Ochrona zasobów sieciowych

Usługa Microsoft Defender for Cloud stale analizuje stan zabezpieczeń zasobów platformy Azure pod kątem najlepszych rozwiązań dotyczących zabezpieczeń sieci. Gdy usługa Defender for Cloud zidentyfikuje potencjalne luki w zabezpieczeniach, tworzy zalecenia, które przeprowadzą Cię przez proces konfigurowania wymaganych mechanizmów kontroli w celu zabezpieczenia i ochrony zasobów.

Aby uzyskać pełną listę zaleceń dotyczących sieci, zobacz Zalecenia dotyczące sieci.

Ten artykuł dotyczy zaleceń dotyczących zasobów platformy Azure z perspektywy zabezpieczeń sieci. Zalecenia dotyczące sieci skupiają się wokół zapór nowej generacji, sieciowych grup zabezpieczeń, dostępu do maszyn wirtualnych JIT, nadmiernie permissywnych reguł ruchu przychodzącego i nie tylko. Aby uzyskać listę zaleceń dotyczących sieci i akcji korygowania, zobacz Zarządzanie zaleceniami dotyczącymi zabezpieczeń w usłudze Microsoft Defender for Cloud.

Funkcje sieciowe usługi Defender for Cloud obejmują:

Wyświetlanie zasobów sieciowych i ich zaleceń

Na stronie spisu zasobów użyj filtru typu zasobu, aby wybrać zasoby sieciowe, które chcesz zbadać:

Typy zasobów sieciowych spisu zasobów.

Mapa sieci

Interaktywna mapa sieci udostępnia graficzny widok z nakładkami zabezpieczeń, które zapewniają rekomendacje i szczegółowe informacje dotyczące wzmacniania zasobów sieciowych. Korzystając z mapy, można zobaczyć topologię sieci obciążeń platformy Azure, połączenia między maszynami wirtualnymi i podsieciami oraz możliwość przechodzenia do szczegółów z mapy do określonych zasobów oraz zaleceń dotyczących tych zasobów.

Aby otworzyć mapę sieci:

  1. W menu usługi Defender for Cloud otwórz pulpit nawigacyjny Ochrona obciążeń .

  2. Wybierz pozycję Mapa sieci.

    Otwieranie mapy sieciowej z poziomu ochrony obciążeń.

  3. Wybierz menu Warstwy , a następnie wybierz pozycję Topologia.

Zostanie wyświetlony widok domyślny mapy topologii:

  • Aktualnie wybrane subskrypcje — mapa jest zoptymalizowana pod kątem subskrypcji wybranych w portalu. Jeśli zmodyfikujesz wybór, mapa zostanie ponownie wygenerowana z nowymi opcjami.
  • Maszyny wirtualne, podsieci i sieci wirtualne typu zasobu Resource Manager ("klasyczne" zasoby platformy Azure nie są obsługiwane)
  • Równorzędne sieci wirtualne
  • Tylko zasoby z zaleceniami dotyczącymi sieci o wysokiej lub średniej ważności
  • Zasoby dostępne z Internetu

Zrzut ekranu przedstawiający mapę topologii sieci usługi Defender for Cloud.

Opis mapy sieci

Mapa sieci może wyświetlać zasoby platformy Azure w widoku topologii i widoku ruchu .

Widok topologii

W widoku Topologia mapy sieci można wyświetlić następujące szczegółowe informacje dotyczące zasobów sieciowych:

  • W kole wewnętrznym widać wszystkie sieci wirtualne w wybranych subskrypcjach, następne koło to wszystkie podsieci, okrąg zewnętrzny to wszystkie maszyny wirtualne.
  • Wiersze łączące zasoby na mapie umożliwiają określenie, które zasoby są ze sobą skojarzone i jak jest ustrukturyzowana sieć platformy Azure.
  • Użyj wskaźników ważności, aby szybko uzyskać przegląd zasobów, które mają otwarte zalecenia z usługi Defender for Cloud.
  • Możesz kliknąć dowolny z zasobów, aby przejść do szczegółów i wyświetlić szczegóły tego zasobu i jego rekomendacji bezpośrednio, a także w kontekście mapy sieci.
  • Jeśli na mapie jest wyświetlanych zbyt wiele zasobów, usługa Microsoft Defender for Cloud używa własnego algorytmu do "klastra inteligentnego" zasobów, podkreślając te, które znajdują się w stanie krytycznym i mają najbardziej ważne zalecenia.

Ponieważ mapa jest interaktywna i dynamiczna, każdy węzeł można klikać, a widok może ulec zmianie na podstawie filtrów:

  1. Możesz zmodyfikować to, co widzisz na mapie sieci, używając filtrów u góry. Możesz skupić się na mapie w oparciu o:

    • Kondycja zabezpieczeń: możesz filtrować mapę na podstawie ważności (Wysoki, Średni, Niski) zasobów platformy Azure.
    • Zalecenia: możesz wybrać, które zasoby są wyświetlane na podstawie zaleceń, które są aktywne w tych zasobach. Na przykład można wyświetlić tylko zasoby, dla których usługa Defender for Cloud zaleca włączenie sieciowych grup zabezpieczeń.
    • Strefy sieciowe: domyślnie mapa wyświetla tylko zasoby dostępne z Internetu, a także można wybrać wewnętrzne maszyny wirtualne.
  2. W dowolnym momencie możesz kliknąć pozycję Resetuj w lewym górnym rogu, aby przywrócić mapę do stanu domyślnego.

Aby przejść do szczegółów zasobu:

  1. Po wybraniu określonego zasobu na mapie zostanie otwarte okienko po prawej stronie i zostanie wyświetlone ogólne informacje o zasobie, połączonych rozwiązaniach zabezpieczeń, jeśli istnieją, oraz zalecenia dotyczące zasobu. Jest to ten sam typ zachowania dla każdego wybranego typu zasobu.
  2. Po umieszczeniu wskaźnika myszy na węźle na mapie możesz wyświetlić ogólne informacje o zasobie, w tym subskrypcję, typ zasobu i grupę zasobów.
  3. Użyj linku, aby powiększyć poradę narzędzia i ponownie ustawić fokuj mapę na tym konkretnym węźle.
  4. Aby ponownie skoncentrować mapę z dala od określonego węzła, pomniejsz.

Widok ruchu

Widok Ruch zawiera mapę całego możliwego ruchu między zasobami. Zapewnia to wizualną mapę wszystkich skonfigurowanych reguł definiujących, z którymi zasobami można komunikować się. Dzięki temu można zobaczyć istniejącą konfigurację sieciowych grup zabezpieczeń, a także szybko zidentyfikować możliwe ryzykowne konfiguracje w ramach obciążeń.

Odkrywanie niechcianych połączeń

Zaletą tego widoku jest możliwość pokazania tych dozwolonych połączeń wraz z istniejącymi lukami w zabezpieczeniach, dzięki czemu możesz użyć tego przekroju danych do wykonania niezbędnych zabezpieczeń zasobów.

Na przykład można wykryć, że dwie maszyny, których nie znasz, mogą komunikować się, co umożliwi lepsze odizolowanie obciążeń i podsieci.

Badanie zasobów

Aby przejść do szczegółów zasobu:

  1. Po wybraniu określonego zasobu na mapie zostanie otwarte okienko po prawej stronie i zostanie wyświetlone ogólne informacje o zasobie, połączonych rozwiązaniach zabezpieczeń, jeśli istnieją, oraz zalecenia dotyczące zasobu. Jest to ten sam typ zachowania dla każdego wybranego typu zasobu.
  2. Kliknij pozycję Ruch , aby wyświetlić listę możliwych ruchu wychodzącego i przychodzącego w zasobie — jest to kompleksowa lista osób, z którymi może komunikować się z zasobem oraz z którymi protokołami i portami może się komunikować. Na przykład po wybraniu maszyny wirtualnej są wyświetlane wszystkie maszyny wirtualne, z którymi może się komunikować, a po wybraniu podsieci są wyświetlane wszystkie podsieci, z którymi może się komunikować.

Te dane są oparte na analizie sieciowych grup zabezpieczeń, a także zaawansowanych algorytmów uczenia maszynowego, które analizują wiele reguł w celu zrozumienia ich krzyżówek i interakcji.

Mapa ruchu sieciowego.

Następne kroki

Aby dowiedzieć się więcej na temat zaleceń dotyczących innych typów zasobów platformy Azure, zobacz następujące tematy: