Verwalten der Infrastruktursicherheit mit Defender for Cloud

Abgeschlossen

Da es sich bei Ihrem Unternehmen um eine Finanzorganisation handelt, müssen Sie extrem hohe Sicherheitsstandards einhalten. Jede Kunden- oder Partnertransaktion muss vollständig vor Bedrohungen geschützt werden, und Sie müssen auch effektiv auf potenzielle Bedrohungen reagieren. Wenn zum Beispiel eine VM kompromittiert wurde, müssen Sie schnell handeln, um das Problem zu beheben.

Diese Lektion beschreibt, wie Sie mit Microsoft Defender for Cloud Ressourcen schützen und auf Bedrohungen reagieren können. Mit Defender for Cloud können Sie sicherstellen, dass die Sicherheitskonfiguration Ihrer Infrastruktur so sicher wie möglich ist.

Sie können Defender for Cloud für Folgendes verwenden:

  • Verstehen des Sicherheitsstatus Ihrer Architektur
  • Ermitteln und Beseitigen von Risiken und Bedrohungen für Ihre Infrastruktur
  • Sichern Sie eine komplexe Infrastruktur, indem Sie traditionelle interne Fähigkeiten und Kapital einsetzen.
  • Schützen einer Infrastruktur, die aus lokalen Ressourcen und Cloudressourcen besteht

Erläuterungen zum Sicherheitsstatus

Sie müssen die Sicherheitslage Ihrer Architektur verstehen, damit Sie bessere Infrastrukturen aufbauen und pflegen können. Defender for Cloud hilft Ihnen, die Sicherheit Ihrer Architektur zu verstehen, indem es Ihnen detaillierte Analysen verschiedener Komponenten Ihrer Umgebung liefert, darunter:

  • Datensicherheit
  • Netzwerksicherheit
  • Identität und Zugriff
  • Anwendungssicherheit

Defender for Cloud sammelt Daten von Ihren Rechnern, um sie mithilfe von Azure Monitor-Protokollen auf Sicherheitsschwachstellen und Bedrohungen zu überwachen. Ein Agent liest verschiedene sicherheitsrelevante Konfigurationen und Ereignisprotokolle von der VM und kopiert die Daten zur Analyse in Ihren Log Analytics-Arbeitsbereich.

Defender for Cloud gibt Empfehlungen, wie Sie die entdeckten Probleme und Risiken angehen können. Sie können die Empfehlungen nutzen, um die Sicherheit und Compliance Ihrer Architektur zu verbessern.

Screenshot of recommendation in Microsoft Defender for Cloud.

Schutz vor Bedrohungen

Sie können Defender for Cloud mit Just-in-Time (JIT)-VM-Zugriff und adaptiver Anwendungssteuerung verwenden, um verdächtige Aktivitäten zu blockieren und Ihre Ressourcen zu schützen. Um auf diese Steuerelemente zuzugreifen, wählen Sie Workloadschutz im Abschnitt Cloudsicherheit der linken Navigationsleiste von Defender for Cloud aus.

JIT-VM-Zugriff

Sie können Ihre VMs schützen, indem Sie die Just-in-Time (JIT)-Funktion für den VM-Zugriff verwenden, um den dauerhaften VM-Zugriff zu blockieren. Der Zugriff auf Ihre VMs kann nur auf der Grundlage des von Ihnen konfigurierten überprüften Zugriffs erfolgen.

Um JIT zu aktivieren, wählen Sie Just-in-Time-VM-Zugriff auf dem Bildschirm Workloadschutz unter Erweiterter Schutz aus. Aktivieren Sie auf der Seite Just-in-Time-VM-Zugriff die Kontrollkästchen neben einer oder mehreren VMs in der Liste Nicht konfiguriert und wählen Sie dann JIT für (Anzahl) VM(s) aktivieren, um JIT für die VMs zu konfigurieren.

Defender for Cloud zeigt Ihnen eine Liste der Standard-Ports, die JIT anvisiert. Alternativ können Sie Ihre eigenen Ports konfigurieren.

Screenshot of JIT configuration.

Adaptive Anwendungssteuerungen

Mit der adaptiven Anwendungssteuerung können Sie steuern, welche Anwendungen auf Ihren VMs ausgeführt werden dürfen. Defender for Cloud nutzt maschinelles Lernen, um die auf Ihren VMs laufenden Prozesse zu untersuchen, Ausnahmeregeln für jede Ressourcengruppe, die Ihre VMs enthält, zu erstellen und Empfehlungen zu geben.

Um adaptive Kontrollen zu konfigurieren, wählen Sie Adaptive Anwendungssteuerung auf dem Bildschirm Workloadschutz unter Erweiterter Schutz. Der Bildschirm Adaptive Anwendungssteuerung zeigt eine Liste der Ressourcengruppen, die Ihre VMs enthalten. Auf der Registerkarte Empfehlungen finden Sie die Ressourcengruppen, die Defender for Cloud für adaptive Anwendungssteuerung empfiehlt.

Screenshot of Adaptive application controls.

Wählen Sie eine Ressourcengruppe aus und verwenden Sie den Bildschirm Regeln für die Anwendungssteuerung konfigurieren, um VMs und Anwendungen auszuwählen, auf die die Steuerungsregeln angewendet werden sollen.

Reagieren auf Bedrohungen

Defender for Cloud bietet Ihnen einen zentralen Überblick über alle Ihre Sicherheitswarnungen, geordnet nach ihrem Schweregrad. Sie können Ihre Sicherheitswarnungen einsehen, indem Sie in der linken Navigation von Defender for Cloud Sicherheitswarnungen auswählen.

Screenshot of security alerts.

Defender for Cloud fasst zusammenhängende Warnungen so weit wie möglich zu einem einzigen Sicherheitsincident zusammen. Wählen Sie einen Incident aus, um die spezifischen Sicherheitswarnungen anzuzeigen, die der Vorfall enthält.

Sie können eine Warnung aufschlüsseln, indem Sie die Warnung markieren und dann Vollständige Details anzeigen wählen.

Screenshot of incident details.

Mit Defender for Cloud können Sie schneller und automatisiert auf Bedrohungen reagieren, indem Sie Maßnahmen ergreifen. Klicken Sie auf Weiter: Maßnahmen ergreifen, um Maßnahmen für die Warnung zu ergreifen.

Screenshot of alert details.

Erweitern Sie einen der folgenden Abschnitte, um Maßnahmen für die Warnung zu ergreifen:

  • Ressourcenkontext überprüfen: Untersuchen Sie die Ressourcenprotokolle zum Zeitpunkt der Warnung.
  • Bedrohung mindern: Zeigen Sie Vorschläge zur Minderung oder Behebung der Bedrohung an.
  • Zukünftige Angriffe verhindern: Implementieren Sie Sicherheitsempfehlungen.
  • Automatisierte Antwort auslösen: Lösen Sie eine Logik-App als automatisierte Reaktion auf diese Sicherheitswarnung aus.
  • Ähnliche Warnungen unterdrücken: Erstellen Sie eine Unterdrückungsregel mit vordefinierten Bedingungen.
  • E-Mail-Benachrichtigungseinstellungen konfigurieren: Wählen Sie aus, wer über die Warnung benachrichtigt werden soll und unter welchen Bedingungen.

Screenshot of the Take action pane.

In den Warnungsdetails sollten Sie Warnungen abweisen, wenn keine Maßnahmen erforderlich sind, z. B. wenn es sich um falsch positive Meldungen handelt. Sie sollten gegen bekannte Angriffe vorgehen, indem Sie zum Beispiel bekannte bösartige IP-Adressen blockieren, und Sie sollten entscheiden, welche Alarme weitere Untersuchungen erfordern.

Screenshot of alert status.

Überprüfen Sie Ihr Wissen

1.

Wie können Sie Defender for Cloud verwenden, um den dauerhaften Zugriff auf Ihre VMs zu verhindern?

2.

Wie können Sie Antworten auf Defender for Cloud-Warnungen automatisieren?