你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

规划和操作指南

本指南适用于打算使用 Defender for Cloud 的信息技术 (IT) 专业人员、IT 架构师、信息安全分析师和云管理员。

规划指南

本指南介绍如何通过各种任务,根据组织的安全要求和云管理模型优化 Defender for Cloud 的使用。 若要充分利用 Defender for Cloud,必须了解在需要进行安全开发和操作、监视、管理和事件响应的情况下,组织中的不同个人或团队是如何使用服务的。 规划 Defender for Cloud 的使用时,需要考虑的重要方面包括:

  • 安全角色和访问控制
  • 安全策略和建议
  • 数据收集和存储
  • 载入非 Azure 资源
  • 持续安全监视
  • 事件响应

下一部分介绍如何针对每个方面进行计划,并根据要求应用相关建议。

注意

阅读 Defender for Cloud 常见问题解答 (FAQ),了解一系列常见问题,这些问题在设计和规划阶段可能也会有用。

安全角色和访问控制

很多个人和团队可能会使用 Defender for Cloud 执行不同的安全相关任务,具体取决于组织的大小和结构。 下图示例性地说明了各种虚构性的人员及其相应的角色和安全责任:

角色。

这些人员通过 Defender for Cloud 行使不同的责任。 例如:

Jeff(工作负荷所有者)

  • 管理云工作负荷及其相关资源
  • 负责根据公司安全策略实施和维护各种保护措施

Ellen(首席信息安全官/首席信息官)

  • 负责公司安全的各个方面
  • 需要跨云工作负荷了解公司的安全状况
  • 需要了解各种主要攻击和风险

David(IT 安全)

  • 制定公司安全策略,确保实施适当的保护措施
  • 监视合规性
  • 生成领导力报表或审核报表

Judy(安全操作)

  • 全天候监视和响应安全警报
  • 将案例上报到云工作负荷所有者或 IT 安全分析师

Sam(安全分析师)

  • 调查各种攻击
  • 与云工作负荷所有者协作应用补救措施

Defender for Cloud 使用 Azure 基于角色的访问控制 (Azure RBAC) 提供可在 Azure 中分配给用户、组和服务的内置角色。 用户打开 Defender for Cloud 时,只能看到有权访问的资源的相关信息。 这意味着,可以将资源所属的订阅或资源组的“所有者”、“参与者”或“读者”角色分配给用户。 除了这些角色之外,还有两个特定的 Defender for Cloud 角色:

  • 安全读取者:属于此角色的用户只能查看 Defender for Cloud 配置(包括建议、警报、策略和运行状况),无法进行更改。
  • 安全管理员:与安全读取者一样,但它还可更新安全策略,消除建议和警报。

上述 Defender for Cloud 角色无权访问存储、Web 和移动或物联网等其他 Azure 服务区域。

根据上图介绍的人员,需要以下 Azure RBAC:

Jeff(工作负荷所有者)

  • 资源组所有者/参与者

Ellen(首席信息安全官/首席信息官)

  • 订阅所有者/参与者或安全管理员

David(IT 安全)

  • 订阅所有者/参与者或安全管理员

Judy(安全操作)

  • 查看警报的订阅读取者或安全读取者
  • 需要订阅所有者/参与者或安全管理员身份以消除警报

Sam(安全分析师)

  • 查看警报的订阅读者
  • 需要订阅所有者/参与者身份以消除警报
  • 可能需要工作区的访问权限

其他一些需要考虑的重要信息:

  • 只有订阅所有者/参与者和安全管理员可以编辑安全策略。
  • 只有订阅和资源组的所有者和参与者可以应用针对某个资源的安全建议。

使用 Defender for Cloud 的 Azure RBAC 规划访问控制时,请确保了解组织中的哪些人员会使用 Defender for Cloud。 另外还需了解这些人员所执行的任务的类型,才能进行相应的 Azure RBAC 配置。

注意

对于需要完成任务的用户,建议尽可能为其分配权限最小的角色。 例如,如果用户只需查看资源的安全状况信息而不需执行操作(例如应用建议或编辑策略),则应为其分配“读者”角色。

安全策略和建议

安全策略定义了工作负载的相应配置,有助于确保用户遵守公司或法规方面的安全要求。 在 Defender for Cloud 内,可以定义 Azure 订阅策略,即根据工作负载类型或数据机密性量身定制。

Defender for Cloud 策略包含以下组件:

  • 数据收集:代理预配和数据收集设置。
  • 安全策略:可以通过 Azure Policy 来决定 Defender for Cloud 所监视和建议的控件,还可以通过 Azure Policy 来创建新的定义、定义其他策略,以及跨管理组分配策略。
  • 电子邮件通知:安全联系人和通知设置。
  • 定价层:是否使用 Microsoft Defender for Cloud 的增强的安全性功能,这决定了相应范围内的资源可使用哪些 Defender for Cloud 功能(可使用 API 针对订阅和工作区进行指定)。

注意

指定安全联系人可以确保在发生安全事件时,Azure 能够联系到贵组织中的合适人员。 若要详细了解如何启用此建议,请阅读在 Defender for Cloud 中提供安全联系人详细信息

安全策略定义和建议

Defender for Cloud 自动为每个 Azure 订阅创建默认的安全策略。 可以在 Defender for Cloud 编辑该策略,也可以使用 Azure Policy 创建新的定义、定义其他策略、跨管理组(可以代表整个组织、组织中的某个业务部门,等等)分配策略,以及跨相应范围监视对这些策略的遵循情况。

在配置安全策略之前,请查看每项 安全建议,确定这些策略是否适合各种订阅和资源组。 此外,请务必了解解决安全建议应采取的行动,以及组织中负责采纳新建议并采取必要措施的人员。

数据收集和存储

Defender for Cloud 使用 Log Analytics 代理(这也是 Azure Monitor 服务使用的代理)从虚拟机收集安全数据。 通过此代理收集的数据将存储在 Log Analytics 工作区中。

Agent

在安全策略中启用自动预配后,Log Analytics 代理(适用于 WindowsLinux)会安装在所有支持的 Azure VM 和新建的任何 VM 上。 如果 VM 或计算机已安装 Log Analytics 代理,Defender for Cloud 会利用当前的已安装代理。 代理的过程设计为非入侵性,对 VM 性能的影响非常小。

适用于 Windows 的 Log Analytics 代理需要使用 TCP 端口 443。 有关其他详细信息,请参阅故障排除文章

如需在某个时候禁用数据收集功能,可在安全策略中将其关闭。 然而,由于其他 Azure 管理和监视服务可能使用 Log Analytics 代理,因此关闭 Defender for Cloud 中的数据收集后不会自动卸载代理。 必要时可手动卸载代理。

注意

若要查找受支持 VM 的列表,请阅读 Defender for Cloud 常见问题解答 (FAQ)

工作区

工作区是一种 Azure 资源,用作数据容器。 你或组织中的其他成员可以使用多个工作区,管理收集自所有或部分 IT 基础结构的不同数据集。

通过 Log Analytics 代理(代表 Defender for Cloud)收集的数据将存储在与 Azure 订阅关联的现有 Log Analytics 工作区或新工作区中,具体取决于 VM 的地理位置。

在 Azure 门户中,可浏览查看 Log Analytics 工作区的列表,其中包括 Defender for Cloud 创建的任何工作区。 系统会为新工作区创建相关资源组。 二者均遵循此命名约定:

  • 工作区:DefaultWorkspace-[subscription-ID]-[geo]
  • 资源组:DefaultResourceGroup-[geo]

对于 Defender for Cloud 创建的工作区,数据将保留 30 天。 对于现有工作区,保留期取决于工作区定价层。 还可以根据需要使用现有工作区。

如果你的代理向默认工作区以外的工作区报告,那么你在订阅时启用的提供增强安全功能的 Microsoft Defender 计划也应该在工作区中启用。

注意

Microsoft 坚决承诺保护此类数据的隐私和安全性。 从编程到服务运营,Microsoft 都严格遵守相关法规与安全准则。 有关数据处理和隐私的详细信息,请参阅 Defender for Cloud 数据安全

加入非 Azure 资源

Defender for Cloud 可以监视非 Azure 计算机的安全状态,但首先需要载入这些资源。 若要详细了解如何加入非 Azure 资源,请参阅加入非 Azure 计算机

持续安全监视

对 Defender for Cloud 建议进行初始配置和应用之后,下一步是考虑 Defender for Cloud 的操作过程。

Defender for Cloud“概览”提供了一个统一的视图,介绍了已连接的所有 Azure 资源和非 Azure 资源的安全情况。 以下示例显示了一个有许多问题需要解决的环境:

显示视频。

注意

Defender for Cloud 不会干扰正常的操作过程,而是被动监视部署,根据启用的安全策略提供建议。

如果首次选择为当前 Azure 环境使用 Defender for Cloud,请务必查看所有建议,此操作可在“建议”页中进行。

计划访问威胁智能选项,将其作为日常安全操作的一部分。 可以在其中确定对环境的安全威胁,例如,确定特定计算机是否为僵尸网络的一部分。

监视新的或更改的资源

大多数 Azure 环境是动态的,其中资源会定期创建、开启或关闭、重新配置和更改。 Defender for Cloud 可确保用户能够查看这些新资源的安全状态。

将新资源(VM、SQL DB)添加到 Azure 环境时,Defender for Cloud 会自动发现这些资源,并开始监视其安全性。 这还包括 PaaS Web 角色和辅助角色。 如果在 安全策略中启用了数据收集功能,则会自动为虚拟机启用更多监视功能。

此外还应定期监视现有资源,确定可能造成安全风险、偏离建议基线和安全警报的配置更改。

强化对访问权限和应用程序的控制

在进行安全操作时,还应采取预防性措施,限制对 VM 的访问,并控制在 VM 上运行的应用程序。 锁定到 Azure VM 的入站流量即可降低受攻击的风险,同时可以轻松进行访问,视需要连接到 VM。 使用“实时 VM 访问”功能,强化 VM 访问控制。

可使用自适应应用程序控制控制哪些应用程序可在 Azure 中的 VM 上运行。 除其他优势外,这种控制还强化了 VM 抵御恶意软件侵害的能力。 Defender for Cloud 利用机器学习来分析 VM 中运行的进程,以帮助创建允许列表规则。

事件响应

Defender for Cloud 会检测威胁并在发生威胁时通知你。 组织应监视是否有新的安全警报,并根据需要采取行动,进一步进行调查,或采取应对攻击的补救措施。 有关 Defender for Cloud 威胁防护工作原理的详细信息,请阅读 Defender for Cloud 如何检测和响应威胁

虽然本文不会协助用户创建自己的事件响应计划,但仍会在云的生命周期中使用 Microsoft Azure 安全响应作为事件响应阶段的基础。 下图显示了这些阶段:

云生命周期中的事件响应阶段。

注意

若要构建自己的事件响应计划,用户可以使用国家标准和技术协会 (NIST) 提供的 Computer Security Incident Handling Guide (计算机安全事件处理指南)作为参考。

可以在以下阶段使用 Defender for Cloud 警报:

  • 检测:确定一个或多个资源中的可疑活动。
  • 评估:进行初始评估,了解可疑活动的详细信息。
  • 诊断:通过补救步骤采用技术过程解决问题。

每个安全警报所提供的信息都可以用来更好地了解攻击的性质,并提供可能的缓解措施建议。 某些警报还提供链接,单击这些链接即可获取更多信息或访问 Azure 中的其他信息源。 可使用提供的信息进一步研究并开始缓解操作,还可搜索存储于工作区中的安全相关数据。

下面的示例演示了正在发生的可疑的 RDP 活动:

可疑活动。

此页显示的详细信息包括攻击发生的时间、源主机名、目标 VM,并提供了建议步骤。 在某些情况下,攻击的源信息可能为空。 阅读 Defender for Cloud 警报中缺少源信息,了解有关此类行为的详细信息。

确定受攻击的系统后,可以运行以前创建的工作流自动化。 这些是在触发警报后可从 Defender for Cloud 执行的步骤的集合。

在“如何利用 Defender for Cloud 和 Microsoft Operations Management Suite 进行事件响应视频”中,你可查看一些演示,了解如何在每个这样的阶段发挥 Defender for Cloud 的作用。

注意

请参阅管理和响应 Defender for Cloud 的安全警报,详细了解在事件响应过程中如何使用 Defender for Cloud 功能进行协助。

后续步骤

在本文档中,你了解了如何规划 Defender for Cloud 采用。 若要详细了解 Defender for Cloud,请参阅以下资源: