Infrastructuurintegraties

Infrastructuur omvat de hardware, software, microservices, netwerkinfrastructuur en faciliteiten die nodig zijn om IT-services voor een organisatie te ondersteunen. Zero Trust-infrastructuuroplossingen beoordelen, bewaken en voorkomen beveiligingsrisico's voor deze services.

Zero Trust-infrastructuuroplossingen ondersteunen de principes van Zero Trust door ervoor te zorgen dat de toegang tot infrastructuurresources expliciet wordt geverifieerd, toegang wordt verleend met behulp van principes van toegang met minimale bevoegdheden en mechanismen die ervan uitgaan dat er inbreuk wordt gemaakt op beveiligingsrisico's en beveiligingsrisico's in de infrastructuur worden opgespoord en hersteld.

Deze richtlijnen zijn bedoeld voor softwareproviders en technologiepartners die hun infrastructuurbeveiligingsoplossingen willen verbeteren door te integreren met Microsoft-producten.

Zero Trust-integratie voor infrastructuurhandleiding

Deze integratiehandleiding bevat strategie en instructies voor integratie met Microsoft Defender voor Cloud en de geïntegreerde cloudworkloadbeveiligingsplannen, Microsoft Defender voor ... (Servers, Containers, Databases, Storage, App Services en meer).

De richtlijnen omvatten integraties met de populairste SIEM-oplossingen (Security Information and Event Management), Security Orchestration Automated Response (SOAR), Endpoint Detection and Response (EDR) en ITSM-oplossingen (IT Service Management).

Zero Trust en Defender voor Cloud

Onze implementatierichtlijnen voor zero Trust-infrastructuur bieden belangrijke fasen van de Zero Trust-strategie voor infrastructuur. De volgende stappen moeten worden uitgevoerd:

1. Naleving van de gekozen standaarden en beleidsregels beoordelen
2. Configuratie beperken waar hiaten worden gevonden
3. Andere beveiligingshulpprogramma's gebruiken, zoals Just-In-Time -VM-toegang (JIT)
4. Bedreigingsdetectie en -beveiliging instellen
5. Riskant gedrag automatisch blokkeren en markeren en beschermende acties ondernemen

Er is een duidelijke toewijzing van de doelen die we in de richtlijnen voor de implementatie van de infrastructuur hebben beschreven voor de belangrijkste aspecten van Defender voor Cloud.

Zero Trust-doel	Defender voor Cloud functie
Naleving evalueren	In Defender voor Cloud wordt voor elk abonnement automatisch de Microsoft-cloudbeveiligingsbenchmark (MCSB) toegewezen als het standaardbeveiligingsinitiatief. Met behulp van de hulpprogramma's voor beveiligingsscore en het dashboard voor naleving van regelgeving krijgt u een diepgaand inzicht in de beveiligingspostuur van uw klant.
Configuratie van beveiliging	Als u beveiligingsinitiatieven toewijst aan abonnementen en de beveiligingsscore bekijkt, krijgt u de aanbevelingen voor beveiliging die zijn ingebouwd in Defender voor Cloud. Defender voor Cloud analyseert periodiek de nalevingsstatus van resources om mogelijke onjuiste configuraties en zwakke plekken in de beveiliging te identificeren. Vervolgens vindt u aanbevelingen voor het oplossen van deze problemen.
Hardening-mechanismen gebruiken	Naast eenmalige oplossingen voor onjuiste beveiligingsconfiguraties bevat Defender voor Cloud functies om uw resources verder te beveiligen, zoals: Just-In-Time (JIT)-toegang tot virtuele machines (VM's) Adaptieve netwerkbeveiliging Adaptieve toepassingsregelaars.
Detectie van bedreigingen instellen	Defender voor Cloud biedt geïntegreerde cloudworkloadbeveiligingsplannen voor detectie en reactie van bedreigingen. De plannen bieden geavanceerde, intelligente, bescherming van Azure-, hybride en multicloudresources en -workloads. Een van de Microsoft Defender-abonnementen, Defender voor servers, bevat een systeemeigen integratie met Microsoft Defender voor Eindpunt. Meer informatie vindt u in Inleiding tot Microsoft Defender voor Cloud.
Verdacht gedrag automatisch blokkeren	Veel van de aanbevelingen voor beveiliging in Defender voor Cloud bieden een optie voor weigeren. Met deze functie kunt u voorkomen dat resources worden gemaakt die niet voldoen aan gedefinieerde hardingcriteria. Meer informatie vindt u in Onjuiste configuraties voorkomen met de aanbevelingen voor afdwingen/weigeren.
Automatisch verdacht gedrag markeren	de beveiligingswaarschuwingen van Microsoft Defender voor Cloud worden geactiveerd door geavanceerde detecties. Defender voor Cloud prioriteit geeft aan en vermeldt de waarschuwingen, samen met de informatie die u nodig hebt om het probleem snel te onderzoeken. Defender voor Cloud biedt ook gedetailleerde stappen om u te helpen aanvallen te herstellen. Zie Beveiligingswaarschuwingen : een referentiehandleiding voor een volledige lijst met beschikbare waarschuwingen.

Uw Azure PaaS-services beveiligen met Defender voor Cloud

Als Defender voor Cloud ingeschakeld voor uw abonnement en de Defender-workloadbeveiligingsplannen zijn ingeschakeld voor alle beschikbare resourcetypen, hebt u een laag intelligente bedreigingsbeveiliging, mogelijk gemaakt door Microsoft Threat Intelligence, waarmee resources worden beveiligd in Azure Key Vault, Azure Storage, Azure DNS en andere Azure PaaS-services. Zie de PaaS-services in de ondersteuningsmatrix voor een volledige lijst.

Azure Logic-apps

Gebruik Azure Logic Apps om geautomatiseerde schaalbare werkstromen, bedrijfsprocessen en bedrijfsindelingen te bouwen om uw apps en gegevens te integreren in cloudservices en on-premises systemen.

met de functie voor werkstroomautomatisering van Defender voor Cloud kunt u antwoorden op Defender voor Cloud triggers automatiseren.

Dit is een uitstekende manier om op een geautomatiseerde, consistente manier te definiëren en te reageren wanneer bedreigingen worden gedetecteerd. Als u bijvoorbeeld relevante belanghebbenden op de hoogte wilt stellen, een wijzigingsbeheerproces wilt starten en specifieke herstelstappen wilt toepassen wanneer een bedreiging wordt gedetecteerd.

Integreer Defender voor Cloud met uw SIEM-, SOAR- en ITSM-oplossingen

Microsoft Defender voor Cloud kunt uw beveiligingswaarschuwingen streamen naar de populairste SIEM-oplossingen (Security Information and Event Management), Security Orchestration Automated Response (SOAR) en ITSM-oplossingen (IT Service Management).

Er zijn systeemeigen Azure-hulpprogramma's om ervoor te zorgen dat u uw waarschuwingsgegevens kunt bekijken in alle populairste oplossingen die momenteel worden gebruikt, waaronder:

• Microsoft Sentinel
• Splunk Enterprise en Splunk Cloud
• QRadar van IBM
• ServiceNow
• ArcSight
• Power BI
• Palo Alto Networks

Microsoft Sentinel

Defender voor Cloud is systeemeigen geïntegreerd met Microsoft Sentinel, de cloudeigen SIEM-oplossing (Security Information Event Management) en security orchestration automated response (SOAR) van Microsoft.

Er zijn twee manieren om ervoor te zorgen dat uw Defender voor Cloud gegevens worden weergegeven in Microsoft Sentinel:

• Sentinel-connectors - Microsoft Sentinel bevat ingebouwde connectors voor Microsoft Defender voor Cloud op abonnements- en tenantniveau:

  • Waarschuwingen streamen naar Microsoft Sentinel op abonnementsniveau
  • Verbinding maken alle abonnementen in uw tenant naar Microsoft Sentinel

  Tip

  Meer informatie vindt u in Verbinding maken beveiligingswaarschuwingen van Microsoft Defender voor Cloud.

• Uw auditlogboeken streamen- Een alternatieve manier om Defender voor Cloud waarschuwingen in Microsoft Sentinel te onderzoeken, is door uw auditlogboeken te streamen naar Microsoft Sentinel:

  • Verbinding maken Windows-beveiligingsevenementen
  • Gegevens verzamelen uit Linux-bronnen met behulp van Syslog
  • Verbinding maken gegevens uit het Azure-activiteitenlogboek

Waarschuwingen streamen met Microsoft Graph beveiligings-API

Defender voor Cloud beschikt over out-of-the-box-integratie met Microsoft Graph beveiligings-API. Er is geen configuratie vereist en er zijn geen extra kosten.

U kunt deze API gebruiken om waarschuwingen van de hele tenant (en gegevens van veel andere Microsoft Security-producten) te streamen naar externe SIEM's en andere populaire platforms:

• Splunk Enterprise en Splunk Cloud - gebruik de Microsoft Graph beveiligings-API-invoegtoepassing voor Splunk
• Power BI - Verbinding maken naar de Microsoft Graph-beveiligings-API in Power BI Desktop
• ServiceNow - volg de instructies voor het installeren en configureren van de Microsoft Graph beveiligings-API-toepassing vanuit de ServiceNow Store
• QRadar - IBM Device Support Module voor Microsoft Defender voor Cloud via Microsoft Graph API
• Palo Alto Networks, Anomali, Lookout, InSpark en meer - Microsoft Graph beveiligings-API

Meer informatie over Microsoft Graph beveiligings-API.

Waarschuwingen streamen met Azure Monitor

Gebruik de functie voor continue export van Defender voor Cloud om Defender voor Cloud te verbinden met Azure Monitor via Azure Event Hubs en waarschuwingen te streamen naar ArcSight, SumoLogic, Syslog-servers, LogRhythm, Logz.io Cloud Observability Platform en andere bewakingsoplossingen.

Meer informatie in Stream-waarschuwingen met Azure Monitor.

Dit kan ook worden gedaan op het niveau van de beheergroep met behulp van Azure Policy. Zie Continue exportautomatiseringsconfiguraties op schaal maken.

Tip

Als u de gebeurtenisschema's van de geëxporteerde gegevenstypen wilt bekijken, gaat u naar de Event Hub-gebeurtenisschema's.

Integreer Defender voor Cloud met een EDR-oplossing (Endpoint Detection and Response)

Microsoft Defender voor Eindpunten

Microsoft Defender voor Eindpunt is een holistische, cloudoplossing voor eindpuntbeveiliging.

Microsoft Defender voor servers bevat een geïntegreerde licentie voor Microsoft Defender voor Eindpunt. Samen bieden ze uitgebreide mogelijkheden voor eindpuntdetectie en -reactie (EDR). Zie Uw eindpunten beveiligen voor meer informatie.

Wanneer Defender voor Eindpunten een bedreiging detecteert, wordt er een waarschuwing geactiveerd. De waarschuwing wordt weergegeven in Defender voor Cloud en u kunt naar de Defender voor Eindpunt-console draaien om een gedetailleerd onderzoek uit te voeren en het bereik van de aanval te ontdekken. Meer informatie over Microsoft Defender voor Eindpunt.

Andere EDR-oplossingen

Defender voor Cloud biedt aanbevelingen om ervoor te zorgen dat u de resources van uw organisatie beveiligt volgens de richtlijnen van Microsoft Cloud Security Benchmark (MCSB). Een van de besturingselementen in de benchmark heeft betrekking op eindpuntbeveiliging: ES-1: Endpoint Detection and Response (EDR) gebruiken.

Er zijn twee aanbevelingen in Defender voor Cloud om ervoor te zorgen dat u Endpoint Protection hebt ingeschakeld en deze goed werkt. Met deze aanbevelingen wordt gecontroleerd op de aanwezigheid en operationele status van EDR-oplossingen van:

• Trend Micro
• Symantec
• Mcafee
• Sophos

Meer informatie vindt u in De evaluatie en aanbevelingen van Endpoint Protection in Microsoft Defender voor Cloud.

Uw Zero Trust-strategie toepassen op hybride en multicloudscenario's

Veel workloads in de cloud beslaan meerdere cloudplatforms, dus moeten cloudbeveiligingsservices hetzelfde doen.

Microsoft Defender voor Cloud beschermt workloads waar ze ook worden uitgevoerd: in Azure, on-premises, Amazon Web Services (AWS) of Google Cloud Platform (GCP).

Defender voor Cloud integreren met on-premises machines

Als u hybride cloudworkloads wilt beveiligen, kunt u de beveiliging van Defender voor Cloud uitbreiden door on-premises machines te verbinden met servers met Azure Arc.

Meer informatie over het verbinden van machines in Verbinding maken uw niet-Azure-machines om te Defender voor Cloud.

Defender voor Cloud integreren met andere cloudomgevingen

Als u de beveiligingspostuur van Amazon Web Services-machines in Defender voor Cloud wilt bekijken, onboardt u AWS-accounts in Defender voor Cloud. Hiermee worden AWS Security Hub en Microsoft Defender voor Cloud geïntegreerd voor een uniforme weergave van Defender voor Cloud aanbevelingen en bevindingen van AWS Security Hub en biedt een scala aan voordelen zoals beschreven in Verbinding maken uw AWS-accounts voor Microsoft Defender voor Cloud.

Als u de beveiligingspostuur van Google Cloud Platform-machines in Defender voor Cloud wilt bekijken, onboardt u GCP-accounts in Defender voor Cloud. Hiermee worden GCP Security Command en Microsoft Defender voor Cloud geïntegreerd voor een uniforme weergave van Defender voor Cloud aanbevelingen en bevindingen van GCP Security Command Center en biedt een scala aan voordelen zoals beschreven in Verbinding maken uw GCP-accounts Microsoft Defender voor Cloud.

Volgende stappen

Zie de volledige documentatie voor Defender voor Cloud voor meer informatie over Microsoft Defender voor Cloud.