Microsoft Defender XDR Master Class: Phần 1- Giới thiệu tổng quan Defender XDR

Giới thiệu

Microsoft Defender XDR (trước đây là Microsoft 365 Defender) là nền tảng bảo mật tích hợp, sử dụng trí tuệ nhân tạo (AI) để phát hiện, ngăn chặn và phản ứng với các cuộc tấn công mạng trên nhiều môi trường như danh tính, thiết bị, email, ứng dụng đám mây và thiết bị IoT.

Với khả năng hợp nhất dữ liệu từ các sản phẩm bảo mật của Microsoft, Defender XDR cung cấp cái nhìn toàn diện về các mối đe dọa và tự động hóa quy trình phản ứng, giúp tăng cường hiệu quả cho các trung tâm điều hành an ninh (SOC).

Vì sao cần XDR thay vì EDR?

Các giải pháp EDR (Endpoint Detection and Response) thường có một số giới hạn như:

• Chỉ tập trung vào thiết bị đầu cuối: Windows, Linux, macOS, iOS, Android.
• Thiếu bức tranh toàn cảnh về toàn bộ các cuộc tấn công.
• Không đủ sức đối phó với các cuộc tấn công phức tạp như ransomware, vì các cuộc tấn công này không chỉ dừng lại ở mức độ thiết bị mà còn di chuyển qua các hệ thống khác như email, danh tính, ứng dụng,…

Và các giải pháp XDR (Extended Detection and Response) giúp bổ sung những giới hạn này, thông qua:

• Cung cấp góc nhìn tổng thể từ email, danh tính, ứng dụng SaaS, dữ liệu, tới hạ tầng đám mây.
• Điều tra và phản ứng theo sự kiện giúp các nhóm bảo mật hiểu rõ toàn cảnh mà không cần mò mẫm từng cảnh báo đơn lẻ.
• Tăng cường khả năng bảo vệ tổ chức khỏi ransomware, tấn công chiếm quyền email (BEC), và các hình thức xâm nhập nâng cao khác như Adversary in the Middle (AiTM).

Lợi ích khi sử dụng Defender XDR

• Tự động hóa phản ứng với mối đe dọa: Defender XDR sử dụng AI để tự động phát hiện và ngăn chặn các cuộc tấn công phức tạp, giảm thiểu thời gian phản ứng và hạn chế thiệt hại.
• Tích hợp đa nền tảng: Hợp nhất dữ liệu từ các sản phẩm như Defender for Endpoint, Defender for Office 365, Defender for Identity và Defender for Cloud Apps, cung cấp cái nhìn toàn diện về môi trường bảo mật.
• Khả năng tự phục hồi: Tự động khôi phục các thiết bị, danh tính và hộp thư bị ảnh hưởng về trạng thái an toàn, giảm thiểu tác động của các cuộc tấn công.
• Hỗ trợ từ Microsoft Security Copilot: Tích hợp trợ lý AI giúp phân tích nhanh các tập tin đáng ngờ, hiểu rõ các cuộc tấn công và áp dụng biện pháp khắc phục kịp thời.

Các công cụ trong Defender XDR

Defender XDR bao gồm các thành phần chính sau:​

• Microsoft Defender for Endpoint: Bảo vệ thiết bị đầu cuối khỏi các mối đe dọa và cung cấp khả năng phản ứng sau sự cố.
• Microsoft Defender for Office 365: Bảo vệ email và tài liệu khỏi các mối đe dọa như các cuộc tấn công lừa đảo (phising) và malware (phần mềm độc hại).
• Microsoft Defender for Identity: Giám sát và bảo vệ danh tính người dùng khỏi các hành vi đáng ngờ.​
• Microsoft Defender for Cloud Apps: Quản lý và bảo vệ các ứng dụng đám mây khỏi các mối đe dọa.
• Microsoft Defender Vulnerability Management: Phát hiện và quản lý các lỗ hổng bảo mật trong hệ thống.
• Microsoft Defender for Cloud: Giám sát và bảo vệ tài nguyên đám mây (Azure, AWS, GCP) khỏi các mối đe dọa, đồng thời cung cấp đánh giá bảo mật toàn diện.​
• Microsoft Entra ID Protection: Bảo vệ danh tính và quyền truy cập trong môi trường đám mây.​
• Microsoft Data Loss Prevention: Ngăn chặn rò rỉ dữ liệu nhạy cảm trên các thiết bị, ứng dụng và dịch vụ như Microsoft 365, OneDrive, SharePoint và Teams bằng cách áp dụng chính sách kiểm soát dữ liệu
• App Governance: Giám sát và kiểm soát các ứng dụng bên thứ ba kết nối với Microsoft 365, đảm bảo rằng chúng không gây rủi ro bảo mật hoặc truy cập dữ liệu trái phép.
• Microsoft Purview Insider Risk Management: Phát hiện và xử lý các rủi ro nội bộ như rò rỉ dữ liệu hoặc vi phạm chính sách bằng cách phân tích hành vi người dùng và tích hợp dữ liệu từ HR và các hệ thống khác

Cách các công cụ trong Defender XDR phối hợp với nhau

Mỗi công cụ trong Defender XDR giám sát một lĩnh vực cụ thể. Dữ liệu từ các công cụ này được hợp nhất trong cổng thông tin Microsoft Defender XDR, tạo ra một cái nhìn toàn diện về môi trường bảo mật của tổ chức.

Sau khi dữ liệu được thu thập, hệ thống sử dụng trí tuệ nhân tạo (AI) và học máy để phân tích và tìm ra mối liên hệ giữa các sự kiện bảo mật từ các nguồn khác nhau. Ví dụ, một email lừa đảo được phát hiện bởi Defender for Office 365 có thể liên quan đến một hoạt động đăng nhập bất thường được phát hiện bởi Defender for Identity, cho thấy một cuộc tấn công phối hợp đang diễn ra.

Giao diện Defender XDR cung cấp thông tin đầy đủ về các thành tố của cuộc tấn công

Khi một mối đe dọa được xác định, hệ thống sẽ tự động ưu tiên và thực hiện các hành động phản ứng như:​

• Cách ly thiết bị: Nếu một thiết bị bị xâm phạm được phát hiện, Defender for Endpoint có thể tự động cách ly thiết bị đó khỏi mạng để ngăn chặn sự lây lan của mối đe dọa.​
• Vô hiệu hóa tài khoản: Nếu một tài khoản người dùng bị nghi ngờ bị xâm phạm, Defender for Identity có thể tự động vô hiệu hóa tài khoản đó để ngăn chặn truy cập trái phép.​
• Chặn email độc hại: Defender for Office 365 có thể tự động chặn các email chứa liên kết hoặc tập tin đính kèm độc hại trước khi đến hộp thư của người dùng.​

Các hành động này giúp giảm thiểu tác động của mối đe dọa và giảm thời gian phản ứng.

Sau khi mối đe dọa được xử lý, Defender XDR hỗ trợ khôi phục các hệ thống và tài nguyên bị ảnh hưởng về trạng thái an toàn. Ngoài ra, hệ thống cung cấp các đề xuất để cải thiện cấu hình bảo mật và ngăn chặn các mối đe dọa tương tự trong tương lai.

Sự phối hợp chặt chẽ giữa các công cụ trong Microsoft Defender XDR tạo ra một hệ thống bảo mật mạnh mẽ, giúp tổ chức phát hiện và phản ứng nhanh chóng với các mối đe dọa mạng, đồng thời cải thiện khả năng phòng thủ tổng thể.​

Giấy phép

Các giấy phép dưới đây cho phép bạn truy cập vào các tính năng của Microsoft Defender XDR thông qua cổng Microsoft Defender:

• Microsoft 365 E5 hoặc A5
• Microsoft 365 E3 với add-on Microsoft 365 E5 Security
• Microsoft 365 E3 với add-on Enterprise Mobility + Security E5
• Microsoft 365 A3 với add-on Microsoft 365 A5 Security
• Windows 10 Enterprise E5 hoặc A5
• Windows 11 Enterprise E5 hoặc A5
• Enterprise Mobility + Security (EMS) E5 hoặc A5
• Office 365 E5 hoặc A5
• Microsoft Defender for Endpoint
• Microsoft Defender for IoT – Enterprise IoT protection
• Microsoft Defender for Identity
• Microsoft Defender for Cloud Apps hoặc Cloud App Discovery
• Microsoft Defender for Office 365 (Plan 2)
• Microsoft 365 Business Premium
• Microsoft Defender for Business