Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Инфраструктура состоит из оборудования, программного обеспечения, микрослужб, сетевой инфраструктуры и объектов, необходимых для поддержки ИТ-служб для организации. Решения инфраструктуры нулевого доверия оценивают, отслеживают и предотвращают угрозы безопасности для этих служб.
Решения инфраструктуры нулевого доверия поддерживают принципы нулевого доверия, гарантируя, что доступ к ресурсам инфраструктуры проверяется явным образом, доступ предоставляется с помощью принципов наименее привилегированного доступа, а механизмы предполагают нарушение и поиск и устранение угроз безопасности в инфраструктуре.
Это руководство предназначено для поставщиков программного обеспечения и партнеров по технологиям, которые хотят улучшить свои решения по обеспечению безопасности инфраструктуры путем интеграции с продуктами Майкрософт.
Руководство по интеграции с нулевым доверием для инфраструктуры
Это руководство по интеграции включает стратегию и инструкции по интеграции с Microsoft Defender для облака и ее интегрированные планы защиты облачных рабочих нагрузок, Microsoft Defender для ... (Серверы, контейнеры, базы данных, хранилище, службы приложений и многое другое).
Руководство включает в себя интеграцию с наиболее популярными решениями службы безопасности и управления событиями (SIEM), автоматизированным ответом оркестрации безопасности (SOAR), обнаружением конечных точек (EDR) и управлением ИТ-службами (ITSM).
Нулевое доверие и Defender для облака
Руководство по развертыванию инфраструктуры "Нулевое доверие " предоставляет ключевые этапы стратегии "Нулевое доверие" для инфраструктуры:
- Оценка соответствия выбранным стандартам и политикам
- Настройка жесткости при обнаружении пробелов
- Использование других средств защиты, таких как JIT-доступ к виртуальной машине
- Настройка обнаружения угроз и защиты
- Автоматическое блокировка и флаг рискованного поведения и выполнение защитных действий
Существует четкое сопоставление целей, описанных в руководстве по развертыванию инфраструктуры , с основными аспектами Defender для облака.
| Цель "Нулевое доверие" | Функция Defender для облака |
|---|---|
| Оценка соответствия требованиям | В Defender для облака каждая подписка автоматически имеет microsoft cloud security benchmark (MCSB) в качестве инициативы безопасности по умолчанию. Используя средства оценки безопасности и панель мониторинга соответствия нормативным требованиям , вы можете получить глубокое представление о состоянии безопасности клиента. |
| Настройка жесткой защиты | Назначьте инициативы безопасности подпискам и просмотрите оценку безопасности, чтобы привести вас к рекомендациям по защите, встроенным в Defender для облака. Defender для облака периодически анализирует состояние соответствия ресурсов для выявления потенциальных неправильных конфигураций безопасности и слабых мест. Затем он предоставляет рекомендации по устранению этих проблем. |
| Использование механизмов защиты | И однократные исправления для неправильной настройки безопасности, Defender для облака включает функции для дальнейшего ужесточения ресурсов, таких как: JIT-доступ к виртуальной машине Адаптивная защита сети Адаптивные элементы управления приложениями. |
| Настройка обнаружения угроз | Defender для облака предлагает интегрированные планы защиты облачных рабочих нагрузок для обнаружения угроз и реагирования. Планы обеспечивают расширенную, интеллектуальную, защиту azure, гибридные и многооблачные ресурсы и рабочие нагрузки. Одна из планов Microsoft Defender, Defender для серверов, включает встроенную интеграцию с Microsoft Defender для конечной точки. Дополнительные сведения см. в статье "Общие сведения о Microsoft Defender для облака". |
| Автоматическое блокирование подозрительного поведения | Многие из рекомендаций по обеспечению защиты в Defender для облака предлагают вариант запрета . Эта функция позволяет предотвратить создание ресурсов, не удовлетворяющих определенным критериям защиты. Дополнительные сведения см. в разделе "Предотвращение неправильной настройки" с помощью рекомендаций "Принудительное применение и запрет". |
| Автоматическое помечение подозрительного поведения | Расширенные обнаружения активируют оповещения системы безопасности Microsoft Defender для облака. Defender для облака определяет приоритеты и выводит список оповещений, а также сведения, необходимые для быстрого изучения проблемы. Defender для облака также содержит подробные инструкции по устранению атак. Полный список доступных оповещений см. в руководстве по безопасности. |
Защита служб Azure PaaS с помощью Defender для облака
С поддержкой Defender для облака в подписке и планами защиты рабочих нагрузок Defender, включенными для всех доступных типов ресурсов, у вас есть уровень интеллектуальной защиты от угроз, защита ресурсов в Azure Key Vault, службе хранилища Azure, Azure DNS и других службах Azure PaaS. Полный список см. в разделе "Службы PaaS", перечисленные в матрице поддержки.
Приложения логики Azure
Используйте Azure Logic Apps для создания автоматизированных масштабируемых рабочих процессов, бизнес-процессов и корпоративных оркестрации для интеграции приложений и данных между облачными службами и локальными системами.
Функция автоматизации рабочих процессов Defender для облака позволяет автоматизировать ответы на триггеры Defender для облака.
Этот подход является отличным способом определения и реагирования на них автоматически, согласованно при обнаружении угроз. Например, чтобы уведомить соответствующих заинтересованных лиц, запустить процесс управления изменениями и применить конкретные действия по исправлению при обнаружении угрозы.
Интеграция Defender для облака с решениями SIEM, SOAR и ITSM
Microsoft Defender для облака может передавать оповещения системы безопасности в самые популярные решения по управлению безопасностью и событиями (SIEM), автоматическому реагированию оркестрации безопасности (SOAR) и управлению ИТ-службами (ITSM).
Существуют собственные средства Azure для просмотра данных оповещений во всех наиболее популярных решениях, используемых сегодня, в том числе:
- Microsoft Sentinel
- Splunk Enterprise и Splunk Cloud
- IBM QRadar
- ServiceNow
- ArcSight
- Power BI
- Palo Alto Networks
Microsoft Sentinel
Defender для облака в собственном коде интегрируется с решением Microsoft Sentinel, облачная среда Майкрософт, управление информационными событиями безопасности (SIEM) и решением автоматического реагирования (SOAR).
Существует два подхода к обеспечению представления данных Defender для облака в Microsoft Sentinel:
Соединители Sentinel — Microsoft Sentinel включает встроенные соединители для Microsoft Defender для Облака на уровне подписки и клиента:
- Потоковая передача оповещений в Microsoft Sentinel на уровне подписки
- Подключение всех подписок в клиенте к Microsoft Sentinel
Подсказка
Дополнительные сведения см. в разделе "Подключение оповещений системы безопасности" из Microsoft Defender для облака.
Потоковая передача журналов аудита — альтернативный способ изучения оповещений Defender для облака в Microsoft Sentinel — потоковая передача журналов аудита в Microsoft Sentinel:
Потоковая передача оповещений с помощью API безопасности Microsoft Graph
Defender для облака имеет нестандартную интеграцию с API безопасности Microsoft Graph. Конфигурация не требуется и не требуется дополнительных затрат.
Этот API можно использовать для потоковой передачи оповещений от всего клиента (и данных из многих других продуктов Майкрософт Security) в не microsoft SIEMs и других популярных платформах:
- Splunk Enterprise и Splunk Cloud - Использование API безопасности Microsoft Graph Add-On для Splunk
- Power BI - Подключение к API безопасности Microsoft Graph в Power BI Desktop
- ServiceNow - Следуйте инструкциям по установке и настройке приложения API безопасности Microsoft Graph из Хранилища ServiceNow
- QRadar - Модуль поддержки устройств IBM для Microsoft Defender для облака с помощью API Microsoft Graph
- Palo Alto Networks, Anomali, Lookout, InSpark и многое другое — API безопасности Microsoft Graph
Дополнительные сведения об API безопасности Microsoft Graph.
Потоковая передача оповещений с помощью Azure Monitor
Используйте функцию непрерывного экспорта Defender для облака для подключения Defender для облака к Azure Monitor с помощью Центров событий Azure и потоковой передачи оповещений в ArcSight, SumoLogic, серверы Syslog, LogRhythm, Logz.io Cloud Observability Platform и другие решения для мониторинга.
Дополнительные сведения см. в разделе "Потоковая передача оповещений" с помощью Azure Monitor.
Эту операцию можно также выполнить на уровне группы управления с помощью политики Azure. См. статью "Создание конфигураций непрерывной автоматизации экспорта в масштабе".
Подсказка
Чтобы просмотреть схемы событий экспортированных типов данных, посетите схемы событий Центров событий.
Интеграция Defender для облака с решением обнаружения и ответа конечных точек (EDR)
Microsoft Defender для конечной точки
Microsoft Defender для конечной точки — это комплексное облачное решение для обеспечения безопасности конечных точек.
Microsoft Defender для серверов включает интегрированную лицензию для Microsoft Defender для конечной точки. Вместе они предоставляют комплексные возможности обнаружения конечных точек и реагирования (EDR). Дополнительные сведения см. в разделе "Защита конечных точек".
Когда Defender для конечной точки обнаруживает угрозу, он активирует оповещение. Оповещение отображается в Defender для облака, и вы можете свести к консоли Defender для конечной точки подробные исследования и выявить область атаки. Дополнительные сведения о Microsoft Defender для конечной точки.
Другие решения EDR
Defender для облака предоставляет рекомендации по защите ресурсов вашей организации в соответствии с рекомендациями microsoft cloud security benchmark (MCSB). Один из элементов управления в эталонном тесте связан с безопасностью конечных точек: ES-1: использование обнаружения конечных точек и ответа (EDR).
Существует две рекомендации в Defender для облака, чтобы обеспечить включенную защиту конечных точек, и она работает хорошо. Эти рекомендации проверяют наличие и работоспособность решений EDR:
- Trend Micro
- Symantec
- McAfee
- Sophos
Дополнительные сведения об оценке и рекомендациях Endpoint Protection см. в Microsoft Defender для Cloud.
Применение стратегии "Нулевое доверие" к гибридным и многооблачными сценариям
При использовании облачных рабочих нагрузок, которые обычно охватывают несколько облачных платформ, облачные службы безопасности должны выполнять то же самое.
Microsoft Defender для облака защищает рабочие нагрузки везде, где они работают: в Azure, локальной среде, Amazon Web Services (AWS) или Google Cloud Platform (GCP).
Интеграция Defender для облака с локальными компьютерами
Чтобы защитить гибридные облачные рабочие нагрузки, можно расширить защиту Defender для облака, подключив локальные компьютеры к серверам с поддержкой Azure Arc.
Узнайте, как подключить компьютеры в Connect ваши компьютеры, отличные от Azure, к Defender для облака.
Интеграция Defender для облака с другими облачными средами
Чтобы просмотреть состояние безопасности компьютеров Amazon Web Services в Defender для облака, доставьте учетные записи AWS в Defender для облака. Этот подход интегрирует Центр безопасности AWS и Microsoft Defender для облака для единого представления рекомендаций Defender для облака и результаты AWS Security Hub и предоставляет ряд преимуществ, как описано в разделе "Подключение учетных записей AWS к Microsoft Defender для облака".
Чтобы просмотреть состояние безопасности компьютеров Google Cloud Platform в Defender для облака, доставьте учетные записи GCP в Defender для облака. Этот подход интегрирует команду безопасности GCP и Microsoft Defender для облака для единого представления рекомендаций Defender для облака и результаты центра управления безопасности GCP и предоставляет ряд преимуществ, как описано в разделе "Подключение учетных записей GCP к Microsoft Defender для облака".
Дальнейшие шаги
Дополнительные сведения о Microsoft Defender для облака см. в полной документации по Defender для Облака.