Защита развертывания виртуальной сети

Виртуальная сеть Azure — это базовый стандартный блок для частной сети в Azure, что позволяет ресурсам Azure безопасно взаимодействовать друг с другом, Интернетом и локальными сетями. При развертывании виртуальных сетей необходимо реализовать средства управления безопасностью для защиты сетевой инфраструктуры, управления потоком трафика и предотвращения несанкционированного доступа к ресурсам.

В этой статье приводятся рекомендации по обеспечению оптимальной защиты развертывания виртуальной сети Azure.

Сетевая безопасность

Безопасность сети для виртуальных сетей направлена на управление потоком трафика, реализацией сегментации сети и защитой от внешних угроз. Правильные средства управления безопасностью сети помогают изолировать рабочие нагрузки, предотвращать боковое перемещение и защищать от распределенных атак типа "отказ в обслуживании".

  • Сегментирование рабочих нагрузок с помощью групп безопасности сети (NSG) и групп безопасности приложений: применение групп безопасности сети к подсетям и сетевым интерфейсам для управления входящим и исходящим трафиком на основе исходного IP-адреса, конечного IP-адреса, порта и протокола. Используйте группы безопасности приложений для логического группирования виртуальных машин и определения политик безопасности сети на основе структуры приложения. Используйте подход "запретить по умолчанию, разрешить по исключению", чтобы свести к минимуму область атаки. Дополнительные сведения см. в разделе "Группы безопасности сети".

  • Включите журналы потоков NSG для мониторинга трафика: настройте журналы потоков NSG для сбора сведений о IP-трафике, проходящих через группы безопасности сети. Отправьте эти журналы в Azure Monitor Log Analytics и используйте Аналитику трафика для визуализации сетевой активности и выявления угроз безопасности. Дополнительные сведения см. в журналах потоков NSG.

  • Развертывание брандмауэра Azure для централизованной защиты с отслеживанием состояния: используйте брандмауэр Azure для управления входящим и исходящим трафиком в виртуальных сетях с полной проверкой пакетов с отслеживанием состояния. Определение и управление правилами приложений и сети в масштабе с помощью централизованных политик брандмауэра. Брандмауэр Azure поддерживает DNAT для безопасного входящего доступа и SNAT для согласованного исходящего подключения. Для повышения безопасности включите фильтрацию на основе аналитики угроз, чтобы автоматически оповещать о трафике к известным вредоносным IP-адресам и доменам, и используйте Azure Firewall Premium с системой обнаружения и предотвращения вторжений (IDPS) для мониторинга и блокировки вредоносного сетевого трафика. Интеграция с Azure Monitor для полного просмотра трафика и анализа журналов. Дополнительные сведения см. в статье "Брандмауэр Azure".

  • Включите защиту от атак DDoS стандарта 'Стандартный': активируйте стандартную защиту от атак DDoS в ваших виртуальных сетях, чтобы защититься от распределенных атак типа "отказ в обслуживании". Эта служба предоставляет расширенные возможности защиты от атак DDoS и мониторинг в режиме реального времени для общедоступных IP-адресов. Дополнительные сведения см. в статье «Защита уровня 'Стандартный' от атак DDoS на платформе Azure».

  • Используйте теги служб, чтобы упростить правила безопасности: замените определенные IP-адреса тегами служб в правилах NSG, чтобы разрешить обмен данными со службами Azure при сохранении безопасности. Корпорация Майкрософт автоматически обновляет теги служб по мере изменения диапазонов IP-адресов. Дополнительные сведения см. в разделе "Теги службы".

  • Настройка записи пакетов для анализа данных: включение записи пакетов на виртуальных машинах или использование записи пакетов VPN-шлюза для записи сетевого трафика для анализа безопасности и исследования инцидентов. Для получения дополнительной информации см. перехват пакетов в Network Watcher.

  • Реализуйте Бастион Azure для безопасного доступа RDP/SSH: используйте Бастион Azure для безопасного подключения к виртуальным машинам через RDP или SSH без предоставления доступа к общедоступному Интернету. Бастион устраняет необходимость общедоступных IP-адресов на виртуальных машинах и сокращает область атаки. Дополнительные сведения см. в статье "Бастион Azure".

  • Реализуйте шлюз Azure NAT для исходящего трафика: используйте шлюз NAT Azure для предоставления статического исходящего IP-адреса для ресурсов виртуальной сети, обеспечивая безопасный и масштабируемый трафик исходящего трафика. Шлюз NAT также обеспечивает защиту от исчерпания портов. Дополнительные сведения см. в статье "Шлюз NAT Azure".

  • Используйте частные конечные точки и приватный канал для служб Azure: используйте Приватный канал Azure для доступа к службам Azure PaaS (например, службе хранилища Azure, базе данных SQL) через частную конечную точку в виртуальной сети. Приватный канал устраняет уязвимость к общедоступному Интернету и повышает безопасность, сохраняя трафик в магистральной сети Azure. Дополнительные сведения см. в разделе Приватный канал Azure.

  • Настройте подсети в качестве частных по умолчанию: для подсетей, для которых не требуется общедоступный доступ к Интернету, настройте их как частные подсети. При необходимости используйте брандмауэр Azure или шлюз NAT для управляемого исходящего доступа. Дополнительные сведения см. в разделе "Исходящий доступ по умолчанию" в Azure

  • Применение рекомендаций по адаптивной защите сети. Используйте Microsoft Defender для адаптивной защиты сети облака для получения рекомендаций на основе машинного обучения для ужесточения правил NSG на основе фактических шаблонов трафика и аналитики угроз. Дополнительные сведения см. в разделе Адаптивная защита сети.

  • Проектирование с помощью принципов глубины обороны: реализация нескольких уровней элементов управления безопасностью сети для создания избыточной защиты. Используйте стратегии сегментации, которые изолируют критически важные рабочие нагрузки и применяют различные меры безопасности на каждой границе сети, чтобы содержать потенциальные нарушения.

  • Включение шифрования виртуальной сети. Используйте шифрование виртуальной сети Azure для шифрования передаваемых данных между виртуальными машинами в одной виртуальной сети и между региональной и глобально одноранговой виртуальными сетями. Это обеспечивает дополнительную защиту для обмена конфиденциальными данными. Дополнительные сведения см. в разделе "Шифрование виртуальной сети".

  • Обслуживание обновленного периметра безопасности: регулярно просматривайте и обновляйте параметры безопасности, включая группы безопасности приложений, а также диапазоны IP-адресов. Устаревшие правила могут не соответствовать текущей сетевой архитектуре или шаблонам трафика, потенциально создавая пробелы в безопасности. Дополнительные сведения см. в разделе "Группы безопасности сети".

  • Ограничение использования общедоступных IP-адресов. Свести к минимуму количество общедоступных IP-адресов с помощью общих общедоступных IP-адресов из служб, таких как Azure Front Door или Шлюз приложений. Когда требуются общедоступные IP-адреса, реализуйте надлежащее управление портами и проверку запросов. Дополнительные сведения см. в разделе "Общедоступные IP-адреса".

Управление идентичностью

Управление удостоверениями для виртуальных сетей включает управление доступом к сетевым ресурсам и гарантирует, что только авторизованные пользователи и службы могут изменять конфигурации сети. Надлежащие средства контроля идентификации предотвращают несанкционированные изменения сети и поддерживают безопасность сети.

  • Используйте Azure RBAC для доступа к сетевым ресурсам: назначьте соответствующие встроенные роли, такие как участник сети или пользовательские роли с определенными разрешениями для управления тем, кто может создавать, изменять или удалять виртуальные сети и связанные ресурсы. Следуйте принципу наименьших привилегий. Дополнительные сведения см. в статье Azure RBAC для сетей.

  • Включение интеграции идентификатора Microsoft Entra с единым входом. Используйте идентификатор Microsoft Entra в качестве централизованного поставщика удостоверений для управления доступом к сетевым ресурсам и связанным службам Azure. Реализуйте единый вход (SSO), а не настраивайте отдельные автономные учетные данные для каждой службы, чтобы уменьшить поверхность атаки и свести к минимуму требования к паролям. Интеграция идентификатора Microsoft Entra обеспечивает согласованную проверку подлинности и авторизацию в сетевой инфраструктуре. Дополнительные сведения см. в разделе "Единый вход в приложения".

  • Реализуйте условный доступ для сетевых администраторов: настройте политики условного доступа, чтобы требовать многофакторную проверку подлинности и ограничить доступ к операциям управления сетями на основе расположения пользователя, соответствия устройств и уровня риска. Дополнительные сведения см. в разделе Условный доступ.

