Изменить

Share via

Интеграция служб безопасности XDR в Azure и Microsoft Defender

Microsoft Sentinel
Azure Monitor
Microsoft Defender для облака
Azure Log Analytics
Наблюдатель за сетями Azure

Идеи решения

Эта статья является идеей решения. Если вы хотите расширить содержимое с дополнительными сведениями, такими как потенциальные варианты использования, альтернативные службы, рекомендации по реализации или рекомендации по ценам, сообщите нам, предоставив отзыв GitHub.

Вы можете повысить уровень безопасности ИТ-среды вашей организации с помощью функций безопасности Microsoft 365 и Azure. В этой статье, пятой в серии пяти, описывается, как интегрировать функции безопасности этих служб с помощью XDR в Microsoft Defender и служб мониторинга Azure.

Эта статья основана на предыдущих статьях в серии:

  1. Использование мониторинга Azure для интеграции компонентов безопасности предоставляет общее представление о том, как можно интегрировать службы безопасности Azure и Microsoft Defender XDR.

  2. Сопоставление угроз с ИТ-средой описывает методы сопоставления примеров распространенных угроз, тактики и методов с примером гибридной ИТ-среды, которая использует как локальные, так и облачные службы Майкрософт.

  3. Создание первого уровня защиты с помощью служб безопасности Azure сопоставляет пример некоторых служб безопасности Azure, которые создают первый уровень защиты для защиты среды Azure в соответствии с Azure Security Benchmark версии 3.

  4. Создание второго уровня защиты с помощью служб безопасности XDR в Microsoft Defender описывает пример серии атак на ИТ-среду и добавление другого уровня защиты с помощью XDR в Microsoft Defender.

Архитектура

Схема полной эталонной архитектуры для этой пяти статей серии, в которой показаны среда I T, угрозы и службы безопасности.

Скачайте файл Visio для этой архитектуры.

©2021 г. Корпорация MITRE. Эта работа воспроизводится и распространяется с разрешением корпорации MITRE.

На этой схеме показана полная ссылка на архитектуру. Он содержит пример ИТ-среды, набор примеров угроз, которые описаны в соответствии с их тактикой (синим цветом) и их методами (в текстовом поле) в соответствии с матрицой MITRE ATT&CK. Матрица MITRE ATT&CK рассматривается в схеме угроз ит-среды.

На схеме представлены важные службы. Некоторые из этих служб, таких как Наблюдатель за сетями и Аналитика приложений, сосредоточены на сборе информации из определенных служб. Некоторые из них, такие как Log Analytics (также известные как журналы Azure Monitor) и Microsoft Sentinel, являются основными службами, так как они могут собирать, хранить и анализировать информацию из различных служб независимо от того, являются ли они сетевыми, вычислительными или приложениями.

Центральная часть схемы состоит из двух уровней служб безопасности. Существует также один слой с определенными службами мониторинга Azure, интегрированными через Azure Monitor (слева от схемы). Ключевым компонентом этой интеграции является Microsoft Sentinel.

На схеме показаны следующие службы в основных службах мониторинга и на уровне монитора:

  • Azure Monitor
  • Служба Log Analytics
  • Microsoft Defender для облака
  • Microsoft Sentinel
  • Наблюдатель за сетями
  • Аналитика трафика (часть Наблюдатель за сетями)
  • Application Insights
  • Аналитика службы хранилища

Рабочий процесс

  1. Azure Monitor — это зонтик для многих служб мониторинга Azure. Она включает в себя управление журналами, метрики и приложения Аналитика, среди прочего. Он также предоставляет коллекцию панелей мониторинга, готовых к использованию и управлению оповещениями. Дополнительные сведения см. в обзоре Azure Monitor.

  2. Microsoft Defender для облака предоставляет рекомендации по виртуальным машинам , хранилищу, приложениям и другим ресурсам, которые помогают ИТ-среде соответствовать различным нормативным стандартам, таким как ISO и PCI. В то же время Defender для облака предлагает оценку состояния безопасности систем, которые помогают отслеживать безопасность вашей среды. Defender для облака также предлагает автоматические оповещения, основанные на журналах, которые он собирает и анализирует. Defender для облака ранее был известен как Центр безопасности Azure. Дополнительные сведения см. в Microsoft Defender для облака.

