Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Infrastruktura se skládá z hardwaru, softwaru, mikroslužeb, síťové infrastruktury a zařízení potřebných k podpoře IT služeb pro organizaci. Řešení infrastruktury nulové důvěry (Zero Trust) vyhodnocují, monitorují a brání bezpečnostním hrozbám pro tyto služby.
Řešení infrastruktury nulové důvěryhodnosti podporují principy nulové důvěryhodnosti tím, že zajišťují, aby byl přístup k prostředkům infrastruktury ověřený explicitně, přístup se uděluje pomocí principů přístupu s nejnižšími oprávněními a mechanismy, které předpokládají porušení zabezpečení a hledají a opravují bezpečnostní hrozby v infrastruktuře.
Tyto pokyny jsou určené pro poskytovatele softwaru a technologické partnery, kteří chtějí vylepšit řešení zabezpečení infrastruktury integrací s produkty Microsoftu.
Průvodce integrací nulové důvěry (Zero Trust) pro infrastrukturu
Tento průvodce integrací obsahuje strategii a pokyny pro integraci s Programem Microsoft Defender for Cloud a plány ochrany integrovaných cloudových úloh, Program Microsoft Defender for ... (Servery, kontejnery, databáze, úložiště, app Services a další).
Tyto pokyny zahrnují integrace s nejoblíbenějšími řešeními PRO SPRÁVU událostí a informací o zabezpečení (SIEM), SOAR (Security Orchestration Automated Response), Zjišťování koncových bodů a reakce (EDR) a SPRÁVY IT služeb (ITSM).
Nulový vztah důvěryhodnosti a defender pro cloud
Naše pokyny k nasazení infrastruktury nulové důvěry (Zero Trust) poskytují klíčové fáze strategie nulové důvěryhodnosti pro infrastrukturu:
- Posouzení dodržování zvolených standardů a zásad
- Posílení konfigurace všude, kde jsou nalezeny mezery
- Využití dalších nástrojů pro posílení zabezpečení, jako je přístup k virtuálním počítačům podle potřeby (JIT)
- Nastavení detekce hrozeb a ochrany
- Automatické blokování a označení rizikového chování a provádění ochranných akcí
Z cílů popsaných v pokynech pro nasazení infrastruktury k základním aspektům Defenderu pro cloud je jasné mapování.
| Cíl nulové důvěryhodnosti | Funkce Defenderu pro cloud |
|---|---|
| Posouzení dodržování předpisů | V programu Defender for Cloud má každé předplatné automaticky přiřazený srovnávací test zabezpečení cloudu Microsoftu (MCSB) jako výchozí iniciativu zabezpečení. Pomocí nástrojů pro bezpečnostní skóre a řídicího panelu dodržování právních předpisů můžete získat podrobné informace o stavu zabezpečení zákazníka. |
| Posílení konfigurace | Přiřaďte k předplatným iniciativy zabezpečení a zkontrolujte skóre zabezpečení, které vás povede k doporučením posílení zabezpečení integrovaným v defenderu pro cloud. Defender for Cloud pravidelně analyzuje stav dodržování předpisů prostředků, aby identifikoval potenciální chybné konfigurace zabezpečení a slabá místa. Pak poskytuje doporučení, jak tyto problémy napravit. |
| Použití mechanismů posílení zabezpečení | A jednorázové opravy chybných konfigurací zabezpečení zahrnuje Defender for Cloud funkce pro další posílení prostředků, jako jsou: Přístup k virtuálnímu počítači podle potřeby (JIT) Adaptivní posílení zabezpečení sítě Adaptivní řízení aplikací |
| Nastavení detekce hrozeb | Defender for Cloud nabízí integrované plány ochrany cloudových úloh pro detekci hrozeb a reakci. Plány poskytují pokročilé, inteligentní, chráněné azure, hybridní a multicloudové prostředky a úlohy. Jeden z plánů Programu Microsoft Defender, Defender pro servery, zahrnuje nativní integraci s Programem Microsoft Defender for Endpoint. Další informace najdete v úvodu do Microsoft Defenderu pro cloud. |
| Automatické blokování podezřelého chování | Řada doporučení pro posílení zabezpečení v Defenderu pro cloud nabízí možnost odepření . Tato funkce umožňuje zabránit vytváření prostředků, které nesplňují definovaná kritéria posílení zabezpečení. Další informace najdete v článku Prevence chybných konfigurací s doporučeními k vynucení a zamítnutí. |
| Automatické označení podezřelého chování | Rozšířené detekce aktivují výstrahy zabezpečení v programu Microsoft Defender pro cloud. Defender for Cloud upřednostňuje a vypíše výstrahy spolu s informacemi potřebnými k rychlému prozkoumání problému. Defender for Cloud také poskytuje podrobné kroky, které vám pomůžou napravit útoky. Úplný seznam dostupných výstrah najdete v tématu Výstrahy zabezpečení – referenční příručka. |
Ochrana služeb Azure PaaS pomocí Defenderu pro cloud
Když máte v předplatném povolený Defender for Cloud a plány ochrany úloh Defenderu povolené pro všechny dostupné typy prostředků, máte vrstvu inteligentní ochrany před hrozbami, ochranu prostředků ve službě Azure Key Vault, Azure Storage, Azure DNS a dalších službách Azure PaaS. Úplný seznam najdete v seznamu služeb PaaS uvedených v matici podpory.
Azure Logic Apps
Využijte Azure Logic Apps k vytváření automatizovaných škálovatelných pracovních postupů, obchodních procesů a podnikových orchestrací pro integraci aplikací a dat mezi cloudovými službami a místními systémy.
Funkce automatizace pracovních postupů v Defenderu for Cloud umožňuje automatizovat odpovědi na triggery Defenderu pro cloud.
Tento přístup je skvělý způsob, jak definovat a reagovat automatizovaným konzistentním způsobem při zjištění hrozeb. Chcete-li například upozornit relevantní zúčastněné strany, spustit proces správy změn a použít konkrétní nápravné kroky při zjištění hrozby.
Integrace Defenderu pro cloud s řešeními SIEM, SOAR a ITSM
Microsoft Defender pro cloud může streamovat výstrahy zabezpečení do nejoblíbenějších řešení zabezpečení a správy událostí (SIEM), SOAR (Security Orchestraation Automated Response) a SPRÁVY IT služeb (ITSM).
Existují nativní nástroje Azure pro zajištění toho, abyste mohli zobrazit data výstrah ve všech nejoblíbenějších řešeních, která se dnes používají, včetně:
- Microsoft Sentinel
- Splunk Enterprise a Splunk Cloud
- QRadar od IBM
- ServiceNow
- ArcSight
- Power BI
- Palo Alto Networks
Microsoft Sentinel
Program Defender for Cloud se nativně integruje se službou Microsoft Sentinel, nativním pro cloud, správou událostí zabezpečení (SIEM) a řešením soAR (Security Orchestraation Automated Response).
V Microsoft Sentinelu existují dva přístupy k zajištění toho, aby se vaše data Defenderu pro cloud reprezentovala:
Konektory služby Sentinel – Microsoft Sentinel zahrnuje integrované konektory pro Microsoft Defender for Cloud na úrovni předplatného a tenanta:
- Streamování upozornění na Microsoft Sentinel na úrovni předplatného
- Připojení všech předplatných ve vašem tenantovi k Microsoft Sentinelu
Návod
Další informace najdete v upozorněních zabezpečení pro připojení z Microsoft Defenderu pro cloud.
Streamování protokolů auditu – alternativou k prošetření upozornění Defenderu pro cloud v Microsoft Sentinelu je streamování protokolů auditu do Microsoft Sentinelu:
Streamování upozornění pomocí rozhraní Microsoft Graph Security API
Defender for Cloud má připravenou integraci s rozhraním Microsoft Graph Security API. Nevyžaduje se žádná konfigurace a žádné další náklady.
Pomocí tohoto rozhraní API můžete streamovat výstrahy z celého tenanta (a dat z mnoha dalších produktů Microsoft Security) do systémů SIEM jiných společností než Microsoft a dalších oblíbených platforem:
- Splunk Enterprise a Splunk Cloud - Použití rozhraní Microsoft Graph Security API Add-On pro Splunk
- Power BI - Připojení k rozhraní Microsoft Graph Security API v Power BI Desktopu
- ServiceNow - Podle pokynů nainstalujte a nakonfigurujte aplikaci rozhraní Microsoft Graph Security API z úložiště ServiceNow.
- QRadar - Modul podpory zařízení IBM pro Microsoft Defender for Cloud prostřednictvím rozhraní Microsoft Graph API
- Palo Alto Networks, Anomálie, Lookout, InSpark a další – Microsoft Graph Security API
Přečtěte si další informace o rozhraní Microsoft Graph Security API.
Streamování upozornění pomocí služby Azure Monitor
Pomocí funkce průběžného exportu v Programu Defender for Cloud můžete připojit Defender for Cloud s Azure Monitorem prostřednictvím služby Azure Event Hubs a streamovat výstrahy do serverů ArcSight, SumoLogic, Syslog, LogRhythm, Logz.io Cloud Observability Platform a dalších řešení monitorování.
Další informace najdete v upozorněních služby Stream pomocí služby Azure Monitor.
Tuto operaci můžete provést také na úrovni skupiny pro správu pomocí služby Azure Policy. Viz Vytvoření konfigurací automatizace průběžného exportu ve velkém měřítku.
Návod
Pokud chcete zobrazit schémata událostí exportovaných datových typů, navštivte schémata událostí služby Event Hubs.
Integrace Defenderu pro cloud s řešením Detekce a reakce koncových bodů (EDR)
Microsoft Defender for Endpoint
Microsoft Defender for Endpoint je ucelené cloudové řešení zabezpečení koncových bodů.
Microsoft Defender pro servery obsahuje integrovanou licenci pro Microsoft Defender for Endpoint. Společně poskytují komplexní možnosti detekce koncových bodů a reakce (EDR). Další informace najdete v tématu Ochrana koncových bodů.
Když Defender for Endpoint detekuje hrozbu, aktivuje výstrahu. Výstraha se zobrazí v programu Defender for Cloud a můžete přejít do konzoly Defenderu for Endpoint a provést podrobné šetření a odhalit rozsah útoku. Přečtěte si další informace o programu Microsoft Defender for Endpoint.
Další řešení EDR
Defender for Cloud poskytuje doporučení k posílení zabezpečení, abyste zajistili zabezpečení prostředků vaší organizace podle pokynů srovnávacího testu zabezpečení cloudu Microsoftu (MCSB). Jedna z kontrol v srovnávacím testu souvisí se zabezpečením koncových bodů: ES-1: Použití detekce a odezvy koncových bodů (EDR).
Defender for Cloud nabízí dvě doporučení, která vám umožní povolit ochranu koncových bodů a funguje dobře. Tato doporučení kontrolují přítomnost a provozní stav řešení EDR z:
- Trend Micro
- Symantec
- Mcafee
- Sophos
Další informace najdete v posouzení ochrany koncových bodů a doporučeních v Programu Microsoft Defender pro cloud.
Použití strategie nulové důvěryhodnosti u hybridních a multicloudových scénářů
U cloudových úloh, které často pokrývají více cloudových platforem, musí služby cloudového zabezpečení provádět totéž.
Microsoft Defender for Cloud chrání úlohy všude, kde jsou spuštěné: v Azure, v místním prostředí, Amazon Web Services (AWS) nebo Google Cloud Platform (GCP).
Integrace Defenderu pro cloud s místními počítači
Pokud chcete zabezpečit hybridní cloudové úlohy, můžete rozšířit ochranu Defenderu pro cloud připojením místních počítačů k serverům s podporou Azure Arc.
Přečtěte si, jak připojit počítače v nástroji Connect your non-Azure machines to Defender for Cloud.
Integrace Defenderu pro cloud s jinými cloudovými prostředími
Pokud chcete zobrazit stav zabezpečení počítačů Amazon Web Services v programu Defender for Cloud, připojte účty AWS do programu Defender for Cloud. Tento přístup integruje AWS Security Hub a Microsoft Defender for Cloud pro jednotné zobrazení doporučení defenderu pro cloud a zjištění AWS Security Hubu a poskytuje celou řadu výhod, jak je popsáno v tématu Připojení účtů AWS k Microsoft Defenderu pro cloud.
Pokud chcete zobrazit stav zabezpečení počítačů Google Cloud Platform v programu Defender for Cloud, připojte účty GCP do programu Defender for Cloud. Tento přístup integruje GCP Security Command a Microsoft Defender for Cloud pro jednotné zobrazení doporučení Defenderu pro cloud a zjištění GCP Security Command Center a poskytuje celou řadu výhod, jak je popsáno v tématu Připojení účtů GCP k Microsoft Defenderu pro cloud.
Další kroky
Další informace o programu Microsoft Defender for Cloud najdete v kompletní dokumentaci k programu Defender for Cloud.