Tervezési és működtetési útmutató

Ez az útmutató informatikai (INFORMATIKAI) szakembereknek, informatikai tervezőknek, információbiztonsági elemzőknek és a Felhőhöz készült Defender használatát tervező felhő-rendszergazdáknak szól.

Tervezési útmutató

Ez az útmutató azokat a feladatokat ismerteti, amelyeket követve optimalizálhatja a Felhőhöz készült Defender használatát a szervezet biztonsági követelményei és a felhőfelügyeleti modell alapján. A Felhőhöz készült Defender teljes körű kihasználása érdekében fontos tisztában lenni azzal, hogy a szervezet különböző tagjai vagy csapatai hogyan használják a szolgáltatást a biztonságos fejlesztési és üzemeltetési, monitorozási, irányítási és incidensmegoldási igények kielégítésére. A Felhőhöz készült Defender használatának tervezésekor figyelembe veendő legfontosabb területek a következők:

  • Biztonsági szerepkörök és hozzáférés-vezérlés
  • Biztonsági szabályzatok és javaslatok
  • Adatgyűjtés és -tárolás
  • Nem Azure-erőforrások előkészítése
  • A biztonság folyamatos ellenőrzése
  • Incidensmegoldás

A következő részekben bemutatjuk, hogyan alkothatja meg a fenti területekre vonatkozó tervet, és hogyan alkalmazhatja a javasolt lépéseket saját környezetének megfelelően.

Megjegyzés

Olvassa el Felhőhöz készült Defender gyakori kérdéseket (GYIK) azokról a gyakori kérdésekről, amelyek a tervezési és tervezési fázisban is hasznosak lehetnek.

Biztonsági szerepkörök és hozzáférés-vezérlés

A szervezet méretétől és szerkezetétől függően több személy és csapat is használhatja a Felhőhöz készült Defender különböző biztonsági feladatokat. A következő ábrán néhány képzeletbeli személyt mutatunk be, és ismertetjük a szerepköreiket és biztonsági feladataikat:

Roles.

Felhőhöz készült Defender lehetővé teszi ezeknek az egyéneknek, hogy eleget tudjanak tenni ezeknek a különböző feladatoknak. Például:

Bálint (számítási feladatok felelőse)

  • A felhő munkaterhelését és kapcsolódó erőforrásait kezeli.
  • Feladata a védelmi megoldások megvalósítása és kezelése a vállalat biztonsági szabályzatának megfelelően.

Eszter (adatvédelmi felelős/számítástechnikai felelős)

  • A vállalat általános biztonságáért felelős, ennek szempontjaival foglalkozik.
  • Ismernie kell a vállalat biztonsági irányelveit a felhőbeli munkaterhelésekben.
  • Tájékoztatást kell kapnia a komolyabb támadásokról és kockázatokról.

András (számítástechnikai biztonsági felelős)

  • Kidolgozza a vállalat biztonsági szabályzatát a megfelelő védelmi megoldások alkalmazása érdekében.
  • Ellenőrzi a szabályzatok betartását.
  • Jelentéseket készít a vezetőség és az auditorok számára.

Judit (biztonsági műveletek felelőse)

  • Figyeli a biztonsági riasztásokat a hét 7 napján, 24 órában, és megfelelően reagál azokra.
  • Továbbítja a problémákat a felhőbeli munkaterhelés tulajdonosának vagy a számítástechnikai biztonsági elemzőnek.

Sándor (biztonsági elemző)

  • Kivizsgálja a támadásokat.
  • Együttműködés a felhőbeli munkaterhelés tulajdonosával a problémák megoldásához

Felhőhöz készült Defender Azure szerepköralapú hozzáférés-vezérlést (Azure RBAC) használ, amely beépített szerepköröket biztosít, amelyek hozzárendelhetők felhasználókhoz, csoportokhoz és szolgáltatásokhoz az Azure-ban. Amikor egy felhasználó megnyitja Felhőhöz készült Defender, csak azokkal az erőforrásokkal kapcsolatos információkat látja, amelyekhez hozzáféréssel rendelkezik. Ez azt jelenti, hogy a felhasználó az előfizetés vagy az erőforrást tartalmazó erőforráscsoport tulajdonosi, közreműködői vagy olvasói szerepköréhez van hozzárendelve. Ezen szerepkörök mellett két konkrét Felhőhöz készült Defender szerepkör is létezik:

  • Biztonsági olvasó: a szerepkörhöz tartozó felhasználók csak Felhőhöz készült Defender konfigurációkat tekinthetnek meg, amelyek javaslatokat, riasztásokat, szabályzatokat és állapotokat tartalmaznak, de nem fognak tudni módosításokat végezni.
  • Biztonsági rendszergazda: ugyanazokkal a jogosultságokkal rendelkezik mint a biztonsági olvasó, de frissítheti a biztonsági szabályzatot, valamint javaslatokat és riasztásokat utasíthat el.

A fent leírt Felhőhöz készült Defender szerepkörök nem rendelkeznek hozzáféréssel az Azure más szolgáltatási területeihez, például a Storage, a Web & Mobile-hoz vagy az eszközök internetes hálózatához.

Az előző ábrán ismertetett személyekkel a következő Azure RBAC-re lenne szükség:

Bálint (számítási feladatok felelőse)

  • Erőforráscsoport tulajdonosa/közreműködője

Eszter (adatvédelmi felelős/számítástechnikai felelős)

  • Előfizetés tulajdonosa/közreműködője vagy biztonsági rendszergazdája

András (számítástechnikai biztonsági felelős)

  • Előfizetés tulajdonosa/közreműködője vagy biztonsági rendszergazdája

Judit (biztonsági műveletek felelőse)

  • Előfizetés: olvasó vagy biztonsági rendszergazda a riasztások megtekintéséhez
  • Az előfizetés tulajdonosa/közreműködője vagy biztonsági rendszergazdája a riasztások elvetéséhez szükséges

Sándor (biztonsági elemző)

  • Előfizetés: olvasó a riasztások megtekintéséhez
  • Az előfizetés tulajdonosa/közreműködője szükséges a riasztások elvetéséhez
  • Előfordulhat, hogy hozzáférés szükséges a munkaterülethez

Egyéb megfontolandó szempontok:

  • A biztonsági szabályzatot kizárólag olyanok módosíthatják, akik az előfizetésnél Tulajdonos/Közreműködő vagy Biztonsági rendszergazda szerepkörrel rendelkeznek.
  • Kizárólag az előfizetésnél és az erőforráscsoportnál Tulajdonos és Közreműködő szerepkörrel rendelkezők alkalmazhatják a biztonsági javaslatokat az erőforrásra.

Amikor a hozzáférés-vezérlést az Azure RBAC használatával tervezi Felhőhöz készült Defender, ügyeljen arra, hogy tisztában legyen azzal, hogy a szervezetében ki fogja használni Felhőhöz készült Defender. Emellett azt is, hogy milyen típusú feladatokat hajtanak végre, majd ennek megfelelően konfigurálják az Azure RBAC-t.

Megjegyzés

Javasoljuk, hogy a felhasználókhoz azt a lehető legalacsonyabb szintű szerepkört rendelje, amellyel még el tudják végezni feladataikat. Érdemes például az Olvasó szerepkört rendelni azokhoz a felhasználókhoz, akik csupán megtekintik az erőforrások biztonsági állapotát, de nem tesznek lépéseket azzal kapcsolatban (tehát nem alkalmazhatnak javaslatokat, és nem módosíthatják a szabályzatokat).

Biztonsági szabályzatok és javaslatok

A biztonsági szabályzat határozza meg a számítási feladatokhoz tartozó kívánt konfigurációkat, és segít biztosítani a vállalati vagy hatósági követelményeknek való megfelelést. A Felhőhöz készült Defender meghatározhatja az Azure-előfizetésekre vonatkozó szabályzatokat, amelyek a számítási feladatok típusához vagy az adatok bizalmasságához szabhatók.

Felhőhöz készült Defender szabályzatok a következő összetevőket tartalmazzák:

  • Adatgyűjtés: ügynökkiépítési és adatgyűjtési beállítások.
  • Biztonsági szabályzat: Azure Policy, amely meghatározza, hogy a Felhőhöz készült Defender mely vezérlőket figyeli és javasolja, vagy a Azure Policy használatával új definíciókat hoz létre, további szabályzatokat határoz meg, és szabályzatokat rendel hozzá a felügyeleti csoportokhoz.
  • E-mail-értesítések: biztonsági felelősök kapcsolati adatai és értesítési beállításai.
  • Tarifacsomag: Felhőhöz készült Microsoft Defender továbbfejlesztett biztonsági funkcióival vagy azok nélkül, amelyek meghatározzák, hogy mely Felhőhöz készült Defender funkciók érhetők el a hatókörben lévő erőforrásokhoz (az API-t használó előfizetésekhez és munkaterületekhez adható meg).

Megjegyzés

Biztonsági kapcsolattartó kinevezésével biztosítható, hogy az Azure a biztonsági incidensek esetén elérje a megfelelő illetékes személyt. A javaslat engedélyezésével kapcsolatos további információkért olvassa el az Felhőhöz készült Defender biztonsági kapcsolattartási adatainak megadása című témakört.

Biztonsági szabályzatok definíciói és javaslatok

Felhőhöz készült Defender automatikusan létrehoz egy alapértelmezett biztonsági szabályzatot az egyes Azure-előfizetésekhez. Szerkesztheti a házirendet Felhőhöz készült Defender, vagy Azure Policy használatával új definíciókat hozhat létre, további szabályzatokat határozhat meg, és szabályzatokat rendelhet hozzá felügyeleti csoportokhoz (amelyek a teljes szervezetet, egy üzleti egységet képviselhetik stb.), és figyelheti a szabályzatoknak való megfelelőséget ezeken a hatókörökön belül.

A biztonsági szabályzatok konfigurálása előtt mindig olvassa el a biztonsági javaslatokat, és döntse el, hogy ezek a szabályzatok megfelelőek-e az Ön által használt előfizetésekhez és erőforráscsoportokhoz. Ezenkívül fontos, hogy tisztában legyen azzal, milyen lépéseket kell tennie a biztonsági javaslatok kezelése érdekében, és a szervezeténél ki az új javaslatok monitorozásának és a szükséges lépések megtételének a felelőse.

Adatgyűjtés és -tárolás

Felhőhöz készült Defender a Log Analytics-ügynököt használja – ez ugyanaz az ügynök, amelyet az Azure Monitor szolgáltatás is használ –, hogy biztonsági adatokat gyűjtsön a virtuális gépekről. Az ebből az ügynökből gyűjtött adatokat a rendszer a Log Analytics-munkaterület(ek)en tárolja.

Ügynök

Ha az automatikus kiépítés engedélyezve van a biztonsági szabályzatban, a Log Analytics-ügynök (Windows vagy Linux esetén) az összes támogatott Azure-beli virtuális gépre és az újonnan létrehozottakra is telepítve lesz. Ha a virtuális gépen vagy számítógépen már telepítve van a Log Analytics-ügynök, Felhőhöz készült Defender az aktuálisan telepített ügynököt fogja használni. Az ügynök folyamata nem invazív, és nagyon minimális hatással van a virtuális gép teljesítményére.

Az Windows Log Analytics-ügynökének a 443-as TCP-portot kell használnia. További részleteket talál a Hibaelhárításról szóló cikkben.

Ha bármikor ki szeretné kapcsolni az adatgyűjtést, ezt a biztonsági szabályzatban teheti meg. Mivel azonban a Log Analytics-ügynököt más Azure felügyeleti és monitorozási szolgáltatások is használhatják, az ügynök nem lesz automatikusan eltávolítva, amikor kikapcsolja az adatgyűjtést Felhőhöz készült Defender. Ha szükséges, manuálisan távolíthatja el az ügynököt.

Megjegyzés

A támogatott virtuális gépek listájának megkereséséhez olvassa el a Felhőhöz készült Defender gyakori kérdéseket (GYIK).

Munkaterület

A munkaterület egy adattárolóként szolgáló Azure-erőforrás. Ön vagy a szervezet más tagjai több munkaterületet is használhatnak az informatikai infrastruktúra egészéből vagy egyes részeiből begyűjtött különböző adatkészletek kezeléséhez.

A Log Analytics-ügynöktől (Felhőhöz készült Defender nevében) gyűjtött adatokat a rendszer az Azure-előfizetéséhez társított meglévő Log Analytics-munkaterület(ek)en vagy egy új munkaterületen tárolja, figyelembe véve a virtuális gép földrajzi helyét.

A Azure Portal tallózással megtekintheti a Log Analytics-munkaterületek listáját, beleértve a Felhőhöz készült Defender által létrehozott munkaterületeket is. Egy kapcsolódó erőforráscsoport jön létre az új munkaterületek számára. Mindkettő ezt az elnevezési konvenciót követi:

  • Munkaterület: DefaultWorkspace-[subscription-ID]-[geo]
  • Erőforráscsoport: DefaultResourceGroup-[geo]

A Felhőhöz készült Defender által létrehozott munkaterületek esetében az adatok 30 napig maradnak meg. A meglévő munkaterületeknél a megőrzési idő a munkaterület tarifacsomagjától függ. Ha szeretné, használhat egy létező munkaterületet is.

Ha az ügynök az alapértelmezett munkaterületen kívül más munkaterületnek is jelent, akkor az előfizetésben engedélyezett fokozott biztonsági funkciókat biztosító Microsoft Defender-csomagokat is engedélyezni kell a munkaterületen.

Megjegyzés

A Microsoft komoly kötelezettséget vállal az adatok védelmére és biztonságára. A Microsoft szigorú megfelelőségi és biztonsági szabályokat követ, a kódolástól kezdve egészen a szolgáltatások üzemeltetéséig. Az adatkezeléssel és az adatvédelemmel kapcsolatos további információkért olvassa el Felhőhöz készült Defender Data Security című cikket.

Nem Azure-erőforrások előkészítése

Felhőhöz készült Defender monitorozni tudja a nem Azure-beli számítógépek biztonsági állapotát, de először fel kell vennie ezeket az erőforrásokat. A nem Azure-beli számítógépek előkészítéséről további információt talál a nem Azure-beli erőforrások előkészítéséről.

A biztonság folyamatos ellenőrzése

A kezdeti konfigurálás és Felhőhöz készült Defender javaslatok alkalmazása után a következő lépés Felhőhöz készült Defender működési folyamatokat fontolgatja.

Az Felhőhöz készült Defender áttekintése egységes áttekintést nyújt az összes Azure-erőforrás és a csatlakoztatott nem Azure-erőforrások biztonságáról. Az alábbi példa egy számos elhárítandó problémával rendelkező környezetet ábrázol:

dashboard.

Megjegyzés

Felhőhöz készült Defender nem zavarja a normál működési eljárásokat, passzívan figyeli az üzemelő példányokat, és az engedélyezett biztonsági szabályzatok alapján javaslatokat tesz.

Amikor először választja a Felhőhöz készült Defender használatát az aktuális Azure-környezethez, ellenőrizze, hogy áttekinti-e az összes javaslatot, amelyet az Javaslatok oldalon tehet meg.

Építse be a fenyegetésfelderítési szolgáltatás használatát napi biztonsági rutinjába. Itt azonosíthatja a környezetre leselkedő biztonsági fenyegetéseket, például megállapíthatja, ha egy adott számítógép egy botnet része.

Új vagy módosult erőforrások keresése

A legtöbb Azure-környezet dinamikus, az erőforrások rendszeres létrehozása, fel- vagy lefuttatása, újrakonfigurálása és módosítása. Felhőhöz készült Defender segít biztosítani, hogy átlátja az új erőforrások biztonsági állapotát.

Amikor új erőforrásokat (virtuális gépeket, SQL ADATBÁZISokat) ad hozzá az Azure-környezethez, Felhőhöz készült Defender automatikusan felderíti ezeket az erőforrásokat, és megkezdi a biztonságuk monitorozását. Ide tartoznak a PaaS webes és feldolgozói szerepkörei is. Ha az adatgyűjtés engedélyezve van a biztonsági házirendben, a rendszer automatikusan engedélyezi a további figyelési képességeket a virtuális gépeken.

Emellett rendszeresen monitoroznia kell a meglévő erőforrásokat olyan konfigurációs módosítások esetén, amelyek biztonsági kockázatokat okozhattak, eltérnek az ajánlott alapkonfigurációktól és a biztonsági riasztásoktól.

A hozzáférés megnehezítése és az alkalmazások védelmének megerősítése

A biztonsági folyamatai részeként érdemes bevezetnie megelőző intézkedéseket a virtuális gépek hozzáférésének megakadályozása és a rajtuk futó alkalmazások szabályozása érdekében. Az Azure-beli virtuális gépek bemenő forgalmának zárolásával kevésbé fogják veszélyeztetni a támadások, ugyanakkor könnyű hozzáférést biztosít arra az esetre, amikor csatlakozni kell a virtuális gépekhez. A virtuális gépekhez való hozzáférés korlátozásához használjon igény szerint elérhető hozzáférést a virtuális gépekhez.

Adaptív alkalmazásvezérlőkkel korlátozhatja, hogy mely alkalmazások futhatnak az Azure-ban található virtuális gépeken. Ez többek között segít a virtuális gépek kártevők elleni korlátozásában. A gépi tanulás használatával Felhőhöz készült Defender elemzi a virtuális gépen futó folyamatokat, hogy segítsen engedélyezési listák szabályainak létrehozásában.

Incidensmegoldás

Felhőhöz készült Defender észleli és riasztást küld a fenyegetésekre azok bekövetkezésekor. Javasoljuk, hogy mindig kövesse figyelemmel az új biztonsági riasztásokat, és tegye meg a szükséges lépéseket a támadás alaposabb kivizsgálása vagy következményeinek elhárítása érdekében. A fenyegetésvédelem Felhőhöz készült Defender működésével kapcsolatos további információkért olvassa el a Felhőhöz készült Defender fenyegetésészlelési és -reagálási útmutatóit.

Bár ebben a cikkben nem áll szándékában segíteni a saját incidensmegoldási tervének létrehozásában, az Microsoft Azure biztonsági választ fogjuk használni a felhő életciklusában az incidensmegoldási szakaszok alapjaként. Ezek a szakaszok a következő ábrán láthatók:

Stages of the incident response in the cloud lifecycle.

Megjegyzés

A terv létrehozásában segítséget nyújthat az amerikai National Institute of Standards and Technology (Országos Szabványügyi és Technológiai Intézet, NIST) által kidolgozott Computer Security Incident Handling Guide (Útmutató a számítógépes biztonsági incidensek kezeléséhez) című dokumentum.

A Felhőhöz készült Defender-riasztásokat a következő szakaszokban használhatja:

  • Észlelés: a gyanús tevékenységek azonosítása egy vagy több erőforrásban.
  • Felmérés: az első vizsgálat végrehajtása a gyanús tevékenységgel kapcsolatos további információk összegyűjtéséhez.
  • Diagnosztizálás: a hibaelhárítási lépések végrehajtása a probléma megoldásához szükséges technikai eljárás lefolytatásához.

A biztonsági riasztásokban mindig talál olyan információkat, amelyek segítségével jobban megismerheti a támadás természetét. A riasztás ezenfelül lehetséges kockázatcsökkentési megoldásokat is tartalmaz. Egyes riasztásokban további információkra, vagy az Azure-ban található más forrásokra mutató hivatkozások is helyet kaptak. Az így kapott információk alapján további vizsgálatokat indíthat, és megkezdheti a kockázatcsökkentést, valamint a munkaterületen tárolt, a biztonsággal kapcsolatos adatokat is kereshet.

A következő példában gyanús RDP-tevékenységre figyelmeztető üzenetet láthat:

Suspicious activity.

Ezen a lapon a támadás idejére, a forrás eszköznevére és a megcélzott virtuális gépre vonatkozó adatokat, illetve a javasolt következő lépésre vonatkozó információkat talál. Bizonyos körülmények között a támadás forrásadatai üresek lehetnek. Az ilyen típusú viselkedésről további információt Felhőhöz készült Defender-riasztások hiányzó forrásadatai között talál.

Miután azonosította a feltört rendszert, futtathat egy korábban létrehozott munkafolyamat-automatizálást . Ezek olyan eljárások gyűjteményei, amelyek a riasztás által aktivált Felhőhöz készült Defender hajthatók végre.

A Felhőhöz készült Defender & Microsoft Operations Management Suite incidensmegoldási videóhoz való használatának ismertetése című videóban bemutatunk néhány bemutatót, amelyek bemutatják, hogyan használhatók a Felhőhöz készült Defender az egyes szakaszokban.

Megjegyzés

Az Felhőhöz készült Defender biztonsági riasztásainak kezelésével és megválaszolásával kapcsolatos további információkért olvassa el, hogyan használhatja Felhőhöz készült Defender képességeket az incidensmegoldási folyamat során.

Következő lépések

Ebben a dokumentumban megtanulta, hogyan tervezheti meg Felhőhöz készült Defender bevezetését. A Felhőhöz készült Defender az alábbiakban talál további információt: