Felhőhöz készült Microsoft Defender integrálása az Azure VMware-megoldással
Felhőhöz készült Microsoft Defender fejlett veszélyforrások elleni védelmet nyújt az Azure VMware Solution és a helyszíni virtuális gépek (VM-ek) számára. Felméri az Azure VMware Solution virtuális gépek sebezhetőségét, és szükség szerint riasztásokat hoz létre. Ezek a biztonsági riasztások továbbíthatók az Azure Monitornak megoldás céljából. A biztonsági szabályzatokat a Felhőhöz készült Microsoft Defender határozhatja meg. További információ: Biztonsági szabályzatok használata.
Felhőhöz készült Microsoft Defender számos funkciót kínál, többek között a következőket:
- Fájlintegritás monitorozása
- Fájl nélküli támadásészlelés
- Operációsrendszer-javítások felmérése
- Biztonsági konfigurációk értékelése
- Végpontvédelmi értékelés
Az ábra az Azure VMware Solution virtuális gépek integrált biztonsági architektúráját mutatja be.
A Log Analytics-ügynök naplóadatokat gyűjt az Azure-ból, az Azure VMware Solutionből és a helyszíni virtuális gépekről. A rendszer elküldi a naplóadatokat az Azure Monitor-naplóknak, és egy Log Analytics-munkaterületen tárolja. Minden munkaterület saját adattárral és konfigurációval rendelkezik az adatok tárolásához. A naplók összegyűjtése után Felhőhöz készült Microsoft Defender felméri az Azure VMware Solution virtuális gépek sebezhetőségi állapotát, és riasztást küld a kritikus biztonsági résekre vonatkozóan. Az értékelés után Felhőhöz készült Microsoft Defender továbbítja a biztonságirés állapotát a Microsoft Sentinelnek, hogy incidenst hozzon létre, és megfeleltetsen más fenyegetéseknek. Felhőhöz készült Microsoft Defender Felhőhöz készült Microsoft Defender Connector használatával csatlakozik a Microsoft Sentinelhez.
Előfeltételek
Tervezze meg a Felhőhöz készült Defender optimalizált használatát.
Tekintse át a Felhőhöz készült Defender támogatott platformokat.
Hozzon létre egy Log Analytics-munkaterületet a különböző forrásokból származó adatok gyűjtéséhez.
Engedélyezze Felhőhöz készült Microsoft Defender az előfizetésében.
Feljegyzés
Felhőhöz készült Microsoft Defender egy előre konfigurált eszköz, amely nem igényel üzembe helyezést, de engedélyeznie kell.
Azure VMware-megoldás virtuális gépek hozzáadása a Felhőhöz készült Defender
Az Azure Portalon keressen rá az Azure Arcra, és válassza ki.
Az Erőforrások területen válassza a Kiszolgálók , majd a +Hozzáadás lehetőséget.
Válassza a Szkript létrehozása lehetőséget.
Az Előfeltételek lapon válassza a Tovább gombot.
Az Erőforrás részletei lapon adja meg a következő adatokat, majd válassza a Tovább gombot. Címkék:
- Előfizetés
- Erőforráscsoport
- Régió
- Operációs rendszer
- Proxykiszolgáló részletei
A Címkék lapon válassza a Tovább gombot.
A Szkript letöltése és futtatása lapon válassza a Letöltés lehetőséget.
Adja meg az operációs rendszert, és futtassa a szkriptet az Azure VMware Solution virtuális gépen.
Javaslatok és elfogadott értékelések megtekintése
A javaslatok és értékelések biztosítják az erőforrás biztonsági állapotának részleteit.
A Felhőhöz készült Microsoft Defender a bal oldali panelen válassza az Inventory (Leltár) lehetőséget.
Erőforrástípus esetén válassza a Kiszolgálók – Azure Arc lehetőséget.
Válassza ki az erőforrás nevét. Megnyílik egy oldal, amelyen az erőforrás biztonsági állapotának részletei láthatók.
A Javaslatok listában válassza a Javaslatok, a Sikeres értékelések és a Nem érhető el értékelések fület ezeknek a részleteknek a megtekintéséhez.
Microsoft Sentinel-munkaterület üzembe helyezése
A Microsoft Sentinel biztonsági elemzéseket, riasztásészlelést és automatizált fenyegetéskezelést biztosít egy környezetben. Ez egy natív felhőbeli, biztonsági információval kapcsolatos eseménykezelési (SIEM) megoldás, amely egy Log Analytics-munkaterületre épül.
Mivel a Microsoft Sentinel egy Log Analytics-munkaterületre épül, csak a használni kívánt munkaterületet kell kiválasztania.
Az Azure Portalon keresse meg a Microsoft Sentinelt, és válassza ki.
A Microsoft Sentinel-munkaterületek lapon válassza a +Hozzáadás lehetőséget.
Válassza ki a Log Analytics-munkaterületet, és válassza a Hozzáadás lehetőséget.
Adatgyűjtő engedélyezése biztonsági eseményekhez
A Microsoft Sentinel-munkaterületek lapon válassza ki a konfigurált munkaterületet.
A Konfiguráció területen válassza az Adatösszekötők lehetőséget.
Az Összekötő neve oszlopban válassza ki a biztonsági eseményeket a listából, majd válassza az Összekötő megnyitása lapot.
Az összekötő oldalán válassza ki a streamelni kívánt eseményeket, majd válassza a Módosítások alkalmazása lehetőséget.
A Microsoft Sentinel csatlakoztatása Felhőhöz készült Microsoft Defender
A Microsoft Sentinel munkaterület lapján válassza ki a konfigurált munkaterületet.
A Konfiguráció területen válassza az Adatösszekötők lehetőséget.
Válassza Felhőhöz készült Microsoft Defender a listából, majd válassza az Összekötő megnyitása lapot.
Válassza a Csatlakozás lehetőséget a Felhőhöz készült Microsoft Defender a Microsoft Sentinellel való összekapcsolásához.
Incidens létrehozásához engedélyezze az incidens létrehozását a Felhőhöz készült Microsoft Defender számára.
Biztonsági fenyegetések azonosítására szolgáló szabályok létrehozása
Miután csatlakoztatta az adatforrásokat a Microsoft Sentinelhez, szabályokat hozhat létre az észlelt fenyegetésekre vonatkozó riasztások létrehozásához. Az alábbi példában egy szabályt hozunk létre a Windows Serverre való rossz jelszóval való bejelentkezésre tett kísérletekhez.
A Microsoft Sentinel áttekintési lapján, a Konfigurációk területen válassza az Elemzés lehetőséget.
A Konfigurációk területen válassza az Elemzés lehetőséget.
Válassza a +Létrehozás lehetőséget, majd a legördülő menüben válassza az Ütemezett lekérdezési szabály lehetőséget.
Az Általános lapon adja meg a szükséges információkat, majd válassza a Tovább: Szabálylogika beállítása lehetőséget.
- Név
- Leírás
- Taktika
- Súlyosság
- Állapot
A Szabály logikai beállítása lapon adja meg a szükséges adatokat, majd válassza a Tovább gombot.
Szabály lekérdezése (itt látható a példa lekérdezés)
SecurityEvent |where Activity startswith '4625' |summarize count () by IpAddress,Computer |where count_ > 3
Entitások leképezése
Lekérdezés ütemezése
Riasztás küszöbértéke
Események csoportosítása
Mellőzés
Az Incidens beállításai lapon engedélyezze az incidensek létrehozását az elemzési szabály által aktivált riasztásokból, és válassza a Tovább: Automatikus válasz lehetőséget.
Válassza a Következő: Véleményezés lehetőséget.
A Véleményezés és létrehozás lapon tekintse át az információkat, és válassza a Létrehozás lehetőséget.
Tipp.
Miután a harmadik sikertelen kísérlet a Windows Serverre való bejelentkezésre, a létrehozott szabály minden sikertelen kísérlet esetén incidenst indít el.
Riasztások megtekintése
A létrehozott incidenseket a Microsoft Sentinellel tekintheti meg. Az incidenseket hozzárendelheti és bezárhatja a feloldásuk után, mindezt a Microsoft Sentinelből.
Nyissa meg a Microsoft Sentinel áttekintési oldalát.
A Fenyegetéskezelés területen válassza az Incidensek lehetőséget.
Jelöljön ki egy incidenst, majd rendelje hozzá egy csapathoz a megoldáshoz.
Tipp.
A probléma megoldása után bezárhatja azt.
Biztonsági fenyegetések keresése lekérdezésekkel
Lekérdezéseket hozhat létre, vagy a Microsoft Sentinelben elérhető előre definiált lekérdezéssel azonosíthatja a környezetében lévő fenyegetéseket. Az alábbi lépések előre definiált lekérdezést futtatnak.
A Microsoft Sentinel áttekintési lapján, a Fenyegetéskezelés területen válassza a Vadászat lehetőséget. Megjelenik az előre definiált lekérdezések listája.
Tipp.
Az Új lekérdezés lehetőséget választva új lekérdezést is létrehozhat.
Válasszon ki egy lekérdezést, majd válassza a Lekérdezés futtatása lehetőséget.
Az eredmények megtekintéséhez válassza az Eredmények megtekintése lehetőséget.
Következő lépések
Most, hogy megismerkedett az Azure VMware Solution virtuális gépek védelmének módjával, az alábbiakról tudhat meg többet: