安全性控制 v3:端點安全性
端點安全性涵蓋端點偵測和回應的控制,包括針對 Azure 環境中的端點使用端點偵測和回應 (EDR) 和反惡意代碼服務。
ES-1:使用端點偵測及回應 (EDR)
| CIS 控件 v8 標識碼 () | NIST SP 800-53 r4標識符 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 13.7 | SC-3、SI-2、SI-3、SI-16 | 11.5 |
安全性準則: 啟用 VM 的端點偵測與回應 (EDR) 功能,並與 SIEM 和安全性作業程式整合。
Azure 指引:適用於伺服器的 Azure Defender (與 適用於端點的 Microsoft Defender 整合式) 提供 EDR 功能,以防止、偵測、調查及回應進階威脅。
使用適用於雲端的 Microsoft Defender 為端點部署適用於伺服器的 Azure Defender,並將警示整合到 SIEM 解決方案,例如 Azure Sentinel。
實作和其他內容:
- 適用於伺服器的 Azure Defender 簡介
- 適用於端點的 Microsoft Defender 概觀
- 適用於機器的雲端功能涵蓋範圍 Microsoft Defender
- 適用於 Defender 的連接器,適用於伺服器整合至 SIEM
客戶安全性項目關係人 (深入瞭解) :
ES-2:使用新式反惡意程式碼軟體
| CIS 控件 v8 標識碼 () | NIST SP 800-53 r4標識符 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 10.1 | SC-3、SI-2、SI-3、SI-16 | 5.1 |
安全性準則: 使用能夠即時保護和定期掃描的反惡意代碼解決方案。
Azure 指引:Microsoft Defender for Cloud 可以針對已設定 Azure Arc 的虛擬機和內部部署機器,自動識別使用一些熱門的反惡意代碼解決方案,並報告端點保護執行狀態並提出建議。
Microsoft Defender 防毒軟體是 Windows Server 2016 和更新版本的預設反惡意程式碼解決方案。 若為 Windows Server 2012 R2,請使用 Microsoft Antimalware 擴充功能來啟用 SCEP (System Center Endpoint Protection) ,以及讓雲端 Microsoft Defender 來探索及評估健康情況狀態。 針對 Linux VM,請在 Linux 上使用 適用於端點的 Microsoft Defender。
注意:您也可以針對雲端的適用於記憶體的Defender使用 Microsoft Defender來偵測上傳至 Azure 記憶體帳戶的惡意代碼。
實作和其他內容:
客戶安全性項目關係人 (深入瞭解) :
ES-3:確定反惡意程式碼軟體和簽章已更新
| CIS 控件 v8 標識碼 () | NIST SP 800-53 r4標識符 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 10.2 | SI-2、SI-3 | 5.2 |
安全性準則: 確保反惡意代碼簽章會針對反惡意代碼解決方案快速且一致地更新。
Azure 指引:遵循雲端 Microsoft Defender 中的建議:「計算 & 應用程式」,讓所有端點保持最新狀態,並包含最新的簽章。 Microsoft Antimalware 預設會自動安裝最新的簽章和引擎更新。 針對 Linux,請確定第三方反惡意程式碼解決方案中已更新簽章。
實作和其他內容:
客戶安全性項目關係人 (深入瞭解) :