Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano Microsoft usługi zabezpieczeń i sposób ich współpracy jako ujednoliconego systemu w celu zapewnienia ochrony między filarami technologii które obejmują tożsamości, urządzenia, aplikacje, dane, sztuczną inteligencję i infrastrukturę.
Nowoczesne bezpieczeństwo przedsiębiorstw przeszło od ochrony obwodowej do modelu opartego na tożsamości i zintegrowanego z chmurą. Organizacje muszą zabezpieczyć użytkowników, urządzenia, aplikacje i dane w środowiskach hybrydowych i wielochmurowych, jednocześnie stale dostosowując się do zmieniających się zagrożeń.
Microsoft zapewnia zintegrowany zestaw usług chmurowych, które współdziałają ze sobą, aby udostępniać sygnały, stosować spójne zasady, wymuszać mechanizmy kontroli oraz koordynować wykrywanie zagrożeń i reagowanie w całym środowisku.
Wyniki zabezpieczeń
Zintegrowane zabezpieczenia Microsoft zapewniają następujące wyniki:
- Ujednolicona widoczność sygnału: dane telemetryczne są stale zbierane i scentralizowane między tożsamościami, urządzeniami, aplikacjami, danymi i infrastrukturą oraz konwertowane na scentralizowane, możliwe do działania sygnały.
- Podejmowanie decyzji w oparciu o tożsamość: decyzje dotyczące dostępu i egzekwowania zasad opierają się na tożsamości, stanie urządzenia, sygnałach ryzyka i kontekście sesji.
- Spójne egzekwowanie: Mechanizmy kontroli Zero Trust są stosowane w punktach końcowych, usługach chmurowych i aplikacjach zarówno w momencie uzyskiwania dostępu, jak i podczas korzystania z nich.
- Zintegrowane wykrywanie i reagowanie: sygnały i alerty są skorelowane między domenami w celu wykrywania zagrożeń i reagowania na nie jako ujednolicone operacje.
- Ciągła walidacja i poprawa: sygnały wykrywania i ryzyka są wprowadzane z powrotem do decyzji dotyczących zasad w celu wzmocnienia ochrony w czasie.
Podstawowe usługi zabezpieczeń
Podstawowe usługi bezpieczeństwa obejmują wiele filarów technologicznych, z których każdy dostarcza sygnały, kontekst i mechanizmy egzekwowania w całej platformie.
|
Filar Usługa podstawowa |
Ochrony | Portal podstawowy |
|---|---|---|
|
Tożsamość i dostęp Microsoft Entra Microsoft Defender for Identity. |
Microsoft Entra kontroluje dostęp użytkowników, obciążeń i aplikacji. Ocenia ona sygnały tożsamości, urządzenia i sesji w celu podejmowania decyzji dotyczących dostępu. Defender for Identity monitoruje infrastrukturę tożsamości hybrydowej w celu wykrywania ataków. |
Centrum administracyjne firmy Microsoft Entra Portal Microsoft Defender |
|
Urządzenia/punkty końcowe Usługa Microsoft Defender dla punktu końcowego Microsoft Intune |
Defender dla punktu końcowego zbiera dane telemetryczne punktu końcowego i wykrywa zagrożenia. Microsoft Intune ocenia zgodność urządzeń i wymusza zasady. |
Portal Microsoft Defender Centrum administracyjne usługi Microsoft Intune |
|
Poczta e-mail i współpraca Defender dla Office 365 |
Chroni usługi Exchange i usługi współpracy (Microsoft Teams, SharePoint, OneDrive) przed złośliwym oprogramowaniem, złośliwymi linkami i załącznikami oraz oszustwami wykorzystującymi firmową pocztę e-mail. | Portal Microsoft Defender |
|
Data Microsoft Purview |
Wymusza zasady ochrony danych i ochrony przed utratą danych (DLP) w punktach końcowych i usługach w chmurze. | Portal Microsoft Purview |
|
Obciążenia infrastruktury/chmury Microsoft Defender dla Chmury |
Poprawia stan zabezpieczeń i zapewnia wykrywanie zagrożeń w obciążeniach chmurowych i hybrydowych. |
Portal Microsoft Azure Portal Microsoft Defender |
|
Networks Usługi sieciowe Azure |
Segmentowanie i ochrona sieci. | Portal Microsoft Azure |
|
Aplikacje SaaS/w chmurze Microsoft Defender for Cloud Apps - ochrona aplikacji w chmurze. |
Zapewnia wgląd w użycie aplikacji w chmurze i monitoruje aktywność użytkowników w celu wykrywania ryzykownych zachowań. | Portal Microsoft Defender |
|
Stan/ryzyko rozwiązania zabezpieczające firmy Microsoft Exposure Management - Zarządzanie ryzykiem bezpieczeństwa |
Identyfikuje, nadaje priorytety i ogranicza ekspozycję w obszarze tożsamości, urządzeń, zasobów chmurowych i aplikacji. | Portal Microsoft Defender |
|
Wykrywanie zagrożeń/reagowanie na nie Microsoft Defender XDR |
Koreluje sygnały między usługami Defender i generuje ujednolicone zdarzenia na potrzeby badania i reagowania. | Portal usługi Microsoft Defender |
|
Operacje zabezpieczeń Microsoft Sentinel |
Agreguje dane telemetryczne ze źródeł Microsoft i innych firm na potrzeby scentralizowanej analizy, badania i odpowiedzi. |
Portal Microsoft Azure Portal Microsoft Defender |
|
Deweloper/bezpieczeństwo aplikacji Defender dla DevOps (w usłudze Defender dla Chmury) GitHub Advanced Security |
Zabezpiecza kod, zależności i potoki tworzenia oraz egzekwuje zasady nadzoru nad bezpieczeństwem w procesach DevOps. |
Portal Microsoft Defender interfejs GitHub |
Usługi ochrony sieci
Tabela zawiera podsumowanie Azure możliwości sieciowych i sposobu ich bezpośredniej integracji z innymi usługami zabezpieczeń. Usługi są konfigurowane w Microsoft Azure Portal.
| Usługa | Ochrony | Integracja |
|---|---|---|
| Azure Firewall | Wymusza reguły adresów IP, portów i aplikacji w celu kontrolowania ruchu przychodzącego i wychodzącego między podsieciami, Internetem i sieciami lokalnymi. Używa Microsoft analizy zagrożeń do blokowania znanego złośliwego ruchu. | Defender dla Chmury ocenia stan konfiguracji. Dzienniki diagnostyczne są przesyłane do Azure Monitor/Log Analytics i analizowane przez Microsoft Sentinel w celu wykrywania i korelacji. |
| Azure DDoS Protection | Zapobiega atakom typu volumetric, protocol i application-layer. Chroni zasoby internetowe w sieciach wirtualnych przed atakami powodziowymi na dużą skalę. | Metryki i telemetria ataków są przesyłane do Azure Monitor/Log Analytics i mogą być analizowane w Microsoft Sentinel. Defender dla Chmury zawiera zalecenia dotyczące stanu. |
| Azure VNet | Zapewnia izolację sieci, segmentację i prywatne adresowanie IP dla zasobów Azure. Umożliwia kontrolowaną łączność między usługami. | Defender dla Chmury ocenia stan konfiguracji, w tym narażenie, takie jak ścieżki dostępu publicznego. |
| Sieciowe grupy zabezpieczeń | Filtruje ruch na poziomie podsieci i interfejsu sieciowego przy użyciu reguł zezwalania/odmowy. Ogranicza niepożądany ruch do zasobów. | Dzienniki przepływów sieciowej grupy zabezpieczeń (za pośrednictwem Azure Monitor) można analizować w Microsoft Sentinel w celu uzyskania wglądu w ruch i wykrywania zagrożeń. Defender dla Chmury ocenia konfigurację reguł NSG. |
| Zapora aplikacji sieciowych Azure (WAF) | Chroni aplikacje HTTP/HTTPS przy użyciu zestawów reguł OWASP. Pomaga zapobiegać typowym atakom internetowym, takim jak wstrzyknięcie kodu SQL i wykonywanie skryptów między witrynami (XSS). | Dzienniki WAF są importowane do Azure Monitor/Log Analytics i analizowane przez Microsoft Sentinel. Defender dla Chmury ocenia stan zabezpieczeń konfiguracji WAF. |
| Azure Front Door | Zapewnia globalny punkt dostępu dla aplikacji internetowych z funkcjami routingu, przyspieszania i zabezpieczeń brzegowych. Integruje się z WAF w celu ochrony aplikacji. | Dzienniki diagnostyczne (Front Door/WAF) są przesyłane do usługi Log Analytics i analizowane przez Microsoft Sentinel. Defender dla Chmury ocenia stan konfiguracji. |
| Azure Application Gateway | Zapewnia regionalne równoważenie obciążenia z wbudowanymi funkcjami zapory aplikacji internetowej w celu ochrony i kierowania ruchu aplikacji. | Dzienniki dostępu i dzienniki WAF są importowane do usługi Log Analytics i analizowane przez usługę Microsoft Sentinel. Defender dla Chmury ocenia stan konfiguracji i ustawienia ekspozycji. |
| Azure VPN Gateway | Zapewnia szyfrowaną łączność protokołu IPsec/IKE między środowiskami lokalnymi i sieciami wirtualnymi Azure. Chroni dane przesyłane za pośrednictwem sieci publicznych. | Dzienniki połączeń i tuneli są przesyłane do usługi Log Analytics i mogą być analizowane w usłudze Microsoft Sentinel. Defender dla Chmury ocenia stan konfiguracji, w tym ustawienia szyfrowania. |
| Azure ExpressRoute | Zapewnia prywatną, dedykowaną łączność między środowiskami lokalnymi i Azure przez sieć szkieletową Microsoft, unikając publicznego Internetu. | Dane telemetryczne operacyjne (takie jak BGP, stan obwodu) są dostępne za pośrednictwem Azure Monitor i mogą być analizowane w Microsoft Sentinel. Defender dla Chmury ocenia ogólny poziom konfiguracji. |
| Azure Bastion | Zapewnia bezpieczny dostęp RDP i SSH do maszyn wirtualnych za pośrednictwem przeglądarki, eliminując potrzebę ujawnienia publicznych adresów IP. | Dzienniki diagnostyczne są przesyłane do Log Analytics i analizowane przez Microsoft Sentinel. Defender dla Chmury ocenia zredukowaną maszynę wirtualną, ale nie ocenia bezpośrednio konfiguracji usługi Azure Bastion. |
| Link prywatny platformy Azure | Zapewnia prywatną łączność z usługami Azure PaaS i usługami klienta przy użyciu prywatnych adresów IP, eliminując publiczną ekspozycję. | Dzienniki na poziomie usługi (w przypadku usług dostępnych za pośrednictwem Private Link, takich jak Storage, SQL, Key Vault) są pozyskiwane do Log Analytics i analizowane przez Microsoft Sentinel. Defender dla Chmury ocenia, czy linki prywatne są używane do zmniejszenia narażenia. |
| Azure Network Watcher | Zapewnia diagnostykę sieci, monitorowanie oraz wgląd na poziomie przepływów w zasobach Azure. | Dzienniki przepływu NSG i dane diagnostyczne są pozyskiwane przez usługę Log Analytics i mogą być analizowane w Microsoft Sentinel. Defender dla Chmury ocenia bazowy stan konfiguracji zasobów, taki jak ustawienia NSG, a nie bezpośrednio usługę Network Watcher. |
Przepływ pracy związany z zabezpieczeniami
Usługi zabezpieczeń działają jako potok ciągły. Sygnały są stale zbierane, oceniane, wymuszane i używane do wykrywania i reagowania.
| Rurociąg | Action | Kluczowe działanie |
|---|---|---|
| Etap 1. Zbieranie sygnałów | Usługi zabezpieczeń generują dane telemetryczne między tożsamościami, urządzeniami, aplikacjami i infrastrukturą. | — Defender dla punktu końcowego zbiera dane telemetryczne urządzenia. — Microsoft Intune ocenia zgodność urządzeń. — Defender for Identity monitoruje lokalną aktywność związaną z tożsamością. - Defender for Cloud Apps monitoruje aktywność SaaS. — Defender dla Chmury monitoruje konfigurację i aktywność infrastruktury/obciążenia. |
| Etap 2. Decyzje dotyczące zasad | Sygnały są oceniane w celu określenia warunków dostępu i akcji kontroli. | Dostęp warunkowy usługi Microsoft Entra ocenia ryzyko związane z tożsamością, zaufanie urządzenia, lokalizację i kontekst sesji. |
| Etap 3. Wymuszanie kontroli | Mechanizmy kontroli zabezpieczeń są stosowane w warstwach tożsamości, urządzenia, sesji, danych i sieci. | Punkty wymuszania obejmują: - Dostęp warunkowy (MFA/ograniczenia) — Intune (zgodność urządzeń) -Defender for Cloud Apps (kontrola sesji) - Microsoft Purview (DLP) - Azure sieci (ograniczenia łączności). |
| Etap 4. Wykrywanie i reagowanie | Sygnały i alerty są skorelowane w celu wykrywania, badania i korygowania zagrożeń. | Microsoft Defender XDR koreluje sygnały ze wszystkich produktów Defender w ujednolicone zdarzenia. Microsoft Sentinel centralizuje dzienniki, zdarzenia, wyszukiwanie zagrożeń i aranżację zabezpieczeń, automatyzację i reagowanie (SOAR) w całym środowisku — w tym źródła innych firm. |
| Pętla opinii | Wyniki wykrywania są wprowadzane z powrotem do decyzji dotyczących zasad w celu ciągłego ulepszania ochrony. | Sygnały ryzyka i zagrożenia informują o aktualizacjach zasad w czasie rzeczywistym, umożliwiając adaptacyjną i zautomatyzowaną ochronę. |
Integracja usługi zabezpieczeń
Usługi zabezpieczeń firmy Microsoft integrują się poprzez wiele przepływów, które tworzą spójny potok i składają się na nieprzerwany system ochrony.
- Sygnały (telemetria) przechwytują aktywność między tożsamościami, urządzeniami, aplikacjami i innymi zasobami.
- Kontekst (tożsamość, stan urządzenia i klasyfikacja danych) wzbogaca sygnały w celu zwiększenia dokładności i podejmowania decyzji.
- Zasady określają, jaki dostęp jest dozwolony lub blokowany na podstawie ocenianych warunków.
- Akcje wymuszają decyzje za pomocą zautomatyzowanych kontrolek i odpowiedzi.
Gdy sygnały przemieszczają się przez platformę, są wzbogacane, oceniane pod kątem zgodności z zasadami i poddawane odpowiednim działaniom, co tworzy ciągły cykl ochrony i reakcji.
Jak integrować usługi
W tabeli podsumowano, w jaki sposób usługi zabezpieczeń korzystają z sygnałów i kontekstu z każdego źródła oraz jakie generują dane wyjściowe i jakie działania podejmują.
| Usługa | Zużywa | Outputs |
|---|---|---|
| Microsoft Entra ID |
Sygnały: aktywność uwierzytelniania (logowania, zdarzenia ryzyka). Stan zgodności urządzenia z Microsoft Intune. Context: Kontekst urządzenia używany przy podejmowaniu decyzji o dostępie z usługi Defender for Endpoint. Kontekst sesji dla decyzji o dostępie w usłudze Defender for Cloud Apps. |
Akcje: decyzje dotyczące dostępu warunkowego (zezwalaj, blokuj, ograniczaj, wymagają kontrolek). |
| Microsoft Intune |
Sygnały: spis zarządzanych urządzeń, kondycja, stan zgodności. Context: Kojarzenie tożsamości z Microsoft Entra ID. |
Dane wyjściowe: Stan zgodności urządzenia względem Microsoft Entra ID. Dzienniki inspekcji urządzeń w usłudze Microsoft Sentinel. |
| Microsoft Purview |
Signals: dane przedsiębiorstwa w Microsoft 365, aplikacjach SaaS i systemach lokalnych. Kontekst: klasyfikacja danych (etykiety poufności, inspekcja zawartości, aktywność użytkownika). |
Dane wyjściowe: Alerty dotyczące ryzyka wewnętrznego i ochrony przed utratą danych (DLP) w usłudze Defender XDR. Dzienniki zgodności i audytu do usługi Microsoft Sentinel. Actions: wymuszanie zasad DLP na punktach końcowych (Defender for Endpoint) oraz w sesjach (Defender for Cloud Apps). |
| Microsoft Defender dla punktu końcowego |
Sygnały: dane telemetryczne punktu końcowego (proces, plik, aktywność sieci). Context: Microsoft Entra ID (kontekst identyfikacji). Microsoft Intune (stan urządzenia). Microsoft Purview (zasady DLP). |
Dane wyjściowe: Alerty punktu końcowego i dane telemetryczne do usługi Defender XDR oraz Microsoft Sentinel. Akcje: wymuszanie punktu końcowego (izolacja urządzenia, blokowanie, korygowanie). |
| Defender for Identity | Sygnały: sygnały tożsamości usługi Active Directory. | Output: Alerty o zagrożeniach tożsamości do Defender XDR i Microsoft Sentinel. |
| Defender for Cloud Apps |
Sygnały: aktywność aplikacji SaaS (użycie chmury). Dane telemetryczne sieciowe i shadow IT w usłudze Microsoft Defender for Endpoint. Context: kontekst sesji i uwierzytelniania z Microsoft Entra ID. Zasady DLP z Microsoft Purview. |
Dane wyjściowe: Alerty z aplikacji w chmurze wysyłane do Defender XDR i Microsoft Sentinel. Akcje: wymuszanie sesji (blokowanie, monitorowanie, ograniczanie dostępu). |
| Defender dla Chmury |
Signals: Informacje o operacji zasobów z Azure. Dane telemetryczne serwera/obciążenia roboczego z usługi Defender for Endpoint. Kontekst: Konfiguracja zasobów i stan. |
Dane wyjściowe: alerty zabezpieczeń i informacje o stanie zabezpieczeń do usługi Defender XDR i Microsoft Sentinel. |
| Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft |
Sygnały: Oceny ryzyka urządzeń z usługi Microsoft Defender for Endpoint. Inwentaryzacja zasobów w chmurze, kondycja zabezpieczeń, ekspozycja i ustalenia dotyczące powierzchni ataku z Defender dla Chmury. Inwentaryzacja tożsamości i sygnały ryzyka z usługi Microsoft Entra. Spis aplikacji SaaS, ryzyko i kontekst użycia z Defender for Cloud Apps. Kontekst: Ujednolicona ekspozycja i korelacja ryzyka. |
Dane wyjściowe: Informacje o ekspozycji i korelacje ryzyka do Microsoft XDR i Microsoft Sentinel. |
| Defender XDR | Sygnały: Alerty z Defender for Endpoint (urządzenia), Defender for Identity (sygnały tożsamości), Ochrona usługi Office 365 w usłudze Defender (poczta e-mail i współpraca), Defender for Cloud Apps (aktywność w aplikacjach/SaaS). Dodatkowe sygnały z Microsoft Purview (DLP, ryzyko wewnętrzne, klasyfikacja danych), Ochrona Microsoft Entra ID (sygnały ryzyka tożsamości) i Defender dla Chmury (stan obciążenia/chmury). |
Dane wyjściowe: Skorelowane alerty i incydenty przekazywane do Microsoft Sentinel. Działania: zautomatyzowana odpowiedź międzydomenowa. |
| Microsoft Sentinel | Sygnały: alerty, dzienniki, dane telemetryczne z Defender XDR, Microsoft Purview, usług w chmurze oraz innych źródeł własnych i zewnętrznych. |
Dane wyjściowe: analiza, badania i zdarzenia. Akcje: automatyczna odpowiedź przy użyciu podręczników. |
| Microsoft Security Copilot |
Signals: Zdarzenia i alerty z Microsoft Sentinel i Defender XDR. Context: Poufne dane i kontekst ryzyka wewnętrznego z Microsoft Purview. Kontekst ekspozycji z rozwiązania zabezpieczające firmy Microsoft Exposure Management. |
Dane wyjściowe: podsumowania badania, zalecenia, szczegółowe informacje oparte na sztucznej inteligencji. Actions: Akcje odpowiedzi z instrukcjami kierowane za pośrednictwem przepływów pracy Microsoft Sentinel i Defender XDR. |
Następne kroki
- Na początek ocena Zero Trust bieżącego poziomu zabezpieczeń.
- Postępuj zgodnie z naszym ustrukturyzowanym modelem adoption aby rozpocząć wdrażanie Zero Trust.
- Poznaj krytyczne wyniki zabezpieczeń dla liderów biznesowych dzięki naszym scenariuszom biznesowym wdrażania. Zacznij odzaimplementowania rozwiązań technicznych dla rozwiązań biznesowych i filarów technologii, takich jak dane i urządzenia.