Další ochrany před hrozbami v Programu Microsoft Defender for Cloud

  • Článek

Kromě předdefinovaných plánů rozšířené ochrany nabízí Microsoft Defender for Cloud také následující možnosti ochrany před hrozbami.

Tip

Pokud chcete povolit možnosti ochrany před internetovými útoky v programu Defender for Cloud, musíte v předplatném, které obsahuje příslušné úlohy, povolit vylepšené funkce zabezpečení.

Ochrana před hrozbami pro síťovou vrstvu Azure

Defendery pro analýzu cloudové síťové vrstvy jsou založené na ukázkových datech IPFIX, což jsou hlavičky paketů shromážděné základními směrovači Azure. Na základě tohoto datového kanálu používá Defender for Cloud modely strojového učení k identifikaci a označení škodlivých aktivit provozu. Defender for Cloud také používá databázi Microsoft Threat Intelligence k obohacení IP adres.

Některé konfigurace sítě omezují Defender for Cloud vygenerování upozornění na podezřelou síťovou aktivitu. Aby Defender for Cloud vygeneroval výstrahy sítě, ujistěte se, že:

  • Váš virtuální počítač má veřejnou IP adresu (nebo je v nástroji pro vyrovnávání zatížení s veřejnou IP adresou).
  • Odchozí provoz sítě virtuálního počítače neblokuje externí řešení IDS.

Seznam upozornění na vrstvu sítě Azure najdete v referenční tabulce výstrah.

Streamování výstrah zabezpečení z jiných služby Microsoft

Zobrazení upozornění Azure WAF v Defenderu pro cloud

Azure Application Gateway nabízí Firewall webových aplikací (WAF) poskytující centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení.

Webové aplikace jsou stále častěji cílem škodlivých útoků, které zneužívají běžně známé chyby zabezpečení. WaF služby Application Gateway je založená na základní sadě pravidel 3.2 nebo vyšší z projektu zabezpečení open Web Application Security Project. WaF se aktualizuje automaticky, aby se chránila před novými ohroženími zabezpečení.

Pokud jste vytvořili řešení zabezpečení WAF, vaše výstrahy WAF se streamují do Defenderu pro cloud bez dalších konfigurací. Další informace o výstrahách generovaných WAF najdete v tématu Skupiny a pravidla firewallu webových aplikací CRS.

Poznámka:

Podporuje se jenom WAF v1 a bude fungovat s Programem Microsoft Defender for Cloud.

Pokud chcete nasadit WAF služby Azure Application Gateway, proveďte následující kroky:

  1. Na webu Azure Portal otevřete Defender for Cloud.

  2. V nabídce Defenderu pro cloud vyberte Řešení zabezpečení.

  3. V části Přidat zdroje dat vyberte Přidat pro WAF služby Azure Application Gateway.

    Screenshot showing where to select add to deploy WAF.

Zobrazení upozornění služby Azure DDoS Protection v defenderu pro cloud

Útoky DDoS (Distributed Denial of Service) jsou známé jako snadné spuštění. Staly se velkým zájmem o zabezpečení, zejména pokud přesouváte své aplikace do cloudu. Útok DDoS se pokusí vyčerpat prostředky aplikace a znepřístupňuje aplikaci legitimním uživatelům. Útoky DDoS můžou cílit na libovolný koncový bod, který je dostupný přes internet.

Pokud se chcete bránit před útoky DDoS, kupte si licenci pro Azure DDoS Protection a ujistěte se, že používáte osvědčené postupy návrhu aplikací. DDoS Protection poskytuje různé úrovně služeb. Další informace najdete v přehledu služby Azure DDoS Protection.

Pokud máte povolenou službu Azure DDoS Protection, vaše výstrahy DDoS se streamují do služby Defender for Cloud bez nutnosti další konfigurace. Další informace o výstrahách generovaných službou DDoS Protection najdete v referenční tabulce výstrah.

Správa oprávnění Microsoft Entra (dříve Cloudknox)

Správa oprávnění Microsoft Entra je řešení pro správu nároků cloudové infrastruktury (CIEM). Správa oprávnění Microsoft Entra poskytuje komplexní přehled a kontrolu nad oprávněními pro všechny identity a všechny prostředky v Azure, AWS a GCP.

V rámci integrace vám jednotlivé onboardované předplatné Azure, účet AWS a projekt GCP poskytují přehled o indexu permission creep (PCI). PcI je agregovaná metrika, která pravidelně vyhodnocuje úroveň rizika související s počtem nepoužívaných nebo nadměrných oprávnění napříč identitami a prostředky. PCI měří, jak mohou být rizikové identity potenciálně založené na oprávněních, která jsou jim k dispozici.

Screenshot of the three associated permission creed index recommendations for Azure, AWS, and GCP.

Další kroky

Další informace o výstrahách zabezpečení z těchto funkcí ochrany před hrozbami najdete v následujících článcích: