A Microsoft egyesített SecOps-platformjának üzembe helyezése

A Microsoft egységes biztonsági üzemeltetési platformja egyesíti Microsoft Defender portál, Microsoft Sentinel és egyéb Microsoft Defender szolgáltatások képességeit. Ez a platform átfogó képet nyújt a szervezet biztonsági helyzetéről, és segít észlelni, kivizsgálni és reagálni a szervezeten belüli fenyegetésekre.

Microsoft Biztonságikitettség-kezelés és a Microsoft Threat Intelligence minden olyan környezetben elérhető, amely megfelel az előfeltételeknek, a szükséges engedélyekkel konfigurált felhasználók számára.

Előfeltételek

• A Microsoft egységes biztonsági üzemeltetési platformjának üzembe helyezése előtt győződjön meg arról, hogy rendelkezik egy tervvel, beleértve a munkaterület kialakítását, valamint a Microsoft Sentinel költségeinek és számlázásának megértését.

  További információ: Egyesített biztonsági műveleti platform tervezésének áttekintése.

Microsoft Defender XDR-szolgáltatások üzembe helyezése

Microsoft Defender XDR az incidensekre adott választ egyesítő fő képességeket integrál a szolgáltatások között, többek között Végponthoz készült Microsoft Defender, Office 365-höz készült Microsoft Defender, Microsoft Defender for Cloud Apps és Microsoft Defender for Identity. Ez az egységes felület hatékony funkciókat biztosít, amelyeket a Microsoft Defender portálon érhet el.

1. Microsoft Defender XDR automatikusan bekapcsol, amikor a szükséges engedélyekkel rendelkező jogosult ügyfelek felkeresik Microsoft Defender portált. További információ: A Microsoft Defender XDR bekapcsolása.

2. Folytassa a Microsoft Defender XDR-szolgáltatások üzembe helyezésével. A következő sorrend használatát javasoljuk:

   1. Microsoft Defender for Identity üzembe helyezése.

   2. Office 365-höz készült Microsoft Defender üzembe helyezése.

   3. Végponthoz készült Microsoft Defender üzembe helyezése. Adjon hozzá Microsoft Defender biztonságirés-kezelés és/vagy nagyvállalati monitorozást az IoT-eszközökhöz a környezetének megfelelően.

   4. Microsoft Defender for Cloud Apps üzembe helyezése.

Microsoft Entra ID-védelem konfigurálása

Microsoft Defender XDR képes Microsoft Entra ID-védelem jeleinek betöltésére és befoglalására, amely több milliárd bejelentkezési kísérlet kockázati adatait értékeli ki, és kiértékeli a környezetbe való bejelentkezések kockázatát. Microsoft Entra ID-védelem adatokat a Microsoft Entra ID a feltételes hozzáférési szabályzatok konfigurálásának módjától függően engedélyezi vagy tiltja a fiókhoz való hozzáférést.

Konfigurálja a Microsoft Entra ID-védelem a biztonsági helyzet javításához, és adjon hozzá Microsoft Entra jeleket az egyesített biztonsági műveletekhez. További információ: A Microsoft Entra ID-védelem-szabályzatok konfigurálása.

A Microsoft Defender for Cloud üzembe helyezése

A Microsoft Defender for Cloud egységes biztonsági felügyeleti felületet biztosít a felhőbeli erőforrások számára, és jeleket is küldhet Microsoft Defender XDR. Például érdemes lehet először csatlakoztatni az Azure-előfizetéseket a Microsoft Defender for Cloudhoz, majd továbblépni más felhőkörnyezetekre.

További információ: Azure-előfizetések csatlakoztatása.

Előkészítés a Microsoft Security Copilot

Bevezetés a Microsoft Security Copilot a biztonsági műveletek továbbfejlesztéséhez a fejlett AI-képességek használatával. Security Copilot segítséget nyújt a fenyegetésészlelésben, a vizsgálatban és a reagálásban, és gyakorlatban hasznosítható megállapításokat és javaslatokat nyújt a potenciális fenyegetések előtt. A Security Copilot használatával automatizálhatja a rutinfeladatokat, csökkentheti az incidensek észleléséhez és elhárításához használt időt, és javíthatja a biztonsági csapat általános hatékonyságát.

További információ: Ismerkedés a Security Copilot.

A munkaterület létrehozása és előkészítése a Microsoft Sentinel

A Microsoft Sentinel használatának első lépése egy Log Analytics-munkaterület létrehozása, ha még nincs ilyenje. Egy Log Analytics-munkaterület számos környezethez elegendő lehet, de számos szervezet több munkaterületet hoz létre a költségek optimalizálása és a különböző üzleti követelmények jobb kielégítése érdekében. A Microsoft egységes biztonsági üzemeltetési platformja csak egyetlen munkaterületet támogat.

1. Hozzon létre egy Biztonsági erőforráscsoportot irányítási célokra, amely lehetővé teszi Microsoft Sentinel erőforrások elkülönítését és a gyűjteményhez való szerepköralapú hozzáférést.
2. Hozzon létre egy Log Analytics-munkaterületet a Security erőforráscsoportban, és Microsoft Sentinel bele.

További információ: Microsoft Sentinel előkészítése.

Szerepkörök és engedélyek konfigurálása

A felhasználók kiépítése a korábban előkészített hozzáférési terv alapján. Az Teljes felügyelet alapelvek betartása érdekében javasoljuk, hogy szerepköralapú hozzáférés-vezérléssel (RBAC) csak az egyes felhasználók számára engedélyezett és releváns erőforrásokhoz biztosítson hozzáférést a teljes környezethez való hozzáférés helyett.

További információ:

• Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC) aktiválása
• Microsoft Entra ID szerepkörök hozzárendelése felhasználókhoz
• Hozzáférés biztosítása a felhasználónak az Azure-szerepkörökhöz

Előkészítés az egyesített SecOpsra

A Defender portálra Microsoft Sentinel előkészítésekor egyesítheti a képességeket olyan Microsoft Defender XDR, mint az incidenskezelés és a speciális veszélyforrás-keresés, és egységes SecOps-platformot hoz létre.

1. Telepítse az Microsoft Sentinel Microsoft Defender XDR megoldását a Tartalomközpontból. További információ: Beépített tartalom üzembe helyezése és kezelése.
2. Engedélyezze az Microsoft Defender XDR adatösszekötőt incidensek és riasztások gyűjtéséhez. További információ: Adatok csatlakoztatása Microsoft Defender XDR és Microsoft Sentinel között.
3. Bevezetés a Microsoft egyesített SecOps-platformjára. További információ: Microsoft Sentinel csatlakoztatása Microsoft Defender.

Rendszerkonfigurációk finomhangolása

Az üzembe helyezés finomhangolásához használja az alábbi Microsoft Sentinel konfigurációs beállításokat:

Állapot és naplózás engedélyezése

A támogatott Microsoft Sentinel erőforrások állapotának monitorozásához és integritásának naplózásához kapcsolja be a naplózási és állapotmonitorozási funkciót Microsoft Sentinel Beállítások lapján. Elemzéseket kaphat az állapoteltolódásokról, például a legutóbbi hibaeseményekről vagy a sikeres állapotok változásáról, valamint a jogosulatlan műveletekről, és ezekkel az információkkal értesítéseket és más automatizált műveleteket hozhat létre.

További információ:Naplózás és állapotmonitorozás bekapcsolása Microsoft Sentinel.

Microsoft Sentinel tartalom konfigurálása

Az üzembe helyezés tervezésekor kiválasztott adatforrások alapján telepítsen Microsoft Sentinel megoldásokat, és konfigurálja az adatösszekötőket. Microsoft Sentinel számos beépített megoldást és adatösszekötőt biztosít, de egyéni összekötőket is létrehozhat, és összekötőket állíthat be a CEF- vagy Syslog-naplók betöltéséhez.

További információ:

• Tartalom konfigurálása
• Microsoft Sentinel beépített tartalom felderítése és kezelése
• Az adatösszekötő megkeresése

Felhasználó- és entitásviselkedés-elemzés (UEBA) engedélyezése

Miután beállította az adatösszekötőket a Microsoft Sentinel, engedélyezze a felhasználói entitások viselkedéselemzését az adathalászati támadásokhoz és végül a zsarolóprogramokhoz hasonló támadásokhoz vezető gyanús viselkedés azonosításához. További információ: Enable UEBA in Microsoft Sentinel ( UEBA engedélyezése Microsoft Sentinel.

Interaktív és hosszú távú adatmegőrzés beállítása

Állítson be interaktív és hosszú távú adatmegőrzést, hogy szervezete hosszú távon is megőrizze a fontos adatokat. További információ: Interaktív és hosszú távú adatmegőrzés konfigurálása.

Elemzési szabályok engedélyezése

Az elemzési szabályok azt jelzik Microsoft Sentinel, hogy riasztást küldjenek az eseményekre olyan feltételekkel, amelyeket fontosnak tart. A beépített döntések Microsoft Sentinel a felhasználói entitások viselkedéselemzésén (UEBA) és az adatok több adatforrás közötti korrelációján alapulnak. A Microsoft Sentinel elemzési szabályainak bekapcsolásakor rangsorolja az engedélyezést a csatlakoztatott adatforrások, a szervezeti kockázat és a MITRE-taktika alapján.

További információ: Fenyegetésészlelés Microsoft Sentinel.

Anomáliák szabályainak áttekintése

Microsoft Sentinel anomáliára vonatkozó szabályok azonnal elérhetők, és alapértelmezés szerint engedélyezve vannak. Az anomáliára vonatkozó szabályok gépi tanulási modelleken és UEBA-n alapulnak, amelyek betanítják a munkaterületen lévő adatokat, hogy megjelölik a rendellenes viselkedést a felhasználók, gazdagépek és mások között. Tekintse át az egyes anomáliákra vonatkozó szabályokat és anomáliai pontszám küszöbértékét. Ha például hamis pozitív értékeket észlel, fontolja meg a szabály duplikálását és a küszöbérték módosítását.

További információ: Anomáliadetektálási elemzési szabályok használata.

A Microsoft Threat Intelligence elemzési szabályának használata

Engedélyezze a microsoftos fenyegetésfelderítési elemzési szabályt, és ellenőrizze, hogy ez a szabály megfelel-e a naplóadatoknak a Microsoft által létrehozott fenyegetésfelderítéssel. A Microsoft rengeteg fenyegetésfelderítési adattal rendelkezik, és ez az elemzési szabály annak egy részhalmazát használja a magas megbízhatósági riasztások és incidensek létrehozásához az SOC -csapatok (biztonsági műveleti központok) számára a osztályozáshoz.

Ismétlődő incidensek elkerülése

Miután csatlakoztatta Microsoft Sentinel Microsoft Defender, a rendszer automatikusan kétirányú szinkronizálást hoz létre Microsoft Defender XDR incidensek és Microsoft Sentinel között. Annak érdekében, hogy ne hozzon létre ismétlődő incidenseket ugyanazon riasztásokhoz, javasoljuk, hogy kapcsolja ki az összes Microsoft-incidenslétrehozási szabályt Microsoft Defender XDR integrált termékek esetében, beleértve a Végponthoz készült Defendert, a Defender for Identityt, a Office 365-höz készült Defender, Defender for Cloud Apps és Microsoft Entra ID-védelem.

További információ: Microsoft-incidens létrehozása .

MITRE ATT&CK crosswalk végrehajtása

A fúziós, anomáliák és fenyegetésfelderítési elemzési szabályok engedélyezésével végezzen egy MITRE Att&ck crosswalkot, amely segít eldönteni, hogy mely fennmaradó elemzési szabályokat kell engedélyeznie és befejeznie egy érett XDR(kiterjesztett észlelési és reagálási) folyamat megvalósítását. Ez lehetővé teszi, hogy észlelje és válaszoljon a támadás teljes életciklusa során.

További információ: A biztonsági lefedettség ismertetése.