  3. Log Analytics — это одна из самых важных служб. Она отвечает за хранение всех журналов и оповещений, которые используются для создания оповещений, аналитических сведений и инцидентов. Microsoft Sentinel работает на основе Log Analytics. В основном, все данные, которые ingests Log Analytics, доступны автоматически в Microsoft Sentinel. Log Analytics также называется журналами Azure Monitor. Дополнительные сведения см. в статье Обзор Log Analytics в Azure Monitor.

  4. Microsoft Sentinel работает как фасад для Log Analytics. Хотя Log Analytics хранит журналы и оповещения из различных источников, Microsoft Sentinel предлагает API,которые помогают приему журналов из различных источников. Эти источники включают локальные виртуальные машины, виртуальные машины Azure, оповещения от XDR в Microsoft Defender и других службах. Microsoft Sentinel сопоставляет журналы, чтобы предоставить аналитические сведения о том, что происходит в ИТ-среде, избегая ложных срабатываний. Microsoft Sentinel является основой безопасности и мониторинга для облачных служб Майкрософт. Дополнительные сведения о Microsoft Sentinel см. в статье "Что такое Microsoft Sentinel?".

Приведенные выше службы в этом списке являются основными службами, работающими в Azure, Office 365 и локальных средах. Следующие службы сосредоточены на определенных ресурсах:

  1. Наблюдатель за сетями предоставляет средства для мониторинга, диагностики, просмотра метрик и включения или отключения журналов для ресурсов в виртуальной сети Azure. Дополнительные сведения см. в статье "Что такое Azure Наблюдатель за сетями?"

  2. Аналитика трафика является частью Наблюдатель за сетями и работает над журналами из групп безопасности сети (NSG). Аналитика трафика предлагает множество панелей мониторинга, которые могут агрегировать метрики из исходящего и входящего подключения в Azure виртуальная сеть. Дополнительные сведения см. в разделе "Аналитика трафика".

  3. Приложение Аналитика ориентировано на приложения и обеспечивает расширяемое управление производительностью и мониторинг динамических веб-приложений, включая поддержку различных платформ, таких как .NET, Node.js, Java и Python. Application Insights — это компонент Azure Monitor. Дополнительные сведения см. в разделе "Аналитика приложения".

  4. служба хранилища Azure Аналитика выполняет ведение журнала и предоставляет метрики для учетной записи хранения. Данные можно использовать для трассировки запросов, анализа тенденций использования и диагностики проблем с учетной записью хранения. Дополнительные сведения см. в статье "Использование аналитики служба хранилища Azure для сбора журналов и данных метрик".

  5. Так как эта ссылка на архитектуру основана на microsoft Zero Trust, службы и компоненты в разделе "Инфраструктура и конечная точка" не имеют конкретных служб мониторинга. Журналы Azure Monitor и Defender для облака — это основные службы, которые собирают, хранят и анализируют журналы из виртуальных машин и других вычислительных служб.

Ключевым компонентом этой архитектуры является Microsoft Sentinel, так как он подключает все журналы и оповещения, предоставляемые службами безопасности Azure, XDR в Microsoft Defender и Azure Monitor. После реализации Microsoft Sentinel и получения журналов и оповещений из всех источников, определенных в этой статье, следующим шагом является сопоставление набора запросов этих журналов для получения аналитических сведений и доказательств индикаторов компрометации (IOCs). Если данные записываются Microsoft Sentinel, вы можете изучить его или разрешить автоматический ответ, настроенный для устранения или устранения инцидента. Автоматические ответы включают действия, такие как блокировка пользователя в идентификаторе Microsoft Entra ID или блокировка IP-адреса через брандмауэр.

Дополнительные сведения о Microsoft Sentinel см . в документации по Microsoft Sentinel.

Как получить доступ к службам безопасности и мониторинга

В следующем списке содержатся сведения о том, как получить доступ к каждой из служб, представленных в этой статье:

  • Службы безопасности Azure. Вы можете получить доступ ко всем службам безопасности Azure, которые упоминание на схемах в этой серии статей с помощью портал Azure. На портале используйте функцию поиска, чтобы найти интересующие вас службы и получить к ним доступ.

  • Azure Monitor. Azure Monitor доступен во всех подписках Azure. Вы можете получить доступ к нему из поиска мониторав портал Azure.

  • Defender для облака. Defender для облака доступен всем, кто обращается к портал Azure. На портале найдите Defender для облака.

  • Log Analytics. Чтобы получить доступ к Log Analytics, необходимо сначала создать службу на портале, так как она не существует по умолчанию. В портал Azure найдите рабочую область Log Analytics и нажмите кнопку "Создать". После создания вы сможете получить доступ к службе.

  • Microsoft Sentinel. Так как Microsoft Sentinel работает над Log Analytics, необходимо сначала создать рабочую область Log Analytics. Затем найдите sentinel в портал Azure. Затем создайте службу, выбрав рабочую область, которую вы хотите использовать в Microsoft Sentinel.

  • Microsoft Defender для конечной точки . Defender для конечной точки является частью XDR в Microsoft Defender. Доступ к службе через https://security.microsoft.com. Это изменение предыдущего URL-адреса securitycenter.windows.com.

  • Microsoft Defender for Cloud Apps. Defender для облака Приложения являются частью Microsoft 365. Доступ к службе через https://portal.cloudappsecurity.com.

  • Microsoft Defender для Office 365. Defender для Office 365 входит в состав Microsoft 365. Доступ к службе через https://security.microsoft.comтот же портал, который использовался для Defender для конечной точки. (Это изменение предыдущего URL-адреса, protection.office.com.)

  • Microsoft Defender для удостоверений. Defender для удостоверений является частью Microsoft 365. Доступ к службе выполняется через https://portal.atp.azure.com. Хотя это облачная служба, Defender для удостоверений отвечает за защиту удостоверения в локальных системах.

  • Microsoft Endpoint Manager. Endpoint Manager — это новое имя Для Intune, Configuration Manager и других служб. Доступ к нему через https://endpoint.microsoft.com. Дополнительные сведения о доступе к службам, предоставляемым XDR в Microsoft Defender, и о том, как связан каждый портал, см. в статье "Создание второго уровня защиты с помощью служб безопасности XDR в Microsoft Defender".

  • Azure Наблюдатель за сетями. Чтобы получить доступ к Azure Наблюдатель за сетями, найдите наблюдателя в портал Azure.

  • Аналитика трафика. Аналитика трафика является частью Наблюдатель за сетями. Вы можете получить доступ к нему из меню слева в Наблюдатель за сетями. Это мощный сетевой монитор, который работает на основе групп безопасности сети, реализованных в отдельных сетевых интерфейсах и подсетях. Наблюдатель за сетями требует сбора сведений из групп безопасности сети. Инструкции по сбору этой информации см. в руководстве по журналу сетевого трафика на виртуальную машину и из нее с помощью портал Azure.

  • Application Insights. Application Insights является частью Azure Monitor. Однако сначала необходимо создать его для приложения, которое требуется отслеживать. Для некоторых приложений, созданных в Azure, например веб-приложения, можно создать Application Insights непосредственно из подготовки веб-приложения. Чтобы получить доступ к нему, найдите монитор в портал Azure. На странице "Монитор" выберите "Приложения" в меню слева.

  • Аналитика Службы хранилища. служба хранилища Azure предлагает различные типы хранилища в рамках одной технологии учетной записи хранения. Большие двоичные объекты, файлы, таблицы и очереди можно найти на основе учетных записей хранения. служба хранилища аналитика предлагает широкий спектр метрик для использования с этими службами хранилища. Откройте Аналитика Службы хранилища из учетной записи служба хранилища в портал Azure, а затем выберите параметры диагностики в меню слева. Выберите одну рабочую область log analytics для отправки этой информации. Затем вы можете получить доступ к панели мониторинга из Аналитика. Все в отслеживаемой учетной записи хранения представлено в меню.

Компоненты

В примере архитектуры в этой статье используются следующие компоненты Azure:

  • Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом. Идентификатор Microsoft Entra помогает пользователям получать доступ к внешним ресурсам, таким как Microsoft 365, портал Azure и тысячи других приложений SaaS. Он также помогает им получать доступ к внутренним ресурсам, таким как приложения в корпоративной сети интрасети.

  • Виртуальная сеть Azure — это фундаментальный строительный блок для вашей частной сети в Azure. виртуальная сеть позволяет многим типам ресурсов Azure безопасно взаимодействовать друг с другом, Интернетом и локальными сетями. виртуальная сеть предоставляет виртуальную сеть, которая обеспечивает преимущества инфраструктуры Azure, например масштабирования, доступности и изоляции.

  • Azure Load Balancer — это высокопроизводительная служба балансировки нагрузки уровня 4 с низкой задержкой (входящий и исходящий) для всех протоколов UDP и TCP. Она разработана для обработки миллионов запросов в секунду, обеспечивая при этом высокую доступность вашего решения. Служба Azure Load Balancer является избыточной между зонами, обеспечивая высокий уровень доступности для разных зон доступности.

  • Виртуальные машины — это один из нескольких типов масштабируемых вычислительных ресурсов, которые предлагает Azure. Виртуальная машина Azure предоставляет гибкие возможности виртуализации без необходимости приобретать и обслуживать физическое оборудование, на котором она выполняется.

  • Служба Azure Kubernetes (AKS) — это полностью управляемая служба Kubernetes для развертывания контейнерных приложений и управления ими. AKS обеспечивает бессерверную службу Kubernetes, непрерывную интеграцию и непрерывную доставку (CI/CD), а также безопасность и управление корпоративным классом.

  • Виртуальный рабочий стол Azure — это облачная служба визуализации рабочих столов и приложений, предоставляющая рабочие столы удаленным пользователям.

  • веб-приложения — это служба на основе HTTP для размещения веб-приложений, REST API и мобильных серверных серверов. Вы можете разрабатывать на выбранном языке, а также запускать и масштабировать приложения с легкостью в средах под управлением Windows и Linux.

  • служба хранилища Azure является высокодоступным, масштабируемым, устойчивым и безопасным хранилищем для различных объектов данных в облаке, включая объект, большой двоичный объект, файл, диск, очередь и хранилище таблиц. Все данные, записанные в учетную запись хранилища Azure, шифруются самой службой. В службе хранилища Azure предоставляется возможность точного управления доступом к данным.

  • База данных SQL Azure — это полностью управляемый ядро СУБД PaaS, обрабатывающее большинство функций управления базами данных , таких как обновление, исправление, резервное копирование и мониторинг. Он предоставляет эти функции без участия пользователей. База данных SQL предоставляет ряд встроенных функций безопасности и соответствия требованиям, которые помогают приложению соответствовать требованиям к безопасности и соответствию требованиям.

Описание решения

Сначала решения мониторинга в Azure могут показаться запутанными, так как Azure предлагает несколько служб мониторинга. Однако каждая служба мониторинга Azure важна в стратегии безопасности и мониторинга, описанной в этой серии. В статьях этой серии описываются различные службы и способы планирования эффективной безопасности для ИТ-среды.

  1. Интеграция компонентов безопасности с помощью мониторинга Azure
  2. Сопоставление угроз с ИТ-средой
  3. Создание первого уровня защиты с помощью служб безопасности Azure
  4. Создание второго уровня защиты с помощью служб безопасности XDR в Microsoft Defender

Потенциальные варианты использования

Эта эталонная архитектура поможет вам понять всю картину служб Microsoft Cloud Security и как интегрировать их для оптимальной системы безопасности.

Вам не нужно реализовать все службы безопасности, представленные в этой архитектуре. Однако этот пример и карта угроз, представленные на схеме архитектуры, помогут вам понять, как создать собственную карту, а затем спланировать соответствующую стратегию безопасности. Выберите нужные службы безопасности Azure и службы XDR в Microsoft Defender, которые необходимо интегрировать через Azure, чтобы ит-среда получила необходимую безопасность.

Оптимизация затрат

Цены на службы Azure, представленные в этой серии статей, вычисляются различными способами. Некоторые службы бесплатны, некоторые из них имеют плату за каждое использование, и некоторые имеют плату, которая основана на лицензировании. Лучший способ оценить цены для любой из служб безопасности Azure — использовать калькулятор цен. В калькуляторе найдите интересующую вас службу, а затем выберите ее, чтобы получить все переменные, определяющие цену службы.

Службы безопасности XDR в Microsoft Defender работают с лицензиями. Сведения о требованиях к лицензированию см . в предварительных требованиях XDR в Microsoft Defender.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участник.

Автор субъекта:

Другие участник:

Следующие шаги

Дополнительные сведения об этой эталонной архитектуре см. в других статьях этой серии:

Связанные архитектуры в Центре архитектуры Azure см. в следующих статьях: