Microsoftin yhtenäisen suojaustoimintojen käyttöympäristön suunnittelun yleiskatsaus
Tässä artikkelissa esitellään toimet, joiden avulla suunnitellaan Microsoftin tietoturvatuotteiden käyttöönottoa Microsoftin yhtenäisessä suojaustoimintoympäristössä päästä päähän -suojaustoimintoja (SecOps) varten. Yhtenäistä secopsisi Microsoftin käyttöympäristössä, jotta voit vähentää riskejä, ehkäistä hyökkäyksiä, havaita ja häiritä kyberuhkia reaaliajassa ja reagoida nopeammin tekoälyn parantamien suojausominaisuuksien avulla, kaikki Microsoft Defender portaalista.
Käyttöönoton suunnitteleminen
Microsoftin yhdistetty SecOps-ympäristö yhdistää palvelut, kuten Microsoft Defender XDR, Microsoft Sentinel, Microsoft-suojauksen altistumishallinta ja Microsoft Security Copilot Microsoft Defender portaalissa.
Ensimmäinen vaihe käyttöönoton suunnittelussa on valita palvelut, joita haluat käyttää.
Edellytyksenä on, että tarvitset sekä Microsoft Defender XDR että Microsoft Sentinel, jotta voit valvoa ja suojata sekä Microsoftin palveluita että muita kuin Microsoftin palveluita ja ratkaisuja, mukaan lukien sekä pilviresurssit että paikalliset resurssit.
Ota käyttöön jokin seuraavista palveluista, jotta voit lisätä suojausta päätepisteisiin, käyttäjätietoihin, sähköpostiin ja sovelluksiin, jotta voit tarjota integroidun suojauksen kehittyneitä hyökkäyksiä vastaan.
Microsoft Defender XDR palveluita ovat seuraavat:
| Palvelu | Kuvaus |
|---|---|
| Microsoft Defender for Office 365 | Suojaa sähköpostiviestien, URL-linkkien ja Office 365 yhteiskäyttötyökalujen aiheuttamilta uhilta. |
| Microsoft Defender for Identity | Tunnistaa, havaitsee ja tutkii sekä paikallinen Active Directory että pilvipalvelun käyttäjätietojen, kuten Microsoft Entra ID, uhkia. |
| Microsoft Defender for Endpoint | Valvoo ja suojaa päätepistelaitteita, havaitsee ja tutkii laitemurtoja ja vastaa automaattisesti tietoturvauhkiin. |
| Microsoft Defender IoT:lle | Tarjoaa sekä IoT-laitteiden etsinnän että suojausarvon IoT-laitteille. |
| Microsoft Defenderin haavoittuvuuksien hallinta | Tunnistaa resurssit ja ohjelmistovaraston ja arvioi laitteen tilan tietoturvaheikkouksien löytämiseksi. |
| Microsoft Defender for Cloud Apps | Suojaa SaaS-pilvisovellusten käyttöoikeuksia ja hallitsee niiden käyttöä. |
Muita Microsoft Defender portaalissa tuettuja palveluita osana Microsoftin yhtenäistä SecOps-ympäristöä, mutta ei Microsoft Defender XDR käyttöoikeutta, ovat seuraavat:
| Palvelu | Kuvaus |
|---|---|
| Microsoft-suojauksen altistumishallinta | Tarjoaa yhtenäisen näkymän yrityksen resurssien ja kuormitusten suojausasenteista ja resurssitietojen täydentämisestä suojauskontekstin avulla. |
| Microsoft Security Copilot | Tarjoaa tekoälypohjaisia merkityksellisiä tietoja ja suosituksia tietoturvatoimintojesi parantamiseksi. |
| Microsoft Defender for Cloud | Suojaa monipilvi- ja hybridiympäristöjä kehittyneellä uhkien tunnistamisella ja reagoinnilla. |
| Microsoft Defender Threat Intelligence | Virtaviivaistaa uhkatietotyönkulkuja koostamalla ja täydentämällä kriittisiä tietolähteitä korreloimaan kompromissien (IOC) indikaattorit toisiinsa liittyvien artikkelien, toimijaprofiilien ja haavoittuvuuksien kanssa. |
| Microsoft Entra ID -tunnuksien suojaus | Arvioi riskitiedot kirjautumisyrityksistä kunkin ympäristöön kirjautumisen riskin arvioimiseksi. |
| Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta | Korreloi eri signaaleja tunnistaakseen mahdollisia haitallisia tai tahattomia insider-riskejä, kuten IP-varkautta, tietovuotoja ja tietoturvarikkomuksia. |
Tarkista palvelun edellytykset
Ennen kuin otat käyttöön Microsoftin yhtenäisen suojaustoimintojen ympäristön, tarkista edellytykset kullekin palvelulle, jota aiot käyttää. Seuraavassa taulukossa on lueteltu palvelut ja linkit, jos haluat lisätietoja:
| Suojauspalvelu | Ennakkovaatimukset |
|---|---|
| Pakollinen unified SecOpsille | |
| Microsoft Defender XDR | Microsoft Defender XDR edellytykset |
| Microsoft Sentinel | Microsoft Sentinel käyttöönoton edellytykset |
| Valinnaiset Microsoft Defender XDR palvelut | |
| Officen Microsoft Defender | Microsoft Defender XDR edellytykset |
| Microsoft Defender for Identity | Microsoft Defender for Identity edellytykset |
| Microsoft Defender for Endpoint | Käyttöönoton Microsoft Defender for Endpoint määrittäminen |
| Yritysvalvonta ja Microsoft Defender IoT:lle | IoT:n defenderin edellytykset Defender-portaalissa |
| Microsoft Defenderin haavoittuvuuksien hallinta | Microsoft Defenderin haavoittuvuuksien hallinta käyttöoikeuden & edellytykset |
| Microsoft Defender for Cloud Apps | Microsoft Defender for Cloud Appsin käytön aloittaminen |
| Muut Microsoft Defender portaalissa tuetut palvelut | |
| Microsoft-suojauksen altistumishallinta | Edellytykset ja tuki |
| Microsoft Security Copilot | Vähimmäisvaatimukset |
| Microsoft Defender for Cloud | Aloita monipilvisuojauksen ja muiden artikkeleiden suunnittelu samassa osiossa. |
| Microsoft Defender Threat Intelligence | Defender Threat Intelligencen edellytykset |
| Microsoft Entra ID -tunnuksien suojaus | Microsoft Entra ID -tunnuksien suojaus edellytykset |
| Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta | Sisäisten käyttäjien riskin hallinnan käytön aloittaminen |
Tietoturva- ja tietosuojakäytäntöjen tarkistaminen
Ennen kuin otat käyttöön Microsoftin yhtenäisen suojaustoimintojen ympäristön, varmista, että ymmärrät jokaisen palvelun tietoturva- ja tietosuojakäytännöt. Seuraavassa taulukossa on lueteltu palvelut ja linkit, jos haluat lisätietoja. Huomaa, että useat palvelut käyttävät tietojen suojaus- ja säilytyskäytäntöjä Microsoft Defender XDR sen sijaan, että niillä olisi omat erilliset käytäntönsä.
Log Analytics -työtilaarkkitehtuurin suunnitteleminen
Jotta voit käyttää Microsoftin yhtenäistä SecOps-ympäristöä, tarvitset Log Analytics -työtilan, joka on käytössä Microsoft Sentinel. Yksittäinen Log Analytics -työtila saattaa riittää moniin ympäristöihin, mutta monet organisaatiot luovat useita työtiloja kustannusten optimoimiseksi ja erilaisten liiketoimintavaatimusten täyttämiseksi. Microsoftin yhdistetty SecOps-ympäristö tukee vain yhtä työtilaa.
Suunnittele Log Analytics -työtila, jonka haluat ottaa käyttöön Microsoft Sentinel. Harkitse parametreja, kuten tietojen keräämisen ja tallennuksen yhteensopivuusvaatimuksia sekä sitä, miten voit hallita Microsoft Sentinel tietojen käyttöä.
Lisätietoja on seuraavissa artikkeleissa:
Suunnitelman Microsoft Sentinel kustannukset ja tietolähteet
Microsoftin yhdistetty SecOps-ympäristö kerää tietoja ensimmäisen osapuolen Microsoft-palveluista, kuten Microsoft Defender for Cloud Apps ja Microsoft Defender cloudille. Suosittelemme laajentamaan kattaveesi ympäristösi muihin tietolähteisiin lisäämällä Microsoft Sentinel tietoyhdistimiä.
Tietolähteiden määrittäminen
Määritä kaikki tietolähteet, joista käytät tietoja, sekä tietojen kokovaatimukset, joiden avulla voit projisoida käyttöönoton budjetin ja aikajanan tarkasti. Voit määrittää nämä tiedot yrityksen käyttötapauksen tarkistuksen aikana tai arvioimalla nykyisen SIEM:n, joka sinulla jo on käytössäsi. Jos sinulla on jo SIEM käytössä, analysoi tiedot, jotta ymmärrät, mitkä tietolähteet tuottavat eniten arvoa, ja ne tulee käsitellä Microsoft Sentinel.
Saatat esimerkiksi haluta käyttää mitä tahansa seuraavista suositelluista tietolähteistä:
Azure-palvelut: Jos jokin seuraavista palveluista otetaan käyttöön Azuressa, lähetä näiden resurssien diagnostiikkalokit Microsoft Sentinel seuraavien liittimien avulla:
- Azure-palomuuri
- Azure Application Gateway
- Keyvault
- Azuren Kubernetes-palvelu
- Azure SQL
- Verkon käyttöoikeusryhmät
- Azure-Arc-palvelimet
Suosittelemme, että määrität Azure Policyn niin, että sen lokit on välitettävä pohjana olevaan Log Analytics -työtilaan. Lisätietoja on artikkelissa Diagnostiikka-asetusten luominen mittakaavassa Azure-käytännön avulla.
Näennäiskoneet: Käytä seuraavia tietoliittimiä näennäiskoneissa, joita isännöidään paikallisesti tai muissa pilvipalveluissa, joiden lokit on kerättävä:
- Windowsin suojaus tapahtumia AMA:n avulla
- Tapahtumat Defender for Endpointin kautta (palvelimelle)
- Syslog
Verkon näennäislaitteet / paikalliset lähteet: Käytä seuraavia tietoliittimiä verkon näennäislaitteille tai muille paikallisille lähteille, jotka luovat yleisiä tapahtumamuotoja (CEF) tai SYSLOG-lokeja:
- Syslog AMA:n kautta
- Yleinen tapahtumamuoto (CEF) AMA:n kautta
Lisätietoja on kohdassa Tietoyhdistimien priorisointi.
Suunnittele budjettisi
Suunnittele Microsoft Sentinel budjettisi ottaen huomioon kunkin suunnitellun skenaarion kustannusvaikutukset. Varmista, että budjettisi kattaa tietojen käsittelykustannukset sekä Microsoft Sentinel että Azure Log Analyticsille, käyttöönotettaville pelikirjoille ja niin edelleen. Lisätietoja on seuraavissa artikkeleissa:
- Kirjaa säilytyssuunnitelmat Microsoft Sentinel
- Suunnittele kustannukset ja tutustu Microsoft Sentinel hinnoitteluun ja laskutukseen
Tutustu Microsoftin suojausportaaleihin ja hallintakeskuksiin
Vaikka Microsoft Defender portaali on koti, jossa voit valvoa ja hallita suojausta käyttäjätiedoissa, tiedoissa, laitteissa ja sovelluksissa, sinun on käytettävä eri portaaleja tietyissä erityistehtävissä.
Microsoftin suojausportaaleja ovat muun muassa seuraavat:
| Portaalin nimi | Kuvaus | Linkki |
|---|---|---|
| Microsoft Defender -portaali | Valvo uhkien toimintaa ja vastaa niihin sekä vahvista suojausasentoja käyttäjätiedoissa, sähköpostissa, tiedoissa, päätepisteissä ja sovelluksissa, joissa on Microsoft Defender XDR](.. /defender-xdr/microsoft-365-defender.md) |
security.microsoft.com Microsoft Defender portaalissa voit tarkastella ja hallita ilmoituksia, tapauksia, asetuksia ja paljon muuta. |
| Defender for Cloud -portaali | Microsoft Defender pilvipalvelun avulla voit vahvistaa palvelinkeskusten suojausasentoasi ja hybridikuormituksiasi pilvipalvelussa | portal.azure.com/#blade/Microsoft_Azure_Security |
| Microsoftin suojaustiedustelu portaali | Hanki tietoturvatietopäivityksiä Microsoft Defender for Endpoint varten, lähetä näytteitä ja tutki uhkien tietosanakirjaa | microsoft.com/wdsi |
Seuraavassa taulukossa kuvataan muiden tietoturvaan vaikuttavien kuormitusten portaalit. Näissä portaaleissa voit hallita käyttäjätietoja, käyttöoikeuksia, laiteasetuksia ja tietojen käsittelykäytäntöjä.
| Portaalin nimi | Kuvaus | Linkki |
|---|---|---|
| Microsoft Entra -hallintakeskus | Käytä ja hallitse Microsoft Entra perhettäsi, jotta voit suojata yritystäsi hajautetulla käyttäjätiedolla, käyttäjätietojen suojauksella, hallinnalla ja niin edelleen monipilviympäristössä | entra.microsoft.com |
| Azure-portaali | Kaikkien Azure-resurssien tarkasteleminen ja hallinta | portal.azure.com |
| Microsoft Purview -portaali | Hallitse tietojen käsittelykäytäntöjä ja varmista säädösten noudattaminen | purview.microsoft.com |
| Microsoft 365 -hallintakeskus | Määritä Microsoft 365 -palvelut; hallitse Rooleja, käyttöoikeuksia ja seuraa Microsoft 365 -palvelusi päivityksiä | admin.microsoft.com |
| Microsoft Intune hallintakeskus | Microsoft Intune avulla voit hallita ja suojata laitteita. Voi myös yhdistää Intune- ja Configuration Manager ominaisuuksia. | intune.microsoft.com |
| Microsoft Intune portaali | Microsoft Intune avulla voit ottaa käyttöön laitekäytäntöjä ja valvoa laitteita vaatimustenmukaisuuden varmistamiseksi | intune.microsoft.com |
Roolien ja käyttöoikeuksien suunnittelu
Käytä Microsoft Entra roolipohjaista käyttöoikeuksien hallintaa (RBAC) roolien luomiseen ja määrittämiseen suojaustoimintatiimissäsi, jotta voit myöntää asianmukaisen käyttöoikeuden palveluihin, jotka sisältyvät Microsoftin yhtenäiseen SecOps-ympäristöön.
Microsoft Defender XDR Unified Role-based access control (RBAC) -malli tarjoaa yhden käyttöoikeuksien hallintakokemuksen, joka tarjoaa järjestelmänvalvojille yhden keskitetyn sijainnin käyttäjien käyttöoikeuksien hallintaan useissa suojausratkaisuissa. Lisätietoja on artikkelissa Microsoft Defender XDR Yhdistetty roolipohjainen käyttöoikeuksien hallinta (RBAC).
Seuraavissa palveluissa voit käyttää käytettävissä olevia rooleja tai luoda mukautettuja rooleja, jotta voit hallita tarkasti, mitä käyttäjät voivat nähdä ja tehdä. Lisätietoja on seuraavissa artikkeleissa:
Suunnittele Zero Trust -suojausmalli toimintoja
Microsoftin yhdistetty SecOps-ympäristö on osa Microsoftin Zero Trust -suojausmalli suojausmallia, joka sisältää seuraavat periaatteet:
| Turvallisuusperiaate | Kuvaus |
|---|---|
| Vahvista eksplisiittisesti | Todenna ja valtuuta aina kaikkien käytettävissä olevien arvopisteiden perusteella. |
| Käytä pienintä käyttöoikeutta | Rajoita käyttäjien käyttöoikeuksia Just-In-Timen ja Just-Enough-Accessin (JIT/JEA), riskipohjaisten mukautuvien käytäntöjen ja tietosuojan avulla. |
| Oleta murto | Pienennä räjähdyssäde ja segmentin käyttö. Tarkista päästä päähän -salaus ja käytä analytiikkaa näkyvyyden saamiseksi, uhkien tunnistamisen edistämiseksi ja puolustuksen parantamiseksi. |
Zero Trust -suojausmalli suojaus on suunniteltu suojaamaan nykyaikaisia digitaalisia ympäristöjä hyödyntämällä verkon segmentointia, estämällä sivuttaista liikkumista, tarjoamalla vähiten etuoikeutettu käyttöoikeus ja käyttämällä edistynyttä analytiikkaa uhkien havaitsemiseen ja niihin vastaamiseen.
Lisätietoja Zero Trust -suojausmalli periaatteiden toteuttamisesta Microsoftin yhdistetyssä SecOps-ympäristössä on seuraavien palveluiden sisällön Zero Trust -suojausmalli:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
- Microsoft Defender for Endpoint
- Microsoft Defender for Cloud Apps
- Microsoft-suojauksen altistumishallinta
- Microsoft Defender for Cloud
- Microsoft Security Copilot
- Microsoft Entra ID -tunnuksien suojaus
- Microsoft Purview
Lisätietoja on Zero Trust -suojausmalli-ohjekeskuksessa.
Seuraavat vaiheet
Ota käyttöön Microsoftin yhdistetty suojaustoimintojen ympäristö