Бөлісу құралы:


Управление безопасностью: безопасность конечных точек

Безопасность конечных точек охватывает элементы управления обнаружением конечных точек и реагированием на них, включая использование функции обнаружения конечных точек и реагирования на них (EDR) и службы защиты от вредоносных программ для конечных точек в облачных средах.

ES-1. Обнаружение и нейтрализация атак на конечные точки (EDR)

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
13,7 SC-3, SI-2, SI-3, SI-16 11,5

Принцип безопасности. Включите возможности обнаружения конечных точек и реагирования (EDR) для виртуальных машин и интегрируйте их с процессами SIEM и операциями безопасности.


Руководство Azure. Microsoft Defender для серверов (с интегрированными Microsoft Defender для конечной точки) предоставляет возможности EDR для предотвращения, обнаружения, исследования и реагирования на сложные угрозы.

Используйте Microsoft Defender для облака для развертывания Microsoft Defender для серверов на конечных точках и интеграции оповещений в решение SIEM, например Microsoft Sentinel.

Реализация Azure и дополнительный контекст:


Руководство AWS. Подключение учетной записи AWS к Microsoft Defender для облака и развертывание Microsoft Defender для серверов (с интегрированными Microsoft Defender для конечной точки) на экземплярах EC2 для предоставления возможностей EDR для предотвращения, обнаружения, исследования и реагирования на них Угроз.

Кроме того, используйте встроенную функцию аналитики угроз Amazon GuardDuty для мониторинга и защиты экземпляров EC2. Amazon GuardDuty может обнаруживать аномальные действия, такие как действия, указывающие на компрометацию экземпляра, такие как майнинг криптовалют, вредоносные программы, использующие алгоритмы создания доменов (DGA), исходящие действия типа "отказ в обслуживании", необычно большой объем сетевого трафика, необычные сетевые протоколы, исходящий обмен данными экземпляра с известным вредоносным IP-адресом, временные учетные данные Amazon EC2, используемые внешним IP-адресом, и кража данных с помощью DNS.

Реализация AWS и дополнительный контекст:


Руководство GCP. Подключение проекта GCP к Microsoft Defender для облака и развертывание Microsoft Defender для серверов (с интегрированными Microsoft Defender для конечной точки) на экземплярах виртуальных машин для предоставления возможностей EDR для предотвращения, обнаружения, исследования и реагирования на них расширенные угрозы.

Кроме того, используйте Центр команд безопасности Google для интегрированной аналитики угроз для мониторинга и защиты экземпляров виртуальных машин. Центр управления безопасностью может обнаруживать аномальные действия, такие как потенциально утечка учетных данных, майнинг криптовалют, потенциально вредоносные приложения, вредоносная сетевая активность и многое другое.

Реализация GCP и дополнительный контекст:


Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

ES-2: использовать современное программное обеспечение для борьбы с вредоносными программами

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
10.1 SC-3, SI-2, SI-3, SI-16 5.1

Принцип безопасности. Используйте решения для защиты от вредоносных программ (также известные как защита конечных точек), поддерживающие защиту в режиме реального времени и периодическое сканирование.


Руководство Azure. Microsoft Defender для облака может автоматически определять использование ряда популярных решений для защиты от вредоносных программ для виртуальных машин и локальных компьютеров с настроенной службой Azure Arc, сообщать о состоянии выполнения защиты конечных точек и предоставлять рекомендации.

Антивирусная программа в Microsoft Defender — это решение для борьбы с вредоносным ПО, по умолчанию используемое в Windows Server 2016 и более поздних версий. Для Windows Server 2012 R2 используйте расширение Microsoft Antimalware, чтобы включить SCEP (System Center Endpoint Protection). Для виртуальных машин Linux используйте Microsoft Defender для конечной точки в Linux для функции защиты конечных точек.

Для Windows и Linux можно использовать Microsoft Defender для облака для обнаружения и оценки состояния работоспособности решения для защиты от вредоносных программ.

Примечание. Вы также можете использовать Защитник службы хранилища в Microsoft Defender для облака для обнаружения вредоносных программ, передаваемых в учетные записи службы хранилища Azure.

Реализация Azure и дополнительный контекст:


Руководство AWS. Подключение учетной записи AWS к Microsoft Defender для облака, чтобы позволить Microsoft Defender для облака автоматически определять использование некоторых популярных решений для защиты от вредоносных программ для экземпляров EC2 с настроенной службой Azure Arc, сообщать о состоянии выполнения защиты конечных точек и предоставлять рекомендации.

Разверните Microsoft Defender антивирусную программу, которая является решением по умолчанию для защиты от вредоносных программ для Windows Server 2016 и более поздних версий. Для экземпляров EC2 под управлением Windows Server 2012 R2 используйте расширение Microsoft Antimalware, чтобы включить SCEP (System Center Endpoint Protection). Для экземпляров EC2 под управлением Linux используйте Microsoft Defender для конечной точки в Linux для функции защиты конечных точек.

Для Windows и Linux можно использовать Microsoft Defender для облака для обнаружения и оценки состояния работоспособности решения для защиты от вредоносных программ.

Примечание. Microsoft Defender Cloud также поддерживает некоторые сторонние продукты endpoint protection для обнаружения и оценки состояния работоспособности.

Реализация AWS и дополнительный контекст:


Руководство GCP. Подключение проектов GCP к Microsoft Defender для облака, чтобы позволить Microsoft Defender для облака автоматически определять использование популярных решений для защиты от вредоносных программ для экземпляров виртуальных машин с настроенной службой Azure Arc, сообщать о состоянии защиты конечных точек и предоставлять рекомендации.

Разверните Microsoft Defender антивирусную программу, которая является решением по умолчанию для защиты от вредоносных программ для Windows Server 2016 и более поздних версий. Для экземпляров виртуальных машин под управлением Windows Server 2012 R2 используйте расширение Microsoft Antimalware, чтобы включить SCEP (System Center Endpoint Protection). Для экземпляров виртуальных машин под управлением Linux используйте Microsoft Defender для конечной точки в Linux для функции защиты конечных точек.

Для Windows и Linux можно использовать Microsoft Defender для облака для обнаружения и оценки состояния работоспособности решения для защиты от вредоносных программ.

Примечание. Microsoft Defender Cloud также поддерживает некоторые сторонние продукты endpoint protection для обнаружения и оценки состояния работоспособности.

Реализация GCP и дополнительный контекст:


Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

ES-3: проверка обновлений ПО для защиты от вредоносных программ и сигнатур

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
10,2 SI-2, SI-3 5,2

Принцип безопасности. Убедитесь, что сигнатуры защиты от вредоносных программ быстро и согласованно обновляются для решения для защиты от вредоносных программ.


Руководство Azure. Следуйте рекомендациям в Microsoft Defender для облака, чтобы поддерживать все конечные точки в актуальном состоянии с помощью последних сигнатур. Microsoft Antimalware (для Windows) и Microsoft Defender для конечной точки (для Linux) автоматически установят последние сигнатуры и обновления ядра по умолчанию.

Для сторонних решений убедитесь, что сигнатуры обновлены в стороннем решении для защиты от вредоносных программ.

Реализация Azure и дополнительный контекст:


Руководство AWS. Если учетная запись AWS подключена к Microsoft Defender для облака, следуйте рекомендациям в Microsoft Defender для облака, чтобы поддерживать все конечные точки в актуальном состоянии с помощью последних подписей. Microsoft Antimalware (для Windows) и Microsoft Defender для конечной точки (для Linux) автоматически установят последние сигнатуры и обновления ядра по умолчанию.

Для сторонних решений убедитесь, что сигнатуры обновлены в стороннем решении для защиты от вредоносных программ.

Реализация AWS и дополнительный контекст:


Руководство GCP. После подключения проектов GCP к Microsoft Defender для облака следуйте рекомендациям в Microsoft Defender для облака, чтобы поддерживать все решения EDR в актуальном состоянии с помощью последних подписей. Microsoft Antimalware (для Windows) и Microsoft Defender для конечной точки (для Linux) автоматически установят последние сигнатуры и обновления ядра по умолчанию.

Для сторонних решений убедитесь, что сигнатуры обновлены в стороннем решении для защиты от вредоносных программ.

Реализация GCP и дополнительный контекст:


Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):