Freigeben über


Sicherheitskontrolle: Endpunktsicherheit

Die Endpunktsicherheit umfasst Kontrollmechanismen zur Erkennung und Reaktion am Endpunkt (Endpoint Detection and Response, EDR) sowie zur Nutzung von EDR- und Antimalwarediensten für Endpunkte in Cloudumgebungen.

ES-1: Verwenden von Endpunkterkennung und -antwort (Endpoint Detection and Response, EDR)

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS ID(s) v3.2.1
13.7 SC-3, SI-2, SI-3, SI-16 11,5

Sicherheitsprinzip: Aktivieren von Funktionen für Endpunkterkennung und -reaktion (EDR) für VMs und Integration in SIEM- und Sicherheitsvorgänge.


Azure-Leitfaden: Microsoft Defender für Server (mit microsoft Defender für Endpunkt integriert) bietet EDR-Funktionen, um erweiterte Bedrohungen zu verhindern, zu erkennen, zu untersuchen und darauf zu reagieren.

Verwenden Sie Microsoft Defender für Cloud, um Microsoft Defender für Server auf Ihren Endpunkten bereitzustellen und die Warnungen in Ihre SIEM-Lösung wie Microsoft Sentinel zu integrieren.

Azure-Implementierung und zusätzlicher Kontext:


AWS-Leitfaden: Integrieren Sie Ihr AWS-Konto in Microsoft Defender für Cloud und stellen Sie Microsoft Defender für Server (mit Microsoft Defender für Endpunkt integriert) auf Ihren EC2-Instanzen bereit, um EDR-Funktionen bereitzustellen, um erweiterte Bedrohungen zu verhindern, zu erkennen, zu untersuchen und darauf zu reagieren.

Alternativ können Sie die integrierte Threat Intelligence-Funktion von Amazon GuardDuty verwenden, um Ihre EC2-Instanzen zu überwachen und zu schützen. Amazon GuardDuty kann anomale Aktivitäten wie Aktivitäten erkennen, die eine Instanzkompromittierung angeben, z. B. Krypto-Mining, Schadsoftware mithilfe von Algorithmen zur Domänengenerierung (DGAs), ausgehende Denial of Service-Aktivität, ungewöhnlich hohe Anzahl von Netzwerkdatenverkehr, ungewöhnliche Netzwerkprotokolle, ausgehende Instanzkommunikation mit einer bekannten bösartigen IP, temporäre Amazon EC2-Anmeldeinformationen, die von einer externen IP-Adresse verwendet werden, und Datenexfiltration mit DNS.

AWS-Implementierung und zusätzlicher Kontext:


GCP-Leitfaden: Integrieren Sie Ihr GCP-Projekt in Microsoft Defender für Cloud und stellen Sie Microsoft Defender für Server (mit Microsoft Defender für Endpunkt integriert) auf Ihren virtuellen Computerinstanzen bereit, um EDR-Funktionen bereitzustellen, um erweiterte Bedrohungen zu verhindern, zu erkennen, zu untersuchen und darauf zu reagieren.

Alternativ können Sie das Security Command Center von Google für integrierte Bedrohungserkennung verwenden, um Ihre Instanzen des virtuellen Computers zu überwachen und zu schützen. Das Security Command Center kann anomale Aktivitäten wie potenziell durchleckte Anmeldeinformationen, Kryptowährungsmining, potenziell schädliche Anwendungen, böswillige Netzwerkaktivitäten und vieles mehr erkennen.

GCP-Implementierung und zusätzlicher Kontext:


Kundensicherheitsbeteiligte (Weitere Informationen):

ES-2: Verwenden moderner Antischadsoftware

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS ID(s) v3.2.1
10.1 SC-3, SI-2, SI-3, SI-16 5,1

Sicherheitsprinzip: Verwenden Sie Anti-Malware-Lösungen (auch als Endpunktschutz bezeichnet), die Echtzeitschutz und regelmäßige Überprüfungen ermöglichen.


Azure-Leitfaden: Microsoft Defender für Cloud kann die Verwendung einer Reihe beliebter Antischadsoftwarelösungen für Ihre virtuellen Computer und lokalen Computer automatisch identifizieren, wobei Azure Arc konfiguriert ist und den Status des Endpunktschutzes meldet und Empfehlungen abgeben kann.

Microsoft Defender Antivirus ist die Antischadsoftware-Standardlösung für Windows Server 2016 und höher. Verwenden Sie für Windows Server 2012 R2 die Microsoft Antimalware-Erweiterung, um SCEP (System Center Endpoint Protection) zu aktivieren. Verwenden Sie für virtuelle Linux-Computer Microsoft Defender for Endpoint unter Linux für das Endpunktschutz-Feature.

Sowohl für Windows als auch für Linux können Sie Microsoft Defender for Cloud verwenden, um den Integritätsstatus der Antimalwarelösung zu ermitteln und zu bewerten.

Hinweis: Sie können auch Microsoft Defender für Cloud Defender for Storage verwenden, um Schadsoftware zu erkennen, die in Azure Storage-Konten hochgeladen wurde.

Azure-Implementierung und zusätzlicher Kontext:


AWS-Leitfaden: Onboarding Ihres AWS-Kontos in Microsoft Defender für Cloud, damit Microsoft Defender für Cloud die Verwendung einiger beliebter Anti-Malware-Lösungen für EC2-Instanzen automatisch identifizieren kann, wobei Azure Arc konfiguriert und den Status des Endpunktschutzes meldet und Empfehlungen abgeben kann.

Microsoft Defender Antivirus ist die Antimalware-Standardlösung für Windows Server 2016 und höher. Verwenden Sie für EC2-Instanzen, auf denen Windows Server 2012 R2 ausgeführt wird, die Microsoft Antimalware-Erweiterung, um SCEP (System Center Endpoint Protection) zu aktivieren. Verwenden Sie für EC2-Instanzen, auf denen Linux ausgeführt wird, Microsoft Defender for Endpoint unter Linux für das Endpunktschutz-Feature.

Sowohl für Windows als auch für Linux können Sie Microsoft Defender for Cloud verwenden, um den Integritätsstatus der Antimalwarelösung zu ermitteln und zu bewerten.

Hinweis: Microsoft Defender Cloud unterstützt auch bestimmte Endpunktschutzprodukte von Drittanbietern für die Ermittlungs- und Integritätsstatusbewertung.

AWS-Implementierung und zusätzlicher Kontext:


GCP-Leitfaden: Integrieren Sie Ihre GCP-Projekte in Microsoft Defender für Cloud, damit Microsoft Defender für Cloud automatisch die Verwendung beliebter Antischadsoftwarelösungen für virtuelle Computerinstanzen mit Azure Arc konfiguriert und den Endpunktschutzstatus melden und Empfehlungen abgeben kann.

Microsoft Defender Antivirus ist die Antimalware-Standardlösung für Windows Server 2016 und höher. Verwenden Sie für Instanzen virtueller Computer mit Windows Server 2012 R2 die Microsoft-Antischadsoftwareerweiterung, um SCEP (System Center Endpoint Protection) zu aktivieren. Verwenden Sie für Virtuelle Computerinstanzen, die Linux ausführen, Microsoft Defender für Endpunkt unter Linux für das Endpunktschutzfeature.

Sowohl für Windows als auch für Linux können Sie Microsoft Defender for Cloud verwenden, um den Integritätsstatus der Antimalwarelösung zu ermitteln und zu bewerten.

Hinweis: Microsoft Defender Cloud unterstützt auch bestimmte Endpunktschutzprodukte von Drittanbietern für die Ermittlungs- und Integritätsstatusbewertung.

GCP-Implementierung und zusätzlicher Kontext:


Kundensicherheitsbeteiligte (Weitere Informationen):

ES-3: Sicherstellen, dass Antischadsoftware und Signaturen aktualisiert werden

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS ID(s) v3.2.1
10,2 SI-2, SI-3 5.2

Sicherheitsprinzip: Stellen Sie sicher, dass Antischadsoftwaresignaturen für die Antischadsoftwarelösung schnell und konsistent aktualisiert werden.


Azure-Leitfaden: Befolgen Sie Empfehlungen in Microsoft Defender für Cloud, um alle Endpunkte mit den neuesten Signaturen auf dem neuesten Stand zu halten. Microsoft Antimalware (für Windows) und Microsoft Defender for Endpoint (für Linux) installieren standardmäßig automatisch die neuesten Signaturen und Engineupdates.

Stellen Sie für Drittanbieterlösungen sicher, dass die Signaturen in der Antimalwarelösung des Drittanbieters aktualisiert werden.

Azure-Implementierung und zusätzlicher Kontext:


AWS-Leitfaden: Befolgen Sie bei Ihrem in Microsoft Defender for Cloud integrierten AWS-Konto Empfehlungen in Microsoft Defender für Cloud, um alle Endpunkte mit den neuesten Signaturen auf dem neuesten Stand zu halten. Microsoft Antimalware (für Windows) und Microsoft Defender for Endpoint (für Linux) installieren standardmäßig automatisch die neuesten Signaturen und Engineupdates.

Stellen Sie für Drittanbieterlösungen sicher, dass die Signaturen in der Antimalwarelösung des Drittanbieters aktualisiert werden.

AWS-Implementierung und zusätzlicher Kontext:


GCP-Leitfaden: Befolgen Sie mit Ihren GCP-Projekten, die in Microsoft Defender für Cloud integriert sind, Empfehlungen in Microsoft Defender für Cloud, um alle EDR-Lösungen mit den neuesten Signaturen auf dem neuesten Stand zu halten. Microsoft Antimalware (für Windows) und Microsoft Defender for Endpoint (für Linux) installieren standardmäßig automatisch die neuesten Signaturen und Engineupdates.

Stellen Sie für Drittanbieterlösungen sicher, dass die Signaturen in der Antimalwarelösung des Drittanbieters aktualisiert werden.

GCP-Implementierung und zusätzlicher Kontext:


Kundensicherheitsbeteiligte (Weitere Informationen):