Infrastrukturintegreringar

Infrastrukturen omfattar maskinvara, programvara, mikrotjänster, nätverksinfrastruktur och de anläggningar som krävs för att stödja IT-tjänster för en organisation. Nolltillit infrastrukturlösningar utvärderar, övervakar och förhindrar säkerhetshot mot dessa tjänster.

Nolltillit infrastrukturlösningar stöder principerna för Nolltillit genom att se till att åtkomst till infrastrukturresurser verifieras explicit, beviljas åtkomst med principer för åtkomst med lägsta behörighet och mekanismer som förutsätter intrång och letar efter och åtgärdar säkerhetshot i infrastrukturen.

Den här vägledningen är avsedd för programvaruleverantörer och teknikpartner som vill förbättra sina säkerhetslösningar för infrastrukturen genom att integrera med Microsoft-produkter.

Nolltillit-integrering för infrastrukturguide

Den här integreringsguiden innehåller strategi och instruktioner för integrering med Microsoft Defender för molnet och dess integrerade molnbaserade arbetsbelastningsskyddsplaner, Microsoft Defender för ... (servrar, containrar, databaser, lagring, App Services med mera).

Vägledningen omfattar integreringar med de mest populära LÖSNINGARna för säkerhetsinformations- och händelsehantering (SIEM), soar (Security Orchestration Automated Response), slutpunktsidentifiering och svar (EDR) och ITSM-lösningar (IT Service Management).

Nolltillit och Defender för molnet

Vår distributionsvägledning för Nolltillit infrastruktur ger viktiga steg i Nolltillit strategi för infrastruktur. Dessa är:

1. Utvärdera efterlevnaden av valda standarder och principer
2. Härda konfigurationen där det finns luckor
3. Använda andra härdningsverktyg, till exempel jit-åtkomst (just-in-time) för virtuella datorer
4. Konfigurera hotidentifiering och skydd
5. Blockera och flagga riskfyllt beteende automatiskt och vidta skyddsåtgärder

Det finns en tydlig mappning från de mål som vi har beskrivit i vägledningen för infrastrukturdistribution till kärnaspekterna i Defender för molnet.

Nolltillit mål	Defender för molnet-funktionen
Utvärdera kompatibilitet	I Defender för molnet tilldelas varje prenumeration automatiskt Microsoft Cloud Security Benchmark (MCSB) som standardsäkerhetsinitiativ. Med hjälp av verktygen för säkerhetspoäng och instrumentpanelen för regelefterlevnad kan du få en djup förståelse för kundens säkerhetsstatus.
Härdningskonfiguration	Genom att tilldela säkerhetsinitiativ till prenumerationer och granska säkerhetspoängen får du de härdningsrekommendationer som är inbyggda i Defender för molnet. Defender för molnet analyserar regelbundet efterlevnadsstatusen för resurser för att identifiera potentiella felkonfigurationer och svagheter i säkerheten. Den ger sedan rekommendationer om hur du kan åtgärda dessa problem.
Använda härdningsmekanismer	Förutom engångskorrigeringar av felkonfigurationer för säkerhet innehåller Defender för molnet funktioner för att ytterligare förstärka dina resurser, till exempel: Jit-åtkomst (Just-in-time) för virtuell dator (VM) Anpassningsbar nätverkshärdning Anpassningsbara programkontroller.
Konfigurera hotidentifiering	Defender för molnet erbjuder integrerade molnbaserade arbetsbelastningsskyddsplaner för hotidentifiering och svar. Planerna ger avancerat, intelligent skydd av Azure, hybridresurser och resurser och arbetsbelastningar i flera moln. Ett av de Microsoft Defender abonnemangen, Defender för servrar, innehåller en intern integrering med Microsoft Defender för Endpoint. Läs mer i Introduktion till Microsoft Defender för molnet.
Blockera misstänkt beteende automatiskt	Många av härdningsrekommendationerna i Defender för molnet erbjuder ett neka-alternativ . Med den här funktionen kan du förhindra att resurser skapas som inte uppfyller definierade härdningsvillkor. Läs mer i Prevent misconfigurations with Enforce/Deny recommendations (Förhindra felkonfigurationer med rekommendationer för framtvinga/neka).
Flagga automatiskt misstänkt beteende	Microsoft Defender för molnets säkerhetsaviseringar utlöses av avancerade identifieringar. Defender för molnet prioriterar och listar aviseringarna, tillsammans med den information som behövs för att du snabbt ska kunna undersöka problemet. Defender för molnet innehåller också detaljerade steg som hjälper dig att åtgärda attacker. En fullständig lista över tillgängliga aviseringar finns i Säkerhetsaviseringar – en referensguide.

