Planerings- och drifthandbok

Den här guiden är avsedd för IT-proffs, IT-arkitekter, informationssäkerhetsanalytiker och molnadministratörer som planerar att använda Defender för molnet.

Planeringsguide

Den här guiden innehåller bakgrunden till hur Defender för molnet passar in i organisationens säkerhetskrav och molnhanteringsmodell. Det är viktigt att förstå hur olika individer eller team i din organisation använder tjänsten för att uppfylla säkra utvecklings- och drifts-, övervaknings-, styrnings- och incidenthanteringsbehov. De viktigaste områdena att tänka på när du planerar att använda Defender för molnet är:

• Säkerhetsroller och åtkomstkontroll
• Säkerhetsprinciper och säkerhetsrekommendationer
• Datainsamling och lagring
• Publicera icke-Azure-resurser
• Fortlöpande säkerhetsövervakning
• Incidentsvar

I nästa avsnitt får du lära dig hur du planerar för vart och ett av dessa områden och tillämpar dessa rekommendationer baserat på dina krav.

Kommentar

Läs vanliga frågor om Defender för molnet för en lista över vanliga frågor som också kan vara användbara under design- och planeringsfasen.

Säkerhetsroller och åtkomstkontroll

Beroende på organisationens storlek och struktur kan flera personer och team använda Defender för molnet för att utföra olika säkerhetsrelaterade uppgifter. Följande diagram innehåller exempel på fiktiva personer och deras olika roller och ansvarsområden:

Defender for Cloud gör det möjligt för dessa individer att uppfylla dessa olika ansvarsområden. Till exempel:

Jens (arbetsbelastningsägare)

• Hantera en molnarbetsbelastning och dess relaterade resurser.

• Ansvarar för att implementera och underhålla skydd i enlighet med företagets säkerhetspolicy.

Elisabeth (IT-chef)

• Ansvarig för alla säkerhetsaspekter för företaget.

• Vill förstå företagets säkerhetsstatus för molnarbetsbelastningar.

• Måste informeras om större attacker och risker.

Daniel (IT-säkerhetsansvarig)

• Anger företagets säkerhetsprinciper för att säkerställa att lämpliga skydd finns på plats.

• Övervakar efterlevnaden av principer.

• Genererar rapporter för ledarskap eller granskare.

Selma (säkerhetsmedarbetare)

• Övervakar och svarar när som helst på säkerhetsaviseringar.

• Eskalerar till molnarbetsbelastningsägare eller IT-säkerhetsanalytiker.

Sami (säkerhetsanalytiker)

• Undersök attacker.

• Arbeta med cloud workload owner för att tillämpa reparation.

Defender för molnet använder rollbaserad åtkomstkontroll i Azure (rollbaserad åtkomstkontroll i Azure) som tillhandahåller inbyggda roller som kan tilldelas till användare, grupper och tjänster i Azure. När en användare öppnar Defender för molnet ser de bara information som rör resurser som de har åtkomst till. Detta betyder att användaren tilldelas rollen som ägare, deltagare eller läsare för den prenumeration eller resursgrupp som en resurs hör till. Utöver dessa roller finns det två roller som är specifika för Defender för molnet:

• Säkerhetsläsare: en användare som tillhör den här rollen kan endast visa Defender för molnkonfigurationer, som innehåller rekommendationer, aviseringar, principer och hälsa, men den kan inte göra ändringar.

• Security-admin: samma som security-läsare, men kan också uppdatera säkerhetsprinciper, stänga rekommendationer och aviseringar.

De personas som beskrivs i föregående diagram behöver dessa Rollbaserade åtkomstkontrollroller i Azure:

Jens (arbetsbelastningsägare)

• Resursgruppens ägare/deltagare.

Elisabeth (IT-chef)

• Prenumerationsägare/deltagare eller säkerhetsadministratör.

Daniel (IT-säkerhetsansvarig)

• Prenumerationsägare/deltagare eller säkerhetsadministratör.

Selma (säkerhetsmedarbetare)

• Prenumerationsläsare eller säkerhetsläsare för att visa aviseringar.

• Prenumerationsägare/deltagare eller säkerhetsadministratör krävs för att stänga aviseringar.

Sami (säkerhetsanalytiker)

• Prenumerationsläsare för att visa aviseringar.

• Prenumerationsägare/deltagare krävs för att stänga aviseringar.

• Åtkomst till arbetsytan kan krävas.

Tänk även på följande:

• Endast ägare och deltagare i prenumerationer samt Security-administratörer kan ändra säkerhetsprinciper.

• Endast ägare och deltagare i prenumerationer och resursgrupper kan tillämpa säkerhetsrekommendationer på en resurs.

När du planerar åtkomstkontroll med rollbaserad åtkomstkontroll i Azure för Defender för molnet ska du se till att du förstår vem i din organisation som behöver åtkomst till Defender för molnet de uppgifter de utför. Sedan kan du konfigurera rollbaserad åtkomstkontroll i Azure korrekt.

Kommentar

Vi rekommenderar att du ger användarna den roll som precis ger dem den behörighet de behöver för att kunna utföra sina arbetsuppgifter. De användare som till exempel endast behöver se information om säkerhetsstatusen på resurser men inte vidta några åtgärder, som att tillämpa rekommendationer eller ändra principer, bör få rollen som läsare.

Säkerhetsprinciper och säkerhetsrekommendationer

En säkerhetsprincip definierar den önskade konfigurationen för arbetsbelastningarna och hjälper till att säkerställa efterlevnaden av företagets eller bestämmelsemässiga säkerhetskrav. I Defender för molnet kan du definiera principer för dina Azure-prenumerationer, som kan skräddarsys efter typen av arbetsbelastning eller datakänsligheten.

Defender for Cloud-principer innehåller följande komponenter:

• Datainsamling: agentetablering och datainsamlingsinställningar.

• Säkerhetsprincip: en Azure-princip som avgör vilka kontroller som övervakas och rekommenderas av Defender för molnet. Du kan också använda Azure Policy för att skapa nya definitioner, definiera fler principer och tilldela principer mellan hanteringsgrupper.

• E-postmeddelanden: säkerhetskontakter och inställningar för meddelanden.

• Prisnivå: med eller utan Microsoft Defender för molnets Defender-planer, som avgör vilka Defender för moln-funktioner som är tillgängliga för resurser i omfånget (kan anges för prenumerationer och arbetsytor med hjälp av API:et).

Kommentar

Om du anger en säkerhetskontakt ser du till att Azure kan nå rätt person i din organisation om en säkerhetsincident inträffar. Läs Ange kontaktuppgifter för säkerhet i Defender för molnet för mer information om hur du aktiverar den här rekommendationen.

Säkerhetsprincipdefinitioner och rekommendationer

Defender for Cloud skapar automatiskt en standardsäkerhetsprincip för var och en av dina Azure-prenumerationer. Du kan redigera principen i Defender för molnet eller använda Azure Policy för att skapa nya definitioner, definiera fler principer och tilldela principer mellan hanteringsgrupper. Hanteringsgrupper kan representera hela organisationen eller en affärsenhet i organisationen. Du kan övervaka principefterlevnad i dessa hanteringsgrupper.

Innan du konfigurerar säkerhetsprinciper bör du granska var och en av säkerhetsrekommendationerna:

• Se om dessa principer är lämpliga för dina olika prenumerationer och resursgrupper.

• Förstå vilka åtgärder som hanterar säkerhetsrekommendationerna.

• Ta reda på vem i din organisation som ansvarar för övervakning och reparation av nya rekommendationer.

Datainsamling och datalagring

Defender for Cloud använder Log Analytics-agenten och Azure Monitor-agenten för att samla in säkerhetsdata från dina virtuella datorer. Data som samlas in från den här agenten lagras på dina Log Analytics-arbetsytor.

Handläggare

När automatisk etablering är aktiverad i säkerhetsprincipen installeras datainsamlingsagenten på alla virtuella Azure-datorer som stöds och alla nya virtuella datorer som stöds som skapas. Om den virtuella datorn eller datorn redan har Log Analytics-agenten installerad använder Defender för molnet den aktuella installerade agenten. Agentens process är utformad för att vara icke-invasiv och ha minimal effekt på den virtuella datorns prestanda.

Om du vid ett senare tillfälle vill inaktivera datainsamlingen kan du göra det i säkerhetsprincipen. Men eftersom Log Analytics-agenten kan användas av andra Azure-hanterings- och övervakningstjänster avinstalleras inte agenten automatiskt när du inaktiverar datainsamling i Defender för molnet. Du kan avinstallera agenten manuellt om det behövs.

Kommentar

Om du vill hitta en lista över virtuella datorer som stöds läser du vanliga frågor om Defender för molnet.

Arbetsyta

En arbetsyta är en Azure-resurs som fungerar som en datacontainer. Du eller andra medlemmar i din organisation kan använda flera arbetsytor för att hantera olika uppsättningar av data som samlas in från alla eller delar av din IT-infrastruktur.

Data som samlas in från Log Analytics-agenten kan lagras på en befintlig Log Analytics-arbetsyta som är associerad med din Azure-prenumeration eller en ny arbetsyta.

I Azure-portalen kan du bläddra för att se en lista över dina Log Analytics-arbetsytor, inklusive alla som skapats av Defender för molnet. En relaterad resursgrupp skapas för nya arbetsytor. Resurser skapas enligt den här namngivningskonventionen:

• Arbetsyta: DefaultWorkspace-[prenumerations-id]-[geo]

• Resursgrupp: DefaultResourceGroup-[geo]

För arbetsytor som skapats av Defender för molnet bevaras data i 30 dagar. För befintliga arbetsytor baseras kvarhållningen på arbetsytans prisnivå. Om du vill kan du även använda en befintlig arbetsyta.

Om din agent rapporterar till en annan arbetsyta än standardarbetsytan bör alla Defender för Cloud Defender-planer som du har aktiverat i prenumerationen också vara aktiverade på arbetsytan.

Kommentar

Microsoft gör starka åtaganden för att skydda dessa datas integritet och säkerhet. Microsoft följer strikta riktlinjer för efterlevnad och säkerhet – från kodning till driften av en tjänst. Mer information om datahantering och sekretess finns i Defender för Cloud Data Security.

Registrera icke-Azure-resurser

Defender for Cloud kan övervaka säkerhetsstatusen för dina icke-Azure-datorer, men du måste först registrera dessa resurser. Läs Publicera icke-Azure-datorer för mer information om hur du registrerar icke-Azure-resurser.

Fortlöpande säkerhetsövervakning

Efter den inledande konfigurationen och tillämpningen av Defender for Cloud-rekommendationer är nästa steg att överväga de operativa processerna för Defender för molnet.

Översikt över Defender för molnet ger en enhetlig vy över säkerheten för alla dina Azure-resurser och alla icke-Azure-resurser som du har anslutit. Det här exemplet visar en miljö med många problem att lösa:

Kommentar

Defender for Cloud stör inte dina normala operativa procedurer. Defender for Cloud övervakar dina distributioner passivt och ger rekommendationer baserat på de säkerhetsprinciper som du har aktiverat.

När du först väljer att använda Defender för molnet för din aktuella Azure-miljö kontrollerar du att du granskar alla rekommendationer, vilket kan göras på sidan Rekommendationer .

Planera in att använda Hotinformation som en del av dina dagliga säkerhetsåtgärder. Där kan du identifiera säkerhetshot mot miljön, till exempel identifiera om en viss dator är en del av ett botnät.

Övervakning av nya och ändrade resurser

De flesta Azure-miljöer är dynamiska, med resurser som regelbundet skapas, snurras upp eller ned, konfigureras om och ändras. Defender for Cloud hjälper dig att se till att du har insyn i säkerhetstillståndet för dessa nya resurser.

När du lägger till nya resurser (virtuella datorer, SQL-databaser) i Din Azure-miljö identifierar Defender för molnet automatiskt dessa resurser och börjar övervaka deras säkerhet, inklusive PaaS-webbroller och arbetsroller. Om datainsamling är aktiverat i säkerhetsprincipen aktiveras fler övervakningsfunktioner automatiskt för dina virtuella datorer.

Du bör också regelbundet övervaka befintliga resurser för konfigurationsändringar som kan ha skapat säkerhetsrisker, avvikelse från rekommenderade baslinjer och säkerhetsaviseringar.

Härdning av åtkomst och program

Som en del av dina säkerhetsåtgärder bör du även vidta förebyggande åtgärder för att begränsa åtkomsten till virtuella datorer och kontrollera programmen som körs på virtuella datorer. Genom att låsa inkommande trafik till dina virtuella Azure-datorer minskar du exponeringen för attacker och ger samtidigt enkel åtkomst till att ansluta till virtuella datorer när det behövs. Använd just-in-time-åtkomstfunktionen för virtuella datorer för att härda åtkomsten till dina virtuella datorer.

Incidenthantering

Defender for Cloud identifierar och varnar dig för hot när de inträffar. Organisationen bör övervaka om det kommer nya säkerhetsaviseringar och vidta de åtgärder som behövs för att undersöka vidare eller stoppa angreppet. Mer information om hur Skydd mot hot i Defender för molnet fungerar finns i Hur Defender för molnet identifierar och svarar på hot.

Även om vi inte kan skapa din incidenthanteringsplan använder vi Microsoft Azure Security Response i molnlivscykeln som grund för incidenthanteringssteg. Stegen för incidenthantering i molnlivscykeln är:

Kommentar

National Institute of Standards and Technology (NIST) har en handbok för hantering av datasäkerhetsrelaterade incidenter som kan vara till hjälp när du vill skapa en egen plan.

Du kan använda Defender for Cloud-aviseringar under följande steg:

• Identifiera: Identifiera misstänkt aktivitet i en eller flera resurser.

• Utvärdera: Utför en första utvärdering för att få mer information om den misstänkta aktiviteten.

• Diagnostisera: Gå igenom de tekniska rutinerna genom att utföra åtgärdsstegen för att åtgärda problemet.

I säkerhetsaviseringarna finns information som gör att du kan förstå vilken typ av angrepp det rör sig om och vad du kan göra för att åtgärda angreppet. I vissa aviseringar finns länkar antingen till mer information eller till andra informationskällor inom Azure. Du kan använda informationen för ytterligare forskning och för att påbörja åtgärdsarbetet. Du kan också söka säkerhetsrelaterade data som lagras på din arbetsyta.

Följande exempel visar en misstänkt RDP-aktivitet:

Den här sidan visar information om när angreppet upptäcktes, varifrån det kommer och vilken virtuell dator som är drabbad, och här finns även rekommendationer för vad du bör göra. I vissa fall kan källinformationen för attacken vara tom. Mer information om den här typen av beteende finns i Källinformation saknas i Defender för molnet-aviseringar .

När du har identifierat det komprometterade systemet kan du köra en arbetsflödesautomation som skapades tidigare. Arbetsflödesautomatiseringar är en samling procedurer som kan köras från Defender för molnet när de utlöses av en avisering.

Kommentar

Läs Hantera och svara på säkerhetsaviseringar i Defender för molnet för mer information om hur du använder Defender för molnet-funktioner för att hjälpa dig under din incidenthanteringsprocess.

Nästa steg

I det här dokumentet har du lärt dig hur du planerar för defender för molnimplementering. Läs mer om Defender för molnet:

• Hantera och svara på säkerhetsaviseringar i Defender för molnet
• Övervaka partnerlösningar med Defender för molnet – Lär dig hur du övervakar hälsostatusen för dina partnerlösningar.
• Vanliga frågor om Defender för molnet – Hitta vanliga frågor och svar om hur du använder tjänsten.
• Azure Security-blogg – Läs blogginlägg om säkerhet och efterlevnad i Azure.