Microsoft 365-Sikkerhet er i ferd med å bli det nye hjemmet for å overvåke og administrere sikkerhet på tvers av identiteter, enheter, apper, infrastruktur og data. Microsoft har omdøpt flere produkter som sørger for avansert trusselbeskyttelse, og samlet dem under paraplyen Microsoft 365 Defender. Sammen med navneendringene følger en tettere integrasjon mellom løsningene som gjør det lettere å identifisere de enkelte trinnene i et angrep. Defender for Endpoint og Defender for Office 365 er allerede innlemmet i det forbedrede sikkerhetssenteret. Signaler fra Defender for Identity og Cloud App Security dukker opp under Hendelser og varsler. Det kombinerer beskyttelse, oppdagelse, undersøkelse og respons på e-post, samarbeid, identitet og enhetstrusler i en sentral portal.
Microsoft 365 Defender
Microsoft Defender for Identity (MDI) het tidlige .
Azure Advanced Threat Protection
Den oppdager og avverger identitetsangrep og fasene i en cyberdrapskjede i lokal infrastruktur – helt uunnværlig for hybride miljøer. Microsoft Defender for Endpoint (MDE) var kjent som Microsoft Defender ATP og gir en omfattende beskyttelse for endepunkter. Microsoft Cloud App Security (MCAS) har beholdt sitt gamle navn. Den avslører skygge-IT, kontrollerer tilganger til skyapper og sikrer bedriftsdata som er lagret i skyen. Office 365 ATP er nå Microsoft Defender for Office 365 (MDO). Tjenesten sørger for utvidet beskyttelse mot phishing, skadelige vedlegg og farlige koblinger.
Portalen for sikkerhetssenteret
Portalen for Microsoft 365-Sikkerhet forener funksjonalitet fra eksisterende sikkerhetsportaler, som Defender Security Center og Sikkerhet og samsvar. Grensesnittet er renere. Det legges vekt på rask tilgang til informasjon, lettere oppsett og innsamling av relatert informasjon for enklere bruk. Adressen er https://security.microsoft.com. Senteret inneholder disse komponentene:
- Microsoft 365 Defender gir utvidet deteksjon og respons (XDR). Den utnytter Microsofts sikkerhetsportefølje for automatisk å analysere trusseldata på tvers av domener og bygge opp et bilde av et angrep på et enkelt dashbord.
- Defender for Endpoint leverer forebyggende beskyttelse, sanntidsbeskyttelse, oppdagelse etter sikkerhetsbrudd og automatisert undersøkelse og respons for enhetene dine.
- Defender for Office 365 beskytter e-post og Office 365-ressurser ved å forebygge, avdekke og avverge trusler. Produktet har gode funksjoner for etterforskning og avansert jakt.
Dashbordet Hjem
Hjem gir et dashbord med en oversikt over organisasjonens generelle sikkerhetshelse. Du kan legge til og fjerne kort og organisere dem ut fra dine behov. Sikkerhetsvurdering er en representasjon av organisasjonens sikkerhetsstatus og byr på muligheter til å forbedre den. Enheter i faresonen lar deg kontrollere om de er infisert, feilkonfigurert eller sårbare. Enheter med aktiv skadelig programvare viser endepunkter i Intune med skadevare som ikke er løst. Oppdagede enheter lister opp antallet som har vært aktive de siste 30 dagene. Brukere i fare henter opplysninger fra Azure AD Identity Protection, som oppdager identitetslekkasje og avvikende brukeratferd.
Enhetssamsvar omfatter typisk krav til passord eller PIN-koder, kryptering og minimumsversjon for godtatt operativsystem. OAuth-apper med rettighet er apper brukere har gitt tillatelser til, oppdaget av Cloud App Security. Andre kort, som ikke er vist her, gir en oversikt over Oppdagede enheter i nettverket som ikke er registrert i Defender for Endpoint. Trusselanalyser gir opplysninger om trusler i og utenfor organisasjonen din. Dessuten finnes det Aktive tilfeller med varsler for de siste 30 dagene, Enhetstilstand for aktive enheter og Brukere med oppdagede trusler. Det er en Twitter-fead for Microsoft 365 Defender. Endelig kan du simulere et filløst angrep på tvers av produkter.
Hendelser og varsler
Hendelser (Incidents) samler alle varsler i Microsoft 365-miljøet. Kildene er Defender-produktene, Cloud App Security og Azure Active Directory (Azure AD). De oppbevares i inntil seks måneder. Her benyttes det kunstig intelligens (KI) og maskinlæring for å ordne dem meningsfylt. Det lar deg spore og forstå et angrep. For å ta et scenario: Et dokument med en trojaner har klart å komme seg gjennom e-postbeskyttelsen. To brukere åpner vedlegget. Defender for Endpoint oppdager at det er skadevare. I mellomtiden har det ført til at en konto er blitt kompromittert. Den benyttes til å foreta en sidelengs bevegelse i nettverket (angripere som går fra maskin til maskin). Dette avsløres av Defender for Identity. Ved å samle disse varslene under en hendelse blir det lettere for sikkerhetsteamet å håndtere angrepet, som til dels kan skje med en automatisert respons.
Varsler viser alle varslinger for inntil de siste seks månedene. Du ser alvorlighetsgraden, status, kategorien den tilhører, kilden, enhet og dato.
Klikker du på et varsel, får du langt mer detaljerte opplysninger. Her er hackerverktøyet Mimilove oppdaget og blokkert.
Avansert jakt
Avansert jakt bruker spørresspråket Kusto (KQL), som er en forenklet form for SQL. Det lar deg foreta spørringer på tvers av alle sikkerhetsproduktene. Sånn kan du se hvordan et innbrudd utfolder seg.
Handlingssenter
Handlingssenteret viser handlinger som venter på å bli utført, og som allerede er det.
Trusselanalyser
Trusselanalyser gir en oversikt over de nyeste, mest utbrede og alvorlige trusler med detaljert informasjon om hvordan du kan gardere deg mot dem i forkant. Du ser også i hvilken grad din egen organisasjon er rammet.
Sikkerhetsvurdering
Sikkerhetsvurdering er et verktøy du stadig bør vende tilbake til. Det hjelper deg med å forbedre den generelle sikkerheten i virksomheten. Vurderingene er basert på alle Microsoft-sikkerhetsprodukter du har lisens på. Du får anbefalinger for forbedringsområder med til dels skrittvise forklaringer på hva du må gjøre. Vær forberedt på at poengskåren går i bølgedaler. Det kan skyldes at du legger til brukere og enheter, benytter deg av nye apper og tjenester og foretar konfigurasjonsendringer. Microsoft oppdaterer Sikkerhetsvurdering med jevne mellomrom. Som regel fører det til at skåren din går ned, og at du må foreta en del forbedringshandlinger.
Lærehub
Microsoft har innlemmet et knutepunkt for læring, så du blir ordentlig kjent med produktene og konfigurerer sikkerheten optimalt. Du har ikke så mye glede av sikkerhetsløsningene om du ikke setter dem opp riktig.
Trusselpolicyer
Dermed har vi vært gjennom funksjonene for Microsoft 365 Defender i det nye sikkerhetssenteret. Defender for Endpoint og Defender for Office som er integrert i senteret, gir deg stort sett de samme alternativene som i de gamle portalene. Det er en mye renere og klarere layout og organisering av enkelte av sidene (som vist ovenfor). Angrepssimulatoren er kraftig forbedret.
Innstillingene er felles for produktene. Du kan sette opp en portalomdirigering for Defender for Endpoint og Defender for Office 365, så de alltid bruker det nye sikkerhetssenteret.
Avsluttende ord
Microsoft har utviklet seg til et av verdens ledende sikkerhetsselskaper med en imponerende produktportefølje for Microsoft 365. Det finnes et hav av tilsvarende eller mer spesialiserte produkter fra tredjeparter. Men det er en rekke faktorer som taler for å holde seg til Microsofts løsninger. De inngår enkelt i forskjellige abonnementstyper eller kan legges til med ekstralisenser. Selskapet har inngående kjennskap til sin egen produktivitetssky. Produktene er vevd tett inn i hverandre, og denne integrasjonen ser bare ut til å bli mer og mer funksjonell.
Microsoft legger enorm vekt på læring og sertifiseringer. Selskapet har flere diskusjonsfora for sikkerhetsproduktene. Det skrives bøker om dem. Folk blogger om dem. Så har man alle kritiske og kranglevorne spesialister som samles under betegnelsen Microsoft Most Valuable Professional (MVP). Disse personene er ikke ansatt av Microsoft, er uhyre kunnskapsrike og bidrar til å spre inngående kunnskap om produktene. Denne brede offentlighet bidrar til å gjøre Microsoft-løsninger til et godt valg. Her så vi på to integrerte produkter. Forhåpentlig følger Defender for Identity og Cloud App Security snart etter.