Skydda dina Azure PaaS-tjänster med Defender för molnet

När Defender för molnet är aktiverat för din prenumeration och Defender-arbetsbelastningsskyddsplanerna är aktiverade för alla tillgängliga resurstyper har du ett lager intelligent skydd – som drivs av Microsoft Threat Intelligence – som skyddar resurser i Azure Key Vault, Azure Storage, Azure DNS och andra Azure PaaS-tjänster. En fullständig lista finns i PaaS-tjänsterna som anges i supportmatrisen.

Azure Logic Apps

Använd Azure Logic Apps för att skapa automatiserade skalbara arbetsflöden, affärsprocesser och företagsorkestreringar för att integrera dina appar och data i molntjänster och lokala system.

Med arbetsflödesautomatiseringsfunktionen i Defender för molnet kan du automatisera svar på Defender för molnet-utlösare.

Det här är ett bra sätt att definiera och reagera på ett automatiserat och konsekvent sätt när hot identifieras. Om du till exempel vill meddela relevanta intressenter startar du en ändringshanteringsprocess och tillämpar specifika åtgärdssteg när ett hot identifieras.

Integrera Defender för molnet med dina SIEM-, SOAR- och ITSM-lösningar

Microsoft Defender för molnet kan strömma dina säkerhetsaviseringar till de populäraste SIEM-lösningarna (Security Information and Event Management), Security Orchestration Automated Response (SOAR) och ITSM (IT Service Management).

Det finns Azure-inbyggda verktyg för att se till att du kan visa dina aviseringsdata i alla de populäraste lösningarna som används idag, inklusive:

• Microsoft Sentinel
• Splunk Enterprise och Splunk Cloud
• IBM:s QRadar
• ServiceNow
• ArcSight
• Power BI
• Palo Alto Networks

Microsoft Sentinel

Defender för molnet integreras internt med Microsoft Sentinel, Microsofts molnbaserade SIEM-lösning (Security Information Event Management) och SOAR-lösningen (Security Orchestration Automated Response).

Det finns två sätt att se till att dina Defender for Cloud-data representeras i Microsoft Sentinel:

• Sentinel-anslutningsappar – Microsoft Sentinel innehåller inbyggda anslutningsappar för Microsoft Defender för molnet på prenumerations- och klientorganisationsnivå:

  • Strömma aviseringar till Microsoft Sentinel på prenumerationsnivå
  • Ansluta alla prenumerationer i din klientorganisation till Microsoft Sentinel

  Tips

  Läs mer i Ansluta säkerhetsaviseringar från Microsoft Defender för molnet.

• Strömma dina granskningsloggar – Ett annat sätt att undersöka Defender för molnet-aviseringar i Microsoft Sentinel är att strömma granskningsloggarna till Microsoft Sentinel:

  • Ansluta till Windows säkerhetshändelser
  • Samla in data från Linux-baserade källor med syslog
  • Ansluta data från Azure-aktivitetsloggen

Stream-aviseringar med Microsoft Graph Security API

Defender för molnet har en färdig integrering med Microsoft Graph Security API. Ingen konfiguration krävs och det tillkommer inga ytterligare kostnader.

Du kan använda det här API:et för att strömma aviseringar från hela klientorganisationen (och data från många andra Microsoft Security-produkter) till SIEM från tredje part och andra populära plattformar:

• Splunk Enterprise och Splunk Cloud - Använda Microsoft Graph Security API-Add-On för Splunk
• Power BI - Ansluta till Microsoft Graph Security API i Power BI Desktop
• ServiceNow - Följ anvisningarna för att installera och konfigurera Microsoft Graph Security API-programmet från ServiceNow Store
• QRadar - IBM:s modul för enhetsstöd för Microsoft Defender för molnet via Microsoft Graph API
• Palo Alto Networks, Anomali, Lookout, InSpark med mera – Microsoft Graph Security API

Läs mer om Säkerhets-API för Microsoft Graph.

Strömma aviseringar med Azure Monitor

Använd defender för molnets kontinuerliga exportfunktion för att ansluta Defender för molnet med Azure Monitor via Azure Event Hubs och strömma aviseringar till ArcSight, SumoLogic, Syslog-servrar, LogRhythm, Logz.io Cloud Observability Platform och andra övervakningslösningar.

Läs mer i Stream-aviseringar med Azure Monitor.

Detta kan också göras på hanteringsgruppsnivå med hjälp av Azure Policy. Mer information finns i Skapa automatiseringskonfigurationer för kontinuerlig export i stor skala.

Tips

Om du vill visa händelsescheman för de exporterade datatyperna går du till Händelsehubbens händelsescheman.

Integrera Defender för molnet med en lösning för slutpunktsidentifiering och svar (EDR)

Microsoft Defender för slutpunkter

Microsoft Defender för Endpoint är en holistisk, molnlevererad slutpunktssäkerhetslösning.

Microsoft Defender för servrar innehåller en integrerad licens för Microsoft Defender för Endpoint. Tillsammans tillhandahåller de omfattande funktioner för slutpunktsidentifiering och svar (EDR). Mer information finns i Skydda dina slutpunkter.

När Defender för Endpoint identifierar ett hot utlöses en avisering. Aviseringen visas i Defender för molnet och du kan pivoteras till Defender för Endpoint-konsolen för att utföra en detaljerad undersökning och upptäcka omfattningen av attacken. Läs mer om Microsoft Defender för Endpoint.

Andra EDR-lösningar

Defender för molnet innehåller härdningsrekommendationer för att säkerställa att du skyddar organisationens resurser enligt vägledningen för Microsofts benchmark för molnsäkerhet (MCSB). En av kontrollerna i benchmark avser slutpunktssäkerhet: ES-1: Använd slutpunktsidentifiering och svar (EDR).

Det finns två rekommendationer i Defender för molnet för att säkerställa att du har aktiverat slutpunktsskydd och att det fungerar bra. Dessa rekommendationer kontrollerar förekomsten och driftshälsan för EDR-lösningar från:

• Trend Micro
• Symantec
• Mcafee
• Sophos

Läs mer i Utvärdering och rekommendationer för Slutpunktsskydd i Microsoft Defender för molnet.

Tillämpa din Nolltillit strategi på hybridscenarier och scenarier med flera moln

Med molnarbetsbelastningar som ofta omfattar flera molnplattformar måste molnsäkerhetstjänster göra detsamma.

Microsoft Defender för molnet skyddar arbetsbelastningar oavsett var de körs: i Azure, lokalt, Amazon Web Services (AWS) eller Google Cloud Platform (GCP).

Integrera Defender för molnet med lokala datorer

För att skydda hybridmolnarbetsbelastningar kan du utöka Defender for Cloud-skyddet genom att ansluta lokala datorer till Azure Arc-aktiverade servrar.

Lär dig mer om hur du ansluter datorer i Ansluta dina datorer som inte är Azure-datorer till Defender för molnet.

Integrera Defender för molnet med andra molnmiljöer

Om du vill visa säkerhetsstatusen för Amazon Web Services-datorer i Defender för molnet registrerar du AWS-konton i Defender för molnet. Detta integrerar AWS Security Hub och Microsoft Defender for Cloud för en enhetlig vy över Defender for Cloud-rekommendationer och AWS Security Hub-resultat och ger en rad fördelar enligt beskrivningen i Ansluta dina AWS-konton till Microsoft Defender för molnet.

Om du vill visa säkerhetsstatusen för Google Cloud Platform-datorer i Defender för molnet registrerar du GCP-konton i Defender för molnet. Detta integrerar GCP-säkerhetskommandot och Microsoft Defender för molnet för en enhetlig vy över Defender for Cloud-rekommendationer och GCP Security Command Center-resultat och ger en rad fördelar enligt beskrivningen i Ansluta dina GCP-konton till Microsoft Defender för molnet.

Nästa steg

Mer information om Microsoft Defender för molnet finns i den fullständiga dokumentationen om Defender för molnet.