Sicherheitskontrolle: Endpunktsicherheit
Die Endpunktsicherheit umfasst Kontrollmechanismen zur Erkennung und Reaktion am Endpunkt (Endpoint Detection and Response, EDR) sowie zur Nutzung von EDR- und Antimalwarediensten für Endpunkte in Cloudumgebungen.
ES-1: Verwenden von Endpunkterkennung und -antwort (Endpoint Detection and Response, EDR)
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 13,7 | SC-3, SI-2, SI-3, SI-16 | 11,5 |
Sicherheitsprinzip: Aktivieren Sie EDR-Funktionen (Endpoint Detection and Response, Endpunkterkennung und -reaktion) für VMs, und integrieren Sie sie in SIEM- und Sicherheitsvorgänge.
Azure-Leitfaden: Microsoft Defender für Server (mit integriertem Microsoft Defender for Endpoint) bietet EDR-Funktionen zum Verhindern, Erkennen, Untersuchen und Reagieren auf erweiterte Bedrohungen.
Verwenden Sie Microsoft Defender für Cloud, um Microsoft Defender für Server auf Ihren Endpunkten bereitzustellen und die Warnungen in Ihre SIEM-Lösung wie Microsoft Sentinel zu integrieren.
Azure-Implementierung und zusätzlicher Kontext:
- Einführung in Azure Defender für Server
- Microsoft Defender für Endpunkt – Übersicht
- Featureabdeckung von Microsoft Defender für Cloud für Computer
- Integration des Connectors für Defender für Server in SIEM
AWS-Leitfaden: Integrieren Sie Ihr AWS-Konto in Microsoft Defender für Cloud, und stellen Sie Microsoft Defender für Server (mit integrierter Microsoft Defender for Endpoint) auf Ihren EC2-Instanzen bereit, um EDR-Funktionen zum Verhindern, Erkennen, Untersuchen und Reagieren auf erweiterte Bedrohungen bereitzustellen.
Alternativ können Sie die integrierte Threat Intelligence-Funktion von Amazon GuardDuty verwenden, um Ihre EC2-Instanzen zu überwachen und zu schützen. Amazon GuardDuty kann anomale Aktivitäten wie Aktivitäten erkennen, die auf eine instance Kompromittierung hinweisen, z. B. Kryptowährungsmining, Schadsoftware mithilfe von Domänengenerierungsalgorithmen ( DGAs), ausgehende Denial-of-Service-Aktivitäten, ungewöhnlich hohe Mengen an Netzwerkdatenverkehr, ungewöhnliche Netzwerkprotokolle, ausgehende instance Kommunikation mit einer bekannten schädlichen IP, temporäre Amazon EC2-Anmeldeinformationen, die von einer externen IP-Adresse verwendet werden, und Datenexfiltration mithilfe von DNS.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Integrieren Ihres GCP-Projekts in Microsoft Defender für Cloud und Bereitstellen Microsoft Defender für Server (mit integrierter Microsoft Defender for Endpoint) auf Ihren VM-Instanzen, um EDR-Funktionen zum Verhindern, Erkennen, Untersuchen und Reagieren auf erweiterte Bedrohungen bereitzustellen.
Alternativ können Sie das Security Command Center von Google für integrierte Bedrohungsinformationen verwenden, um Ihre VM-Instanzen zu überwachen und zu schützen. Das Security Command Center kann anomale Aktivitäten wie potenziell durchgesickerte Anmeldeinformationen, Kryptowährungsmining, potenziell schädliche Anwendungen, schädliche Netzwerkaktivitäten und vieles mehr erkennen.
GCP-Implementierung und zusätzlicher Kontext:
- Schützen Sie Ihre Endpunkte mit der integrierten EDR-Lösung von Defender für Cloud:
- Übersicht über das Security Command Center:
Kundensicherheitsbeteiligte (weitere Informationen):
- Infrastruktur- und Endpunktsicherheit
- Threat Intelligence
- Sicherheitscomplianceverwaltung
- Statusverwaltung
ES-2: Verwenden moderner Antischadsoftware
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 10.1 | SC-3, SI-2, SI-3, SI-16 | 5,1 |
Sicherheitsprinzip: Verwenden Sie Antimalwarelösungen (auch als Endpunktschutz bezeichnet), die Echtzeitschutz und regelmäßiges Scannen bieten.
Azure-Leitfaden: Microsoft Defender für Cloud kann automatisch die Verwendung einer Reihe beliebter Anti-Malware-Lösungen für Ihre virtuellen Computer und lokalen Computer mit konfiguriertem Azure Arc identifizieren und den Endpunktschutz melden, der status ausgeführt wird, und Empfehlungen geben.
Microsoft Defender Antivirus ist die Antischadsoftware-Standardlösung für Windows Server 2016 und höher. Verwenden Sie für Windows Server 2012 R2 die Microsoft Antimalware-Erweiterung, um SCEP (System Center Endpoint Protection) zu aktivieren. Verwenden Sie für virtuelle Linux-Computer Microsoft Defender for Endpoint unter Linux für das Endpunktschutz-Feature.
Sowohl für Windows als auch für Linux können Sie Microsoft Defender for Cloud verwenden, um den Integritätsstatus der Antimalwarelösung zu ermitteln und zu bewerten.
Hinweis: Sie können auch Defender für Storage von Microsoft Defender für Cloud verwenden, um Schadsoftware zu erkennen, die in Azure Storage hochgeladen wurde.
Azure-Implementierung und zusätzlicher Kontext:
- Unterstützte Endpoint Protection-Lösungen
- Konfigurieren von Microsoft Antimalware für Cloud Services und Virtual Machines
AWS-Leitfaden: Integrieren Sie Ihr AWS-Konto in Microsoft Defender für Cloud, damit Microsoft Defender für Cloud die Verwendung einiger gängiger Anti-Malware-Lösungen für EC2-Instanzen mit konfiguriertem Azure Arc automatisch identifizieren und den Endpunktschutz melden, der status ausgeführt wird, und Empfehlungen geben.
Microsoft Defender Antivirus ist die Antimalware-Standardlösung für Windows Server 2016 und höher. Verwenden Sie für EC2-Instanzen, auf denen Windows Server 2012 R2 ausgeführt wird, die Microsoft Antimalware-Erweiterung, um SCEP (System Center Endpoint Protection) zu aktivieren. Verwenden Sie für EC2-Instanzen, auf denen Linux ausgeführt wird, Microsoft Defender for Endpoint unter Linux für das Endpunktschutz-Feature.
Sowohl für Windows als auch für Linux können Sie Microsoft Defender for Cloud verwenden, um den Integritätsstatus der Antimalwarelösung zu ermitteln und zu bewerten.
Hinweis: Microsoft Defender Cloud unterstützt auch bestimmte Endpunktschutzprodukte von Drittanbietern für die Ermittlung und Integrität status Bewertung.
AWS-Implementierung und zusätzlicher Kontext:
- GuardDuty EC2-Ermittlung
- Microsoft Defender unterstützten Endpunktschutzlösungen
- Endpoint Protection: Empfehlungen in Microsoft Defender für Cloud
GCP-Leitfaden: Integrieren Sie Ihre GCP-Projekte in Microsoft Defender für Cloud, damit Microsoft Defender für Cloud die Verwendung beliebter Anti-Malware-Lösungen für VM-Instanzen mit konfiguriertem Azure Arc automatisch identifizieren und die Endpunktschutz-status melden und Empfehlungen geben können.
Microsoft Defender Antivirus ist die Antimalware-Standardlösung für Windows Server 2016 und höher. Verwenden Sie für VM-Instanzen, auf denen Windows Server 2012 R2 ausgeführt wird, Microsoft Antimalware Erweiterung, um SCEP (System Center Endpoint Protection) zu aktivieren. Verwenden Sie für VM-Instanzen unter Linux Microsoft Defender for Endpoint für das Endpunktschutzfeature.
Sowohl für Windows als auch für Linux können Sie Microsoft Defender for Cloud verwenden, um den Integritätsstatus der Antimalwarelösung zu ermitteln und zu bewerten.
Hinweis: Microsoft Defender Cloud unterstützt auch bestimmte Endpunktschutzprodukte von Drittanbietern für die Ermittlung und Integrität status Bewertung.
GCP-Implementierung und zusätzlicher Kontext:
- Microsoft Defender unterstützten Endpunktschutzlösungen:
- Endpunktschutzempfehlungen in Microsoft Defender für Clouds:
Kundensicherheitsbeteiligte (weitere Informationen):
- Infrastruktur- und Endpunktsicherheit
- Threat Intelligence
- Sicherheitscomplianceverwaltung
- Statusverwaltung
ES-3: Sicherstellen der Aktualisierung von Antischadsoftware und Signaturen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 10.2 | SI-2, SI-3 | 5,2 |
Sicherheitsprinzip: Stellen Sie sicher, dass Antimalwaresignaturen für die Antimalwarelösung schnell und konsistent aktualisiert werden.
Azure-Leitfaden: Folgen Sie den Empfehlungen in Microsoft Defender for Cloud, um sicherzustellen, dass alle Endpunkte über die neuesten Signaturen verfügen. Microsoft Antimalware (für Windows) und Microsoft Defender for Endpoint (für Linux) installieren standardmäßig automatisch die neuesten Signaturen und Engineupdates.
Stellen Sie für Drittanbieterlösungen sicher, dass die Signaturen in der Antimalwarelösung des Drittanbieters aktualisiert werden.
Azure-Implementierung und zusätzlicher Kontext:
- Bereitstellen von Microsoft Antimalware für Azure Cloud Services und Virtual Machines
- Endpoint Protection: Bewertung und Empfehlungen in Azure Microsoft Defender für Cloud
AWS-Leitfaden: Wenn für Ihr AWS-Konto ein Onboarding für Microsoft Defender for Cloud durchgeführt wurde, folgen Sie den Empfehlungen in Microsoft Defender for Cloud, um alle Endpunkte mit den neuesten Signaturen auf dem letzten Stand zu halten. Microsoft Antimalware (für Windows) und Microsoft Defender for Endpoint (für Linux) installieren standardmäßig automatisch die neuesten Signaturen und Engineupdates.
Stellen Sie für Drittanbieterlösungen sicher, dass die Signaturen in der Antimalwarelösung des Drittanbieters aktualisiert werden.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Wenn Ihre GCP-Projekte in Microsoft Defender für Cloud integriert sind, befolgen Sie die Empfehlungen in Microsoft Defender für Cloud, um alle EDR-Lösungen mit den neuesten Signaturen auf dem neuesten Stand zu halten. Microsoft Antimalware (für Windows) und Microsoft Defender for Endpoint (für Linux) installieren standardmäßig automatisch die neuesten Signaturen und Engineupdates.
Stellen Sie für Drittanbieterlösungen sicher, dass die Signaturen in der Antimalwarelösung des Drittanbieters aktualisiert werden.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):