Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Infrastruktur umfasst die Hardware, Software, Mikrodienste, Netzwerkinfrastruktur und Einrichtungen, die zur Unterstützung von IT-Diensten für eine Organisation erforderlich sind. Zero Trust-Infrastrukturlösungen bewerten, überwachen und verhindern Sicherheitsbedrohungen für diese Dienste.
Zero Trust-Infrastrukturlösungen unterstützen die Prinzipien von Zero Trust, indem sichergestellt wird, dass der Zugriff auf Infrastrukturressourcen explizit überprüft wird, der Zugriff wird mithilfe von Prinzipien des geringsten Berechtigungszugriffs gewährt, und Mechanismen werden eingerichtet, die Sicherheitsbedrohungen in der Infrastruktur annehmen und suchen und beheben.
Dieser Leitfaden richtet sich an Softwareanbieter und Technologiepartner, die ihre Infrastruktursicherheitslösungen durch die Integration in Microsoft-Produkte verbessern möchten.
Zero Trust-Integration für Infrastrukturleitfaden
Dieser Integrationsleitfaden enthält Strategie und Anweisungen für die Integration in Microsoft Defender für Cloud und seine integrierten Schutzpläne für Cloud-Workload, Microsoft Defender für ... (Server, Container, Datenbanken, Speicher, App-Dienste und vieles mehr).
Die Anleitung umfasst Integrationen mit den beliebtesten Lösungen für Security Information and Event Management (SIEM), Security Orchestration Automated Response (SOAR), Endpoint Detection and Response (EDR) und IT Service Management (ITSM).The guidance includes integrations with the most popular Security Information and Event Management (SIEM), Security Orchestration Automated Response (SOAR), Endpoint Detection and Response (EDR) solutions.
Zero Trust und Defender für Cloud
Unsere Zero Trust-Infrastrukturbereitstellungsleitfaden bieten wichtige Phasen der Zero Trust-Strategie für die Infrastruktur:
- Bewerten der Einhaltung ausgewählter Standards und Richtlinien
- Härten der Konfiguration, wo Lücken gefunden werden
- Verwenden anderer Härtungstools wie just-in-time (JIT)-VM-Zugriff
- Einrichten von Bedrohungserkennung und -schutzmaßnahmen
- Automatisches Blockieren und Kennzeichnen riskanter Verhaltensweisen und Ergreifen von Schutzmaßnahmen
Es gibt eine klare Zuordnung der in der Infrastrukturbereitstellungsanleitung beschriebenen Ziele zu den kernen Aspekten von Defender für Cloud.
| Zero Trust-Ziel | Defender for Cloud-Feature |
|---|---|
| Bewerten der Compliance | In Defender für Cloud hat jedes Abonnement automatisch den Microsoft Cloud Security Benchmark (MCSB) als Standardsicherheitsinitiative zugewiesen. Mithilfe der Sicherheitsbewertungstools und des Dashboards zur Einhaltung gesetzlicher Vorschriften können Sie den Sicherheitsstatus Ihres Kunden umfassend verstehen. |
| Härtungskonfiguration | Weisen Sie Abonnements Sicherheitsinitiativen zu, und überprüfen Sie die Sicherheitsbewertung, um Sie zu den in Defender for Cloud integrierten Härteempfehlungen zu führen. Defender für Cloud analysiert regelmäßig den Compliancestatus von Ressourcen, um potenzielle Sicherheitsfehler und Schwachstellen zu identifizieren. Anschließend finden Sie Empfehlungen zur Behebung dieser Probleme. |
| Einsatz von Härtungsmechanismen | Und einmalige Korrekturen für Sicherheitsfehler, umfasst Defender für Cloud Features, um Ihre Ressourcen weiter zu härten, z. B.: Just-in-Time(JIT)-Zugriff auf virtuelle Computer (VM) Härtung adaptiver Netzwerke Adaptive Anwendungssteuerelemente. |
| Einrichten der Bedrohungserkennung | Defender für Cloud bietet integrierte Cloud-Workload-Schutzpläne für die Bedrohungserkennung und -reaktion. Die Pläne bieten erweiterte, intelligente, Schutz von Azure, Hybrid- und Multicloudressourcen und Workloads. Einer der Microsoft Defender-Pläne, Defender für Server, umfasst eine native Integration in Microsoft Defender für Endpunkt. Weitere Informationen finden Sie in der Einführung in Microsoft Defender für Cloud. |
| Verdächtiges Verhalten automatisch blockieren | Viele der härtenden Empfehlungen in Defender for Cloud bieten eine Verweigerungsoption . Mit diesem Feature können Sie die Erstellung von Ressourcen verhindern, die keine definierten Härtekriterien erfüllen. Weitere Informationen finden Sie unter Verhindern von Fehlkonfigurationen mit "Erzwingen/Verweigern"-Empfehlungen. |
| Verdächtiges Verhalten automatisch kennzeichnen | Erweiterte Erkennungen lösen die Sicherheitswarnungen von Microsoft Defender für Cloud aus. Defender für Cloud priorisiert und listet die Warnungen zusammen mit den für Sie benötigten Informationen auf, um das Problem schnell zu untersuchen. Defender für Cloud bietet außerdem detaillierte Schritte zur Behebung von Angriffen. Eine vollständige Liste der verfügbaren Warnungen finden Sie unter Sicherheitswarnungen – ein Referenzhandbuch. |
Schützen Ihrer Azure PaaS-Dienste mit Defender for Cloud
Wenn Defender für Cloud in Ihrem Abonnement aktiviert ist und die Defender-Workloadschutzpläne für alle verfügbaren Ressourcentypen aktiviert sind, verfügen Sie über eine Ebene intelligenter Bedrohungsschutz, den Schutz von Ressourcen in Azure Key Vault, Azure Storage, Azure DNS und anderen Azure PaaS-Diensten. Eine vollständige Liste finden Sie in den paaS-Diensten, die in der Supportmatrix aufgeführt sind.
