Zero Trust mit der Unified Security Operations-Plattform von Microsoft
Zero Trust ist eine Sicherheitsstrategie zum Entwerfen und Implementieren der folgenden Sicherheitsprinzipien:
| Sicherheitsprinzip | Beschreibung |
|---|---|
| Explizite Überprüfung | Authentifizieren und autorisieren Sie immer basierend auf allen verfügbaren Datenpunkten. |
| Verwenden Sie den Zugriff mit den geringsten Rechten | Beschränken Sie den Benutzerzugriff mit Just-In-Time und Just-Enough-Access (JIT/JEA), risikobasierten adaptiven Richtlinien und Datenschutz. |
| Annahme einer Sicherheitsverletzung | Minimieren Sie den Strahlradius und den Segmentzugriff. Überprüfen Sie die End-to-End-Verschlüsselung, und nutzen Sie Analysen, um einen Überblick zu erhalten, die Erkennung von Bedrohungen voranzutreiben und den Schutz zu verbessern. |
In diesem Artikel wird beschrieben, wie die SecOps-Plattform (Unified Security Operations) von Microsoft zentralisierten Zugriff auf die Tools und Funktionen bietet, die zum Implementieren einer umfassenden Zero Trust Lösung erforderlich sind.
Explizite Überprüfung mit einheitlichem SecOps
Zur effektiven Überprüfung bietet die einheitliche SecOps-Plattform von Microsoft eine Vielzahl von Tools und Diensten, um sicherzustellen, dass jede Zugriffsanforderung basierend auf einer umfassenden Datenanalyse authentifiziert und autorisiert wird. Zum Beispiel:
Microsoft Defender XDR bietet erweiterte Erkennung und Reaktion für Benutzer, Identitäten, Geräte, Apps und E-Mails. Fügen Sie Microsoft Defender für Cloud hinzu, um diesen Bedrohungsschutz in Multi-Cloud- und Hybridumgebungen zu erweitern, und Microsoft Entra ID Protection, um Sie bei der Auswertung von Risikodaten aus Anmeldeversuchen zu unterstützen.
Microsoft Defender Threat Intelligence ihre Daten mit den neuesten Bedrohungsupdates und Gefährdungsindikatoren (IoCs) anreichert.
Microsoft Security Copilot bietet KI-gesteuerte Erkenntnisse und Empfehlungen, die Ihre Sicherheitsvorgänge verbessern und automatisieren.
Fügen Sie Microsoft Security Exposure Management hinzu, um Ihre Ressourceninformationen mit zusätzlichem Sicherheitskontext anzureichern.
Microsoft Sentinel sammelt Daten aus der gesamten Umgebung und analysiert Bedrohungen und Anomalien, sodass Ihre organization und jede implementierte Automatisierung basierend auf allen verfügbaren und verifizierten Datenpunkten reagieren können. Microsoft Sentinel Automatisierung kann Ihnen auch dabei helfen, risikobasierte Signale zu verwenden, die im Defender-Portal erfasst werden, um Maßnahmen zu ergreifen, z. B. das Blockieren oder Autorisieren von Datenverkehr basierend auf der Risikostufe.
Weitere Informationen finden Sie unter:
- Was ist Microsoft Defender XDR?
- Was ist Microsoft Defender für Cloud?
- Was ist Microsoft Entra ID Protection?
- Was ist Microsoft Defender Threat Intelligence (Defender TI)?
- Was ist Microsoft Security Copilot?
- Was ist Microsoft Security Exposure Management?
- Was ist Microsoft Sentinel?
Verwenden des zugriffs mit den geringsten Rechten in einheitlichen SecOps
Die einheitliche SecOps-Plattform von Microsoft bietet auch eine umfassende Reihe von Tools, mit denen Sie den Zugriff mit den geringsten Rechten in Ihrer Gesamten Umgebung implementieren können. Zum Beispiel:
Implementieren Sie Microsoft Defender XDR einheitliche rollenbasierte Zugriffssteuerung (Unified Role-Based Access Control, RBAC), um Berechtigungen basierend auf Rollen zuzuweisen, um sicherzustellen, dass Benutzer nur den Zugriff haben, den sie zum Ausführen ihrer Aufgaben benötigen.
Bereitstellen von Just-in-Time-Aktivierungen für privilegierte Rollenzuweisungen mithilfe des Privileged Identity Management (PIM) von Microsoft Entra ID Protection.
Implementieren Sie Microsoft Defender for Cloud Apps Richtlinien für bedingten Zugriff, um adaptive Zugriffsrichtlinien basierend auf Benutzer-, Standort-, Geräte- und Risikosignalen zu erzwingen, um einen sicheren Zugriff auf Ressourcen sicherzustellen.
Konfigurieren Sie Microsoft Defender für cloudbasierten Bedrohungsschutz, um riskantes Verhalten zu blockieren und zu kennzeichnen, und verwenden Sie Härtungsmechanismen, um den Zugriff mit den geringsten Rechten und den JIT-VM-Zugriff zu implementieren.
Microsoft Security Copilot authentifiziert Benutzer auch mit der OBO-Authentifizierung (On-Behalf Of), um sicherzustellen, dass Benutzer nur zugriff auf die benötigten Ressourcen haben.
Weitere Informationen finden Sie unter:
- Microsoft Defender XDR Vereinheitlichte rollenbasierte Zugriffssteuerung (RBAC)
- Was ist Microsoft Entra Privileged Identity Management?
- App-Steuerung für bedingten Zugriff in Microsoft Defender for Cloud Apps
- Beginnen Sie mit der Planung des Multicloudschutzes mit Defender für Cloud
- Grundlegendes zur Authentifizierung in Microsoft Security Copilot
Annahme einer Sicherheitsverletzung in einheitlichen SecOps-Vorgängen
Unter der Annahme, dass Sicherheitsverletzungen Organisationen dabei helfen, sich effektiver auf Sicherheitsvorfälle vorzubereiten und darauf zu reagieren. Beispiel: Mit der einheitlichen SecOps-Plattform:
Konfigurieren Sie Microsoft Defender XDR automatische Angriffsunterbrechung, um laufende Angriffe einzudämmen, laterale Bewegungen zu begrenzen und die Auswirkungen durch high-fidelity-Signale und kontinuierliche Untersuchungserkenntnisse zu reduzieren.
Reagieren Sie automatisch auf Sicherheitsbedrohungen im gesamten Unternehmen, indem Sie die Automatisierungsregeln und Playbooks von Microsoft Sentinel verwenden.
Implementieren Sie die Empfehlungen von Microsoft Defender für Cloud, um riskantes oder verdächtiges Verhalten zu blockieren und zu kennzeichnen, und automatisieren Sie Antworten in allen Abdeckungsbereichen mit Azure Logic Apps.
Aktivieren Sie Microsoft Entra ID Protection Benachrichtigungen, damit Sie angemessen reagieren können, wenn ein Benutzer als gefährdet gekennzeichnet ist.
Weitere Informationen finden Sie unter:
- Automatische Angriffsunterbrechung in Microsoft Defender XDR
- Automatisierung in Microsoft Sentinel – Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR)
- Neuerungen in Empfehlungen, Warnungen und Vorfällen in Defender für Cloud
- Microsoft Entra ID Protection Benachrichtigungen
Nächster Schritt
Übersicht über die Planung der Unified Security Operations-Plattform von Microsoft