终结点安全性涵盖终结点检测和响应中的控制措施,包括对 Azure 环境中的终结点使用 终结点检测和响应 (EDR) 和反恶意软件服务。
ES-1:使用终结点检测和响应 (EDR)
| CIS Controls v8 ID | NIST SP 800-53 r4 ID(s) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 13.7 | SC-3、SI-2、SI-3、SI-16 | 11.5 |
安全原则: 为 VM 启用终结点检测和响应(EDR)功能,并与 SIEM 和安全作过程集成。
Azure 指南: 适用于服务器的 Azure Defender(与 Microsoft Defender for Endpoint 集成)提供 EDR 功能,用于防止、检测、调查和响应高级威胁。
使用 Microsoft Defender for Cloud 为终结点部署适用于服务器的 Azure Defender,并将警报集成到 SIEM 解决方案,例如 Azure Sentinel。
实现和其他上下文:
- 适用于服务器的 Azure Defender 简介
- Microsoft Defender for Endpoint 概述
- 适用于计算机的 Microsoft Defender for Cloud 功能覆盖范围
- 用于将服务器集成到 SIEM 的 Defender 连接器
客户安全利益干系人(了解详细信息):
ES-2:使用新式反恶意软件
| CIS Controls v8 ID | NIST SP 800-53 r4 ID(s) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 10.1 | SC-3、SI-2、SI-3、SI-16 | 5.1 |
安全原则: 使用能够实时保护和定期扫描的反恶意软件解决方案。
Azure 指南: Microsoft Defender for Cloud 可以自动识别为配置了 Azure Arc 的虚拟机和本地计算机使用大量常用的反恶意软件解决方案,并报告终结点保护运行状态并提出建议。
Microsoft Defender 防病毒是 Windows Server 2016 及更高版本的默认反恶意软件解决方案。 对于 Windows Server 2012 R2,请使用 Microsoft Antimalware 扩展来启用 SCEP (System Center Endpoint Protection),并使用 Microsoft Defender for Cloud 来发现和评估运行状况。 对于 Linux VM,请在 Linux 上使用 Microsoft Defender for Endpoint。
注意:还可以使用 Microsoft Defender for Cloud 的适用于存储的 Defender 来检测上传到 Azure 存储帐户的恶意软件。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
ES-3:确保反恶意软件和签名已更新
| CIS Controls v8 ID | NIST SP 800-53 r4 ID(s) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 10.2 | SI-2、SI-3 | 5.2 |
安全原则: 确保反恶意软件签名在反恶意软件解决方案中快速且一致地更新。
Azure 指南: 请根据 Microsoft Defender for Cloud 中“计算和应用”部分的建议,确保所有终结点保持最新状态,并更新到最新签名。 默认情况下,Microsoft Antimalware 将自动安装最新的签名和引擎更新。 对于 Linux,请确保在第三方反恶意软件解决方案中更新签名。
实现和其他上下文:
客户安全利益干系人(了解详细信息):