Controllo sicurezza v3: Sicurezza degli endpoint
Endpoint Security copre i controlli nel rilevamento e nella risposta degli endpoint, tra cui l'uso del rilevamento degli endpoint e della risposta (EDR) e del servizio antimalware per gli endpoint negli ambienti di Azure.
ES-1: Usare la funzionalità di rilevamento e reazione dagli endpoint (EDR)
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 13.7 | SC-3, SI-2, SI-3, SI-16 | 11.5 |
Principio di sicurezza: Abilitare le funzionalità di rilevamento degli endpoint e risposta (EDR) per le macchine virtuali e integrarsi con i processi DI GESTIONE e sicurezza.
Linee guida di Azure: Azure Defender per i server (con Microsoft Defender per endpoint integrata) offre funzionalità EDR per impedire, rilevare, analizzare e rispondere alle minacce avanzate.
Usare Microsoft Defender per Cloud per distribuire Azure Defender per i server per l'endpoint e integrare gli avvisi alla soluzione SIEM, ad esempio Azure Sentinel.
Implementazione e contesto aggiuntivo:
- Introduzione a Azure Defender per i server
- panoramica Microsoft Defender per endpoint
- Microsoft Defender per la copertura delle funzionalità cloud per i computer
- Connettore per Defender per server di integrazione in SIEM
Stakeholder della sicurezza dei clienti (altre informazioni):
- Sicurezza dell'infrastruttura e degli endpoint
- Intelligence per le minacce
- Gestione della conformità alla sicurezza
- Gestione della postura
ES-2: Usare un software antimalware moderno
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 10.1 | SC-3, SI-2, SI-3, SI-16 | 5.1 |
Principio di sicurezza: Usare soluzioni antimalware in grado di proteggere in tempo reale e analizzare periodica.
Linee guida di Azure: Microsoft Defender per Cloud può identificare automaticamente l'uso di numerose soluzioni antimalware popolari per le macchine virtuali e le macchine locali con Azure Arc configurato e segnalare lo stato di esecuzione della protezione degli endpoint e apportare raccomandazioni.
Antivirus Microsoft Defender è la soluzione antimalware predefinita per Windows Server 2016 e versioni successive. Per Windows server 2012 R2, usare Microsoft Antimalware estensione per abilitare SCEP (System Center Endpoint Protection) e Microsoft Defender per Cloud per individuare e valutare lo stato di integrità. Per le macchine virtuali Linux, usare Microsoft Defender per endpoint in Linux.
Nota: è anche possibile usare Microsoft Defender per Cloud Defender for Storage per rilevare il malware caricato negli account di archiviazione di Azure.
Implementazione e contesto aggiuntivo:
- Soluzioni di protezione degli endpoint supportate
- Come configurare Microsoft Antimalware per Servizi cloud e macchine virtuali
Stakeholder della sicurezza dei clienti (altre informazioni):
- Sicurezza dell'infrastruttura e degli endpoint
- Intelligence per le minacce
- Gestione della conformità alla sicurezza
- Gestione della postura
ES-3: Assicurarsi che il software antimalware e le firme siano aggiornati
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 10,2 | SI-2, SI-3 | 5,2 |
Principio di sicurezza: Assicurarsi che le firme anti-malware vengano aggiornate rapidamente e in modo coerente per la soluzione anti-malware.
Linee guida di Azure: Seguire le raccomandazioni riportate in Microsoft Defender per Cloud: "Compute & Apps" per mantenere tutti gli endpoint aggiornati con le firme più recenti. Microsoft Antimalware installerà automaticamente le firme e gli aggiornamenti del motore più recenti per impostazione predefinita. Per Linux, assicurarsi che le firme vengano aggiornate nella soluzione anti-malware di terze parti.
Implementazione e contesto aggiuntivo:
- Come distribuire Microsoft Antimalware per Servizi cloud e macchina virtuale
- Valutazione e raccomandazioni di Endpoint Protection in Microsoft Defender for Cloud
Stakeholder della sicurezza dei clienti (altre informazioni):