Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Microsoft Defender-Portal bietet einheitliche Sicherheitsvorgänge mit Microsoft Defender XDR, Microsoft Sentinel und anderen Diensten. Zusammen bieten Defender-Portaldienste einen umfassenden Überblick über den Sicherheitsstatus Ihrer organization und helfen Ihnen, Bedrohungen in Ihren organization zu erkennen, zu untersuchen und darauf zu reagieren.
Microsoft Security Exposure Management und Microsoft Threat Intelligence sind in jeder Umgebung verfügbar, die die Voraussetzungen erfüllt, für Benutzer, die mit den erforderlichen Berechtigungen konfiguriert sind.
Voraussetzungen
Bevor Sie Microsoft Defender Dienste für einheitliche Sicherheitsvorgänge bereitstellen, stellen Sie sicher, dass Sie über einen Plan verfügen, der einen Arbeitsbereichsentwurf und ein Verständnis von Microsoft Sentinel Kosten und Abrechnung umfasst.
Weitere Informationen finden Sie unter Planungsleitfaden für einheitliche Sicherheitsvorgänge im Microsoft Defender-Portal.
Bereitstellen von Microsoft Defender XDR Diensten
Microsoft Defender XDR vereinheitlicht die Reaktion auf Vorfälle durch die Integration wichtiger Funktionen in allen Diensten, einschließlich Microsoft Defender for Endpoint, Microsoft Defender für Office 365, Microsoft Defender for Cloud Apps und Microsoft Defender for Identity. Diese einheitliche Oberfläche bietet leistungsstarke Features, auf die Sie im Microsoft Defender-Portal zugreifen können.
Microsoft Defender XDR wird automatisch aktiviert, wenn berechtigte Kunden mit den erforderlichen Berechtigungen Microsoft Defender Portal besuchen. Weitere Informationen finden Sie unter Aktivieren von Microsoft Defender XDR.
Fahren Sie fort, indem Sie Microsoft Defender XDR Dienste bereitstellen. Es wird empfohlen, die folgende Reihenfolge zu verwenden:
Stellen Sie Microsoft Defender for Endpoint bereit. Fügen Sie Microsoft Defender Vulnerability Management- und/oder Unternehmensüberwachung für IoT-Geräte hinzu, die für Ihre Umgebung relevant sind.
Konfigurieren von Microsoft Entra ID Protection
Microsoft Defender XDR kann Signale von Microsoft Entra ID Protection erfassen und einbeziehen. Microsoft Entra ID Protection analysiert Risikodaten aus Milliarden von Anmeldeversuchen und bewertet das Risiko jeder Anmeldung für Ihre Umgebung. Microsoft Entra ID Protection-Daten werden von Microsoft Entra ID verwendet, um den Kontozugriff zuzulassen oder zu verhindern, je nachdem, wie Richtlinien für bedingten Zugriff konfiguriert sind.
Konfigurieren Sie Microsoft Entra ID Protection, um Ihren Sicherheitsstatus zu verbessern und Ihren vereinheitlichten Sicherheitsvorgängen Microsoft Entra Signale hinzuzufügen. Weitere Informationen finden Sie unter Konfigurieren Ihrer Microsoft Entra ID Protection-Richtlinien.
Bereitstellen von Microsoft Defender für die Cloud
Microsoft Defender für Cloud bietet eine einheitliche Sicherheitsverwaltung für Ihre Cloudressourcen und kann auch Signale an Microsoft Defender XDR senden. Sie können beispielsweise zunächst Ihre Azure-Abonnements mit Microsoft Defender für Cloud verbinden und dann mit anderen Cloudumgebungen fortfahren.
Weitere Informationen finden Sie unter Verbinden Ihrer Azure-Abonnements.
Einführung in Microsoft Security Copilot
Starten Sie mit Microsoft Security Copilot, um Ihre Sicherheitsabläufe mithilfe erweiterter KI-Funktionen zu verbessern. Security Copilot unterstützt Sie bei der Erkennung, Untersuchung und Reaktion auf Bedrohungen und bietet umsetzbare Erkenntnisse und Empfehlungen, die Ihnen helfen, potenziellen Bedrohungen einen Schritt voraus zu sein. Verwenden Sie Security Copilot, um Routineaufgaben zu automatisieren, die Zeit für die Erkennung und Reaktion auf Vorfälle zu verkürzen und die Gesamteffizienz Ihres Sicherheitsteams zu verbessern.
Weitere Informationen finden Sie unter Erste Schritte mit Security Copilot.
Entwerfen Ihres Arbeitsbereichs und Onboarding in Microsoft Sentinel
Der erste Schritt bei der Verwendung von Microsoft Sentinel besteht darin, einen Log Analytics-Arbeitsbereich zu erstellen, sofern Sie noch keinen haben. Ein einzelner Log Analytics-Arbeitsbereich kann für viele Umgebungen ausreichen, aber viele Organisationen erstellen mehrere Arbeitsbereiche, um Kosten zu optimieren und unterschiedliche Geschäftsanforderungen besser zu erfüllen. Das Defender-Portal unterstützt einen primären Und mehrere sekundäre Arbeitsbereiche.
- Erstellen Sie eine Sicherheitsressourcengruppe für Governancezwecke, mit der Sie Microsoft Sentinel Ressourcen und rollenbasierten Zugriff auf die Sammlung isolieren können.
- Erstellen Sie einen Log Analytics-Arbeitsbereich in der Ressourcengruppe Sicherheit, und integrieren Sie Microsoft Sentinel darin.
Weitere Informationen finden Sie unter Onboarding Microsoft Sentinel und Mehrere Microsoft Sentinel Arbeitsbereiche im Defender-Portal.
Konfigurieren von Rollen und Berechtigungen
Weisen Sie Ihren Benutzern basierend auf Ihrem dokumentierten Zugriffsplan für Rollen und Berechtigungen Zugriff zu. Zur Einhaltung Zero Trust Prinzipien empfehlen wir, dass Sie die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) verwenden, um Benutzern nur Zugriff auf die Ressourcen zu gewähren, die für jeden Benutzer zulässig und relevant sind, anstatt Zugriff auf die gesamte Umgebung zu gewähren.
Die mindestens erforderliche Berechtigung, damit ein Analyst Microsoft Sentinel-Daten anzeigen kann, ist die Delegierung von Berechtigungen für die Azure RBAC-Rolle „Sentinel Reader“. Diese Berechtigungen werden auch auf das einheitliche Portal angewendet. Ohne diese Berechtigungen ist das Microsoft Sentinel Navigationsmenü im einheitlichen Portal nicht verfügbar, obwohl der Analyst Zugriff auf das Microsoft Defender-Portal hat.
Eine bewährte Methode besteht darin, alle Microsoft Sentinel zugehörigen Ressourcen in derselben Azure Ressourcengruppe zu haben und dann Microsoft Sentinel Rollenberechtigungen (z. B. die Rolle Sentinel Leser) auf der Ressourcengruppenebene zu delegieren, die den Microsoft Sentinel Arbeitsbereich enthält. Auf diese Weise gilt die Rollenzuweisung für alle Ressourcen, die Microsoft Sentinel unterstützen.
Weitere Informationen finden Sie unter:
- Onboardingvoraussetzungen
- Microsoft Entra ID-Rollen Benutzern zuweisen
- Gewähren des Zugriffs auf Azure Rollen für einen Benutzer
- Verwalten von einheitlicher RBAC in Microsoft Defender (Videodemo)
Im Defender-Portal registrieren
Wenn Sie Microsoft Sentinel in das Defender-Portal integrieren, vereinheitlichen Sie Funktionen mit Microsoft Defender XDR wie incident management und advanced hunting für einheitliche Sicherheitsvorgänge. Weitere Informationen finden Sie unter Verbinden von Microsoft Sentinel mit Microsoft Defender.
Optimieren von Systemkonfigurationen
Verwenden Sie die folgenden Microsoft Sentinel-Konfigurationsoptionen, um Ihre Bereitstellung zu optimieren:
Aktivieren von Integrität und Überwachung
Überwachen Sie den Zustand und prüfen Sie die Integrität unterstützter Microsoft Sentinel-Ressourcen, indem Sie auf der Seite Einstellungen in Microsoft Sentinel das Feature für Überwachung und Integritätsprüfung aktivieren. Erhalten Sie Einblicke in Zustandsabweichungen, z. B. in die neuesten Fehlerereignisse oder Statusänderungen von Erfolg zu Fehler, sowie in nicht autorisierte Aktionen, und verwenden Sie Zustandsüberwachungs- und Auditdaten, um Benachrichtigungen und andere automatisierte Aktionen einzurichten.
Weitere Informationen finden Sie unterAktivieren von Überwachung und Integritätsüberwachung für Microsoft Sentinel.
Konfigurieren von Microsoft Sentinel Inhalten
Basierend auf Ihren geplanten Microsoft Sentinel-Kosten und Datenquellen installieren Sie die entsprechenden Microsoft Sentinel-Lösungen und konfigurieren Ihre Datenconnectors. Microsoft Sentinel bietet eine Vielzahl integrierter Lösungen und Datenkonnektoren, Sie können jedoch auch benutzerdefinierte Konnektoren erstellen und Konnektoren zum Erfassen von CEF- oder Syslog-Protokollen einrichten.
Weitere Informationen finden Sie unter:
- Inhalt konfigurieren
- Entdecken und verwalten Sie die vorgefertigten Inhalte von Microsoft Sentinel
- Finden Sie Ihren Datenkonnektor
Aktivieren der Benutzer- und Entitätsverhaltensanalyse (UEBA)
Stellen Sie nach dem Einrichten von Datenconnectors in Microsoft Sentinel sicher, dass Sie die Verhaltensanalyse von Benutzerentitäten aktivieren, um verdächtiges Verhalten zu identifizieren, das zu Phishing-Exploits und schließlich Angriffen wie Ransomware führen könnte. Weitere Informationen finden Sie unter Aktivieren von UEBA in Microsoft Sentinel.
Einrichten der interaktiven und langfristigen Datenaufbewahrung
Richten Sie eine interaktive und langfristige Datenaufbewahrung ein, um sicherzustellen, dass Ihre organization die langfristig wichtigen Daten beibehält. Weitere Informationen finden Sie unter Konfigurieren der interaktiven und langfristigen Datenaufbewahrung.
Aktivieren von Analyseregeln
Analyseregeln weisen Microsoft Sentinel an, Sie bei Ereignissen mit einer Reihe von Bedingungen zu benachrichtigen, die Sie als wichtig erachten. Die sofort einsatzbereiten Entscheidungen, die Microsoft Sentinel treffen, basieren auf der Verhaltensanalyse von Benutzerentitäten (User Entity Behavior Analytics, UEBA) und auf Korrelationen von Daten über mehrere Datenquellen hinweg. Wenn Sie Analyseregeln für Microsoft Sentinel aktivieren, priorisieren Sie die Aktivierung durch verbundene Datenquellen, Organisationsrisiken und MITRE-Taktik.
Weitere Informationen finden Sie unter Bedrohungserkennung in Microsoft Sentinel.
Anomalieregeln überprüfen
Microsoft Sentinel-Anomalieregeln sind sofort einsatzbereit und standardmäßig aktiviert. Anomalieregeln basieren auf Machine Learning-Modellen und UEBA, die mit den Daten in Ihrem Arbeitsbereich trainieren, um anomales Verhalten für Benutzer, Hosts und andere zu kennzeichnen. Überprüfen Sie die Anomalieregeln und den Schwellenwert für die Anomaliebewertung für jeden Einzelnen. Wenn Sie beispielsweise falsch positive Ergebnisse beobachten, sollten Sie erwägen, die Regel zu duplizieren und den Schwellenwert zu ändern.
Weitere Informationen finden Sie unter Arbeiten mit Analyseregeln für die Anomalieerkennung.
Verwenden Sie die Microsoft Threat Intelligence-Analyseregel
Aktivieren Sie die sofort einsatzbereite Microsoft Threat Intelligence-Analyseregel, und stellen Sie sicher, dass die Regel Ihren Protokolldaten mit Microsoft generierten Bedrohungsintelligenz übereinstimmt. Weitere Informationen finden Sie unter Erkennen von Bedrohungen mit Bedrohungsindikatoranalysen. Microsoft verfügt über ein umfangreiches Repository an Threat-Intelligence-Daten, und diese Analyseregel verwendet eine Teilmenge davon, um hochpräzise Warnungen und Vorfälle für SOC-Teams (Security Operations Centers) zur Triage zu generieren.
Vermeiden doppelter Vorfälle
Nachdem Sie Microsoft Sentinel mit Microsoft Defender verbunden haben, wird automatisch eine bidirektionale Synchronisierung zwischen Microsoft Defender XDR Incidents und Microsoft Sentinel eingerichtet. Um zu vermeiden, dass für dieselben Warnungen doppelte Incidents erstellt werden, empfehlen wir, alle Regeln zur Incidenterstellung in Microsoft für in Microsoft Defender XDR integrierte Produkte zu deaktivieren, einschließlich Defender for Endpoint, Defender for Identity, Defender for Office 365, Defender for Cloud Apps und Microsoft Entra ID Protection.
Weitere Informationen finden Sie unter Erstellen von Microsoft-Incidents .
Durchführen eines MITRE ATT&CK-Crosswalks
Wenn Fusions-, Anomalie- und Bedrohungsanalyse-Analyseregeln aktiviert sind, führen Sie einen MITRE-Att&ck-Abgleich durch, um zu entscheiden, welche der verbleibenden Analyseregeln Sie aktivieren sollten, und die Implementierung eines ausgereiften XDR-Prozesses (Extended Detection and Response) zu vervollständigen. Dadurch können Sie während des gesamten Lebenszyklus eines Angriffs erkennen und darauf reagieren.
Weitere Informationen finden Sie unter Grundlegendes zur Sicherheitsabdeckung.