Nulla megbízhatósági biztonság a Microsoft Sentinel és a Defender XDR használatával
A Microsoft Defender XDR egy XDR-megoldás, amely kiegészíti a Microsoft Sentinelt. Az XDR nyers telemetriai adatokat kér le több szolgáltatásból, például a felhőalkalmazásokból, az e-mail-biztonságból, az identitáskezelésből és a hozzáférés-kezelésből.
A mesterséges intelligencia (AI) és a gépi tanulás használatával az XDR automatikus elemzést, vizsgálatot és valós idejű választ végez. Emellett korrelálja a biztonsági riasztásokat a nagyobb incidensekkel, így a biztonsági csapatok nagyobb betekintést kapnak a támadásokba, és rangsorolja az incidenseket, hogy segítsen az elemzőknek felmérni a fenyegetéskockázati szinteket.
A Microsoft Sentinel segítségével számos biztonsági forráshoz csatlakozhat beépített összekötők és iparági szabványok használatával. Az AI-vel több, több forrásra kiterjedő alacsony megbízhatóságú jelet is korrelálhat, hogy teljes képet hozzon létre a zsarolóprogramok ölési láncáról és a rangsorolási riasztásokról.
Gyakori támadási sorrend
Ez a szakasz egy tipikus, adathalász támadással járó támadási forgatókönyvet, valamint a Microsoft Sentinel és a Microsoft Defender XDR incidensre való reagálást ismerteti.
Az ábra a Microsoft biztonsági termékeit mutatja be, amelyek észlelik az egyes támadási lépéseket, valamint a támadási jeleket és a SIEM-adatfolyamot a Microsoft Defender XDR-be és a Microsoft Sentinelbe.
Íme a támadás összegzése.
| Támadási lépés | Észlelési szolgáltatás és jelforrás | A védelmi rendszerek készen állnak |
|---|---|---|
| 1. A támadó adathalász e-mailt küld | Office 365-höz készült Microsoft Defender | Speciális adathalászati funkciókkal védi a postaládákat, amelyek védelmet nyújtanak a rosszindulatú megszemélyesítésen alapuló adathalászati támadások ellen. |
| 2. A felhasználó megnyitja a mellékletet | Office 365-höz készült Microsoft Defender | Az Office 365-höz készült Microsoft Defender Biztonságos mellékletek funkció izolált környezetben nyitja meg a mellékleteket a további veszélyforrások vizsgálatához (detonáció). |
| 3. A melléklet telepíti a kártevőket | Microsoft Defender végponthoz | A végpontokat a következő generációs védelmi funkciókkal védi a kártevőktől, például a felhőalapú védelemmel és a viselkedésalapú/heurisztikus/valós idejű víruskereső védelemmel. |
| 4. A kártevők ellopják a felhasználói hitelesítő adatokat | Microsoft Entra ID és Microsoft Entra ID Protection | A felhasználói viselkedés és tevékenységek monitorozásával, az oldalirányú mozgás észlelésével és a rendellenes tevékenységek riasztásával védi az identitásokat. |
| 5. A támadó oldalirányban mozog a Microsoft 365-alkalmazások és -adatok között | Microsoft Védő a Felhőalkalmazásokhoz | Képes észlelni a felhőalkalmazásokhoz hozzáférő felhasználók rendellenes tevékenységeit. |
| 6. A támadó bizalmas fájlokat tölt le Egy SharePoint-mappából | Microsoft Defender for Cloud Apps | Képes észlelni és reagálni a SharePointból származó fájlok tömeges letöltési eseményeire. |
Ha a Microsoft Sentinel-munkaterületet a Defender portálra előkészítette, a SIEM-adatok közvetlenül a Microsoft Defender portálon érhetők el a Microsoft Sentinelben.
Incidenskezelés a Microsoft Sentinel és a Microsoft Defender XDR használatával
A gyakori támadás megfigyelése után használja a Microsoft Sentinelt és a Microsoft Defender XDR-t az incidensek elhárításához.
Válassza ki a munkaterület megfelelő lapját attól függően, hogy a Defender portálra előkészítette-e.
Miután a Microsoft Sentinelt a Defender portálra előkészítette, végezze el az összes incidenskezelési lépést közvetlenül a Microsoft Defender portálon, ugyanúgy, mint más Microsoft Defender XDR-incidensek esetén. A támogatott lépések a osztályozástól a vizsgálaton és a megoldáson át mindenre kiterjednek.
Használja a Microsoft Defender portál Microsoft Sentinel területét olyan funkciókhoz, amelyek nem érhetők el egyedül a Defender portálon.
További információ: Reagálás incidensre a Microsoft Sentinel és a Microsoft Defender XDRhasználatával.
Kapcsolódó tartalom
További információért lásd az integrált SIEM és XDR incidenskezelési válaszokat a éspontban.
A Microsoft 365-ben a zéró megbízhatósági elvek alkalmazásával kapcsolatos további információkért lásd:
- Nulla megbízhatósági üzembehelyezési csomag a Microsoft 365
- Identitásinfrastruktúra üzembe helyezése a Microsoft 365
- Zéró megbízhatóságú identitás- és eszközelérési konfigurációk
- Eszközök kezelése a Microsoft Intune segítségével
- Microsoft Defender XDR- próbaüzeme és üzembe helyezése
- Adatvédelem és adatbiztonság kezelése a Microsoft Priva és a Microsoft Purview használatával
- A zéró megbízhatóságú SaaS-alkalmazások integrálása a Microsoft 365