További veszélyforrások elleni védelem a Microsoft Defender for Cloudban

A Microsoft Defender for Cloud beépített speciális védelmi csomagjai mellett a következő veszélyforrások elleni védelmi képességeket is kínálja.

Tipp

A Defender for Cloud fenyegetésvédelmi képességeinek engedélyezéséhez engedélyeznie kell a továbbfejlesztett biztonsági funkciókat az előfizetésben, amely tartalmazza a vonatkozó számítási feladatokat.

Veszélyforrások elleni védelem az Azure hálózati rétegében

A Defender for Cloud hálózati rétegbeli elemzései minta IPFIX-adatokon alapulnak, amelyek az Azure core útválasztói által gyűjtött csomagfejléceken alapulnak. Ezen adatcsatorna alapján a Defender for Cloud gépi tanulási modelleket használ a rosszindulatú forgalmi tevékenységek azonosítására és megjelölésére. A Defender for Cloud a Microsoft Threat Intelligence adatbázist is használja az IP-címek bővítéséhez.

Egyes hálózati konfigurációk korlátozzák, hogy a Defender for Cloud riasztásokat generál a gyanús hálózati tevékenységekről. Ahhoz, hogy a Defender for Cloud hálózati riasztásokat generáljon, győződjön meg arról, hogy:

  • A virtuális gép nyilvános IP-címmel rendelkezik (vagy egy nyilvános IP-címmel rendelkező terheléselosztón).
  • A virtuális gép hálózati kimenő forgalmát egy külső IDS-megoldás nem blokkolja.

Az Azure hálózati rétegbeli riasztásainak listáját a riasztások referenciatáblázatában találja.

Javaslatok megjelenítése Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps (korábbi nevén Microsoft Cloud App Security) egy felhőelérési biztonsági közvetítő (CASB), amely támogatja a különböző üzembehelyezési módokat, például a naplógyűjtést, az API-összekötőket és a fordított proxykat. Részletes átláthatóságot, az adatutazás szabályozását és kifinomult elemzéseket biztosít a Kiberfenyezetek azonosításához és leküzdéséhez az összes Microsoft- és külső felhőszolgáltatásban.

Ha engedélyezte a Microsoft Defender for Cloud Apps, és kiválasztotta az integrációt a Defender for Cloud beállításaiból, a Defender for Cloud megerősített javaslatai további konfiguráció nélkül jelennek meg a Defender for Cloud Appsben.

Megjegyzés

A Defender for Cloud a biztonsággal kapcsolatos ügyféladatokat az erőforrásával megegyező földrajzi helyen tárolja. Ha a Microsoft még nem telepítette a Defender for Cloudot az erőforrás földrajzi területén, akkor az adatokat a Egyesült Államok tárolja. Ha a Microsoft Defender for Cloud Apps engedélyezve van, ezek az adatok a Microsoft Defender for Cloud Apps földrajzi helyének szabályaival összhangban vannak tárolva. További információkért lásd a nem regionális szolgáltatások adattárolási adatait.

Biztonsági riasztások streamelése más Microsoft-szolgáltatásokból

Azure WAF-riasztások megjelenítése a Defender for Cloudban

Az Azure Application Gateway egy olyan webalkalmazási tűzfalat (WAF) nyújt, amely központi védelmet biztosít a webalkalmazások számára a biztonsági rések és az azokat kihasználó támadások ellen.

A webalkalmazásokat egyre inkább rosszindulatú támadások támadják, amelyek kihasználják a gyakran ismert biztonsági réseket. A Application Gateway WAF az Open Web Application Security Project 3.0-s vagy 2.2.9-s alapvető szabálykészletén alapul. A WAF automatikusan frissül az új biztonsági rések elleni védelem érdekében.

Ha waf biztonsági megoldást hozott létre, a WAF-riasztásokat a rendszer további konfigurációk nélkül streameli a Defender for Cloudba. A WAF által generált riasztásokkal kapcsolatos további információkért lásd a webalkalmazási tűzfal CRS-szabálycsoportjait és szabályait.

Azure DDoS Protection-riasztások megjelenítése a Defender for Cloudban

Az elosztott szolgáltatásmegtagadásos (DDoS) támadások könnyen végrehajthatók. Ezek nagy biztonsági problémát jelentettek, különösen akkor, ha az alkalmazásokat a felhőbe helyezi át. A DDoS-támadás megpróbálja kimeríteni egy alkalmazás erőforrásait, így az alkalmazás nem érhető el a jogszerű felhasználók számára. A DDoS-támadások bármilyen, az interneten keresztül elérhető végpontot megcélzhatnak.

A DDoS-támadások elleni védelem érdekében vásároljon licencet az Azure DDoS Protectionhez, és győződjön meg arról, hogy követi az alkalmazástervezés ajánlott eljárásait. A DDoS Protection különböző szolgáltatási szinteket biztosít. További információkért tekintse meg az Azure DDoS Protection áttekintését.

Ha az Azure DDoS Protection engedélyezve van, a DDoS-riasztások streamelhetők a Defender for Cloudba további konfiguráció nélkül. A DDoS Protection által létrehozott riasztásokkal kapcsolatos további információkért lásd a riasztások referenciatábláját.

Entra engedélykezelés (korábbi nevén Cloudknox)

A Microsoft Entra Engedélykezelés egy felhőinfrastruktúra-jogosultságkezelési (CIEM) megoldás, amely átfogó átláthatóságot és vezérlést biztosít minden identitáshoz és erőforráshoz az Azure-ban, az AWS-ben és a GCP-ben.

Az integráció részeként minden előkészített Azure-előfizetés, AWS-fiók és GCP-projekt áttekintést nyújt az engedélykésés-indexről (PCI). A PCI egy összesített metrika, amely rendszeres időközönként kiértékeli az identitások és erőforrások nem használt vagy túlzott engedélyeinek számával járó kockázati szintet. A PCI a számukra elérhető engedélyek alapján méri, hogy a kockázatos identitások milyen kockázatot jelenthetnek.

Képernyőkép az Azure, az AWS és a GCP három kapcsolódó engedély creed indexelési javaslatáról.

Következő lépések

A fenyegetésvédelmi funkciók biztonsági riasztásaival kapcsolatos további információkért tekintse meg az alábbi cikkeket: