說明 Azure Arc 安全性解決方案
Contoso 想保護已連線至 Azure Arc 的伺服器和 Kubernetes 叢集。Contoso 可以使用 Microsoft Sentinel,收集已啟用 Arc 之伺服器的安全性相關事件,提供警示偵測、威脅可見度和其他效益。 Contoso 也可以使用適用于伺服器的 Microsoft Defender 來監視其已啟用 Arc 的伺服器的安全性狀態,同時協助透過適用于容器的 Microsoft Defender 保護其 Kubernetes 叢集。
使用 Microsoft Sentinel 確保 Azure Arc 安全性
Microsoft Sentinel 與 SIEM (可調整的雲端原生安全性資訊和事件管理) 和 SOAR (安全性協調流程、自動化與回應) 解決方案整合。 Microsoft Sentinel 提供適用威脅情報,並針對攻擊偵測、主動式搜捕及威脅回應提供單一解決方案。 可讓您以鳥瞰的角度檢視整個企業,減輕因日漸複雜的攻擊、增長的警示數量,以及冗長解析時間範圍所產生的壓力。
Microsoft Sentinel 的優點包括:
- 以雲端規模收集內部部署和多個雲端中所有使用者、裝置、應用程式和基礎結構的資料。
- 使用 Microsoft 的分析和無可匹敵的威脅情報,偵測先前未偵測到的威脅,並減少誤判。
- 使用人工智慧調查威脅,並大規模搜捕可疑的活動,深入探究 Microsoft 多年來的網路安全性工作。
- 使用內建的常見工作協調流程和自動化作業,快速回應事件。
透過 Azure Arc,這些優點可以延伸到 Contoso 混合式環境中的伺服器。
Microsoft Sentinel 隨附數種適用於 Microsoft 解決方案的連接器,現成可用且提供即時整合功能。 針對實體和虛擬機器,您可以安裝 Log Analytics 代理程式來收集記錄,並將其轉送到 Microsoft Sentinel。
啟用 Azure Arc 的伺服器連線到 Log Analytics 工作區並啟用 Microsoft Sentinel 之後,您可以設定資料連線器以開始擷取記錄。
Contoso 可以使用 Microsoft Sentinel 的威脅偵測範本來建立自己的規則,用於偵測可疑活動。 這些規則範本是以已知威脅和常見攻擊媒介為基礎,可讓 Contoso 建立特定規則來自動搜尋環境中是否存在威脅。 範本可視需要自訂,方便搜尋活動或篩選掉。
使用 Microsoft Defender 確保 Azure Arc 安全性
適用於伺服器的 Microsoft Defender 和適用於容器的 Microsoft Defender 為 Contoso 伺服器和 Kubernetes 叢集提供額外的威脅防護。
適用於伺服器的 Microsoft Defender 是適用於雲端的 Defender 其中一項增強安全性功能。 無論您的 Windows 和 Linux 機器是在 Azure、內部部署或多雲端環境中執行,適用於伺服器的 Defender 都會為機器增添威脅偵測和進階防禦。
適用於容器的 Microsoft Defender 是用來保護容器的雲端原生解決方案。 適用于容器的 Defender 會持續評估叢集,提供錯誤設定的可見度,並提供指導方針來協助減輕已識別的威脅。 威脅防護會產生可疑活動的安全性警示。