安全控制:终结点安全性

终结点安全性涵盖对终结点检测和响应的控制措施,包括在云环境中对终结点使用终结点检测和响应 (EDR) 和反恶意软件服务。

ES-1:使用终结点检测和响应 (EDR)

CIS 控制 v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
13.7 SC-3、SI-2、SI-3、SI-16 11.5

安全原则:为 VM 启用终结点检测和响应 (EDR) 功能,并与 SIEM 和安全操作流程集成。


Azure 指南:Microsoft Defender (Microsoft Defender for Endpoint集成) 的服务器提供 EDR 功能来预防、检测、调查和响应高级威胁。

使用 Microsoft Defender for Cloud 为终结点上的服务器部署Microsoft Defender,并将警报集成到 MICROSOFT Sentinel 等 SIEM 解决方案。

Azure 实现和其他上下文:


AWS 指南:将 AWS 帐户载入到 Microsoft Defender for Cloud,并在 EC2 实例上部署 (Microsoft Defender for Endpoint集成) 的服务器Microsoft Defender,以提供 EDR 功能来预防、检测、调查和响应高级威胁。

或者,使用 Amazon GuardDuty 集成威胁情报功能监视和保护 EC2 实例。 Amazon GuardDuty 可以检测异常活动,例如指示实例遭到入侵的活动,例如加密货币挖掘、使用域生成算法的恶意软件 (DGAs) 、出站拒绝服务活动、异常大量的网络流量、异常网络协议、与已知恶意 IP 的出站实例通信、外部 IP 地址使用的临时 Amazon EC2 凭据, 使用 DNS 进行数据外泄。

AWS 实现和其他上下文


GCP 指南:将 GCP 项目载入到 Microsoft Defender for Cloud 中,并为服务器部署Microsoft Defender, (虚拟机实例上Microsoft Defender for Endpoint集成) ,以提供 EDR 功能来防止、检测、调查和响应高级威胁。

或者,使用 Google 的安全命令中心集成威胁情报来监视和保护虚拟机实例。 安全命令中心可以检测异常活动,例如凭据可能泄露、加密货币挖掘、潜在恶意应用程序、恶意网络活动等。

GCP 实现和其他上下文


客户安全利益干系人 (了解) 的详细信息

ES-2:使用新式反恶意软件

CIS 控制 v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
10.1 SC-3、SI-2、SI-3、SI-16 5.1

安全原则:使用反恶意软件解决方案(也称为终结点保护)能够进行实时保护和定期扫描。


Azure 指南:Microsoft Defender for Cloud 可以自动识别为配置了 Azure Arc 的虚拟机和本地计算机使用许多常用的反恶意软件解决方案,并报告终结点保护运行状态并提出建议。

Microsoft Defender 防病毒是 Windows Server 2016 及更高版本的默认反恶意软件解决方案。 对于 Windows Server 2012 R2,请使用 Microsoft Antimalware 扩展来启用 SCEP (System Center Endpoint Protection)。 对于 Linux VM,请使用 Linux 上的 Microsoft Defender for Endpoint 以获取终结点保护功能。

对于 Windows 和 Linux,可以使用 Microsoft Defender for Cloud 来发现和评估反恶意软件解决方案的运行状况。

注意:还可以使用 Microsoft Defender for Cloud 的适用于存储的 Defender 来检测上传到 Azure 存储帐户的恶意软件。

Azure 实现和其他上下文:


AWS 指南:将 AWS 帐户加入 Microsoft Defender for Cloud,以便 Microsoft Defender for Cloud 能够自动识别对配置了 Azure Arc 的 EC2 实例使用一些常用的反恶意软件解决方案,并报告终结点保护运行状态并提出建议。

部署属于 Windows Server 2016 及更高版本的默认反恶意软件解决方案的 Microsoft Defender 防病毒。 对于运行 Windows Server 2012 R2 的 EC2 实例,请使用 Microsoft Antimalware 扩展来启用 SCEP (System Center Endpoint Protection)。 对于运行 Linux 的 EC2 实例,请使用 Linux 上的 Microsoft Defender for Endpoint 以获取终结点保护功能。

对于 Windows 和 Linux,可以使用 Microsoft Defender for Cloud 来发现和评估反恶意软件解决方案的运行状况。

注意:Microsoft Defender Cloud 还支持某些第三方 Endpoint Protection 产品用于发现和运行状况评估。

AWS 实现和其他上下文


GCP 指南:将 GCP 项目载入到 Microsoft Defender for Cloud 中,使 Microsoft Defender for Cloud 能够自动识别配置了 Azure Arc 的虚拟机实例的常用反恶意软件解决方案的使用,并报告终结点保护状态并提出建议。

部署属于 Windows Server 2016 及更高版本的默认反恶意软件解决方案的 Microsoft Defender 防病毒。 对于运行 Windows Server 2012 R2 的虚拟机实例,请使用 Microsoft Antimalware 扩展来启用 SCEP (System Center Endpoint Protection) 。 对于运行 Linux 的虚拟机实例,请使用 Linux 上的 Microsoft Defender for Endpoint 作为终结点保护功能。

对于 Windows 和 Linux,可以使用 Microsoft Defender for Cloud 来发现和评估反恶意软件解决方案的运行状况。

注意:Microsoft Defender Cloud 还支持某些第三方 Endpoint Protection 产品用于发现和运行状况评估。

GCP 实现和其他上下文


客户安全利益干系人 (了解) 的详细信息

ES-3:确保反恶意软件和签名已更新

CIS 控制 v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
10.2 SI-2、SI-3 5.2

安全原则:确保针对反恶意软件解决方案快速一致地更新反恶意软件签名。


Azure 指南:遵循 Microsoft Defender for Cloud 中的建议,使所有终结点都具有最新的签名。 默认情况下,Microsoft Antimalware(对于 Windows)和 Microsoft Defender for Endpoint(对于 Linux)将自动安装最新的签名和引擎更新。

对于第三方解决方案,请确保在第三方反恶意软件解决方案中更新签名。

Azure 实现和其他上下文:


AWS 指南:将 AWS 帐户加入 Microsoft Defender for Cloud 后,遵循 Microsoft Defender for Cloud 中的建议,使所有终结点都具有最新的签名。 默认情况下,Microsoft Antimalware(对于 Windows)和 Microsoft Defender for Endpoint(对于 Linux)将自动安装最新的签名和引擎更新。

对于第三方解决方案,请确保在第三方反恶意软件解决方案中更新签名。

AWS 实现和其他上下文


GCP 指南:将 GCP 项目载入到 Microsoft Defender for Cloud 后,请遵循 Microsoft Defender for Cloud 中的建议,使所有 EDR 解决方案都保持最新状态并获取最新签名。 默认情况下,Microsoft Antimalware(对于 Windows)和 Microsoft Defender for Endpoint(对于 Linux)将自动安装最新的签名和引擎更新。

对于第三方解决方案,请确保在第三方反恶意软件解决方案中更新签名。

GCP 实现和其他上下文


客户安全利益干系人 (了解) 的详细信息