基础结构包括硬件、软件、微服务、网络基础结构和为组织提供支持 IT 服务所需的设施。 零信任基础结构解决方案评估、监视和防止这些服务的安全威胁。
零信任基础结构解决方案通过确保显式验证对基础结构资源的访问权限、使用最低特权访问原则授予访问权限,以及假设存在漏洞并查找和修正基础结构中的安全威胁的机制,从而支持零信任原则。
本指南适用于希望通过与Microsoft产品集成来增强其基础结构安全解决方案的软件提供商和技术合作伙伴。
基础结构零信任集成指南
本集成指南包括与 Microsoft Defender for Cloud 及其集成的云工作负载保护计划、 Microsoft Defender for ... (服务器、容器、数据库、存储、应用服务等)集成的策略和说明。
本指南包括与最常用的安全信息和事件管理(SIEM)、安全业务流程自动响应(SOAR)、终结点检测和响应(EDR)和 IT 服务管理(ITSM)解决方案的集成。
零信任和 Defender for Cloud
我们的零信任基础结构部署指南为基础结构提供零信任策略的关键阶段:
- 评估所选标准和策略的符合性
- 在找到间隙的位置强化配置
- 使用其他强化工具,例如实时 (JIT) VM 访问
- 设置威胁检测和保护
- 自动阻止和标记风险行为并采取保护措施
从 基础结构部署指南 中所述的目标到 Defender for Cloud 的核心方面有明确的映射。
| 零信任目标 | Defender for Cloud 功能 |
|---|---|
| 评估合规性 | 在 Defender for Cloud 中,每个订阅都会自动将 Microsoft云安全基准(MCSB) 分配为 默认安全计划。 使用安全功能分数工具和法规合规性仪表板,可以深入了解客户的安全状况。 |
| 强化配置 | 将安全计划分配给订阅并查看安全功能分数,引导你获得 Defender for Cloud 中内置的 强化建议 。 Defender for Cloud 定期分析资源的符合性状态,以确定潜在的安全配置错误和弱点。 然后,它提供有关如何修正这些问题的建议。 |
| 采用强化机制 | Defender for Cloud 一次性修复了安全配置错误,其中包括进一步强化资源的功能,例如: 实时 (JIT) 虚拟机 (VM) 访问 自适应网络强化 自适应应用程序控件。 |
| 设置威胁检测 | Defender for Cloud 提供集成的云工作负载保护计划,用于威胁检测和响应。 这些计划提供高级、智能、对 Azure、混合和多云资源和工作负载的保护。 Microsoft Defender 计划之一 Defender for servers 包括与 Microsoft Defender for Endpoint 的本机集成。 在 Microsoft Defender for Cloud 简介中了解详细信息。 |
| 自动阻止可疑行为 | Defender for Cloud 中的许多强化建议提供了 拒绝 选项。 使用此功能,可以阻止创建不符合定义的强化条件的资源。 详细了解如何使用 “强制/拒绝”建议防止错误配置。 |
| 自动标记可疑行为 | 高级检测触发 Microsoft Defender for Cloud 的安全警报。 Defender for Cloud 会确定优先级并列出警报,以及快速调查问题所需的信息。 Defender for Cloud 还提供详细的步骤来帮助修正攻击。 有关可用警报的完整列表,请参阅 安全警报 - 参考指南。 |
使用 Defender for Cloud 保护 Azure PaaS 服务
在订阅上启用 Defender for Cloud,并为所有可用资源类型启用 Defender 工作负荷保护计划后,你有一层智能威胁防护,保护 Azure Key Vault、Azure 存储、Azure DNS 和其他 Azure PaaS 服务中的资源。 有关完整列表,请参阅 支持矩阵中列出的 PaaS 服务。
Azure Logic Apps
使用 Azure 逻辑应用 构建自动化的可缩放工作流、业务流程和企业业务流程,以跨云服务和本地系统集成应用和数据。
Defender for Cloud 的 工作流自动化 功能使你能够自动响应 Defender for Cloud 触发器。
此方法非常适合在发现威胁时以自动化、一致的方式定义和响应。 例如,若要通知相关利益干系人,请启动更改管理过程,并在检测到威胁时应用特定的修正步骤。
将 Defender for Cloud 与 SIEM、SOAR 和 ITSM 解决方案集成
Microsoft Defender for Cloud 可以将安全警报流式传输到最受欢迎的安全信息和事件管理(SIEM)、安全业务流程自动响应(SOAR)和 IT 服务管理(ITSM)解决方案中。
有一些 Azure 原生工具,用于确保可在目前使用的最常用解决方案中查看警报数据,包括:
- Microsoft Sentinel
- Splunk Enterprise 和 Splunk Cloud
- IBM 的 QRadar
- ServiceNow
- ArcSight
- Power BI
- Palo Alto Networks
Microsoft Sentinel
Defender for Cloud 原生与 Microsoft Sentinel 集成,Microsoft的云原生安全信息事件管理(SIEM)和安全业务流程自动响应(SOAR)解决方案。
可通过两种方法来确保 Defender for Cloud 数据在 Microsoft Sentinel 中表示:
Sentinel 连接器 - Microsoft Sentinel 包括用于订阅和租户级别的 Microsoft Defender for Cloud 的内置连接器:
小窍门
流式传输审核日志 - 在 Microsoft Sentinel 中调查 Defender for Cloud 警报的替代方法是将审核日志流式传输到 Microsoft Sentinel:
使用 Microsoft 图形安全 API 流式传输警报
Defender for Cloud 与 Microsoft Graph 安全 API 进行了现式集成。 无需配置,也无需额外付费。
可以使用此 API 将 来自整个租户 的警报(以及来自许多其他Microsoft安全产品的数据)流式传输到非Microsoft SIEM 和其他常用平台:
- Splunk Enterprise 和 Splunk Cloud - 使用适用于 Splunk 的 Microsoft 图形安全 API Add-On
- Power BI - 连接到 Power BI Desktop 中的 Microsoft 图形安全 API
- ServiceNow - 按照说明从 ServiceNow 应用商店安装和配置 Microsoft Graph 安全性 API 应用程序
- QRadar - IBM 的设备支持模块,通过 Microsoft 图形 API Microsoft Defender for Cloud
- Palo Alto Networks、 Anomali、 Lookout、 InSpark 等 - Microsoft Graph 安全性 API
使用 Azure Monitor 流式传输警报
使用 Defender for Cloud 的持续 导出 功能通过 Azure 事件中心将 Defender for Cloud 连接到 Azure Monitor,并将警报流式传输到 ArcSight、 SumoLogic、Syslog 服务器、 LogRhythm、 Logz.io Cloud Observability Platform 和其他监视解决方案。
使用 Azure Monitor 在流警报中了解详细信息。
还可以使用 Azure Policy 在管理组级别执行此作。 请参阅 大规模创建连续导出自动化配置。
小窍门
若要查看导出数据类型的事件架构,请访问 事件中心事件架构。
将 Defender for Cloud 与终结点检测和响应(EDR)解决方案集成
Microsoft Defender for Endpoint
Microsoft Defender for Endpoint 是一种全面的云交付终结点安全解决方案。
Microsoft Defender for servers 包括 Microsoft Defender for Endpoint 的集成许可证。 它们共同提供全面的终结点检测和响应(EDR)功能。 有关详细信息,请参阅 “保护终结点”。
当 Defender for Endpoint 检测到威胁时,它会触发警报。 警报显示在 Defender for Cloud 中,你可以透视到 Defender for Endpoint 控制台以执行详细的调查并发现攻击的范围。 详细了解 Microsoft Defender for Endpoint。
其他 EDR 解决方案
Defender for Cloud 提供了强化建议,以确保根据 Microsoft云安全基准(MCSB)的指导保护组织的资源。 基准中的控件之一与终结点安全性相关:ES-1:使用终结点检测和响应(EDR)。
Defender for Cloud 中有两项建议,以确保启用终结点保护且运行良好。 这些建议正在检查 EDR 解决方案的状态和作运行状况:
- Trend Micro
- Symantec
- McAfee
- Sophos
在 Microsoft Defender for Cloud 中的 Endpoint Protection 评估和建议中了解详细信息。
将零信任策略应用于混合和多云方案
由于云工作负载通常跨越多个云平台,云安全服务必须执行相同的作。
Microsoft Defender for Cloud 保护工作负荷,无论工作负荷在何处运行:在 Azure、本地、Amazon Web Services(AWS)或 Google Cloud Platform (GCP) 中。
将 Defender for Cloud 与本地计算机集成
若要保护混合云工作负载,可以通过将本地计算机连接到 已启用 Azure Arc 的服务器来扩展 Defender for Cloud 的保护。
了解如何将 非 Azure 计算机连接到 Defender for Cloud 中的计算机。
将 Defender for Cloud 与其他云环境集成
若要查看 Defender for Cloud 中 Amazon Web Services 计算机的安全状况,请将 AWS 帐户载入 Defender for Cloud。 此方法集成 AWS 安全中心和 Microsoft Defender for Cloud,以便统一查看 Defender for Cloud 建议和 AWS 安全中心发现,并提供一系列优势,如 将 AWS 帐户连接到 Microsoft Defender for Cloud 中所述。
若要查看 Defender for Cloud 中 Google Cloud Platform 计算机的安全状况,请将 GCP 帐户加入 Defender for Cloud。 此方法将 GCP 安全命令和 Microsoft Defender for Cloud 集成,以便统一查看 Defender for Cloud 建议和 GCP 安全命令中心调查结果,并提供一系列优势,如 将 GCP 帐户连接到 Microsoft Defender for Cloud 中所述。
后续步骤
若要详细了解 Microsoft Defender for Cloud,请参阅 完整的 Defender for Cloud 文档。