终结点安全性涵盖对终结点检测和响应的控制措施,包括在云环境中对终结点使用终结点检测和响应 (EDR) 和反恶意软件服务。
ES-1:使用端点检测和响应(EDR)
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 13.7 | SC-3、SI-2、SI-3、SI-16 | 11.5 |
安全原则:为 VM 启用终结点检测和响应 (EDR) 功能,并与 SIEM 和安全操作流程集成。
Azure 指南:Microsoft Defender for servers (集成了 Microsoft Defender for Endpoint) 提供 EDR 功能来预防、检测、调查和响应高级威胁。
使用 Microsoft Defender for Cloud 为终结点部署 Microsoft Defender for Servers,并将警报集成到 SIEM 解决方案,例如 Microsoft Sentinel。
Azure 实现和额外背景信息:
- 适用于服务器的 Azure Defender 简介
- Microsoft Defender for Endpoint 概述
- 适用于计算机的 Microsoft Defender for Cloud 功能覆盖范围
- 用于将 Defender for Servers 集成到 SIEM 的连接器
AWS 指南:将 AWS 帐户载入 Microsoft Defender for Cloud,并在 EC2 实例上部署适用于服务器的 Microsoft Defender (集成了 Microsoft Defender for Endpoint),以提供 EDR 功能来预防、检测、调查和响应高级威胁。
或者,使用 Amazon GuardDuty 集成威胁情报功能监视和保护 EC2 实例。 Amazon GuardDuty 可以检测异常活动,例如指示实例被入侵的活动,例如加密货币挖矿、使用域生成算法(DGA)的恶意软件、出站拒绝服务攻击、异常高的网络流量、异常网络协议、与已知恶意 IP 的出站实例通信、外部 IP 地址使用的临时 Amazon EC2 凭据以及使用 DNS 的数据外泄。
AWS 实现和其他上下文:
GCP 指南:将 GCP 项目载入 Microsoft Defender for Cloud,并在虚拟机实例上部署适用于服务器的 Microsoft Defender (集成了 Microsoft Defender for Endpoint),以提供 EDR 功能来预防、检测、调查和响应高级威胁。
或者,使用 Google 的安全命令中心进行集成威胁情报来监视和保护虚拟机实例。 安全命令中心可以检测异常活动,例如潜在的泄露凭据、加密挖掘、潜在恶意应用程序、恶意网络活动等。
GCP 实现和其他上下文:
客户安全利益干系人(了解详细信息):
ES-2:使用新式反恶意软件
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 10.1 | SC-3、SI-2、SI-3、SI-16 | 5.1 |
安全原则:使用反恶意软件解决方案(也称为终结点保护)能够进行实时保护和定期扫描。
Azure 指南:Microsoft Defender for Cloud 可以自动识别配置了 Azure Arc 的虚拟机和本地计算机对许多常用反恶意软件解决方案的使用情况,并报告 Endpoint Protection 运行状态并提出建议。
Microsoft Defender 防病毒是 Windows Server 2016 及更高版本的默认反恶意软件解决方案。 对于 Windows Server 2012 R2,请使用 Microsoft Antimalware 扩展来启用 SCEP (System Center Endpoint Protection)。 对于 Linux VM,请使用 Linux 上的 Microsoft Defender for Endpoint 以获取终结点保护功能。
对于 Windows 和 Linux,可以使用 Microsoft Defender for Cloud 来发现和评估反恶意软件解决方案的运行状况。
注意:还可以使用 Microsoft Defender for Cloud 的适用于存储的 Defender 来检测上传到 Azure 存储帐户的恶意软件。
Azure 实现和额外背景信息:
AWS 指南:将 AWS 帐户载入 Microsoft Defender for Cloud,以允许 Microsoft Defender for Cloud 自动识别对配置了 Azure Arc 的 EC2 实例使用一些常用的反恶意软件解决方案,并报告终结点保护运行状态并提出建议。
部署属于 Windows Server 2016 及更高版本的默认反恶意软件解决方案的 Microsoft Defender 防病毒。 对于运行 Windows Server 2012 R2 的 EC2 实例,请使用 Microsoft Antimalware 扩展来启用 SCEP (System Center Endpoint Protection)。 对于运行 Linux 的 EC2 实例,请使用 Linux 上的 Microsoft Defender for Endpoint 以获取终结点保护功能。
对于 Windows 和 Linux,可以使用 Microsoft Defender for Cloud 来发现和评估反恶意软件解决方案的运行状况。
注意:Microsoft Defender Cloud 还支持某些第三方端点保护产品进行发现和运行状况评估。
AWS 实现和其他上下文:
GCP 指南:将 GCP 项目载入 Microsoft Defender for Cloud,以允许 Microsoft Defender for Cloud 自动识别对配置了 Azure Arc 的虚拟机实例的常用反恶意软件解决方案的使用情况,并报告终结点保护状态并提出建议。
部署属于 Windows Server 2016 及更高版本的默认反恶意软件解决方案的 Microsoft Defender 防病毒。 对于运行 Windows Server 2012 R2 的虚拟机实例,请使用Microsoft反恶意软件扩展来启用 SCEP(System Center Endpoint Protection)。 对于运行 Linux 的虚拟机实例,请使用 Microsoft Linux 上的 Defender for Endpoint 进行终结点保护功能。
对于 Windows 和 Linux,可以使用 Microsoft Defender for Cloud 来发现和评估反恶意软件解决方案的运行状况。
注意:Microsoft Defender Cloud 还支持某些第三方端点保护产品进行发现和运行状况评估。
GCP 实现和其他上下文:
客户安全利益干系人(了解详细信息):
ES-3:确保更新反恶意软件和签名
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 10.2 | SI-2、SI-3 | 5.2 |
安全原则:确保针对反恶意软件解决方案快速一致地更新反恶意软件签名。
Azure 指南:遵循 Microsoft Defender for Cloud 中的建议,使所有终结点都具有最新的签名。 默认情况下,Microsoft Antimalware(对于 Windows)和 Microsoft Defender for Endpoint(对于 Linux)将自动安装最新的签名和引擎更新。
对于第三方解决方案,请确保在第三方反恶意软件解决方案中更新签名。
Azure 实现和额外背景信息:
AWS 指南:将 AWS 帐户加入 Microsoft Defender for Cloud 后,遵循 Microsoft Defender for Cloud 中的建议,使所有终结点都具有最新的签名。 默认情况下,Microsoft Antimalware(对于 Windows)和 Microsoft Defender for Endpoint(对于 Linux)将自动安装最新的签名和引擎更新。
对于第三方解决方案,请确保在第三方反恶意软件解决方案中更新签名。
AWS 实现和其他上下文:
GCP 指南:将 GCP 项目载入 Microsoft Defender for Cloud 后,请遵循 Microsoft Defender for Cloud 中的建议,使所有 EDR 解决方案都使用最新签名保持最新状态。 默认情况下,Microsoft Antimalware(对于 Windows)和 Microsoft Defender for Endpoint(对于 Linux)将自动安装最新的签名和引擎更新。
对于第三方解决方案,请确保在第三方反恶意软件解决方案中更新签名。
GCP 实现和其他上下文:
客户安全利益干系人(了解详细信息):