Интеграция с компонентами безопасности Microsoft XDR с помощью Microsoft Sentinel

В этой статье описана серия, посвященная интеграции служб безопасности в ИТ-среду для защиты систем и ресурсов как локальной, так и в облаке. Корпорация Майкрософт предлагает различные службы безопасности, предназначенные для мониторинга и защиты систем и данных организации. В рамках этой серии вы узнаете, как включить эти службы в ИТ-среду, чтобы повысить общую безопасность.

Корпорация Майкрософт предоставляет обширную документацию и эталонные архитектуры для ИТ-безопасности. Например, вы можете изучить основные понятия нулевого доверия, понять, как службы XDR в Microsoft Defender защищают среду Office, а также получить доступ к архитектурным конструкциям, используюющим различные службы безопасности из Microsoft Azure Cloud. Вы можете найти компиляцию различных эталонных архитектур, ориентированных на безопасность, в эталонных архитектурах Microsoft Cybersecurity.

Архитектура в этой серии

Это первая статья в серии из пяти, которая предоставляет структурированный и логический подход к пониманию и интеграции решений безопасности, доступных через общедоступное облако Microsoft Azure и службы Microsoft 365. В этой первоначальной статье вы найдете обзор серии с кратким описанием содержимого архитектуры и его разработки. В последующих статьях подробно рассматриваются все компоненты.

В этой серии подробно описаны стратегии защиты, которые можно создать с помощью этих служб облачной безопасности Майкрософт:

• Службы безопасности Azure
• Службы XDR в Microsoft Defender
• Службы Azure Monitor, включая Microsoft Sentinel и Log Analytics

Диаграммы

В этой серии статей используются архитектурные схемы, чтобы объяснить, как службы безопасности Майкрософт работают вместе. Схема в этой статье является окончательной ссылкой на архитектуру для этой серии, и она представляет всю картину.

Чтобы сделать архитектуру более комплексной, она была разработана для слоя на архитектуру типичной гибридной ИТ-среды, которая во многих компаниях имеет три уровня:

• Локальные службы, такие как частный центр обработки данных
• Службы Office 365, предоставляющие Приложение Office Майкрософт
• Общедоступные облачные службы Azure, включая серверы, хранилище и службы удостоверений

Скачайте файл Visio для этой архитектуры.

©2021 г. Корпорация MITRE. Эта работа воспроизводится и распространяется с разрешением корпорации MITRE.

В нижней части схемы находится слой, представляющий некоторые из наиболее знакомых методов атаки в соответствии с матрицей MITRE ATT&CK (MITRE ATT&CK® и тактика, связанная с синим текстом). С точки зрения угроз вредоносные субъекты развивались с новыми технологиями и сценариями, особенно общедоступными и гибридными облаками.

Статьи

Помимо этой вводной статьи, эта серия содержит следующие статьи:

• Сопоставление угроз с ИТ-средой

  Вторая статья в этой серии описывает, как можно использовать эту архитектурную ссылку с другим набором тактики и методов или с различными методологиями, такими как Cyber Kill Chain®, платформу, разработанную Lockheed Martin.

• Создание первого уровня защиты с помощью служб безопасности Azure

  В третьей статье этой серии подробно рассматриваются службы безопасности облачных служб Майкрософт. В нем описывается защита служб Azure, таких как виртуальные машины, хранилище, сеть, приложение, база данных и другие службы Azure.

• Создание второго уровня защиты с помощью служб безопасности XDR в Microsoft Defender

  В четвертой статье этой серии рассматривается безопасность служб Microsoft 365, таких как Office 365, Teams и OneDrive, предоставляемых службами XDR в Microsoft Defender.

• Интеграция служб безопасности XDR в Azure и Microsoft Defender

  В пятой статье этой серии объясняется связь между службами безопасности Azure и XDR в Microsoft Defender и их интеграцией. В нем описывается, как работает интеграция и как ее можно выполнить с помощью Microsoft Sentinel и Log Analytics, которые отображаются в левой части схемы архитектуры. Эта серия вызывает эти основные службы мониторинга, так как службы, отображаемые на графе, могут работать с комплексными службами Azure и Microsoft 365.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участниками.

Автор субъекта:

• Руднеи Оливейра | Старший инженер по безопасности Azure

Другие участники:

• Гэри Мур | Программист или писатель
• Эндрю Натан | Старший менеджер по проектированию клиентов

Следующие шаги

Этот документ относится к некоторым службам, технологиям и терминологии. Дополнительные сведения о них можно найти в следующих ресурсах:

• Что такое общедоступные, частные и гибридные облака?
• Обзор Azure Security Benchmark (v3)
• Профилактический подход к безопасности на основе модели "Никому не доверяй"
• Сведения о подписке Microsoft 365
• Microsoft Defender XDR
• MITRE ATT&CK®
• Кибер-убить цепочку® из Lockheed Мартин
• Что такое Microsoft Sentinel?
• Обзор Log Analytics в Azure Monitor

Связанные ресурсы

Дополнительные сведения об этой эталонной архитектуре см. в других статьях этой серии:

• Часть 2. Сопоставление угроз с ИТ-средой
• Часть 3. Создание первого уровня защиты с помощью служб безопасности Azure
• Часть 4. Создание второго уровня защиты с помощью служб безопасности XDR в Microsoft Defender
• Часть 5. Интеграция служб безопасности XDR в Azure и Microsoft Defender