Integrace infrastruktury

Infrastruktura se skládá z hardwaru, softwaru, mikroslužeb, síťové infrastruktury a zařízení potřebných k podpoře IT služeb pro organizaci. nulová důvěra (Zero Trust) řešení infrastruktury vyhodnocují, monitorují a brání bezpečnostním hrozbám pro tyto služby.

nulová důvěra (Zero Trust) řešení infrastruktury podporují principy nulová důvěra (Zero Trust) tím, že se zajistí, aby byl přístup k prostředkům infrastruktury ověřený explicitně, přístup se uděluje pomocí principů přístupu s nejnižšími oprávněními a mechanismy jsou zavedené, které předpokládají porušení zabezpečení a hledají a opravují bezpečnostní hrozby v infrastruktuře.

Tyto pokyny jsou určené pro poskytovatele softwaru a technologické partnery, kteří chtějí vylepšit řešení zabezpečení infrastruktury integrací s produkty Microsoftu.

Průvodce integrací nulová důvěra (Zero Trust) pro infrastrukturu

Tento průvodce integrací obsahuje strategii a pokyny pro integraci s Programem Microsoft Defender for Cloud a plány ochrany integrovaných cloudových úloh, Program Microsoft Defender for ... (Servery, kontejnery, databáze, úložiště, app Services a další).

Tyto pokyny zahrnují integrace s nejoblíbenějšími řešeními PRO SPRÁVU událostí a informací o zabezpečení (SIEM), SOAR (Security Orchestration Automated Response), Zjišťování koncových bodů a reakce (EDR) a SPRÁVY IT služeb (ITSM).

nulová důvěra (Zero Trust) a Defender for Cloud

Naše pokyny k nasazení infrastruktury nulová důvěra (Zero Trust) poskytují klíčové fáze strategie nulová důvěra (Zero Trust) pro infrastrukturu. Jedná se o:

1. Posouzení dodržování zvolených standardů a zásad
2. Posílení konfigurace všude, kde jsou nalezeny mezery
3. Využití dalších nástrojů pro posílení zabezpečení, jako je přístup k virtuálním počítačům podle potřeby (JIT)
4. Nastavení detekce hrozeb a ochrany
5. Automatické blokování a označení rizikového chování a provádění ochranných akcí

Z cílů, které jsme popsali v pokynech pro nasazení infrastruktury, je jasné mapování základních aspektů Defenderu pro cloud.

nulová důvěra (Zero Trust) cíl	Funkce Defenderu pro cloud
Posouzení dodržování předpisů	V programu Defender for Cloud má každé předplatné automaticky přiřazený srovnávací test zabezpečení cloudu Microsoftu (MCSB) jako výchozí iniciativu zabezpečení. Pomocí nástrojů pro bezpečnostní skóre a řídicího paneludodržování právních předpisů můžete získat podrobné informace o stavu zabezpečení zákazníka.
Posílení konfigurace	Přiřazení iniciativ zabezpečení k předplatným a kontrola skóre zabezpečení vás povede k doporučením posílení zabezpečení integrovaným v Defenderu pro cloud. Defender for Cloud pravidelně analyzuje stav dodržování předpisů prostředků, aby identifikoval potenciální chybné konfigurace zabezpečení a slabá místa. Pak poskytuje doporučení, jak tyto problémy napravit.
Použití mechanismů posílení zabezpečení	A také jednorázové opravy chybných konfigurací zabezpečení zahrnuje Defender for Cloud funkce pro další posílení vašich prostředků, jako jsou: Přístup k virtuálnímu počítači podle potřeby (JIT) Adaptivní posílení zabezpečení sítě Adaptivní řízení aplikací.
Nastavení detekce hrozeb	Defender for Cloud nabízí integrované plány ochrany cloudových úloh pro detekci hrozeb a reakci. Plány poskytují pokročilé, inteligentní, chráněné azure, hybridní a multicloudové prostředky a úlohy. Jeden z plánů Programu Microsoft Defender, Defender pro servery, zahrnuje nativní integraci s Programem Microsoft Defender for Endpoint. Další informace najdete v úvodu do Microsoft Defenderu pro cloud.
Automatické blokování podezřelého chování	Řada doporučení pro posílení zabezpečení v Defenderu pro cloud nabízí možnost odepření . Tato funkce umožňuje zabránit vytváření prostředků, které nesplňují definovaná kritéria posílení zabezpečení. Další informace najdete v článku Prevence chybných konfigurací s doporučeními k vynucení a zamítnutí.
Automatické označení podezřelého chování	Výstrahy zabezpečení v programu Microsoft Defender for Cloud se aktivují pokročilými detekcemi. Defender for Cloud upřednostňuje a vypíše výstrahy spolu s informacemi potřebnými k rychlému prozkoumání problému. Defender for Cloud také poskytuje podrobné kroky, které vám pomůžou napravit útoky. Úplný seznam dostupných výstrah najdete v tématu Výstrahy zabezpečení – referenční příručka.

Ochrana služeb Azure PaaS pomocí Defenderu pro cloud

Když máte v předplatném povolený Defender for Cloud a plány ochrany úloh Defenderu jsou povolené pro všechny dostupné typy prostředků, budete mít vrstvu inteligentní ochrany před hrozbami , která využívá Microsoft Threat Intelligence – chrání prostředky ve službě Azure Key Vault, Azure Storage, Azure DNS a dalších službách Azure PaaS. Úplný seznam najdete v seznamu služeb PaaS uvedených v matici podpory.

Azure Logic Apps

Využijte Azure Logic Apps k vytváření automatizovaných škálovatelných pracovních postupů, obchodních procesů a podnikových orchestrací pro integraci aplikací a dat mezi cloudovými službami a místními systémy.

Funkce automatizace pracovních postupů v Defenderu for Cloud umožňuje automatizovat odpovědi na triggery Defenderu pro cloud.

To je skvělý způsob, jak definovat a reagovat automatizovaným konzistentním způsobem při zjištění hrozeb. Chcete-li například upozornit relevantní zúčastněné strany, spustit proces správy změn a použít konkrétní nápravné kroky při zjištění hrozby.

Integrace Defenderu pro cloud s řešeními SIEM, SOAR a ITSM

Microsoft Defender pro cloud může streamovat výstrahy zabezpečení do nejoblíbenějších řešení zabezpečení a správy událostí (SIEM), SOAR (Security Orchestraation Automated Response) a SPRÁVY IT služeb (ITSM).

Existují nativní nástroje Azure pro zajištění toho, abyste mohli zobrazit data výstrah ve všech nejoblíbenějších řešeních, která se dnes používají, včetně:

• Microsoft Sentinel
• Splunk Enterprise a Splunk Cloud
• QRadar od IBM
• ServiceNow
• ArcSight
• Power BI
• Palo Alto Networks

Microsoft Sentinel

Program Defender for Cloud se nativně integruje se službou Microsoft Sentinel, cloudovým nativním cloudem, správou událostí zabezpečení (SIEM) a řešením soAR (Security Orchestraation Automated Response).

V Microsoft Sentinelu existují dva přístupy k zajištění toho, aby se vaše data Defenderu pro cloud reprezentovala:

• Konektory služby Sentinel – Microsoft Sentinel zahrnuje integrované konektory pro Microsoft Defender for Cloud na úrovni předplatného a tenanta:

  • Streamování upozornění na Microsoft Sentinel na úrovni předplatného
  • Připojení všechna předplatná ve vašem tenantovi do Služby Microsoft Sentinel

  Tip

  Další informace najdete v Připojení výstrah zabezpečení z Programu Microsoft Defender pro cloud.

• Streamování protokolů auditu – alternativou k prošetření upozornění Defenderu pro cloud v Microsoft Sentinelu je streamování protokolů auditu do Microsoft Sentinelu:

  • Připojení událostí zabezpečení Windows
  • Shromažďování dat ze zdrojů založených na Linuxu pomocí Syslogu
  • Připojení data z protokolu aktivit Azure

Streamování upozornění pomocí Rozhraní API pro zabezpečení Microsoft Graphu

Defender for Cloud má připravenou integraci s Microsoft Graphem Rozhraní API pro zabezpečení. Nevyžaduje se žádná konfigurace a žádné další náklady.

Pomocí tohoto rozhraní API můžete streamovat výstrahy z celého tenanta (a dat z mnoha dalších produktů Microsoft Security) do systémů SIEM třetích stran a dalších oblíbených platforem:

• Splunk Enterprise a Splunk Cloud - – Použití doplňku Microsoft Graph Rozhraní API pro zabezpečení pro Splunk
• Power BI - Připojení do Rozhraní API pro zabezpečení Microsoft Graphu v Power BI Desktopu
• ServiceNow - Postupujte podle pokynů k instalaci a konfiguraci aplikace Microsoft Graph Rozhraní API pro zabezpečení ze služby ServiceNow Store.
• Modul podpory zařízení ibm QRadar - pro Microsoft Defender for Cloud prostřednictvím rozhraní Microsoft Graph API
• Palo Alto Networks, Anomálie, Lookout, InSpark a další – Microsoft Graph Rozhraní API pro zabezpečení

Přečtěte si další informace o Rozhraní API pro zabezpečení Microsoft Graphu.

Streamování upozornění pomocí služby Azure Monitor

Pomocí funkce průběžného exportu v Defenderu for Cloud můžete připojit Defender for Cloud s Azure Monitorem prostřednictvím služby Azure Event Hubs a streamovat výstrahy do arcSightu, SumoLogic, serverů Syslog, LogRhythm, Logz.io Cloud Observability Platform a dalších řešení monitorování.

Další informace najdete v upozorněních služby Stream pomocí služby Azure Monitor.

To lze provést také na úrovni skupiny pro správu pomocí služby Azure Policy. Viz Vytvoření konfigurací automatizace průběžného exportu ve velkém měřítku.

Tip

Pokud chcete zobrazit schémata událostí exportovaných datových typů, navštivte schémata událostí centra událostí.

Integrace Defenderu pro cloud s řešením Detekce a reakce koncových bodů (EDR)

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint je ucelené cloudové řešení zabezpečení koncových bodů.

Microsoft Defender pro servery zahrnuje integrovanou licenci pro Microsoft Defender for Endpoint. Společně poskytují komplexní možnosti detekce a reakce u koncových bodů (EDR). Další informace najdete v tématu Ochrana koncových bodů.

Když Defender for Endpoint detekuje hrozbu, aktivuje výstrahu. Výstraha se zobrazí v programu Defender for Cloud a můžete přejít do konzoly Defenderu for Endpoint a provést podrobné šetření a odhalit rozsah útoku. Přečtěte si další informace o programu Microsoft Defender for Endpoint.

Další řešení EDR

Defender for Cloud poskytuje doporučení k posílení zabezpečení, abyste zajistili zabezpečení prostředků vaší organizace podle pokynů srovnávacího testu zabezpečení cloudu Microsoftu (MCSB). Jedna z kontrol v srovnávacím testu souvisí se zabezpečením koncových bodů: ES-1: Použití detekce a odezvy koncových bodů (EDR).

Defender for Cloud nabízí dvě doporučení, která vám umožní ochranu koncových bodů a funguje dobře. Tato doporučení kontrolují přítomnost a provozní stav řešení EDR z:

• Trend Micro
• Symantec
• Mcafee
• Sophos

Další informace najdete v posouzení ochrany koncových bodů a doporučeních v Programu Microsoft Defender pro cloud.

Použití strategie nulová důvěra (Zero Trust) pro hybridní scénáře a scénáře s více cloudy

U cloudových úloh, které často pokrývají více cloudových platforem, musí služby cloudového zabezpečení provádět totéž.

Microsoft Defender for Cloud chrání úlohy všude, kde jsou spuštěné: v Azure, v místním prostředí, Amazon Web Services (AWS) nebo Google Cloud Platform (GCP).

Integrace Defenderu pro cloud s místními počítači

Pokud chcete zabezpečit hybridní cloudové úlohy, můžete rozšířit ochranu Defenderu pro cloud připojením místních počítačů k serverům s podporou Azure Arc.

Přečtěte si, jak připojit počítače v Připojení počítače mimo Azure k Defenderu pro cloud.

Integrace Defenderu pro cloud s jinými cloudovými prostředími

Pokud chcete zobrazit stav zabezpečení počítačů Amazon Web Services v programu Defender for Cloud, připojte účty AWS do programu Defender for Cloud. Tím se integruje služba AWS Security Hub a Microsoft Defender for Cloud pro jednotné zobrazení doporučení defenderu pro cloud a zjištění AWS Security Hubu a poskytuje celou řadu výhod, jak je popsáno v Připojení vašich účtů AWS do Microsoft Defenderu pro cloud.

Pokud chcete zobrazit stav zabezpečení počítačů Google Cloud Platform v programu Defender for Cloud, připojte účty GCP do programu Defender for Cloud. Tím se integruje příkaz GCP Security Command a Microsoft Defender for Cloud pro jednotný pohled na doporučení Defenderu pro cloud a zjištění GCP Security Command Center a poskytuje celou řadu výhod, jak je popsáno v Připojení účtech GCP do Microsoft Defenderu pro cloud.

Další kroky

Další informace o programu Microsoft Defender for Cloud najdete v kompletní dokumentaci k programu Defender for Cloud.