A Microsoft egységes biztonsági üzemeltetési platformjának áttekintése
Ez a cikk a Microsoft biztonsági termékeinek a Microsoft egységes biztonsági üzemeltetési platformján történő üzembe helyezésének megtervezésére irányuló tevékenységeket ismerteti a teljes körű biztonsági műveletek (SecOps) számára. A Microsoft platformján egységesítheti a biztonsági szolgáltatásokat, így csökkentheti a kockázatokat, megelőzheti a támadásokat, valós időben észlelheti és megzavarhatja a kibertámadásokat, és gyorsabban reagálhat az AI által továbbfejlesztett biztonsági képességekkel, mindezt a Microsoft Defender portálon.
Az üzembe helyezés megtervezése
A Microsoft egyesített SecOps platformja olyan szolgáltatásokat kombinál, mint a Microsoft Defender XDR, Microsoft Sentinel, Microsoft Biztonságikitettség-kezelés és Microsoft Security Copilot a Microsoft Defender portálon.
Az üzembe helyezés megtervezésének első lépése a használni kívánt szolgáltatások kiválasztása.
Alapvető előfeltételként Microsoft Defender XDR és Microsoft Sentinel is szüksége lesz a Microsoft és a nem Microsoft-szolgáltatások és -megoldások figyeléséhez és védelméhez, beleértve a felhőbeli és a helyszíni erőforrásokat is.
Az alábbi szolgáltatások bármelyikét üzembe helyezheti a végpontok, identitások, e-mailek és alkalmazások biztonságának biztosításához, hogy integrált védelmet nyújtson a kifinomult támadásokkal szemben.
Microsoft Defender XDR szolgáltatások a következők:
| Szolgáltatás | Leírás |
|---|---|
| Office 365-höz készült Microsoft Defender | Védelmet nyújt az e-mailek, URL-hivatkozások és Office 365 együttműködési eszközök által jelentett fenyegetések ellen. |
| Microsoft Defender for Identity | Azonosítja, észleli és kivizsgálja a helyi Active Directory és a felhőbeli identitások( például Microsoft Entra ID) fenyegetéseit. |
| Végponthoz készült Microsoft Defender | Figyeli és védi a végponteszközöket, észleli és kivizsgálja az eszközmegsértéseket, és automatikusan reagál a biztonsági fenyegetésekre. |
| Microsoft Defender for IoT | IoT-eszközfelderítést és biztonsági értéket is biztosít az IoT-eszközökhöz. |
| Microsoft Defender biztonságirés-kezelése | Azonosítja az eszközöket és a szoftverleltárat, és felméri az eszközök állapotát a biztonsági rések megtalálásához. |
| Microsoft Defender for Cloud Apps | Védi és szabályozza az SaaS-felhőalkalmazásokhoz való hozzáférést. |
Az Microsoft Defender portálon a Microsoft egyesített SecOps platformjának részeként támogatott, de a Microsoft Defender XDR licenccel nem rendelkező szolgáltatások közé tartoznak a következők:
| Szolgáltatás | Leírás |
|---|---|
| Microsoft Biztonságikitettség-kezelés | Egységes képet nyújt a vállalati eszközök és számítási feladatok biztonsági helyzetéről, és gazdagítja az eszközinformációkat a biztonsági környezettel. |
| Microsoft Biztonsági Copilot | A biztonsági műveletek javításához AI-alapú elemzéseket és javaslatokat biztosít. |
| Microsoft Defender for Cloud | Fejlett fenyegetésészleléssel és reagálással védi a többfelhős és hibrid környezeteket. |
| Microsoft Defender Intelligens veszélyforrás-felderítés | Leegyszerűsíti a fenyegetésfelderítési munkafolyamatokat a kritikus adatforrások összesítésével és bővítésével, így korrelálva a biztonsági rések mutatóit a kapcsolódó cikkekkel, aktorprofilokkal és biztonsági résekkel. |
| Microsoft Entra ID-védelem | Kiértékeli a bejelentkezési kísérletekből származó kockázati adatokat, hogy kiértékelje a környezetbe való bejelentkezések kockázatát. |
