Microsoft的統一安全性作業平臺規劃概觀
本文概述計劃部署Microsoft的安全性產品,以Microsoft端對端安全性作業的整合安全性作業平臺, (SecOps) 。 在Microsoft平臺上整合 SecOps,以協助您降低風險、防止攻擊、即時偵測和中斷網路威脅,以及使用 AI 增強的安全性功能更快地回應,全都來自 Microsoft Defender 入口網站。
規劃您的部署
Microsoft的整合 SecOps 平臺會在 Microsoft Defender 中結合 Microsoft Defender 全面偵測回應、Microsoft Sentinel、Microsoft 安全性暴露風險管理 和 Microsoft Security Copilot 等服務 Microsoft Defender門戶。
規劃部署的第一個步驟是選取您想要使用的服務。
作為基本必要條件,您需要 Microsoft Defender 全面偵測回應 和 Microsoft Sentinel 來監視和保護Microsoft和非Microsoft服務和解決方案,包括雲端和內部部署資源。
部署下列任何服務,以在您的端點、身分識別、電子郵件和應用程式之間新增安全性,以提供整合式保護來抵禦複雜的攻擊。
Microsoft Defender 全面偵測回應 服務包括:
| Service | 描述 |
|---|---|
| 適用於身分識別的 Microsoft Defender | 識別、偵測及調查來自 內部部署的 Active Directory 和雲端身分識別的威脅,例如 Microsoft Entra ID。 |
| 適用於 Office 365 的 Microsoft Defender | 防止電子郵件訊息、URL 連結和 Office 365 共同作業工具所造成的威脅。 |
| 適用於端點的 Microsoft Defender | 監視和保護端點裝置、偵測和調查裝置缺口,以及自動回應安全性威脅。 |
| 來自IoT Microsoft Defender的企業IoT監視 | 提供IoT裝置的IoT裝置探索和安全性值。 |
| Microsoft Defender 弱點管理 | 識別資產和軟體清查,並評估裝置狀態以找出安全性弱點。 |
| Microsoft Defender for Cloud Apps | 保護和控制對 SaaS 雲端應用程式的存取。 |
Microsoft Defender 入口網站中支援的其他服務作為Microsoft整合 SecOps 平臺的一部分,但未使用 Microsoft Defender 全面偵測回應 授權,包括:
| Service | 描述 |
|---|---|
| Microsoft 安全性暴露風險管理 | 提供跨公司資產和工作負載的安全性狀態的統一檢視,並利用安全性內容擴充資產資訊。 |
| Microsoft 安全性 Copilot | 提供 AI 驅動的深入解析和建議,以增強您的安全性作業。 |
| 適用於雲端的 Microsoft Defender | 使用進階威脅偵測和響應來保護多重雲端和混合式環境。 |
| Microsoft Defender 威脅情報 | 藉由匯總和擴充重要數據源來簡化威脅情報工作流程,以將入侵指標 (IOC) 與相關文章、動作專案配置檔和弱點相互關聯。 |
| Microsoft Entra ID Protection | 從登入嘗試評估每次登入環境的風險來評估風險數據。 |
檢閱服務必要條件
在部署Microsoft的統一安全性作業平臺之前,請先檢閱您計劃使用之每個服務的必要條件。 下表列出服務及其必要條件的連結:
| 安全性服務 | 必要條件的連結 |
|---|---|
| 整合 SecOps 的必要專案 | |
| Office 的 Microsoft Defender 全面偵測回應 和 Microsoft Defender | Microsoft Defender 全面偵測回應 必要條件 |
| Microsoft Sentinel | 部署 Microsoft Sentinel的必要條件 |
| 選擇性 Microsoft Defender 全面偵測回應 服務 | |
| 適用於身分識別的 Microsoft Defender | 適用於身分識別的 Microsoft Defender 必要條件 |
| 適用於端點的 Microsoft Defender | 設定 適用於端點的 Microsoft Defender部署 |
| 使用適用於IoT的 Microsoft Defender進行企業監視 | 企業 IoT 安全性的必要條件 |
| Microsoft Defender 弱點管理 | Microsoft Defender 弱點管理的必要條件 & 許可權 |
| Microsoft Defender for Cloud Apps | 開始使用 Microsoft Defender for Cloud Apps |
| Microsoft Defender 入口網站中支援的其他服務 | |
| Microsoft 安全性暴露風險管理 | 必要條件和支援 |
| Microsoft 安全性 Copilot | 基本需求 |
| 適用於雲端的 Microsoft Defender | 開始規劃同一節中的多重雲端保護 和其他文章。 |
| Microsoft Defender 威脅情報 | Defender 威脅情報的必要條件 |
| Microsoft Entra ID Protection | Microsoft Entra ID Protection的必要條件 |
規劃Log Analytics工作區架構
若要使用Microsoft的整合 SecOps 平臺,您需要為 Microsoft Sentinel 啟用 Log Analytics 工作區。 單一 Log Analytics 工作區對許多環境可能已足夠,但許多組織會建立多個工作區來優化成本,並更符合不同的商務需求。 Microsoft的整合 SecOps 平臺僅支援單一工作區。
設計您想要為 Microsoft Sentinel 啟用的Log Analytics工作區。 請考慮參數,例如您對於數據收集和記憶體的任何合規性需求,以及如何控制 Microsoft Sentinel 數據的存取權。
如需詳細資訊,請參閱:
規劃 Microsoft Sentinel 成本和數據源
Microsoft的整合 SecOps 平臺會從第一方Microsoft服務擷取數據,例如雲端 Microsoft Defender for Cloud Apps 和 Microsoft Defender。 建議您藉由新增數據連接器,將涵蓋範圍擴充至環境中的其他數據源 Microsoft Sentinel。
判斷您的數據源
判斷您要從中擷取數據的完整數據源集,以及數據大小需求,以協助您精確地投影部署的預算和時程表。 您可以在商務使用案例檢閱期間,或評估您已備妥的目前 SIEM 來判斷這項資訊。 如果您已經備妥 SIEM,請分析您的數據,以瞭解哪些數據源提供最多值,且應該內嵌到 Microsoft Sentinel。
例如,您可能想要使用下列任何建議的數據源:
Azure 服務:如果下列任一服務部署在 Azure 中,請使用下列連接器將這些資源的診斷記錄傳送至 Microsoft Sentinel:
- Azure 防火牆
- Azure 應用程式閘道
- Keyvault
- Azure Kubernetes Service
- Azure SQL
- 網路安全性 群組
- Azure-Arc 伺服器
建議您設定 Azure 原則,要求將其記錄轉送到基礎 Log Analytics 工作區。 如需詳細資訊,請參閱使用 Azure 原則 大規模建立診斷設定。
虛擬機:針對裝載於內部部署或其他需要收集記錄之雲端中的虛擬機,請使用下列數據連接器:
- 使用 AMA Windows 安全性 事件
- 透過適用於伺服器 (的適用於 端點的 Defender 事件)
- Syslog
網路虛擬設備/內部部署來源:針對網路虛擬設備或其他產生 通用事件格式 (CEF) 或 SYSLOG 記錄的內部部署來源,請使用下列數據連接器:
- 透過 AMA 的 Syslog
- 透過 AMA (CEF) 的常見事件格式
如需詳細資訊,請參閱 設定數據連接器的優先順序。
規劃預算
規劃 Microsoft Sentinel 預算,並考慮每個計劃案例的成本影響。 請確定您的預算涵蓋 Microsoft Sentinel 和 Azure Log Analytics 的數據擷取成本、將部署的任何劇本等等。 如需詳細資訊,請參閱:
規劃角色和許可權
使用 Microsoft Entra 角色型訪問控制 (RBAC) ,在安全性作業小組內建立和指派角色,以授與Microsoft整合 SecOps 平臺中所含服務的適當存取權。
Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) 模型提供單一許可權管理體驗,可為系統管理員提供一個集中位置,以控制數個安全性解決方案的用戶權力。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) 。
針對下列服務,請使用不同的可用角色,或建立自定義角色,讓您更精細地控制使用者可以看到和執行的動作。 如需詳細資訊,請參閱:
| 安全性服務 | 角色需求的連結 |
|---|---|
| 整合 SecOps 的必要專案 | |
| Microsoft Defender XDR | 使用 Microsoft Entra 全域角色管理 Microsoft Defender 全面偵測回應 的存取權 |
| Microsoft Sentinel | Microsoft Sentinel 中的角色和許可權 |
| 選擇性 Microsoft Defender 全面偵測回應 服務 | |
| 適用於身分識別的 Microsoft Defender | 適用於身分識別的 Microsoft Defender 角色群組 |
| 適用於 Office 的 Microsoft Defender | Microsoft Defender 入口網站中的 適用於 Office 365 的 Microsoft Defender許可權 |
| 適用於端點的 Microsoft Defender | 指派 適用於端點的 Microsoft Defender 部署的角色和許可權 |
| Microsoft Defender 弱點管理 | Microsoft Defender 弱點管理 的相關許可權選項 |
| Microsoft Defender for Cloud Apps | 設定 Microsoft Defender for Cloud Apps的系統管理員存取權 |
| Microsoft Defender 入口網站中支援的其他服務 | |
| Microsoft 安全性暴露風險管理 | Microsoft 安全性暴露風險管理的許可權 |
| 適用於雲端的 Microsoft Defender | 使用者角色和許可權 |
規劃 零信任 活動
Microsoft的整合 SecOps 平臺是Microsoft 零信任 安全性模型的一部分,其中包含下列原則:
| 原則 | 描述 |
|---|---|
| 明確驗證 | 一律根據所有可用的資料點進行驗證及授權。 |
| 使用最低權限存取權 | 使用 Just-In-Time 和 Just-Enough-Access (JIT/JEA) 、風險型調適型原則和數據保護來限制使用者存取。 |
| 假設缺口 | 將發射半徑和區段存取最小化。 驗證端對端加密並使用分析來取得能見度、推動威脅偵測,並改善防禦能力。 |
零信任 安全性是設計來保護現代化數字環境,方法是利用網路分割、防止橫向移動、提供最低許可權的存取,以及使用進階分析來偵測和回應威脅。
如需在Microsoft的整合 SecOps 平台中實作 零信任 原則的詳細資訊,請參閱 零信任 下列服務的內容:
- Microsoft Defender XDR
- Microsoft Sentinel
- 適用於身分識別的 Microsoft Defender
- 適用於 Office 365 的 Microsoft Defender
- 適用於端點的 Microsoft Defender
- Microsoft 雲端 App 安全性
- Microsoft 安全性暴露風險管理
- 適用於雲端的 Microsoft Defender
- Microsoft 安全性 Copilot
- Microsoft Entra ID Protection