  • Используйте управляемые удостоверения для ресурсов Azure: включите управляемые удостоверения для ресурсов Azure, которым требуется доступ к другим службам Azure, устраняя необходимость хранения учетных данных в конфигурациях виртуальной сети. Это обеспечивает безопасную проверку подлинности без учетных данных. Дополнительные сведения см. в разделе Управляемые удостоверения.

  • Регулярно просматривайте и согласовывайте доступ пользователей: выполняйте регулярные проверки доступа для эффективного управления членством в группах, доступом к корпоративным приложениям и назначениям ролей. Убедитесь, что только активные пользователи имеют постоянный доступ к функциям управления сетями. Дополнительные сведения см. в статье "Проверки доступа к удостоверениям Azure".

  • Примените принцип наименьших привилегий для сетевых ролей: настройте управление доступом на основе ролей с учетом отсутствия доступа для ролей, связанных с сетью. Убедитесь, что пользователи могут изменять параметры сети только в соответствии с требованиями их функции задания, чтобы свести к минимуму потенциальные риски безопасности. Дополнительные сведения см. в рекомендациях по Azure RBAC.

Привилегированный доступ

Управление привилегированным доступом для виртуальных сетей сосредоточено на защите административных операций и обеспечении того, чтобы авторизованный персонал выполнял изменения конфигурации сети с соответствующим надзором и мониторингом.

  • Принудительное применение многофакторной проверки подлинности для администраторов сети: требуется многофакторная проверка подлинности для всех пользователей с привилегиями администрирования сети, чтобы добавить дополнительный уровень безопасности за пределами паролей. Многофакторная проверка подлинности значительно снижает риск атак на основе учетных данных. Дополнительные сведения см. в разделе Многофакторная проверка подлинности Microsoft Entra.

  • Используйте доступ по запросу для сетевых операций: реализуйте Microsoft Entra Privileged Identity Management, чтобы обеспечить временный доступ к ролям администрирования сети. Доступ JIT уменьшает период уязвимости для привилегированных учетных данных. Дополнительные сведения см. в разделе Управление привилегированными идентификациями.

  • Мониторинг привилегированных сетевых действий: включение ведения журнала и мониторинга для всех привилегированных сетевых операций, включая изменения группы безопасности сети, изменения таблицы маршрутов и обновления правил брандмауэра. Используйте журнал действий Azure и Azure Monitor для отслеживания административных действий. Дополнительные сведения см. в журнале действий Azure.

  • Используйте выделенные административные учетные записи с рабочими станциями привилегированного доступа: создайте стандартные операционные процедуры для использования выделенных административных учетных записей. Развертывание рабочих станций привилегированного доступа (PAW) с многофакторной проверкой подлинности, настроенной для сетевых администраторов для выполнения административных задач. PaW обеспечивает защищенное безопасное окружение для управления критической сетевой инфраструктурой. Используйте Microsoft Defender для облака, чтобы управлять удостоверениями и доступом и отслеживать количество административных учетных записей. Дополнительные сведения см. в статье Privileged Access Workstations (Рабочие станции с привилегированным доступом).

  • Сохраняйте инвентаризацию учетных записей администратора: используйте встроенные роли администратора идентификатора Microsoft Entra, которые можно явно назначать и запрашивать. Регулярно проверяйте учетные записи, которые являются членами административных групп, чтобы обеспечить надлежащий контроль доступа.

Защита данных

Защита данных для виртуальных сетей включает защиту данных во время передачи по сетевой инфраструктуре и обеспечение шифрования и защиты сетевых коммуникаций от перехвата или изменения.

  • Включение шифрования при передаче: убедитесь, что весь сетевой трафик использует протоколы шифрования, такие как TLS 1.2 или более поздней версии, IPsec для VPN-подключений и зашифрованные протоколы для обмена данными с приложениями. Azure предоставляет шифрование по умолчанию для трафика между центрами обработки данных Azure. Дополнительные сведения см. в разделе "Шифрование во время передачи".

  • Включение шифрования виртуальной сети Azure. Используйте шифрование виртуальной сети Azure для шифрования данных между виртуальными машинами в одной виртуальной сети. Это обеспечивает дополнительный уровень безопасности для конфиденциальных данных. Дополнительные сведения см. в разделе "Шифрование виртуальной сети Azure".

  • Реализуйте элементы управления доступом к сети для конфиденциальных данных: используйте группы безопасности сети и брандмауэр Azure, чтобы ограничить доступ к подсетям и ресурсам, содержащим конфиденциальные данные. Применение принципов глубины обороны с несколькими уровнями элементов управления безопасностью сети.

  • Включите MACsec для Azure ExpressRoute: для подключений ExpressRoute включите MACsec (безопасность управления доступом к мультимедиа) для обеспечения шифрования уровня 2 между локальной сетью и Azure, обеспечивая конфиденциальность и целостность данных во время передачи. Дополнительные сведения см. в статье MACsec для ExpressRoute.

  • Классифицируйте данные по уровню конфиденциальности: назначьте уровни конфиденциальности данным, которые передаются через ваши виртуальные сети, и реализуйте соответствующие меры сетевой безопасности на основе этих классификаций. Используйте эту классификацию для влияния на проектирование сети и приоритет безопасности.

Ведение журнала и обнаружение угроз

Комплексное ведение журнала и обнаружение угроз для виртуальных сетей обеспечивает мониторинг безопасности, реагирование на инциденты и отчеты о соответствии требованиям. Надлежащее ведение журнала помогает выявлять угрозы безопасности и предоставляет судебно-медицинские возможности для расследования инцидентов.

  • Централизация сбора журналов с помощью Azure Monitor: настройка параметров диагностики для отправки журналов виртуальной сети, журналов потоков NSG и журналов брандмауэра Azure в рабочую область Azure Monitor Log Analytics для централизованного анализа и корреляции. Задайте соответствующие периоды хранения журналов в соответствии с правилами соответствия вашей организации и используйте учетные записи хранения Azure для долгосрочного архивного хранения журналов безопасности. Дополнительные сведения см. в статье Azure Monitor.

  • Включите Microsoft Defender для облака: используйте Microsoft Defender для облака для мониторинга ресурсов виртуальной сети для неправильной настройки и угроз безопасности. Включите расширенные функции безопасности для комплексной защиты. Дополнительные сведения см. в Microsoft Defender для облака.

  • Настройка оповещений и уведомлений системы безопасности. Настройка оповещений Azure Monitor для критически важных событий безопасности сети, таких как изменения правил NSG, необычные шаблоны трафика или блоки брандмауэра. Настройте группы действий для автоматического уведомления групп безопасности. Дополнительные сведения см. в оповещениях Azure Monitor.

  • Используйте Microsoft Sentinel для расширенного обнаружения угроз: подключите журналы виртуальной сети к Microsoft Sentinel для расширенной аналитики безопасности, поиска угроз и автоматического реагирования. Дополнительные сведения см. в разделе Microsoft Sentinel.

  • Включение комплексного ведения журнала сетевых ресурсов: включение ведения журнала диагностики для виртуальных сетей, подсистем балансировки нагрузки и других сетевых компонентов для отслеживания изменений конфигурации и шаблонов доступа. Настройте ведение журнала запросов DNS для DNS-серверов Azure или пользовательских DNS-серверов для обнаружения атак на основе DNS и попыток кражи данных. Отслеживайте подозрительные запросы домена и действия туннелирования DNS.

  • Мониторинг и анализ журналов с помощью UEBA: регулярно просматривайте журналы для аномального поведения и событий безопасности. Используйте рабочую область Log Analytics Azure Monitor для запроса и анализа данных безопасности. Реализуйте средства аналитики поведения пользователей и сущностей (UEBA) для сбора поведения пользователей из данных мониторинга и анализа его для обнаружения аномальных шаблонов доступа пользователей, которые могут указывать на угрозы безопасности.

Управление активами

Управление ресурсами для виртуальных сетей включает ведение инвентаризации сетевых ресурсов, реализацию политик управления и обеспечение соответствия стандартам безопасности. Эффективное управление ресурсами помогает поддерживать состояние безопасности и позволяет быстро реагировать на инциденты безопасности.

  • Используйте политику Azure для управления и ограничений ресурсов: развертывание определений политики Azure для обеспечения соблюдения стандартов безопасности для виртуальных сетей. Эти политики могут требовать группы безопасности сети в подсетях, запрашивать определенные правила безопасности или предотвращать создание общедоступных IP-адресов. Используйте встроенные определения политик, такие как "Недопустимые типы ресурсов" и "Разрешенные типы ресурсов", чтобы ограничить создание ресурсов. Дополнительные сведения см. в статье "Политика Azure для виртуальных сетей".

  • Маркировка сетевых ресурсов для организации: Применяйте согласованные стратегии маркировки к виртуальным сетям, подсетям, группам сетевой безопасности и связанным ресурсам, чтобы обеспечить надлежащее управление организацией, затратами и применение политик безопасности. Используйте теги и поле описания в правилах NSG, чтобы указать бизнес-потребности, длительность и другую информацию для правил безопасности для помощи в аудите безопасности и управлении правилами. Дополнительные сведения см. в разделе "Теги ресурсов".

  • Мониторинг изменений конфигурации ресурсов. Используйте Azure Resource Graph для запроса и обнаружения всех сетевых ресурсов в подписках. Настройте оповещения для несанкционированных изменений в критически важных конфигурациях сети. Дополнительные сведения см. в статье Azure Resource Graph.

  • Реализуйте стандартизированное управление конфигурацией: используйте шаблоны Azure Resource Manager или Bicep, чтобы определить и развернуть конфигурации сети последовательно. Используйте Azure Blueprints для упрощения крупномасштабных развертываний Azure путем упаковки артефактов ключевых сред, таких как шаблоны Azure Resource Manager, назначения управления доступом на основе ролей и политики в одном определении схемы. Храните шаблоны в управлении версиями и реализуйте процессы управления изменениями для сетевых изменений. Дополнительные сведения см. в статье Azure Blueprints.

  • Ведение утвержденных инвентаризаций ресурсов: создание и поддержание инвентаризаций утвержденных ресурсов Azure и конфигураций для вашей сетевой среды. Регулярно проводите аудит развертываний, чтобы обеспечить соответствие утвержденным базовым планам.

Тестирование безопасности

Тестирование безопасности для виртуальных сетей гарантирует, что реализованные элементы управления безопасностью работают правильно и могут обнаруживать и предотвращать потенциальные угрозы. Регулярное тестирование проверяет эффективность состояния безопасности сети.

  • Проведение регулярного тестирования на проникновение: выполнение периодического тестирования на проникновение, проводимого экспертами, внешними для команды, которые пытаются провести этическое проникновение в сетевую инфраструктуру. Эти тесты проверяют защиту безопасности путем имитации реальных атак.

  • Реализация сканирования уязвимостей: выполнение подпрограммы и интегрированного сканирования уязвимостей для обнаружения эксплойтов в сетевой инфраструктуре, виртуальных машинах и сетевых устройствах. Интеграция сканеров в конвейеры развертывания для автоматического обнаружения уязвимостей.

  • Тестирование процедур реагирования на инциденты: регулярное тестирование возможностей реагирования на инциденты безопасности сети. Определите слабые точки и пробелы в процедурах реагирования на безопасность сети и пересматривайте планы по мере необходимости.

  • Проверка сегментации сети. Регулярно тестируют элементы управления сегментацией сети, чтобы гарантировать, что скомпрометированные ресурсы в одном сегменте не могут получить доступ к ресурсам в других сегментах. Убедитесь, что границы изоляции работают как разработанные.

  • Тестирование процедур резервного копирования и восстановления. Регулярно тестируйте возможности повторного создания конфигураций виртуальной сети из экспортированных шаблонов или документации, чтобы процедуры восстановления работали правильно и соответствовали целям времени восстановления.

  • Включите средство проверки виртуальной сети. Используйте средство проверки виртуальной сети в Диспетчере виртуальных сетей Azure в предварительно-продуктивной среде, чтобы протестировать подключение между ресурсами и убедиться, что они доступны и не блокируются политиками. Дополнительные сведения см. в разделе "Проверка виртуальной сети".

  • Используйте Azure Chaos Studio для тестирования устойчивости: реализуйте Azure Chaos Studio, чтобы имитировать нарушения сетевого подключения и проверять, что средства управления безопасностью остаются эффективными во время сценариев сбоя. Это гарантирует, что механизмы безопасности продолжают функционировать должным образом, даже если сеть испытывает стресс или частичные сбои. Дополнительные сведения см. в Azure Chaos Studio.

Резервное копирование и восстановление

Резервное копирование и восстановление виртуальных сетей сосредоточено на сохранении конфигураций сети и обеспечении быстрого восстановления сетевого подключения при случайном удалении или ошибках конфигурации. Хотя для виртуальных сетей не требуются традиционные резервные копии, сохранение конфигурации является критически важным.

  • Экспорт и защита конфигураций сети. Используйте Azure Resource Manager для экспорта конфигураций виртуальной сети в качестве шаблонов, которые можно хранить и использовать для аварийного восстановления. Автоматизировать этот процесс с помощью службы автоматизации Azure или Azure Pipelines. Используйте Azure DevOps для безопасного хранения кода и управления ими, таких как пользовательские определения политик Azure и шаблоны Azure Resource Manager. Включите Soft-Delete и защиту от очистки в Key Vault, чтобы защитить ключи от случайного или вредоносного удаления. Дополнительные сведения см. в разделе "Экспорт шаблонов".

  • Архитектура сети документов: поддержку комплексной документации по проектированию сети, включая схемы IP-адресов, таблицы маршрутизации, правила группы безопасности и требования к подключению. Сохраните эту документацию в безопасном, доступном расположении.

  • Тестирование и проверка процедур восстановления. Регулярно проверяйте возможность повторного создания конфигураций виртуальной сети из экспортированных шаблонов или документации, чтобы обеспечить правильную работу процедур восстановления и достижения целей времени восстановления. Периодически выполняйте развертывание шаблонов Azure Resource Manager в изолированной подписке и протестируйте восстановление резервных копии управляемых клиентом ключей, чтобы обеспечить правильную работу процедур восстановления.

  • Резервное копирование подключенных ресурсов и ключей, управляемых клиентом. Хотя виртуальные сети не требуют резервного копирования, убедитесь, что виртуальные машины и другие ресурсы, подключенные к вашим сетям, правильно резервируются с помощью Azure Backup, чтобы обеспечить полные возможности восстановления. При использовании управляемых клиентом ключей для шифрования в среде виртуальной сети убедитесь, что эти ключи создаются в Azure Key Vault с соответствующими процедурами хранения и восстановления. Дополнительные сведения см. в статье Azure Backup.

  • Подготовка избыточной сетевой инфраструктуры: заранее дублируйте сетевую инфраструктуру, особенно для гибридных настроек. Убедитесь, что отдельные маршруты в разных регионах готовы взаимодействовать друг с другом заранее. Реплицируйте и поддерживайте последовательные группы безопасности сети и правила брандмауэра Azure на основных и резервных площадках. Избегайте пересекающихся диапазонов IP-адресов между производственными и сетями аварийного восстановления, чтобы упростить управление сетями и ускорить переход при аварийном переключении.

Реагирование на инциденты

Реагирование на инциденты для виртуальных сетей включает создание процедур для обнаружения, реагирования на инциденты безопасности и восстановления от инцидентов безопасности, влияющих на сетевую инфраструктуру. Надлежащие возможности реагирования на инциденты помогают свести к минимуму влияние нарушений безопасности и обеспечить быстрое восстановление служб.

  • Создайте руководство по реагированию на инциденты: создайте руководство по реагированию на инциденты для организации, которая определяет все роли персонала и этапы обработки инцидентов от обнаружения до проверки после инцидента. Включите конкретные процедуры для инцидентов безопасности сети.

  • Реализуйте оценку инцидентов и приоритет: создайте процедуры для определения приоритета инцидентов безопасности на основе серьезности и влияния. Используйте оповещения Microsoft Defender для облака, чтобы определить приоритеты, какие инциденты безопасности сети следует исследовать сначала.

  • Настройка контактных данных об инциденте безопасности. Настройте контактные данные об инциденте безопасности, которые будут использоваться корпорацией Майкрософт для связи с вами, если Центр реагирования майкрософт обнаруживает, что ваши данные были доступны незаконной или несанкционированной стороне. Дополнительные сведения см. в разделе "Контакт Microsoft Defender для Cloud Security".

  • Включение оповещений системы безопасности в ответ на инциденты: экспорт оповещений и рекомендаций Microsoft Defender для облака с помощью функции непрерывного экспорта для выявления рисков для ресурсов Azure. Используйте соединитель данных для потоковой передачи оповещений в Microsoft Sentinel для централизованного управления инцидентами.

  • Тестирование процедур реагирования на безопасность: регулярно проводите упражнения по тестированию возможностей реагирования на инциденты в системах. Определите слабые точки и пробелы в процедурах реагирования на безопасность сети и пересматривайте планы по мере необходимости.

  • Автоматизация реагирования на инциденты. Используйте функцию автоматизации рабочих процессов в Microsoft Defender для облака, чтобы автоматически активировать ответы с помощью Logic Apps в оповещениях и рекомендациях по защите сетевых ресурсов Azure.

  • Last updated on