基礎結構整合
基礎結構包括硬體、軟體、微服務、網路基礎結構,以及支援組織IT服務所需的設施。 零信任基礎結構解決方案評估、監視及防止這些服務的安全性威脅。
零信任 基礎結構解決方案可藉由確保明確驗證基礎結構資源的存取權、使用最低許可權存取原則來授與存取權,以及假設有缺口並尋找並修復基礎結構中安全性威脅的機制,以支援 零信任 原則。
本指南適用於想要透過與 Microsoft 產品整合來增強其基礎結構安全性解決方案的軟體提供者和技術合作夥伴。
基礎結構指南 零信任 整合
此整合指南包含整合 適用於雲端的 Microsoft Defender 及其整合式雲端工作負載保護計劃的策略和指示、適用於 ... 的 Microsoft Defender(伺服器、容器、資料庫、儲存體、App Services 等等)。
本指南包含與最受歡迎的安全性資訊和事件管理 (SIEM)、安全性協調流程自動化回應 (SOAR)、端點偵測和回應 (EDR) 和 IT 服務管理 (ITSM) 解決方案的整合。
零信任和 適用於雲端的 Defender
我們的 零信任 基礎結構部署指引提供基礎結構 零信任 策略的關鍵階段。 這些包括:
- 評估所選標準和原則的合規性
- 在找到間距的地方強化設定
- 採用其他強化工具,例如 Just-In-Time (JIT) VM 存取
- 設定威脅偵測和保護
- 自動封鎖和標幟有風險的行為,並採取防護動作
從基礎結構部署指引中說明的目標清楚對應到 適用於雲端的 Defender 的核心層面。
| 零信任 目標 | 適用於雲端的 Defender 功能 |
|---|---|
| 評定合規性 | 在 適用於雲端的 Defender 中,每個訂用帳戶都會自動將 Microsoft 雲端安全性效能評定 (MCSB) 指派為預設安全性計劃。 使用安全分數工具和法規合規性儀錶板,您可以深入瞭解客戶的安全性狀態。 |
| 強化組態 | 將安全性計劃指派給訂用帳戶,並檢閱安全分數,會引導您獲得內建於 適用於雲端的 Defender的強化建議。 適用於雲端的 Defender 定期分析資源的合規性狀態,以識別潛在的安全性設定錯誤和弱點。 接著會提供如何補救這些問題的建議。 |
| 採用強化機制 | 除了安全性設定錯誤的一次性修正,適用於雲端的 Defender 包含功能,進一步強化您的資源,例如: Just-In-Time (JIT) 虛擬機 (VM) 存取 自適性網路強化 自適性應用程控。 |
| 設定威脅偵測 | 適用於雲端的 Defender 提供整合式雲端工作負載保護計劃,以進行威脅偵測和回應。 這些方案提供進階、智慧型、Azure、混合式和多重雲端資源和工作負載的保護。 其中一個適用於伺服器的 Microsoft Defender 方案包含與 適用於端點的 Microsoft Defender 的原生整合。 若要深入瞭解,請參閱 適用於雲端的 Microsoft Defender 簡介。 |
| 自動封鎖可疑行為 | 適用於雲端的 Defender 中的許多強化建議都提供拒絕選項。 這項功能可讓您防止建立不符合已定義強化準則的資源。 若要深入瞭解,請參閱 使用強制/拒絕建議防止設定錯誤。 |
| 自動標幟可疑行為 | 適用於雲端的 Microsoft Defender的安全性警示是由進階偵測所觸發。 適用於雲端的 Defender 會設定優先順序並列出警示,以及快速調查問題所需的資訊。 適用於雲端的 Defender 也提供詳細的步驟,協助您補救攻擊。 如需可用警示的完整清單,請參閱 安全性警示 - 參考指南。 |
使用 適用於雲端的 Defender 保護您的 Azure PaaS 服務
在訂用帳戶上啟用 適用於雲端的 Defender,以及針對所有可用資源類型啟用的 Defender 工作負載保護計劃後,您將有一層智慧型手機威脅防護 - 由 Microsoft 威脅情報提供 - 保護 Azure 金鑰保存庫、Azure 儲存體、Azure DNS 和其他 Azure PaaS 服務中的資源。 如需完整清單,請參閱支援矩陣中列出的 PaaS 服務。
Azure Logic 應用程式
使用 Azure Logic Apps 建置自動化可調整的工作流程、商務程式和企業協調流程,以跨雲端服務和內部部署系統整合您的應用程式和數據。
適用於雲端的 Defender 的工作流程自動化功能可讓您自動回應 適用於雲端的 Defender 觸發程式。
這是在探索到威脅時,以自動化且一致的方式定義和回應的絕佳方式。 例如,若要通知相關的項目關係人,請啟動變更管理程式,並在偵測到威脅時套用特定的補救步驟。
將 適用於雲端的 Defender與您的 SIEM、SOAR 和 ITSM 解決方案整合
適用於雲端的 Microsoft Defender 可將安全性警示串流至最受歡迎的安全性資訊和事件管理 (SIEM)、安全性協調流程自動化回應 (SOAR) 和 IT 服務管理 (ITSM) 解決方案。
有 Azure 原生工具可讓您在目前使用中最熱門的解決方案中檢視警示數據,包括:
- Microsoft Sentinel
- Splunk Enterprise 和 Splunk Cloud
- IBM 的 QRadar
- ServiceNow
- ArcSight
- Power BI
- Palo Alto Networks
Microsoft Sentinel
適用於雲端的 Defender 原生整合Microsoft Sentinel,Microsoft 的雲端原生安全性資訊事件管理 (SIEM) 和安全性協調流程自動化回應 (SOAR) 解決方案。
有兩種方法可確保您的 適用於雲端的 Defender 數據以 Microsoft Sentinel 表示:
Sentinel 連接器 - Microsoft Sentinel 包含訂用帳戶和租用戶層級 適用於雲端的 Microsoft Defender 的內建連接器:
提示
深入瞭解從 適用於雲端的 Microsoft Defender 連線 安全性警示。
串流您的稽核記錄 - 調查 Microsoft Sentinel 中 適用於雲端的 Defender 警示的替代方式是將您的稽核記錄串流至 Microsoft Sentinel:
使用 Microsoft Graph 安全性 API 串流警示
適用於雲端的 Defender 已與 Microsoft Graph 安全性 API 進行現用整合。 不需要任何設定,而且不需要額外的成本。
您可以使用此 API,將來自整個租使用者的警示(以及來自許多其他 Microsoft 安全性產品的數據)串流至第三方 SIEM 和其他熱門平臺:
- Splunk Enterprise 和 Splunk Cloud - 使用適用於 Splunk 的 Microsoft Graph 安全性 API 附加元件
- Power BI 連線 Power BI - Desktop 中的 Microsoft Graph 安全性 API
- ServiceNow 遵循指示,從 ServiceNow - Store 安裝和設定 Microsoft Graph 安全性 API 應用程式
- QRadar - IBM 的裝置支援模組,透過 Microsoft Graph API 適用於雲端的 Microsoft Defender
- Palo Alto Networks、Anomali、Lookout、InSpark 等 - Microsoft Graph 安全性 API
使用 Azure 監視器串流警示
使用 適用於雲端的 Defender 的持續匯出功能,透過 Azure 事件中樞 將 適用於雲端的 Defender 與 Azure 監視器連線,並將警示串流至 ArcSight、SumoLogic、Syslog 伺服器、LogRhythm、Logz.io Cloud Observability Platform 和其他監視解決方案。
深入瞭解使用 Azure 監視器串流警示。
這也可以在使用 Azure 原則 的管理群組層級完成,請參閱大規模建立連續匯出自動化組態。
提示
若要檢視導出數據類型的事件架構,請流覽事件中 樞事件架構。
整合 適用於雲端的 Defender 與端點偵測和回應 (EDR) 解決方案
適用於端點的 Microsoft Defender
適用於端點的 Microsoft Defender 是整體的雲端式端點安全性解決方案。
適用於伺服器的 Microsoft Defender 包含適用於 適用於端點的 Microsoft Defender 的整合式授權。 兩者搭配運作下,可提供完整的端點偵測及回應 (EDR) 功能。 如需詳細資訊,請參閱 保護您的端點。
適用於端點的 Defender 偵測到威脅時會觸發警示。 警示會顯示在 適用於雲端的 Defender 中,您可以樞紐至適用於端點的 Defender 控制台,以執行詳細的調查並找出攻擊的範圍。 深入瞭解 適用於端點的 Microsoft Defender。
其他 EDR 解決方案
適用於雲端的 Defender 提供強化建議,以確保您根據的指引保護貴組織的資源Microsoft 雲端安全性效能評定 (MCSB)。 基準檢驗中的其中一個控制件與端點安全性相關: ES-1:使用端點偵測和回應 (EDR) 。
適用於雲端的 Defender 中有兩個建議,以確保您已啟用端點保護,且運作良好。 這些建議會檢查 EDR 解決方案是否存在與操作健康情況,其來源如下:
- Trend Micro
- Symantec
- Mcafee
- Sophos
若要深入瞭解,請參閱 適用於雲端的 Microsoft Defender 中的 Endpoint Protection 評量和建議。
將 零信任 策略套用至混合式和多重雲端案例
雲端工作負載通常會跨越多個雲端平臺,雲端安全性服務必須執行相同的動作。
適用於雲端的 Microsoft Defender 保護工作負載的執行位置:在 Azure、內部部署、Amazon Web Services (AWS) 或 Google 雲端平臺 (GCP) 中。
整合 適用於雲端的 Defender 與內部部署機器
若要保護混合式雲端工作負載,您可以將內部部署機器連線到已啟用 Azure Arc 的伺服器,以擴充 適用於雲端的 Defender 的保護。
瞭解如何將非 Azure 機器 連線 中的機器連線到 適用於雲端的 Defender。
整合 適用於雲端的 Defender 與其他雲端環境
若要在 適用於雲端的 Defender 中檢視 Amazon Web Services 機器的安全性狀態,請將 AWS 帳戶上線至 適用於雲端的 Defender。 這會整合 AWS 安全性中樞和 適用於雲端的 Microsoft Defender,以統一檢視 適用於雲端的 Defender 建議和 AWS 安全性中樞結果,並提供一系列優點,如 #DB982585725FA4838AB62628214C3B218 AWS 帳戶來 適用於雲端的 Microsoft Defender 中所述。
若要在 適用於雲端的 Defender 中檢視 Google Cloud Platform 機器的安全性狀態,請將 GCP 帳戶上線至 適用於雲端的 Defender。 這將整合 GCP 安全性命令和 適用於雲端的 Microsoft Defender,以統一檢視 適用於雲端的 Defender 建議和 GCP 安全性命令中心的結果,並提供一系列優點,如 連線 GCP 帳戶所述,以 適用於雲端的 Microsoft Defender。
下一步
若要深入瞭解 適用於雲端的 Microsoft Defender,請參閱完整的 適用於雲端的 Defender 檔。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應