Пилотное внедрение и развертывание Microsoft Defender XDR

Область применения:

  • Microsoft Defender XDR

В этой серии статей описывается весь процесс пилотного развертывания компонентов Microsoft Defender XDR в рабочем клиенте, чтобы вы могли оценить их функции и возможности, а затем завершить развертывание в организации.

Решение eXtended обнаружения и реагирования (XDR) является шагом вперед в кибербезопасности, так как оно принимает данные об угрозах из систем, которые когда-то были изолированы, и объединяет их, чтобы вы могли видеть закономерности и реагировать на предполагаемые кибератаки быстрее.

Microsoft Defender XDR:

  • Решение XDR, которое объединяет в одном месте сведения о кибератаках, затрагивающих идентификационные данные, конечные точки, электронную почту и облачные приложения. Он использует искусственный интеллект (ИИ) и автоматизацию для автоматической остановки некоторых типов атак и исправления затронутых ресурсов до безопасного состояния.

  • Это облачная унифицированная система защиты предприятия до и после нарушения безопасности. Она координирует предотвращение, обнаружение, расследование и реагирование для учетных записей, конечных точек, электронной почты, облачных приложений и их данных.

  • Обеспечивает надежную архитектуру "Никому не доверяй", обеспечивая защиту от угроз и их обнаружение. Это помогает предотвратить или уменьшить ущерб, нанесенный бизнесу в результате нарушения. Дополнительные сведения см. в статье Реализация бизнес-сценария защиты от угроз и XDR в платформе внедрения "Никому не доверяй" (Майкрософт).

компоненты и архитектура Microsoft Defender XDR

В этой таблице перечислены компоненты Microsoft Defender XDR.

Компонент Описание Дополнительные сведения
Microsoft Defender для идентификации Использует сигналы из локальных служб доменные службы Active Directory (AD DS) и службы федерации Active Directory (AD FS) (AD FS) для выявления, обнаружения и расследования сложных угроз, скомпрометированных учетных записей и злонамеренных действий внутренних нарушителей, направленных против вашей организации. Что такое Microsoft Defender для удостоверений?
Встроенные функции безопасности для всех облачных почтовых ящиков Собственные облачные ретрансляторы SMTP и службы фильтрации, которые помогают защитить организацию от спама и вредоносных программ. Встроенные функции безопасности для всех облачных почтовых ящиков
Microsoft Defender для Office 365 Защищает вашу организацию от вредоносных угроз, создаваемых сообщениями электронной почты, ссылками (URL-адресами) и средствами совместной работы. Microsoft Defender для Office 365 — Office 365
Microsoft Defender для конечной точки Единая платформа для защиты устройств, обнаружения после нарушения безопасности, автоматического исследования и рекомендуемого реагирования. Microsoft Defender для конечной точки — безопасность Windows
Microsoft Defender для облачных приложений Комплексное решение между SaaS, которое обеспечивает глубокую видимость, надежные средства управления данными и расширенную защиту от угроз в облачных приложениях. Что такое Defender for Cloud Apps?
Защита Microsoft Entra ID Оценивает данные о рисках, полученные на основе миллиардов попыток входа, и использует эти данные для оценки риска каждой попытки входа в ваш тенант. Эти данные используются Microsoft Entra ID для разрешения или запрета доступа к учетной записи в зависимости от того, как настроены политики условного доступа. Защита Microsoft Entra ID отделена от Microsoft Defender XDR и входит в состав Microsoft Entra ID лицензий P2. Что такое защита идентификации?

На этом рисунке показана архитектура и интеграция компонентов Microsoft Defender XDR.

Схема, показывающая высокоуровневую архитектуру Microsoft Defender XDR.

На этой иллюстрации:

  • Microsoft Defender XDR объединяет сигналы от всех компонентов Defender для предоставления XDR в разных доменах. К ним относятся единая очередь инцидентов, автоматическое реагирование на атаки, самовосстановление (для скомпрометированных устройств, удостоверений пользователей и почтовых ящиков), поиск между угрозами и аналитика угроз.
  • Microsoft Defender для Office 365 защищает вашу организацию от угроз, которые могут представлять электронные сообщения, ссылки (URL-адреса) и средства совместной работы. Он передает сигналы, полученные в результате этих действий, с Microsoft Defender XDR. Встроенные функции безопасности для всех облачных почтовых ящиков интегрированы для обеспечения комплексной защиты входящих сообщений электронной почты и вложений.
  • Microsoft Defender для удостоверений собирает сигналы с контроллеров домена AD DS и серверов, на которых выполняются AD FS и AD CS. Эти сигналы используются для защиты гибридной среды идентификации, в том числе для защиты от хакеров, которые используют скомпрометированные учетные записи для бокового перемещения между рабочими станциями в локальной среде.
  • Microsoft Defender для конечной точки собирает сигналы от устройств, управляемых вашей организацией, и защищает их.
  • Microsoft Defender for Cloud Apps собирает сигналы об использовании облачных приложений в организации и защищает данные, передаваемые между ИТ-средой и этими приложениями, включая санкционированные и несанкционированные облачные приложения.
  • Защита Microsoft Entra ID оценивает данные о рисках, полученные на основе миллиардов попыток входа в систему, и использует эти данные, чтобы оценить риск каждого входа в ваш арендатор. Эти данные используются Microsoft Entra ID для разрешения или запрета доступа к учетной записи на основе условий и ограничений политик условного доступа. Защита Microsoft Entra ID отделена от Microsoft Defender XDR и входит в состав Microsoft Entra ID лицензий P2.

Microsoft Defender XDR компоненты и интеграция SIEM

Вы можете интегрировать компоненты Microsoft Defender XDR с Microsoft Sentinel или универсальной службой управления информационной безопасностью и событиями безопасности (SIEM), чтобы обеспечить централизованный мониторинг оповещений и действий из подключенных приложений.

Схема, показывающая интеграцию Microsoft Defender XDR с SIEM.

Microsoft Sentinel — это облачное решение, предоставляющее возможности SIEM и оркестрации безопасности, автоматизации и реагирования (SOAR). Вместе Microsoft Sentinel и Microsoft Defender XDR компоненты предоставляют комплексное решение, помогая организациям защищаться от современных атак.

Microsoft Sentinel включает соединители для Microsoft Defender компонентов. Это позволяет не только получить представление о облачных приложениях, но и получить сложную аналитику для выявления киберугроз и борьбы с ними, а также для управления перемещением данных. Дополнительные сведения см. в статье Общие сведения об интеграции Microsoft Defender XDR и Microsoft Sentinel и шаги по интеграции для Microsoft Sentinel и Microsoft Defender XDR.

Дополнительные сведения о SOAR в Microsoft Sentinel (включая ссылки на сборники схем в репозитории Microsoft Sentinel GitHub) см. в статье Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel.

Сведения об интеграции со сторонними системами SIEM см. в разделе Универсальная интеграция SIEM.

Microsoft Defender XDR и пример атаки на кибербезопасность

На этой схеме показана распространенная кибератака и компоненты Microsoft Defender XDR, которые помогают обнаруживать и устранять ее.

Схема, показывающая различные попытки кибератаки.

Кибератака начинается с фишингового сообщения электронной почты, которое поступает в папку "Входящие" сотрудника в вашей организации, который неосознанно открывает вложение электронной почты. Это вложение устанавливает вредоносную программу, которая может привести к цепочке попыток атак, которые могут привести к краже конфиденциальных данных.

На этом рисунке:

  • Встроенные функции безопасности для всех облачных почтовых ящиков, которые входят в состав Microsoft Defender для Office 365, позволяют обнаруживать фишинговые сообщения электронной почты и использовать правила потока обработки почты Exchange (также известные как правила транспорта), чтобы убедиться, что они никогда не поступают в папку "Входящие" пользователя.
  • Defender для Office 365 использует функцию «Безопасные вложения», чтобы проверить вложение и определить, является ли оно вредоносным, поэтому доставленное сообщение либо не позволяет пользователю выполнять какие-либо действия, либо политики вообще не допускают его доставки.
  • Defender для конечных точек обнаруживает уязвимости устройств и сети, которые в противном случае могли бы быть использованы для атак на устройства, управляемые вашей организацией.
  • Defender for Identity отслеживает внезапные изменения локальных учетных записей пользователей, такие как повышение привилегий или рискованное латеральное перемещение. Он также выявляет уязвимости, связанные с удостоверениями, которые легко эксплуатировать, например неограниченное делегирование Kerberos, чтобы ваша команда безопасности могла их устранить.
  • Microsoft Defender for Cloud Apps обнаруживает аномальное поведение, например невозможное перемещение, доступ к учетным данным, а также необычные действия по скачиванию, обмену файлами или пересылке почты, и сообщает об этом группе безопасности.

Процесс пилотного выполнения и развертывания для Microsoft Defender XDR

Корпорация Майкрософт рекомендует включить компоненты Microsoft 365 Defender в следующем порядке.

Схема, показывающая процесс пилотного выполнения и развертывания для Microsoft Defender XDR.

Этап Ссылка
A. Запуск пилотного проекта Запуск пилотного проекта
Б. Пилотное внедрение и развертывание компонентов Microsoft Defender XDR - Опробуйте и разверните Defender for Identity

- Пилотное развертывание Defender для Office 365

- Пилотное внедрение и развертывание Defender for Endpoint

- Пилотное внедрение и развертывание Microsoft Defender for Cloud Apps
C. Исследование угроз и реагирование на них Практическое исследование инцидентов и реагирование на инциденты

Этот порядок предназначен для быстрого использования ценности возможностей в зависимости от того, сколько усилий обычно требуется для развертывания и настройки возможностей. Например, Defender для Office 365 можно настроить за меньшее время, чем требуется для регистрации устройств в Defender для конечной точки. Определите приоритеты компонентов в соответствии с бизнес-потребностями.

Запуск пилотного проекта

Корпорация Майкрософт рекомендует начать пилотное развертывание в вашей существующей рабочей подписке Microsoft 365, чтобы сразу получить практические данные, а также настроить параметры для защиты от текущих угроз в вашей организации Microsoft 365. После получения опыта и удобства работы с платформой просто расширьте возможности использования каждого компонента по отдельности до полного развертывания.

Альтернативой является настройка Microsoft Defender XDR тестовой лабораторной среды. Однако в этой среде не будут отображаться реальные сведения о кибербезопасности, такие как угрозы или атаки на рабочий клиент Microsoft 365 во время пилотного запуска, и вы не сможете переместить параметры безопасности из этой среды в рабочий клиент.

Использование Microsoft 365 E5 пробных лицензий

Если у вас нет Microsoft 365 E5 и вы хотите воспользоваться преимуществами Microsoft 365 E5 пробных лицензий для пилотного проекта:

  1. Войдите на существующий портал администрирования клиента Microsoft 365.

  2. Выберите Покупка услуг в навигационном меню.

  3. В разделе Office 365 выберите Сведения в разделе лицензии Office 365 E5.

    Снимок экрана: кнопка

  4. Выберите Начать бесплатную пробную версию.

    Снимок экрана: кнопка

  5. Подтвердите запрос и нажмите кнопку Попробовать.

    Снимок экрана: кнопка

Пилотный проект с использованием пробных лицензий Microsoft 365 E5 в существующем рабочем тенанте позволит сохранить все параметры и методы обеспечения безопасности после окончания срока действия пробных лицензий и при покупке эквивалентных лицензий.

Следующее действие

Схема, показывающая Microsoft Defender для удостоверений личности в рамках процесса пилотного внедрения и развертывания Microsoft Defender XDR.

См. Опробуйте и разверните Microsoft Defender для удостоверений.

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.