Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel worden Microsoft beveiligingsservices beschreven en hoe ze samenwerken als een geïntegreerd systeem om beveiliging te bieden voor technologiepijlers met identiteiten, apparaten, toepassingen, gegevens, AI en infrastructuur.
Moderne bedrijfsbeveiliging is verschoven van perimeterbeveiliging naar een identiteitsgestuurd, cloud-geïntegreerd model. Organisaties moeten gebruikers, apparaten, toepassingen en gegevens beveiligen in hybride en multicloudomgevingen, terwijl ze zich voortdurend aanpassen aan veranderende bedreigingen.
Microsoft biedt een geïntegreerde set cloudservices die samenwerken om signalen te delen, consistent beleid toe te passen, controles af te dwingen en detectie en reactie in de omgeving te coördineren.
Beveiligingsresultaten
Geïntegreerde Microsoft-beveiliging levert de volgende resultaten:
- Geïntegreerde signaalzichtbaarheid: Telemetrie wordt continu verzameld en gecentraliseerd over identiteiten, apparaten, toepassingen, gegevens en infrastructuur, en omgezet in gecentraliseerde, bruikbare signalen.
- Beslissingen op basis van identiteit: toegangs- en afdwingingsbeslissingen zijn gebaseerd op identiteit, apparaatstatus, risicosignalen en sessiecontext.
- Consistente handhaving: Zero Trust-maatregelen worden toegepast op eindpunten, cloudservices en toepassingen op het moment van toegang en tijdens het gebruik.
- Geïntegreerde detectie en respons: Signalen en waarschuwingen worden gecorreleerd tussen domeinen om bedreigingen als geïntegreerde bewerkingen te detecteren en erop te reageren.
- Continue validatie en verbetering: detectie- en risicosignalen worden teruggeleverd aan beleidsbeslissingen om de beveiliging in de loop van de tijd te versterken.
Kernbeveiligingsservices
Centrale beveiligingsdiensten bestrijken meerdere technologiedomeinen, die elk signalen, context en handhaving binnen het platform leveren.
|
Pijler Primaire service |
Beveiliging | Primaire portal |
|---|---|---|
|
Identiteit en toegang Microsoft Entra Microsoft Defender for Identity. |
Microsoft Entra beheert de toegang voor gebruikers, workloads en toepassingen. Het evalueert identiteits-, apparaat- en sessiesignalen om toegangsbeslissingen te nemen. Defender voor Identiteit bewaakt hybride identiteitsinfrastructuur om aanvallen te detecteren. |
Microsoft Entra-beheercentrum Microsoft Defender-portal |
|
Apparaten/eindpunten Microsoft Defender voor Endpoint Microsoft Intune |
Defender voor Eindpunt verzamelt eindpunttelemetrie en detecteert bedreigingen. Microsoft Intune beoordeelt de naleving van apparaten en dwingt beleid af. |
Microsoft Defender-portal Microsoft Intune-beheercentrum |
|
E-mail en samenwerking Defender voor Office 365 |
Beschermt Exchange en samenwerkingsservices (Microsoft Teams, SharePoint, OneDrive) tegen malware, schadelijke koppelingen/bijlagen en inbreuk op zakelijke e-mail. | Microsoft Defender-portal |
|
Gegevens Microsoft Purview |
Dwingt beleid voor gegevensbescherming en preventie van gegevensverlies (DLP) af voor eindpunten en cloudservices. | Microsoft Purview-portal |
|
infrastructuur/cloud-workloads Microsoft Defender voor Cloud |
Verbetert de beveiligingspostuur en biedt bedreigingsdetectie voor cloud- en hybride workloads. |
Microsoft Azure Portal Microsoft Defender-portal |
|
Networks Azure netwerkservices |
Netwerken segmenteren en beveiligen. | Microsoft Azure Portal |
|
SaaS-/cloud-apps Microsoft Defender voor Cloud-apps |
Biedt inzicht in het gebruik van cloud-apps en bewaakt gebruikersactiviteiten om riskant gedrag te detecteren. | Microsoft Defender-portal |
|
Status/risico Beheer van beveiligingsblootstellingen door Microsoft |
Identificeert, prioriteert en vermindert blootstelling aan identiteiten, apparaten, cloudresources en toepassingen. | Microsoft Defender-portal |
|
Detectie/reactie van bedreigingen Microsoft Defender XDR |
Correleert signalen over Defender services en produceert uniforme incidenten voor onderzoek en reactie. | Microsoft Defender-portal |
|
Beveiligingsbewerkingen Microsoft Sentinel |
Hiermee worden telemetrie van Microsoft en externe bronnen geaggregeerd voor gecentraliseerde analyse, onderzoek en reactie. |
Microsoft Azure Portal Microsoft Defender-portal |
|
Beveiliging van ontwikkelaars/apps Defender voor DevOps (in Defender voor Cloud) Geavanceerde beveiliging van GitHub |
Beveiligt code, afhankelijkheden en build-pijplijnen en dwingt beveiligingsbeheer af in DevOps-werkstromen. |
Microsoft Defender-portal GitHub-interface |
Netwerkbeveiligingsservices
De tabel bevat een overzicht van Azure netwerkmogelijkheden en hoe deze rechtstreeks kunnen worden geïntegreerd met andere beveiligingsservices. Services worden geconfigureerd in de Microsoft Azure-portal.
| Service | Beveiliging | Integratie |
|---|---|---|
| Azure Firewall | Dwingt IP-, poort- en toepassingsregels af om inkomend en uitgaand verkeer te beheren tussen subnetten, internet en on-premises netwerken. Gebruikt Microsoft bedreigingsinformatie om bekend schadelijk verkeer te blokkeren. | Defender voor Cloud evalueert de configuratiestatus. Diagnostische logboeken worden opgenomen in Azure Monitor/Log Analytics en geanalyseerd door Microsoft Sentinel voor detectie en correlatie. |
| Azure DDoS-beveiliging | Vermindert volumetrische, protocol- en toepassingslaagaanvallen. Beschermt internetgerichte resources in virtuele netwerken (VNets) tegen grootschalige overstromingen. | Metrische gegevens en aanvalstelemetrie worden opgenomen in Azure Monitor/Log Analytics en kunnen worden geanalyseerd in Microsoft Sentinel. Defender voor Cloud biedt aanbevelingen voor houdingen. |
| Azure VNet | Biedt netwerkisolatie, segmentatie en privé-IP-adressering voor Azure resources. Maakt gecontroleerde connectiviteit tussen services mogelijk. | Defender voor Cloud evalueert de configuratiestatus, inclusief blootstelling zoals openbare toegangspaden. |
| Netwerkbeveiligingsgroepen (NSG's) | Hiermee filtert u verkeer op subnet- en netwerkinterfaceniveau met behulp van regels voor toestaan/weigeren. Beperkt ongewenst verkeer tot bronnen. | NSG-stroomlogboeken (via Azure Monitor) kunnen worden geanalyseerd in Microsoft Sentinel voor zichtbaarheid en detectie van verkeer. Defender voor Cloud evalueert de configuratie van NSG-regels. |
| Azure Web Application Firewall (WAF) | Beschermt HTTP/HTTPS-toepassingen met behulp van OWASP-regelsets. Helpt veelvoorkomende webaanvallen te voorkomen, zoals SQL-injectie en cross-site scripting (XSS). | WAF-logboeken worden opgenomen in Azure Monitor/Log Analytics en geanalyseerd door Microsoft Sentinel. Defender voor Cloud evalueert de WAF-configuratiepostuur. |
| Azure Front Door | Biedt een globaal toegangspunt voor webtoepassingen met routerings-, versnellings- en edge-beveiligingsmogelijkheden. Integreert met WAF voor toepassingsbeveiliging. | Diagnostische logboeken (Front Door/WAF) worden opgenomen in Log Analytics en geanalyseerd door Microsoft Sentinel. Defender voor Cloud evalueert de configuratiestatus. |
| Azure Application Gateway | Biedt regionale taakverdeling met ingebouwde webtoepassingsfirewallmogelijkheden voor het beveiligen en routeren van toepassingsverkeer. | Toegangs- en WAF-logboeken worden opgenomen in Log Analytics en geanalyseerd door Microsoft Sentinel. Defender voor Cloud beoordeelt de configuratiepostuur- en blootstellingsinstellingen. |
| Azure VPN-gateway | Biedt versleutelde IPsec-/IKE-connectiviteit tussen on-premises omgevingen en Azure VNets. Beschermt gegevens die onderweg zijn via openbare netwerken. | Verbindings- en tunnellogboeken worden opgenomen in Log Analytics en kunnen worden geanalyseerd in Microsoft Sentinel. Defender voor Cloud evalueert de configuratiepostuur, inclusief versleutelingsinstellingen. |
| Azure ExpressRoute | Biedt privé- en toegewezen connectiviteit tussen on-premises omgevingen en Azure via de Microsoft backbone, waardoor het openbare internet wordt vermeden. | Operationele telemetrie (zoals BGP, circuitstatus) is beschikbaar via Azure Monitor en kan worden geanalyseerd in Microsoft Sentinel. Defender voor Cloud beoordeelt de configuratiestatus op hoofdlijnen. |
| Azure Bastion | Biedt beveiligde RDP- en SSH-toegang tot virtuele machines via een browser, waardoor openbare IP-blootstelling niet meer nodig is. | Diagnostische logboeken worden opgenomen in Log Analytics en geanalyseerd door Microsoft Sentinel. Defender voor Cloud evalueert een verminderde VM, maar niet rechtstreeks Azure Bastion configuratie. |
| Azure Private Link | Biedt privéconnectiviteit met Azure PaaS-services en -klantenservices met behulp van privé-IP-adressen, waardoor openbare blootstelling wordt geëlimineerd. | Logboeken op serviceniveau (voor services die worden geopend via Private Link zoals Storage, SQL, Key Vault) worden opgenomen in Log Analytics en geanalyseerd door Microsoft Sentinel. Defender voor Cloud evalueert of privékoppelingen worden gebruikt om de blootstelling te verminderen. |
| Azure Network Watcher | Biedt netwerkdiagnose, bewaking en zichtbaarheid op stroomniveau voor Azure resources. | NSG-stroomlogboeken en diagnostische gegevens worden opgenomen in Log Analytics en kunnen worden geanalyseerd in Microsoft Sentinel. Defender voor Cloud evalueert de onderliggende configuratiestatus van resources, zoals NSG-instellingen, in plaats van rechtstreeks Network Watcher. |
Beveiligingswerkstroom
Beveiligingsservices werken als een doorlopende pijplijn. Signalen worden continu verzameld, geëvalueerd, afgedwongen en gebruikt om detectie en respons te stimuleren.
| Pijplijn | Action | Belangrijkste activiteit |
|---|---|---|
| Fase 1: Signaalverzameling | Beveiligingsservices genereren telemetrie over identiteiten, apparaten, toepassingen en infrastructuur. | - Defender voor Eindpunt verzamelt telemetrie van apparaten. - Microsoft Intune evalueert apparaatcompatibiliteit. - Defender for Identity controleert on-premises identiteitsactiviteiten. - Defender for Cloud Apps bewaakt SaaS-activiteiten. - Defender voor Cloud bewaakt infrastructuur-/workloadconfiguratie en -activiteit. |
| Fase 2: Beleidsbeslissingen | Signalen worden geëvalueerd om de toegangsvoorwaarden te bepalen en acties te beheren. | Microsoft Entra Voorwaardelijke toegang evalueert identiteitsrisico,apparaatvertrouwen, locatie en sessiecontext. |
| Fase 3: Handhaving van maatregelen | Beveiligingscontroles worden toegepast op identiteits-, apparaat-, sessie-, gegevens- en netwerklagen. | Afdwingingspunten zijn onder andere: - Voorwaardelijke toegang (MFA/beperkingen) - Intune (apparaatcompatibiliteit) -Defender for Cloud Apps (sessiebeheer) - Microsoft Purview (DLP) - Azure netwerken (connectiviteitsbeperkingen). |
| Fase 4: Detectie en reactie | Signalen en waarschuwingen zijn gecorreleerd om bedreigingen te detecteren, te onderzoeken en op te lossen. | Microsoft Defender XDR correleert signalen van alle Defender producten in uniforme incidenten. Microsoft Sentinel registreert logboeken, incidenten, opsporing en beveiligingsindeling, automatisering en respons (SOAR) in de hele omgeving, inclusief bronnen van derden. |
| Terugkoppelingslus | Detectieresultaten zijn terug te vinden in beleidsbeslissingen om de beveiliging continu te verbeteren. | Risico- en bedreigingssignalen informeren realtime beleidsupdates, waardoor adaptieve en geautomatiseerde beveiliging mogelijk is. |
Integratie van beveiligingsservice
Microsoft beveiligingsservices kunnen worden geïntegreerd via meerdere stromen die als een samenhangende pijplijn werken, waardoor een doorlopend beveiligingssysteem ontstaat.
- Signalen (telemetrie) leggen activiteit vast tussen identiteiten, apparaten, toepassingen en andere resources.
- Context (identiteit, apparaatpostuur en gegevensclassificatie) verrijkt signalen om de nauwkeurigheid en besluitvorming te verbeteren.
- Beleid bepaalt welke toegang is toegestaan of geblokkeerd op basis van geëvalueerde voorwaarden.
- Acties dwingen beslissingen af via geautomatiseerde besturingselementen en reacties.
Naarmate de signalen door het platform lopen, worden ze verrijkt, geëvalueerd op basis van beleid en actie ondernomen, waardoor een continue cyclus van bescherming en reactie ontstaat.
Hoe services worden geïntegreerd
De tabel geeft een overzicht van de wijze waarop beveiligingsservices signalen en context van elke service verbruiken en wat ze uitvoeren en actie ondernemen.
| Service | Verbruikt | Outputs |
|---|---|---|
| Microsoft Entra ID |
Signalen: Verificatieactiviteit (aanmeldingen, risicogebeurtenissen). Apparaatnalevingsstatus van Microsoft Intune. Context: Apparaatcontext voor toegangsbeslissingen van Defender voor Eindpunt. Sessiecontext voor toegangsbeslissingen van Defender for Cloud Apps. |
Acties: beslissingen over Voorwaardelijke toegang (toestaan, blokkeren, beperken, maatregelen vereisen). |
| Microsoft Intune |
Signalen: Inventaris van beheerde apparaten, status, nalevingsstatus. Context: Identiteitskoppeling van Microsoft Entra ID. |
Outputs: apparaatnalevingspostuur voor Microsoft Entra ID. Apparaatcontrolelogboeken voor Microsoft Sentinel. |
| Microsoft Purview |
Signals: Zakelijke gegevens in Microsoft 365- en SaaS-apps en on-premises systemen. Context: Gegevensclassificatie (vertrouwelijkheidslabels, inhoudsinspectie, gebruikersactiviteit). |
Outputs: DLP-waarschuwingen (Insider Risk and Data Loss Protection) voor Defender XDR. Nalevings- en auditlogboeken voor Microsoft Sentinel. Acties: DLP-afdwinging tussen eindpunten (Defender voor eindpunt) en sessies (Defender for Cloud Apps). |
| Defender voor Eindpunt |
Signalen: Eindpunttelemetrie (proces, bestand, netwerkactiviteit). Context: Microsoft Entra ID (identiteitscontext). Microsoft Intune (apparaatpostuur). Microsoft Purview (DLP-beleid). |
Outputs: Eindpuntwaarschuwingen en telemetrie voor Defender XDR en Microsoft Sentinel. Acties: Eindpunt afdwingen (apparaatisolatie, blokkeren, herstel). |
| Defender for Identity | Signals: Active Directory identiteitssignalen. | Output: Waarschuwingen voor identiteitsrisico's voor Defender XDR en Microsoft Sentinel. |
| Defender for Cloud Apps |
Signalen: Activiteit van SaaS-apps (cloudgebruik). Netwerk- en schaduw-IT-telemetrie van Defender voor eindpunt. Context: Sessie- en verificatiecontext van Microsoft Entra ID. DLP-beleid van Microsoft Purview. |
Outputs: Cloud-app-waarschuwingen voor Defender XDR en Microsoft Sentinel. Acties: Sessie afdwingen (blokkeren, bewaken, toegang beperken). |
| Defender voor Cloud |
Signals: Resourcebewerkingsgegevens uit Azure. Server-/workloadtelemetrie van Defender voor eindpunt. Context: Resourceconfiguratie en -houding. |
Outputs: Beveiligingswaarschuwingen en inzicht in houding voor Defender XDR en Microsoft Sentinel. |
| Microsoft Beveiliging Blootstellingsbeheer |
Signals: risicoscores van apparaten van Defender for Endpoint. Inventarisatie van cloudresources, houding, blootstelling en aanvalsoppervlakken van Defender voor Cloud. Identiteitsinventaris en risicosignalen van Microsoft Entra. Inventaris, risico en gebruikscontext van SaaS-apps vanuit Defender for Cloud Apps. Context: Geïntegreerde correlatie van blootstelling en risico. |
Uitvoer: Inzichten in blootstelling en risicocorrelaties naar Microsoft XDR en Microsoft Sentinel. |
| Defender XDR | Signals: Waarschuwingen van Defender voor Eindpunt (apparaten), Defender voor identiteit (identiteitssignalen), Defender voor Office 365 (e-mail en samenwerking), Defender for Cloud Apps (SaaS/app-activiteit). Extra signalen van Microsoft Purview (DLP, intern risico, gegevensclassificatie), Microsoft Entra Id-beveiliging (identiteitsrisicosignalen) en Defender voor Cloud (werkbelasting/cloudpostuur). |
Uitvoer: Gecorreleerde waarschuwingen en incidenten naar Microsoft Sentinel. Acties: Geautomatiseerd antwoord tussen domeinen. |
| Microsoft Sentinel | Signals: waarschuwingen, logboeken, telemetrie van Defender XDR, Microsoft Purview, cloudservices en andere interne/externe bronnen. |
Uitvoer: Analyse, onderzoeken en incidenten. Acties: Geautomatiseerde respons met behulp van draaiboeken. |
| Microsoft Security Copilot |
Signals: Incidenten en waarschuwingen van Microsoft Sentinel en Defender XDR. Context: Gevoelige gegevens en interne risicocontext van Microsoft Purview. Blootstellingscontext van Microsoft Beveiliging Blootstellingsbeheer. |
Uitvoer: Onderzoeksoverzichten, aanbevelingen, AI-gestuurde inzichten. Acties: Begeleide antwoordacties die worden doorgestuurd via Microsoft Sentinel- en Defender XDR-werkstromen. |
Volgende stappen
- Om te beginnen met een Zero Trust evaluatie van uw huidige beveiligingspostuur.
- Volg ons gestructureerde aanvoegingsmodel om aan de slag te gaan met Zero Trust acceptatie.
- Verdiep u in cruciale beveiligingsresultaten voor zakelijke leiders met onze bedrijfsscenario's voor adoptie. Begin methet implementeren van technische oplossingen voor bedrijfsoplossingen en technologiepijlers, zoals gegevens en apparaten.