Integrace koncových bodů
Koncové body jsou zařízení, která přistupují k prostředkům a aplikacím organizace. Moderní pracoviště zahrnují celou řadu zařízení, která požadují přístup z podnikové sítě i mimo podnikovou síť.
nulová důvěra (Zero Trust) řešení pro koncové body se týkají ověření zabezpečení zařízení, která přistupují k pracovním datům, včetně aplikací spuštěných na zařízeních. Partneři se můžou integrovat s řešeními koncových bodů Microsoftu, aby ověřili zabezpečení zařízení a aplikací, vynucovali zásady nejnižších oprávnění a připravili se předem na porušení zabezpečení.
Tyto pokyny jsou určené pro poskytovatele softwaru a technologické partnery, kteří chtějí vylepšit řešení zabezpečení koncových bodů integrací s produkty Microsoftu.
Průvodce integrací nulová důvěra (Zero Trust) pro koncové body
Tento průvodce integrací obsahuje pokyny pro integraci s následujícími produkty:
- Microsoft Defender for Endpoint, který pomáhá podnikovým sítím předcházet, zjišťovat, zkoumat a reagovat na pokročilé hrozby.
- Microsoft Endpoint Manager, který poskytuje ochranu a zabezpečení pro zařízení, která zaměstnanci používají, a aplikace spuštěné na těchto zařízeních.
- Microsoft Defender for IoT, který poskytuje zabezpečení napříč vašimi sítěmi OT (Operational Technology).
Microsoft Defender for Endpoint
Microsoft Defender for Endpoint je podniková platforma zabezpečení koncových bodů navržená tak, aby pomohla podnikovým sítím předcházet, zjišťovat, zkoumat a reagovat na pokročilé hrozby. Používá kombinaci senzorů chování koncových bodů, analýzy zabezpečení cloudu a analýzy hrozeb.
Defender for Endpoint podporuje aplikace třetích stran, které pomáhají vylepšovat možnosti detekce, vyšetřování a analýzy hrozeb platformy. Kromě toho můžou partneři rozšířit své stávající nabídky zabezpečení nad otevřenou architekturou a bohatou a kompletní sadou rozhraní API pro vytváření rozšíření a integrace s defenderem for Endpoint.
Stránka příležitostí a scénářů partnerů v programu Microsoft Defender for Endpoint popisuje několik kategorií podporovaných integrací. Mezi další nápady pro scénáře integrace patří:
- Zjednodušení nápravy hrozeb: Microsoft Defender for Endpoint může okamžitě nebo obsluhovat odpovědi, které řeší výstrahy. Partneři můžou využít akce odezvy koncového bodu, jako je izolace počítače, karanténa souborů k blokování IoC napříč spravovaným koncovým bodem.
- Kombinování řízení přístupu k síti se zabezpečením zařízení: Skóre rizik nebo ohrožení je možné použít k implementaci a vynucování zásad pro přístup k síti a aplikacím.
Pokud se chcete stát partnerem řešení Defender for Endpoint, budete muset postupovat a dokončit kroky, které najdete v tématu Staňte se partnerem Microsoft Defenderu for Endpoint.
Microsoft Endpoint Manager
Microsoft Endpoint Manager, který zahrnuje Microsoft Intune a Microsoft Configuration Manager, poskytuje ochranu a zabezpečení pro zařízení, která zaměstnanci používají, a aplikace, které na těchto zařízeních běží. Endpoint Manager zahrnuje zásady dodržování předpisů zařízením, které zajišťují, že zaměstnanci přistupují k aplikacím a datům ze zařízení, která splňují zásady zabezpečení společnosti. Zahrnuje také zásady ochrany aplikací, které poskytují bezpečnostní prvky založené na aplikacích pro plně spravovaná zařízení i zařízení vlastněná zaměstnanci.
K integraci s Microsoft Endpoint Managerem budou nezávislí výrobci softwaru používat Microsoft Graph a sadu SDK pro správu aplikací Microsoft Endpoint Manageru. Integrace Endpoint Manageru s rozhraním Graph API umožňuje libovolnou ze stejných funkcí nabízených konzolou správce pro Endpoint Manager (Intune). Informace, jako je stav dodržování předpisů zařízením, konfigurace zásad dodržování předpisů, nastavení zásad ochrany aplikací a další, najdete prostřednictvím rozhraní Graph API. Kromě toho můžete automatizovat úlohy v Endpoint Manageru, které dále vylepšují nulová důvěra (Zero Trust) příběh zákazníka. Obecné pokyny pro práci s Intune v Microsoft Graphu jsou k dispozici v úložišti dokumentace k Microsoft Graphu. Tady se zaměříme na scénáře související s nulová důvěra (Zero Trust).
Ověření, že zařízení dodržují standardy zabezpečení a dodržování předpisů
Řešení ISV můžou využívat informace o dodržování předpisů a zásad endpoint Manageru k podpoře nulová důvěra (Zero Trust) principu explicitního ověření. Data o dodržování předpisů o uživatelích a zařízeních z Endpoint Manageru umožňují aplikaci isV určit stav rizika zařízení v souvislosti s používáním aplikace. Díky těmto ověřením isV zajišťuje, aby zařízení, která používají službu, dodržovala standardy zabezpečení a dodržování předpisů a zásady zákazníků.
Rozhraní Microsoft Graph API umožňuje nezávislí výrobci softwaru integrovat se Službou Endpoint Manager (Intune) prostřednictvím sady rozhraní RESTful API. Tato rozhraní API jsou stejná jako konzola Endpoint Manageru k zobrazení, vytváření, správě, nasazování a vytváření sestav na všech akcích, datech a aktivitách v Intune. Položky specifického zájmu pro nezávislé výrobce softwaru podporující nulová důvěra (Zero Trust) iniciativy jsou schopnost zobrazit stav dodržování předpisů zařízením a nakonfigurovat pravidla dodržování předpisů a zásady. Podívejte se na doporučení Microsoftu pro používání Microsoft Entra ID a Endpoint Manageru pro nulová důvěra (Zero Trust) konfiguraci a dodržování předpisů: Zabezpečené koncové body s nulová důvěra (Zero Trust). Pravidla dodržování předpisů v Endpoint Manageru jsou základem podpory podmíněného přístupu na základě zařízení prostřednictvím Microsoft Entra ID. Nezávislí výrobci softwaru by také měli zobrazit funkci podmíněného přístupu a rozhraní API, abyste pochopili, jak dokončit scénáře dodržování předpisů pro uživatele a zařízení a podmíněný přístup.
V ideálním případě se vaše aplikace připojí k rozhraním Microsoft Graph API jako cloudová aplikace a vytvoří připojení mezi službami. Víceklientní aplikace poskytují nezávislí výrobci softwaru centralizovanou definici a řízení aplikací a umožňují zákazníkům udělit individuální souhlas s aplikací nezávislých výrobců softwaru pracující s daty tenanta. Projděte si informace o tenantovi v MICROSOFT Entra ID pro registraci a vytvoření jedné nebo víceklientské aplikace Microsoft Entra. Ověřování vaší aplikace může využít ID Microsoft Entra pro jednotné přihlašování.
Po vytvoření aplikace budete potřebovat přístup k informacím o zařízení a dodržování předpisů pomocí rozhraní Microsoft Graph API. Dokumentaci k používání Microsoft Graphu najdete ve vývojovém centru Microsoft Graphu. Graph API je sada rozhraní RESTful API, která pro přístup k datům a dotazování dodržují standardy ODATA.
Získání stavu dodržování předpisů zařízením
Tento diagram znázorňuje tok informací o dodržování předpisů zařízením ze zařízení do vašeho řešení nezávislých výrobců softwaru. Zařízení koncových uživatelů přijímají zásady od Intune, partnera pro ochranu před mobilními hrozbami (MTD) nebo partnera pro správu mobilních zařízení (MDM). Jakmile se informace o dodržování předpisů shromáždí ze zařízení, Intune vypočítá celkový stav dodržování předpisů každého zařízení a uloží je v Microsoft Entra ID. Pomocí rozhraní Microsoft Graph API může vaše řešení číst stav dodržování předpisů zařízením a reagovat na ně a používat principy nulová důvěra (Zero Trust).
Při registraci v Intune se v Intune vytvoří záznam zařízení s dalšími podrobnostmi o zařízení, včetně stavu dodržování předpisů zařízením. Intune předá stav dodržování předpisů zařízením na ID Microsoft Entra, kde Microsoft Entra ID také ukládá stav dodržování předpisů u každého zařízení. Provedením funkce https://graph.microsoft.com/v1.0/deviceManagement/managedDevices
GET zobrazíte všechna zaregistrovaná zařízení pro tenanta a jejich stav dodržování předpisů. Nebo můžete zadat dotaz https://graph.microsoft.com/v1.0/devices
na získání seznamu registrovaných a zaregistrovaných zařízení Microsoft Entra a jejich stavu dodržování předpisů.
Například tento požadavek:
GET https://graph.microsoft.com/v1.0/users/{usersId}/managedDevices/{managedDeviceId}
Vrátí se:
HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 5095
{
"value": {
"@odata.type": "#microsoft.graph.managedDevice",
"id": "705c034c-034c-705c-4c03-5c704c035c70",
"userId": "User Id value",
"deviceName": "Device Name value",
"managedDeviceOwnerType": "company",
"enrolledDateTime": "2016-12-31T23:59:43.797191-08:00",
"lastSyncDateTime": "2017-01-01T00:02:49.3205976-08:00",
"complianceState": "compliant",
...
}
Můžete také načíst seznam zásad dodržování předpisů, jejich nasazení a stav uživatelů a zařízení pro tyto zásady dodržování předpisů. Informace o volání Graphu pro získání informací o zásadách dodržování předpisů začínají tady: Get deviceCompliancePolicy – Microsoft Graph v1.0. Dobré pozadí zásad dodržování předpisů zařízením a jejich použití je tady: Zásady dodržování předpisů zařízením v Microsoft Intune – Azure.
Jakmile identifikujete konkrétní zásadu, můžete zadat dotaz, abyste získali stav zařízení pro konkrétní nastavení zásad dodržování předpisů. Například za předpokladu, že byla nasazena zásada dodržování předpisů, která vyžaduje heslo při uzamčení, zadejte dotaz Get deviceComplianceSettingState pro konkrétní stav tohoto nastavení. Určuje, jestli zařízení dodržuje předpisy nebo nevyhovuje nastavení zámku hesla. Stejný přístup je možné použít pro jiné zásady dodržování předpisů zařízením, které zákazníci nasadili.
Informace o dodržování předpisů jsou základem pro funkci podmíněného přístupu v Microsoft Entra ID. Intune určí dodržování předpisů zařízením na základě zásad dodržování předpisů a zapíše stav dodržování předpisů do MICROSOFT Entra ID. Potom zákazníci používají zásady podmíněného přístupu k určení, jestli se pro nedodržení předpisů provádějí nějaké akce, včetně blokování přístupu uživatelů k podnikovým datům ze zařízení, které nedodržují předpisy.
Postupujte podle principu přístupu s nejnižšími oprávněními.
Integrace isV s Endpoint Managerem bude také chtít zajistit, aby aplikace podporovala princip nulová důvěra (Zero Trust) pro použití přístupu s nejnižšími oprávněními. Integrace Endpoint Manageru podporuje dvě důležité metody řízení přístupu – delegovaná oprávnění nebo oprávnění aplikace. Aplikace nezávislých výrobců softwaru musí používat jeden z modelů oprávnění. Delegovaná oprávnění umožňují jemně odstupňovanou kontrolu nad konkrétními objekty v Endpoint Manageru, ke kterým má aplikace přístup, ale vyžaduje, aby se správce přihlásil pomocí svých přihlašovacích údajů. Oprávnění aplikace umožňují aplikaci isV přistupovat k datovým a objektům nebo řídit třídy dat a objektů, nikoli pro konkrétní jednotlivé objekty, ale nevyžaduje přihlášení uživatele.
Kromě vytvoření aplikace jako aplikace s jedním tenantem nebo více tenanty (upřednostňovanou) musíte deklarovat delegovaná oprávnění nebo oprávnění aplikace požadovaná vaší aplikací pro přístup k informacím Endpoint Manageru a provádět akce proti Endpoint Manageru. Tady najdete informace o tom, jak začít s oprávněními: Rychlý start: Konfigurace aplikace pro přístup k webovému rozhraní API.
Microsoft Defender for IoT
Síťové architektury operačních technologií (OT) se často liší od tradiční IT infrastruktury pomocí jedinečných technologií s vlastními protokoly. Zařízení OT můžou mít také stárnoucí platformy s omezeným připojením a napájením nebo konkrétními bezpečnostními požadavky a jedinečnými expozicemi fyzickým útokům.
Nasaďte Program Microsoft Defender for IoT , abyste na síť OT použili principy nulové důvěryhodnosti, monitorujte provoz za neobvyklé nebo neoprávněné chování při přenosu mezi lokalitami a zónami. Sledujte hrozby a ohrožení zabezpečení specifická pro zařízení OT a zmírněte rizika při jejich zjištění.
Urychlíte operace sdílením dat Defenderu pro IoT napříč centrem zabezpečení (SOC) a dalšími částmi vaší organizace. Integrace s služby Microsoft, jako je Microsoft Sentinel a Defender for Endpoint nebo jiné partnerské služby, včetně systémů SIEM i lístků. Příklad:
Přesměrovávat data místních výstrah přímo do SIEM, jako jsou Splunk, IBM QRadar a další. Splunk a IBM QRadar také podporují příjem dat centra událostí, které můžete použít k předávání cloudových upozornění z Defenderu pro IoT.
Integrujte s Provozním správcem technologií ServiceNow a importujte data Defenderu pro IoT do ServiceNow a akci založenou na riziku s kontextem produkčního procesu.
Další informace naleznete v tématu:
- Začínáme s monitorováním zabezpečení OT
- nulová důvěra (Zero Trust) a sítě OT
- Monitorování pomocí nulová důvěra (Zero Trust)
- Katalog integrace Defenderu pro IoT