Zero Trust-Sicherheit mit Microsoft Sentinel und Defender XDR
Microsoft Defender XDR ist eine XDR-Lösung, die Microsoft Sentinel ergänzt. Ein XDR ruft unformatierte Telemetriedaten aus mehreren Diensten wie Cloudanwendungen, E-Mail-Sicherheit, Identität und Zugriffsverwaltung ab.
Mit künstlicher Intelligenz (KI) und maschinellem Lernen führt der XDR automatische Analysen, Untersuchungen und Echtzeitantworten durch. Außerdem korreliert es Sicherheitswarnungen in größere Vorfälle, sodass Sicherheitsteams mehr Einblicke in Angriffe und Priorisierung von Vorfällen erhalten, um Analysten dabei zu helfen, das Risikoniveau von Bedrohungen zu messen.
Mit Microsoft Sentinel können Sie eine Verbindung mit vielen Sicherheitsquellen herstellen, indem Sie integrierte Connectors und Branchenstandards verwenden. Mit seiner KI können Sie mehrere Low-Fidelity-Signale korrelieren, die mehrere Quellen umfassen, um eine vollständige Ansicht der Ransomware Kill Chain und priorisierte Warnungen zu erstellen.
Häufige Angriffsreihenfolge
In diesem Abschnitt wird ein typisches Angriffsszenario behandelt, das einen Phishingangriff umfasst und wie sie mit Microsoft Sentinel und Microsoft Defender XDR auf den Vorfall reagieren.
Das Diagramm zeigt die Microsoft-Sicherheitsprodukte, die jeden Angriffsschritt erkennen und wie Angriffssignale und SIEM-Datenfluss an Microsoft Defender XDR und Microsoft Sentinel übertragen werden.
Hier ist eine Zusammenfassung des Angriffs.
Angriffsschritt | Erkennungsdienst und Signalquelle | Abwehrmaßnahmen |
---|---|---|
1. Angreifer sendet Phishing-E-Mails | Microsoft Defender für Office 365 | Schützt Postfächer mit erweiterten Antiphishingfeatures, die vor böswilligen Identitätswechsel-basierten Phishingangriffen schützen können. |
2. Der Benutzer öffnet den Anhang | Microsoft Defender für Office 365 | Das Feature "Sichere Anlagen" von Microsoft Defender für Office 365 öffnet Anlagen in einer isolierten Umgebung, um eine erweiterte Bedrohungsüberprüfung (Detonation) durchzuführen. |
3. Anhänge installieren Schadsoftware | Microsoft Defender für Endpunkt | Schützt Endpunkte vor Schadsoftware mit seinen Schutzfunktionen der nächsten Generation, z. B. durch die Cloud bereitgestellten Schutz und verhaltensbasierten/heuristischen/Echtzeit-Antivirenschutz. |
4. Schadsoftware stiehlt Benutzeranmeldeinformationen | Microsoft Entra ID und Microsoft Entra ID Protection | Schützt Identitäten, indem Benutzerverhalten und -aktivitäten überwacht, Lateralbewegungen erkannt und bei anomalen Aktivitäten gewarnt werden. |
5. Angreifer bewegt sich lateral in Microsoft 365-Apps und -Daten | Microsoft Defender für Cloud-Apps | Kann anomale Aktivitäten von Benutzern erkennen, die auf Cloud-Apps zugreifen. |
6. Angreifer lädt vertrauliche Dateien aus einem SharePoint-Ordner herunter. | Microsoft Defender für Cloud-Apps | Kann Massendownloadereignisse von Dateien aus SharePoint erkennen und darauf reagieren. |
Wenn Sie Ihren Microsoft Sentinel-Arbeitsbereich in das Defender-Portal integriert haben, stehen SIEM-Daten direkt im Microsoft Defender-Portal mit Microsoft Sentinel zur Verfügung.
Reaktion auf Vorfälle mithilfe von Microsoft Sentinel und Microsoft Defender XDR
Nachdem Sie einen gemeinsamen Angriff beobachtet haben, verwenden Sie Microsoft Sentinel und Microsoft Defender XDR für die Reaktion auf Vorfälle.
Wählen Sie die relevante Registerkarte für Ihren Arbeitsbereich aus, je nachdem, ob Sie sie in das Defender-Portal integriert haben.
Führen Sie nach dem Onboarding von Microsoft Sentinel im Defender-Portal alle Schritte zur Reaktion auf Vorfälle direkt im Microsoft Defender-Portal aus, genau wie bei anderen Microsoft Defender XDR-Vorfällen. Unterstützte Schritte umfassen alles, von der Triage bis hin zur Untersuchung und Lösung.
Verwenden Sie den Microsoft Sentinel-Bereich im Microsoft Defender-Portal für Features, die nicht allein im Defender-Portal verfügbar sind.
Weitere Informationen finden Sie unter Reagieren auf einen Vorfall mithilfe von Microsoft Sentinel und Microsoft Defender XDR.
Verwandte Inhalte
Weitere Informationen finden Sie unter Vorfallreaktion mit integriertem SIEM und XDR.
Weitere Informationen zum Anwenden von Zero Trust-Prinzipien in Microsoft 365 finden Sie unter:
- Zero Trust-Bereitstellungsplan mit Microsoft 365
- Bereitstellen Ihrer Identitätsinfrastruktur für Microsoft 365-
- Zero Trust-Konfigurationen für Identitäts- und Gerätezugriff
- Verwalten von Geräten mit Microsoft Intune
- Testen und Bereitstellen von Microsoft Defender XDR
- Verwalten von Datenprivatsphäre und Datenschutz mit Microsoft Priva und Microsoft Purview
- Integrieren von SaaS-Apps für Zero Trust in Microsoft 365