Безопасность нулевого доверия с помощью Microsoft Sentinel и XDR Defender

Microsoft Defender XDR — это расширенное решение для обнаружения и ответа (XDR), которое дополняет Microsoft Sentinel. XDR извлекает необработанные данные телеметрии из нескольких служб, таких как облачные приложения, безопасность электронной почты, удостоверение и управление доступом.

С помощью искусственного интеллекта (ИИ) и машинного обучения XDR выполняет автоматический анализ, исследование и реагирование в режиме реального времени. Он также сопоставляет оповещения системы безопасности с большими инцидентами, предоставляя группам безопасности большую видимость атак и приоритетов инцидентов, чтобы помочь аналитикам оценить уровни риска угроз.

С помощью Microsoft Sentinel можно подключиться ко многим источникам безопасности с помощью встроенных соединителей и отраслевых стандартов. С помощью ИИ можно сопоставить несколько сигналов низкой точности, охватывающих несколько источников, чтобы создать полное представление о цепочке убийств программ-шантажистов и приоритетных оповещениях.

Распространенный порядок атак

В этом разделе рассматривается типичный сценарий атаки с использованием фишинговой атаки и реагирования на инцидент с помощью Microsoft Sentinel и Microsoft Defender XDR.

Diagram общего сценария атаки и защиты, предоставляемых продуктами безопасности Microsoft.

На схеме показаны продукты безопасности Microsoft, которые обнаруживают каждый этап атаки, а также то, как сигналы атаки и данные SIEM передаются в Microsoft Defender XDR и Microsoft Sentinel.

Вот сводка по атаке.

Шаг атаки Служба обнаружения и источник сигнала Средства защиты внедрены
1. Злоумышленник отправляет фишинговое сообщение электронной почты Microsoft Defender для Office 365 Защищает почтовые ящики с помощью расширенных функций защиты от фишинга, которые могут защитить от вредоносных фишинговых атак на основе олицетворения.
2. Пользователь открывает вложение Microsoft Defender для Office 365 Функция "Безопасные вложения" в Microsoft Defender для Office 365 открывает вложения в изолированной среде для дополнительной проверки на наличие угроз (анализа путем детонации).
3. Вложение устанавливает вредоносные программы Microsoft Defender для конечной точки (средство защиты для конечных точек) Защищает конечные точки от вредоносных программ с помощью функций защиты следующего поколения, таких как облачная защита и эвристика и антивирусная защита в режиме реального времени.
4. Вредоносные программы украдут учетные данные пользователя Microsoft Entra ID и Защита Microsoft Entra ID Защищает идентификационные данные, отслеживая поведение и действия пользователей, обнаруживая горизонтальное перемещение и оповещая об аномальной активности.
5. Злоумышленник перемещается в боковом режиме между приложениями и данными Microsoft 365 Microsoft Defender для облачных приложений Может обнаруживать аномальное действие пользователей, обращаюющихся к облачным приложениям.
6. Злоумышленник скачивает конфиденциальные файлы из папки SharePoint Microsoft Defender для облачных приложений Может обнаруживать и реагировать на события массового скачивания файлов из SharePoint.

Если вы подключили рабочую область Microsoft Sentinel к порталу Defender, данные SIEM из Microsoft Sentinel будут доступны непосредственно в портале Microsoft Defender.

Реагирование на инциденты с помощью Microsoft Sentinel и Microsoft Defender XDR

После наблюдения за распространенной атакой используйте Microsoft Sentinel и Microsoft Defender XDR для реагирования на инциденты.

Выберите соответствующую вкладку для рабочей области в зависимости от того, подключена ли она к порталу Defender.

После подключения Microsoft Sentinel к порталу Defender выполните все действия по реагированию на инциденты непосредственно на портале Microsoft Defender так же, как и для других инцидентов Microsoft Defender XDR. Поддерживаемые шаги включают все, от триажа до исследования и разрешения.

Используйте область Microsoft Sentinel на портале Microsoft Defender для функций, недоступных только на портале Defender.

Дополнительные сведения см. в разделе Реагирование на инцидент с помощью Microsoft Sentinel и Microsoft Defender XDR.

Дополнительные сведения см. в разделе "Ответ на инциденты" с интегрированным SIEM и XDR.

Дополнительные сведения о применении принципов "Никому не доверяй" в Microsoft 365 см. в следующем разделе: