Управление безопасностью v3. Безопасность конечных точек
Безопасность конечных точек охватывает аспекты управления, касающиеся обнаружения и нейтрализация атак на конечные точки, в том числе с использованием службы "Обнаружение и нейтрализация атак на конечные точки" (EDR) и службы защиты от вредоносных программ для конечных точек в средах Azure.
ES-1. Обнаружение и нейтрализация атак на конечные точки (EDR)
Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
---|---|---|
13,7 | SC-3, SI-2, SI-3, SI-16 | 11,5 |
Принцип безопасности: активируйте возможности обнаружения и нейтрализации атак на конечные точки (EDR) для виртуальных машин и интегрируйте их с SIEM и операциями безопасности.
Руководство по Azure: Azure Defender для серверов (с интегрированным Microsoft Defender для конечных точек) предоставляет функции EDR для предотвращения, обнаружения, расследования и нейтрализации сложных угроз.
Используйте Microsoft Defender для облака, чтобы развернуть Microsoft Defender для серверов на конечной точке и интегрировать оповещения в решение SIEM, например Azure Sentinel.
Реализация и дополнительный контекст:
- Общие сведения об Azure Defender для серверов
- Обзор Microsoft Defender для конечной точки
- Область действия компонента Microsoft Defender для облака для компьютеров
- Интеграция соединителя для Microsoft Defender для серверов в SIEM
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Безопасность инфраструктуры и конечных точек
- Анализ угроз
- Ответственные за управление соответствием требованиям безопасности
- Управление состоянием
ES-2: использовать современное программное обеспечение для борьбы с вредоносными программами
Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
---|---|---|
10.1 | SC-3, SI-2, SI-3, SI-16 | 5.1 |
Принцип безопасности: используйте решения для защиты от вредоносных программ, поддерживающие защиту в реальном времени и регулярное сканирование.
Руководство по Azure: Microsoft Defender для облака может автоматически обнаруживать использование нескольких популярных решений для защиты от вредоносных программ на виртуальных машинах и локальных компьютерах с настроенной службой Azure Arc, а также сообщать о состоянии запуска Endpoint Protection и формировать рекомендации.
Антивирусная программа в Microsoft Defender — это решение для борьбы с вредоносным ПО, по умолчанию используемое в Windows Server 2016 и более поздних версий. Для Windows Server 2012 R2 используйте расширение Microsoft Antimalware, чтобы активировать SCEP (System Center Endpoint Protection), а Microsoft Defender для облака — для получения и оценки состояния работоспособности. Для виртуальных машин Linux используйте Microsoft Defender для конечной точки в Linux.
Примечание. Вы также можете использовать Защитник службы хранилища в Microsoft Defender для облака для обнаружения вредоносных программ, передаваемых в учетные записи службы хранилища Azure.
Реализация и дополнительный контекст:
- Поддерживаемые решения для защиты конечных точек
- Настройка Microsoft Antimalware для Облачных служб и виртуальных машин
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Безопасность инфраструктуры и конечных точек
- Анализ угроз
- Ответственные за управление соответствием требованиям безопасности
- Управление состоянием
ES-3: проверка обновлений ПО для защиты от вредоносных программ и сигнатур
Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
---|---|---|
10,2 | SI-2, SI-3 | 5,2 |
Принцип безопасности: обеспечьте оперативное и согласованное обновление антивирусных сигнатур для защиты от вредоносных программ.
Руководство по Azure. Следуйте рекомендациям в Microsoft Defender для облака: "Вычисления & приложений", чтобы поддерживать все конечные точки в актуальном состоянии с помощью последних подписей. По умолчанию Microsoft Antimalware будет автоматически устанавливать новые сигнатуры и обновления подсистемы. В Linux убедитесь в том, что в стороннем решении для защиты от вредоносных программ обновлены сигнатуры.
Реализация и дополнительный контекст:
- Развертывание Microsoft Antimalware для Облачных служб и виртуальных машин
- Оценка защиты конечных точек в Microsoft Defender для облака и соответствующие рекомендации
Заинтересованные лица по безопасности клиентов (дополнительные сведения):