Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender XDR — это расширенное решение для обнаружения и ответа (XDR), которое дополняет Microsoft Sentinel. XDR извлекает необработанные данные телеметрии из нескольких служб, таких как облачные приложения, безопасность электронной почты, удостоверение и управление доступом.
С помощью искусственного интеллекта (ИИ) и машинного обучения XDR выполняет автоматический анализ, исследование и реагирование в режиме реального времени. Он также сопоставляет оповещения системы безопасности с большими инцидентами, предоставляя группам безопасности большую видимость атак и приоритетов инцидентов, чтобы помочь аналитикам оценить уровни риска угроз.
С помощью Microsoft Sentinel можно подключиться ко многим источникам безопасности с помощью встроенных соединителей и отраслевых стандартов. С помощью ИИ можно сопоставить несколько сигналов низкой точности, охватывающих несколько источников, чтобы создать полное представление о цепочке убийств программ-шантажистов и приоритетных оповещениях.
Распространенный порядок атак
В этом разделе рассматривается типичный сценарий атаки с использованием фишинговой атаки и реагирования на инцидент с помощью Microsoft Sentinel и Microsoft Defender XDR.
На схеме показаны продукты безопасности Microsoft, которые обнаруживают каждый этап атаки, а также то, как сигналы атаки и данные SIEM передаются в Microsoft Defender XDR и Microsoft Sentinel.
Вот сводка по атаке.
| Шаг атаки | Служба обнаружения и источник сигнала | Средства защиты внедрены |
|---|---|---|
| 1. Злоумышленник отправляет фишинговое сообщение электронной почты | Microsoft Defender для Office 365 | Защищает почтовые ящики с помощью расширенных функций защиты от фишинга, которые могут защитить от вредоносных фишинговых атак на основе олицетворения. |
| 2. Пользователь открывает вложение | Microsoft Defender для Office 365 | Функция "Безопасные вложения" в Microsoft Defender для Office 365 открывает вложения в изолированной среде для дополнительной проверки на наличие угроз (анализа путем детонации). |
| 3. Вложение устанавливает вредоносные программы | Microsoft Defender для конечной точки (средство защиты для конечных точек) | Защищает конечные точки от вредоносных программ с помощью функций защиты следующего поколения, таких как облачная защита и эвристика и антивирусная защита в режиме реального времени. |
| 4. Вредоносные программы украдут учетные данные пользователя | Microsoft Entra ID и Защита Microsoft Entra ID | Защищает идентификационные данные, отслеживая поведение и действия пользователей, обнаруживая горизонтальное перемещение и оповещая об аномальной активности. |
| 5. Злоумышленник перемещается в боковом режиме между приложениями и данными Microsoft 365 | Microsoft Defender для облачных приложений | Может обнаруживать аномальное действие пользователей, обращаюющихся к облачным приложениям. |
| 6. Злоумышленник скачивает конфиденциальные файлы из папки SharePoint | Microsoft Defender для облачных приложений | Может обнаруживать и реагировать на события массового скачивания файлов из SharePoint. |
Если вы подключили рабочую область Microsoft Sentinel к порталу Defender, данные SIEM из Microsoft Sentinel будут доступны непосредственно в портале Microsoft Defender.
Реагирование на инциденты с помощью Microsoft Sentinel и Microsoft Defender XDR
После наблюдения за распространенной атакой используйте Microsoft Sentinel и Microsoft Defender XDR для реагирования на инциденты.
Выберите соответствующую вкладку для рабочей области в зависимости от того, подключена ли она к порталу Defender.
После подключения Microsoft Sentinel к порталу Defender выполните все действия по реагированию на инциденты непосредственно на портале Microsoft Defender так же, как и для других инцидентов Microsoft Defender XDR. Поддерживаемые шаги включают все, от триажа до исследования и разрешения.
Используйте область Microsoft Sentinel на портале Microsoft Defender для функций, недоступных только на портале Defender.
Дополнительные сведения см. в разделе Реагирование на инцидент с помощью Microsoft Sentinel и Microsoft Defender XDR.
Связанный контент
Дополнительные сведения см. в разделе "Ответ на инциденты" с интегрированным SIEM и XDR.
Дополнительные сведения о применении принципов "Никому не доверяй" в Microsoft 365 см. в следующем разделе:
- План развертывания нулевого доверия с Microsoft 365
- Разверните вашу инфраструктуру удостоверений для Microsoft 365
- конфигурации "Никому не доверяй" для идентификации и доступа к устройствам
- Управление устройствами с помощью Microsoft Intune
- Пилотное тестирование и развертывание Microsoft Defender XDR
- Управляйте конфиденциальностью данных и защитой данных с помощью Microsoft Priva и Microsoft Purview
- Интегрируйте SaaS-приложения для "Никому не доверяй" с Microsoft 365