Questo articolo illustra gli approcci migliori per configurare Microsoft Defender 365 e altri strumenti di Microsoft XDR, il primo passaggio per configurare un ambiente integrato con Microsoft Sentinel.
I prodotti Microsoft Defender sono la migliore classe per una suite di sicurezza. Le organizzazioni mature unificano le piattaforme di sicurezza per garantire che le soluzioni consedano le informazioni tra loro per un rilevamento delle minacce più granulare. Gli strumenti Microsoft XDR hanno impostazioni che consentono alle utilità di inoltrare le informazioni tra loro. Inoltre, ogni strumento è progettato per arricchire i dati tra loro.
Distribuzione pilota e distribuzione di Microsoft Defender XDR
Microsoft fornisce indicazioni utili per configurare e iniziare a usare i componenti XDR di Microsoft Defender. I servizi componenti che fanno parte dello stack XDR di Microsoft Defender sono:
Questo ordine è progettato per applicare rapidamente il valore delle funzionalità in base alla quantità di lavoro in genere necessaria per distribuire e configurare le funzionalità. Ad esempio, Defender per Office 365 può essere configurato in meno tempo rispetto alla necessità di registrare i dispositivi in Defender per endpoint. Classificare in ordine di priorità i componenti per soddisfare le esigenze aziendali.
Portale di Microsoft Defender
Il portale di Microsoft Defender combina la protezione, il rilevamento, l'indagine e la risposta alle minacce tramite posta elettronica, collaborazione, identità, dispositivo e app cloud, in una posizione centrale. Il portale unificato di Microsoft Defender XDR evidenzia l'accesso rapido alle informazioni, ai layout più semplici e alla creazione di informazioni correlate per un uso più semplice.
Per impostazione predefinita, il portale di Defender include:
Microsoft Defender per Office 365 Microsoft Defender per Office 365 consente alle organizzazioni di proteggere l'azienda con un set di funzionalità di prevenzione, rilevamento, indagine e ricerca per proteggere la posta elettronica e le risorse di Office 365.
Microsoft Defender per endpoint offre protezione preventiva, rilevamento post-violazione, indagine automatizzata e risposta per i dispositivi nell'organizzazione.
Microsoft Defender per identità è una soluzione di sicurezza basata sul cloud che usa i segnali Active Directory locale per identificare, rilevare e analizzare minacce avanzate, identità compromesse e azioni interne dannose dirette all'organizzazione.
app Microsoft Defender per il cloud è una soluzione Multi-SaaS e PaaS completa che offre visibilità approfondita, controlli dati avanzati e protezione avanzata dalle minacce per le app cloud.
Successivamente, quando si configura l'area di lavoro di Microsoft Sentinel, è anche possibile aggiungere Microsoft Sentinel al portale di Defender.
Guardare questo breve video per informazioni sul portale di Microsoft Defender.
Abilitare Microsoft Entra ID Protection
Microsoft Defender XDR inserisce e include anche i segnali di Microsoft Entra ID Protection, come illustrato di seguito.
Microsoft Entra ID Protection è separato da Microsoft Defender XDR ed è incluso nelle licenze microsoft Entra ID P2.
Microsoft Entra ID Protection valuta i dati sui rischi provenienti da miliardi di tentativi di accesso e usa questi dati per valutare il rischio di ogni accesso all'ambiente. Questi dati vengono usati da Microsoft Entra ID per consentire o impedire l'accesso all'account, a seconda della configurazione dei criteri di accesso condizionale.
Se non si intende eseguire l'onboarding dell'area di lavoro di Microsoft Sentinel nella piattaforma unificata per le operazioni di sicurezza, è consigliabile inserire anche i segnali da Microsoft Entra ID Protection in Microsoft Sentinel. Per abilitare Microsoft Entra ID Protection, vedere Microsoft Entra ID Protection.
Abilitare Microsoft Defender for Cloud
È possibile completare la distribuzione degli strumenti Microsoft XDR abilitando Microsoft Defender per il cloud e quindi includere Defender per il cloud segnali nell'area di lavoro di Microsoft Sentinel.
Usare le indicazioni seguenti per abilitare Defender per il cloud e integrarne le funzionalità.
Attività
Descrizione
Vedere . . .
Configurare Defender per il cloud
Procedura consigliata per abilitare Microsoft Defender per il cloud e le funzionalità di sicurezza avanzate
Con Microsoft Defender per server (incluso in Defender per il cloud), si ottiene l'accesso a e si può distribuire Microsoft Defender per endpoint alle risorse server.
Questo modulo presenta diverse funzionalità di Microsoft 365 che consentono di proteggere l'organizzazione da attacchi informatici, di rilevare quando un utente o un computer è stato compromesso e di monitorare l'organizzazione per individuare le attività sospette.
Per ottenere queste credenziali di Microsoft Applied Skills, gli studenti devono dimostrare di saper usare Microsoft Defender XDR per rilevare e rispondere alle minacce informatiche. I candidati per queste credenziali devono avere familiarità con l'analisi e la raccolta di prove relative agli attacchi negli endpoint. Devono anche avere esperienza nell'uso di Microsoft Defender per endpoint e del Linguaggio di query Kusto (KQL).