Integracje punktów końcowych
Punkty końcowe to urządzenia, które uzyskują dostęp do zasobów i aplikacji organizacji. Nowoczesne miejsca pracy obejmują różne urządzenia, które żądają dostępu zarówno wewnątrz, jak i poza siecią firmową.
Rozwiązania Zero Trust dla punktów końcowych dotyczą weryfikowania zabezpieczeń urządzeń, które uzyskują dostęp do danych służbowych, w tym aplikacji uruchomionych na urządzeniach. Partnerzy mogą integrować się z rozwiązaniami punktów końcowych firmy Microsoft, aby zweryfikować zabezpieczenia urządzeń i aplikacji, wymusić zasady najniższych uprawnień i przygotować się z wyprzedzeniem do naruszeń.
Te wskazówki dotyczą dostawców oprogramowania i partnerów technologicznych, którzy chcą ulepszyć swoje rozwiązania zabezpieczeń punktów końcowych dzięki integracji z produktami firmy Microsoft.
Integracja z usługą Zero Trust dla punktów końcowych — przewodnik
Ten przewodnik integracji zawiera instrukcje dotyczące integracji z następującymi produktami:
- Ochrona punktu końcowego w usłudze Microsoft Defender, co pomaga sieciom przedsiębiorstwa zapobiegać, wykrywać, badać i reagować na zaawansowane zagrożenia.
- Program Microsoft Endpoint Manager, który zapewnia ochronę i zabezpieczenia urządzeń używanych przez pracowników oraz aplikacji uruchamianych na tych urządzeniach.
- Usługa Microsoft Defender dla IoT, która zapewnia bezpieczeństwo w sieciach technologii operacyjnych (OT).
Usługa Microsoft Defender dla punktu końcowego
Ochrona punktu końcowego w usłudze Microsoft Defender to platforma zabezpieczeń punktu końcowego przedsiębiorstwa zaprojektowana w celu ułatwienia sieciom przedsiębiorstwa zapobiegania, wykrywania, badania i reagowania na zaawansowane zagrożenia. Korzysta z kombinacji czujników behawioralnych punktów końcowych, analizy zabezpieczeń w chmurze i analizy zagrożeń.
Usługa Defender for Endpoint obsługuje aplikacje innych firm, aby zwiększyć możliwości wykrywania, badania i analizy zagrożeń platformy. Ponadto partnerzy mogą rozszerzać swoje istniejące oferty zabezpieczeń na podstawie otwartej platformy oraz rozbudowany i kompletny zestaw interfejsów API w celu tworzenia rozszerzeń i integracji z usługą Defender for Endpoint.
Na stronie Ochrona punktu końcowego w usłudze Microsoft Defender możliwości i scenariuszy partnerów opisano kilka kategorii obsługiwanych integracji. Ponadto inne pomysły dotyczące scenariuszy integracji mogą obejmować:
- Usprawnianie korygowania zagrożeń: Ochrona punktu końcowego w usłudze Microsoft Defender może podjąć natychmiastowe lub wspomagane przez operatory odpowiedzi na alerty. Partnerzy mogą korzystać z akcji odpowiedzi punktu końcowego, takich jak izolacja maszyny, kwarantanna plików w celu zablokowania IoC w zarządzanym punkcie końcowym.
- Łączenie kontroli dostępu do sieci z zabezpieczeniami urządzeń: oceny ryzyka lub ekspozycji mogą służyć do implementowania i wymuszania zasad dostępu do sieci i aplikacji.
Aby zostać partnerem rozwiązania Defender for Endpoint, musisz wykonać kroki opisane w artykule Zostań partnerem Ochrona punktu końcowego w usłudze Microsoft Defender.
Microsoft Endpoint Manager
Program Microsoft Endpoint Manager, który obejmuje usługę Microsoft Intune i program Microsoft Configuration Manager, zapewnia ochronę i zabezpieczenia urządzeń używanych przez pracowników oraz aplikacji uruchamianych na tych urządzeniach. Program Endpoint Manager zawiera zasady zgodności urządzeń, które zapewniają pracownikom dostęp do aplikacji i danych z urządzeń spełniających zasady zabezpieczeń firmy. Obejmuje również zasady ochrony aplikacji, które zapewniają mechanizmy kontroli zabezpieczeń oparte na aplikacjach zarówno dla w pełni zarządzanych, jak i należących do pracowników urządzeń.
Aby zintegrować się z programem Microsoft Endpoint Manager, niezależni dostawcy oprogramowania będą używać programu Microsoft Graph i zestawu SDK zarządzania aplikacjami programu Microsoft Endpoint Manager. Integracja programu Endpoint Manager z interfejsem API programu Graph umożliwia korzystanie z dowolnej z tych samych funkcji oferowanych przez konsolę administratora dla programu Endpoint Manager (Intune). Informacje, takie jak stan zgodności urządzenia, konfiguracja zasad zgodności, ustawienia zasad ochrony aplikacji i inne, można znaleźć za pośrednictwem interfejsu API programu Graph. Ponadto możesz zautomatyzować zadania w programie Endpoint Manager, które jeszcze bardziej usprawnią historię zerowego zaufania klienta. Ogólne wskazówki dotyczące pracy z usługą Intune w programie Microsoft Graph są dostępne w repozytorium dokumentacji programu Microsoft Graph. W tym miejscu koncentrujemy się na scenariuszach związanych z zerowym zaufaniem.
Weryfikowanie, czy urządzenia są zgodne ze standardami zabezpieczeń i zgodności
Rozwiązania niezależnego dostawcy oprogramowania mogą korzystać z informacji o zgodności urządzeń i zasadach programu Endpoint Manager w celu obsługi zasady zerowego zaufania w ramach funkcji Weryfikowanie jawnie. Dane zgodności dotyczące użytkowników i urządzeń z programu Endpoint Manager umożliwiają aplikacji niezależnego dostawcy oprogramowania określenie stanu ryzyka urządzenia w odniesieniu do korzystania z aplikacji. Dzięki wykonaniu tych weryfikacji niezależnego dostawcy oprogramowania zapewnia, że urządzenia korzystające z usługi są zgodne ze standardami i zasadami dotyczącymi zabezpieczeń i zgodności klientów.
Interfejs API programu Microsoft Graph umożliwia isV integrację z programem Endpoint Manager (Intune) za pomocą zestawu interfejsów API RESTful. Te interfejsy API są tymi samymi, które są używane przez konsolę programu Endpoint Manager do wyświetlania, tworzenia, wdrażania i raportowania wszystkich akcji, danych i działań w usłudze Intune oraz zarządzania nimi. Elementy szczególnych zainteresowań niezależnych dostawców oprogramowania obsługujące inicjatywy Zero Trust to możliwość wyświetlania stanu zgodności urządzeń i konfigurowania reguł zgodności i zasad. Zapoznaj się z zaleceniami firmy Microsoft dotyczącymi używania identyfikatorów Entra firmy Microsoft i programu Endpoint Manager pod kątem konfiguracji i zgodności zero zaufania: Bezpieczne punkty końcowe z zerowym zaufaniem. Reguły zgodności programu Endpoint Manager są podstawą obsługi dostępu warunkowego opartego na urządzeniach za pośrednictwem identyfikatora Entra firmy Microsoft. Dostawcy oprogramowania powinni również wyświetlić funkcję dostępu warunkowego i interfejsy API, aby zrozumieć, jak ukończyć scenariusze zgodności użytkowników i urządzeń oraz dostępu warunkowego.
Najlepiej jako niezależnego dostawcy oprogramowania aplikacja łączy się z interfejsami API programu Microsoft Graph jako aplikacją w chmurze i ustanawia połączenie między usługami. Aplikacje wielodostępne zapewniają niezależnemu dostawcom oprogramowania scentralizowaną definicję aplikacji i kontrolę oraz umożliwiają klientom indywidualne wyrażanie zgody na aplikację niezależnego dostawcy oprogramowania działającego na danych dzierżawy. Zapoznaj się z informacjami na temat dzierżawy w usłudze Microsoft Entra ID na potrzeby rejestrowania i tworzenia aplikacji firmy Microsoft entra w jednej lub wielu dzierżawach. Uwierzytelnianie aplikacji może korzystać z identyfikatora Microsoft Entra ID na potrzeby logowania jednokrotnego.
Po utworzeniu aplikacji należy uzyskać dostęp do informacji o urządzeniu i zgodności przy użyciu interfejsu API programu Microsoft Graph. Dokumentację dotyczącą korzystania z programu Microsoft Graph można znaleźć w centrum deweloperów programu Microsoft Graph. Interfejs API programu Graph to zestaw interfejsów API RESTful, które są zgodne ze standardami ODATA na potrzeby dostępu do danych i wykonywania zapytań.
Pobieranie stanu zgodności urządzenia
Na tym diagramie przedstawiono przepływ informacji o zgodności urządzenia z urządzenia do rozwiązania niezależnego dostawcy oprogramowania. Urządzenia użytkowników końcowych otrzymują zasady od usługi Intune, partnera usługi Mobile Threat Defense (MTD) lub partnera zgodności zarządzania urządzeniami przenośnymi (MDM). Po zebraniu informacji o zgodności z urządzeń usługa Intune oblicza ogólny stan zgodności każdego urządzenia i przechowuje je w identyfikatorze Firmy Microsoft Entra. Korzystając z interfejsu API programu Microsoft Graph, rozwiązanie może odczytywać i reagować na stan zgodności urządzenia, stosując zasady zero trust.
Po zarejestrowaniu w usłudze Intune rekord urządzenia jest tworzony w usłudze Intune z dodatkowymi szczegółami urządzenia, w tym stanem zgodności urządzenia. Usługa Intune przekazuje stan zgodności urządzenia do identyfikatora Entra firmy Microsoft, gdzie identyfikator Entra firmy Microsoft przechowuje również stan zgodności z każdym urządzeniem. Po utworzeniu polecenia GET https://graph.microsoft.com/v1.0/deviceManagement/managedDevices
można wyświetlić wszystkie zarejestrowane urządzenia dla dzierżawy i ich stanu zgodności. Możesz też wykonać zapytanie, https://graph.microsoft.com/v1.0/devices
aby uzyskać listę zarejestrowanych i zarejestrowanych urządzeń firmy Microsoft oraz ich stanu zgodności.
Na przykład to żądanie:
GET https://graph.microsoft.com/v1.0/users/{usersId}/managedDevices/{managedDeviceId}
Powróci:
HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 5095
{
"value": {
"@odata.type": "#microsoft.graph.managedDevice",
"id": "705c034c-034c-705c-4c03-5c704c035c70",
"userId": "User Id value",
"deviceName": "Device Name value",
"managedDeviceOwnerType": "company",
"enrolledDateTime": "2016-12-31T23:59:43.797191-08:00",
"lastSyncDateTime": "2017-01-01T00:02:49.3205976-08:00",
"complianceState": "compliant",
...
}
Można również pobrać listę zasad zgodności, ich wdrożeń i stanu użytkowników i urządzeń dla tych zasad zgodności. Informacje dotyczące wywoływania programu Graph w celu uzyskania informacji o zasadach zgodności można znaleźć tutaj: Pobierz deviceCompliancePolicy — Microsoft Graph w wersji 1.0. Dobre tło dotyczące zasad zgodności urządzeń i sposobu ich użycia jest tutaj: Zasady zgodności urządzeń w usłudze Microsoft Intune — Azure.
Po zidentyfikowaniu określonych zasad możesz wykonać zapytanie, aby uzyskać stan urządzenia dla określonego ustawienia zasad zgodności. Na przykład przy założeniu, że wdrożono zasady zgodności, aby wymagać kodu dostępu w blokadzie, wykonaj zapytanie Get deviceComplianceSettingState pod kątem określonego stanu tego ustawienia. Wskazuje to, czy urządzenie jest zgodne, czy niezgodne z ustawieniem blokady kodu dostępu. To samo podejście może być używane w przypadku innych zasad zgodności urządzeń wdrożonych przez klientów.
Informacje o zgodności są podstawowe dla funkcji dostępu warunkowego identyfikatora Firmy Microsoft. Usługa Intune określa zgodność urządzenia na podstawie zasad zgodności i zapisuje stan zgodności do identyfikatora Entra firmy Microsoft. Następnie klienci używają zasad dostępu warunkowego, aby określić, czy jakiekolwiek działania są podejmowane w przypadku niezgodności, w tym blokowanie użytkownikom dostępu do danych firmowych z niezgodnego urządzenia.
Aby uzyskać dodatkowe informacje na temat integrowania zgodności urządzeń z dostępem warunkowym, zobacz Zasady zgodności urządzeń w usłudze Microsoft Intune .
Postępuj zgodnie z zasadą dostępu z najmniejszymi uprawnieniami
Zintegrowanie niezależnego dostawcy oprogramowania z programem Endpoint Manager będzie również chciało zapewnić, że aplikacja obsługuje zasadę Zero Trust w celu zastosowania dostępu do najniższych uprawnień. Integracja programu Endpoint Manager obsługuje dwie ważne metody kontroli dostępu — delegowane uprawnienia lub uprawnienia aplikacji. Aplikacja niezależnego dostawcy oprogramowania musi używać jednego z modeli uprawnień. Uprawnienia delegowane zapewniają szczegółową kontrolę nad określonymi obiektami w programie Endpoint Manager, do których aplikacja ma dostęp, ale wymaga, aby administrator logował się przy użyciu swoich poświadczeń. Dla porównania uprawnienia aplikacji umożliwiają aplikacji niezależnego dostawcy oprogramowania uzyskiwanie dostępu do klas danych i obiektów lub kontrolowanie ich, a nie określonych pojedynczych obiektów, ale nie wymaga zalogowania się przez użytkownika.
Oprócz tworzenia aplikacji jako aplikacji z jedną dzierżawą lub wielodostępną (preferowaną) należy zadeklarować delegowane lub uprawnienia aplikacji wymagane przez aplikację w celu uzyskania dostępu do informacji programu Endpoint Manager i wykonywania akcji względem programu Endpoint Manager. Wyświetl informacje o rozpoczynaniu pracy z uprawnieniami tutaj: Szybki start: Konfigurowanie aplikacji w celu uzyskania dostępu do internetowego interfejsu API.
Microsoft Defender for IoT
Architektury sieci technologii operacyjnej (OT) często różnią się od tradycyjnej infrastruktury IT przy użyciu unikatowej technologii z zastrzeżonymi protokołami. Urządzenia OT mogą również mieć starzejące się platformy z ograniczoną łącznością i mocą lub określone wymagania bezpieczeństwa i unikatowe narażenie na ataki fizyczne.
Wdróż usługę Microsoft Defender dla IoT , aby zastosować zasady zerowego zaufania do sieci OT, monitorując ruch pod kątem nietypowego lub nieautoryzowanego zachowania w miarę przekraczania witryn i stref ruchu. Poszukaj zagrożeń i luk w zabezpieczeniach specyficznych dla urządzeń OT, zmniejszając ryzyko w miarę ich wykrywania.
Przyspieszanie operacji przez udostępnianie danych usługi Defender for IoT w centrum operacji zabezpieczeń (SOC) i innych częściach organizacji. Integracja z usługi firmy Microsoft, takich jak Microsoft Sentinel i Defender for Endpoint, lub inne usługi partnerskie, w tym rozwiązania SIEM i systemy biletów. Na przykład:
Przekazywanie lokalnych danych alertów bezpośrednio do programu SIEM, takich jak Splunk, IBM QRadar i inne. Rozwiązanie Splunk i IBM QRadar obsługują również pozyskiwanie usługi Event Hub, które umożliwia przekazywanie alertów w chmurze z usługi Defender for IoT.
Integracja z programem Operational Technology Manager usługi ServiceNow w celu zaimportowania danych usługi Defender for IoT do usługi ServiceNow i akcji opartej na ryzyku z kontekstem procesu produkcyjnego.
Aby uzyskać więcej informacji, zobacz:
- Wprowadzenie do monitorowania zabezpieczeń OT
- Zero Trust i sieci OT
- Monitorowanie za pomocą zera zaufania
- Katalog integracji usługi Defender for IoT