Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera strategię i instrukcje dotyczące integrowania rozwiązań infrastruktury Zero Trust z Microsoft Defender dla Chmury. Wskazówki obejmują integracje z innymi rozwiązaniami, w tym zarządzanie informacjami o zabezpieczeniach i zdarzeniami (SIEM), automatyczne reagowanie na orkiestrację zabezpieczeń (SOAR), wykrywanie i reagowanie w punktach końcowych (EDR) i rozwiązania do zarządzania usługami IT (ITSM).
Infrastruktura obejmuje sprzęt, oprogramowanie, mikrousługę, infrastrukturę sieciową i obiekty wymagane do obsługi usług IT dla organizacji. Niezależnie od tego, czy infrastruktura jest lokalna, czy wielochmurowa, reprezentuje krytyczny wektor zagrożenia.
Rozwiązania infrastruktury Zero Trust oceniają, monitorują i uniemożliwiają zagrożenia bezpieczeństwa dla infrastruktury. Rozwiązania obsługują zasady zerowego zaufania, zapewniając, że dostęp do zasobów infrastruktury jest weryfikowany jawnie i udzielany przy użyciu zasad dostępu do najniższych uprawnień. Mechanizmy zakładają możliwość naruszenia i wyszukują oraz korygują zagrożenia bezpieczeństwa w infrastrukturze.
Co to jest zero trust?
Zero Trust to strategia zabezpieczeń do projektowania i implementowania następujących zestawów zasad zabezpieczeń:
| Zweryfikuj jawnie | Korzystanie z dostępu z najmniejszymi uprawnieniami | Zakładaj naruszenie |
|---|---|---|
| Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych. | Ogranicz dostęp użytkowników za pomocą zasad just in time i Just-Enough-Access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych. | Zminimalizuj promień wybuchu i segmentuj dostęp. Zweryfikuj kompleksowe szyfrowanie i korzystaj z analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i poprawić ochronę. |
Zero Trust i Defender dla Chmury
Wskazówki dotyczące wdrażania infrastruktury Zero Trust zawierają kluczowe etapy strategii infrastruktury Zero Trust:
- Ocena zgodności z wybranymi standardami i zasadami.
- Utwardź konfigurację wszędzie tam, gdzie znaleziono luki.
- Zastosuj inne narzędzia do wzmacniania zabezpieczeń, takie jak dostęp do maszyny wirtualnej just in time (JIT).
- Konfigurowanie ochrony przed zagrożeniami.
- Automatycznie blokuj i flaguj ryzykowne zachowanie i podejmij działania ochronne.
Oto, jak te etapy są mapowane w odniesieniu do Defender dla Chmury.
| Cel | Defender w Chmurze |
|---|---|
| Ocena zgodności | W Defender dla Chmury każda subskrypcja automatycznie ma przypisaną inicjatywę zabezpieczeń testów porównawczych zabezpieczeń w chmurze firmy Microsoft (MCSB). Korzystając z narzędzi oceny bezpieczeństwa i pulpitu nawigacyjnego zgodności z przepisami, możesz uzyskać szczegółowe informacje na temat stanu zabezpieczeń. |
| Konfiguracja zabezpieczeń | Ustawienia infrastruktury i środowiska są oceniane pod kątem standardu zgodności, a zalecenia są wydawane na podstawie tych ocen. Możesz przeglądać i korygować zalecenia dotyczące zabezpieczeń oraz [śledzić ulepszenia wskaźnika bezpieczeństwa] (secure-score-access-and-track.md) z biegiem czasu. Możesz określić priorytety dotyczące korygowania zaleceń na podstawie potencjalnych ścieżek ataku. |
| Stosowanie mechanizmów wzmacniania zabezpieczeń | Dostęp z najmniejszymi uprawnieniami jest jedną z zasad Zero Trust. Defender dla Chmury może pomóc w wzmacnianiu zabezpieczeń maszyn wirtualnych i ustawień sieci przy użyciu tej zasady z funkcjami takimi jak: Dostęp just in time (JIT) do maszyny wirtualnej. |
| Konfigurowanie ochrony przed zagrożeniami | Defender dla Chmury to platforma ochrony obciążeń w chmurze (CWPP), zapewniająca zaawansowaną, inteligentną ochronę zasobów i obciążeń platformy Azure oraz hybrydowych. Dowiedz się więcej. |
| Automatyczne blokowanie ryzykownych zachowań | Wiele zaleceń dotyczących wzmacniania zabezpieczeń w Defender dla Chmury oferuje opcję odmowy, aby zapobiec tworzeniu zasobów, które nie spełniają zdefiniowanych kryteriów wzmacniania zabezpieczeń. Dowiedz się więcej. |
| Automatyczne oznaczanie podejrzanego zachowania | Alerty zabezpieczeń usługi Defenders for Cloud są wyzwalane przez wykrycia zagrożeń. Defender dla Chmury określa priorytety i wyświetla alerty z informacjami, które ułatwiają badanie. Zawiera on również szczegółowe kroki ułatwiające korygowanie ataków. Przejrzyj pełną listę alertów bezpieczeństwa. |
Stosowanie modelu Zero Trust do scenariuszy hybrydowych i wielochmurowych
W przypadku obciążeń w chmurze często obejmujących wiele platform w chmurze usługi zabezpieczeń w chmurze muszą wykonywać te same czynności. Defender dla Chmury chroni obciążenia wszędzie tam, gdzie są uruchomione. Na platformie Azure, lokalnie, w usługach AWS lub GCP.
- AWS: aby chronić maszyny platformy AWS, należy dołączyć konta platformy AWS do Defender dla Chmury. Ta integracja zapewnia ujednolicony widok zaleceń Defender dla Chmury i ustaleń usługi AWS Security Hub. Dowiedz się więcej na temat łączenia kont platformy AWS z Microsoft Defender dla Chmury.
- GCP: Aby chronić maszyny GCP, należy dołączyć konta GCP do Defender dla Chmury. Ta integracja zapewnia ujednolicony widok zaleceń Defender dla Chmury i ustaleń usługi GCP Security Command Center. Dowiedz się więcej na temat łączenia kont GCP z Microsoft Defender dla Chmury.
- Maszyny lokalne. Ochronę Defender dla Chmury można rozszerzyć, łącząc maszyny lokalne z serwerami z obsługą usługi Azure Arc. Dowiedz się więcej na temat łączenia maszyn lokalnych z Defender dla Chmury.
Ochrona usług PaaS platformy Azure
Gdy usługa Defender for Cloud jest dostępna w subskrypcji platformy Azure, a plany usługi Defender for Cloud są włączone dla wszystkich dostępnych typów zasobów, warstwa inteligentnej ochrony przed zagrożeniami obsługiwana przez usługę Microsoft Defender Threat Intelligence chroni zasoby w usługach PaaS platformy Azure, w tym usług Azure Key Vault, Azure Storage, Azure DNS i innych. Dowiedz się więcej o typach zasobów, które Defender dla Chmury może zabezpieczyć.
Automatyzowanie odpowiedzi za pomocą usługi Azure Logic Apps
Usługa Azure Logic Apps umożliwia tworzenie zautomatyzowanych skalowalnych przepływów pracy, procesów biznesowych i aranżacji przedsiębiorstwa w celu zintegrowania aplikacji i danych między usługami w chmurze i systemami lokalnymi.
Funkcja automatyzacji przepływu pracy Defender dla Chmury umożliwia automatyzowanie odpowiedzi na wyzwalacze Defender dla Chmury.
Jest to doskonały sposób definiowania i reagowania w zautomatyzowany, spójny sposób podczas odnajdowania zagrożeń. Na przykład, aby powiadomić odpowiednich uczestników projektu, uruchomić proces zarządzania zmianami i zastosować określone kroki korygowania po wykryciu zagrożenia.
Integracja z rozwiązaniami SIEM, SOAR i ITSM
Defender for Cloud może przesyłać alerty zabezpieczeń do najpopularniejszych rozwiązań SIEM, SOAR i ITSM. Istnieją narzędzia natywne dla platformy Azure, które zapewniają, że możesz wyświetlać dane alertów we wszystkich najpopularniejszych rozwiązaniach używanych obecnie, w tym:
- Microsoft Sentinel
- Splunk Enterprise i Splunk Cloud
- QRadar IBM
- ServiceNow
- ArcSight
- Power BI
- Palo Alto Networks
Integracja z usługą Microsoft Sentinel
Defender dla Chmury natywnie integruje się z Microsoft Sentinel, rozwiązanie SIEM/SOAR firmy Microsoft.
Istnieją dwa podejścia do zapewnienia, że Defender dla Chmury dane są reprezentowane w usłudze Microsoft Sentinel:
Łączniki usługi Sentinel — usługa Microsoft Sentinel obejmuje wbudowane łączniki dla Microsoft Defender dla Chmury na poziomie subskrypcji i dzierżawy:
- Streamowanie alertów do usługi Microsoft Sentinel na poziomie subskrypcji
- Połącz wszystkie subskrypcje w swojej dzierżawie z Microsoft Sentinel
Napiwek
Dowiedz się więcej w artykule Łączenie alertów zabezpieczeń z Microsoft Defender dla Chmury.
Przesyłanie strumieniowe dzienników inspekcji — alternatywnym sposobem badania alertów w programie Defender dla Chmury za pomocą usługi Microsoft Sentinel jest przesyłanie strumieniowe tych dzienników do usługi Microsoft Sentinel.
Przesyłanie strumieniowe alertów za pomocą interfejsu Microsoft Graph Security API
Defender dla Chmury ma wbudowaną integrację z interfejsem API zabezpieczeń Microsoft Graph. Nie jest wymagana żadna konfiguracja i nie ma dodatkowych kosztów.
Za pomocą tego interfejsu API można przesyłać strumieniowo alerty z całego dzierżawcy i dane z wielu innych produktów zabezpieczeń firmy Microsoft do wielu programów SIEM innych firm i innych popularnych platform.
- Splunk Enterprise and Splunk Cloud — Użyj dodatku Microsoft Graph Security API dla Splunk
- Power BI — łączenie się z interfejsem API zabezpieczeń Microsoft Graph w programie Power BI Desktop
- ServiceNow — postępuj zgodnie z instrukcjami, aby zainstalować i skonfigurować aplikację Microsoft Graph Security API ze sklepu ServiceNow
- QRadar — korzystanie z Modułu Wsparcia Urządzeń IBM dla Defender dla Chmury za pośrednictwem interfejsu API Microsoft Graph
- Palo Alto Networks, Anomali, Lookout, InSpark i nie tylko. Dowiedz się więcej o interfejsie API zabezpieczeń Microsoft Graph.
Przesyłanie strumieniowe alertów za pomocą usługi Azure Monitor
Użyj funkcji eksportu ciągłego usługi Defender for Cloud, aby połączyć się z usługą Azure Monitor za pośrednictwem Azure Event Hubs i przesyłać strumieniowo alerty do ArcSight, SumoLogic, serwerów Syslog, LogRhythm, Logz.io Cloud Observability Platform oraz innych rozwiązań do monitorowania.
- Można to również zrobić na poziomie grupy zarządzania przy użyciu usługi Azure Policy. Dowiedz się więcej o tworzeniu konfiguracji automatyzacji eksportu ciągłego na dużą skalę.
- Aby wyświetlić schematy zdarzeń wyeksportowanych typów danych, zapoznaj się ze schematami zdarzeń usługi Event Hubs.
Dowiedz się więcej o alertach przesyłanych strumieniowo do rozwiązań do monitorowania.
Integracja z rozwiązaniami EDR
Usługa Microsoft Defender dla punktu końcowego
Defender for Endpoint to całościowe, dostarczane przez chmurę rozwiązanie zabezpieczeń punktu końcowego. Plan obciążenia serwerów Defender dla Chmury, Defender for Servers, obejmuje zintegrowaną licencję dla usługi Defender dla punktu końcowego. Razem zapewniają kompleksowe możliwości EDR. Dowiedz się więcej o ochronie punktów końcowych.
Gdy usługa Defender for Endpoint wykryje zagrożenie, wyzwala alert. Alert jest wyświetlany w Defender for Cloud. W Defender for Cloud możesz przejść do konsoli Defender for Endpoint i przeprowadzić szczegółowe badanie, aby odkryć zakres ataku.
Inne rozwiązania EDR
Defender dla Chmury zapewnia ocenę kondycji obsługiwanych wersji rozwiązań EDR.
Defender dla chmury zawiera zalecenia na podstawie benchmarku bezpieczeństwa firmy Microsoft. Jedna z mechanizmów kontrolnych w teściu porównawczym odnosi się do zabezpieczeń punktu końcowego: ES-1: Używanie wykrywania i reagowania punktu końcowego (EDR). Istnieją dwie rekomendacje, które zapewniają, że włączyłeś ochronę punktu końcowego i że działa ona prawidłowo. Dowiedz się więcej o ocenie obsługiwanych rozwiązań EDR w Defender dla Chmury.
Następne kroki
Rozpocznij planowanie ochrony wielochmurowej.