基础结构集成

基础结构包括组织支持 IT 服务所需的硬件、软件、微服务、网络基础结构和设施。 零信任基础结构解决方案可评估、监视和阻止对这些服务的安全威胁。

通过确保对基础架构资源的访问进行显式验证，使用最低权限访问原则授予访问权限，并采用相应机制来假设漏洞并查找和修复基础架构中的安全威胁，零信任基础架构解决方案实现了对零信任原则的支持。

本指南适用于希望通过与 Microsoft 产品集成来增强其基础结构安全解决方案的软件提供商和技术合作伙伴。

基础结构零信任集成指南

本集成指南包含有关与 Microsoft Defender for Cloud 及其集成的云工作负载保护平台、Microsoft Defender for Cloud（服务器、容器、数据库、存储、应用服务等）进行集成的策略和说明。

该指南包含与最常见的安全信息和事件管理 (SIEM)、安全业务流程自动响应 (SOAR)、终结点检测和响应 (EDR) 以及 IT 服务管理 (ITSM) 解决方案的集成。

零信任和 Defender for Cloud

我们的零信任基础结构部署指南为基础结构提供了零信任策略的关键阶段。 这些功能是：

1. 评估与所选标准和策略的合规性情况
2. 在发现差距的地方强化配置
3. 使用其他强化工具，如实时 (JIT) VM 访问
4. 设置威胁检测和保护
5. 自动阻止和标记有风险的行为并采取防护操作

我们在基础结构部署指南中介绍的目标与 Defender for Cloud 核心层面之间存在清晰的对应关系。

零信任目标	Defender for Cloud 功能
评估符合性	在 Defender for Cloud 中，每个订阅都会自动分配 Microsoft 云安全基准 (MCSB) 为默认安全计划。 使用“安全评分工具”和“法规合规性仪表板”可深入了解客户的安全状况。
强化配置	将安全计划分配给订阅，并查看安全分数会使你获得 Defender for Cloud 内置的“强化建议”。 Defender for Cloud 会定期分析资源的合规性状态，以确定潜在的安全错误配置和薄弱点。 然后会提供有关如何消除这些问题的建议。
使用强化机制	Defender for Cloud 除了一次性修复了安全配置错误，还包含进一步强化资源的功能，例如： 实时 (JIT) 虚拟机 (VM) 访问 自适应网络强化 自适应应用程序控件。
设置威胁检测	Defender for Cloud 提供集成的云工作负载保护计划，用于威胁检测和响应。 这些计划为 Azure、混合云和多云资源和工作负载提供高级、智能的保护。 Defender for Servers 是 Microsoft Defender 计划之一，它提供与 Microsoft Defender for Endpoint 的本机集成。 有关详细信息，请参阅 Microsoft Defender for Cloud 简介。
自动阻止可疑行为	Defender for Cloud 的许多强化建议都提供拒绝选项。 此功能可让你阻止创建不满足所定义的强化标准的资源。 有关详细信息，请参阅使用“强制执行/拒绝”建议防止错误配置。
自动标记可疑行为	Microsoft Defender for Cloud 的安全警报由高级检测触发。 Defender for Cloud 按优先级列出警报，以及快速调查问题所需的信息。 Defender for Cloud 还提供了详细步骤来帮助你修正攻击。 有关可用警报的完整列表，请查看安全警报 - 参考指南。

通过 Defender for Cloud 保护 Azure PaaS 服务

如果已在订阅上启用 Defender for Cloud，并且已为所有可用的资源类型启用 Defender 工作负载保护，你将拥有一个智能威胁防护层，该防护层由 Microsoft 威胁情报提供支持，可保护 Azure Key Vault、Azure 存储、Azure DNS 和其他 Azure PaaS 服务中的资源。 有关完整列表，请参阅“支持矩阵”中列出的 PaaS 服务。

Azure 逻辑应用

使用 Azure 逻辑应用构建可自动缩放的工作流、业务流程和企业业务流程，以便在多个云服务和本地系统中集成你的应用和数据。

通过 Defender for Cloud 的工作流自动化功能，可自动响应 Defender for Cloud 触发器。

若在发现威胁时需以自动一致的方式进行定义和响应，这是一种非常好的方法。 例如，若要通知相关利益干系人，请启动变更管理流程，并在检测到威胁时应用特定的修正步骤。

将 Defender for Cloud 与 SIEM、SOAR 和 ITSM 解决方案集成

Microsoft Defender for Cloud 可将安全警报流式传输到最流行的安全信息和事件管理 (SIEM)、安全业务流程自动响应 (SOAR) 和 IT 服务管理 (ITSM) 解决方案。

Azure 本机工具可确保你可以查看当前使用的所有最常用解决方案中的警报数据，其中包括：

• Microsoft Sentinel
• Splunk Enterprise and Splunk Cloud
• IBM 的 QRadar
• ServiceNow
• ArcSight
• Power BI
• Palo Alto Networks

Microsoft Sentinel

Defender for Cloud 与 Microsoft Sentinel 原生集成，后者是 Microsoft 的云原生安全信息事件管理 (SIEM) 和安全业务流程自动响应 (SOAR) 解决方案。

可通过两种方法确保在 Microsoft Sentinel 中表示 Defender for Cloud 数据：

• Sentinel 连接器 - Microsoft Sentinel 在订阅和租户级别包含适用于 Microsoft Defender for Cloud 的内置连接器：

  • 在订阅级别将警报流式传输到 Microsoft Sentinel
  • 将租户中的所有订阅连接到 Microsoft Sentinel

  提示

  有关详细信息，请参阅从 Microsoft Defender for Cloud 连接安全警报。

• 流式传输审核日志 - 在 Microsoft Sentinel 中调查 Defender for Cloud 警报的另一种方法是将审核日志流式传输到 Microsoft Sentinel：

  • 连接 Windows 安全事件
  • 使用 Syslog 从基于 Linux 的源收集数据
  • 连接 Azure 活动日志中的数据

使用 Microsoft Graph 安全性 API 流式传输警报

Defender for Cloud 提供与 Microsoft Graph 安全 API 的直接集成。 无需进行配置，也不需要额外的费用。

可以使用此 API 将警报从整个租户（以及许多其他 Microsoft 安全产品的数据）流式传输到第三方 SIEM 和其他常用平台：

• Splunk Enterprise and Splunk Cloud - 使用适用于 Splunk 的 Microsoft Graph 安全性 API 附加产品
• Power BI - 连接到 Power BI Desktop 中的 Microsoft Graph 安全性 API
• ServiceNow - 按照说明从 ServiceNow Store 中安装和配置 Microsoft Graph 安全性 API 应用程序
• QRadar - IBM 的设备支持模块，可通过 Microsoft Graph API 将其用于 Microsoft Defender for Cloud
• Palo Alto Networks、Anomali、Lookout、InSpark 等 - Microsoft Graph 安全性 API

详细了解 Microsoft Graph 安全性 API。

使用 Azure Monitor 流式传输警报

使用 Defender for Cloud 的连续导出功能，通过 Azure 事件中心将 Defender for Cloud 连接到 Azure Monitor，并将警报流式传输到 ArcSight、SumoLogic、Syslog 服务器、LogRhythm、Logz.io Cloud Observability Platform 和其他监视解决方案中。

若要了解详细信息，请参阅使用 Azure Monitor 流式传输警报。

此操作还可以使用 Azure Policy 在管理组级别完成，请参阅大规模创建连续导出自动化配置。

提示

若要查看导出的数据类型的事件架构，请访问事件中心事件架构。

将 Defender for Cloud 与终结点检测和响应 (EDR) 解决方案集成

用于终结点的 Microsoft Defender

Microsoft Defender for Endpoint 是一种整体的、云交付的终结点安全解决方案。

Microsoft Defender for servers 包含 Microsoft Defender for Endpoint 的集成许可证。 两者共同提供全面的终结点检测和响应 (EDR) 功能。 有关详细信息，请参阅保护终结点。

用于终结点的 Defender 在检测到威胁时会触发警报。 该警报在 Defender for Cloud 中显示，还可以转至 Defender for Endpoint 控制台，并执行详细调查来发现攻击范围。 详细了解 Microsoft Defender for Endpoint。

其他 EDR 解决方案

Defender for Cloud 提供了强化建议，确保你根据 Microsoft Cloud 安全基准 (MCSB) 的指导确保组织的资源安全。 基准中的其中一项控制与终结点安全性相关：ES-1：使用终结点检测和响应 (EDR)。

Defender for Cloud 提供了两项建议，用于确保你已启用终结点保护并使其正常运行。 这些建议用于从以下方面检查 EDR 解决方案的状态和运行状况：

• Trend Micro
• Symantec
• McAfee
• Sophos

有关详细信息，请参阅 Microsoft Defender for Cloud 的终结点保护评估和建议。

将零信任策略应用到混合场景和多云场景

由于云工作负载通常跨多个云平台分布，因此云安全服务也需要如此。

Microsoft Defender for Cloud 可保护在任何地方运行的工作负载：在 Azure、本地、Amazon Web Services (AWS) 或 Google Cloud Platform (GCP) 中。

将 Defender for Cloud 与本地计算机集成

若要保护混合云工作负载，可以通过将本地计算机连接到已启用 Azure Arc 的服务器来扩展 Defender for Cloud 的保护范围。

若要了解如何连接计算机，请参阅将非 Azure 计算机连接到 Defender for Cloud。

将 Defender for Cloud 与其他云环境集成

若要在 Defender for Cloud 中查看 Amazon Web Services 计算机的安全状况，请将 AWS 帐户加入 Defender for Cloud。 这会将 AWS Security Hub 与 Microsoft Defender for Cloud 集成来提供统一的 Defender for Cloud 建议和 AWS Security Hub 发现结果视图，并提供将 AWS 帐户连接到 Microsoft Defender for Cloud 中所述的一系列优势。

若要在 Defender for Cloud 中查看 Google Cloud Platform 计算机的安全状况，请将 GCP 帐户加入 Defender for Cloud。 这会将 GCP Security Command 和 Microsoft Defender for Cloud 集成来提供统一的 Defender for Cloud 建议和 GCP Security Command Center 发现结果视图，并提供将 GCP 帐户连接到 Microsoft Defender for Cloud 中所述的一系列优势。

后续步骤

若要详细了解 Microsoft Defender for Cloud，请参阅完整的 Defender for Cloud 文档。