Microsoft Defender XDR — Keskitetty tietoturvan hallinta
Microsoft on julkaissut uuden yhdistetyn portaalin, joka yhdistää Microsoft Sentinelin, Microsoft Defender XDR tietoturvatuotteet (ennen Microsoft 365 Defend...
Microsoft on julkaissut uuden yhdistetyn portaalin, joka yhdistää Microsoft Sentinelin, Microsoft Defender XDR -tietoturvatuotteet (ennen Microsoft 365 Defender) ja Microsoft Security Copilotin. Portaali on vielä “Public Preview” -vaiheessa, joten käydään tässä artikkelissa läpi merkittävimmät muutokset ja ohjeet portaalin käyttöönottoon.
Muistan kun noin kaksi vuotta sitten näin ensimmäisen kerran mainoksia Microsoftin keskitetystä tietoturvallisuuden keskuksesta, joka yhdistää kaikki asiakkaan ympäristöjen datalähteet ja kyberturvapoikkeamat yhteen paikkaan. Sinä hetkenä kyse oli enemmän Microsoft Sentinelistä, jonne oli mahdollista striimata hälytyksiä muista tietoturvatuotteista, kuten Microsoft Defender XDR -tuoteperheestä. Striimattujen datalähteiden asetuksia ei kuitenkaan ollut mahdollista muokata Sentinelin sisältä, joten en pitänyt sitä lopullisena “keskitettynä tietoturvakonsolina”. Toki sieltä nähtiin kaikki hälytykset keskitetysti, mutta näiden tutkinta ja konfigurointi piti suorittaa välillä muissa portaaleissa.
Tämän kuun alussa kuitenkin julkaistiin Microsoft Defender XDR -niminen portaali (ennen Microsoft Defender 365), joka yhdistää kaikki Microsoftin tietoturvatuotteiden signaalit, Sentinelin SIEM-ominaisuudet ja Security Copilotin* yhteen paikkaan mahdollistaen järjestelmien yhtenäisen valvonnan ja hallinnan.
Miten yhdistetty portaali otetaan käyttöön?
Käyttöönotto on tehty melko yksinkertaiseksi prosessiksi. On hyvä huomioida, että yhdistetyssä portaalissa voi olla kerrallaan vain yksi Microsoft Sentinel (eli Log Analytics Workspace) -instanssi liitettynä.
Vaatimukset:
- Log Analytics Workspace, jonka päällä pyörii Microsoft Sentinel -instanssi (tietenkin).
- Microsoft Defender XDR otettu käyttöön Entra-tenantissa. Tässä riittää, että on otettu käyttöön yksi Microsoft Defender XDR -tuote, kuten Defender for Office 365 tai Defender for Endpoint. Alla mainittu dataliitin vaatii myös tämän käyttöönoton.
- Microsoft Sentinelissä aktiivisena oleva “Microsoft Defender XDR” -dataliitin (ennen “Microsoft 365 Defender”).
Riittävät roolit ja käyttöoikeudet:
- Owner-rooli Azure-tilauksessa tai User Access Administrator -rooli tilauksessa ja Microsoft Sentinel Contributor -rooli resurssitasolla.
Prosessi on seuraavanlainen:
-
Siirrytään osoitteeseen security.microsoft.com eli Microsoft Defender XDR -portaaliin.
-
Näytölle pitäisi ilmestyä alapuolella oleva ohjeistus:
-
“Connect a workspace” -nappia painamalla avautuu näkymä, josta pääsee valitsemaan yhdistettävän Log Analytics Workspace (Sentinel) -instanssin.
-
Ennen hyväksymistä lukekaa tarkkaan näytöllä listatut muutokset, jotka voivat vaikuttaa Sentinelin toimintaan:
-
Prosessi kestää muutaman minuutin, jonka jälkeen vasempaan hakemistoon ilmestyy “Microsoft Sentinel” -osio, josta voidaan sukeltaa syvälle Sentinelin maailmaan.
Yhdistämisen jälkeen Microsoft Sentinel on yhä käytettävissä Azure-portaalissa vanhaan tuttuun tapaan.
Mikä on muuttunut uudessa kokemuksessa (day-to-day)
Jos kuvitellaan, että yrityksessä Microsoftin tietoturvasta vastuussa olevat henkilöt siirtyvät käyttämään yhdistettyä portaalia (suositeltavaa), niin mitkä ovat huomattavimmat eroavaisuudet Azure-portaaliin verrattuna?
- Sentinelin sisältämä data on integroitunut Microsoft Defender XDR -portaaliin ja lokihakuja voidaan suorittaa yhdistetystä portaalista Sentinelin dataan.
- Sentinelin asetuksia voidaan muokata yhdistetystä portaalista. Näihin kuuluvat analyysisääntöjen luominen, automatisaatiot, valmiiden ratkaisujen asentaminen ja datalähteiden yhdistäminen. Lopullinen muokkaaminen voi kuitenkin tapahtua Azure-portaalissa, jonne käyttäjä automaattisesti ohjataan.
- Incidentit kaikista järjestelmistä on listattu yhteiseen jonoon, josta niitä voidaan tutkia, sulkea ja eskaloida.
- Microsoftin tietoturvakokonaisuutta voidaan hallita ja muokata keskitetystä järjestelmästä.
- Yhdistämisen jälkeen Sentinelin automaatiosäännöistä on poistunut kenttä nimeltä “Incident Provider”, jolla voitiin määrittää tapahtuman alkuperä (Microsoft Sentinel tai Microsoft Defender XDR -tuotteet). Täten jos käytössä on ollut automaatiosääntöjä, jotka ajoivat kyseisen kentän mukaan, ne ajavat nyt jokaisella incidentilla alkuperästä huolimatta.
- “Logs”-haku on siirtynyt välilehdelle “Investigation & Response -> Hunting -> Advanced Hunting”.
Kokonainen lista hakemiston muutoksista:
https://learn.microsoft.com/en-gb/azure/sentinel/microsoft-sentinel-defender-portal
Yhteenveto
Yhdistetty portaali tarjoaa kätevän tavan hallita Microsoftin tietoturvatuotteita ja Sentineliä, mutta se ei ole välttämätön kaikille. Siirtyminen on helppoa, joten sitä kannattaa ainakin kokeilla rohkeasti ja tuumailla, onko se Azure-portaalia käytännöllisempi.
Jos tarvitsette tukea Microsoftin tietoturvatuotteissa, ottakaa meihin yhteyttä ja sovitaan etäpalaveri aiheesta!
Lähteet
- https://www.microsoft.com/en-us/security/blog/2024/04/03/get-end-to-end-protection-with-microsofts-unified-security-operations-platform-now-in-public-preview/
- https://learn.microsoft.com/en-us/microsoft-365/security/defender/microsoft-sentinel-onboard?view=o365-worldwide
- https://learn.microsoft.com/en-us/azure/sentinel/microsoft-sentinel-defender-portal?toc=%2Fmicrosoft-365%2Fsecurity%2Fdefender%2Ftoc.json&bc=%2Fmicrosoft-365%2Fsecurity%2Fdefender%2Fbreadcrumb%2Ftoc.json&view=o365-worldwide
Tekve Oy tarjoaa tukea Microsoftin tietoturvassa ja tietoturvan valvonnassa.