| Microsoft Purview Belső kockázatkezelés | Különböző jeleket korrelál, hogy azonosítsa a potenciális rosszindulatú vagy véletlen belső kockázatokat, például az IP-lopást, az adatszivárgást és a biztonsági szabálysértéseket. |
A szolgáltatás előfeltételeinek áttekintése
A Microsoft egyesített biztonsági műveleti platformjának üzembe helyezése előtt tekintse át az egyes használni kívánt szolgáltatások előfeltételeit. Az alábbi táblázat a szolgáltatásokat és hivatkozásokat sorolja fel további információkért:
| Biztonsági szolgáltatás | Előfeltételek |
|---|---|
| Az egyesített SecOpshoz szükséges | |
| Microsoft Defender XDR | Microsoft Defender XDR előfeltételek |
| Microsoft Sentinel | A Microsoft Sentinel üzembe helyezésének előfeltételei |
| Választható Microsoft Defender XDR szolgáltatások | |
| Office Microsoft Defender | Microsoft Defender XDR előfeltételek |
| Microsoft Defender for Identity | Microsoft Defender for Identity előfeltételek |
| Végponthoz készült Microsoft Defender | Végponthoz készült Microsoft Defender üzembe helyezés beállítása |
| Nagyvállalati monitorozás az IoT-hez készült Microsoft Defender | Az IoT-hez készült Defender előfeltételei a Defender portálon |
| A Microsoft Defender biztonságirés-kezelése | Előfeltételek & engedélyek Microsoft Defender biztonságirés-kezelés |
| Microsoft Defender for Cloud Apps | Ismerkedés a Microsoft Defender for Cloud Apps szolgáltatással |
| A Microsoft Defender portálon támogatott egyéb szolgáltatások | |
| Microsoft Biztonságikitettség-kezelés | Előfeltételek és támogatás |
| Microsoft Biztonsági Copilot | Minimális követelmények |
| Microsoft Defender for Cloud | Kezdje el megtervezni a többfelhős védelmet és más cikkeket ugyanabban a szakaszban. |
| Microsoft Defender Intelligens veszélyforrás-felderítés | A Defender veszélyforrás-felderítés előfeltételei |
| Microsoft Entra ID-védelem | A Microsoft Entra ID-védelem előfeltételei |
| Microsoft Purview Belső kockázatkezelés | Első lépések a belső kockázatkezelés terén |
Az adatok biztonságának és adatvédelmi gyakorlatának áttekintése
Mielőtt üzembe helyezné a Microsoft egységes biztonsági üzemeltetési platformját, győződjön meg arról, hogy tisztában van az egyes használni kívánt szolgáltatások adatbiztonsági és adatvédelmi gyakorlatával. Az alábbi táblázat a szolgáltatásokat és hivatkozásokat sorolja fel további információkért. Vegye figyelembe, hogy számos szolgáltatás használja az adatbiztonságot és az adatmegőrzési eljárásokat a Microsoft Defender XDR ahelyett, hogy külön eljárásokkal rendelkezik.
A Log Analytics-munkaterület architektúrájának megtervezve
A Microsoft egyesített SecOps-platformjának használatához engedélyeznie kell egy Log Analytics-munkaterületet Microsoft Sentinel. Egy Log Analytics-munkaterület számos környezethez elegendő lehet, de számos szervezet több munkaterületet hoz létre a költségek optimalizálása és a különböző üzleti követelmények jobb kielégítése érdekében. A Microsoft egyesített SecOps-platformja csak egyetlen munkaterületet támogat.
Tervezheti meg az Microsoft Sentinel engedélyezni kívánt Log Analytics-munkaterületet. Vegye figyelembe az adatgyűjtésre és tárolásra vonatkozó megfelelőségi követelményeket, valamint a Microsoft Sentinel adatokhoz való hozzáférés szabályozásának módját.
További információ:
Költségek és adatforrások tervezése Microsoft Sentinel
A Microsoft egyesített SecOps-platformja adatokat olvas be belső Microsoft-szolgáltatásokból, például a Microsoft Defender for Cloud Apps és a felhőhöz készült Microsoft Defender. Javasoljuk, hogy Microsoft Sentinel adatösszekötők hozzáadásával bővítse a lefedettséget a környezet más adatforrásaira.
Az adatforrások meghatározása
Határozza meg az adatforrások teljes készletét, amelyből adatokat fog betölteni, valamint az adatméretre vonatkozó követelményeket, amelyek segítenek az üzemelő példány költségvetésének és ütemtervének pontos kivetítésében. Ezeket az információkat az üzleti használati esetek áttekintése során, vagy egy már meglévő SIEM kiértékelésével határozhatja meg. Ha már rendelkezik SIEM-sel, elemezze az adatokat, és állapítsa meg, hogy mely adatforrások biztosítják a legnagyobb értéket, és Microsoft Sentinel kell betölteni őket.
Előfordulhat például, hogy az alábbi ajánlott adatforrások bármelyikét szeretné használni:
Azure-szolgáltatások: Ha az alábbi szolgáltatások bármelyike üzembe van helyezve az Azure-ban, az alábbi összekötőkkel küldje el ezeknek az erőforrásoknak a diagnosztikai naplóit a Microsoft Sentinel:
- Azure Firewall
- Azure Application Gateway
- Kulcstartó
- Azure Kubernetes Service
- Azure SQL
- Hálózati biztonsági csoportok
- Azure-Arc-kiszolgálók
Javasoljuk, hogy állítson be Azure Policy, hogy a naplókat a mögöttes Log Analytics-munkaterületre továbbítsák. További információ: Diagnosztikai beállítások létrehozása nagy méretekben Azure Policy használatával.
Virtuális gépek: A helyszínen vagy más felhőben üzemeltetett virtuális gépek esetében, amelyek naplóinak gyűjtését igénylik, használja a következő adatösszekötőket:
- események Windows biztonság az AMA használatával
- Események a Végponthoz készült Defenderen keresztül (kiszolgálóhoz)
- Syslog
Hálózati virtuális berendezések/helyszíni források: A közös eseményformátumot (CEF) vagy SYSLOG-naplókat létrehozó hálózati virtuális berendezések vagy más helyszíni források esetében használja a következő adatösszekötőket:
- Syslog az AMA-val
- Common Event Format (CEF) az AMA-n keresztül
További információ: Az adatösszekötők rangsorolása.
A költségvetés megtervezve
Tervezze meg a Microsoft Sentinel költségvetést, figyelembe véve az egyes tervezett forgatókönyvekre gyakorolt költségeket. Győződjön meg arról, hogy a költségvetés fedezi a Microsoft Sentinel és az Azure Log Analytics, az üzembe helyezett forgatókönyvek és így tovább az adatbetöltés költségeit. További információ:
- Naplómegőrzési tervek a Microsoft Sentinel
- Költségek megtervezése és a Microsoft Sentinel díjszabásának és számlázásának ismertetése
A Microsoft biztonsági portáljai és felügyeleti központjai
Bár a Microsoft Defender portál az identitások, adatok, eszközök és alkalmazások biztonságának figyelésének és kezelésének az otthona, bizonyos speciális feladatokhoz különböző portálokhoz kell hozzáférnie.
A Microsoft biztonsági portáljai a következők:
| Portál neve | Leírás | Láncszem |
|---|---|---|
| Microsoft Defender portál | Figyelheti és reagálhat a fenyegetésekkel kapcsolatos tevékenységekre, és megerősítheti a biztonsági állapotot az identitások, az e-mailek, az adatok, a végpontok és az alkalmazások Microsoft Defender XDR](.) használatával. /defender-xdr/microsoft-365-defender.md) |
security.microsoft.com A Microsoft Defender portálon tekintheti meg és kezelheti a riasztásokat, incidenseket, beállításokat és egyebeket. |
| Felhőhöz készült Defender portál | A felhőhöz készült Microsoft Defender használata az adatközpontok és a hibrid számítási feladatok biztonsági helyzetének megerősítéséhez a felhőben | portal.azure.com/#blade/Microsoft_Azure_Security |
| Microsoft biztonsági intelligencia portál | Biztonságiintelligencia-frissítések lekérése Végponthoz készült Microsoft Defender, minták beküldése és a fenyegetések enciklopédiájának megismerése | microsoft.com/wdsi |
Az alábbi táblázat más számítási feladatok portáljait ismerteti, amelyek hatással lehetnek a biztonságra. Az identitások, engedélyek, eszközbeállítások és adatkezelési szabályzatok kezeléséhez látogasson el ezekre a portálokra.
| Portál neve | Leírás | Láncszem |
|---|---|---|
| Microsoft Entra felügyeleti központ | A Microsoft Entra család elérése és felügyelete decentralizált identitással, identitásvédelemmel, irányítással és egyebekkel, többfelhős környezetben történő védelméhez | entra.microsoft.com |
| Azure Portal | Az összes Azure-erőforrás megtekintése és kezelése | portal.azure.com |
| Microsoft Purview portál | Adatkezelési szabályzatok kezelése és a szabályozásoknak való megfelelés biztosítása | purview.microsoft.com |
| Microsoft 365 felügyeleti központ | Microsoft 365-szolgáltatások konfigurálása; szerepkörök, licencek kezelése és a Microsoft 365-szolgáltatások frissítéseinek nyomon követése | admin.microsoft.com |
| Microsoft Intune Felügyeleti központ | Az eszközök felügyeletéhez és védelméhez használja a Microsoft Intune. Kombinálhatja Intune és Configuration Manager képességeit is. | intune.microsoft.com |
| Microsoft Intune portál | A Microsoft Intune használata eszközszabályzatok üzembe helyezéséhez és az eszközök megfelelőségének figyeléséhez | intune.microsoft.com |
Szerepkörök és engedélyek tervezése
A Microsoft Entra szerepköralapú hozzáférés-vezérlés (RBAC) használatával szerepköröket hozhat létre és rendelhet hozzá a biztonsági üzemeltetési csapaton belül, hogy megfelelő hozzáférést biztosítson a Microsoft egyesített SecOps-platformjában található szolgáltatásokhoz.
A Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlési (RBAC) modell egyetlen engedélykezelési felületet biztosít, amely egyetlen központi helyet biztosít a rendszergazdáknak a felhasználói engedélyek szabályozásához több biztonsági megoldásban. További információ: Microsoft Defender XDR Egyesített szerepköralapú hozzáférés-vezérlés (RBAC).
Az alábbi szolgáltatásokhoz használja a különböző elérhető szerepköröket, vagy hozzon létre egyéni szerepköröket, hogy részletesen szabályozhassa, hogy a felhasználók mit láthatnak és mit tehetnek. További információ:
Teljes felügyelet tevékenységek megtervezése
A Microsoft egyesített SecOps platformja a Microsoft Teljes felügyelet biztonsági modelljének része, amely a következő alapelveket foglalja magában:
| Biztonsági elv | Leírás |
|---|---|
| Explicit ellenőrzés | Mindig az összes rendelkezésre álló adatpont alapján végezze el a hitelesítést és az engedélyezést. |
| Minimális jogosultsági hozzáférés használata | Korlátozza a felhasználói hozzáférést igény szerinti és igény szerinti hozzáféréssel (JIT/JEA), kockázatalapú adaptív szabályzatokkal és adatvédelemmel. |
| Biztonsági incidens feltételezése | Minimalizálja a sugár- és szegmenshozzáférést. Ellenőrizze a végpontok közötti titkosítást, és használja az elemzéseket a láthatóság eléréséhez, a fenyegetésészlelés elősegítéséhez és a védelem javításához. |
Teljes felügyelet biztonság célja a modern digitális környezetek védelme a hálózati szegmentálás használatával, az oldalirányú mozgás megakadályozásával, a legalacsonyabb jogosultsági szintű hozzáférés biztosításával, valamint a fejlett elemzések használatával a fenyegetések észlelésére és elhárítására.
Az Teljes felügyelet alapelvek a Microsoft egységes SecOps platformján való implementálásáról az alábbi szolgáltatások Teljes felügyelet tartalomban talál további információt:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender for Identity
- Office 365-höz készült Microsoft Defender
- Végponthoz készült Microsoft Defender
- Microsoft Defender for Cloud Apps
- Microsoft Biztonságikitettség-kezelés
- Microsoft Defender for Cloud
- Microsoft Biztonsági Copilot
- Microsoft Entra ID-védelem
- Microsoft Purview
További információ: Teljes felügyelet Útmutató központ.
További lépés
A Microsoft egységes biztonsági üzemeltetési platformjának üzembe helyezése