Infrastructuurbeveiliging beheren met behulp van Defender voor Cloud
Omdat uw bedrijf een financiële organisatie is, moet het voldoen aan de hoogste standaarden voor beveiliging. Elke klant- of partnertransactie moet volledig worden beschermd tegen bedreigingen en u moet ook effectief reageren op mogelijke bedreigingen. Als een virtuele machine (VM) bijvoorbeeld is aangetast, moet u snel handelen om het probleem op te lossen.
In deze les wordt beschreven hoe u resources beveiligt en reageert op bedreigingen met behulp van Microsoft Defender voor Cloud. Defender voor Cloud helpt u ervoor te zorgen dat de beveiligingsconfiguratie van uw infrastructuur zo veilig mogelijk is.
U kunt Defender voor Cloud gebruiken om het volgende te doen:
- Inzicht in het beveiligingspostuur van uw architectuur.
- Risico's en bedreigingen voor uw infrastructuur identificeren en aanpakken.
- Beveilig een complexe infrastructuur met behulp van traditionele interne vaardigheden en kapitaal.
- Beveilig een infrastructuur die bestaat uit on-premises en cloudresources.
Inzicht krijgen in uw beveiligingspostuur
U moet de beveiligingspostuur van uw architectuur begrijpen om u te helpen betere infrastructuren te bouwen en te onderhouden. Defender voor Cloud helpt u inzicht te hebben in de beveiliging van uw architectuur door u gedetailleerde analyses te geven van verschillende onderdelen van uw omgeving, waaronder:
- Gegevensbeveiliging
- Netwerkbeveiliging
- Identiteit en toegang
- Toepassingsbeveiliging
Defender voor Cloud azure Monitor-logboeken gebruikt om gegevens van uw VM's te verzamelen om te controleren op beveiligingsproblemen en bedreigingen. Een agent leest verschillende beveiligingsconfiguraties en gebeurtenislogboeken van de VM en kopieert de gegevens naar uw Log Analytics-werkruimte voor analyse.
Defender voor Cloud raadt manieren aan om de problemen en risico's op te lossen die worden ontdekt. U kunt aanbevelingen gebruiken om de beveiliging en naleving van uw architectuur te verbeteren.
Beveiligen tegen bedreigingen
U kunt Defender voor Cloud Just-In-Time-VM-toegang (JIT) en adaptieve toepassingsbesturingselementen gebruiken om verdachte activiteiten te blokkeren en uw resources te beveiligen. Als u toegang wilt krijgen tot deze besturingselementen, selecteert u Workloadbeveiliging in de sectie CloudBeveiliging van de Defender voor Cloud linkernavigatiebalk.
JIT-VM-toegang
U kunt uw VM's beveiligen met behulp van de Just-In-Time-VM-toegangsfunctie (JIT) om permanente VM-toegang te blokkeren. Uw VM's kunnen alleen worden geopend op basis van gecontroleerde toegang die u configureert.
Als u JIT wilt inschakelen, selecteert u Just-In-Time-VM-toegang op het scherm Workloadbeveiliging onderGeavanceerde beveiliging. Schakel op de Just-In-Time-VM-toegangspagina de selectievakjes in naast een of meer VM's in de lijst Niet geconfigureerd en selecteer vervolgens JIT op (nummer) VM('s) inschakelen om JIT voor de VM's te configureren.
Defender voor Cloud ziet u een lijst met standaardpoorten die zijn gericht op JIT, of u kunt uw eigen poorten configureren.
Adaptieve toepassingsregelaars
U kunt adaptieve toepassingsbesturingselementen gebruiken om te bepalen welke toepassingen mogen worden uitgevoerd op uw VM's. Defender voor Cloud machine learning gebruikt om te kijken naar de processen die worden uitgevoerd op uw VM's, maakt u uitzonderingsregels voor elke resourcegroep die uw VM's bevat en geeft u aanbevelingen.
Als u adaptieve besturingselementen wilt configureren, selecteert u Adaptief toepassingsbesturingselement op het scherm Workloadbeveiliging onder Geavanceerde beveiliging. In het scherm Adaptieve toepassingsbesturingselementen ziet u een lijst met resourcegroepen die uw VM's bevatten. Het tabblad Aanbevolen bevat de resourcegroepen die Defender voor Cloud aanbevelen voor adaptieve toepassingsregelaars.
Selecteer een resourcegroep en gebruik het scherm Regels voor toepassingsbeheer configureren om vm's en toepassingen te targeten waarop de besturingsregels moeten worden toegepast.
Op bedreigingen reageren
Defender voor Cloud geeft u een gecentraliseerde weergave van al uw beveiligingswaarschuwingen, gerangschikt op hun ernst. U kunt uw beveiligingswaarschuwingen bekijken door Beveiligingswaarschuwingen te selecteren in het linkernavigatievenster van Defender voor Cloud.
Defender voor Cloud combineert gerelateerde waarschuwingen zoveel mogelijk in één beveiligingsincident. Selecteer een incident om de specifieke beveiligingswaarschuwingen te zien die het incident bevat.
Zoom in op een waarschuwing door de waarschuwing te selecteren en vervolgens Volledige details weergeven te selecteren.
Defender voor Cloud kunt u sneller en op een geautomatiseerde manier op bedreigingen reageren door acties uit te voeren. Selecteer Volgende: Actie ondernemen om actie te ondernemen voor de waarschuwing.
Vouw een van de volgende secties uit om actie te ondernemen voor de waarschuwing:
- Inspecteer de resourcecontext om de resourcelogboeken rond het tijdstip van de waarschuwing te onderzoeken.
- Beperk de bedreiging om suggesties te zien voor het minimaliseren of oplossen van de bedreiging.
- Voorkom toekomstige aanvallen om aanbevelingen voor beveiliging te implementeren.
- Automatisch reageren activeren om een logische app te activeren als een geautomatiseerd antwoord op deze beveiligingswaarschuwing.
- Vergelijkbare waarschuwingen onderdrukken door een onderdrukkingsregel met vooraf gedefinieerde voorwaarden te maken.
- Configureer instellingen voor e-mailmeldingen om te selecteren wie u op de hoogte wilt stellen van de waarschuwing en onder welke voorwaarden.
In de waarschuwingsdetails moet u waarschuwingen negeren als er geen actie is vereist, bijvoorbeeld als er fout-positieven zijn. U moet reageren op bekende aanvallen, bijvoorbeeld door bekende schadelijke IP-adressen te blokkeren en u moet beslissen welke waarschuwingen meer onderzoek vereisen.
