Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом руководстве по решению показано, как настроить средства расширенного обнаружения и реагирования Майкрософт (XDR) и как интегрировать их с Microsoft Sentinel, чтобы ваша организация могли реагировать на атаки кибербезопасности и устранять их быстрее.
XDR в Microsoft Defender — это решение XDR, которое автоматически собирает, сопоставляет и анализирует данные сигналов, угроз и оповещений из среды Microsoft 365.
Microsoft Sentinel — это облачное решение, которое предоставляет возможности управления сведениями о безопасности и событиями (SIEM) и оркестрации безопасности, автоматизации и реагирования (SOAR). Вместе Microsoft Sentinel и Microsoft Defender XDR предоставляют комплексное решение для защиты организаций от современных атак.
Это руководство помогает улучшить архитектуру нулевого доверия, сопоставляя принципы нулевого доверия следующим образом:
| Принцип нулевого доверия | Встречалась |
|---|---|
| Явная проверка | Microsoft Sentinel собирает данные из среды и анализирует угрозы и аномалии, чтобы ваша организация и любая автоматизация могли работать с проверенными данными. XDR-система Microsoft Defender предоставляет расширенные возможности обнаружения и реакции на угрозы для пользователей, удостоверений, устройств, приложений и сообщений электронной почты. Настройте автоматизацию Microsoft Sentinel для использования сигналов на основе рисков, зафиксированных Microsoft Defender XDR, чтобы предпринимать действия, такие как блокировка или разрешение трафика в зависимости от уровня риска. |
| Использование минимально привилегированного доступа | Microsoft Sentinel обнаруживает аномальную активность с помощью своей подсистемы UEBA. По мере быстрого изменения сценариев безопасности данные аналитики угроз импортируются от майкрософт и сторонних поставщиков для обнаружения и контекстуализации возникающих угроз. XDR в Microsoft Defender включает защиту идентификаторов Microsoft Entra ID, чтобы заблокировать пользователей на основе риска идентификации. Передавать связанные данные в Microsoft Sentinel для дальнейшего анализа и автоматизации. |
| Предположим взлом. | XDR в Microsoft Defender постоянно сканирует среду для угроз и уязвимостей. Microsoft Sentinel анализирует собранные данные и тенденции поведения для обнаружения подозрительных действий, аномалий и многоэтапных угроз на предприятии. Microsoft Defender XDR и Microsoft Sentinel реализуют задачи автоматического исправления, включая исследования, изоляцию устройств и карантин данных. Используйте риск устройства как сигнал для условного доступа в Microsoft Entra. |
Начало работы с XDR в Microsoft Defender
Развертывание XDR в Microsoft Defender — это отличная отправная точка для создания возможностей обнаружения инцидентов и реагирования в организации. Defender XDR входит в состав Microsoft 365 E5, и вы даже можете начать использовать пробные лицензии Microsoft 365 E5. XDR Defender можно интегрировать с Microsoft Sentinel или с универсальным средством SIEM.
Дополнительные сведения см. в статье "Пилотирование и развертывание Microsoft Defender XDR".
Архитектура Microsoft Sentinel и XDR
Клиенты Microsoft Sentinel могут использовать один из этих методов для интеграции Microsoft Sentinel со службами XDR в Microsoft Defender:
Интеграция Microsoft Sentinel в портал Defender, чтобы использовать его вместе с Microsoft Defender XDR в унифицированных операциях безопасности. Просмотрите данные Microsoft Sentinel непосредственно на портале Defender вместе с инцидентами Defender, оповещениями, уязвимостями и данными безопасности.
Используйте соединители данных Microsoft Sentinel для приема данных службы Microsoft Defender XDR в Microsoft Sentinel. Просмотр данных Microsoft Sentinel на портале Azure.
Этот центр рекомендаций предоставляет сведения для обоих методов. Если вы перенесли рабочую область на портал Defender, используйте его; если нет, используйте портал Azure, если не указано иное.
На следующем рисунке показано, как решение XDR Майкрософт интегрируется с Microsoft Sentinel на портале Defender.
На этой схеме:
- Аналитические сведения о сигналах всей вашей организации поступают в Microsoft Defender XDR и Microsoft Defender для облака.
- Microsoft Sentinel поддерживает многооблачные среды и интегрируется с сторонними приложениями и партнерами.
- Данные Microsoft Sentinel собираются вместе с данными вашей организации на портале Microsoft Defender.
- Команды SecOps могут анализировать и реагировать на угрозы, определенные Microsoft Sentinel и Microsoft Defender XDR в портале Microsoft Defender.
Ключевые возможности
Реализуйте подход нулевого доверия для управления инцидентами с помощью функций XDR Microsoft Sentinel и Defender. Для рабочих областей, подключенных к порталу Defender, используйте Microsoft Sentinel на портале Defender.
| Возможность или функция | Описание | Продукт |
|---|---|---|
| Автоматическое исследование & реагирования (AIR) | Возможности AIR направлены на проверку оповещений и совершение немедленных действий для устранения нарушений. Они значительно сокращают объем предупреждений, позволяя экспертам по операциям безопасности сосредоточиться на более изощренных угрозах и других важных задачах. | Microsoft Defender XDR |
| Расширенная охота | Расширенная охота — это средство охоты на угрозы на основе запросов, которое позволяет просматривать необработанные данные на срок до 30 дней. Вы можете заранее анализировать события в вашей сети, чтобы найти индикаторы угроз и сущности. Гибкий доступ к данным обеспечивает неограниченную охоту на известные и потенциальные угрозы. | Microsoft Defender XDR |
| Пользовательские индикаторы файлов | Предотвращение дальнейшего распространения атаки в организации путем запрета потенциально вредоносных файлов или подозрительных вредоносных программ. | Microsoft Defender XDR |
| Обнаружение в облаке | Cloud Discovery анализирует журналы трафика, собранные Defender для конечной точки, и оценивает определенные приложения в каталоге облачных приложений для предоставления сведений о соответствии и безопасности. | Microsoft Defender для облачных приложений |
| Пользовательские индикаторы сети | Создавая индикаторы для IP-адресов и URL или доменов, вы можете разрешить или заблокировать IP-адреса, адреса URL или домены на основе собственной аналитики угроз. | Microsoft Defender XDR |
| Блокировка конечных точек обнаружения и реагирования (EDR) | Предоставляет добавленную защиту от вредоносных артефактов, когда антивирусная программа Microsoft Defender (MDAV) не является основным антивирусным продуктом и работает в пассивном режиме. EDR в блочном режиме работает в фоновом режиме для исправления вредоносных артефактов, обнаруженных EDR возможностями. | Microsoft Defender XDR |
| Возможности ответа устройства | Быстрое реагирование на обнаруженные атаки путем изоляции устройств или сбора пакета исследования | Microsoft Defender XDR |
| Реагирование в реальном времени | Динамический ответ предоставляет группам операций безопасности мгновенный доступ к устройству (также называемому компьютером) с помощью удаленного подключения оболочки. Это дает вам возможность выполнять углубленное расследование и принимать немедленные меры реагирования для оперативного сдерживания выявленных угроз в режиме реального времени. | Microsoft Defender XDR |
| Безопасные облачные приложения | решение для операций по обеспечению безопасности разработки (DevSecOps), которое объединяет управление безопасностью на уровне кода в средах с несколькими облаками и конвейерами; | Microsoft Defender для облака |
| Улучшение состояния безопасности | решение для управления состоянием безопасности в облаке (CSPM), отображающее действия, которые вы можете предпринять для предотвращения брешей; | Microsoft Defender для облака |
| Защита облачных рабочих нагрузок | платформа защиты рабочих нагрузок в облаке (CWPP) с определенными средствами защиты для серверов, контейнеров, хранилища, баз данных и других рабочих нагрузок. | Microsoft Defender для облака |
| Аналитика поведения пользователей и сущностей (UEBA) | Анализирует поведение сущностей организации, таких как пользователи, узлы, IP-адреса и приложения | Microsoft Sentinel |
| Слияние | Подсистема корреляции на основе масштабируемых алгоритмов машинного обучения. Автоматически обнаруживает многоэтапные атаки, также известные как расширенные постоянные угрозы (APT), определяя сочетания аномальных действий и подозрительных действий, наблюдаемых на различных этапах цепочки убийств. | Microsoft Sentinel |
| Аналитика угроз | Используйте сторонних поставщиков Microsoft для обогащения данных, предоставляя дополнительный контекст для действий, оповещений и логов в вашей среде. | Microsoft Sentinel |
| Автоматизация | Правила автоматизации — это способ централизованного управления автоматизацией с помощью Microsoft Sentinel, позволяя определять и координировать небольшой набор правил, которые могут применяться в разных сценариях. | Microsoft Sentinel |
| Правила аномалий | Шаблоны правил аномалий используют машинное обучение для обнаружения определенных типов аномального поведения. | Microsoft Sentinel |
| Запланированные запросы | Встроенные правила, разработанные специалистами по безопасности компании Майкрософт, осуществляют поиск в журналах, собранных Microsoft Sentinel, для выявления подозрительных цепочек действий и известных угроз. | Microsoft Sentinel |
| Правила близкие к реальному времени (NRT) | Правила NRT ограничены набором запланированных правил, предназначенных для выполнения каждую минуту, чтобы предоставить вам информацию как можно up-to-минуту. | Microsoft Sentinel |
| Охота | Чтобы помочь аналитикам безопасности заранее искать новые аномалии, которые не были обнаружены вашими приложениями безопасности или даже вашими правилами запланированной аналитики, встроенные поисковые запросы Microsoft Sentinel помогут вам задать правильные вопросы, чтобы найти проблемы в данных, которые уже есть в вашей сети. | Microsoft Sentinel Для рабочих областей, подключенных к порталу Defender, используйте расширенные функции поиска на портале Microsoft Defender. |
| Соединитель XDR в Microsoft Defender | Соединитель XDR в Microsoft Defender синхронизирует журналы и инциденты с Microsoft Sentinel. | Microsoft Defender XDR и Microsoft Sentinel |
| Соединители данных | Разрешить прием данных для анализа в Microsoft Sentinel. | Microsoft Sentinel |
| Решение контент-хаба -Zero Доверие (TIC 3.0) | Zero Trust (TIC 3.0) включает рабочую тетрадь, правила аналитики и набор сценариев, которые обеспечивают автоматическую визуализацию принципов нулевого доверия, сопоставленных с платформой "Подключения к Интернету доверия", помогая организациям отслеживать конфигурации с течением времени. | Microsoft Sentinel |
| Оркестрация безопасности, автоматизация и ответ (SOAR) | Использование правил автоматизации и сборников схем в ответ на угрозы безопасности повышает эффективность SOC и экономит время и ресурсы. | Microsoft Sentinel |
| Оптимизация SOC | Закройте пробелы в охвате по конкретным угрозам и ужесточите частоту приема данных, которые не обеспечивают безопасность. | Microsoft Sentinel Для рабочих областей, подключенных к порталу Defender, используйте оптимизацию SOC на портале Microsoft Defender. |
Что в этом решении
Это решение помогает команде по операциям безопасности устранять инциденты с помощью подхода "Нулевое доверие", направляющим вас через реализацию Microsoft Sentinel и XDR в Microsoft Defender. Реализация включает следующие этапы:
| Этап | Описание |
|---|---|
| 1. Запуск и развертывание служб Microsoft Defender XDR | Начните с пилотного запуска служб XDR в Microsoft Defender, чтобы оценить их функции и возможности, прежде чем завершить развертывание в вашей организации. |
| 2. Планирование развертывания | Затем запланируйте полное развертывание SIEM и XDR, включая службы XDR и рабочую область для Microsoft Sentinel. |
| 3. Настройка средств XDR и разработка рабочей области | На этом этапе разверните службы XDR, которые вы решили использовать в среде, разверните Microsoft Sentinel и другие службы для поддержки решения SIEM и XDR. Если вы планируете работать с портала Azure, пропустите шаг подключения Microsoft Sentinel к порталу Microsoft Defender. Этот шаг имеет значение только в том случае, если вы хотите использовать портал Microsoft Sentinel Defender и не имеет значения, если вы хотите реагировать на инциденты на портале Azure. |
| 4. Реагирование на инциденты | Наконец, реагируйте на инциденты в зависимости от того, подключены ли вы к порталу Defender. - Реагирование на инцидент с портала Defender - Реагирование на инцидент с портала Azure |
Связанный контент
Дополнительную информацию см. в разделе "Безопасность с нулевым доверием" с Microsoft Sentinel и Defender XDR и связанном содержимом для вашего портала:
Дополнительные сведения о применении принципов нулевого доверия в Microsoft 365 см. в следующей статье:
- План развертывания нулевого доверия с Microsoft 365
- Развертывание инфраструктуры удостоверений для Microsoft 365
- Конфигурации доступа идентификации и устройств в модели «Zero Trust»
- Управление устройствами с помощью Microsoft Intune
- Управление конфиденциальностью и защитой данных с помощью Microsoft Priva и Microsoft Purview
- Интеграция приложений SaaS для нулевого доверия с Microsoft 365