Lập ngân sách Microsoft Defender XDR & Zero Trust Security

Xây dựng Zero Trust Security framework với quá nhiều giải pháp từ các nhà cung cấp riêng lẻ khác nhau là không hiệu quả. Đây là lý do tại sao việc lập ngân sách cho Microsoft Defender XDR cho Zero Trust Security phải được đặt lên hàng đầu trong chiến lược an ninh mạng hiện đại dành cho các doanh nghiệp thuộc bất kỳ quy mô nào đang sử dụng Microsoft Windows hoặc Office 365/Microsoft 365.

Microsoft Defender XDR cho phép doanh nghiệp hợp nhất hơn 27 nhà cung cấp bảo mật thành một nền tảng tích hợp. Điều đó có nghĩa là chỉ một ô hiển thị quản lý duy nhất để thực hiện phân tích sâu sắc (forensic analysis) kỹ thuật số và toàn bộ bộ phần mềm được kết nối thông qua Microsoft Intelligent Security Graph.

Microsoft Defender XDR là gì?

Được công bố tại Microsoft Ignite vào năm 2020, Microsoft Defender XDR là một nền tảng phòng thủ mạng thống nhất bao gồm toàn bộ ngăn xếp (stack) bảo mật của Microsoft. Microsoft Defender XDR bao gồm cả các sản phẩm bảo mật Microsoft 365 E5 và những gì trước đây được gọi là Azure Security Center. Một số sản phẩm chủ lực bao gồm:

Microsoft 365 Defender (trước đây là Microsoft Threat Protection)

• Azure Active Directory Premium.
• Microsoft Cloud App Security.
• Microsoft Defender for Endpoints (trước đây là Microsoft Defender ATP).
• Microsoft Defender for Identity (trước đây là Azure ATP).
• Microsoft Defender for Office 365 (trước đây là Office 365 ATP).
• Microsoft Endpoint Manager.

Azure Defender

• Azure Defender for Servers (trước đây là Azure Security Center Standard).
• Azure Defender for IoT (trước đây là ASC for IoT).
• Azure Defender for SQL (trước đây là ATP for SQL).

Các sản phẩm này có sẵn cho cloud & hybrid. Sử dụng các dịch vụ như Azure Arc cho phép bạn quản lý máy chủ ở bất kỳ đâu, cho dù đó là AWS, GCP hay on-premises, bao gồm cả physical boxes hay virtual guests trong Hyper-V, VMware, Citrix.

Một lợi ích tài chính của việc chuẩn hóa MD XDR stack là tất cả log của Microsoft 365 Defender đều được nhập vào Azure Sentinel miễn phí.

Attacker Kill Chain từ nhiều nhà cung cấp

Trong ví dụ này, người dùng máy tính để bàn mở một email chứa phần mềm độc hại. Trong khi toàn bộ chuỗi tấn công đã được bao phủ, việc này cần đến bảy nhà cung cấp! Sự phức tạp của môi trường bảo mật này sẽ dẫn đến sự chậm trễ trong thời gian phát hiện và thiếu phản hồi tự động. Thực hiện digital forensics trên toàn bộ chuỗi tấn công sẽ là một quá trình tốn nhiều công sức, thủ công và tốn thời gian.

Attacker Kill Chain với Microsoft 365 Defender

Trong lần này, Attacker killer chain tương tự có thể được bảo vệ hoàn toàn bằng Microsoft 365 Defender. Mỗi sản phẩm MD XDR nâng cao độ chính xác của cảnh báo trước đó và chỉ tạo ra một incident duy nhất trong Azure Sentinel bao trùm toàn bộ cuộc tấn công. Sử dụng Security Orchestration Automation & Response (SOAR) và Automated Investigation & Response (AIR) tool trong MD XDR, bạn có thể kích hoạt phản hồi tự động trong vài giây thay vì hàng giờ.

So sánh giá & license Microsoft 365 Defender

Giá trong bảng sau chỉ mang tính tham khảo.

Microsoft 365 E5 Security & E5 Compliance Add-ons

Bạn chỉ có thể mua Microsoft 365 E5 Security và Microsoft 365 E5 Compliance với Microsoft 365 E3 hoặc sự kết hợp của Office 365 E3 và EM + S E3.

Microsoft 365 E5 Security

Microsoft 365 E5 Security có thể được hiểu là “con dao quân đội Thụy Sĩ” phải có trong các sản phẩm bảo mật, cho phép hiển thị từ đầu đến cuối các chuỗi tấn công cho người dùng hoặc thiết bị ở bất kỳ đâu trên thế giới. Tổng quan ngắn gọn về các tính năng đi kèm với Microsoft 365 E5 Security bao gồm:

• Azure AD P2 để truy cập có điều kiện dựa trên rủi ro.
• Microsoft Cloud App Security cho các chính sách kiểm soát phiên SaaS và Shadow IT Discovery.
• Microsoft Defender for Office 365 P2 để đính kèm email và quét URL.
• Microsoft Defender for Endpoint để Chống Virus thế hệ tiếp theo và device log-shipping tới MCAS.
• Microsoft Defender for Identity để giám sát chuyển động lateral và leo thang đặc quyền.

Microsoft 365 E5 Compliance

The Microsoft 365 E5 Compliance add-on sẽ chỉ cần thiết trong các tổ chức/doanh nghiệp lớn hơn hoặc chỉ các vai trò công việc cụ thể trong các doanh nghiệp vừa và nhỏ. Đối với hầu hết các SMB, chức năng eDiscovery và AIP cơ bản được bao gồm trong Microsoft 365 E3 sẽ là đủ. Tổng quan ngắn gọn về các tính năng bao gồm trong Microsoft 365 E5 Compliance:

• Advanced data governance để Chống mất dữ liệu/Data Loss Prevention trên thiết bị đầu cuối và Office 365.
• Advanced eDiscovery cho các yêu cầu pháp lý và nhân sự.
• Azure Information Protection P2 để mã hóa cấp độ tệp tự động.
• Customer Lockbox để hạn chế quyền truy cập hỗ trợ của Microsoft đối với người dùng.
• Information Barriers đối với việc phân tách dữ liệu theo quy định trong một tổ chức.
• Insider Risk Management để tổng hợp các sự cố DLP lặp lại liên quan đến một người dùng cụ thể hoặc xác định rò rỉ dữ liệu tiềm ẩn từ những người dùng có nguy cơ.

Kết luận Microsoft Defender XDR

Mô hình Zero Trust Security tích hợp tất cả các tín hiệu đe dọa có sẵn và giả định vi phạm. Sử dụng phương pháp tiếp cận đa nhà cung cấp với zero trust security sẽ tạo ra sự phức tạp, có thể dẫn đến các kho chứa dữ liệu và thời gian phát hiện bị trì hoãn. Microsoft giúp bạn dễ dàng áp dụng Zero Trust mà không cần phải tìm kiếm nơi khác.

Với suy nghĩ “không đặt tất cả trứng vào 1 giỏ”, hãy nhớ rằng nhiều công cụ bảo mật MD XDR đến từ việc mua lại của Microsoft. Microsoft cũng đầu tư 1 tỷ USD mỗi năm vào R&D bảo mật và tuyển dụng hơn 3.500 kỹ sư an ninh mạng. (Số lượng này lớn hơn toàn bộ nhân viên tại một số nhà cung cấp thay thế, bao gồm cả nhân viên bán hàng của họ.) Do vậy có thể nói Microsoft là một sự lựa chọn hoàn toàn bạn có thể tin tưởng.