Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento průvodce je určený odborníkům na informační technologie (IT), it architektům, analytikům zabezpečení informací a správcům cloudu, kteří plánují používat Defender for Cloud.
Průvodce plánováním
Tato příručka poskytuje základní informace o tom, jak Defender for Cloud zapadá do požadavků vaší organizace na zabezpečení a modelu správy cloudu. Je důležité pochopit, jak různí jednotlivci nebo týmy ve vaší organizaci používají tuto službu ke splnění požadavků na zabezpečený vývoj a provoz, monitorování, zásady správného řízení a reakce na incidenty. Mezi klíčové oblasti, které je potřeba vzít v úvahu při plánování použití Defenderu pro cloud, patří:
- Role zabezpečení a řízení přístupu
- Zásady a doporučení zabezpečení
- Shromažďování dat a úložiště
- Připojení prostředků mimo Azure
- Průběžné sledování zabezpečení
- Reakce na incident
V další části se dozvíte, jak naplánovat každou z těchto oblastí a použít tato doporučení na základě vašich požadavků.
Note
Přečtěte si běžné otázky k Defenderu pro cloud a seznam běžných otázek, které můžou být užitečné i během fáze návrhu a plánování.
Role zabezpečení a řízení přístupu
V závislosti na velikosti a struktuře vaší organizace může k provádění různých úloh souvisejících se zabezpečením používat Defender for Cloud více jednotlivců a týmů. Následující diagram ukazuje příklad zahrnující fiktivní osoby a jejich příslušné role a povinnosti v oblasti zabezpečení:
Defender for Cloud umožňuje těmto jednotlivcům splňovat tyto různé odpovědnosti. Například:
Jeff (vlastník úloh)
Správa cloudové úlohy a souvisejících prostředků
Zodpovídá za implementaci a udržování ochrany v souladu se zásadami zabezpečení společnosti.
Ellen (CISO/CIO)
Zodpovídá za všechny aspekty zabezpečení společnosti.
Chce pochopit stav zabezpečení společnosti napříč cloudovými úlohami.
Musí být informován o hlavních útocích a rizicích.
David (zabezpečení IT)
Nastaví zásady zabezpečení společnosti, aby se zajistilo, že jsou zavedeny příslušné ochrany.
Monitoruje dodržování zásad.
Generuje zprávy pro vedení nebo auditory.
Judy (pracovnice oddělení zabezpečení)
Monitoruje a reaguje na výstrahy zabezpečení kdykoli.
Eskaluje k vlastníkovi cloudové úlohy nebo k IT bezpečnostnímu analytikovi.
Sam (analytik zabezpečení)
Prošetřte útoky.
Při použití nápravy spolupracujte s vlastníkem cloudové úlohy.
Defender for Cloud používá řízení přístupu na základě role v Azure (řízení přístupu na základě role Azure), které poskytuje předdefinované role , které je možné přiřadit uživatelům, skupinám a službám v Azure. Když uživatel otevře Defender for Cloud, uvidí jenom informace související s prostředky, ke kterým má přístup. To znamená, že uživateli je přiřazena role Vlastníka, Přispěvatele nebo Čtenáře předplatného nebo skupiny prostředků, do které prostředek patří. Kromě těchto rolí existují dva role specifické pro Defender for Cloud.
Čtenář zabezpečení: Uživatel, který patří do této role, může zobrazit jenom konfiguraci Defenderu pro cloud, včetně doporučení, upozornění, zásad a stavu, ale nebude moct provádět změny.
Správce zabezpečení: stejný jako čtenář zabezpečení, ale může také aktualizovat zásady zabezpečení, zavřít doporučení a výstrahy.
Osoby vysvětlené v předchozím diagramu potřebují tyto role řízení přístupu na základě role v Azure:
Jeff (vlastník úloh)
- Vlastník nebo přispěvatel skupiny zdrojů
Ellen (CISO/CIO)
- Vlastník nebo přispěvatel předplatného nebo správce zabezpečení
David (zabezpečení IT)
- Vlastník nebo přispěvatel předplatného nebo správce zabezpečení
Judy (pracovnice oddělení zabezpečení)
Čtenář předplatného nebo Čtenář zabezpečení pro zobrazení výstrah.
K zavření výstrah se vyžaduje vlastník předplatného nebo přispěvatel nebo správce zabezpečení.
Sam (analytik zabezpečení)
Nástroj pro předplatné pro zobrazení upozornění.
Vlastník nebo přispěvatel předplatného je vyžadován k odstranění výstrah.
Může se vyžadovat přístup k pracovnímu prostoru.
Další informace, které je potřeba vzít v úvahu:
Zásady zabezpečení můžou upravovat jenom vlastníci/přispěvatelé předplatného a správci zabezpečení.
Doporučení zabezpečení pro určitý prostředek můžou uplatňovat jenom vlastníci a přispěvatelé předplatného a skupiny prostředků.
Při plánování řízení přístupu pomocí řízení přístupu na základě role Azure pro Defender for Cloud se ujistěte, že rozumíte tomu, kdo ve vaší organizaci potřebuje přístup k Defenderu pro cloud, jaké úlohy provádějí. Pak můžete správně nakonfigurovat řízení přístupu na základě role Azure.
Note
Doporučujeme přiřadit uživatelům tu nejvíc omezenou roli, kterou ke své práci potřebují. Třeba uživatelům, kteří potřebují jenom zobrazovat informace o stavu zabezpečení prostředků, ale nemusí provádět žádné kroky, třeba uplatňovat doporučení nebo upravovat zásady, by se měla přiřadit role Čtenář.
Zásady a doporučení zabezpečení
Zásady zabezpečení definují požadovanou konfiguraci úloh a pomáhají zajišťovat dodržování předpisů společnosti nebo soulad se zákonnými požadavky na zabezpečení. V Defenderu pro cloud můžete definovat zásady pro předplatná Azure, které se dají přizpůsobit typu úloh nebo citlivosti dat.
Defender for Cloud zásady obsahují následující součásti:
Shromažďování dat: zřizování agentů a nastavení shromažďování dat.
Zásady zabezpečení: Azure Policy , které určují, které ovládací prvky se monitorují a doporučují defenderem pro cloud. Azure Policy můžete také použít k vytváření nových definic, definování dalších zásad a přiřazování zásad napříč skupinami pro správu.
E-mailová oznámení: nastavení kontaktů zabezpečení a oznámení
Cenová úroveň: s plány Programu Microsoft Defender for Cloud Defender nebo bez nich, které určují, které funkce Defender for Cloud jsou k dispozici pro prostředky v rozsahu (je možné určit pro předplatná a pracovní prostory pomocí rozhraní API).
Note
Zadáním kontaktu zabezpečení zajistíte, že Azure může kontaktovat správnou osobu ve vaší organizaci, pokud dojde k incidentu zabezpečení. Další informace o tom, jak toto doporučení povolit, najdete v článku Zadání podrobností o kontaktu zabezpečení v programu Defender for Cloud.
Definice a doporučení zásad zabezpečení
Defender for Cloud automaticky vytvoří výchozí zásady zabezpečení pro každé z vašich předplatných Azure. Zásady můžete upravit v programu Defender for Cloud nebo použít Azure Policy k vytváření nových definic, definování dalších zásad a přiřazování zásad napříč skupinami pro správu. Skupiny pro správu můžou představovat celou organizaci nebo organizační jednotku v rámci organizace. Dodržování zásad můžete monitorovat napříč těmito skupinami pro správu.
Před konfigurací zásad zabezpečení si projděte jednotlivá doporučení zabezpečení:
Zkontrolujte, jestli jsou tyto zásady vhodné pro různá předplatná a skupiny prostředků.
Seznamte se s akcemi, které řeší doporučení zabezpečení.
Určete, kdo ve vaší organizaci zodpovídá za monitorování a nápravu nových doporučení.
Shromažďování dat a úložiště
Defender for Cloud používá Defender for Endpoint ke shromažďování dat zabezpečení z vašich virtuálních počítačů. Defender for Endpoint ukládá shromážděná data do geografického umístění tenanta, jak je identifikováno během zřizování.
Note
Microsoft činí silné závazky k ochraně osobních údajů a zabezpečení těchto dat. Společnost Microsoft dodržuje přísné pokyny pro dodržování předpisů a zabezpečení – od psaní kódu po provoz služeb. Další informace o zpracování dat a ochraně osobních údajů najdete v programu Defender for Cloud Data Security.
Zakomponování prostředků mimo Azure
Defender for Cloud může monitorovat stav zabezpečení počítačů mimo Azure, ale musíte tyto prostředky nejprve připojit. Chcete-li získat další informace o onboardingu prostředků mimo Azure, přečtěte si článek nazvaný "Onboarding počítačů mimo Azure".
Průběžné sledování zabezpečení
Po počáteční konfiguraci a použití doporučení Defender for Cloud je dalším krokem zvážit provozní procesy Defender for Cloud.
Přehled Defenderu pro cloud poskytuje jednotný přehled zabezpečení všech prostředků Azure a všech prostředků mimo Azure, které jste připojili. Tento příklad ukazuje prostředí s mnoha problémy, které je potřeba vyřešit:
Note
Defender for Cloud nezasahuje do běžných provozních postupů. Defender for Cloud pasivní monitoruje vaše nasazení a poskytuje doporučení na základě zásad zabezpečení, které jste povolili.
Když se poprvé přihlásíte k použití Defenderu pro cloud pro vaše aktuální prostředí Azure, zkontrolujte všechna doporučení, která je možné provést na stránce Doporučení .
Jako součást každodenních operací zabezpečení si naplánujte navštívení možnosti Analýza hrozeb. Tam můžete identifikovat bezpečnostní hrozby pro prostředí, například můžete určit, zda je konkrétní počítač součástí botnetu.
Monitorování nových nebo změněných zdrojů
Většina prostředí Azure je dynamická, s prostředky, které se pravidelně vytvářejí, škálují nahoru nebo dolů, rekonfigurují a mění. Defender for Cloud pomáhá zajistit, abyste měli přehled o stavu zabezpečení těchto nových prostředků.
Když do prostředí Azure přidáte nové prostředky (virtuální počítače, databáze SQL), Defender for Cloud tyto prostředky automaticky zjistí a začne monitorovat jejich zabezpečení, včetně webových rolí PaaS a rolí pracovních procesů. Pokud je shromažďování dat v zásadách zabezpečení povolené, povolí se pro vaše virtuální počítače automaticky více možností monitorování.
Měli byste také pravidelně monitorovat stávající prostředky pro změny konfigurace, které by mohly představovat rizika zabezpečení, posun od doporučených standardních hodnot a výstrah zabezpečení.
Posílení přístupu a aplikací
V rámci operací zabezpečení byste měli zavést také preventivní opatření pro omezení přístupu k virtuálním počítačům a řízení aplikací spuštěných na virtuálních počítačích. Uzamčením příchozího provozu do virtuálních počítačů Azure snižujete riziko útoků a zároveň poskytuje snadný přístup k virtuálním počítačům v případě potřeby. K posílení přístupu k virtuálním počítačům použijte funkci přístupu k virtuálním počítačům za běhu.
Reakce na incidenty
Defender for Cloud vás rozpozná a upozorní vás na hrozby, když k nim dojde. Organizace by měly výstrahy zabezpečení aktivně sledovat a provádět potřebné kroky, aby útok podrobněji prošetřily nebo napravily. Další informace o tom, jak defender for Cloud Threat Protection funguje, najdete v článku Jak Defender for Cloud detekuje hrozby a reaguje na ně.
I když váš plán reakce na incidenty nemůžeme vytvořit, jako základ pro fáze reakce na incidenty používáme v životním cyklu cloudu reakci na zabezpečení Microsoft Azure. Fáze reakce na incidenty v cloudovém životním cyklu jsou:
Note
Jako referenci při sestavování vlastního plánu můžete využít příručku Computer Security Incident Handling Guide organizace National Institute of Standards and Technology (NIST).
Výstrahy Defenderu pro cloud můžete použít v následujících fázích:
Detekce: Identifikace podezřelé aktivity v jednom nebo několika prostředcích.
Posouzení: Proveďte počáteční posouzení, abyste získali více informací o podezřelé aktivitě.
Diagnóza: Technické vyřešení problému podle nápravných kroků.
Každá výstraha zabezpečení poskytuje informace, které umožňují lepší pochopení povahy útoku a navrhují možné kroky ke zmírnění dopadu. Některé výstrahy obsahují i odkazy na další informace nebo další zdroje informací v Azure. Poskytnuté informace můžete využít k dalšímu výzkumu a nápravným krokům. Můžete také prohledávat data související se zabezpečením, která jsou uložena ve vašem pracovním prostoru.
Následující příklad ukazuje probíhající podezřelé aktivity protokolu RDP:
Snímek obrazovky podezřelého hlášení o aktivitě během jejího probíhání.
Tato stránka obsahuje podrobné informace o čase útoku, zdrojovém názvu hostitele a cílovém virtuálním počítači a nabízí také doporučené kroky. Za některých okolností můžou být informace o zdroji útoku prázdné. Další informace o tomto typu chování najdete v upozorněních Defenderu pro cloud v části Chybějící informace o zdroji.
Jakmile identifikujete ohrožený systém, můžete spustit automatizaci pracovního postupu , která byla vytvořena dříve. Automatizace pracovních postupů jsou kolekce procedur, které je možné spouštět z Defenderu pro cloud po aktivaci výstrahou.
Note
Přečtěte si článek Správa a reakce na výstrahy zabezpečení v defenderu pro cloud , kde najdete další informace o tom, jak používat funkce Defenderu pro cloud, které vám pomůžou během procesu reakce na incidenty.
Další kroky
V tomto dokumentu jste se naučili, jak naplánovat přijetí Defender for Cloud. Další informace o defenderu pro cloud:
- Správa a reakce na výstrahy zabezpečení v defenderu pro cloud
- Monitorování partnerských řešení pomocí Programu Defender for Cloud – Zjistěte, jak monitorovat stav partnerských řešení.
- Běžné dotazy k Defenderu pro cloud – Najděte nejčastější dotazy týkající se používání služby.
- Blog o zabezpečení Azure – Přečtěte si blogové příspěvky o zabezpečení a dodržování předpisů Azure.