Azure Logic Apps
Verwenden Sie Azure Logic Apps , um automatisierte skalierbare Workflows, Geschäftsprozesse und Enterprise-Orchestrierungen zu erstellen, um Ihre Apps und Daten in Clouddienste und lokale Systeme zu integrieren.
Mit dem Workflowautomatisierungs-Feature von Defender für Cloud können Sie Antworten auf Defender für Cloud-Trigger automatisieren.
Dieser Ansatz ist eine hervorragende Möglichkeit zum Definieren und Reagieren auf automatisierte, konsistente Weise, wenn Bedrohungen entdeckt werden. Um beispielsweise relevante Projektbeteiligte zu benachrichtigen, einen Änderungsverwaltungsprozess zu starten und bestimmte Korrekturschritte anzuwenden, wenn eine Bedrohung erkannt wird.
Integrieren von Defender for Cloud in Ihre SIEM-, SOAR- und ITSM-Lösungen
Microsoft Defender für Cloud kann Ihre Sicherheitswarnungen in die beliebtesten Lösungen für Sicherheitsinformationen und Ereignisverwaltung (SECURITY Orchestration Automated Response, SOAR) und IT Service Management (ITSM) streamen.
Es gibt systemeigene Azure-Tools, um sicherzustellen, dass Sie Ihre Warnungsdaten in allen gängigen Lösungen anzeigen können, die heute verwendet werden, einschließlich:
- Microsoft Sentinel
- Splunk Enterprise und Splunk Cloud
- IBM QRadar
- ServiceNow
- ArcSight
- Power BI
- Palo Alto Networks
Microsoft Sentinel
Defender für Cloud ist nativ in microsoft Sentinel integriert, die Cloud-native Lösung für Sicherheitsinformationsereignisverwaltung (SECURITY Information Event Management, SIEM) und die Automatisierte Reaktionslösung (SOAR) von Microsoft.
Es gibt zwei Ansätze, um sicherzustellen, dass Ihre Defender for Cloud-Daten in Microsoft Sentinel dargestellt werden:
Sentinel-Connectors – Microsoft Sentinel umfasst integrierte Connectors für Microsoft Defender für Cloud auf Abonnement- und Mandantenebene:
- Streamen von Warnungen an Microsoft Sentinel auf Abonnementebene
- Verbinden aller Abonnements in Ihrem Mandanten mit Microsoft Sentinel
Tipp
Weitere Informationen finden Sie unter "Sicherheitswarnungen verbinden" von Microsoft Defender für Cloud.
Streamen Sie Ihre Überwachungsprotokolle – Eine alternative Möglichkeit, Defender for Cloud-Warnungen in Microsoft Sentinel zu untersuchen, besteht darin, Ihre Überwachungsprotokolle in Microsoft Sentinel zu streamen:
Streamen von Warnungen mit der Microsoft Graph-Sicherheits-API
Defender für Cloud verfügt über eine sofort einsatzbereite Integration in die Microsoft Graph-Sicherheits-API. Es ist keine Konfiguration erforderlich, und es gibt keine zusätzlichen Kosten.
Sie können diese API verwenden, um Warnungen vom gesamten Mandanten (und Daten aus vielen anderen Microsoft Security-Produkten) in Nicht-Microsoft-SIEMs und andere beliebte Plattformen zu streamen:
- Splunk Enterprise und Splunk Cloud - Verwenden der Sicherheits-API-Add-On von Microsoft Graph für Splunk
- Power BI - Herstellen einer Verbindung mit der Microsoft Graph-Sicherheits-API in Power BI Desktop
- ServiceNow - Befolgen Sie die Anweisungen zum Installieren und Konfigurieren der Microsoft Graph-Sicherheits-API-Anwendung aus dem ServiceNow Store
- QRadar - IBM Device Support Module für Microsoft Defender für Cloud über die Microsoft Graph-API
- Palo Alto Networks, Anomali, Lookout, InSpark und mehr – Microsoft Graph Security API
Erfahren Sie mehr über die Microsoft Graph-Sicherheits-API.
Streamen von Warnungen mit Azure Monitor
Verwenden Sie defender for Clouds fortlaufende Exportfunktion , um Defender for Cloud mit Azure Monitor über Azure Event Hubs zu verbinden und Warnungen in ArcSight, SumoLogic, Syslog-Server, LogRhythm, Logz.io Cloud Observability Platform und andere Überwachungslösungen zu streamen.
Erfahren Sie mehr in Stream-Warnungen mit Azure Monitor.
Sie können diesen Vorgang auch auf Verwaltungsgruppenebene mithilfe von Azure Policy ausführen. Siehe Erstellen kontinuierlicher Exportautomatisierungskonfigurationen im großen Maßstab.
Tipp
Um die Ereignisschemas der exportierten Datentypen anzuzeigen, besuchen Sie die Event Hubs-Ereignisschemas.
Integrieren von Defender für Cloud in eine Endpunkterkennungs- und Reaktionslösung (EDR)
Microsoft Defender für Endpunkt
Microsoft Defender für Endpunkt ist eine ganzheitliche, in der Cloud bereitgestellte Endpunktsicherheitslösung.
Microsoft Defender für Server enthält eine integrierte Lizenz für Microsoft Defender für Endpunkt. Gemeinsam bieten sie umfassende Endpunkterkennungs- und Reaktionsfunktionen (EDR). Weitere Informationen finden Sie unter Schützen Ihrer Endpunkte.
Wenn Defender für Endpunkt eine Bedrohung erkennt, löst sie eine Warnung aus. Die Warnung wird in Defender für Cloud angezeigt, und Sie können zur Defender für Endpunkt-Konsole pivotieren, um eine detaillierte Untersuchung durchzuführen und den Umfang des Angriffs aufzudecken. Erfahren Sie mehr über Microsoft Defender für Endpunkt.
Weitere EDR-Lösungen
Defender for Cloud bietet Härtungsempfehlungen, um sicherzustellen, dass Sie die Ressourcen Ihrer Organisation gemäß den Richtlinien der Microsoft Cloud Security Benchmark (MCSB) sichern. Eines der Steuerelemente im Benchmark bezieht sich auf die Endpunktsicherheit: ES-1: Verwenden von Endpunkterkennung und -reaktion (EDR)
Es gibt zwei Empfehlungen in Defender für Cloud, um sicherzustellen, dass Sie den Endpunktschutz aktiviert haben und gut ausgeführt wird. Diese Empfehlungen prüfen auf anwesenheits- und betriebliche Integrität von EDR-Lösungen von:
- Trend Micro
- Symantec
- Mcafee
- Sophos
Erfahren Sie mehr in der Endpunktschutzbewertung und -empfehlungen in Microsoft Defender für Cloud.
Anwenden Ihrer Zero Trust-Strategie auf Hybrid- und Multicloudszenarien
Bei Cloud-Workloads, die häufig mehrere Cloudplattformen umfassen, müssen Cloudsicherheitsdienste dieselben Aktionen ausführen.
Microsoft Defender für Cloud schützt Workloads überall dort, wo sie ausgeführt werden: in Azure, lokal, Amazon Web Services (AWS) oder Google Cloud Platform (GCP).
Integrieren von Defender für Cloud mit lokalen Computern
Um Hybrid-Cloud-Workloads zu sichern, können Sie Defender für Cloud-Schutz erweitern, indem Sie lokale Computer mit azure Arc-aktivierten Servern verbinden.
Erfahren Sie, wie Sie Computer in connect your non-Azure machines to Defender for Cloud verbinden.
Integrieren von Defender für Cloud in andere Cloudumgebungen
Um den Sicherheitsstatus von Amazon Web Services-Computern in Defender for Cloud anzuzeigen, integrieren Sie AWS-Konten in Defender for Cloud. Dieser Ansatz integriert AWS Security Hub und Microsoft Defender für Cloud für eine einheitliche Ansicht von Defender for Cloud-Empfehlungen und AWS Security Hub-Ergebnissen und bietet eine Reihe von Vorteilen, wie unter Verbinden Ihrer AWS-Konten mit Microsoft Defender for Cloud beschrieben.
Um den Sicherheitsstatus von Google Cloud Platform-Computern in Defender für Cloud anzuzeigen, integrieren Sie GCP-Konten in Defender für Cloud. Dieser Ansatz integriert den GCP-Sicherheitsbefehl und Microsoft Defender für Cloud für eine einheitliche Ansicht von Defender für Cloud-Empfehlungen und GCP Security Command Center-Ergebnissen und bietet eine Reihe von Vorteilen, wie unter Verbinden Ihrer GCP-Konten mit Microsoft Defender für Cloud beschrieben.
Nächste Schritte
Weitere Informationen zu Microsoft Defender für Cloud finden Sie in der vollständigen Dokumentation zu Defender for Cloud.