Другие средства защиты от угроз в Microsoft Defender для облака

  • Статья

В дополнение к встроенным расширенным планам защиты Microsoft Defender для облака также предлагает следующие возможности для защиты от угроз.

Совет

Чтобы включить возможности Defender для облака для защиты от угроз, необходимо включить функции усиленной безопасности в подписке, содержащей соответствующие рабочие нагрузки.

Защита от угроз для сетевого уровня Azure

Аналитика уровня сети в Защитниках облака основана на примерах данных IPFIX, которые являются заголовками пакетов, собранными основными маршрутизаторами Azure. Основываясь на этом веб-канале данных, Defender для облака использует модели машинного обучения для обнаружения и обозначения вредоносных действий с трафиком. Defender для облака также использует базу данных аналитики угроз Майкрософт для обогащения IP-адресов.

В некоторых конфигурациях сети Defender для облака не может создавать оповещения о подозрительных действиях в сети. Чтобы Defender для облака создавал сетевые оповещения, убедитесь в следующем:

  • у виртуальной машины есть общедоступный IP-адрес (или она находится в пределах подсистемы балансировки нагрузки с общедоступным IP-адресом);
  • исходящий трафик сети виртуальной машины не блокируется внешним решением IDS;

Список оповещений на уровне сети Azure см. в справочной таблице оповещений.

Потоковая передача оповещений системы безопасности из других службы Майкрософт

Отображение оповещений Azure WAF в Defender для облака

Шлюз приложений Azure предоставляет брандмауэр веб-приложения (WAF), обеспечивающий централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей.

Веб-приложения все чаще подвергаются вредоносным атакам, использующим общеизвестные уязвимости. Шлюз приложений WAF основан на наборе основных правил 3.2 или более поздней версии из проекта Open Web Application Security. WAF обновляется автоматически для защиты от новых уязвимостей.

Если вы создали решение для безопасности WAF, оповещения WAF передаются в Defender для облака без других конфигураций. Дополнительные сведения об оповещениях, создаваемых WAF, см. в статье о правилах и группах правил CRS для брандмауэра веб-приложения.

Примечание.

Поддерживается только WAF версии 1 и будет работать с Microsoft Defender для облака.

Чтобы развернуть Шлюз приложений WAF Azure, сделайте следующее:

  1. Откройте Defender для облака из портал Azure.

  2. В меню Defender для облака выберите Решения по обеспечению безопасности.

  3. В разделе "Добавление источников данных" выберите "Добавить" для Шлюз приложений WAF Azure.

    Screenshot showing where to select add to deploy WAF.

Отображение оповещений защиты от атак DDoS Azure в Defender для облака

Как известно, осуществить распределенные атаки типа "отказ в обслуживании" (DDoS) довольно просто. Это серьезная проблема для безопасности, особенно в случае перемещения приложения в облако. Целью DDoS-атаки является исчерпание ресурсов приложения, чтобы оно стало недоступным для обычных пользователей. Атаки DDoS могут быть нацелены на любые конечные точки, доступные через Интернет.

Чтобы защититься от атак DDoS, приобретите лицензию на службу "Защита от атак DDoS" и обязательно следуйте приведенным ниже рекомендациям по проектированию приложений. Защита от атак DDoS предоставляет различные уровни служб. Дополнительные сведения см. в обзоре Защиты от атак DDoS Azure.

Если у вас включена защита от атак DDoS Azure, оповещения DDoS передаются в Defender для облака без другой конфигурации. Дополнительные сведения об оповещениях, создаваемых Защитой от атак DDoS, см. в статье Ссылочная таблица оповещений.

Управление разрешениями Microsoft Entra (прежнее название — Cloudknox)

Управление разрешениями Microsoft Entra — это решение для управления правами облачной инфраструктуры (CIEM). Microsoft Entra Permission Management обеспечивает полную видимость и контроль над разрешениями для любого удостоверения и любого ресурса в Azure, AWS и GCP.

В рамках интеграции каждая подключенная подписка Azure, учетная запись AWS и проект GCP предоставляет сведения об индексе смещения разрешений (PCI). PCI — это совокупная метрика, которая периодически оценивает уровень риска, связанный с количеством неиспользуемых или чрезмерных разрешений в удостоверениях и ресурсах. PCI измеряет, насколько потенциально рискованными могут быть удостоверения на основе доступных им разрешений.

Screenshot of the three associated permission creed index recommendations for Azure, AWS, and GCP.

Следующие шаги

Дополнительные сведения об оповещениях системы безопасности, поступающих из этих средств защиты от угроз, см. в следующих статьях: