Implementowanie usług Microsoft Sentinel i Microsoft Defender XDR for Zero Trust
Ten przewodnik po rozwiązaniu przeprowadzi cię przez proces konfigurowania narzędzi do wykrywania rozszerzonego i reagowania firmy Microsoft (XDR) wraz z usługą Microsoft Sentinel w celu przyspieszenia możliwości reagowania na ataki cyberbezpieczeństwa i korygowania ich.
Usługa Microsoft Defender XDR to rozwiązanie XDR, które automatycznie zbiera, koreluje i analizuje dane sygnałów, zagrożeń i alertów z całego środowiska platformy Microsoft 365.
Microsoft Sentinel to rozwiązanie natywne dla chmury, które zapewnia funkcje zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM, security orchestration, automation, and response, SOAR). Razem usługi Microsoft Sentinel i Microsoft Defender XDR zapewniają kompleksowe rozwiązanie ułatwiające organizacjom obronę przed nowoczesnymi atakami.
Te wskazówki ułatwiają dojrzałość architektury zero trust przez mapowanie zasad zero trust w następujący sposób.
| Zasada zerowego zaufania | Met by |
|---|---|
| Jawną weryfikację | Usługa Microsoft Sentinel zbiera dane z całego środowiska i analizuje zagrożenia i anomalie, dzięki czemu organizacja i wszelkie zaimplementowane automatyzacje mogą działać na podstawie wszystkich dostępnych i zweryfikowanych punktów danych. Usługa Microsoft Defender XDR zapewnia rozszerzone wykrywanie i reagowanie między użytkownikami, tożsamościami, urządzeniami, aplikacjami i wiadomościami e-mail. Skonfiguruj automatyzację usługi Microsoft Sentinel, aby używać sygnałów opartych na ryzyku przechwyconych przez usługę Microsoft Defender XDR do podjęcia działań, takich jak blokowanie lub autoryzowanie ruchu na podstawie poziomu ryzyka. |
| Używanie dostępu z jak najmniejszą liczbą uprawnień | Usługa Microsoft Sentinel wykrywa nietypowe działania za pośrednictwem aparatu analizy behawioralnej jednostek użytkowników (UEBA). Ponieważ scenariusze zabezpieczeń mogą ulec zmianie w czasie i często bardzo szybko, analiza zagrożeń firmy Microsoft Sentinel importuje również dane firmy Microsoft lub dostawców innych firm w celu wykrywania nowych, pojawiających się zagrożeń i zapewnienia dodatkowego kontekstu do badań. Usługa Microsoft Defender XDR ma Ochrona tożsamości Microsoft Entra, które mogą blokować użytkowników na podstawie poziomu ryzyka związanego z tożsamością. Przekaż wszelkie powiązane dane do usługi Microsoft Sentinel w celu dalszej analizy i automatyzacji. |
| Przyjmij naruszenie | Usługa Microsoft Defender XDR stale skanuje środowisko pod kątem zagrożeń i luk w zabezpieczeniach. Usługa Microsoft Sentinel analizuje zebrane dane i trendy behawioralne każdej jednostki w celu wykrywania podejrzanych działań, anomalii i zagrożeń wieloetapowych w przedsiębiorstwie. Zarówno usługi Microsoft Defender XDR, jak i Microsoft Sentinel mogą implementować automatyczne zadania korygowania, w tym zautomatyzowane badania, izolację urządzeń i kwarantannę danych. Ryzyko urządzenia może służyć jako sygnał do uwzględnienia dostępu warunkowego firmy Microsoft Entra. |
Architektura usługi Microsoft Sentinel i XDR
Klienci usługi Microsoft Sentinel mogą korzystać z jednej z następujących metod integracji usługi Microsoft Sentinel z usługami XDR w usłudze Microsoft Defender:
Łączniki danych usługi Microsoft Sentinel umożliwiają pozyskiwanie danych usługi Microsoft Defender XDR do usługi Microsoft Sentinel. W takim przypadku wyświetl dane usługi Microsoft Sentinel w witrynie Azure Portal.
Integrowanie usług Microsoft Sentinel i Microsoft Defender XDR z jedną, ujednoliconą platformą operacji zabezpieczeń w portalu usługi Microsoft Defender. W takim przypadku wyświetl dane usługi Microsoft Sentinel bezpośrednio w portalu usługi Microsoft Defender, a pozostałe zdarzenia, alerty, luki w zabezpieczeniach i inne dane zabezpieczeń.
Ten przewodnik po rozwiązaniu zawiera informacje dotyczące obu metod. W tym przewodniku po rozwiązaniu wybierz kartę odpowiednią dla obszaru roboczego. Jeśli obszar roboczy został dołączony do ujednoliconej platformy operacji zabezpieczeń, pracujesz w portalu usługi Defender. Jeśli nie dołączono obszaru roboczego, pracuj w witrynie Azure Portal, chyba że wskazano inaczej.
Na poniższej ilustracji pokazano, jak rozwiązanie XDR firmy Microsoft bezproblemowo integruje się z usługą Microsoft Sentinel z ujednoliconą platformą operacji zabezpieczeń.
Na tym diagramie:
- Szczegółowe informacje z sygnałów w całej organizacji są wprowadzane do usługi Microsoft Defender XDR i Microsoft Defender dla Chmury.
- Usługa Microsoft Sentinel zapewnia obsługę środowisk wielochmurowych i integruje się z aplikacjami i partnerami innych firm.
- Dane usługi Microsoft Sentinel są pozyskiwane wraz z danymi organizacji w portalu usługi Microsoft Defender.
- Zespoły SecOps mogą następnie analizować zagrożenia identyfikowane przez usługi Microsoft Sentinel i Microsoft Defender XDR i reagować na nie w portalu usługi Microsoft Defender.
Implementowanie usług Microsoft Sentinel i Microsoft Defender XDR for Zero Trust
Microsoft Defender XDR to rozwiązanie XDR, które uzupełnia usługę Microsoft Sentinel. Funkcja XDR pobiera nieprzetworzone dane telemetryczne z wielu usług, takich jak aplikacje w chmurze, zabezpieczenia poczty e-mail, tożsamość i zarządzanie dostępem.
Korzystając ze sztucznej inteligencji (AI) i uczenia maszynowego, XDR wykonuje automatyczną analizę, badanie i reagowanie w czasie rzeczywistym. Rozwiązanie XDR koreluje również alerty zabezpieczeń z większymi zdarzeniami, zapewniając zespołom ds. zabezpieczeń lepszy wgląd w ataki i zapewnia priorytetyzację zdarzeń, pomagając analitykom zrozumieć poziom ryzyka zagrożenia.
Dzięki usłudze Microsoft Sentinel można łączyć się z wieloma źródłami zabezpieczeń przy użyciu wbudowanych łączników i standardów branżowych. Dzięki sztucznej inteligencji można skorelować wiele sygnałów o niskiej wierności obejmujących wiele źródeł, aby utworzyć pełny widok łańcucha zabić oprogramowania wymuszającego okup i priorytetowych alertów.
Stosowanie funkcji SIEM i XDR
W tej sekcji przyjrzymy się typowemu scenariuszowi ataku obejmującemu atak wyłudzania informacji, a następnie przejdziemy do sposobu reagowania na zdarzenie za pomocą usług Microsoft Sentinel i Microsoft Defender XDR.
Typowa kolejność ataków
Na poniższym diagramie przedstawiono typową kolejność ataków scenariusza wyłudzania informacji.
Na diagramie przedstawiono również produkty zabezpieczeń firmy Microsoft w celu wykrycia każdego kroku ataku oraz sposobu, w jaki sygnały ataku i przepływ danych SIEM do usług Microsoft Defender XDR i Microsoft Sentinel.
Oto podsumowanie ataku.
| Krok ataku | Usługa wykrywania i źródło sygnału | Obrona na miejscu |
|---|---|---|
| 1. Osoba atakująca wysyła wiadomość e-mail wyłudzających informacje | Microsoft Defender dla usługi Office 365 | Chroni skrzynki pocztowe za pomocą zaawansowanych funkcji ochrony przed wyłudzaniem informacji, które mogą chronić przed złośliwymi atakami wyłudzającymi informacje. |
| 2. Użytkownik otwiera załącznik | Microsoft Defender dla usługi Office 365 | Funkcja Ochrona usługi Office 365 w usłudze Microsoft Defender Bezpieczne załączniki otwiera załączniki w izolowanym środowisku w celu bardziej skanowania zagrożeń (detonacji). |
| 3. Załącznik instaluje złośliwe oprogramowanie | Usługa Microsoft Defender dla punktu końcowego | Chroni punkty końcowe przed złośliwym oprogramowaniem za pomocą funkcji ochrony nowej generacji, takich jak ochrona dostarczana przez chmurę i ochrona antywirusowa oparta na zachowaniu/heurystyczna/w czasie rzeczywistym. |
| 4. Złośliwe oprogramowanie kradnie poświadczenia użytkownika | Microsoft Entra ID i Ochrona tożsamości Microsoft Entra | Chroni tożsamości przez monitorowanie zachowania i działań użytkownika, wykrywanie ruchu bocznego i zgłaszanie alertów dotyczących nietypowych działań. |
| 5. Osoba atakująca przechodzi później między aplikacjami i danymi platformy Microsoft 365 | Microsoft Defender for Cloud Apps | Może wykrywać nietypowe działania użytkowników, którzy uzyskują dostęp do aplikacji w chmurze. |
| 6. Osoba atakująca pobiera poufne pliki z folderu programu SharePoint | Microsoft Defender for Cloud Apps | Może wykrywać zdarzenia masowego pobierania plików z programu SharePoint i reagować na nie. |
Jeśli obszar roboczy usługi Microsoft Sentinel został dołączony do ujednoliconej platformy operacji zabezpieczeń, dane rozwiązania SIEM są dostępne w usłudze Microsoft Sentinel bezpośrednio w portalu usługi Microsoft Defender.
Reagowanie na zdarzenia przy użyciu usług Microsoft Sentinel i Microsoft Defender XDR
Teraz, gdy już zobaczyliśmy, jak występuje typowy atak, przyjrzyjmy się integracji usług Microsoft Sentinel i Microsoft Defender XDR na potrzeby reagowania na zdarzenia.
Wybierz odpowiednią kartę obszaru roboczego w zależności od tego, czy obszar roboczy został dołączony do ujednoliconej platformy operacji zabezpieczeń.
Po zintegrowaniu usług Microsoft Sentinel i Microsoft Defender XDR przez dołączanie obszaru roboczego do ujednoliconej platformy operacji zabezpieczeń należy wykonać wszystkie kroki reagowania na zdarzenia bezpośrednio w portalu usługi Microsoft Defender, tak jak w przypadku innych zdarzeń usługi Microsoft Defender XDR. Obsługiwane kroki obejmują wszystko, od klasyfikacji po badanie i rozwiązywanie problemów.
Użyj obszaru Usługi Microsoft Sentinel w portalu usługi Microsoft Defender, aby funkcje niedostępne w portalu usługi Defender.
Aby uzyskać więcej informacji, zobacz Reagowanie na zdarzenie przy użyciu usług Microsoft Sentinel i Microsoft Defender XDR.
Najważniejsze możliwości
Aby zaimplementować podejście zerowe zaufanie do zarządzania zdarzeniami, użyj tych funkcji usługi Microsoft Sentinel i XDR.
| Możliwość lub funkcja | opis | Rezultat |
|---|---|---|
| Zautomatyzowane badanie i reagowanie (AIR) | Funkcje funkcji AIR są przeznaczone do sprawdzania alertów i podjęcia natychmiastowych działań w celu rozwiązania naruszeń. Możliwości funkcji AIR znacznie zmniejszają liczbę alertów, umożliwiając operacjom zabezpieczeń skupienie się na bardziej zaawansowanych zagrożeniach i innych inicjatywach o wysokiej wartości. | Microsoft Defender XDR |
| Zaawansowane wyszukiwanie zagrożeń | Zaawansowane wyszukiwanie zagrożeń to narzędzie do wyszukiwania zagrożeń oparte na zapytaniach, które umożliwia eksplorowanie do 30 dni nieprzetworzonych danych. Możesz aktywnie sprawdzać zdarzenia w sieci, aby zlokalizować wskaźniki zagrożeń i jednostki. Elastyczny dostęp do danych umożliwia nieograniczone wyszukiwanie zagrożeń zarówno dla znanych, jak i potencjalnych zagrożeń. | Microsoft Defender XDR |
| Niestandardowe wskaźniki plików | Zapobiegaj dalszemu propagowaniu ataku w organizacji, zakazując potencjalnie złośliwych plików lub podejrzanego złośliwego oprogramowania. | Microsoft Defender XDR |
| Odnajdywanie w chmurze | Usługa Cloud Discovery analizuje dzienniki ruchu zebrane przez usługę Defender for Endpoint i ocenia zidentyfikowane aplikacje względem katalogu aplikacji w chmurze w celu zapewnienia zgodności i informacji o zabezpieczeniach. | Microsoft Defender for Cloud Apps |
| Niestandardowe wskaźniki sieciowe | Tworząc wskaźniki dla adresów IP i adresów URL lub domen, można teraz zezwalać na adresy IP, adresy URL lub domeny lub blokować je na podstawie własnej analizy zagrożeń. | Microsoft Defender XDR |
| Blok wykrywania i reagowania na punkty końcowe (EDR) | Zapewnia dodatkową ochronę przed złośliwymi artefaktami, gdy Program antywirusowy Microsoft Defender (MDAV) nie jest podstawowym produktem antywirusowym i działa w trybie pasywnym. Funkcja EDR w trybie bloku działa w tle w celu skorygowania złośliwych artefaktów, które zostały wykryte przez funkcje EDR. | Microsoft Defender XDR |
| Możliwości odpowiedzi urządzenia | Szybkie reagowanie na wykryte ataki przez izolowanie urządzeń lub zbieranie pakietu badania | Microsoft Defender XDR |
| Odpowiedź na żywo | Odpowiedź na żywo zapewnia zespołom ds. operacji zabezpieczeń natychmiastowy dostęp do urządzenia (nazywanego również maszyną) przy użyciu połączenia zdalnej powłoki. Daje to możliwość wykonywania dogłębnej pracy śledczej i podjęcia natychmiastowych działań reagowania, aby szybko zawierać zidentyfikowane zagrożenia w czasie rzeczywistym. | Microsoft Defender XDR |
| Zabezpieczanie aplikacji w chmurze | Rozwiązanie do tworzenia operacji zabezpieczeń (DevSecOps), które łączy zarządzanie zabezpieczeniami na poziomie kodu w środowiskach wielochmurowych i wielu potoków. | Microsoft Defender for Cloud |
| Zwiększanie poziomu zabezpieczeń | Rozwiązanie do zarządzania stanem zabezpieczeń w chmurze (CSPM), które zawiera akcje, które można wykonać, aby zapobiec naruszeniom. | Microsoft Defender for Cloud |
| Ochrona obciążeń w chmurze | Platforma ochrony obciążeń w chmurze (CWPP) z określonymi zabezpieczeniami serwerów, kontenerów, magazynu, baz danych i innych obciążeń. | Microsoft Defender for Cloud |
| Analiza behawioralna użytkowników i jednostek (UEBA) | Analizuje zachowanie jednostek organizacji, takich jak użytkownicy, hosty, adresy IP i aplikacje) | Microsoft Sentinel W przypadku dołączonych obszarów roboczych usługa Microsoft Sentinel na ujednoliconej platformie operacji zabezpieczeń |
| Łączenie | Aparat korelacji oparty na skalowalnych algorytmach uczenia maszynowego. Automatycznie wykrywa ataki wieloetapowe znane również jako zaawansowane trwałe zagrożenia (APT), identyfikując kombinacje nietypowych zachowań i podejrzanych działań obserwowanych na różnych etapach łańcucha zabić. | Microsoft Sentinel W przypadku dołączonych obszarów roboczych usługa Microsoft Sentinel na ujednoliconej platformie operacji zabezpieczeń |
| Analiza zagrożeń | Użyj dostawców innych firm firmy Microsoft, aby wzbogacić dane w celu zapewnienia dodatkowego kontekstu działań, alertów i dzienników w środowisku. | Microsoft Sentinel W przypadku dołączonych obszarów roboczych usługa Microsoft Sentinel na ujednoliconej platformie operacji zabezpieczeń |
| Automatyzacja | Reguły automatyzacji to sposób centralnego zarządzania automatyzacją za pomocą usługi Microsoft Sentinel, umożliwiając definiowanie i koordynowanie małego zestawu reguł, które mogą być stosowane w różnych scenariuszach. | Microsoft Sentinel W przypadku dołączonych obszarów roboczych usługa Microsoft Sentinel na ujednoliconej platformie operacji zabezpieczeń |
| Reguły anomalii | Szablony reguł anomalii używają uczenia maszynowego do wykrywania określonych typów nietypowych zachowań. | Microsoft Sentinel W przypadku dołączonych obszarów roboczych usługa Microsoft Sentinel na ujednoliconej platformie operacji zabezpieczeń |
| Zaplanowane zapytania | Wbudowane reguły napisane przez ekspertów ds. zabezpieczeń firmy Microsoft, które wyszukują dzienniki zebrane przez usługę Sentinel pod kątem podejrzanych łańcuchów aktywności, znanych zagrożeń. | Microsoft Sentinel W przypadku dołączonych obszarów roboczych usługa Microsoft Sentinel na ujednoliconej platformie operacji zabezpieczeń |
| Reguły niemal w czasie rzeczywistym (NRT) | Reguły NRT są ograniczonym zestawem zaplanowanych reguł, zaprojektowanych do uruchamiania raz na minutę, aby dostarczyć informacje tak do minuty, jak to możliwe. | Microsoft Sentinel W przypadku dołączonych obszarów roboczych usługa Microsoft Sentinel na ujednoliconej platformie operacji zabezpieczeń |
| Polowanie | Aby ułatwić analitykom zabezpieczeń proaktywne wyszukiwanie nowych anomalii, które nie zostały wykryte przez aplikacje zabezpieczeń, a nawet zgodnie z zaplanowanymi regułami analizy, wbudowane zapytania wyszukiwania zagrożeń w usłudze Microsoft Sentinel prowadzą Cię do zadawania właściwych pytań w celu znalezienia problemów w danych, które już masz w sieci. | Microsoft Sentinel W przypadku dołączonych obszarów roboczych użyj zaawansowanych funkcji wyszukiwania zagrożeń w portalu Microsoft Defender. |
| Łącznik XDR usługi Microsoft Defender | Łącznik XDR usługi Microsoft Defender synchronizuje dzienniki i zdarzenia z usługą Microsoft Sentinel. | Microsoft Defender XDR i Microsoft Sentinel br> W przypadku dołączonych obszarów roboczych usługa Microsoft Sentinel na ujednoliconej platformie operacji zabezpieczeń |
| Łączniki danych | Zezwalaj na pozyskiwanie danych do analizy w usłudze Microsoft Sentinel. | Microsoft Sentinel W przypadku dołączonych obszarów roboczych usługa Microsoft Sentinel na ujednoliconej platformie operacji zabezpieczeń |
| Rozwiązanie centrum zawartości — Zero Trust (TIC 3.0) | Zero Trust (TIC 3.0) zawiera skoroszyt, reguły analizy i podręcznik, który zapewnia zautomatyzowaną wizualizację zasad Zero Trust, cross-walked do platformy Trust Internet Connections, pomagając organizacjom monitorować konfiguracje w czasie. | Microsoft Sentinel W przypadku dołączonych obszarów roboczych usługa Microsoft Sentinel na ujednoliconej platformie operacji zabezpieczeń |
| Orkiestracja zabezpieczeń, automatyzacja i reagowanie (SOAR) | Korzystanie z reguł automatyzacji i podręczników w odpowiedzi na zagrożenia bezpieczeństwa zwiększa efektywność SOC i oszczędza czas i zasoby. | Microsoft Sentinel W przypadku dołączonych obszarów roboczych usługa Microsoft Sentinel na ujednoliconej platformie operacji zabezpieczeń |
| Optymalizacje SOC | Zamknij luki w zakresie określonych zagrożeń i zaostrzyć współczynniki pozyskiwania danych, które nie zapewniają wartości zabezpieczeń. |
Co znajduje się w tym rozwiązaniu
To rozwiązanie umożliwia wykonanie implementacji usług Microsoft Sentinel i XDR, dzięki czemu zespół ds. operacji zabezpieczeń może skutecznie korygować zdarzenia przy użyciu podejścia zero trust.
Zalecane szkolenie
Zawartość szkoleniowa nie obejmuje obecnie ujednoliconej platformy operacji zabezpieczeń.
| Szkolenia | Łączenie usługi Microsoft Defender XDR z usługą Microsoft Sentinel |
|---|---|
|
Dowiedz się więcej o opcjach konfiguracji i danych udostępnianych przez łączniki usługi Microsoft Sentinel dla usługi Microsoft Defender XDR. |
Następne kroki
Wykonaj następujące kroki, aby zaimplementować rozwiązania Microsoft Sentinel i XDR dla podejścia zero trust:
- Konfigurowanie narzędzi XDR
- Tworzenie architektury obszaru roboczego usługi Microsoft Sentinel
- Pozyskiwanie źródeł danych
- Reagowanie na zdarzenie
Zobacz również następujące artykuły dotyczące stosowania zasad zero trust do platformy Azure: