Zero Trust-beveiliging met Microsoft Sentinel en Defender XDR
Microsoft Defender XDR is een XDR-oplossing die een aanvulling vormt op Microsoft Sentinel. Een XDR haalt onbewerkte telemetriegegevens op uit meerdere services, zoals cloudtoepassingen, e-mailbeveiliging, identiteits- en toegangsbeheer.
Met behulp van kunstmatige intelligentie (AI) en machine learning voert de XDR automatische analyse, onderzoek en realtime-respons uit. Het correleert ook beveiligingswaarschuwingen in grotere incidenten, waardoor beveiligingsteams meer inzicht krijgen in aanvallen en incidenten prioriteren om analisten te helpen risiconiveaus van bedreigingen te meten.
Met Microsoft Sentinel kunt u verbinding maken met veel beveiligingsbronnen met behulp van ingebouwde connectors en industriestandaarden. Met de AI kunt u meerdere signalen van lage kwaliteit correleren die meerdere bronnen omvatten om een volledige weergave te maken van de kill chain voor ransomware en waarschuwingen met prioriteit.
Algemene aanvalsvolgorde
In deze sectie wordt een typisch aanvalsscenario behandeld met betrekking tot een phishing-aanval en hoe u kunt reageren op het incident met Microsoft Sentinel en Microsoft Defender XDR.
Het diagram toont de Microsoft-beveiligingsproducten die elke aanvalsstap detecteren en hoe aanvalssignalen en SIEM-gegevensstroom naar Microsoft Defender XDR en Microsoft Sentinel worden gedetecteerd.
Hier volgt een samenvatting van de aanval.
| Aanvalsstap | Detectieservice en signaalbron | Verdediging ter plaatse |
|---|---|---|
| 1. Aanvaller verzendt phishing-e-mail | Microsoft Defender voor Office 365 | Beschermt postvakken met geavanceerde antiphishingfuncties die beschermen tegen phishingaanvallen op basis van schadelijke nabootsing. |
| 2. Gebruiker opent bijlage | Microsoft Defender voor Office 365 | Met de functie Veilige bijlagen van Microsoft Defender voor Office 365 worden bijlagen geopend in een geïsoleerde omgeving voor meer bedreigingsscans (detonatie). |
| 3. Bijlage installeert malware | Microsoft Defender voor Eindpunt | Beschermt eindpunten tegen malware met de beveiligingsfuncties van de volgende generatie, zoals door de cloud geleverde beveiliging en op gedrag gebaseerde/heuristische/realtime antivirusbeveiliging. |
| 4. Malware steelt gebruikersreferenties | Microsoft Entra ID en Microsoft Entra ID Protection | Beschermt identiteiten door het gedrag en activiteiten van gebruikers te bewaken, zijwaartse verplaatsing te detecteren en waarschuwingen te geven over afwijkende activiteiten. |
| 5. Aanvaller verplaatst zich lateraal over Microsoft 365-apps en -gegevens | Microsoft Defender voor Cloud Apps | Kan afwijkende activiteiten detecteren van gebruikers die toegang hebben tot cloud-apps. |
| 6. Aanvaller downloadt gevoelige bestanden uit een SharePoint-map | Microsoft Defender voor Cloud Apps | Kan gebeurtenissen voor massadownloads van bestanden van SharePoint detecteren en erop reageren. |
Als u uw Microsoft Sentinel-werkruimte hebt toegevoegd aan de Defender-portal, zijn SIEM-gegevens rechtstreeks beschikbaar met Microsoft Sentinel in de Microsoft Defender-portal.
Reactie op incidenten met Behulp van Microsoft Sentinel en Microsoft Defender XDR
Nadat u een veelvoorkomende aanval hebt waargenomen, gebruikt u Microsoft Sentinel en Microsoft Defender XDR voor reactie op incidenten.
Selecteer het relevante tabblad voor uw werkruimte, afhankelijk van of u deze hebt toegevoegd aan de Defender-portal.
Nadat u Microsoft Sentinel hebt toegevoegd aan de Defender-portal, moet u alle stappen voor het reageren op incidenten rechtstreeks in de Microsoft Defender-portal uitvoeren, net zoals voor andere Microsoft Defender XDR-incidenten. Ondersteunde stappen omvatten alles, van triage tot onderzoek en oplossing.
Gebruik het gebied Microsoft Sentinel in de Microsoft Defender-portal voor functies die niet alleen beschikbaar zijn in de Defender-portal.
Zie Reageren op een incident met behulp van Microsoft Sentinel en Microsoft Defender XDRvoor meer informatie.
Verwante inhoud
Zie Incidentrespons met geïntegreerde SIEM- en XDR-voor meer informatie.
Zie voor meer informatie over het toepassen van Zero Trust-principes in Microsoft 365:
- Zero Trust-implementatieplan met Microsoft 365
- Uw identiteitsinfrastructuur implementeren voor Microsoft 365-
- Zero Trust-identiteits- en apparaattoegangsconfiguraties
- Apparaten beheren met Microsoft Intune
- Testfase en implementeer Microsoft Defender XDR-
- Gegevensprivacy en gegevensbescherming beheren met Microsoft Priva en Microsoft Purview
- SaaS-apps integreren voor Zero Trust met Microsoft 365