Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender для Office 365
Microsoft Defender для облачных приложений
Microsoft Defender для удостоверений
Microsoft 365
Microsoft Endpoint Manager
Идеи решения
В этой статье описывается идея решения. Это руководство может быть использовано облачным архитектором для визуализации основных компонентов типичной реализации этой архитектуры. Используйте эту статью в качестве отправной точки для разработки хорошо спроектированного решения, которое соответствует конкретным требованиям рабочей нагрузки.
Эта статья — третья из серии из четырёх частей, в которой показано, как можно комбинировать решения Microsoft для обеспечения безопасности, чтобы защитить корпоративную среду от современных угроз, таких как программы-вымогатели.
Сопоставьте угрозы с вашей ИТ-средой — первая статья в серии — описывает, как сопоставить пути атак программ-вымогателей в гибридной среде с использованием фреймворка MITRE ATT&CK. Он также помогает определить, как злоумышленники обычно получают первоначальный доступ, получают привилегии, перемещаются позже и влияют на критически важные ресурсы.
Создание первого уровня защиты с помощью служб безопасности Azure — вторая статья в серии, посвящённая первому уровню защиты до того, как злоумышленники скомпрометируют вашу среду. В ней описывается, как базовые Azure службы безопасности и принципы "Никому не доверяй" сокращают область атаки и предотвращают многие атаки с самого начала.
Эта статья основана на этих базовых подходах к безопасности и представляет второй уровень обороны. Этот уровень применяет механизмы обнаружения и реагирования, которые вы реализуете с помощью Microsoft Defender XDR.
Даже в хорошо спроектированных средах некоторые атаки обходят профилактическое управление. Цель второго уровня защиты заключается в том, чтобы обнаружить вредоносные действия рано, сопоставить сигналы между доменами и обеспечить быстрое сдерживание и реагирование до того, как атака может превратиться в инцидент программы-шантажистов.
Defender XDR обеспечивает единый уровень обнаружения и реагирования, который сопоставляет сигналы безопасности из идентификационных данных, конечных точек, электронной почты, облачных приложений и инфраструктуры для обнаружения и локализации сложных угроз, обходящих средства предотвращения.
Architecture
В этой архитектуре показана гибридная корпоративная среда, состоящая из локальной инфраструктуры, служб Microsoft 365, рабочих нагрузок Azure и конечных точек пользователей. Defender XDR логически находится над этими уровнями и собирает данные телеметрии из Microsoft Defender для конечной точки, Microsoft Defender для удостоверений, Microsoft Defender для Office 365 Microsoft Defender for Cloud Apps и Управление уязвимостями Microsoft Defender. Он сопоставляет сигналы в унифицированные инциденты, чтобы автоматизировать исследования и реагирование. Интеграция с Microsoft Sentinel обеспечивает централизованную информацию безопасности и управление событиями (SIEM) и оркестрацию безопасности, автоматизацию и реагирование (SOAR) для расширенной аналитики и оркестрации.
Этот образ включает понятия и терминологию из платформы MITRE ATT&CK®, разработанной корпорацией MITRE. ATT&CK® является зарегистрированным товарным знаком корпорации MITRE.
Скачайте файл Visio для этой архитектуры.
Рабочий процесс
Следующий рабочий процесс соответствует предыдущей схеме:
Пользователь взаимодействует с электронной почтой, приложениями или конечными точками, защищенными базовыми профилактическими элементами управления, определенными на первом уровне защиты.
Фишинговая атака или вредоносная нагрузка обходят средства предотвращения и попадают в почтовый ящик пользователя или на конечное устройство.
Defender для Office 365 анализирует содержимое электронной почты и обнаруживает подозрительные ссылки или вложения.
Defender для конечных точек отслеживает поведение конечных точек и выявляет выполнение вредоносных процессов или активность бокового перемещения.
Defender for Identity анализирует трафик аутентификации и обнаруживает аномальное поведение в Active Directory, например кражу учетных данных или повышение привилегий.
Defender for Cloud Apps обнаруживает аномальное программное обеспечение как услуга (SaaS) или рискованное использование приложений OAuth.
Defender XDR сопоставляет все сигналы в один инцидент, представляющий всю цепочку атак.
Автоматические исследования и действия реагирования активируются для сдерживания угрозы. К этим действиям относятся изоляция устройств, инактивация учетной записи или блоки вредоносных индикаторов.
Группы безопасности расследуют и исправляют инцидент с помощью унифицированных рабочих процессов Defender XDR или перенаправляют данные в Microsoft Sentinel для расширенной аналитики и оркестрации.
Components
Defender XDR — это единая платформа расширенного обнаружения и реагирования, которая сопоставляет сигналы в нескольких доменах безопасности. В этой архитектуре она обеспечивает централизованную видимость, корреляцию инцидентов и автоматические ответы в среде.
Defender для конечных точек — это платформа для защиты конечных точек, которая обеспечивает обнаружение и реагирование на конечных точках, снижение площади атаки и анализ уязвимостей. В этой архитектуре он обнаруживает вредоносное поведение на пользовательских устройствах и серверах и применяет действия сдерживания во время активных атак.
Defender for Identity — это служба, которая отслеживает сигналы локальной Active Directory для обнаружения атак, связанных с удостоверениями пользователей. В рамках этой архитектуры она выявляет латеральное перемещение, кражу учетных данных и попытки повышения привилегий, которые обычно используются в кампаниях с использованием программ-вымогателей.
Defender для Office 365 — это служба, которая помогает защитить рабочие нагрузки электронной почты и совместной работы от фишинга и вредоносных программ. В этой архитектуре он обнаруживает и исследует векторы начального доступа на основе вредоносных сообщений электронной почты.
Defender for Cloud Apps — это служба, которая обеспечивает видимость и контроль над приложениями SaaS. В этой архитектуре он обнаруживает скомпрометированные облачные удостоверения, аномальное поведение приложения и попытки кражи данных.
Управление уязвимостями Defender — это служба, которая постоянно оценивает уязвимости конечных точек и неправильные конфигурации. В этой архитектуре это помогает сократить поверхность атаки, доступную для эксплуатации, как до, так и после компрометации.
Microsoft Sentinel — это облачное решение SIEM и SOAR. В этой архитектуре при необходимости агрегируются инциденты Defender XDR для долгосрочного хранения, расширенного поиска угроз и оркестрации.
Сведения о сценарии
В этом сценарии основное внимание уделяется обнаружению и реагированию на атаки программ-шантажистов, которые обходят профилактическое управление безопасностью.
Сопоставление угроз с вашей ИТ-средой описывает, как сопоставлять угрозы, связанные с программами-вымогателями, в гибридной корпоративной среде с помощью матрицы MITRE ATT&CK. Создание первого рубежа защиты с помощью служб безопасности Azure рассматривает, как базовые службы безопасности Azure и принципы "Никому не доверяй" снижают вероятность успешности этих атак.
В этой статье предполагается, что некоторые атаки успешно выполнены. Он фокусируется на следующих задачах, чтобы свести к минимуму их влияние:
- Раннее обнаружение поведения злоумышленников
- Корреляция сигналов между несколькими доменами безопасности
- Сокращение времени ожидания злоумышленника
- Защита от угроз до широко распространенного шифрования или кражи данных
Defender XDR определяет шаблоны поведения, а не только известные сигнатуры вредоносных программ. Этот дизайн делает его эффективным против современных операторов программ-шантажистов, которые полагаются на методы жизни вне земли и законные инструменты.
Потенциальные варианты использования
Эта архитектура применяется к нескольким отраслям и сценариям, включая следующие примеры:
Финансовый сектор: Обнаружение кражи учетных данных и горизонтального перемещения в регулируемых средах
Здравоохранение: Защитите конфиденциальные персональные данные от сбоев, вызванных программами-вымогателями
Производство: Предотвратить сбои в работе из-за скомпрометированных конечных точек
Правительство: Выявляйте атаки на основе учетных данных и методы, используемые государственными субъектами
Розничная торговля и электронная коммерция: Определение компрометации фишинговых учетных записей
Обучение: Отслеживайте высокообъемную активность учетных данных и конечных точек
Другие вопросы
Microsoft Purview играет важную роль в общей стратегии защиты и управления данными организации. Microsoft Purview предоставляет такие возможности, как обнаружение и классификация данных, метка конфиденциальности, защита от потери данных (DLP), управление внутренними рисками и аудит в Microsoft 365, Azure и многооблачных средах. Эти возможности важны для защиты конфиденциальной информации и удовлетворения нормативных требований и соответствия требованиям, особенно в сценариях программ-шантажистов, которые включают кражу данных и вымогательство.
Схема архитектуры в этой статье включает Microsoft Purview, поскольку этот продукт играет важную роль в комплексной стратегии безопасности. Однако управление данными и соответствие требованиям не входят в область действия этой серии статей.
Microsoft Entra ID Premium и Условный доступ Microsoft Entra также являются основой для защиты идентификации в облачных средах. Используйте Microsoft Entra ID Premium для расширенных возможностей безопасности удостоверений, таких как условный доступ на основе рисков, защита идентификации, управление привилегированными удостоверениями (PIM) и непрерывная оценка доступа для облачных и приложений SaaS. Эти элементы управления сосредоточены на облачных удостоверениях и принудительном применении доступа.
Напротив, Defender for Identity сосредоточен на обнаружении угроз, связанных с удостоверениями, в локальной Active Directory, включая кражу учетных данных, горизонтальное перемещение и методы захвата домена. И Microsoft Entra ID Premium, и Defender for Identity показаны на схеме архитектуры, чтобы показать сквозной охват идентификационных данных в гибридных средах. Однако детальная разработка модели управления учетными записями и политик доступа не рассматривается в этой серии статей, которая посвящена моделированию угроз, связанных с программами-вымогателями, и многоуровневой архитектуре защиты.
Соавторы
Корпорация Майкрософт поддерживает эту статью. Следующие авторы написали эту статью.
Основной автор:
- Руднеи Оливейра | Старший инженер клиента
Другие участники:
- Гэри Мур | Программист или писатель
- Эндрю Натан | Старший менеджер по проектированию клиентов
Чтобы увидеть непубличные профили в LinkedIn, войдите в LinkedIn.
Дальнейшие действия
- Настройка возможностей автоматического исследования и реагирования в Microsoft Defender XDR
- Интегрируйте Defender XDR с Microsoft Sentinel для получения расширенных возможностей SIEM и SOAR