安全控制 v3:终结点安全性
终结点安全保护对终结点检测和响应的控制措施,包括在 Azure 环境中对终结点使用终结点检测和响应 (EDR) 和反恶意软件服务。
ES-1:使用终结点检测和响应 (EDR)
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 13.7 | SC-3、SI-2、SI-3、SI-16 | 11.5 |
安全原则:为 VM 启用终结点检测和响应 (EDR) 功能,并与 SIEM 和安全操作流程集成。
Azure 指南:适用于服务器的 Azure Defender(集成了 Microsoft Defender for Endpoint)提供 EDR 功能,以预防、检测、调查和响应高级威胁。
使用 Microsoft Defender for Cloud 为终结点部署适用于服务器的 Azure Defender,并将警报集成到 SIEM 解决方案,例如 Azure Sentinel。
实现和其他上下文:
- 适用于服务器的 Azure Defender 简介
- Microsoft Defender for Endpoint 概述
- Microsoft Defender for Cloud 适用于计算机的功能覆盖范围
- 用于将适用于服务器的 Defender 集成到 SIEM 中的连接器
客户安全利益干系人(了解详细信息):
ES-2:使用新式反恶意软件
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 10.1 | SC-3、SI-2、SI-3、SI-16 | 5.1 |
安全原则:使用能够实时保护和定期扫描的反恶意软件解决方案。
Azure 指南:Microsoft Defender for Cloud 可自动识别针对虚拟机和已配置 Azure Arc 的本地计算机的多种常用反恶意软件解决方案的使用情况,并报告终结点保护运行状态和提出建议。
Microsoft Defender 防病毒是 Windows Server 2016 及更高版本的默认反恶意软件解决方案。 对于 Windows Server 2012 R2,请使用 Microsoft Antimalware 扩展来启用 SCEP (System Center Endpoint Protection),并使用 Microsoft Defender for Cloud 来发现和评估运行状况。 对于 Linux VM,请在 Linux 上使用 Microsoft Defender for Endpoint。
注意:还可以使用 Microsoft Defender for Cloud 的适用于存储的 Defender 来检测上传到 Azure 存储帐户的恶意软件。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
ES-3:确保反恶意软件和签名已更新
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 10.2 | SI-2、SI-3 | 5.2 |
安全原则:确保针对反恶意软件解决方案快速一致地更新反恶意软件签名。
Azure 指南:遵循 Microsoft Defender for Cloud:“计算 & 应用”中的建议,使用最新签名使所有终结点保持最新。 默认情况下,Microsoft Antimalware 将自动安装最新的签名和引擎更新。 对于 Linux,请确保在第三方反恶意软件解决方案中更新签名。
实现和其他上下文:
客户安全利益干系人(了解详细信息):