本解決方案指南說明如何設定Microsoft擴充偵測和回應 (XDR) 工具,以及如何將這些工具與 Microsoft Sentinel 整合,讓您的組織能夠更快速地回應和補救網路安全攻擊。
Microsoft Defender XDR 是一種 XDR 解決方案,可自動收集、相互關聯和分析來自您Microsoft 365 環境的訊號、威脅和警示數據。
Microsoft Sentinel 是雲端原生解決方案,可提供安全性資訊和事件管理 (SIEM) 和安全性協調流程、自動化和回應 (SOAR) 功能。 Microsoft Sentinel 和 Microsoft Defender XDR 共同提供全面解決方案,協助組織抵禦新式攻擊。
本指南可透過下列方式對應零信任原則,協助您改善零信任架構:
| 零信任準則 | 符合者 |
|---|---|
| 明確驗證 | Microsoft Sentinel 會從整個環境收集數據,並分析威脅和異常狀況,讓您的組織和任何自動化都能處理已驗證的數據。 Microsoft Defender XDR 提供跨使用者、身分識別、裝置、應用程式和電子郵件的擴充偵測和回應。 設定 Microsoft Sentinel 自動化功能,以利用 Microsoft Defender XDR 擷取的風險訊號來採取行動,例如依風險封鎖或授權流量。 |
| 使用最低許可權存取 | Microsoft Sentinel 會透過其 UEBA 引擎偵測異常活動。 隨著安全情境的快速變化,其威脅情報系統會從 Microsoft 和第三方提供者匯入資料,以偵測並提供新興威脅的背景資訊。 Microsoft Defender XDR 包含 Microsoft Entra ID Protection,以根據身分識別風險封鎖使用者。 將相關數據饋送至Microsoft Sentinel,以進行進一步分析和自動化。 |
| 假設系統已遭突破 | Microsoft Defender XDR 會持續掃描環境是否有威脅和弱點。 Microsoft Sentinel 會分析收集的數據和行為趨勢,以偵測整個企業的可疑活動、異常和多階段威脅。 Microsoft Defender XDR 和 Microsoft Sentinel 都實作自動化補救工作,包括調查、裝置隔離和數據隔離。 使用裝置風險作為Microsoft Entra 條件式存取的訊號。 |
開始使用 Microsoft Defender XDR
部署 Microsoft Defender XDR 是建置組織內事件偵測和回應能力的絕佳起點。 Defender XDR 隨附於 Microsoft 365 E5,您甚至可以開始使用 Microsoft 365 E5 試用版授權。 Defender XDR 可以與 Microsoft Sentinel 或通用的 SIEM 工具整合。
如需詳細資訊,請參閱 試驗和部署 Microsoft Defender XDR。
Microsoft Sentinel 和 XDR 架構
Microsoft Sentinel 客戶可以使用下列其中一種方法,將 Microsoft Sentinel 與 Microsoft Defender XDR 服務整合:
將Microsoft Sentinel 上線至 Defender 入口網站,以將其與 Microsoft Defender XDR 搭配使用,以進行統一的安全性作業。 在 Defender 入口網站中直接檢視Microsoft Sentinel 數據,以及 Defender 事件、警示、弱點和安全性數據。
使用 Microsoft Sentinel 數據連接器,將 Microsoft Defender XDR 服務數據內嵌至 Microsoft Sentinel。 在 Azure 入口網站中檢視Microsoft Sentinel 數據。
本指引中心提供這兩種方法的資訊。 如果您已將工作區上線至 Defender 入口網站,請使用它;如果沒有,除非另有指示,否則請使用 Azure 入口網站。
下圖顯示Microsoft XDR解決方案如何在Defender入口網站中與 Microsoft Sentinel 整合。
在此圖表中:
- 來自您整個組織的訊號分析見解會匯入 Microsoft Defender XDR 和 Microsoft Defender for Cloud。
- Microsoft Sentinel 支援多雲端環境,並與第三方應用程式和合作夥伴整合。
- Microsoft Sentinel 資料會與貴組織的資料一起內嵌至 Microsoft Defender 入口網站。
- SecOps 小組可以在 Microsoft Microsoft Defender 入口網站中分析並回應 sentinel 和 Microsoft Defender XDR 所識別的威脅。
主要功能
實作零信任方法,以使用 Microsoft Sentinel 和 Defender XDR 功能來管理事件。 針對已整合到 Defender 入口網站的工作區,請在該入口網站內使用 Microsoft Sentinel。
| 能力或功能 | 說明 | 產品 |
|---|---|---|
| 自動化調查 & 回應 (AIR) | AIR 功能旨在檢查警示並立即採取動作解决違規問題。 AIR 功能顯著降低了警示量,使安全性作業能够集中於更複雜的威脅和其他高價值方案。 | Microsoft Defender XDR |
| 進階搜捕 | 進階搜捕是以查詢為基礎的威脅搜捕工具,可讓您探索最多 30 天的原始數據。 您可以主動檢查網路上的事件,以找出威脅指標和實體。 對資料的靈活存取可讓您不受限制地同時搜捕已知和潛在的威脅。 | Microsoft Defender XDR |
| 自定義檔案指標 | 禁止潛在的惡意檔案或可疑的惡意代碼,以防止貴組織中進一步傳播攻擊。 | Microsoft Defender XDR |
| Cloud Discovery | Cloud Discovery 會分析適用於端點的 Defender 所收集的流量記錄,並針對雲端應用程式目錄評估已識別的應用程式,以提供合規性和安全性資訊。 | Microsoft Defender for Cloud Apps (Microsoft 雲端應用程式防護) |
| 自定義網路指標 | 藉由建立IP和URL或網域的指標,您現在可以根據自己的威脅情報來允許或封鎖IP、URL或網域。 | Microsoft Defender XDR |
| 端點偵測和回應 (EDR) 區塊 | 當 Microsoft Defender 防病毒軟體 (MDAV) 不是主要防病毒產品且處於被動模式時,提供對惡意程式的額外保護。 封鎖模式中的 EDR 可在幕後運作,以補救 EDR 功能所偵測到的惡意成品。 | Microsoft Defender XDR |
| 裝置回應功能 | 藉由隔離裝置或收集調查套件,快速響應偵測到的攻擊 | Microsoft Defender XDR |
| 即時回應 | 即時回應可讓安全性作業小組立即存取裝置 (也稱為使用遠端殼層連線的電腦) 。 這可讓您執行深入調查工作,並立即採取回應動作,以即時立即包含已識別的威脅。 | Microsoft Defender XDR |
| 保護雲端應用程式 | 一套開發安全性作業 (DevSecOps) 解決方案,可跨多雲端和多管線環境統一程式碼層級的安全性管理。 | 適用於雲端的 Microsoft Defender |
| 改善安全性態勢 | 雲端安全性態勢管理 (CSPM) 解決方案,可呈現您可以採取的動作來防止缺口。 | 適用於雲端的 Microsoft Defender |
| 保護雲端工作負載 | 雲端工作負載保護平台 (CWPP) 具有伺服器、容器、儲存體、資料庫和其他工作負載的特定保護。 | 適用於雲端的 Microsoft Defender |
| 使用者與實體行為分析 (UEBA) | 分析組織實體的行為,例如使用者、主機、IP 位址和應用程式 | Microsoft Sentinel |
| 融合 | 以可調整機器學習演算法為基礎的相互關聯引擎。 自動偵測多階段攻擊,亦稱為進階持續性威脅(APT),藉由識別在攻擊鏈各個階段觀察到的異常行為和可疑活動的組合。 | Microsoft Sentinel |
| 威脅情報 | 使用Microsoft第三方提供者來擴充數據,以提供環境中活動、警示和記錄的額外內容。 | Microsoft Sentinel |
| 自動化 | 自動化規則是一種集中管理 Microsoft Sentinel 自動化的方法,允許您定義並協調一小組規則,使其能適用於不同情境。 | Microsoft Sentinel |
| 異常規則 | 異常規則範本會使用機器學習來偵測特定類型的異常行為。 | Microsoft Sentinel |
| 排程查詢 | 由 Microsoft 安全專家撰寫的內建規則,會在 Microsoft Sentinel 收集的記錄中搜尋可疑的活動鏈及已知的威脅。 | Microsoft Sentinel |
| 近乎即時 (NRT) 規則 | NRT 規則是一組有限的排程規則,其設計目的是每分鐘執行一次,以便盡可能提供 up-to資訊。 | Microsoft Sentinel |
| 狩獵 | 為了協助安全性分析師主動尋找那些未被安全應用程式或排程分析規則偵測到的新異常,Microsoft Sentinel 的內建搜尋查詢會引導您提出正確的問題,以找出您現有網路資料中的問題。 | Microsoft Sentinel 針對上線至 Defender 入口網站的工作區,請使用 Microsoft Defender 入口網站進階搜捕功能。 |
| Microsoft Defender XDR 連接器 | Microsoft Defender XDR 連接器會將記錄和事件同步至 Microsoft Sentinel。 | Microsoft Defender XDR 和 Microsoft Sentinel |
| 數據連接器 | 允許在 Microsoft Sentinel 中擷取數據以進行分析。 | Microsoft Sentinel |
| 內容中樞解決方案 -Zero 信任 (TIC 3.0) | 零信任(TIC 3.0)包含活頁簿、分析規則和指導手冊,提供零信任原則的自動化視覺化效果,並對應至信任因特網連線架構,協助組織隨著時間的推移監視配置。 | Microsoft Sentinel |
| 安全性協調流程、自動化和回應 (SOAR) | 使用自動化規則和劇本來回應安全性威脅會增加SOC的有效性,並節省您的時間和資源。 | Microsoft Sentinel |
| SOC 最佳化 | 填補涵蓋範圍中的漏洞以應對特定威脅,提高你對未提供安全性價值的數據過濾比率。 | Microsoft Sentinel 針對已接入 Microsoft Defender 入口網站的工作區域,使用 SOC 優化功能。 |
此解決方案的內容
此解決方案可協助您的安全性作業小組使用零信任方法來補救事件,方法是引導您完成Microsoft Sentinel 和 Microsoft Defender XDR 實作。 實作包含下列階段:
| 階段 | 說明 |
|---|---|
| 1. 試驗和部署 Microsoft Defender XDR 服務 | 從試驗 Microsoft Defender XDR 服務開始,以便先評估其特性和功能,再完成整個組織的部署。 |
| 2. 規劃部署 | 然後,規劃完整的 SIEM 和 XDR 部署,包括 XDR 服務和Microsoft Sentinel 的工作區。 |
| 3. 設定 XDR 工具和架構您的工作區 | 在此階段中,部署您決定在整個環境中使用的 XDR 服務、部署Microsoft Sentinel 和其他服務以支援 SIEM 和 XDR 解決方案。 如果您打算從 Azure 入口網站工作,請略過將 Microsoft Sentinel 連線到 Microsoft Defender 入口網站的步驟。 只有在您想要使用 Microsoft Sentinel Defender 入口網站時,此步驟才相關,而且如果您想要回應 Azure 入口網站中的事件,則不相關。 |
| 4.回應事件 | 最後,根據您是否已上線至 Defender 入口網站來回應事件: - 從 Defender 入口網站回應事件 - 從 Azure 入口網站回應事件 |
相關內容
如需詳細資訊,請參閱 使用 Microsoft Sentinel 和 Defender XDR 的零信任安全性, 以及入口網站的相關內容: