Integrace Microsoft Defenderu pro cloud se službou Azure VMware Solution

Microsoft Defender for Cloud poskytuje pokročilou ochranu před hrozbami napříč řešením Azure VMware a místními virtuálními počítači. Vyhodnocuje ohrožení zabezpečení virtuálních počítačů Azure VMware Solution a podle potřeby vyvolává výstrahy. Tyto výstrahy zabezpečení je možné předat službě Azure Monitor za účelem řešení. Zásady zabezpečení můžete definovat v programu Microsoft Defender for Cloud. Další informace najdete v tématu Práce se zásadami zabezpečení.

Microsoft Defender for Cloud nabízí řadu funkcí, mezi které patří:

• Monitorování integrity souborů
• Detekce útoků bez souborů
• Posouzení oprav operačního systému
• Posouzení chyb konfigurace zabezpečení
• Posouzení ochrany koncových bodů

Diagram znázorňuje integrovanou architekturu monitorování integrovaného zabezpečení pro virtuální počítače Azure VMware Solution.

Agent Log Analytics shromažďuje data protokolů z Azure, Azure VMware Solution a místních virtuálních počítačů. Data protokolu se odesílají do protokolů služby Azure Monitor a ukládají se do pracovního prostoru služby Log Analytics. Každý pracovní prostor má vlastní úložiště dat a konfiguraci pro ukládání dat. Jakmile se protokoly shromažďují, Microsoft Defender for Cloud vyhodnotí stav ohrožení zabezpečení virtuálních počítačů Azure VMware Solution a vyvolá výstrahu pro všechna kritická ohrožení zabezpečení. Po posouzení Microsoft Defender for Cloud předá stav ohrožení zabezpečení službě Microsoft Sentinel a vytvoří incident a mapuje se s jinými hrozbami. Microsoft Defender for Cloud je připojený k Microsoft Sentinelu pomocí programu Microsoft Defender for Cloud Připojení or.

Požadavky

• Naplánujte optimalizované použití Defenderu pro cloud.

• Projděte si podporované platformy v defenderu pro cloud.

• Vytvořte pracovní prostor služby Log Analytics, který bude shromažďovat data z různých zdrojů.

• Povolte v předplatném Microsoft Defender for Cloud.

  Poznámka:

  Microsoft Defender for Cloud je předem nakonfigurovaný nástroj, který nevyžaduje nasazení, ale budete ho muset povolit.

• Povolte Microsoft Defender for Cloud.

Přidání virtuálních počítačů Azure VMware Solution do Defenderu pro cloud

1. Na webu Azure Portal vyhledejte Azure Arc a vyberte ho.

2. V části Prostředky vyberte Servery a pak +Přidat.

   

3. Vyberte Vygenerovat skript.

   

4. Na kartě Požadavky vyberte Další.

5. Na kartě Podrobnosti o zdroji vyplňte následující podrobnosti a pak vyberte Další. Značky:

   • Předplatné
   • Skupina prostředků
   • Oblast
   • Operační systém
   • Podrobnosti proxy serveru

6. Na kartě Značky vyberte Další.

7. Na kartě Stáhnout a spustit skript vyberte Stáhnout.

8. Zadejte operační systém a spusťte skript na virtuálním počítači Azure VMware Solution.

Zobrazení doporučení a předaných posouzení

Doporučení a posouzení poskytují podrobnosti o stavu zabezpečení vašeho prostředku.

1. V programu Microsoft Defender for Cloud vyberte Inventář z levého podokna.

2. Jako typ prostředku vyberte Servery – Azure Arc.

   

3. Vyberte název vašeho prostředku. Otevře se stránka s podrobnostmi o stavu zabezpečení vašeho prostředku.

4. V části Seznam doporučení vyberte karty Doporučení, Předaná hodnocení a Nedostupná posouzení a zobrazte tyto podrobnosti.

   

Nasazení pracovního prostoru Služby Microsoft Sentinel

Microsoft Sentinel poskytuje analýzy zabezpečení, detekci výstrah a automatizovanou reakci na hrozby v celém prostředí. Jedná se o řešení pro správu událostí zabezpečení (SIEM) nativní pro cloud, které je postavené na pracovním prostoru služby Log Analytics.

Vzhledem k tomu, že služba Microsoft Sentinel je založená na pracovním prostoru služby Log Analytics, stačí vybrat jenom pracovní prostor, který chcete použít.

1. Na webu Azure Portal vyhledejte Microsoft Sentinel a vyberte ho.

2. Na stránce pracovních prostorů Služby Microsoft Sentinel vyberte +Přidat.

3. Vyberte pracovní prostor služby Log Analytics a vyberte Přidat.

Povolení kolektoru dat pro události zabezpečení

1. Na stránce pracovních prostorů Služby Microsoft Sentinel vyberte nakonfigurovaný pracovní prostor.

2. V části Konfigurace vyberte Datové konektory.

3. Ve sloupci Název Připojení oru vyberte ze seznamu události zabezpečení a pak vyberte Otevřít stránku konektoru.

4. Na stránce konektoru vyberte události, které chcete streamovat, a pak vyberte Použít změny.

   

Připojení Microsoft Sentinel s Microsoft Defenderem pro cloud

1. Na stránce pracovního prostoru Služby Microsoft Sentinel vyberte nakonfigurovaný pracovní prostor.

2. V části Konfigurace vyberte Datové konektory.

3. V seznamu vyberte Microsoft Defender for Cloud a pak vyberte Otevřít stránku konektoru.

   

4. Vyberte Připojení a připojte Microsoft Defender for Cloud s Microsoft Sentinelem.

5. Povolením vytvoření incidentu vygenerujte incident pro Microsoft Defender for Cloud.

Vytvoření pravidel pro identifikaci bezpečnostních hrozeb

Po připojení zdrojů dat ke službě Microsoft Sentinel můžete vytvořit pravidla pro generování výstrah pro zjištěné hrozby. V následujícím příkladu vytvoříme pravidlo pro pokusy o přihlášení k Windows Serveru pomocí nesprávného hesla.

1. Na stránce přehledu služby Microsoft Sentinel v části Konfigurace vyberte Analýza.

2. V části Konfigurace vyberte Analýza.

3. Vyberte +Vytvořit a v rozevíracím seznamu vyberte Pravidlo naplánovaného dotazu.

4. Na kartě Obecné zadejte požadované informace a pak vyberte Další: Nastavit logiku pravidla.

   • Název
   • Popis
   • Taktika
   • Závažnost
   • Stav

5. Na kartě Nastavit logiku pravidla zadejte požadované informace a pak vyberte Další.

   • Dotaz na pravidlo (tady znázorňující náš ukázkový dotaz)

     SecurityEvent
     |where Activity startswith '4625'
     |summarize count () by IpAddress,Computer
     |where count_ > 3
     

   • Mapovat entity

   • Plánování dotazů

   • Prahová hodnota upozornění

   • Seskupování událostí

   • Potlačení

6. Na kartě Nastavení incidentu povolte možnost Vytvořit incidenty z výstrah aktivovaných tímto analytickým pravidlem a vyberte Další: Automatizovaná odpověď.

   

7. Vyberte Další: Zkontrolovat.

8. Na kartě Revize a vytvoření zkontrolujte informace a vyberte Vytvořit.

Tip

Po třetím neúspěšném pokusu o přihlášení k Windows Serveru aktivuje vytvořené pravidlo incident pro každý neúspěšný pokus.

Zobrazení upozornění

Vygenerované incidenty můžete zobrazit pomocí Služby Microsoft Sentinel. Incidenty můžete také přiřadit a zavřít, jakmile se vyřeší, a to vše z Microsoft Sentinelu.

1. Přejděte na stránku přehledu služby Microsoft Sentinel.

2. V části Správa hrozeb vyberte Incidenty.

3. Vyberte incident a pak ho přiřaďte týmu k vyřešení.

   

Tip

Po vyřešení problému ho můžete zavřít.

Vyhledávání bezpečnostních hrozeb pomocí dotazů

Můžete vytvářet dotazy nebo používat dostupný předdefinovaný dotaz v Microsoft Sentinelu k identifikaci hrozeb ve vašem prostředí. Následující kroky spustí předdefinovaný dotaz.

1. Na stránce přehledu služby Microsoft Sentinel v části Správa hrozeb vyberte Proaktivní vyhledávání. Zobrazí se seznam předdefinovaných dotazů.

   Tip

   Nový dotaz můžete vytvořit také tak, že vyberete Nový dotaz.

   

2. Vyberte dotaz a pak vyberte Spustit dotaz.

3. Výběrem možnosti Zobrazit výsledky zkontrolujte výsledky.

Další kroky

Teď, když jste se zabývali ochranou virtuálních počítačů Azure VMware Solution, získáte další informace o:

• Použití řídicího panelu ochrany úloh
• Pokročilá detekce útoků s více fázemi ve službě Microsoft Sentinel
• Integrace nativních služeb Azure ve službě Azure VMware Solution