Správa zabezpečení infrastruktury pomocí defenderu pro cloud

  • 10 min

Vzhledem k tomu, že vaše společnost je finanční organizace, musí splňovat nejvyšší úrovně zabezpečení. Každá transakce zákazníka nebo partnera musí být zcela chráněna před hrozbami a musíte také efektivně reagovat na potenciální hrozby. Například pokud dojde k ohrožení zabezpečení virtuálního počítače, musíte rychle reagovat na vyřešení problému.

Tato lekce popisuje, jak chránit prostředky a reagovat na hrozby pomocí programu Microsoft Defender for Cloud. Defender for Cloud vám pomůže zajistit, aby konfigurace zabezpečení vaší infrastruktury byla co nejbezpečnější.

Defender for Cloud můžete použít k:

  • Seznamte se s stavem zabezpečení vaší architektury.
  • Identifikujte a vyřešte rizika a hrozby pro vaši infrastrukturu.
  • Zabezpečte složitou infrastrukturu pomocí tradičních interních dovedností a kapitálu.
  • Zabezpečte infrastrukturu, která se skládá z místních a cloudových prostředků.

Princip postoje k zabezpečení

Musíte porozumět stavu zabezpečení vaší architektury, abyste mohli vytvářet a udržovat lepší infrastrukturu. Defender for Cloud vám pomůže pochopit zabezpečení vaší architektury tím, že poskytuje podrobné analýzy různých komponent vašeho prostředí, včetně následujících:

  • Zabezpečení dat
  • Zabezpečení sítě
  • Identita a přístup
  • Zabezpečení aplikací

Defender for Cloud používá protokoly Azure Monitoru ke shromažďování dat z vašich virtuálních počítačů k monitorování ohrožení zabezpečení a hrozeb. Agent čte z virtuálního počítače různé konfigurace a protokoly událostí souvisejících se zabezpečením a kopíruje data do pracovního prostoru služby Log Analytics pro účely analýzy.

Defender for Cloud doporučuje způsoby řešení problémů a rizik, které odhalí. Pomocí doporučení můžete zlepšit zabezpečení a dodržování předpisů vaší architektury.

Screenshot of recommendation in Microsoft Defender for Cloud.

Ochrana před hrozbami

K blokování podezřelých aktivit a ochraně vašich prostředků můžete použít defender for Cloud just-in-time (JIT) přístup k virtuálním počítačům a adaptivní řízení aplikací. Pokud chcete získat přístup k těmto ovládacím prvkům, vyberte ochranu úloh v části Zabezpečení cloudu v levém navigačním panelu Defenderu pro cloud.

Přístup k virtuálním počítačům za běhu

Virtuální počítače můžete chránit pomocí funkce přístupu k virtuálním počítačům za běhu (JIT), která blokuje trvalý přístup k virtuálním počítačům. K virtuálním počítačům se dá přistupovat jenom na základě auditovaného přístupu, který nakonfigurujete.

Pokud chcete povolit JIT, vyberte přístup k virtuálnímu počítači za běhu na obrazovce Ochrany úloh v části Rozšířená ochrana. Na stránce přístupu k virtuálním počítačům za běhu zaškrtněte políčka vedle jednoho nebo více virtuálních počítačů v seznamu Nenakonfigurováno a pak výběrem možnosti Povolit JIT na (číslo) virtuálních počítačích nakonfigurujte JIT pro tyto virtuální počítače.

Defender for Cloud zobrazuje seznam výchozích portů, na které cílí JIT, nebo můžete nakonfigurovat vlastní porty.

Screenshot of JIT configuration.

Adaptivní řízení aplikací

Adaptivní řízení aplikací můžete použít k řízení, které aplikace se můžou na virtuálních počítačích spouštět. Defender for Cloud používá strojové učení k pohledu na procesy spuštěné na virtuálních počítačích, vytváření pravidel výjimek pro každou skupinu prostředků, která obsahuje vaše virtuální počítače, a poskytuje doporučení.

Adaptivní řízení nakonfigurujete tak, že na obrazovce Ochrany úloh v části Rozšířená ochrana vyberete Adaptivní řízení aplikací. Na obrazovce Adaptivní řízení aplikací se zobrazí seznam skupin prostředků, které obsahují vaše virtuální počítače. Na kartě Doporučené jsou uvedené skupiny prostředků, které Defender for Cloud doporučuje pro adaptivní řízení aplikací.

Screenshot of Adaptive application controls.

Vyberte skupinu prostředků a použijte obrazovku Konfigurovat pravidla řízení aplikací pro cílové virtuální počítače a aplikace, které by měly mít použitá pravidla řízení.

Reakce na hrozby

Defender for Cloud poskytuje centralizované zobrazení všech výstrah zabezpečení seřazených podle závažnosti. Výstrahy zabezpečení můžete zobrazit tak , že v levém navigačním panelu Defenderu pro cloud vyberete výstrahy zabezpečení.

Screenshot of security alerts.

Defender for Cloud kombinuje související výstrahy do jediného incidentu zabezpečení co nejvíce. Výběrem incidentu zobrazíte konkrétní výstrahy zabezpečení, které incident obsahuje.

Přejděte k podrobnostem výstrahy tak, že vyberete výstrahu a pak vyberete Zobrazit úplné podrobnosti.

Screenshot of incident details.

Defender for Cloud vám může pomoct reagovat na hrozby rychleji a automatizovaně tím, že podniká akce. Vyberte Další: Provedení akce pro provedení akce u výstrahy.

Screenshot of alert details.

Rozbalte některou z následujících částí a proveďte akci s výstrahou:

  • Prozkoumejte kontext prostředku a prozkoumejte protokoly prostředků v době výstrahy.
  • Zmírnění hrozby , abyste viděli návrhy minimalizace nebo nápravy hrozby.
  • Zabránění budoucím útokům za účelem implementace doporučení zabezpečení
  • Aktivace automatizované odpovědi pro aktivaci aplikace logiky jako automatizované odpovědi na tuto výstrahu zabezpečení
  • Potlačit podobná upozornění vytvořením pravidla potlačení s předdefinovanými podmínkami.
  • Nakonfigurujte nastavení e-mailových oznámení, abyste vybrali, kdo má výstrahu oznámit a za jakých podmínek.

Screenshot of the Take action pane.

V podrobnostech výstrahy byste měli zavřít výstrahy, pokud se nevyžaduje žádná akce, například pokud existují falešně pozitivní výsledky. Měli byste reagovat na známé útoky, například blokováním známých škodlivých IP adres, a měli byste se rozhodnout, které výstrahy vyžadují další šetření.

Screenshot of alert status.

Prověřte si své znalosti

1.

Jak můžete pomocí defenderu pro cloud zabránit trvalému přístupu k virtuálním počítačům?

2.

Jak můžete automatizovat odpovědi na výstrahy Defenderu pro cloud?