Mi az a Microsoft Defender for Cloud?

A Microsoft Defender for Cloud egy felhőbeli biztonsági helyzetkezelés (CSPM) és felhőbeli számítási feladatvédelmi platform (CWPP) az összes Azure-beli, helyszíni és többfelhős (Amazon AWS és Google GCP) erőforráshoz. A Defender for Cloud három alapvető igényt elég ki az erőforrások és számítási feladatok felhőbeli és helyszíni biztonságának kezelése során:

• A Defender for Cloud biztonsági pontszámafolyamatosan értékeli a biztonsági helyzetet, így nyomon követheti az új biztonsági lehetőségeket, és pontosan jelentheti a biztonsági erőfeszítések előrehaladását.
• A Defender for Cloud javaslatai lépésenkénti műveletekkel védik a számítási feladatokat az ismert biztonsági kockázatoktól.
• A Defender for Cloud riasztásai valós időben védik a számítási feladatokat, így azonnal reagálhat, és megakadályozhatja a biztonsági események kialakulását.

A Defender for Cloud részletes útmutatójáért tekintse meg ezt az interaktív oktatóanyagot.

A Defender for Cloudról egy kiberbiztonsági szakértőtől tudhat meg többet, ha megtekinti a terület tanulságait.

Az erőforrások védelme és a biztonsági állapot nyomon követése

A Microsoft Defender for Cloud funkciói a felhőbiztonság két széles pillérét fedik le: a Felhőbeli számítási feladatok védelmi platformját (CWPP) és a felhőbiztonsági helyzetkezelést (CSPM).

CSPM – A biztonsági problémák elhárítása és a biztonsági állapot javításának figyelése

A Defender for Cloudban a testtartáskezelési funkciók a következő funkciókat biztosítják:

• Keményítési útmutató – a biztonság hatékony és hatékony javítása érdekében
• Láthatóság – az aktuális biztonsági helyzet megértéséhez

A Defender for Cloud folyamatosan értékeli az erőforrásokat, az előfizetéseket és a szervezetet a biztonsági problémákra vonatkozóan, és megjeleníti a biztonsági helyzetét a biztonsági pontszámban, amely a biztonsági eredmények összesített pontszáma, amely egy pillantással jelzi az aktuális biztonsági helyzetet: minél magasabb a pontszám, annál alacsonyabb az azonosított kockázati szint.

Amint első alkalommal nyitja meg a Defender for Cloudot, a Defender for Cloud:

• Biztonságos pontszámot hoz létre az előfizetéseihez a csatlakoztatott erőforrások értékelése alapján, az Azure Security Benchmark útmutatójával összehasonlítva. A pontszám segítségével megismerheti a biztonsági állapotot és a megfelelőségi irányítópultot a beépített teljesítménytesztnek való megfelelőség ellenőrzéséhez. Ha engedélyezte a továbbfejlesztett biztonsági funkciókat, testre szabhatja a megfelelőség értékeléséhez használt szabványokat, és hozzáadhat más előírásokat (például NIST és Azure CIS) vagy szervezetspecifikus biztonsági követelményeket. Javaslatokat és pontszámokat is alkalmazhat az AWS alapvető biztonsági ajánlott eljárásainak szabványai alapján.

• Megerősített javaslatokat nyújt az azonosított biztonsági konfigurációk és gyengeségek alapján. Ezekkel a biztonsági javaslatokkal megerősítheti a szervezet Azure-beli, hibrid és többfelhős erőforrásainak biztonsági helyzetét.

További információ a biztonsági pontszámról.

CWP – A számítási feladatok egyedi biztonsági követelményeinek azonosítása

A Defender for Cloud a Microsoft Threat Intelligence által működtetett biztonsági riasztásokat kínál. Emellett számos fejlett, intelligens védelmet is tartalmaz a számítási feladatokhoz. A számítási feladatok védelmét a Microsoft Defender-csomagok biztosítják, amelyek az előfizetésekben található erőforrások típusaira vonatkoznak. Engedélyezheti például, hogy a Microsoft Defender for Storage riasztást kapjon a tárolási erőforrásokhoz kapcsolódó gyanús tevékenységekről.

Az összes erőforrás védelme egy tető alatt

Mivel a Defender for Cloud egy natív Azure-szolgáltatás, számos Azure-szolgáltatást figyelnek és védenek üzembe helyezés nélkül, de erőforrásokat is hozzáadhat a helyszíni vagy más nyilvános felhőkhöz.

Szükség esetén a Defender for Cloud automatikusan üzembe helyezhet egy Log Analytics-ügynököt a biztonsággal kapcsolatos adatok gyűjtéséhez. Az Azure-gépek esetében az üzembe helyezést közvetlenül kezeli a rendszer. Hibrid és többfelhős környezetek esetén a Microsoft Defender-csomagok az Azure Arc segítségével nem Azure-beli gépekre is kiterjeszthetőek. A CSPM-funkciók ügynök nélkül ki vannak terjesztve a többfelhős gépekre (lásd a más felhőkben futó erőforrások védelméről szóló témakört).

Az Azure natív erőforrásainak védelme

A Defender for Cloud segít a fenyegetések észlelésében:

• Azure PaaS-szolgáltatások – Az Azure-szolgáltatásokat célzó fenyegetések észlelése, például Azure App Service, Azure SQL, Azure Storage-fiók és további adatszolgáltatások. Az Azure-tevékenységnaplókban anomáliadetektálást is végezhet a Microsoft Defender for Cloud Apps (korábbi nevén Microsoft Cloud App Security) natív integrációjával.

• Azure-beli adatszolgáltatások – A Defender for Cloud olyan képességeket tartalmaz, amelyekkel automatikusan besorolhatja az adatokat Azure SQL. Emellett értékeléseket is kaphat a Azure SQL és a Storage-szolgáltatások lehetséges biztonsági réséről, és javaslatokat kaphat ezek enyhítésére.

• Hálózatok – A Defender for Cloud segít korlátozni a találgatásos támadásoknak való kitettséget. A virtuálisgép-portokhoz való hozzáférés csökkentésével, az igény szerinti virtuálisgép-hozzáférés használatával megerősítheti a hálózatot a szükségtelen hozzáférés megakadályozásával. A kiválasztott portokon, csak az engedélyezett felhasználók, az engedélyezett forrás IP-címtartományok vagy IP-címek számára és korlátozott ideig állíthat be biztonságos hozzáférési szabályzatokat.

A helyszíni erőforrások védelme

Az Azure-környezet védelme mellett a defender for Cloud képességeit is hozzáadhatja a hibrid felhőkörnyezethez a nem Azure-beli kiszolgálók védelme érdekében. Annak érdekében, hogy a legfontosabb dolgokra összpontosíthasson, testre szabott fenyegetésfelderítést és rangsorolt riasztásokat kaphat az adott környezetnek megfelelően.

A helyszíni gépekre való védelem kiterjesztéséhez helyezze üzembe az Azure Arcot , és engedélyezze a Defender for Cloud továbbfejlesztett biztonsági funkcióit. További információ: Nem Azure-beli gépek hozzáadása az Azure Arc használatával.

Más felhőkben futó erőforrások védelme

A Defender for Cloud más felhőkben (például AWS-ben és GCP-ben) lévő erőforrásokat is képes védeni.

Ha például egy Amazon Web Services- (AWS-) fiókot csatlakoztatott egy Azure-előfizetéshez, az alábbi védelmi beállítások bármelyikét engedélyezheti:

• A Defender for Cloud CSPM-funkciói az AWS-erőforrásokra is kiterjednek. Ez az ügynök nélküli csomag az AWS-specifikus biztonsági javaslatoknak megfelelően értékeli az AWS-erőforrásokat, és ezek szerepelnek a biztonsági pontszámban. Az erőforrásokat az AWS-hez (AWS CIS, AWS PCI DSS és AWS Foundational Security ajánlott eljárások) kapcsolódó beépített szabványoknak való megfelelés szempontjából is értékelni fogják. A Defender for Cloud eszközleltár-oldala egy többfelhős funkció, amely segít az AWS-erőforrások és az Azure-erőforrások kezelésében.
• A Kubernetes-hez készült Microsoft Defender kiterjeszti a tárolófenyegetések észlelését és fejlett védelmét az Amazon EKS Linux-fürtökre.
• A Microsoft Defender for Servers fenyegetésészlelést és speciális védelmet biztosít a Windows- és Linux EC2-példányokhoz. Ez a csomag tartalmazza a Végponthoz készült Microsoft Defender integrált licencét, a biztonsági alapkonfigurációkat és az operációsrendszer-szintű értékeléseket, a sebezhetőségi felmérés vizsgálatát, az adaptív alkalmazásvezérlőket (AAC), a fájlintegritási monitorozást (FIM) és egyebeket.

További információ az AWS - és GCP-fiókok Microsoft Defender for Cloudhoz való csatlakoztatásáról.

A biztonsági rések bezárása a biztonsági rések kihasználása előtt

A Defender for Cloud biztonságirés-felmérési megoldásokat tartalmaz a virtuális gépekhez, tárolóregisztrációs adatbázisokhoz és SQL-kiszolgálókhoz a továbbfejlesztett biztonsági funkciók részeként. A szkennerek egy részét Qualys működteti. De nincs szüksége Qualys-licencre vagy akár Qualys-fiókra sem – minden zökkenőmentesen kezelhető a Defender for Cloudban.

A Microsoft Defender for Servers automatikus natív integrációt tartalmaz a Végponthoz készült Microsoft Defender. További információ: Végpontok védelme a Defender for Cloud integrált EDR-megoldásával: Végponthoz készült Microsoft Defender. Ha ez az integráció engedélyezve van, hozzáférhet a Microsoft Veszélyforrás- és biztonságirés-kezelés biztonsági réseinek megállapításaihoz. További információ az Végponthoz készült Microsoft Defender Veszélyforrás- és biztonságirés-kezelés gyenge pontjainak vizsgálatával kapcsolatban.

Tekintse át a biztonságirés-ellenőrzők eredményeit, és válaszoljon rájuk a Defender for Cloudból. Ez a széles körű megközelítés közelebb hozza a Defender for Cloudot ahhoz, hogy minden felhőbiztonsági törekvés egyetlen panelje legyen.

További információ a következő oldalakon:

• A Defender for Cloud integrált Qualys-szkennere azure-beli és hibrid gépekhez
• Az Azure-tárolóregisztrációs adatbázisokban lévő rendszerképek biztonsági réseinek azonosítása

Biztonsági szabályzat kényszerítése felülről lefelé

Ez egy alapvető biztonsági alapismeret, amely biztosítja, hogy a számítási feladatok biztonságosak legyenek, és a személyre szabott biztonsági szabályzatok alkalmazásával kezdődik. Mivel a Defender for Cloud szabályzatai Azure Policy vezérlőkre épülnek, egy világszínvonalú szabályzatmegoldás teljes tartományát és rugalmasságát kapja. A Defender for Cloudban beállíthatja, hogy a szabályzatok felügyeleti csoportokon, előfizetéseken, sőt akár egy teljes bérlőn is fussanak.

A Defender for Cloud folyamatosan felderíti a számítási feladatokban üzembe helyezett új erőforrásokat, és felméri, hogy a biztonsági ajánlott eljárásoknak megfelelően vannak-e konfigurálva. Ha nem, akkor a program megjelöli őket, és megkapja a javításhoz szükséges javaslatok rangsorolását. A javaslatok segítenek csökkenteni az egyes erőforrások támadási felületét.

A javaslatok listáját az Azure biztonsági teljesítménytesztje engedélyezi és támogatja. Ez a Microsoft által létrehozott, Azure-specifikus teljesítményteszt útmutatást nyújt a közös megfelelőségi keretrendszereken alapuló biztonsági és megfelelőségi ajánlott eljárásokhoz. További információ az Azure Security Benchmark bevezetési útmutatójában.

Így a Defender for Cloud nem csak biztonsági szabályzatok beállítását teszi lehetővé, hanem biztonságos konfigurációs szabványok alkalmazását az erőforrásokra.

Annak megértéséhez, hogy az egyes javaslatok mennyire fontosak az általános biztonsági helyzet szempontjából, a Defender for Cloud biztonsági vezérlőkbe csoportosítja a javaslatokat, és biztonsági pontszámértéket ad az egyes vezérlőkhöz. Ez kulcsfontosságú a biztonsági feladatok rangsorolásának lehetővé tételéhez.

A Defender for Cloud kiterjesztése Defender-csomagokkal és külső monitorozással

A Defender for Cloud protection a következőkkel bővíthető:

• Speciális veszélyforrások elleni védelmi funkciók virtuális gépekhez, SQL-adatbázisokhoz, tárolókhoz, webalkalmazásokhoz, a hálózathoz és sok máshoz – A védelem magában foglalja a virtuális gépek felügyeleti portjainak megfelelő hozzáféréssel történő védelmét, valamint az adaptív alkalmazásvezérlőket , amelyek engedélyezési listákat hoznak létre a gépeken futtatandó és nem futtatandó alkalmazásokhoz.

A Microsoft Defender for Cloud Defender-csomagjai átfogó védelmet nyújtanak a környezet számítási, adat- és szolgáltatásrétegei számára:

• Microsoft Defender kiszolgálókhoz
• Microsoft Defender for Storage
• Az SQL-hez készült Microsoft Defender
• Microsoft Defender tárolókhoz
• Microsoft Defender App Service
• Microsoft Defender Key Vault
• Microsoft Defender Resource Manager
• Microsoft Defender DNS-hez
• Microsoft Defender nyílt forráskódú relációs adatbázisokhoz
• Microsoft Defender az Azure Cosmos DB-hez

A számítási feladatok védelmének irányítópultján található speciális védelmi csempékkel figyelheti és konfigurálhatja ezeket a védelmet.

Tipp

A Microsoft Defender for IoT egy külön termék. Az összes részletet megtalálja a Microsoft Defender for IoT bemutatása című témakörben.

• Biztonsági riasztások – Ha a Defender for Cloud fenyegetést észlel a környezet bármely területén, biztonsági riasztást hoz létre. Ezek a riasztások ismertetik az érintett erőforrások részleteit, a javasolt szervizelési lépéseket, és bizonyos esetekben egy logikai alkalmazás válaszként történő aktiválásának lehetőségét. Exportálhatja azt, ha a Defender for Cloud riasztást hoz létre, vagy a Defender for Cloud egy integrált biztonsági termékből érkezik. Ha a riasztásokat a Microsoft Sentinelbe, bármely külső SIEM-be vagy bármely más külső eszközbe szeretné exportálni, kövesse a Stream-riasztások utasításait egy SIEM-, SOAR- vagy IT-szolgáltatáskezelési megoldásban. A Defender for Cloud veszélyforrások elleni védelme magában foglalja a fúziós kill-chain elemzést, amely automatikusan korrelálja a környezet riasztásait a kibertámadási lánc elemzése alapján, hogy jobban megértse egy támadási kampány teljes történetét, hogy hol indult el, és milyen hatással volt az erőforrásaira. A Defender for Cloud támogatott kill chain szándékai a MITRE ATT& 9-es verzióján alapulnak CK-mátrix.

További információ

Az alábbi blogokat is megtekintheti:

• A többfelhős biztonság új neve: Microsoft Defender for Cloud
• Microsoft Defender felhőhöz – Használati esetek
• Microsoft Defender for Cloud PoC Series – Microsoft Defender tárolókhoz

Következő lépések

• A Defender for Cloud használatának megkezdéséhez szüksége lesz egy Microsoft Azure-előfizetésre. Ha nincs előfizetése, regisztráljon egy ingyenes próbaverzióra.

• A Defender for Cloud ingyenes csomagja az összes jelenlegi Azure-előfizetésén engedélyezve van, amikor első alkalommal látogatja meg a Defender for Cloud lapjait a Azure Portal, vagy ha programozott módon engedélyezve van a REST API-n keresztül. A fejlett biztonságkezelési és fenyegetésészlelési képességek kihasználásához engedélyeznie kell a továbbfejlesztett biztonsági funkciókat. Ezek a funkciók az első 30 napban ingyenesek. További információ a díjszabásról.

• Ha most már készen áll a továbbfejlesztett biztonsági funkciók engedélyezésére, rövid útmutató: A bővített biztonsági funkciók engedélyezése végigvezeti a lépéseken.

Microsoft Defender-csomagok engedélyezése