Infrastruktura i integracje z usługą Zero Trust

Zero Trust to strategia zabezpieczeń do projektowania i implementowania następujących zestawów zasad zabezpieczeń:

Jawną weryfikację	Korzystanie z dostępu z najmniejszymi uprawnieniami	Zakładanie naruszeń zabezpieczeń
Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych.	Ogranicz dostęp użytkowników za pomocą zasad just in time i Just-Enough-Access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych.	Zminimalizuj promień wybuchu i dostęp segmentu. Zweryfikuj kompleksowe szyfrowanie i korzystaj z analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i poprawić ochronę.

Infrastruktura obejmuje sprzęt, oprogramowanie, mikrousługę, infrastrukturę sieciową i obiekty wymagane do obsługi usług IT dla organizacji. Rozwiązania infrastruktury Zero Trust oceniają, monitorują i uniemożliwiają zagrożenia bezpieczeństwa tym usługom.

Rozwiązania infrastruktury Zero Trust obsługują zasady zero trust, zapewniając, że dostęp do zasobów infrastruktury jest weryfikowany jawnie, dostęp jest udzielany przy użyciu zasad dostępu najmniejszego uprawnień, a mechanizmy są w mocy, które zakładają naruszenie i szukają i korygują zagrożenia bezpieczeństwa w infrastrukturze.

Te wskazówki dotyczą dostawców oprogramowania i partnerów technologicznych, którzy chcą ulepszyć swoje rozwiązania w zakresie zabezpieczeń infrastruktury dzięki integracji z produktami firmy Microsoft.

Integracja z usługą Zero Trust dla infrastruktury — przewodnik

Ten przewodnik integracji zawiera strategię i instrukcje dotyczące integracji z Microsoft Defender dla Chmury i zintegrowaną platformą ochrony obciążeń w chmurze (CWPP), Microsoft Defender dla Chmury.

Wskazówki obejmują integrację z najpopularniejszymi rozwiązaniami do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), automatyczną reakcją orkiestracji zabezpieczeń (SOAR), wykrywaniem i reagowaniem na punkty końcowe (EDR) oraz rozwiązaniami do zarządzania usługami IT (ITSM).

Zero Trust i Defender dla Chmury

Nasze wskazówki dotyczące wdrażania infrastruktury Zero Trust zawierają kluczowe etapy strategii Zero Trust dla infrastruktury. Które są:

1. Ocena zgodności z wybranymi standardami i zasadami
2. Wzmacnianie zabezpieczeń konfiguracji wszędzie tam, gdzie znaleziono luki
3. Stosowanie innych narzędzi do wzmacniania zabezpieczeń, takich jak dostęp do maszyny wirtualnej just in time (JIT)
4. Konfigurowanie wykrywania zagrożeń i ochrony
5. Automatyczne blokowanie i flagi ryzykowne zachowanie i wykonywanie działań ochronnych

Istnieje wyraźne mapowanie celów opisanych w wytycznych dotyczących wdrażania infrastruktury do podstawowych aspektów Defender dla Chmury.

Cel zerowego zaufania	funkcja Defender dla Chmury
Ocena zgodności	W Defender dla Chmury każda subskrypcja automatycznie ma przypisaną inicjatywę zabezpieczeń testów porównawczych zabezpieczeń w chmurze firmy Microsoft (MCSB). Korzystając z narzędzi do oceny bezpieczeństwa i pulpitu nawigacyjnego zgodności z przepisami, możesz uzyskać dogłębną wiedzę na temat stanu zabezpieczeń klienta.
Konfiguracja zabezpieczeń	Przejrzyj zalecenia dotyczące zabezpieczeń i śledź nadgodziny poprawę wskaźnika bezpieczeństwa. Można również określić priorytety, które zalecenia mają być korygowane na podstawie potencjalnych ścieżek ataku, korzystając z funkcji ścieżki ataku.
Stosowanie mechanizmów wzmacniania zabezpieczeń	Dostęp z najmniejszymi uprawnieniami jest jednym z trzech zasad zerowego zaufania. Defender dla Chmury może pomóc w wzmacniania zabezpieczeń maszyn wirtualnych i sieci przy użyciu tej zasady, korzystając z takich funkcji jak: Dostęp do maszyny wirtualnej just in time (JIT) Adaptacyjne wzmacnianie zabezpieczeń sieci Funkcje adaptacyjnego sterowania aplikacjami.
Konfigurowanie wykrywania zagrożeń	Defender dla Chmury oferuje zintegrowaną platformę ochrony obciążeń w chmurze (CWPP), Microsoft Defender dla Chmury. Microsoft Defender dla Chmury zapewnia zaawansowane, inteligentne, ochronę zasobów i obciążeń hybrydowych platformy Azure. Jeden z planów usługi Microsoft Defender dla serwerów usługi Microsoft Defender obejmuje natywną integrację z Ochrona punktu końcowego w usłudze Microsoft Defender. Dowiedz się więcej w temacie Introduction to Microsoft Defender dla Chmury (Wprowadzenie do Microsoft Defender dla Chmury).
Automatyczne blokowanie podejrzanego zachowania	Wiele zaleceń dotyczących wzmacniania zabezpieczeń w Defender dla Chmury oferuje opcję odmowy. Ta funkcja umożliwia zapobieganie tworzeniu zasobów, które nie spełniają zdefiniowanych kryteriów wzmacniania zabezpieczeń. Dowiedz się więcej w artykule Zapobieganie błędom konfiguracji za pomocą zaleceń wymuszania/odmowy.
Automatyczne flagi podejrzane zachowanie	Alerty zabezpieczeń usługi Microsoft Defenders for Cloud są wyzwalane przez zaawansowane wykrywanie. Defender dla Chmury określa priorytety i wyświetla listę alertów wraz z informacjami potrzebnymi do szybkiego zbadania problemu. Defender dla Chmury zawiera również szczegółowe kroki ułatwiające korygowanie ataków. Aby uzyskać pełną listę dostępnych alertów, zobacz Alerty zabezpieczeń — przewodnik referencyjny.

Ochrona usług PaaS platformy Azure za pomocą Defender dla Chmury

Po włączeniu Defender dla Chmury w ramach subskrypcji i włączeniu Microsoft Defender dla Chmury dla wszystkich dostępnych typów zasobów będziesz mieć warstwę inteligentnej ochrony przed zagrożeniami — obsługiwaną przez usługę Microsoft Threat Intelligence — chroniąc zasoby w usłudze Azure Key Vault, Azure Storage, Azure DNS i innych usługach PaaS platformy Azure. Aby uzyskać pełną listę, zobacz What resource types can Microsoft Defender dla Chmury secure? (Jakie typy zasobów mogą Microsoft Defender dla Chmury bezpieczne?).

Azure Logic Apps

Usługa Azure Logic Apps umożliwia tworzenie zautomatyzowanych skalowalnych przepływów pracy, procesów biznesowych i aranżacji przedsiębiorstwa w celu zintegrowania aplikacji i danych między usługami w chmurze i systemami lokalnymi.

Funkcja automatyzacji przepływu pracy Defender dla Chmury umożliwia automatyzowanie odpowiedzi na wyzwalacze Defender dla Chmury.

Jest to doskonały sposób definiowania i reagowania w zautomatyzowany, spójny sposób podczas odnajdowania zagrożeń. Na przykład, aby powiadomić odpowiednich uczestników projektu, uruchomić proces zarządzania zmianami i zastosować określone kroki korygowania po wykryciu zagrożenia.

Integrowanie Defender dla Chmury z rozwiązaniami SIEM, SOAR i ITSM

Microsoft Defender dla Chmury mogą przesyłać strumieniowo alerty zabezpieczeń do najpopularniejszych rozwiązań do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), automatycznego reagowania na orkiestrację zabezpieczeń (SOAR) i zarządzania usługami IT (ITSM).

Istnieją narzędzia natywne dla platformy Azure umożliwiające wyświetlanie danych alertów we wszystkich najpopularniejszych rozwiązaniach używanych obecnie, w tym:

• Microsoft Sentinel
• Splunk Enterprise and Splunk Cloud
• QRadar IBM
• ServiceNow
• ArcSight
• Power BI
• Palo Alto Networks

Microsoft Sentinel

Defender dla Chmury natywnie integruje się z Microsoft Sentinel, natywny dla chmury, rozwiązanie SIEM (Security Information Event Management) i automatyczne reagowanie na orkiestrację zabezpieczeń (SOAR).

Istnieją dwa podejścia do zapewnienia, że dane Defender dla Chmury są reprezentowane w usłudze Microsoft Sentinel:

• Łączniki usługi Sentinel — usługa Microsoft Sentinel obejmuje wbudowane łączniki dla Microsoft Defender dla Chmury na poziomie subskrypcji i dzierżawy:

  • Przesyłanie strumieniowe alertów do usługi Microsoft Sentinel na poziomie subskrypcji
  • Połączenie wszystkich subskrypcji w dzierżawie do usługi Microsoft Sentinel

  Napiwek

  Dowiedz się więcej w Połączenie alertach zabezpieczeń z Microsoft Defender dla Chmury.

• Przesyłanie strumieniowe dzienników inspekcji — alternatywnym sposobem zbadania alertów Defender dla Chmury w usłudze Microsoft Sentinel jest przesyłanie strumieniowe dzienników inspekcji do usługi Microsoft Sentinel:

  • Połączenie zdarzenia zabezpieczeń systemu Windows
  • Zbieranie danych ze źródeł opartych na systemie Linux przy użyciu usługi Syslog
  • Połączenie danych z dziennika aktywności platformy Azure

Przesyłanie strumieniowe alertów za pomocą programu Microsoft Graph interfejs API Zabezpieczenia

Defender dla Chmury ma wbudowaną integrację z programem Microsoft Graph interfejs API Zabezpieczenia. Nie jest wymagana żadna konfiguracja i nie ma dodatkowych kosztów.

Za pomocą tego interfejsu API można przesyłać strumieniowo alerty z całej dzierżawy (i dane z wielu innych produktów zabezpieczeń firmy Microsoft) do programów SIEM innych firm i innych popularnych platform:

• Rozwiązanie Splunk Enterprise and Splunk Cloud - korzysta z dodatku Microsoft Graph interfejs API Zabezpieczenia dla rozwiązania Splunk
• Usługa Power BI - Połączenie do interfejs API Zabezpieczenia programu Microsoft Graph w programie Power BI Desktop
• Usługa ServiceNow - postępuj zgodnie z instrukcjami, aby zainstalować i skonfigurować aplikację microsoft Graph interfejs API Zabezpieczenia ze sklepu ServiceNow Store
• Moduł obsługi urządzeń firmy QRadar - IBM dla Microsoft Defender dla Chmury za pośrednictwem interfejsu API programu Microsoft Graph
• Palo Alto Networks, Anomali, Lookout, InSpark i inne — Microsoft Graph interfejs API Zabezpieczenia

Dowiedz się więcej o interfejs API Zabezpieczenia programu Microsoft Graph.

Przesyłanie strumieniowe alertów za pomocą usługi Azure Monitor

Użyj funkcji eksportu ciągłego Defender dla Chmury, aby połączyć Defender dla Chmury z usługą Azure Monitor za pośrednictwem usługi Azure Event Hubs i przesyłać strumieniowo alerty do usług ArcSight, SumoLogic, serwerów Syslog, LogRhythm, Logz.io Cloud Observability Platform i innych rozwiązań do monitorowania.

Dowiedz się więcej w artykule Stream alerts to monitoring solutions (Alerty usługi Stream do monitorowania rozwiązań).

Można to również zrobić na poziomie grupy zarządzania przy użyciu usługi Azure Policy. Zobacz Tworzenie konfiguracji automatyzacji eksportu ciągłego na dużą skalę.

Napiwek

Aby wyświetlić schematy zdarzeń wyeksportowanych typów danych, odwiedź stronę Schematy zdarzeń centrum zdarzeń.

Integrowanie Defender dla Chmury z rozwiązaniem wykrywania i reagowania na punkty końcowe (EDR)

Usługa Microsoft Defender dla punktu końcowego

Ochrona punktu końcowego w usłudze Microsoft Defender to całościowe, dostarczane przez chmurę rozwiązanie zabezpieczeń punktów końcowych.

Defender dla Chmury zintegrowane CWPP dla maszyn, Usługa Microsoft Defender dla serwerów zawiera zintegrowaną licencję na Ochrona punktu końcowego w usłudze Microsoft Defender. Razem zapewniają kompleksowe możliwości wykrywanie i reagowanie w punktach końcowych (EDR). Aby uzyskać więcej informacji, zobacz Ochrona punktów końcowych.

Gdy usługa Defender for Endpoint wykryje zagrożenie, wyzwala alert. Alert jest wyświetlany w Defender dla Chmury. Z poziomu Defender dla Chmury możesz również przestawienia się do konsoli usługi Defender for Endpoint i przeprowadzić szczegółowe badanie, aby odkryć zakres ataku. Dowiedz się więcej o Ochrona punktu końcowego w usłudze Microsoft Defender.

Inne rozwiązania EDR

Defender dla Chmury zapewnia zalecenia dotyczące wzmacniania zabezpieczeń, aby upewnić się, że zabezpieczasz zasoby organizacji zgodnie ze wskazówkami dotyczącymi Test porównawczy zabezpieczeń platformy Azure. Jedna z mechanizmów kontrolnych w teściu porównawczym odnosi się do zabezpieczeń punktu końcowego: ES-1: Używanie wykrywania i reagowania punktu końcowego (EDR).

Istnieją dwa zalecenia w Defender dla Chmury, aby upewnić się, że włączono ochronę punktu końcowego i działa prawidłowo. Te zalecenia sprawdzają obecność i kondycję operacyjną rozwiązań EDR:

• Trend Micro
• Symantec
• Mcafee
• Sophos

Dowiedz się więcej w temacie Ocena i zalecenia dotyczące ochrony punktu końcowego w Microsoft Defender dla Chmury.

Stosowanie strategii Zero Trust do scenariuszy hybrydowych i wielochmurowych

W przypadku obciążeń w chmurze często obejmujących wiele platform w chmurze usługi zabezpieczeń w chmurze muszą wykonywać te same czynności.

Microsoft Defender dla Chmury chroni obciążenia wszędzie tam, gdzie są uruchomione: na platformie Azure, lokalnie, w usługach Amazon Web Services (AWS) lub Google Cloud Platform (GCP).

Integrowanie Defender dla Chmury z maszynami lokalnymi

Aby zabezpieczyć obciążenia chmury hybrydowej, można rozszerzyć ochronę Defender dla Chmury przez połączenie maszyn lokalnych z serwerami z obsługą usługi Azure Arc.

Dowiedz się, jak połączyć maszyny w Połączenie maszynach spoza platformy Azure w celu Defender dla Chmury.

Integrowanie Defender dla Chmury z innymi środowiskami chmury

Aby wyświetlić stan zabezpieczeń maszyn amazon Web Services w Defender dla Chmury, dołącz konta platformy AWS do Defender dla Chmury. Integruje to usługę AWS Security Hub i Microsoft Defender dla Chmury w celu uzyskania ujednoliconego widoku zaleceń Defender dla Chmury i ustaleń usługi AWS Security Hub oraz zapewnia szereg korzyści zgodnie z opisem w Połączenie kontach platformy AWS Microsoft Defender dla Chmury.

Aby wyświetlić stan zabezpieczeń maszyn google Cloud Platform w Defender dla Chmury, dołącz konta GCP do Defender dla Chmury. Integruje to polecenie GCP Security i Microsoft Defender dla Chmury w celu uzyskania ujednoliconego widoku zaleceń Defender dla Chmury i ustaleń usługi GCP Security Command Center oraz zapewnia szereg korzyści opisanych w Połączenie kontach GCP do Microsoft Defender dla Chmury.

Następne kroki

Aby dowiedzieć się więcej na temat Microsoft Defender dla Chmury i Microsoft Defender dla Chmury, zobacz pełną dokumentację Defender dla Chmury.