Szerkesztés

Share via

A második védelmi réteg létrehozása a Microsoft Defender XDR Biztonsági szolgáltatásokkal

Microsoft Defender for Office 365
Microsoft Defender for Cloud Apps
Microsoft Defender for Identity
Microsoft 365
Microsoft Endpoint Manager

Megoldási ötletek

Ez a cikk egy megoldási ötlet. Ha azt szeretné, hogy további információkkal bővítsük a tartalmat, például a lehetséges használati eseteket, alternatív szolgáltatásokat, megvalósítási szempontokat vagy díjszabási útmutatást, a GitHub visszajelzésével tudassa velünk.

Gyakori, hogy a szervezetek hibrid környezetet használnak, és az erőforrások az Azure-ban és a helyszínen is futnak. A legtöbb Azure-erőforrást, például virtuális gépeket, Azure-alkalmazásokat és Microsoft Entra-azonosítót az Azure-ban futó biztonsági szolgáltatások védhetik.

A szervezetek gyakran előfizetnek a Microsoft 365-re is, hogy olyan alkalmazásokat biztosítsanak a felhasználóknak, mint a Word, az Excel, a PowerPoint és az Exchange Online. A Microsoft 365 olyan biztonsági szolgáltatásokat is kínál, amelyekkel további biztonsági rétegeket hozhat létre a leggyakrabban használt Azure-erőforrásokhoz.

Ha fontolóra szeretné venni a Microsoft 365 biztonsági szolgáltatásainak használatát, hasznos megismerni néhány terminológiát, és megismerni a Microsoft 365-szolgáltatások szerkezetét. Ez a negyedik cikk ötből álló sorozatban segíthet ebben. Ez a cikk az előző cikkekben tárgyalt témakörökre épül, különösen a következőkre:

A Microsoft 365 és az Office 365 olyan felhőalapú szolgáltatások, amelyek célja, hogy megfeleljenek a szervezet robusztus biztonságra, megbízhatóságra és felhasználói hatékonyságra vonatkozó igényeinek. A Microsoft 365 olyan szolgáltatásokat tartalmaz, mint a Power Automate, az Forms, a Stream, a Sway és az Office 365. Az Office 365 tartalmazza a jól ismert hatékonyságnövelő alkalmazáscsomagot. A két szolgáltatás előfizetési lehetőségeiről további információt a Microsoft 365 és az Office 365 csomag beállításai között talál.

A Microsoft 365-höz beszerzett licenctől függően a Microsoft 365 biztonsági szolgáltatásait is beszerezheti. Ezeket a biztonsági szolgáltatásokat Microsoft Defender XDR-nek nevezzük, amely több szolgáltatást is biztosít:

  • Microsoft Defender végponthoz
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365
  • Microsoft Defender for Cloud Apps

Az alábbi ábra a Microsoft 365 által kínált megoldások és fő szolgáltatások kapcsolatát mutatja be, bár nem minden szolgáltatás szerepel a listán.

A Microsoft 365 részét képező szolgáltatások és termékek ábrája.

Lehetséges használati eset

Kapcsolatok néha összekeverednek a Microsoft 365 biztonsági szolgáltatásaival és az informatikai kiberbiztonságban betöltött szerepükkel. A fő okok az egymáshoz hasonló nevek, beleértve az Azure-ban futó biztonsági szolgáltatásokat, például Felhőhöz készült Microsoft Defender (korábbi nevén Azure Security Center) és Felhőhöz készült Defender-alkalmazások (korábbi nevén Microsoft Cloud Application Security).

De a keveredés nem csak a terminológiáról szól. Egyes szolgáltatások hasonló védelmet nyújtanak, de különböző erőforrásokhoz, például a Defender for Identityhez és az Azure Identity Protectionhez. Mindkét szolgáltatás védelmet nyújt az identitásszolgáltatások számára, de a Defender for Identity védi a helyszíni identitásokat (a Kerberos-hitelesítésen alapuló Active Directory tartományi szolgáltatások keresztül), míg az Azure Identity Protection a felhőben (az OAuth-hitelesítésen alapuló Microsoft Entra-azonosítón keresztül) védi az identitásokat.

Ezek a példák azt mutatják, hogy ha tisztában van a Microsoft 365 biztonsági szolgáltatásainak működésével és az Azure biztonsági szolgáltatásaival kapcsolatos különbségekkel, hatékonyan megtervezheti a Microsoft-felhő biztonsági stratégiáját, és továbbra is kiváló biztonsági helyzetet biztosít az informatikai környezet számára. Ez a cikk célja.

Az alábbi ábra egy valós használati esetet mutat be, amelyben megfontolhatja a Microsoft Defender XDR biztonsági szolgáltatásainak használatát. Az ábrán a védeni kívánt erőforrások láthatók. A környezetben futó szolgáltatások felül jelennek meg. Néhány potenciális fenyegetés alul jelenik meg. A Microsoft Defender XDR-szolgáltatások középen vannak, megvédve a szervezet erőforrásait a lehetséges fenyegetésektől.

A fenyegetéseket, a támadási sorrendet, a célzott erőforrásokat és a védelmet biztosító Microsoft Defender XDR szolgáltatásait bemutató ábra.

Architektúra

Az alábbi ábrán egy DEFENDER címkével ellátott réteg látható, amely a Microsoft Defender XDR biztonsági szolgáltatásait jelöli. Ha ezeket a szolgáltatásokat hozzáadja az informatikai környezethez, azzal jobb védelmet hozhat létre a környezet számára. A Defender-réteg szolgáltatásai együttműködhetnek az Azure biztonsági szolgáltatásaival.

Az I T-környezet erőforrásainak védelmére konfigurálható szolgáltatások, fenyegetések és biztonsági szolgáltatások diagramja.

Töltse le az architektúra Visio-fájlját.

©2021 A MITRE Corporation. Ezt a munkát a MITRE Corporation engedélyével reprodukálják és terjesztik.

Munkafolyamat

  1. Végponthoz készült Microsoft Defender

    A Defender for Endpoint biztonságossá teheti a végpontokat a vállalaton belül, és úgy lett kialakítva, hogy segítsen a hálózatoknak a speciális fenyegetések megelőzésében, észlelésében, kivizsgálásában és megválaszolásában. Egy védelmi réteget hoz létre az Azure-ban és a helyszínen futó virtuális gépek számára. A védelemmel kapcsolatos további információkért lásd a Végponthoz készült Microsoft Defender.

  2. Felhőhöz készült Microsoft Defender-alkalmazások

    A korábban Microsoft Cloud Application Security néven ismert Felhőhöz készült Defender Apps egy felhőelérési biztonsági közvetítő (CASB), amely több üzembe helyezési módot is támogat. Ezek a módok közé tartozik a naplógyűjtés, az API-összekötők és a fordított proxy. Gazdag betekintést, az adatutazás szabályozását és kifinomult elemzéseket biztosít a kibertámadások azonosításához és leküzdéséhez az összes Microsoft- és külső felhőszolgáltatásban. Védelmet és kockázatcsökkentést biztosít a Cloud Apps és egyes helyszíni alkalmazások számára is. Emellett egy védelmi réteget is biztosít az alkalmazásokhoz hozzáférő felhasználók számára. További információ: Felhőhöz készült Microsoft Defender Alkalmazások áttekintése.

    Fontos, hogy ne tévesszen össze Felhőhöz készült Defender-alkalmazásokat a Felhőhöz készült Microsoft Defender, amely javaslatokat és a kiszolgálók, alkalmazások, tárfiókok és más, Azure-ban, a helyszínen és más felhőkben futó erőforrások biztonsági helyzetének pontszámát biztosítja. Felhőhöz készült Defender összevon két korábbi szolgáltatást, az Azure Security Centert és az Azure Defendert.

  3. Office 365-höz készült Microsoft Defender

    Office 365-höz készült Defender védi a szervezetet az e-mailek, hivatkozások (URL-címek) és együttműködési eszközök által okozott rosszindulatú fenyegetések ellen. Védelmet nyújt az e-mailekhez és az együttműködéshez. A licenctől függően hozzáadhatja a incidens utáni vizsgálatot, a vadászatot és a választ, valamint az automatizálást és a szimulációt (a betanításhoz). A licencelési lehetőségekről további információt Office 365-höz készült Microsoft Defender biztonsági áttekintésben talál.

  4. Microsoft Defender identitáshoz

    A Defender for Identity egy felhőalapú biztonsági megoldás, amely a helyi Active Directory jelekkel azonosítja, észleli és vizsgálja meg a szervezetre irányított speciális fenyegetéseket, feltört identitásokat és rosszindulatú belső műveleteket. Védi a helyszíni Active Directory tartományi szolgáltatások (AD DS) is. Annak ellenére, hogy ez a szolgáltatás a felhőben fut, a helyszíni identitások védelme érdekében működik. A Defender for Identity korábbi neve Azure Advanced Threat Protection volt. További információ: Mi az a Microsoft Defender for Identity?

    Ha olyan identitások védelmére van szüksége, amelyeket a Microsoft Entra ID biztosít, és amelyek natív módon futnak a felhőben, fontolja meg a Microsoft Entra ID-védelem.

  5. Microsoft Endpoint Manager

    Az Endpoint Manager szolgáltatásokat biztosít a felhőszolgáltatásokhoz, a helyszíni szolgáltatásokhoz és a Microsoft Intune-hoz, amely lehetővé teszi a funkciók és beállítások vezérlését Android, Android Enterprise, iOS, iPadOS, macOS, Windows 10 és Windows 11 rendszerű eszközökön. Integrálható más szolgáltatásokkal, például:

    • Microsoft Entra-azonosító.
    • Mobil veszélyforrások védelmezői.
    • Rendszergazda istrative (ADMX) sablonok.
    • Win32-alkalmazások.
    • Egyéni üzletági alkalmazások.

    Az Endpoint Manager egy másik szolgáltatása a Configuration Manager, amely egy helyszíni felügyeleti megoldás, amely lehetővé teszi a hálózaton lévő, közvetlenül vagy az interneten keresztül csatlakoztatott ügyfél- és kiszolgálószámítógépek kezelését. A felhőfunkciókkal integrálhatja a Configuration Managert az Intune-nal, a Microsoft Entra ID-val, a Végponthoz készült Defenderrel és más felhőszolgáltatásokkal. Alkalmazásokat, szoftverfrissítéseket és operációs rendszereket helyezhet üzembe. Emellett figyelheti a megfelelőséget, lekérdezheti az objektumokat, valós időben kezelheti az ügyfeleket, és sok más módon is. Az összes elérhető szolgáltatásról a Microsoft Endpoint Manager áttekintésében olvashat.

Példák fenyegetéseinek támadási sorrendje

A diagramban elnevezett fenyegetések egy gyakori támadási sorrendet követnek:

  1. A támadó adathalász e-mailt küld hozzá csatolt kártevővel.

  2. A végfelhasználó megnyitja a csatolt kártevőt.

  3. A kártevő a háttérrendszerben települ anélkül, hogy a felhasználó észrevenned.

  4. A telepített kártevő ellop néhány felhasználó hitelesítő adatait.

  5. A támadó a hitelesítő adatokkal szerez hozzáférést a bizalmas fiókokhoz.

  6. Ha a hitelesítő adatok hozzáférést biztosítanak egy emelt szintű jogosultsággal rendelkező fiókhoz, a támadó további rendszereket veszélyeztet.

A diagram a DEFENDER címkével ellátott rétegben is megjeleníti, hogy a Microsoft Defender XDR-szolgáltatások mely támadásokat figyelhetik és mérsékelhetik. Ez egy példa arra, hogyan biztosít a Defender egy további biztonsági réteget, amely az Azure biztonsági szolgáltatásaival együttműködve nyújt további védelmet a diagramon látható erőforrásoknak. További információ arról, hogy a lehetséges támadások hogyan fenyegetik az informatikai környezetet, olvassa el a sorozat második cikkét, amely az informatikai környezet fenyegetéseinek leképezése. További információ a Microsoft Defender XDR-ről: Microsoft Defender XDR.

A Microsoft Defender XDR biztonsági szolgáltatásainak elérése és kezelése

Előfordulhat, hogy jelenleg több portált kell használnia a Microsoft Defender XDR-szolgáltatások kezeléséhez. A Microsoft azonban a lehető legnagyobb mértékben dolgozik a funkciók központosításán. Az alábbi ábra azt mutatja be, hogy mely portálok érhetők el jelenleg, és milyen kapcsolatok állnak fenn egymással.

Egy diagram, amely a portálok és a szolgáltatások aktuális kapcsolatát mutatja be.

Security.microsoft.com jelenleg a legfontosabb elérhető portál, mivel a Office 365-höz készült Microsoft Defender (1) és a Defender for Endpoint (2) funkcióit biztosítja. 2022 márciusától azonban továbbra is hozzáférhet protection.office.com az Office 365 (3) biztonsági funkcióihoz. A Defender for Endpoint esetében, ha megpróbál hozzáférni a régi portálhoz, securitycenter.windows.coma rendszer átirányítja az új portálra a (7) időpontban security.microsoft.com .

Az elsődleges használat portal.cloudappsecurity.com a (4) Felhőhöz készült Defender-alkalmazások kezelése. Lehetővé teszi a felhőalkalmazások és egyes helyszíni alkalmazások kezelését, a jogosulatlan alkalmazások (árnyék it) kezelését, valamint az Identity Protection felhasználói jelzéseinek áttekintését. Ezen a portálon számos jelet és funkciót kezelhet a helyszíni (5) Identitásvédelem szolgáltatásból, amely lehetővé teszi számos függvény összevonását a portálról (6) portal.atp.azure.com a (4) Felhőhöz készült Defender-alkalmazásokhoz. Szükség esetén azonban továbbra is elérheti a (6) portal.atp.azure.com értéket.

Végül endpoint.microsoft.com elsősorban az Intune és a Configuration Manager funkcióit biztosítja, de az Endpoint Manager részét képező egyéb szolgáltatásokhoz is. Mivel security.microsoft.com a endpoint.microsoft.com végpontok biztonságvédelmet biztosítanak, számos interakciójuk van közöttük (9), így kiváló biztonsági helyzet áll a végpontok rendelkezésére.

Összetevők

A cikkben szereplő példaarchitektúra a következő Azure-összetevőket használja:

  • A Microsoft Entra ID egy felhőalapú identitás- és hozzáférés-kezelési szolgáltatás. A Microsoft Entra ID segítségével a felhasználók hozzáférhetnek külső erőforrásokhoz, például a Microsoft 365-höz, az Azure Portalhoz és több ezer más SaaS-alkalmazáshoz. Emellett segít a belső erőforrások, például a vállalati intranetes hálózaton lévő alkalmazások elérésében.

  • Az Azure Virtual Network az Azure-beli magánhálózat alapvető építőeleme. A virtuális hálózat számos Azure-erőforrástípus számára teszi lehetővé az egymással, az internettel és a helyszíni hálózatokkal való biztonságos kommunikációt. A Virtuális hálózat olyan virtuális hálózatot biztosít, amely az Azure infrastruktúrájának előnyeit biztosítja, például a skálázást, a rendelkezésre állást és az elkülönítést.

  • Az Azure Load Balancer egy nagy teljesítményű, alacsony késésű 4. rétegbeli terheléselosztási szolgáltatás (bejövő és kimenő) az összes UDP- és TCP-protokollhoz. Másodpercenként több millió kérés kezelésére készült, miközben biztosítja, hogy a megoldás magas rendelkezésre állású legyen. Az Azure Load Balancer zónaredundáns, így magas rendelkezésre állást biztosít a rendelkezésre állási zónák között.

  • A virtuális gépek egyike az Azure által kínált, igény szerinti, méretezhető számítási erőforrásoknak. Egy Azure-beli virtuális gép (VM) lehetővé teszi a virtualizálás rugalmasságát anélkül, hogy meg kellene vásárolnia és fenntartania az azt futtató fizikai hardvert.

  • Az Azure Kubernetes service (AKS) egy teljes körűen felügyelt Kubernetes-szolgáltatás a tárolóalapú alkalmazások üzembe helyezéséhez és kezeléséhez. Az AKS kiszolgáló nélküli Kubernetes-t, folyamatos integrációt/folyamatos teljesítést (CI/CD) és nagyvállalati szintű biztonságot és irányítást biztosít.

  • Az Azure Virtual Desktop egy asztali és alkalmazásvirtualizálási szolgáltatás, amely a felhőben fut, hogy asztalokat biztosítson a távoli felhasználók számára.

  • A Web Apps egy HTTP-alapú szolgáltatás webalkalmazások, REST API-k és mobil háttérrendszerek üzemeltetésére. A kedvenc nyelven fejleszthet, és az alkalmazások windowsos és Linux-alapú környezetekben is könnyedén futnak és méretezhetők.

  • Az Azure Storage magas rendelkezésre állású, nagymértékben méretezhető, tartós és biztonságos tároló a felhőben található különböző adatobjektumokhoz, beleértve az objektumokat, blobokat, fájlokat, lemezeket, üzenetsorokat és táblatárolókat. Az Azure Storage-fiókba írt összes adatot a szolgáltatás titkosítja. Az Azure Storage használatával részletesen szabályozhatja, hogy ki férhet hozzá az adatokhoz.

  • Az Azure SQL Database egy teljes mértékben felügyelt PaaS-adatbázismotor, amely kezeli az adatbázis-kezelési funkciók többségét, például a frissítést, a javítást, a biztonsági mentéseket és a monitorozást. Felhasználói beavatkozás nélkül biztosítja ezeket a függvényeket. Az SQL Database számos beépített biztonsági és megfelelőségi funkciót biztosít, amelyek segítenek az alkalmazásnak megfelelni a biztonsági és megfelelőségi követelményeknek.

Közreműködők

Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.

Fő szerző:

Egyéb közreműködők:

Következő lépések

A referenciaarchitektúra további részleteiért tekintse meg a sorozat többi cikkét: