Defender,然後移至其他雲端環境開始。
如需詳細資訊,請 參閱連線您的 Azure 訂用帳戶。
上線至 Microsoft Security Copilot
使用進階 AI 功能上架以 Microsoft Security Copilot,以增強您的安全性作業。 Security Copilot 有助於威脅偵測、調查和回應,提供可採取動作的深入解析和建議,協助您掌握潛在威脅。 使用 Security Copilot 將例行工作自動化、縮短偵測和回應事件的時間,以及改善安全性小組的整體效率。
如需詳細資訊,請參閱開始使用 Security Copilot。
建構您的工作區並上線以 Microsoft Sentinel
如果您還沒有Log Analytics工作區,則使用 Microsoft Sentinel 的第一個步驟是建立Log Analytics工作區。 單一 Log Analytics 工作區對許多環境可能已足夠,但許多組織會建立多個工作區來優化成本,並更符合不同的商務需求。 Microsoft的統一安全性作業平臺僅支援單一工作區。
- 建立安全性資源群組以供治理之用,可讓您隔離 Microsoft Sentinel 資源,以及以角色為基礎的集合存取權。
- 在安全性資源群組中建立Log Analytics工作區,並將 Microsoft Sentinel上線。
如需詳細資訊,請參閱上架 Microsoft Sentinel。
設定角色和許可權
根據您 稍早準備的存取方案來布建使用者。 若要符合 零信任 原則,建議您使用角色型訪問控制 (RBAC) ,只為使用者提供每個使用者所允許和相關資源的存取權,而不是提供整個環境的存取權。
如需詳細資訊,請參閱:
上線至整合 SecOps
當您將 Microsoft Sentinel 上線至 Defender 入口網站時,您會將功能與事件管理和進階搜捕等 Microsoft Defender 全面偵測回應 整合,以建立統一的 SecOps 平臺。
- 從內容中樞安裝 Microsoft Sentinel 的 Microsoft Defender 全面偵測回應解決方案。 如需詳細資訊,請 參閱部署和管理現成的內容。
- 啟用 Microsoft Defender 全面偵測回應 數據連接器以收集事件和警示。 如需詳細資訊,請參閱將數據從 Microsoft Defender 全面偵測回應 連線到 Microsoft Sentinel。
- 上架至Microsoft的整合 SecOps 平臺。 如需詳細資訊,請參閱將 Microsoft Sentinel 連線至 Microsoft Defender。
微調系統設定
使用下列 Microsoft Sentinel 組態選項來微調您的部署:
啟用健康情況和稽核
在 Microsoft Sentinel 的 [設定] 頁面中開啟稽核和健康情況監視功能,以監視健康情況並稽核支援 Microsoft Sentinel 資源的完整性。 取得健康情況漂移的深入解析,例如從成功到失敗狀態的最新失敗事件或變更,以及未經授權的動作,並使用此資訊來建立通知和其他自動化動作。
如需詳細資訊,請參閱開啟 Microsoft Sentinel的稽核和健全狀況監視。
設定 Microsoft Sentinel內容
根據您在規劃部署時選取的數據源,安裝 Microsoft Sentinel 解決方案並設定您的資料連接器。 Microsoft Sentinel 提供各種內建的解決方案和數據連接器,但您也可以建置自定義連接器,並設定連接器以內嵌 CEF 或 Syslog 記錄。
如需詳細資訊,請參閱:
啟用用戶和實體行為分析 (UEBA)
在 Microsoft Sentinel 中設定數據連接器之後,請務必啟用用戶實體行為分析,以識別可能導致網路釣魚入侵和最終攻擊的可疑行為,例如勒索軟體。 如需詳細資訊,請參閱在 Microsoft Sentinel 中啟用 UEBA。
設定互動式和長期數據保留
設定互動式和長期數據保留,以確保您的組織保留長期重要的數據。 如需詳細資訊, 請參閱設定互動式和長期數據保留。
啟用分析規則
分析規則會告訴 Microsoft Sentinel 使用一組您認為很重要的條件來警示事件。 Microsoft Sentinel 現成的決策是根據 UEBA) (用戶實體行為分析,以及跨多個數據源的數據相互關聯。 開啟 Microsoft Sentinel 的分析規則時,請依連線的數據源、組織風險和 MITRE 策略來設定啟用的優先順序。
如需詳細資訊,請參閱 Microsoft Sentinel 中的威脅偵測。
檢閱異常規則
Microsoft Sentinel 異常規則是現成可用的,且預設為啟用。 異常規則是以機器學習模型和 UEBA 為基礎,這些模型會針對您工作區中的數據進行定型,以標示使用者、主機和其他人員之間的異常行為。 檢閱每個規則的異常規則和異常分數閾值。 例如,如果您觀察到誤判,請考慮複製規則並修改閾值。
如需詳細資訊,請 參閱使用異常偵測分析規則。
使用 Microsoft 威脅情報分析規則
啟用現成Microsoft威脅情報分析規則,並確認 此規則符合記錄數據與Microsoft產生的威脅情報。 Microsoft具有大量的威脅情報數據存放庫,而此分析規則會使用其中的子集來產生高逼真度警示和事件,讓 SOC (安全性作業中心) 小組進行分級。
避免重複的事件
將 Microsoft Sentinel 連線到 Microsoft Defender 之後,系統會自動建立 Microsoft Defender 全面偵測回應 事件與 Microsoft Sentinel 之間的雙向同步處理。 若要避免針對相同的警示建立重複事件,建議您關閉 Microsoft Defender 全面偵測回應 整合式產品的所有Microsoft事件建立規則,包括適用於端點的 Defender、適用於身分識別的 Defender、適用於 Office 365 的 Defender、Defender for Cloud Apps 和Microsoft Entra ID Protection。
如需詳細資訊,請參閱Microsoft事件建立。
進行 MITRE ATT&CK 交叉路由
啟用融合、異常和威脅情報分析規則之後,請執行 MITRE Att&ck 交叉查閱,以協助您決定要啟用和完成實作成熟 XDR (擴充偵測和回應) 程式的其餘分析規則。 這可讓您在整個攻擊的生命週期中偵測和回應。
如需詳細資訊,請 參閱瞭解安全性涵蓋範圍。