本解决方案指南介绍如何设置Microsoft扩展的检测和响应(XDR)工具,以及如何将这些工具与Microsoft Sentinel 集成,以便组织能够更快地响应和修正网络安全攻击。
Microsoft Defender XDR 是一种 XDR 解决方案,可自动从 Microsoft 365 环境中收集、关联和分析信号、威胁和警报数据。
Microsoft Sentinel 是一种云原生解决方案,提供安全信息和事件管理(SIEM)和安全业务流程、自动化和安全响应(SOAR)功能。 Microsoft Sentinel 和 Microsoft Defender XDR 共同提供了一个全面的解决方案,以帮助组织抵御现代攻击。
本指南通过以下方式映射零信任原则,帮助你改进零信任体系结构:
| 零信任原则 | 满足者 |
|---|---|
| 明确地验证 | Microsoft Sentinel 从环境中收集数据,并分析威胁和异常,以便组织以及任何自动化都可以处理已验证的数据。 Microsoft Defender XDR 提供跨用户、标识、设备、应用和电子邮件的扩展检测和响应。 将 Microsoft Sentinel 自动化配置为使用 Microsoft Defender XDR 捕获的基于风险的信号来采取措施,例如根据风险阻止或授权流量。 |
| 使用最低权限访问 | Microsoft Sentinel 通过其 UEBA 引擎检测异常活动。 随着安全场景的快速变化,其威胁情报从Microsoft和第三方提供商导入数据,以检测和关联新兴威胁。 Microsoft Defender XDR 包括 Microsoft Entra ID Protection,用于根据身份风险阻止用户。 将相关数据馈送到 Microsoft Sentinel 中,以便进一步分析和自动化。 |
| 假定已发生安全漏洞 | Microsoft Defender XDR 持续扫描环境是否存在威胁和漏洞。 Microsoft Sentinel 分析收集的数据和行为趋势,以检测企业中的可疑活动、异常和多阶段威胁。 Microsoft Defender XDR 和 Microsoft Sentinel 都实施自动修正任务,包括调查、设备隔离和数据隔离。 使用设备风险作为Microsoft Entra 条件访问的信号。 |
Microsoft Defender XDR 入门
部署 Microsoft Defender XDR 是构建组织内事件检测和响应能力的绝佳起点。 Defender XDR 包含在 Microsoft 365 E5 中,甚至可以开始使用 Microsoft 365 E5 试用许可证。 Defender XDR 可与 Microsoft Sentinel 或 通用 SIEM 工具集成。
有关详细信息,请参阅 试点和部署 Microsoft Defender XDR。
Microsoft Sentinel 和 XDR 体系结构
Microsoft Sentinel 客户可以使用以下方法之一将Microsoft Sentinel 与 Microsoft Defender XDR 服务集成:
将 Microsoft Sentinel 加入 Defender 门户,将其与 Microsoft Defender XDR 一起使用,以便进行统一的安全作。 在 Defender 门户中直接查看Microsoft Sentinel 数据,以及 Defender 事件、警报、漏洞和安全数据。
使用 Microsoft Sentinel 数据连接器将 Microsoft Defender XDR 服务数据引入 Microsoft Sentinel。 在 Azure 门户中查看Microsoft Sentinel 数据。
本指南中心提供了这两种方法的信息。 如果已将工作区加入 Defender 门户,请使用它;如果没有,请使用 Azure 门户,除非另有说明。
- Defender 门户
- Azure 门户
下图显示了 Microsoft 的 XDR 解决方案如何在 Defender 门户中与 Microsoft Sentinel 集成。
在此图中:
- 来自整个组织信号的见解会馈送到 Microsoft Defender XDR 和 Microsoft Defender for Cloud。
- Microsoft Sentinel 为多云环境提供支持,并与第三方应用和合作伙伴集成。
- Microsoft Sentinel 数据与组织的数据一起引入到 Microsoft Defender 门户中。
- SecOps 团队可以在 Microsoft Defender 门户中分析和响应Microsoft Sentinel 和 Microsoft Defender XDR 标识的威胁。
关键功能
实现零信任方法,以使用 Microsoft Sentinel 和 Defender XDR 功能管理事件。 对于已添加到 Defender 门户的工作区,请使用 Defender 门户中的 Microsoft Sentinel。
| 功能或特性 | DESCRIPTION | 产品 |
|---|---|---|
| 自动调查 & 响应 (AIR) | AIR 功能旨在检查警报并立即采取措施来解决违规问题。 AIR 功能明显减少了警报量,使安全运营人员能够专注于更复杂的威胁和其他高价值的计划。 | Microsoft Defender XDR |
| 高级搜寻 | 高级搜寻是基于查询的威胁搜寻工具,可用于浏览长达 30 天的原始数据。 可以主动检查网络上的事件,以查找威胁指示器和实体。 通过灵活访问数据,可以不受约束地搜寻已知威胁和潜在威胁。 | Microsoft Defender XDR |
| 自定义文件指示器 | 通过禁止潜在的恶意文件或可疑恶意软件,防止进一步传播组织中的攻击。 | Microsoft Defender XDR |
| 云发现 | Cloud Discovery 分析 Defender for Endpoint 收集的流量日志,并针对云应用目录评估已识别的应用,以提供合规性和安全信息。 | 微软云应用防护 (Microsoft Defender for Cloud Apps) |
| 自定义网络指示器 | 通过为 IP 和 URL 或域创建指示器,现在可以基于自己的威胁情报允许或阻止 IP、URL 或域。 | Microsoft Defender XDR |
| 终结点检测和响应(EDR)块 | 当 Microsoft Defender 防病毒(MDAV)不是主要防病毒产品且处于被动模式时,提供对恶意项目的添加保护。 块模式下的 EDR 在后台工作,以修正 EDR 功能检测到的恶意项目。 | Microsoft Defender XDR |
| 设备响应功能 | 通过隔离设备或收集调查包快速响应检测到的攻击 | Microsoft Defender XDR |
| 实时响应 | 实时响应允许安全运营团队使用远程 shell 连接即时访问设备 (也称为计算机) 。 这使你能够进行深入的调查工作,并立即采取响应作,以及时实时遏制已识别的威胁。 | Microsoft Defender XDR |
| 保护云应用程序 | 一种开发安全运营 (DevSecOps) 解决方案,可跨多云和多管道环境统一代码级别的安全管理。 | Microsoft Defender for Cloud |
| 改善安全状况 | 一种云安全态势管理 (CSPM) 解决方案,能够展示可采取的用于防止违规的措施。 | Microsoft Defender for Cloud |
| 保护云工作负载 | 一种云工作负载保护平台 (CWPP),可为服务器、容器、存储、数据库和其他工作负载提供特定保护。 | Microsoft Defender for Cloud |
| 用户和实体行为分析 (UEBA) | 分析组织实体的行为,例如用户、主机、IP 地址和应用程序 | Microsoft Sentinel |
| 融合 | 基于可扩展机器学习算法的相关引擎。 通过识别在杀伤链各个阶段观察到的异常行为和可疑活动的组合,自动检测多阶段攻击和高级持续性威胁(APT)。 | Microsoft Sentinel |
| 威胁智能 | 使用Microsoft第三方提供程序来扩充数据,以提供有关环境中活动、警报和日志的额外上下文。 | Microsoft Sentinel |
| 自动化 | 自动化规则是一种使用 Microsoft Sentinel 集中管理自动化的方法,它允许你定义和协调一组可应用于不同方案的规则。 | Microsoft Sentinel |
| 异常规则 | 异常规则模板使用机器学习来检测特定类型的异常行为。 | Microsoft Sentinel |
| 计划查询 | 由Microsoft安全专家编写的内置规则,这些规则通过Microsoft Sentinel 收集的日志来搜索可疑活动链(已知威胁)。 | Microsoft Sentinel |
| 准实时 (NRT) 规则 | NRT 规则是有限的一组计划规则,旨在每分钟运行一次,以便尽可能 up-to-the-minute 提供信息。 | Microsoft Sentinel |
| 狩猎 | 为了帮助安全分析师主动查找安全应用甚至计划分析规则未检测到的新异常,Microsoft Sentinel 的内置搜寻查询将指导你提出正确的问题,以查找网络上已有的数据中的问题。 | Microsoft Sentinel 对于载入 Defender 门户的工作区,请使用 Microsoft Defender 门户高级搜寻功能。 |
| Microsoft Defender XDR 连接器 | Microsoft Defender XDR 连接器将日志和事件同步到 Microsoft Sentinel。 | Microsoft Defender XDR 和 Microsoft Sentinel |
| 数据连接器 | 允许在 Microsoft Sentinel 中引入数据进行分析。 | Microsoft Sentinel |
| 内容中心解决方案 -Zero 信任(TIC 3.0) | 零信任(TIC 3.0)包括工作簿、分析规则和行动计划,这些工具提供了零信任原则的自动化可视化效果,并与信任互联网连接框架进行对接,帮助组织随着时间的推移监控配置。 | Microsoft Sentinel |
| 安全业务流程、自动化和响应(SOAR) | 使用自动化规则和剧本来应对安全威胁可以提升安全运行中心的有效性,同时节省时间和资源。 | Microsoft Sentinel |
| SOC 优化 | 弥补针对特定威胁的覆盖差距,并加强对不提供安全价值的数据的摄取率。 | Microsoft Sentinel 对于接入 Defender 门户的工作区,请在 Microsoft Defender 门户中使用 SOC 优化。 |
此解决方案中的内容
此解决方案通过指导您的安全运营团队完成 Microsoft Sentinel 和 Microsoft Defender XDR 的实施,协助他们采用零信任策略解决事件。 实现包括以下阶段:
| 阶段 | DESCRIPTION |
|---|---|
| 1. 试点和部署 Microsoft Defender XDR 服务 | 首先试点Microsoft Defender XDR 服务,以便在完成整个组织的部署之前评估其特性和功能。 |
| 2. 规划部署 | 然后,规划完整的 SIEM 和 XDR 部署,包括用于 Microsoft Sentinel 的 XDR 服务和工作区。 |
| 3. 设置 XDR 工具和构建工作区 | 在此阶段,部署你决定在整个环境中使用的 XDR 服务,部署 Microsoft Sentinel 和其他服务以支持 SIEM 和 XDR 解决方案。 如果计划从 Azure 门户工作,请跳过将 Microsoft Sentinel 连接到 Microsoft Defender 门户的步骤。 仅当想要使用 Microsoft Sentinel Defender 门户时,此步骤才相关,如果想要在 Azure 门户中响应事件,则与此步骤无关。 |
| 处理突发事件 | 最后,根据您是否已接入 Defender 门户来响应事件: - 在 Defender 门户中应对事件 - 在 Azure 门户中响应事件 |
相关内容
有关详细信息,请参阅 Microsoft Sentinel 和 Defender XDR 的零信任安全策略,以及您门户的相关内容:
- Defender 门户
- Azure 门户
有关在 Microsoft 365 中应用零信任原则的详细信息,请参阅: