Pilotare e distribuire Microsoft Defender XDR

Si applica a:

  • Microsoft Defender XDR

Questa serie di articoli illustra l'intero processo di pilotaggio dei componenti di Microsoft Defender XDR nel tenant di produzione in modo da poter valutarne le funzionalità e quindi completare la distribuzione nell'organizzazione.

Una soluzione di rilevamento e risposta eXtended (XDR) è un passo avanti nella sicurezza informatica perché accetta i dati sulle minacce dai sistemi che una volta erano isolati e li unifica in modo da poter vedere i modelli e agire su sospetti attacchi informatici più velocemente.

Microsoft Defender XDR:

  • Soluzione XDR che combina le informazioni sugli attacchi informatici per identità, endpoint, posta elettronica e app cloud in un'unica posizione. Sfrutta l'intelligenza artificiale e l'automazione per arrestare automaticamente alcuni tipi di attacchi e correggere gli asset interessati in uno stato sicuro.

  • È una suite di difesa aziendale basata sul cloud, unificata, pre e post-violazione. Coordina la prevenzione, il rilevamento, l'analisi e la risposta tra identità, endpoint, posta elettronica, app cloud e i relativi dati.

  • Contribuisce a un'architettura di Zero Trust avanzata fornendo protezione e rilevamento delle minacce. Aiuta a prevenire o ridurre i danni aziendali causati da una violazione. Per altre informazioni, vedere Implementare la protezione dalle minacce e lo scenario aziendale XDR nel framework di adozione di Microsoft Zero Trust.

Microsoft Defender XDR componenti e architettura

Questa tabella elenca i componenti di Microsoft Defender XDR.

Componente Descrizione Ulteriori informazioni
Microsoft Defender per identità Usa i segnali provenienti dalla Active Directory locale Domain Services (AD DS) e Active Directory Federation Services (AD FS) per identificare, rilevare e analizzare minacce avanzate, identità compromesse e azioni insider dannose dirette all'organizzazione. Che cos'è Microsoft Defender per identità?
Exchange Online Protection Servizio di inoltro SMTP nativo basato sul cloud e filtro che consente di proteggere l'organizzazione da posta indesiderata e malware. Panoramica di Exchange Online Protection (EOP) - Office 365
Microsoft Defender per Office 365 Protegge l'organizzazione da minacce dannose poste da messaggi di posta elettronica, collegamenti (URL) e strumenti di collaborazione. Microsoft Defender per Office 365 - Office 365
Microsoft Defender per endpoint Una piattaforma unificata per la protezione dei dispositivi, il rilevamento post-violazione, l'indagine automatizzata e la risposta consigliata. Microsoft Defender per endpoint - Sicurezza di Windows
Microsoft Defender for Cloud Apps Una soluzione cross-SaaS completa che offre visibilità approfondita, controlli dei dati avanzati e protezione avanzata dalle minacce alle app cloud. Cos’è Defender per app cloud?
Microsoft Entra ID Protection Valuta i dati di rischio da miliardi di tentativi di accesso e usa questi dati per valutare il rischio di ogni accesso al tenant. Questi dati vengono usati da Microsoft Entra ID per consentire o impedire l'accesso all'account, a seconda della configurazione dei criteri di accesso condizionale. Microsoft Entra ID Protection è separato da Microsoft Defender XDR ed è incluso nelle licenze di Microsoft Entra ID P2. Che cos'è Identity Protection?

Questa figura illustra l'architettura e l'integrazione dei componenti Microsoft Defender XDR.

Diagramma che mostra l'architettura generale di Microsoft Defender XDR.

In questa illustrazione:

  • Microsoft Defender XDR combina i segnali provenienti da tutti i componenti di Defender per fornire XDR tra domini. Sono inclusi una coda unificata degli eventi imprevisti, una risposta automatizzata per arrestare gli attacchi, la correzione automatica (per dispositivi compromessi, identità utente e cassette postali), la ricerca tra minacce e l'analisi delle minacce.
  • Microsoft Defender per Office 365 protegge l'organizzazione dalle minacce dannose rappresentate da messaggi di posta elettronica, collegamenti (URL) e strumenti di collaborazione. Condivide i segnali risultanti da queste attività con Microsoft Defender XDR. Exchange Online Protection (EOP) è integrato per fornire protezione end-to-end per la posta elettronica e gli allegati in ingresso.
  • Microsoft Defender per identità raccoglie i segnali dai controller di dominio e dai server di Active Directory Domain Services che eseguono AD FS e AD CS. Usa questi segnali per proteggere l'ambiente di identità ibrido, inclusa la protezione dagli hacker che usano account compromessi per spostarsi lateralmente tra le workstation nell'ambiente locale.
  • Microsoft Defender per endpoint raccoglie i segnali da e protegge i dispositivi gestiti dall'organizzazione.
  • Microsoft Defender for Cloud Apps raccoglie segnali dall'uso delle app cloud da parte dell'organizzazione e protegge i dati che passano tra l'ambiente IT e queste app, incluse le app cloud approvate e non approvate.
  • Microsoft Entra ID Protection valuta i dati di rischio da miliardi di tentativi di accesso e usa questi dati per valutare il rischio di ogni accesso al tenant. Questi dati vengono usati da Microsoft Entra ID per consentire o impedire l'accesso all'account in base alle condizioni e alle restrizioni dei criteri di accesso condizionale. Microsoft Entra ID Protection è separato da Microsoft Defender XDR ed è incluso nelle licenze di Microsoft Entra ID P2.

componenti Microsoft Defender XDR e integrazione SIEM

È possibile integrare Microsoft Defender XDR componenti con Microsoft Sentinel o un servizio generico di gestione delle informazioni di sicurezza e degli eventi (SIEM) per abilitare il monitoraggio centralizzato di avvisi e attività dalle app connesse.

Diagramma che mostra Microsoft Defender XDR integrazione con SIEM.

Microsoft Sentinel è una soluzione nativa del cloud che offre funzionalità di orchestrazione, automazione e risposta (SOAR) di sicurezza e SIEM. Insieme, i componenti Microsoft Sentinel e Microsoft Defender XDR offrono una soluzione completa per aiutare le organizzazioni a difendersi dagli attacchi moderni.

Microsoft Sentinel include connettori per i componenti Microsoft Defender. Ciò consente non solo di ottenere visibilità nelle app cloud, ma anche di ottenere analisi sofisticate per identificare e combattere le minacce informatiche e controllare il modo in cui i dati viaggiano. Per altre informazioni, vedere Panoramica dei passaggi di integrazione e integrazione di Microsoft Defender XDR e Microsoft Sentinelper Microsoft Sentinel e Microsoft Defender XDR.

Per altre informazioni su SOAR in Microsoft Sentinel (inclusi i collegamenti ai playbook nel repository GitHub Microsoft Sentinel), vedere Automatizzare la risposta alle minacce con i playbook in Microsoft Sentinel.

Per informazioni sull'integrazione con sistemi SIEM di terze parti, vedere Integrazione SIEM generica.

Microsoft Defender XDR e un esempio di attacco alla sicurezza informatica

Questo diagramma mostra un attacco informatico comune e i componenti di Microsoft Defender XDR che consentono di rilevarlo e correggerlo.

Diagramma che mostra i vari tentativi di attacco alla cyber security.

L'attacco informatico inizia con un messaggio di posta elettronica di phishing che arriva alla posta in arrivo di un dipendente dell'organizzazione, che apre inconsapevolmente l'allegato di posta elettronica. Questo allegato installa malware, che può portare a una catena di tentativi di attacco che possono causare il furto di dati sensibili.

Nella figura:

  • Exchange Online Protection, parte di Microsoft Defender per Office 365, può rilevare la posta elettronica di phishing e usare le regole del flusso di posta (note anche come regole di trasporto) per assicurarsi che non arrivi mai nella posta in arrivo di un utente.
  • Defender per Office 365 usa allegati sicuri per testare l'allegato e determinare che è dannoso, in modo che la posta che arriva non sia utilizzabile dall'utente o i criteri impediscono l'arrivo della posta elettronica.
  • Defender per endpoint rileva vulnerabilità di dispositivo e rete che potrebbero altrimenti essere sfruttate per i dispositivi gestiti dall'organizzazione.
  • Defender per identità prende nota delle improvvise modifiche dell'account utente locale, ad esempio l'escalation dei privilegi o lo spostamento laterale ad alto rischio. Segnala anche problemi di identità facilmente sfruttati, ad esempio la delega Kerberos non vincolata, per la correzione da parte del team di sicurezza.
  • Microsoft Defender for Cloud Apps rileva un comportamento anomalo, ad esempio il viaggio impossibile, l'accesso alle credenziali e il download insolito, la condivisione di file o l'attività di inoltro della posta elettronica e le segnala al team di sicurezza.

Processo pilota e di distribuzione per Microsoft Defender XDR

Microsoft consiglia di abilitare i componenti di Microsoft 365 Defender nell'ordine seguente.

Diagramma che mostra il processo pilota e di distribuzione per Microsoft Defender XDR.

Fase Collegamento
R. Avviare il progetto pilota Avviare il progetto pilota
B. Pilotare e distribuire componenti Microsoft Defender XDR - Pilotare e distribuire Defender per identità

- Pilotare e distribuire Defender per Office 365

- Pilotare e distribuire Defender per endpoint

- Pilotare e distribuire Microsoft Defender for Cloud Apps
C. Analizzare e rispondere alle minacce Praticare l'indagine e la risposta agli eventi imprevisti

Questo ordine è progettato per sfruttare rapidamente il valore delle funzionalità in base all'impegno in genere necessario per distribuire e configurare le funzionalità. Ad esempio, Defender per Office 365 può essere configurato in meno tempo di quanto necessario per registrare i dispositivi in Defender per endpoint. Assegnare priorità ai componenti per soddisfare le esigenze aziendali.

Avviare il progetto pilota

Microsoft consiglia di avviare il progetto pilota nella sottoscrizione di produzione esistente di Microsoft 365 per ottenere immediatamente informazioni dettagliate reali ed è possibile ottimizzare le impostazioni per contrastare le minacce correnti nel tenant di Microsoft 365. Dopo aver acquisito esperienza e aver acquisito familiarità con la piattaforma, è sufficiente espandere l'uso di ogni componente, uno alla volta, alla distribuzione completa.

Un'alternativa consiste nel configurare l'ambiente del lab di valutazione Microsoft Defender XDR. Tuttavia, questo ambiente non mostrerà informazioni reali sulla sicurezza informatica, ad esempio minacce o attacchi al tenant di Microsoft 365 di produzione durante la fase pilota e non sarà possibile spostare le impostazioni di sicurezza da questo ambiente al tenant di produzione.

Uso di licenze di valutazione Microsoft 365 E5

Se non si dispone di Microsoft 365 E5 e si vuole sfruttare Microsoft 365 E5 licenze di valutazione per il progetto pilota:

  1. Accedere al portale di amministrazione del tenant di Microsoft 365 esistente.

  2. Selezionare Servizi di acquisto dal menu di spostamento.

  3. Nella sezione Office 365 selezionare Dettagli in Office 365 E5 licenza.

    Screenshot del pulsante Dettagli nel portale di Microsoft Defender.

  4. Selezionare Avvia versione di valutazione gratuita.

    Screenshot del pulsante Avvia versione di valutazione gratuita nel portale di Microsoft Defender.

  5. Confermare la richiesta e selezionare Prova ora.

    Screenshot del pulsante Prova ora nel portale di Microsoft Defender.

Il progetto pilota che usa licenze di valutazione Microsoft 365 E5 nel tenant di produzione esistente consentirà di mantenere le impostazioni e i metodi di sicurezza quando la versione di valutazione scade e si acquistano licenze equivalenti.

Passaggio successivo

Diagramma che mostra Microsoft Defender per identità nel processo pilota e distribuisci Microsoft Defender XDR.

Vedere Pilota e distribuire Microsoft Defender per identità.

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.