Aanbevelingen voor bewaking en detectie van bedreigingen
Van toepassing op deze aanbeveling voor de controlelijst voor beveiliging van Azure Well-Architected Framework:
SE:10 | Implementeer een holistische bewakingsstrategie die afhankelijk is van moderne mechanismen voor het detecteren van bedreigingen die kunnen worden geïntegreerd met het platform. Mechanismen moeten op betrouwbare wijze waarschuwen voor sortering en signalen verzenden naar bestaande SecOps-processen. |
---|
In deze handleiding worden de aanbevelingen voor bewaking en detectie van bedreigingen beschreven. Bewaking is in principe een proces waarbij informatie wordt opgehaald over gebeurtenissen die al hebben plaatsgevonden. Beveiligingsbewaking is een praktijk van het vastleggen van informatie op verschillende hoogten van de workload (infrastructuur, toepassing, bewerkingen) om zich bewust te worden van verdachte activiteiten. Het doel is incidenten te voorspellen en te leren van eerdere gebeurtenissen. Bewakingsgegevens bieden de basis voor een post-incidentanalyse van wat er is gebeurd om incidentrespons en forensisch onderzoek te helpen.
Bewaking is een operational excellence-benadering die wordt toegepast op alle Well-Architected Framework-pijlers. Deze handleiding bevat alleen aanbevelingen vanuit een beveiligingsperspectief. Algemene concepten van bewaking, zoals code-instrumentatie, gegevensverzameling en analyse, vallen buiten het bereik van deze handleiding. Zie Aanbevelingen voor het ontwerpen en bouwen van een framework voor waarneembaarheid voor informatie over kernconcepten voor bewaking.
Definities
Termijn | Definitie |
---|---|
Auditlogboeken | Een record van activiteiten in een systeem. |
Security Information and Event Management (SIEM) | Een benadering die gebruikmaakt van ingebouwde detectie van bedreigingen en intelligentiemogelijkheden op basis van gegevens die zijn geaggregeerd uit meerdere bronnen. |
Detectie van bedreigingen | Een strategie voor het detecteren van afwijkingen van verwachte acties met behulp van verzamelde, geanalyseerde en gecorreleerde gegevens. |
Informatie over bedreigingen | Een strategie voor het interpreteren van gegevens over detectie van bedreigingen om verdachte activiteiten of bedreigingen te detecteren door patronen te onderzoeken. |
Bedreigingspreventie | Beveiligingscontroles die op verschillende hoogten in een workload worden geplaatst om de assets te beschermen. |
Belangrijke ontwerpstrategieën
Het belangrijkste doel van beveiligingsbewaking is detectie van bedreigingen. Het primaire doel is het voorkomen van mogelijke beveiligingsschendingen en het onderhouden van een veilige omgeving. Het is echter even belangrijk om te erkennen dat niet alle bedreigingen preventief kunnen worden geblokkeerd. In dergelijke gevallen dient bewaking ook als een mechanisme om de oorzaak van een beveiligingsincident te identificeren dat zich ondanks de preventie-inspanningen heeft voorgedaan.
Bewaking kan vanuit verschillende perspectieven worden benaderd:
Monitor op verschillende hoogten. Observeren vanaf verschillende hoogten is het proces van het verkrijgen van informatie over gebruikersstromen, gegevenstoegang, identiteit, netwerken en zelfs het besturingssysteem. Elk van deze gebieden biedt unieke inzichten die u kunnen helpen bij het identificeren van afwijkingen van verwacht gedrag dat is vastgesteld op basis van de beveiligingsbasislijn. Omgekeerd kan het continu bewaken van een systeem en toepassingen in de loop van de tijd helpen om die basislijnpostuur vast te stellen. U ziet bijvoorbeeld meestal ongeveer 1000 aanmeldingspogingen in uw identiteitssysteem per uur. Als uw bewaking gedurende een korte periode een piek van 50.000 aanmeldingspogingen detecteert, probeert een aanvaller mogelijk toegang te krijgen tot uw systeem.
Bewaak op verschillende impactbereiken. Het is essentieel om de toepassing en het platform te observeren. Stel dat een toepassingsgebruiker per ongeluk geëscaleerde bevoegdheden krijgt of dat er een beveiligingsschending optreedt. Als de gebruiker acties uitvoert buiten het aangewezen bereik, kan de impact beperkt blijven tot acties die andere gebruikers kunnen uitvoeren.
Als een interne entiteit echter inbreuk maakt op een database, is de omvang van de mogelijke schade onzeker.
Als er een inbreuk optreedt aan de azure-resourcezijde, kan de impact wereldwijd zijn, wat van invloed is op alle entiteiten die met de resource communiceren.
De straal van de ontploffing of het impactbereik kan aanzienlijk verschillen, afhankelijk van welke van deze scenario's zich voordoet.
Gebruik gespecialiseerde bewakingshulpprogramma's. Het is essentieel om te investeren in gespecialiseerde hulpprogramma's die continu kunnen scannen op afwijkend gedrag dat kan wijzen op een aanval. De meeste van deze hulpprogramma's hebben mogelijkheden voor bedreigingsinformatie waarmee voorspellende analyses kunnen worden uitgevoerd op basis van een grote hoeveelheid gegevens en bekende bedreigingen. De meeste hulpprogramma's zijn niet staatloos en bevatten een diepgaand begrip van telemetrie in een beveiligingscontext.
De hulpprogramma's moeten platformgeintegreerde of ten minste platformbewust zijn om diepe signalen van het platform te krijgen en voorspellingen met hoge kwaliteit te doen. Ze moeten tijdig waarschuwingen kunnen genereren met voldoende informatie om de juiste sortering uit te voeren. Het gebruik van te veel verschillende hulpprogramma's kan leiden tot complexiteit.
Gebruik bewaking voor het reageren op incidenten. Geaggregeerde gegevens, omgezet in bruikbare informatie, maken snelle en effectieve reacties op incidenten mogelijk . Bewaking helpt bij activiteiten na incidenten. Het doel is om voldoende gegevens te verzamelen om te analyseren en te begrijpen wat er is gebeurd. Het bewakingsproces legt informatie vast over gebeurtenissen in het verleden om reactieve mogelijkheden te verbeteren en mogelijk toekomstige incidenten te voorspellen.
De volgende secties bevatten aanbevolen procedures die rekening houden met de voorgaande bewakingsperspectieven.
Gegevens vastleggen om activiteiten bij te houden
Het doel is om een uitgebreide audittrail te onderhouden van gebeurtenissen die belangrijk zijn vanuit een beveiligingsperspectief. Logboekregistratie is de meest voorkomende manier om toegangspatronen vast te leggen. Logboekregistratie moet worden uitgevoerd voor de toepassing en het platform.
Voor een audittrail moet u bepalen wat, wanneer en wie aan acties is gekoppeld. U moet de specifieke tijdsbestekken identificeren wanneer acties worden uitgevoerd. Maak deze evaluatie in uw bedreigingsmodellering. Om een weerlegbaarheidsdreiging tegen te gaan, moet u sterke logboekregistratie- en controlesystemen opzetten die resulteren in een record van activiteiten en transacties.
In de volgende secties worden use cases beschreven voor enkele veelvoorkomende hoogten van een workload.
Gebruikersstromen van toepassingen
Uw toepassing moet zijn ontworpen om runtime-zichtbaarheid te bieden wanneer gebeurtenissen optreden. Identificeer kritieke punten in uw toepassing en stel logboekregistratie in voor deze punten. Wanneer een gebruiker zich bijvoorbeeld aanmeldt bij de toepassing, legt u de identiteit van de gebruiker, de bronlocatie en andere relevante informatie vast. Het is belangrijk om elke escalatie van gebruikersbevoegdheden, de acties die door de gebruiker zijn uitgevoerd, te bevestigen en of de gebruiker toegang heeft tot gevoelige informatie in een beveiligd gegevensarchief. Activiteiten voor de gebruiker en de gebruikerssessie bijhouden.
Om dit bijhouden te vergemakkelijken, moet code worden geïnstrueerd via gestructureerde logboekregistratie. Hierdoor kunt u eenvoudig en uniform query's uitvoeren en filteren op de logboeken.
Belangrijk
U moet verantwoordelijke logboekregistratie afdwingen om de vertrouwelijkheid en integriteit van uw systeem te behouden. Geheimen en gevoelige gegevens mogen niet worden weergegeven in logboeken. Houd rekening met het lekken van persoonlijke gegevens en andere nalevingsvereisten wanneer u deze logboekgegevens vastlegt.
Identiteits- en toegangsbewaking
Houd een grondige record bij van toegangspatronen voor de toepassing en wijzigingen in platformresources. Beschikken over robuuste activiteitenlogboeken en mechanismen voor het detecteren van bedreigingen, met name voor identiteitsgerelateerde activiteiten, omdat aanvallers vaak proberen identiteiten te manipuleren om onbevoegde toegang te krijgen.
Implementeer uitgebreide logboekregistratie met behulp van alle beschikbare gegevenspunten. Neem bijvoorbeeld het IP-adres van de client op om onderscheid te maken tussen reguliere gebruikersactiviteit en mogelijke bedreigingen van onverwachte locaties. Alle logboekgebeurtenissen moeten een tijdstempel hebben van de server.
Leg alle activiteiten voor toegang tot resources vast en leg vast wie wat doet en wanneer ze dit doen. Instanties van escalatie van bevoegdheden zijn een belangrijk gegevenspunt dat moet worden geregistreerd. Acties met betrekking tot het maken of verwijderen van accounts door de toepassing moeten ook worden vastgelegd. Deze aanbeveling geldt ook voor toepassingsgeheimen. Controleer wie toegang heeft tot geheimen en wanneer ze worden geroteerd.
Hoewel het vastleggen van geslaagde acties belangrijk is, is het opnemen van fouten noodzakelijk vanuit een beveiligingsperspectief. Documenteer eventuele schendingen, zoals een gebruiker die een actie probeert uit te voeren, maar een autorisatiefout tegenkomt, toegangspogingen voor niet-bestaande resources en andere acties die verdacht lijken.
Netwerkbewaking
Door netwerkpakketten en hun bronnen, bestemmingen en structuren te bewaken, krijgt u inzicht in toegangspatronen op netwerkniveau.
Uw segmentatieontwerp moet observatiepunten bij de grenzen in staat stellen om te controleren wat deze overschrijdt en om die gegevens te registreren. Bewaak bijvoorbeeld subnetten met netwerkbeveiligingsgroepen die stroomlogboeken genereren. Bewaak ook firewalllogboeken die de stromen weergeven die zijn toegestaan of geweigerd.
Er zijn toegangslogboeken voor binnenkomende verbindingsaanvragen. Deze logboeken registreren de bron-IP-adressen die de aanvragen initiëren, het type aanvraag (GET, POST) en alle andere informatie die deel uitmaakt van de aanvragen.
Het vastleggen van DNS-stromen is een belangrijke vereiste voor veel organisaties. DNS-logboeken kunnen bijvoorbeeld helpen identificeren welke gebruiker of welk apparaat een bepaalde DNS-query heeft geïnitieerd. Door DNS-activiteit te correleren met logboeken voor gebruikers-/apparaatverificatie, kunt u activiteiten voor afzonderlijke clients bijhouden. Deze verantwoordelijkheid strekt zich vaak uit tot het workloadteam, met name als ze iets implementeren waardoor DNS-aanvragen deel uitmaken van hun bewerking. Analyse van DNS-verkeer is een belangrijk aspect van de waarneembaarheid van platformbeveiliging.
Het is belangrijk om onverwachte DNS-aanvragen of DNS-aanvragen te bewaken die zijn omgeleid naar bekende opdracht- en beheereindpunten.
Afweging: het vastleggen van alle netwerkactiviteiten kan leiden tot een grote hoeveelheid gegevens. Elke aanvraag van laag 3 kan worden vastgelegd in een stroomlogboek, inclusief elke transactie die een subnetgrens overschrijdt. Helaas is het niet mogelijk om alleen ongewenste voorvallen vast te leggen, omdat ze alleen kunnen worden geïdentificeerd nadat ze zijn opgetreden. Neem strategische beslissingen over het type gebeurtenissen dat moet worden vastgelegd en hoe lang ze moeten worden opgeslagen. Als u niet voorzichtig bent, kan het beheren van de gegevens overweldigend zijn. Er is ook een afweging tussen de kosten voor het opslaan van die gegevens.
Vanwege de afwegingen moet u overwegen of het voordeel van netwerkbewaking van uw workload voldoende is om de kosten te rechtvaardigen. Als u een webtoepassingsoplossing met een hoog aanvraagvolume hebt en uw systeem uitgebreid gebruikmaakt van beheerde Azure-resources, kunnen de kosten opwegen tegen de voordelen. Als u daarentegen een oplossing hebt die is ontworpen voor het gebruik van virtuele machines met verschillende poorten en toepassingen, kan het belangrijk zijn om netwerklogboeken vast te leggen en te analyseren.
Systeemwijzigingen vastleggen
Als u de integriteit van uw systeem wilt behouden, moet u beschikken over een nauwkeurige en actuele record van de systeemstatus. Als er wijzigingen zijn, kunt u deze record gebruiken om snel eventuele problemen op te lossen.
Buildprocessen moeten ook telemetrie verzenden. Inzicht in de beveiligingscontext van gebeurtenissen is essentieel. Weten wat het buildproces heeft geactiveerd, wie het heeft geactiveerd en wanneer het is geactiveerd, kan waardevolle inzichten opleveren.
Houd bij wanneer resources worden gemaakt en wanneer ze buiten gebruik worden gesteld. Deze informatie moet worden geëxtraheerd van het platform. Deze informatie biedt waardevolle inzichten voor resourcebeheer en verantwoordelijkheid.
Bewaak afwijkingen in resourceconfiguratie. Documenteer wijzigingen in een bestaande resource. Houd ook wijzigingen bij die niet worden voltooid als onderdeel van een implementatie voor een verzameling resources. Logboeken moeten de details van de wijziging vastleggen en de exacte tijd waarop deze is opgetreden.
Zorg voor een uitgebreide weergave, vanuit het perspectief van patches, of het systeem up-to-date en veilig is. Controleer routine-updateprocessen om te controleren of ze worden voltooid zoals gepland. Een beveiligingspatchingproces dat niet wordt voltooid, moet worden beschouwd als een beveiligingsprobleem. U moet ook een inventaris bijhouden die de patchniveaus en eventuele andere vereiste details registreert.
Wijzigingsdetectie is ook van toepassing op het besturingssysteem. Dit omvat het bijhouden of services worden toegevoegd of uitgeschakeld. Het omvat ook bewaking voor het toevoegen van nieuwe gebruikers aan het systeem. Er zijn hulpprogramma's die zijn ontworpen voor een besturingssysteem. Ze helpen bij bewaking zonder context, in die zin dat ze zich niet richten op de functionaliteit van de workload. Bewaking van bestandsintegriteit is bijvoorbeeld een essentieel hulpprogramma waarmee u wijzigingen in systeembestanden kunt bijhouden.
U moet waarschuwingen instellen voor deze wijzigingen, met name als u niet verwacht dat ze vaak voorkomen.
Belangrijk
Wanneer u uitrolt naar productie, moet u ervoor zorgen dat waarschuwingen zijn geconfigureerd voor het detecteren van afwijkende activiteiten die zijn gedetecteerd in de toepassingsresources en het buildproces.
Neem in uw testplannen de validatie van logboekregistratie en waarschuwingen op als testcases met prioriteit.
Gegevens opslaan, aggregeren en analyseren
Gegevens die door deze bewakingsactiviteiten worden verzameld, moeten worden opgeslagen in gegevenssinks waar ze grondig kunnen worden onderzocht, genormaliseerd en gecorreleerd. Beveiligingsgegevens moeten worden opgeslagen buiten de eigen gegevensarchieven van het systeem. Bewakingssinks, ongeacht of ze gelokaliseerd of centraal zijn, moeten de gegevensbronnen overleven. De sinks kunnen niet kortstondig zijn omdat sinks de bron zijn voor inbraakdetectiesystemen.
Netwerklogboeken kunnen uitgebreid zijn en opslag in beslag nemen. Verken verschillende lagen in opslagsystemen. Logboeken kunnen na verloop van tijd van nature overschakelen naar koudere opslag. Deze aanpak is nuttig omdat oudere stroomlogboeken doorgaans niet actief worden gebruikt en alleen op aanvraag nodig zijn. Deze methode zorgt voor efficiënt opslagbeheer en zorgt er tegelijkertijd voor dat u toegang hebt tot historische gegevens wanneer dat nodig is.
De stromen van uw workload zijn doorgaans een samenstelling van meerdere logboekregistratiebronnen. Bewakingsgegevens moeten op intelligente wijze worden geanalyseerd in al deze bronnen. Uw firewall blokkeert bijvoorbeeld alleen verkeer dat het bereikt. Als u een netwerkbeveiligingsgroep hebt die al bepaald verkeer heeft geblokkeerd, is dat verkeer niet zichtbaar voor de firewall. Als u de volgorde van gebeurtenissen wilt reconstrueren, moet u gegevens aggregeren van alle onderdelen die zich in de stroom bevinden en vervolgens gegevens uit alle stromen aggregeren. Deze gegevens zijn met name nuttig in een reactiescenario na een incident wanneer u probeert te begrijpen wat er is gebeurd. Nauwkeurige tijdregistratie is essentieel. Voor beveiligingsdoeleinden moeten alle systemen een netwerktijdbron gebruiken, zodat ze altijd gesynchroniseerd zijn.
Gecentraliseerde detectie van bedreigingen met gecorreleerde logboeken
U kunt een systeem zoals SIEM (Security Information and Event Management) gebruiken om beveiligingsgegevens samen te voegen op een centrale locatie waar deze kunnen worden gecorreleerd tussen verschillende services. Deze systemen hebben ingebouwde mechanismen voor het detecteren van bedreigingen . Ze kunnen verbinding maken met externe feeds om bedreigingsinformatiegegevens te verkrijgen. Microsoft publiceert bijvoorbeeld bedreigingsinformatiegegevens die u kunt gebruiken. U kunt ook bedreigingsinformatiefeeds kopen van andere providers, zoals Anomali en FireEye. Deze feeds kunnen waardevolle inzichten bieden en uw beveiligingspostuur verbeteren. Zie Security Insider voor bedreigingsinzichten van Microsoft.
Een SIEM-systeem kan waarschuwingen genereren op basis van gecorreleerde en genormaliseerde gegevens. Deze waarschuwingen zijn een belangrijke resource tijdens een incidentresponsproces.
Afweging: SIEM-systemen kunnen duur en complex zijn en vereisen gespecialiseerde vaardigheden. Als u echter geen account hebt, moet u mogelijk zelf gegevens correleren. Dit kan een tijdrovend en complex proces zijn.
SIEM-systemen worden meestal beheerd door de centrale teams van een organisatie. Als uw organisatie er geen heeft, kunt u ervoor pleiten. Het kan de last van handmatige logboekanalyse en correlatie verlichten om efficiënter en effectiever beveiligingsbeheer mogelijk te maken.
Microsoft biedt een aantal rendabele opties. Veel Microsoft Defender producten bieden de waarschuwingsfunctionaliteit van een SIEM-systeem, maar zonder een functie voor gegevensaggregatie.
Door verschillende kleinere hulpprogramma's te combineren, kunt u sommige functies van een SIEM-systeem emuleren. U moet echter weten dat deze geïmproviseerde oplossingen mogelijk geen correlatieanalyse kunnen uitvoeren. Deze alternatieven kunnen nuttig zijn, maar ze vervangen mogelijk niet volledig de functionaliteit van een toegewezen SIEM-systeem.
Misbruik detecteren
Wees proactief bij het detecteren van bedreigingen en wees alert op tekenen van misbruik, zoals beveiligingsaanvallen op een SSH-onderdeel of een RDP-eindpunt. Hoewel externe bedreigingen veel ruis kunnen genereren, met name als de toepassing wordt blootgesteld aan internet, zijn interne bedreigingen vaak een groter probleem. Een onverwachte beveiligingsaanval van een vertrouwde netwerkbron of een onbedoelde onjuiste configuratie moet bijvoorbeeld onmiddellijk worden onderzocht.
Blijf op de hoogte van uw beveiligingsprocedures. Bewaking is geen vervanging voor het proactief beveiligen van uw omgeving. Een groter oppervlak is gevoelig voor meer aanvallen. Bescherp de controles net zo veel als oefenen. U kunt bijvoorbeeld ongebruikte accounts detecteren en uitschakelen, ongebruikte poorten verwijderen en een webtoepassingsfirewall gebruiken. Zie Aanbevelingen over beveiligingsbeveiliging voor meer informatie over beveiligingstechnieken.
Met detectie op basis van handtekeningen kan een systeem in detail worden geïnspecteerd. Het omvat het zoeken naar tekenen of correlaties tussen activiteiten die kunnen duiden op een mogelijke aanval. Een detectiemechanisme kan bepaalde kenmerken identificeren die duiden op een specifiek type aanval. Het is niet altijd mogelijk om het command-and-control-mechanisme van een aanval rechtstreeks te detecteren. Er zijn echter vaak hints of patronen die zijn gekoppeld aan een bepaald opdracht- en controleproces. Een aanval kan bijvoorbeeld worden aangegeven door een bepaalde stroomsnelheid vanuit het perspectief van een aanvraag, of het kan vaak toegang krijgen tot domeinen met specifieke einden.
Detecteer afwijkende gebruikerstoegangspatronen , zodat u afwijkingen van verwachte patronen kunt identificeren en onderzoeken. Dit omvat het vergelijken van huidig gebruikersgedrag met gedrag in het verleden om afwijkingen te herkennen. Hoewel het mogelijk niet haalbaar is om deze taak handmatig uit te voeren, kunt u hulpprogramma's voor bedreigingsinformatie gebruiken om dit uit te voeren. Investeer in UEBA-hulpprogramma's (User and Entity Behavior Analytics) waarmee gebruikersgedrag van bewakingsgegevens worden verzameld en geanalyseerd. Deze hulpprogramma's kunnen vaak voorspellende analyses uitvoeren die verdacht gedrag toewijzen aan mogelijke typen aanvallen.
Bedreigingen detecteren tijdens de fasen vóór en na de implementatie. Neem tijdens de predeploymentfase het scannen van beveiligingsproblemen op in pijplijnen en voer de benodigde acties uit op basis van de resultaten. Na de implementatie kunt u doorgaan met het scannen van beveiligingsproblemen. U kunt hulpprogramma's zoals Microsoft Defender for Containers gebruiken, waarmee containerinstallatiekopieën worden gescand. Neem de resultaten op in de verzamelde gegevens. Zie Aanbevelingen voor het gebruik van veilige implementatieprocedures voor informatie over veilige ontwikkelprocedures.
Profiteer van door het platform geleverde detectiemechanismen en -metingen. Azure Firewall kunt bijvoorbeeld verkeer analyseren en verbindingen met niet-vertrouwde bestemmingen blokkeren. Azure biedt ook manieren om DDoS-aanvallen (Distributed Denial of Service) te detecteren en te beveiligen.
Azure-facilitering
Azure Monitor biedt waarneembaarheid in uw hele omgeving. Zonder configuratie krijgt u automatisch metrische platformgegevens, activiteitenlogboeken en diagnostische logboeken van de meeste Azure-resources. De activiteitenlogboeken bieden gedetailleerde diagnostische en controle-informatie.
Notitie
Platformlogboeken zijn niet voor onbepaalde tijd beschikbaar. U moet ze bewaren, zodat u ze later kunt bekijken voor controledoeleinden of offlineanalyse. Gebruik Azure-opslagaccounts voor langetermijnopslag/archivering. Geef in Azure Monitor een bewaarperiode op wanneer u diagnostische instellingen voor uw resources inschakelt.
Stel waarschuwingen in op basis van vooraf gedefinieerde of aangepaste metrische gegevens en logboeken om meldingen te ontvangen wanneer specifieke beveiligingsgerelateerde gebeurtenissen of afwijkingen worden gedetecteerd.
Zie documentatie voor Azure Monitor voor meer informatie.
Microsoft Defender for Cloud biedt ingebouwde mogelijkheden voor detectie van bedreigingen. Het werkt op verzamelde gegevens en analyseert logboeken. Omdat het op de hoogte is van de typen logboeken die worden gegenereerd, kan het ingebouwde regels gebruiken om weloverwogen beslissingen te nemen. Het controleert bijvoorbeeld lijsten met mogelijk gecompromitteerde IP-adressen en genereert waarschuwingen.
Ingebouwde threat protection-services inschakelen voor Azure-resources. Schakel bijvoorbeeld Microsoft Defender in voor Azure-resources, zoals virtuele machines, databases en containers, om bekende bedreigingen te detecteren en te beveiligen.
Defender voor Cloud biedt mogelijkheden voor cloudworkloadbeveiligingsplatform (CWPP) voor het detecteren van bedreigingen van alle workloadresources.
Zie Wat is Microsoft Defender for Cloud? voor meer informatie.
Waarschuwingen die door Defender worden gegenereerd, kunnen ook worden ingevoerd in SIEM-systemen. Microsoft Sentinel is het systeemeigen aanbod. Er wordt gebruikgemaakt van AI en machine learning om beveiligingsrisico's in realtime te detecteren en erop te reageren. Het biedt een gecentraliseerde weergave van beveiligingsgegevens en maakt proactieve opsporing en onderzoek van bedreigingen mogelijk.
Zie Wat is Microsoft Sentinel voor meer informatie.
Microsoft Sentinel kan ook feeds voor bedreigingsinformatie uit verschillende bronnen gebruiken. Zie Integratie van bedreigingsinformatie in Microsoft Sentinel voor meer informatie.
Microsoft Sentinel kan gebruikersgedrag analyseren op basis van bewakingsgegevens. Zie Geavanceerde bedreigingen identificeren met UEBA (User and Entity Behavior Analytics) in Microsoft Sentinel voor meer informatie.
Defender en Microsoft Sentinel werken samen, ondanks enige overlap in functionaliteit. Deze samenwerking verbetert uw algehele beveiligingspostuur door te zorgen voor uitgebreide detectie en reactie op bedreigingen.
Profiteer van Azure Business Continuity Center om hiaten in uw bedrijfscontinuïteit te identificeren en te beschermen tegen bedreigingen zoals ransomware-aanvallen, schadelijke activiteiten en rogue-beheerdersincidenten. Zie Wat is Azure Business Continuity Center? voor meer informatie.
Netwerken
Bekijk alle logboeken, inclusief onbewerkt verkeer, van uw netwerkapparaten.
Logboeken van beveiligingsgroepen. Bekijk stroomlogboeken en diagnostische logboeken.
Azure Network Watcher. Profiteer van de functie pakketopname om waarschuwingen in te stellen en toegang te krijgen tot realtime prestatiegegevens op pakketniveau.
Pakketopname houdt verkeer in en van virtuele machines bij. U kunt het gebruiken om proactieve opnamen uit te voeren op basis van gedefinieerde netwerkafwijkingen, inclusief informatie over netwerkinbreuken.
Zie Netwerken proactief bewaken met waarschuwingen en Azure Functions met behulp van Packet Capture voor een voorbeeld.
Identiteit
Bewaak identiteitsgerelateerde risicogebeurtenissen op mogelijk gecompromitteerde identiteiten en herstel deze risico's. Bekijk de gerapporteerde risico-gebeurtenissen op de volgende manieren:
Gebruik Microsoft Entra ID rapportage. Zie Wat is Identity Protection? en Identity Protection voor meer informatie.
Gebruik API-leden voor risicodetectie van Identity Protection om programmatische toegang te krijgen tot beveiligingsdetecties via Microsoft Graph. Zie riskDetection en riskyUser voor meer informatie.
Microsoft Entra ID maakt gebruik van adaptieve machine learning-algoritmen, heuristieken en bekende gecompromitteerde referenties (gebruikersnaam en wachtwoordparen) om verdachte acties te detecteren die betrekking hebben op uw gebruikersaccounts. Deze gebruikersnaam- en wachtwoordparen worden weergegeven door het bewaken van het openbare en dark web en door samen te werken met beveiligingsonderzoekers, wetshandhaving, beveiligingsteams bij Microsoft en anderen.
Azure Pipelines
DevOps pleit voor wijzigingsbeheer van workloads via continue integratie en continue levering (CI/CD). Zorg ervoor dat u beveiligingsvalidatie toevoegt in de pijplijnen. Volg de richtlijnen die worden beschreven in Azure-pijplijnen beveiligen.
Verwante koppelingen
- Aanbevelingen voor het ontwerpen en maken van een framework voor waarneembaarheid
- Security Insider
- Aanbevelingen voor het beveiligen van resources
- Aanbevelingen voor het gebruik van veilige implementatieprocedures
- Azure Monitor-documentatie
- Wat is Microsoft Defender for Cloud?
- Wat is Microsoft Sentinel?
- Integratie van bedreigingsinformatie in Microsoft Sentinel
- Geavanceerde bedreigingen identificeren met UEBA (User and Entity Behavior Analytics) in Microsoft Sentinel
- Zelfstudie: Logboekregistratie van netwerkverkeer naar en van een virtuele machine met Azure Portal
- Pakketopname
- Netwerken proactief bewaken met waarschuwingen en Azure Functions met behulp van Packet Capture
- Wat is Identity Protection?
- Identiteitsbeveiliging
- riskDetection
- riskyUser
- Meer informatie over het toevoegen van continue beveiligingsvalidatie aan uw CI/CD-pijplijn
Controlelijst voor beveiliging
Raadpleeg de volledige set aanbevelingen.