Поделиться через

Microsoft Defender

  • Статья

"Никому не доверяй"

FastTrack предоставляет исчерпывающие рекомендации по реализации принципов безопасности "Никому не доверяй". Модель нулевого доверия предполагает возможность нарушения защиты и проверяет каждый запрос так же, как если бы он исходил из незащищенной сети. Такой подход обеспечивает надежную безопасность в сетях, приложениях и среде. FastTrack делает это путем сосредоточения внимания на удостоверениях, устройствах, приложениях, данных, инфраструктуре и сетях. С помощью FastTrack вы можете уверенно продвигать процесс безопасности "Никому не доверяй" и эффективно защищать цифровые активы.

С помощью Microsoft Defender можно реализовать принципы "Никому не доверяй", предоставляя расширенные возможности обнаружения и реагирования (XDR). Это включает в себя автоматический сбор, корреляцию и анализ данных сигналов, угроз и оповещений из всей среды Microsoft 365, включая конечные точки, электронную почту, приложения и удостоверения. Интеграция с Microsoft Sentinel позволяет создать комплексное решение для XDR и управления информационной безопасностью и событиями безопасности (SIEM), которое повышает уровень безопасности вашей организации.

Microsoft Defender XDR

Microsoft Defender XDR — это единый набор защиты предприятия до и после нарушения безопасности. Defender XDR изначально координирует обнаружение, предотвращение, исследование и реагирование в конечных точках, удостоверениях, электронной почте и приложениях, обеспечивая интегрированную защиту от изощренных атак.

FastTrack предоставляет удаленные рекомендации для:

  • Обзор портала Microsoft Defender.
    • Предоставление обзора инцидентов между продуктами, в том числе сосредоточение внимания на критически важных событиях путем обеспечения полного область атак, затронутых ресурсов и автоматизированных действий по исправлению, которые сгруппированы.
    • Демонстрация того, как Microsoft Defender XDR может управлять исследованием ресурсов, пользователей, устройств и почтовых ящиков, которые скомпрометируются с помощью автоматического самовосстановления.
    • Объяснение и примеры того, как клиенты могут упреждающе искать попытки вторжения и действия нарушения безопасности, влияющие на электронную почту, данные, устройства и учетные записи в нескольких наборах данных.
    • Показать клиентам, как они могут комплексно проверять и улучшать состояние безопасности с помощью Оценки безопасности Майкрософт.
  • Предоставление рекомендаций по обучению и настройке на единой платформе операций безопасности
    • Подключение рабочей области Sentinel
    • Просмотрите следующие возможности на портале Defender.
      • Поиск
      • Управление угрозами
      • Управление контентом
      • Конфигурация
  • Предоставьте рекомендации по обучению и настройке возможностей Defender XDR атак с нарушением работы.

Примечание.

Для клиентов, подготовленных с помощью единиц вычислений безопасности (SKU), FastTrack предоставляет пошаговое руководство по внедренным Microsoft Copilot в Microsoft Defender интерфейсах в область, описанных в этом разделе.

Вне области поддержки

  • Руководство по развертыванию или обучение по следующим вопросам:
    • Исправление или интерпретация различных типов оповещений и отслеживаемых действий.
    • Как исследовать пользователя, компьютер, путь бокового перемещения или сущность.
    • Пользовательская охота на угрозы.
  • Управление информационной безопасностью и событиями безопасности (SIEM) или интеграция API.
  • Предварительный просмотр функций.

Руководства по расширенному развертыванию Майкрософт

Корпорация Майкрософт предоставляет клиентам технологии и рекомендации по развертыванию служб Безопасности, Microsoft 365, Microsoft Viva и безопасности. Мы рекомендуем нашим клиентам начать развертывание с этих предложений.

Сведения о администраторах, не относящихся к ИТ, см. в статье Настройка Microsoft 365.

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps — это решение для обеспечения безопасности SaaS (программное обеспечение как услуга). Он сочетает в себе управление состоянием безопасности SaaS, защиту от потери данных, защиту от приложений между приложениями и интегрированную защиту от угроз, чтобы обеспечить целостное покрытие ваших приложений. Применяя подход к безопасности SaaS, вы можете легко выявлять неправильные конфигурации. Это улучшает общее состояние приложения, реализует политики для защиты конфиденциальных данных и защищает сценарии "приложение — приложение", чтобы только приложения имели допустимые разрешения на доступ к другим данным приложения. При интеграции с Microsoft Defender XDR такие организации, как ваш, получают преимущество от использования сигнала От SaaS для активной охоты в своих средах и борьбы с инцидентами в своих приложениях, устройствах, удостоверениях и электронной почте.

FastTrack предоставляет удаленные рекомендации для:

  • Настройка портала, в том числе:
    • Импорт групп пользователей.
    • Управление доступом и параметрами администратора.
    • Определение области развертывания для выбора определенных групп пользователей для мониторинга или исключения из мониторинга.
    • Настройка диапазонов IP-адресов и тегов.
    • Персонализация пользовательского интерфейса с логотипом и пользовательскими сообщениями.
  • Интеграция сторонних служб, включая:
    • Microsoft Defender для конечной точки.
    • Microsoft Defender для удостоверений
    • Защита Microsoft Entra ID.
    • Защита информации Microsoft Purview.
  • Настройка облачного обнаружения с помощью:
    • Microsoft Defender для конечных точек.
    • Zscaler.
    • iboss.
  • Создание тегов и категорий приложений.
  • Настройка оценок риска приложений на основе приоритетов вашей организации.
  • Санкционирование и несанкционированное применение приложений.
  • Просмотр панелей мониторинга Defender for Cloud Apps и Cloud Discovery.
  • Включение управления приложениями.
    • Направите клиента на страницу обзора и создайте до пяти (5) политик управления приложениями.
  • Подключение рекомендуемых приложений с помощью соединителей приложений.
  • Защита приложений с помощью управления условным доступом к приложениям в условном доступе на порталах Microsoft Entra ID и Defender for Cloud Apps.
  • Развертывание управления условным доступом к приложениям для избранных приложений.
  • Ознакомьтесь с возможностями управления состоянием безопасности SaaS (SSPM) в статье Рекомендации по оценке безопасности для доступных приложений.
  • Использование журналов действий и файлов.
  • Управление приложениями OAuth.
  • Просмотр и настройка шаблонов политик.
  • Предоставление помощи в настройке в основных вариантах использования SaaS (включая создание или обновление до шести (6) политик).
  • Общие сведения о корреляции инцидентов на портале Microsoft Defender.

Вне области поддержки

  • Обсуждения, сравнивающие Defender for Cloud Apps с другими предложениями безопасности cloud Access Security Broker (CASB) или SaaS.
  • Настройка Defender for Cloud Apps в соответствии с определенными нормативными требованиями.
  • Развертывание службы в непроизводственной тестовой среде.
  • Развертывание Cloud App Discovery в качестве подтверждения концепции.
  • Настройка инфраструктуры, установка или развертывание автоматической отправки журналов для непрерывных отчетов с помощью Docker или сборщика журналов.
  • Создание отчета snapshot Cloud Discovery.
  • Блокировка использования приложений с помощью сценариев блокировки.
  • Добавление пользовательских приложений в Cloud Discovery.
  • Подключение пользовательских приложений с помощью управления условным доступом к приложениям.
  • Подключение и развертывание управления условным доступом к приложениям для любого приложения.
  • Интеграция со сторонними поставщиками удостоверений (IDP) и поставщиками защиты от потери данных (DLP).
  • Учебные курсы или руководства по расширенной охоте.
  • Автоматическое исследование и исправление, включая сборники схем Microsoft Power Automate.
  • Интеграция SIEM или API (включая Microsoft Sentinel).

Руководства по расширенному развертыванию Майкрософт

Корпорация Майкрософт предоставляет клиентам технологии и рекомендации по развертыванию служб Безопасности, Microsoft 365, Microsoft Viva и безопасности. Мы рекомендуем нашим клиентам начать развертывание с этих предложений.

Сведения о администраторах, не относящихся к ИТ, см. в статье Настройка Microsoft 365.

Microsoft Defender для конечной точки

Microsoft Defender для конечной точки — это платформа, предназначенная для того, чтобы помочь корпоративным сетям предотвращать, обнаруживать, исследовать и реагировать на сложные угрозы.

FastTrack предоставляет удаленные рекомендации для:

  • Оценка версии ОС и подхода к управлению устройствами (включая Microsoft Intune, Microsoft Endpoint Configuration Manager, групповая политика и сторонние конфигурации), а также состояние программного обеспечения для обеспечения безопасности конечных точек.
  • Подключение Microsoft Defender для конечной точки P1 и P2 с помощью:
    • Локальный скрипт.
    • групповая политика.
    • Intune.
    • Configuration Manager.
    • Управление параметрами безопасности Defender для конечной точки.
  • Предоставление рекомендуемых рекомендаций по настройке трафика Майкрософт через прокси-серверы и брандмауэры, ограничение сетевого трафика для устройств, которые не могут подключаться напрямую к Интернету.
  • Включение службы Defender для конечной точки путем объяснения того, как развернуть профиль агента обнаружения и реагирования на конечные точки (EDR) с помощью одного из поддерживаемых методов управления.
  • Руководство по развертыванию, помощь по настройке и обучение по следующим вопросам:
    • Основные функции управления уязвимостями.
    • Возможности сокращения направлений атак, в том числе:
      • Правила сокращения направлений атак.
      • Управляемый доступ к папкам.
      • Управление устройствами для съемных носителей.
      • Защита сети.
    • Защита нового поколения.
    • Выявление конечных точек и реагирование на них.
    • Автоматическое исследование и защита.
    • Оценка безопасности для устройств.
    • Microsoft Defender конфигурации SmartScreen с помощью Intune.
    • Обнаружение устройств. 1
  • Просмотр симуляций и учебников (например, сценариев практики, поддельных вредоносных программ и автоматизированных расследований).
  • Общие сведения о функциях создания отчетов и аналитики угроз.
  • Интеграция Microsoft Defender для Office 365, Microsoft Defender для удостоверений и Defender for Cloud Apps с Defender для конечной точки.
  • Выполните пошаговые руководства на портале Microsoft Defender.
  • Подключение и настройка следующих операционных систем:
    • Windows 10/11, включая облачные компьютеры Windows 365.
    • Windows Server 2012 R2. 2
    • Windows Server 2016. 2
    • Windows Server 2019. 2
    • Windows Server 2022. 2
    • Windows Server 2019 Core Edition. 2
    • Поддерживаемые версии macOS.
    • Поддерживаемые дистрибутивы серверов Linux.
    • Андроид. 3
    • iOS. 3

1 Поддерживаются только некоторые аспекты обнаружения устройств. Дополнительные сведения см. в следующем разделе Out of область.

2 Windows Server 2012 R2 и 2016 поддержка ограничена подключением и настройкой единого агента.

3 Дополнительные сведения см. в разделе Вне область сведения о защите от угроз на мобильных устройствах.

Вне области поддержки

  • Руководство по подключению и включению предварительных версий функций.
  • Устранение неполадок, возникающих во время взаимодействия (включая устройства, которые не удалось подключить). FastTrack направляет клиентов на служба поддержки Майкрософт за помощью.
  • Поддержка Microsoft Defender для бизнеса.
  • Подключение к Defender для конечной точки с помощью Azure Arc.
  • Подключение или настройка для следующих агентов Defender для конечной точки:
    • Windows Server 2008.
    • Дистрибутивы Linux, не поддерживаемые Defender для конечной точки.
    • Экземпляры Linux, использующие настраиваемые ядра.
    • подсистема Windows для Linux (WSL).
    • инфраструктура виртуальных рабочих столов (VDI) (постоянный или непостоянный), включая Виртуальный рабочий стол Azure и сторонние решения VDI.
  • Подключение и настройка сервера.
    • Настройка прокси-сервера для автономной связи.
    • Настройка пакетов развертывания Configuration Manager на экземплярах и версиях Configuration Manager нижнего уровня.
    • Серверы, не управляемые с помощью Configuration Manager или управления параметрами безопасности Defender для конечной точки.
    • Интеграция Defender для конечной точки с Microsoft Defender для серверов (Microsoft Defender для облака).
  • Подключение и настройка сервера Linux.
    • Предписывающая помощь с любыми инструментами или продуктами управления системами сторонних производителей (включая разработку связанных с ними файлов конфигурации), включая:
      • Шеф-повар
      • Марионетка.
      • Ansible.
      • Saltstack.
    • FastTrack по возможности ссылается на применимое техническое руководство.
  • Подключение и настройка macOS.
    • Развертывание на основе JAMF.
    • Другое развертывание на основе продукта управления мобильными устройствами (MDM).
    • Развертывание вручную.
  • Подключение и настройка защиты мобильных устройств от угроз (Android и iOS).
    • Неуправляемый перенос собственных устройств (BYOD) или устройств, управляемых другими корпоративными системами управления мобильностью.
    • Настройте политики защиты приложений (например, управление мобильными приложениями (MAM)).
    • Устройства Android, зарегистрированные администратором.
    • Помощь в сосуществовании нескольких профилей VPN.
    • Подключение устройств к Intune. Дополнительные сведения о помощи по подключению см. в разделе Microsoft Intune.
  • Конфигурация следующих возможностей сокращения направлений атак:
    • Аппаратная изоляция приложений и браузеров (включая Application Guard).
    • Управление приложениями, включая AppLocker и управление приложениями в Защитнике Windows.
    • Следующие функции управления устройствами:
      • Ограничения на установку устройств.
      • Защита данных.
      • Хранение.
      • Доступ к съемной памяти переносимых устройств Windows (WPD).
      • Связь.
      • Bluetooth.
      • Защита прямого доступа к памяти (DMA).
    • Защита от эксплойтов.
    • Брандмауэры сети и конечных точек.
  • Настройка или управление функциями защиты учетных записей, такими как:
    • Credential Guard.
    • Членство в локальной группе пользователей.
  • Настройка Или управление BitLocker.

Примечание.

Сведения о помощи BitLocker с Windows 11 см. в разделе Windows 11.

  • Настройка или управление обнаружением сетевых устройств.
  • Настройка или управление следующими возможностями обнаружения устройств:
    • Подключение неуправляемых устройств, не область для FastTrack (например, Linux).
    • Настройка или исправление устройств Интернета вещей (IoT), включая оценку уязвимостей устройств Интернета вещей с помощью Defender для Интернета вещей.
    • Интеграция со сторонними инструментами.
    • Исключения для обнаружения устройств.
    • Предварительная помощь в работе с сетями.
    • Устранение неполадок с сетью.
  • Моделирование атак (включая тестирование на проникновение).
  • Развертывание или конфигурация экспертов Майкрософт по угрозам.
  • Руководство по настройке или обучению подключений API или SIEM.
  • Учебные курсы или руководства по расширенной охоте.
  • Учебные материалы или руководства по использованию или созданию запросов Kusto.
  • Обучение или рекомендации по настройке SmartScreen Defender с использованием объектов групповая политика , Безопасность Windows или Microsoft Edge.
  • надстройка Управление уязвимостями Defender.
  • Управление уязвимостями Defender автономный.

Обратитесь к партнеру Майкрософт за помощью в этих службах.

Руководства по расширенному развертыванию Майкрософт

Корпорация Майкрософт предоставляет клиентам технологии и рекомендации по развертыванию служб Безопасности, Microsoft 365, Microsoft Viva и безопасности. Мы рекомендуем нашим клиентам начать развертывание с этих предложений.

Сведения о администраторах, не относящихся к ИТ, см. в статье Настройка Microsoft 365.

Microsoft Defender для удостоверений

Microsoft Defender для удостоверений — это облачное решение для обеспечения безопасности. Он использует ваши локальные сигналы Active Directory для идентификации, обнаружения и расследования сложных угроз, скомпрометированных удостоверений и злонамеренных внутренних действий, направленных против вашей организации.

FastTrack предоставляет удаленные рекомендации для:

  • Запуск средства определения размера для планирования емкости ресурсов.
  • Создание экземпляра Defender для удостоверений.
  • Настройка сбора событий Windows в доменные службы Active Directory (AD DS), службы федерации Active Directory (AD FS) (AD FS) и службах сертификатов Active Directory (AD CS).
  • Управление доступом администратора с помощью групп ролей.
  • Скачивание, развертывание и настройка датчика на контроллерах домена Active Directory для сред с одним и несколькими лесами.
  • Создание и настройка учетных записей службы каталогов или управление учетными записями действий в Active Directory, включая групповые управляемые учетные записи служб (gMSA).
  • Скачивание, развертывание и настройка датчика на серверах AD FS.
  • Конфигурация портала, в том числе:
    • Добавление тегов к конфиденциальным учетным записям, устройствам или группам.
    • Email уведомления о проблемах работоспособности и оповещениях системы безопасности.
    • Исключения оповещений.
    • Запланированные отчеты.
  • Предоставление рекомендаций по развертыванию, помощь по настройке и обучение по следующим вопросам:
    • Отчеты об оценке состояния безопасности удостоверений в оценке безопасности Майкрософт.
    • Отчеты о рейтинге приоритета исследования пользователей и рейтинге исследования пользователей.
    • Неактивные отчеты пользователей.
    • Параметры исправления в скомпрометированных учетных записях.
  • Упрощение миграции с Advanced Threat Analytics (ATA) в Defender для удостоверений (если применимо).

Вне области поддержки

  • Развертывание Defender для удостоверений в качестве подтверждения концепции.
  • Развертывание или выполнение следующих действий датчика Defender для удостоверений:
    • Планирование емкости вручную.
    • Развертывание автономного датчика.
    • Развертывание единого датчика (в предварительной версии).
    • Развертывание датчика с помощью адаптера объединения сетевой карты (NIC).
    • Развертывание датчика с помощью стороннего средства.
    • Подключение к облачной службе Defender для удостоверений через подключение веб-прокси.
  • Создание и настройка разрешений для базы данных AD FS.
  • Создание учетных записей или устройств honeytokens и управление ими.
  • Включение разрешения сетевых имен (NNR).
  • Включение и настройка контейнера Удаленных объектов.
  • Руководство по развертыванию или обучение по следующим вопросам:
    • Исправление или интерпретация различных типов оповещений и отслеживаемых действий.
    • Исследование пользователя, компьютера, пути бокового смещения или сущности.
    • Угроза или расширенная охота.
    • Реагирование на инциденты.
  • Предоставляет руководство по лаборатории оповещений системы безопасности для Defender для удостоверений.
  • Предоставление уведомлений, когда Defender для удостоверений обнаруживает подозрительные действия, отправляя оповещения системы безопасности на сервер системного журнала через назначенный датчик.
  • Настройка Defender для удостоверений для выполнения запросов с помощью удаленного протокола диспетчера учетных записей безопасности (SAMR) для идентификации локальных администраторов на определенных компьютерах.
  • Настройка решений VPN для добавления сведений из VPN-подключения на страницу профиля пользователя.
  • Интеграция SIEM или API (включая Microsoft Sentinel).

Требования к исходной среде

  • Соответствует предварительным требованиям Defender для удостоверений.
  • Развернуты Active Directory, AD FS и AD CS.
  • Контроллеры домена Active Directory, на которых вы планируете установить датчики Defender для удостоверений, имеют подключение к Интернету к облачной службе Defender для удостоверений.
    • Брандмауэр и прокси-сервер должны быть открыты для связи с облачной службой Defender для удостоверений (*.atp.azure.com порт 443 должен быть открыт).
  • Контроллеры домена, работающие на одном из следующих серверов:
    • Windows Server 2016.
    • Windows Server 2019 с KB4487044 (сборка ОС 17763.316 или более поздней версии).
    • Windows Server 2022.
  • Microsoft платформа .NET Framework 4.7 или более поздней версии.
  • Требуется не менее шести (6) ГБ дискового пространства и рекомендуется 10 ГБ.
  • Два (2) ядра и шесть (6) ГБ ОЗУ, установленные на контроллере домена.

Руководства по расширенному развертыванию Майкрософт

Корпорация Майкрософт предоставляет клиентам технологии и рекомендации по развертыванию служб Безопасности, Microsoft 365, Microsoft Viva и безопасности. Мы рекомендуем нашим клиентам начать развертывание с этих предложений.

Сведения о администраторах, не относящихся к ИТ, см. в статье Настройка Microsoft 365.

Microsoft Defender для Office 365

Microsoft Defender для Office 365 защищает вашу организацию от вредоносных угроз, связанных с сообщениями электронной почты, ссылками (URL-адресами), вложениями и инструментами совместной работы, такими как Microsoft Teams, SharePoint и Outlook. С помощью представлений угроз в режиме реального времени и таких средств, как Обозреватель угроз, вы можете искать потенциальные угрозы и опережать их. Используйте обучение имитации атак для выполнения реалистичных сценариев атак в вашей организации. Эти имитированные атаки помогут вам определить и найти уязвимых пользователей до того, как реальная атака повлияет на вашу прибыль.

FastTrack предоставляет удаленные рекомендации для:

  • Ознакомьтесь с анализатором конфигурации и (или) Defender для Office 365 рекомендуемого анализатора конфигурации (ORCA).
  • Настройка режима оценки.
  • Включение предустановленных политик, безопасных ссылок (включая безопасные документы), безопасных вложений, защиты от вредоносных программ, фишинга, нежелательной почты, защиты от спуфингом, олицетворения и политик карантина.
  • Включение защиты Teams.
  • Настройка параметров сообщений, сообщаемых пользователем.
  • Использование симулятора атак и настройка расширенной политики доставки
  • Обзор отправки списка разрешенных и заблокированных клиентов (TABL), страницы сущностей электронной почты, отчетов, кампаний, обозревателя угроз и аналитики угроз.
  • Обзор автоматизации автоматической очистки нулевого часа (ZAP), а также исследования и реагирования (AIR).
  • Общие сведения о корреляции инцидентов на портале Microsoft Defender.
  • Переход от стороннего поставщика в соответствии с рекомендациями Майкрософт за исключением создания инвентаризации текущих параметров, перемещения функций, изменяющих сообщения, в Microsoft 365 и настройки расширенной фильтрации соединителей.

Вне области поддержки

  • Обсуждения, сравнивающие Defender для Office 365 с другими предложениями безопасности.
  • Развертывание Defender для Office 365 в качестве подтверждения концепции.
  • Анализ потока обработки почты.
  • Улучшенная фильтрация.
  • Учебные курсы или руководства по расширенной охоте.
  • Интеграция с сборниками схем Microsoft Power Automate.
  • Интеграция SIEM или API (включая Microsoft Sentinel).

Требования к исходной среде

Помимо подключения ядра FastTrack, необходимо также настроить Exchange Online.

Руководства по расширенному развертыванию Майкрософт

Корпорация Майкрософт предоставляет клиентам технологии и рекомендации по развертыванию служб Безопасности, Microsoft 365, Microsoft Viva и безопасности. Мы рекомендуем нашим клиентам начать развертывание с этих предложений.

Сведения о администраторах, не относящихся к ИТ, см. в статье Настройка Microsoft 365.

Microsoft Defender для облака

Microsoft Defender для облака — это облачная платформа защиты приложений (CNAPP), которая состоит из мер и методик безопасности, предназначенных для защиты облачных приложений от различных киберугроз и уязвимостей.

При включении Defender для облака вы автоматически получаете доступ к Microsoft Defender XDR. FastTrack улучшает интеграцию между Defender XDR и Defender для облака, помогая улучшить состояние безопасности с помощью Defender для облака Foundation CSPM (управление состоянием облачной безопасности), бесплатной новой функции. FastTrack также помогает расширить защиту облачных рабочих нагрузок, развертывая Microsoft Defender для серверов на устройствах Windows, работающих в Microsoft Azure и локально. Defender для серверов интегрируется с Microsoft Defender для конечной точки для обеспечения обнаружения и реагирования на конечные точки (EDR) и других функций защиты от угроз.

FastTrack предоставляет удаленные рекомендации для:

  • Общие сведения о Defender для облака, в том числе:
    • Рекомендации по предварительному развертыванию.
      • Обеспечение базовой настройки среды и знаний.
      • Определение и реализация иерархии групп управления в среде Azure.
    • Проверка ролей и разрешений.
      • Создание центральной команды, ответственной за отслеживание и обеспечение безопасности в среде Azure.
      • Назначение необходимых разрешений на управление доступом на основе ролей (RBAC) для центральной группы безопасности.
    • Предоставление управления политиками.
      • Назначение и настройка политики Defender для облака по умолчанию.
      • Выбор стандартов для панели мониторинга соответствия требованиям.
      • Обеспечение безопасности ресурсов по умолчанию с помощью политики Azure.
    • Подключение функций Defender для облака для Azure.
      • Включение всех планов Microsoft Defender.
      • Настройка параметров контакта по безопасности и электронной почты.
      • Развертывание необходимых агентов
    • Экспорт данных Defender для облака в Microsoft Sentinel.
  • Развертывание базового CSPM, в том числе:
    • Серверы Windows, работающие в Azure и локальной среде.
    • Рекомендации по безопасности.
    • Инвентаризация активов.
    • Оценка безопасности Майкрософт.
    • Визуализация данных и создание отчетов.
    • Экспорт данных.
    • Автоматизация рабочих процессов.
    • Средства исправления.
    • Microsoft Cloud Security Benchmark (MCSB).
  • Развертывание Defender для серверов P1, включая:
    • Настройка серверов Windows, работающих в Azure и локальной среде.
    • Подготовка Defender для серверов.
    • Подключение к Azure Arc.
    • Подготовка и интеграция Defender для конечной точки.
    • Настройка единого представления.
    • Настройка обнаружения угроз на основе агента на уровне ОС.

Вне области поддержки

  • Подробные сведения о ценах. За дополнительными сведениями обратитесь к команде по учетным записям.
  • Развертывание функций на серверах Linux, работающих в Azure, Amazon Web Services (AWS) и Google Cloud Platform (GCP).
  • Подключение Defender для облака, в том числе:
    • Управление.
      • Просмотр дополнительных данных Defender для облака, которые были загружены в Microsoft Sentinel после включения Defender для серверов P2.
      • Подготовка и развертывание Logic Apps.
      • Развертывание автоматизации рабочих процессов.
      • Экспорт данных для дополнительных отчетов.
      • Экспорт данных Defender для облака в другие решения для управления информационной безопасностью и событиями (SIEM) или службы управления информационными технологиями (ITSM).
      • Настройка правил подавления оповещений.
    • Управление политиками.
      • Обеспечение безопасности ресурсов с помощью Azure Blueprints (предварительная версия), которая будет устарела 11 июля 2026 г.
      • Назначение пользовательских политик.
  • Развертывание Базового CSPM Defender для облака, в том числе:
    • Развертывание возможности сканирования без агента.
    • Управление системой управления.
    • Развертывание панели мониторинга рекомендаций на основе рисков.
    • Просмотр анализа путей атаки.
    • Развертывание возможностей безопасности Azure DevOps.
    • Развертывание состояния безопасности с учетом данных.
  • Развертывание Defender для сервера P2, включая:
    • Настройка серверов Windows, работающих в Azure и локальной среде.
    • Развертывание сканирования без агента для базовых CSPM в Defender для облака и Defender для серверов.
    • Включение мониторинга целостности файлов (FIM) с помощью датчика Defender для конечной точки.
    • Настройка и оптимизация FIM.
    • Настройка JIT-доступа к виртуальной машине.
    • Управление исправлением Диспетчер обновлений Azure для устройств Azure Arc.
    • Управление бесплатным приемом данных с помощью агента Azure Monitor (AMA) для приема журналов.
    • Развертывание надстройки Управление уязвимостями Microsoft Defender.
    • Настройка политики безопасности и соответствия нормативным требованиям.
    • Управление усилением защиты узла Docker.
    • Развертывание сетевой карты.
  • Развертывание любой из следующих Microsoft Defender рабочих нагрузок:
    • Microsoft Defender для хранилища.
    • Microsoft Defender для Resource Manager.
    • Microsoft Defender для Key Vault.
    • Microsoft Defender для Служба приложений.
    • Microsoft Defender api.
    • Microsoft Defender для контейнеров.
    • Управление направлением внешних атак Microsoft Defender (Defender EASM).
    • Microsoft Defender для баз данных.
    • Microsoft Defender для баз данных Azure SQL.
    • Microsoft Defender для серверов SQL на устройствах.
    • Microsoft Defender для реляционных баз данных с открытым кодом (включая Postgre SQL, MySQL и MariaDB).
    • Microsoft Defender для Azure Cosmos DB
  • Развертывание любой из следующих устаревших рабочих нагрузок Microsoft Defender:
    • Microsoft Defender для DNS.
    • Microsoft Defender для Kubernetes.
    • Microsoft Defender для реестров контейнеров.

Примечание.

Если вам нужна дополнительная помощь с удаленными рекомендациями для Defender для облака за пределами текущего область, обратитесь в свою группу по работе с клиентами.

Microsoft Sentinel

Microsoft Sentinel — это масштабируемое облачное решение, которое обеспечивает управление информационной безопасностью и событиями безопасности (SIEM) и оркестрацию безопасности, автоматизацию и реагирование (SOAR). Он предоставляет интеллектуальную аналитику безопасности и аналитику угроз на предприятии. С помощью Microsoft Sentinel вы получаете единое решение для обнаружения атак, видимости угроз, упреждающей охоты и реагирования на угрозы.

Microsoft Sentinel предоставляет представление по всему предприятию, снимая стресс от все более изощренных атак, увеличивая объемы оповещений и длительные временные рамки разрешения.

FastTrack предоставляет удаленные рекомендации для:

  • Общие сведения о предварительных требованиях для развертывания Microsoft Sentinel.
  • Рекомендации и рекомендации по концептуальной архитектуре рабочей области, включая сценарии мультитенантности.*
  • Помощь в определении приоритетов соединителей данных для оптимизации конфигурации Microsoft Sentinel, в том числе:
    • Объяснение преобразования данных и настройки сбора для оптимизации.*
  • Планирование ролей и разрешений.
  • Проведение анализа ожиданий затрат на основе запланированной конфигурации.*
  • Включение службы Microsoft Sentinel.
  • Обсуждение и настройка хранения данных.
  • Настройка соединителей данных, в том числе:
    • Настройка соединителей данных Майкрософт.
    • Демонстрация настройки соединителей данных сторонних производителей.*
    • Изучение ожиданий затрат на прием.*
  • Настройка правил аналитики, включая;
    • Встроенные правила аналитики.
    • Начальный пакет запроса.
    • Дополнительные правила для угроз "Никому не доверяй" и инсайдерских угроз.
    • Правила аналитики поведения сущностей пользователей.
    • Усовершенствования Apache Log4J.
  • Общие сведения о следующем:
    • Оптимизация центра управления безопасностью (SOC).
    • Книг.
    • Списки просмотра.
    • Аналитика поведения пользователей и сущностей (UEBA).
    • Сборники схем приложений логики.
    • Возможности реагирования на инциденты*, симуляции и учебники (такие как практические сценарии, поддельные вредоносные программы и автоматизированные исследования).

*Поддерживается с ограничениями.

Вне области поддержки

  • Моделирование атак (включая тестирование на проникновение).
  • Диагностика угроз и охота на угрозы.
  • Создание и настройка рабочих областей Log Analytics.
  • Устранение неполадок, возникающих во время взаимодействия (включая проблемы с сетью)
  • Настройка сторонних или пользовательских соединителей.
  • Конфигурация преобразования данных.
  • Миграция из Microsoft Monitoring Agent (MMA) в Агент Azure Monitor (AMA).
  • Соревнуйтесь с обсуждениями сторонних решений SIEM и SOAR.
  • Поддержка сторонних конфигураций SIEM и SOAR.
  • Миграция из сторонних решений SIEM и SOAR.
  • Средства синтаксического анализа расширенной информационной модели SIEM (ASIM).
  • Записные книжки Jupyter.
  • решения Azure Synapse и Azure Data Lake.
  • Предварительный просмотр функций.
  • Общий формат событий (CEF) и прием с фильтрацией системного журнала через AMA.

Руководства по расширенному развертыванию Майкрософт

Корпорация Майкрософт предоставляет клиентам технологии и рекомендации по развертыванию служб Безопасности, Microsoft 365, Microsoft Viva и безопасности. Мы рекомендуем нашим клиентам начать развертывание с этих предложений.

Сведения о администраторах, не относящихся к ИТ, см. в статье Настройка Microsoft 365.