Redigera

Share via

Integrera Azure och Microsoft Defender XDR-säkerhetstjänster

Microsoft Sentinel
Azure Monitor
Microsoft Defender for Cloud
Azure Log Analytics
Azure Network Watcher

Lösningsidéer

Den här artikeln är en lösningsidé. Om du vill att vi ska utöka innehållet med mer information, till exempel potentiella användningsfall, alternativa tjänster, implementeringsöverväganden eller prisvägledning, kan du meddela oss genom att ge GitHub-feedback.

Du kan förbättra säkerhetsstatusen för din organisations IT-miljö med hjälp av säkerhetsfunktionerna i både Microsoft 365 och Azure. Den här artikeln, den femte i en serie med fem, beskriver hur du kan integrera säkerhetsfunktionerna i dessa tjänster med hjälp av Microsoft Defender XDR- och Azure-övervakningstjänster.

Den här artikeln bygger på föregående artiklar i serien:

  1. Med Azure-övervakning för att integrera säkerhetskomponenter får du en övergripande vy över hur du kan integrera säkerhetstjänsterna i Azure och Microsoft Defender XDR.

  2. Mappa hot mot DIN IT-miljö beskriver metoder för att mappa exempel på vanliga hot, taktiker och tekniker mot ett exempel på en hybrid-IT-miljö som använder både lokala och Microsoft-molntjänster.

  3. Skapa det första försvarsskiktet med Azure Security Services mappar ett exempel på vissa Azure-säkerhetstjänster som skapar det första försvarsskiktet för att skydda din Azure-miljö enligt Azure Security Benchmark version 3.

  4. Skapa det andra försvarsskiktet med Microsoft Defender XDR Security Services beskriver ett exempel på en serie attacker mot IT-miljön och hur du lägger till ytterligare ett skyddslager med hjälp av Microsoft Defender XDR.

Arkitektur

Diagram över den fullständiga referensarkitekturen för den här serien med fem artiklar som visar en I T-miljö, hot och säkerhetstjänster.

Ladda ned en Visio-fil med den här arkitekturen.

©2021 MITRE Corporation. Det här arbetet reproduceras och distribueras med tillstånd av MITRE Corporation.

Det här diagrammet visar en fullständig arkitekturreferens. Den innehåller ett exempel på en IT-miljö, en uppsättning exempelhot som beskrivs enligt deras taktik (i blått) och deras tekniker (i textrutan) enligt MITRE ATT&CK-matrisen. MITRE ATT&CK-matrisen beskrivs i Mappa hot mot DIN IT-miljö.

Det finns viktiga tjänster som visas i diagrammet. Vissa av dessa tjänster, till exempel Network Watcher och Application Insights, fokuserar på att samla in information från specifika tjänster. Vissa av dem, till exempel Log Analytics (även kallade Azure Monitor-loggar) och Microsoft Sentinel, är kärntjänster eftersom de kan samla in, lagra och analysera information från olika tjänster, oavsett om de är nätverk, beräkning eller programtjänster.

Den centrala delen av diagrammet har två lager av säkerhetstjänster. Det finns också ett lager med specifika Azure-övervakningstjänster som är integrerade via Azure Monitor (till vänster i diagrammet). Den viktigaste komponenten i den här integreringen är Microsoft Sentinel.

Diagrammet visar följande tjänster i Core Monitoring Services och i övervakningsskiktet :

  • Azure Monitor
  • Log Analytics
  • Microsoft Defender for Cloud
  • Microsoft Sentinel
  • Network Watcher
  • Traffic Analytics (en del av Network Watcher)
  • Programinsikter
  • Lagringsanalys

Arbetsflöde

  1. Azure Monitor är paraplyet för många Azure-övervakningstjänster. Den innehåller bland annat logghantering, mått och Application Insights. Den innehåller också en samling instrumentpaneler som är redo för användning och hantering av aviseringar. Mer information finns i Översikt över Azure Monitor.

  2. Microsoft Defender för molnet ger rekommendationer för virtuella datorer , lagring, program och andra resurser, som hjälper en IT-miljö att följa olika regelstandarder, till exempel ISO och PCI. Samtidigt erbjuder Defender för molnet en poäng för säkerhetsstatusen för system som kan hjälpa dig att spåra säkerheten i din miljö. Defender för molnet erbjuder även automatiska aviseringar som baseras på loggarna som samlas in och analyseras. Defender för molnet kallades tidigare Azure Security Center. Mer information finns i Microsoft Defender för molnet.

  3. Log Analytics är en av de viktigaste tjänsterna. Den ansvarar för att lagra alla loggar och aviseringar som används för att skapa aviseringar, insikter och incidenter. Microsoft Sentinel fungerar ovanpå Log Analytics. I grund och botten är alla data som Log Analytics matar in automatiskt tillgängliga för Microsoft Sentinel. Log Analytics kallas även för Azure Monitor-loggar. Mer information finns i Översikt över Log Analytics i Azure Monitor.

  4. Microsoft Sentinel fungerar som en fasad för Log Analytics. Medan Log Analytics lagrar loggar och aviseringar från olika källor, erbjuder Microsoft Sentinel API:er som hjälper till med inmatning av loggar från olika källor. Dessa källor omfattar lokala virtuella datorer, virtuella Azure-datorer, aviseringar från Microsoft Defender XDR och andra tjänster. Microsoft Sentinel korrelerar loggarna för att ge insikter om vad som händer i DIN IT-miljö och undviker falska positiva identifieringar. Microsoft Sentinel är kärnan i säkerhet och övervakning för Microsofts molntjänster. Mer information om Microsoft Sentinel finns i Vad är Microsoft Sentinel?.

Ovanstående tjänster i den här listan är kärntjänster som fungerar i Azure, Office 365 och lokala miljöer. Följande tjänster fokuserar på specifika resurser:

  1. Network Watcher innehåller verktyg för att övervaka, diagnostisera, visa mått och aktivera eller inaktivera loggar för resurser i ett virtuellt Azure-nätverk. Mer information finns i Vad är Azure Network Watcher?

  2. Traffic Analytics är en del av Network Watcher och fungerar ovanpå loggar från nätverkssäkerhetsgrupper (NSG:er). Traffic Analytics erbjuder många instrumentpaneler som kan aggregera mått från utgående och inkommande anslutning i Azure Virtual Network. Mer information finns i Trafikanalys.

  3. Application Insights fokuserar på program och tillhandahåller utökningsbar prestandahantering och övervakning för webbappar i realtid, inklusive stöd för en mängd olika plattformar som .NET, Node.js, Java och Python. Application Insights är en funktion i Azure Monitor. Mer information finns i Översikt över Application Insights.

  4. Azure Lagringsanalys utför loggning och tillhandahåller mått för ett lagringskonto. Du kan använda dess data för att spåra begäranden, analysera användningstrender och diagnostisera problem med ditt lagringskonto. Mer information finns i Använda Azure Storage-analys för att samla in loggar och måttdata.

  5. Eftersom den här arkitekturreferensen baseras på Microsoft Nolltillit har tjänsterna och komponenterna under Infrastruktur och slutpunkt inte några specifika övervakningstjänster. Azure Monitor-loggar och Defender för molnet är de viktigaste tjänsterna som samlar in, lagrar och analyserar loggar från virtuella datorer och andra beräkningstjänster.

Den viktigaste komponenten i den här arkitekturen är Microsoft Sentinel eftersom den ansluter alla loggar och aviseringar som tillhandahålls av Azure-säkerhetstjänster, Microsoft Defender XDR och Azure Monitor. När du har implementerat Microsoft Sentinel och tagit emot loggar och aviseringar från alla källor som identifieras i den här artikeln är nästa steg att mappa en uppsättning frågor i dessa loggar för att få insikter och bevis på indikatorer för kompromisser (IOCs). När information samlas in av Microsoft Sentinel kan du undersöka den eller tillåta ett automatiserat svar som du konfigurerar för att minimera eller lösa incidenten. Automatiska svar omfattar åtgärder som att blockera en användare i Microsoft Entra-ID eller blockera en IP-adress via brandväggen.

Mer information om Microsoft Sentinel finns i Microsoft Sentinel-dokumentationen.

Så här får du åtkomst till säkerhets- och övervakningstjänster

Följande lista innehåller information om hur du får åtkomst till var och en av de tjänster som presenteras i den här artikeln:

  • Azure-säkerhetstjänster. Du kan komma åt alla Azure-säkerhetstjänster som nämns i diagrammen i den här artikelserien med hjälp av Azure-portalen. I portalen använder du sökfunktionen för att hitta de tjänster som du är intresserad av och komma åt dem.

  • Azure Monitor. Azure Monitor är tillgängligt i alla Azure-prenumerationer. Du kan komma åt den från en sökning efter övervakare i Azure-portalen.

  • Defender för molnet. Defender för molnet är tillgängligt för alla som använder Azure-portalen. Sök efter Defender för molnet i portalen.

  • Log Analytics. För att få åtkomst till Log Analytics måste du först skapa tjänsten i portalen, eftersom den inte finns som standard. I Azure-portalen söker du efter Log Analytics-arbetsytan och väljer sedan Skapa. När du har skapat den kan du komma åt tjänsten.

  • Microsoft Sentinel. Eftersom Microsoft Sentinel fungerar ovanpå Log Analytics måste du först skapa en Log Analytics-arbetsyta. Sök sedan efter sentinel i Azure-portalen. Skapa sedan tjänsten genom att välja den arbetsyta som du vill ha bakom Microsoft Sentinel.

  • Microsoft Defender för slutpunkter. Defender för Endpoint är en del av Microsoft Defender XDR. Få åtkomst till tjänsten via https://security.microsoft.com. Det här är en ändring från föregående URL, securitycenter.windows.com.

  • Microsoft Defender för molnet Appar. Defender för molnet Apps är en del av Microsoft 365. Få åtkomst till tjänsten via https://portal.cloudappsecurity.com.

  • Microsoft Defender för Office 365. Defender för Office 365 ingår i Microsoft 365. Få åtkomst till tjänsten via https://security.microsoft.com, samma portal som används för Defender för Endpoint. (Det här är en ändring från föregående URL, protection.office.com.)

  • Microsoft Defender för identitet. Defender for Identity ingår i Microsoft 365. Du kommer åt tjänsten via https://portal.atp.azure.com. Även om det är en molntjänst ansvarar Defender for Identity även för att skydda identiteter i lokala system.

  • Microsoft Endpoint Manager. Endpoint Manager är det nya namnet för Intune, Configuration Manager och andra tjänster. Få åtkomst till den via https://endpoint.microsoft.com. Mer information om hur du kommer åt de tjänster som tillhandahålls av Microsoft Defender XDR och hur varje portal är relaterad finns i Skapa det andra försvarsskiktet med Microsoft Defender XDR Security Services.

  • Azure Network Watcher. Om du vill komma åt Azure Network Watcher söker du efter watcher i Azure-portalen.

  • Trafikanalys. Traffic Analytics är en del av Network Watcher. Du kan komma åt den från menyn till vänster i Network Watcher. Det är en kraftfull nätverksövervakare som fungerar baserat på dina NSG:er som implementeras på dina enskilda nätverksgränssnitt och undernät. Network Watcher kräver insamling av information från NSG:erna. Anvisningar om hur du samlar in den informationen finns i Självstudie: Logga nätverkstrafik till och från en virtuell dator med hjälp av Azure-portalen.

  • Application Insight. Application Insight är en del av Azure Monitor. Du måste dock först skapa den för det program som du vill övervaka. För vissa program som bygger på Azure, till exempel Web Apps, kan du skapa Application Insight direkt från etableringen av Web Apps. Om du vill komma åt den söker du efter övervakarei Azure-portalen. På sidan Övervaka väljer du Program på menyn till vänster.

  • Lagringsanalys. Azure Storage erbjuder olika typer av lagring under samma lagringskontoteknik. Du hittar blobar, filer, tabeller och köer ovanpå lagringskonton. Lagringsanalys erbjuder ett brett utbud av mått att använda med dessa lagringstjänster. Åtkomst Lagringsanalys från lagringskontot i Azure-portalen och välj sedan Diagnostikinställningar på menyn till vänster. Välj en log analytics-arbetsyta för att skicka den informationen. Sedan kan du komma åt en instrumentpanel från Insights. Allt i ditt lagringskonto som övervakas visas på menyn.

Komponenter

Exempelarkitekturen i den här artikeln använder följande Azure-komponenter:

  • Microsoft Entra ID är en molnbaserad identitets- och åtkomsthanteringstjänst. Microsoft Entra-ID hjälper användarna att komma åt externa resurser, till exempel Microsoft 365, Azure-portalen och tusentals andra SaaS-program. Det hjälper dem också att komma åt interna resurser, till exempel appar i företagets intranätnätverk.

  • Azure Virtual Network är den grundläggande byggstenen för ditt privata nätverk i Azure. Med virtuellt nätverk kan många typer av Azure-resurser kommunicera på ett säkert sätt med varandra, internet och lokala nätverk. Virtual Network tillhandahåller ett virtuellt nätverk som drar nytta av Azures infrastruktur, till exempel skalning, tillgänglighet och isolering.

  • Azure Load Balancer är en högpresterande layer 4-tjänst med låg svarstid (inkommande och utgående) för alla UDP- och TCP-protokoll. Den är byggd för att hantera miljontals begäranden per sekund samtidigt som du ser till att din lösning är mycket tillgänglig. Azure Load Balancer är zonredundant, vilket säkerställer hög tillgänglighet i Tillgänglighetszoner.

  • Virtuella datorer är en av flera typer av skalbara beräkningsresurser på begäran som Azure erbjuder. En virtuell Azure-dator (VM) ger dig flexibiliteten i virtualisering utan att behöva köpa och underhålla den fysiska maskinvara som kör den.

  • Azure Kubernetes Service (AKS) är en fullständigt hanterad Kubernetes-tjänst för att distribuera och hantera containerbaserade program. AKS tillhandahåller serverlösa Kubernetes, kontinuerlig integrering/kontinuerlig leverans (CI/CD) och säkerhet och styrning i företagsklass.

  • Azure Virtual Desktop är en tjänst för skrivbords- och appvirtualisering som körs i molnet för att tillhandahålla skrivbord för fjärranvändare.

  • Web Apps är en HTTP-baserad tjänst som är värd för webbprogram, REST-API:er och mobila serverdelar. Du kan utveckla på ditt favoritspråk och program körs och skalas enkelt i både Windows- och Linux-baserade miljöer.

  • Azure Storage är mycket tillgängligt, massivt skalbart, beständigt och säkert lagringsutrymme för olika dataobjekt i molnet, inklusive objekt, blob, fil, disk, kö och tabelllagring. Alla data som skrivs till ett Azure Storage-konto krypteras av tjänsten. Med Azure Storage får du detaljerad kontroll över vem som har tillgång till dina data.

  • Azure SQL Database är en fullständigt hanterad PaaS-databasmotor som hanterar de flesta av databashanteringsfunktionerna, till exempel uppgradering, korrigering, säkerhetskopiering och övervakning. Den tillhandahåller dessa funktioner utan användarengagemang. SQL Database innehåller en rad inbyggda säkerhets- och efterlevnadsfunktioner som hjälper ditt program att uppfylla säkerhets- och efterlevnadskrav.

Lösningsdetaljer

Övervakningslösningar i Azure kan till en början verka förvirrande eftersom Azure erbjuder flera övervakningstjänster. Varje Azure-övervakningstjänst är dock viktig i den säkerhets- och övervakningsstrategi som beskrivs i den här serien. Artiklarna i den här serien beskriver de olika tjänsterna och hur du planerar effektiv säkerhet för din IT-miljö.

  1. Använda Azure-övervakning för att integrera säkerhetskomponenter
  2. Mappa hot mot din IT-miljö
  3. Skapa det första försvarsskiktet med Azure Security Services
  4. Skapa det andra försvarsskiktet med Microsoft Defender XDR Security Services

Potentiella användningsfall

Den här referensarkitekturen kan hjälpa dig att förstå hela bilden av Microsoft Cloud-säkerhetstjänster och hur du integrerar dem för bästa säkerhetsstatus.

Du behöver inte implementera alla säkerhetstjänster som visas i den här arkitekturen. Det här exemplet och hotkartan som visas i arkitekturdiagrammet kan dock hjälpa dig att förstå hur du skapar en egen karta och sedan planerar för din säkerhetsstrategi. Välj rätt Azure-säkerhetstjänster och De Microsoft Defender XDR-tjänster som du vill integrera via Azure så att IT-miljön har den säkerhet som krävs.

Kostnadsoptimering

Prissättningen för De Azure-tjänster som presenteras i den här artikelserien beräknas på olika sätt. Vissa tjänster är kostnadsfria, vissa har en avgift för varje användning och vissa har en avgift som baseras på licensiering. Det bästa sättet att beräkna prissättningen för någon av Azure-säkerhetstjänsterna är att använda priskalkylatorn. I kalkylatorn söker du efter en tjänst som du är intresserad av och väljer den sedan för att hämta alla variabler som avgör priset för tjänsten.

Microsoft Defender XDR-säkerhetstjänster fungerar med licenser. Information om licenskraven finns i Krav för Microsoft Defender XDR.

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudförfattare:

Övriga medarbetare:

Nästa steg

Mer information om den här referensarkitekturen finns i de andra artiklarna i den här serien:

Relaterade arkitekturer i Azure Architecture Center finns i följande artiklar: