Развертывание для унифицированных операций безопасности

Портал Microsoft Defender предоставляет унифицированные операции безопасности с помощью Microsoft Defender XDR, Microsoft Sentinel и других служб. Вместе службы портала Defender предоставляют полное представление о безопасности вашей организации и помогают обнаруживать, исследовать угрозы и реагировать на них в организации.

Управление рисками Microsoft Security и Microsoft Threat Intelligence доступны в любой среде, которая соответствует предварительным требованиям, для пользователей, настроенных с необходимыми разрешениями.

Предварительные условия

Развертывание служб Microsoft Defender XDR

Microsoft Defender XDR объединяет реагирование на инциденты за счёт интеграции ключевых возможностей в разных службах, включая Microsoft Defender для конечной точки, Microsoft Defender для Office 365, Microsoft Defender for Cloud Apps и Microsoft Defender для удостоверений. Этот унифицированный интерфейс добавляет мощные функции, доступные на портале Microsoft Defender.

  1. Microsoft Defender XDR автоматически включается, когда соответствующие клиенты с необходимыми разрешениями посещают Microsoft Defender портал. Дополнительные сведения см. в разделе Включение Microsoft Defender XDR.

  2. Продолжайте развертывание служб Microsoft Defender XDR. Рекомендуется использовать следующий порядок:

    1. Разверните Microsoft Defender для удостоверений.

    2. Разверните Microsoft Defender для Office 365.

    3. Разверните Microsoft Defender для конечной точки. Добавьте Управление уязвимостями Microsoft Defender и/или корпоративный мониторинг устройств Интернета вещей в зависимости от особенностей вашей среды.

    4. Развертывание Microsoft Defender for Cloud Apps.

Настройка защиты Microsoft Entra ID

Microsoft Defender XDR может принимать и включать сигналы от Защита Microsoft Entra ID, которая оценивает данные о рисках из миллиардов попыток входа и оценивает риск каждого входа в вашу среду. данные защиты Microsoft Entra ID используются Microsoft Entra ID для разрешения или запрета доступа к учетной записи в зависимости от того, как настроены политики условного доступа.

Настройте защиту Microsoft Entra ID, чтобы повысить уровень безопасности и добавить сигналы Microsoft Entra в единые операции безопасности. Дополнительные сведения см. в статье Настройка политик защиты Microsoft Entra ID.

Развертывание Microsoft Defender для облака

Microsoft Defender для облака предоставляет единый интерфейс управления безопасностью для облачных ресурсов, а также может отправлять сигналы Microsoft Defender XDR. Например, вы можете начать с подключения подписок Azure к Microsoft Defender для облака, а затем перейти к другим облачным средам.

Дополнительные сведения см. в статье Подключение подписок Azure.

Подключение к Microsoft Security Copilot

Подключение к Microsoft Security Copilot для повышения эффективности операций безопасности за счет использования расширенных возможностей ИИ. Security Copilot помогает в обнаружении угроз, исследовании и реагировании на нее, предоставляя полезные сведения и рекомендации, помогающие опережать потенциальные угрозы. Используйте Security Copilot для автоматизации рутинных задач, сокращения времени на обнаружение инцидентов и реагирования на них, а также повышения общей эффективности команды безопасности.

Дополнительные сведения см. в статье Начало работы с Security Copilot.

Разработка архитектуры рабочей области и подключение к Microsoft Sentinel

Первым шагом в использовании Microsoft Sentinel является создание рабочей области Log Analytics, если у вас ее еще нет. Одной рабочей области Log Analytics может быть достаточно для многих сред, но многие организации создают несколько рабочих областей для оптимизации затрат и лучшего удовлетворения различных бизнес-требований. Портал Defender поддерживает основную рабочую область и несколько дополнительных рабочих областей.

  1. Создайте группу ресурсов безопасности в целях управления, чтобы изолировать ресурсы Microsoft Sentinel и ролевой доступ к этой группе ресурсов.
  2. Создайте рабочую область Log Analytics в группе ресурсов Безопасность и включите в нее Microsoft Sentinel.

Дополнительные сведения см. в статье Подключение Microsoft Sentinel и Несколько рабочих областей Microsoft Sentinel на портале Defender.

Настройка ролей и разрешений

Настройте пользователей в соответствии с вашим документированным планом доступа на основе ролей и разрешений. В соответствии с принципами "Никому не доверяй" рекомендуется использовать управление доступом на основе ролей (RBAC), чтобы предоставить пользователям доступ только к ресурсам, которые разрешены и актуальны для каждого пользователя, а не для всей среды.

Минимально необходимое разрешение для аналитика на просмотр данных Microsoft Sentinel — назначение роли Sentinel Reader Azure RBAC. Эти разрешения также применяются к единому порталу. Без этих разрешений меню навигации Microsoft Sentinel недоступно на едином портале, несмотря на то, что аналитик имеет доступ к порталу Microsoft Defender.

Рекомендуется размещать все ресурсы, связанные с Microsoft Sentinel, в одной группе ресурсов Azure, а затем делегировать ролевые разрешения Microsoft Sentinel (например, роль «Читатель Sentinel») на уровне группы ресурсов, содержащей рабочую область Microsoft Sentinel. При этом назначение роли применяется ко всем ресурсам, которые поддерживают Microsoft Sentinel.

Дополнительные сведения см. в разделе:

Подключение к порталу Defender

При интеграции Microsoft Sentinel с порталом Defender вы объединяете его возможности с возможностями Microsoft Defender XDR, такими как управление инцидентами и расширенный поиск угроз, для унифицированных операций безопасности. Дополнительные сведения см. в статье Подключение Microsoft Sentinel к Microsoft Defender.

Тонкая настройка системных конфигураций

Используйте следующие Microsoft Sentinel параметры конфигурации для точной настройки развертывания:

Включите мониторинг работоспособности и аудит

Отслеживайте работоспособность и проверяйте целостность поддерживаемых ресурсов Microsoft Sentinel, включив функцию аудита и мониторинга работоспособности на странице параметров Microsoft Sentinel. Получите сведения об отклонениях в работоспособности, таких как последние события сбоев или переходы из состояния успешной работы в состояние сбоя, а также о несанкционированных действиях, и используйте данные мониторинга работоспособности и аудита для создания уведомлений и других автоматизированных действий.

Дополнительные сведения см. в статье Включение аудита и мониторинга работоспособности для Microsoft Sentinel.

Настройка содержимого Microsoft Sentinel

На основе запланированных Microsoft Sentinel затрат и источников данных установите соответствующие решения Microsoft Sentinel и настройте соединители данных. Microsoft Sentinel предоставляет широкий спектр встроенных решений и соединителей данных, но вы также можете создавать пользовательские соединители и настраивать соединители для приема журналов CEF или Syslog.

Дополнительные сведения см. в разделе:

Включить аналитику поведения пользователей и объектов (UEBA)

Настроив соединители данных в Microsoft Sentinel, включите аналитику поведения сущностей пользователя для выявления подозрительного поведения, которое может привести к фишинговым эксплойтам и в конечном итоге атакам, таким как программы-шантажисты. Дополнительные сведения см. в разделе Включение UEBA в Microsoft Sentinel.

Настройка интерактивного и долгосрочного хранения данных

Настройте интерактивное и долгосрочное хранение данных, чтобы убедиться, что в вашей организации хранятся важные в долгосрочной перспективе данные. Дополнительные сведения см. в разделе Настройка интерактивного и долгосрочного хранения данных.

Включение правил аналитики

Правила аналитики предписывают Microsoft Sentinel оповещать вас о событиях на основе набора условий, которые вы считаете важными. Решения, которые Microsoft Sentinel принимает по умолчанию, основаны на поведенческой аналитике сущностей пользователей (UEBA) и на корреляции данных из нескольких источников данных. При включении аналитических правил в Microsoft Sentinel определяйте приоритеты на основе подключённых источников данных, организационных рисков и тактик MITRE.

Дополнительные сведения см. в разделе Обнаружение угроз в Microsoft Sentinel.

Просмотреть правила аномалий

Правила аномалий Microsoft Sentinel доступны изначально и включены по умолчанию. Правила обнаружения аномалий основаны на моделях машинного обучения и UEBA, которые обучаются на данных в вашей рабочей области, чтобы выявлять аномальное поведение пользователей, узлов и других сущностей. Просмотрите правила аномалий и пороговое значение оценки аномалий для каждого из них. Если, например, вы наблюдаете ложные срабатывания, попробуйте скопировать правило и изменить пороговое значение.

Дополнительные сведения см. в статье Работа с правилами аналитики обнаружения аномалий.

Использование правила аналитики угроз (Майкрософт)

Включите готовое к использованию правило аналитики «Аналитика угроз Майкрософт» и убедитесь, что это правило сопоставляет данные журналов с аналитикой угроз, созданной Майкрософт. Дополнительные сведения см. в разделе "Обнаружение угроз" с помощью аналитики индикаторов угроз. Корпорация Майкрософт располагает обширным репозиторием данных аналитики угроз, и это аналитическое правило использует его подмножество для создания оповещений и инцидентов с высоким уровнем точности для групп SOC (центров управления безопасностью) для рассмотрения.

Избегайте повторяющихся инцидентов

После подключения Microsoft Sentinel к Microsoft Defender автоматически устанавливается двунаправленная синхронизация между инцидентами Microsoft Defender XDR и Microsoft Sentinel. Чтобы избежать создания повторяющихся инцидентов для одних и тем же оповещений, рекомендуется отключить все правила создания инцидентов Майкрософт для продуктов, интегрированных Microsoft Defender XDR, включая Defender для конечной точки, Defender для удостоверений, Defender для Office 365, Defender for Cloud Apps и защита Microsoft Entra ID.

Дополнительные сведения см. в статье Создание инцидентов Майкрософт .

Выполните сопоставление с MITRE ATT&CK

При включенных аналитических правилах слияния, аномалий и аналитики угроз выполните сопоставление с MITRE ATT&CK, чтобы определить, какие из оставшихся аналитических правил следует включить, и завершить внедрение зрелого процесса XDR (расширенного обнаружения и реагирования). Это позволяет обнаруживать атаки и реагировать на них на протяжении всего жизненного цикла.

Дополнительные сведения см. в статье Общие сведения о покрытии безопасности.