Integrace programu Microsoft Defender pro Cloud s řešením Azure VMware

  • Článek
  • 4 min ke čtení

Microsoft Defender pro Cloud poskytuje rozšířenou ochranu před internetovými útoky napříč vaším řešením Azure VMware a místními virtuálními počítači (VM). Vyhodnocuje chybu zabezpečení virtuálních počítačů řešení Azure VMware a v případě potřeby vyvolává výstrahy. Tyto výstrahy zabezpečení je možné přeslat do Azure Monitor pro řešení. V programu Microsoft Defender pro Cloud můžete definovat zásady zabezpečení. Další informace najdete v tématu práce se zásadami zabezpečení.

Microsoft Defender pro Cloud nabízí mnoho funkcí, včetně:

  • Monitorování integrity souborů
  • Detekce útoků typu soubor
  • Posouzení opravy operačního systému
  • Vyhodnocení nezabezpečených konfigurací zabezpečení
  • Posouzení služby Endpoint Protection

Diagram zobrazuje integrovanou architekturu monitorování integrovaného zabezpečení pro virtuální počítače řešení Azure VMware.

Diagram znázorňující architekturu integrovaného zabezpečení Azure.

Agent Log Analytics shromažďuje data protokolu z Azure, řešení Azure VMware a místních virtuálních počítačů. Data protokolu se odesílají do Azure Monitor protokolů a ukládají se v pracovním prostoru Log Analytics. Každý pracovní prostor má své vlastní úložiště dat a konfiguraci pro ukládání dat. Po shromáždění protokolů Microsoft Defender pro Cloud vyhodnocuje stav ohrožení zabezpečení virtuálních počítačů řešení Azure VMware a vyvolá výstrahu týkající se případné kritické chyby zabezpečení. Po posouzení Microsoft Defender pro Cloud přepošle stav ohrožení zabezpečení Microsoft Sentinel, aby vytvořil incident a mapoval s dalšími hrozbami. Microsoft Defender pro Cloud je připojený k Microsoft Sentinel pomocí programu Microsoft Defender pro cloudový konektor.

Požadavky

Přidání virtuálních počítačů řešení Azure VMware do programu Defender pro Cloud

  1. V Azure Portal vyhledejte Azure ARC a vyberte ho.

  2. V části prostředky vyberte servery a potom + Přidat.

    Snímek obrazovky se stránkou se servery Azure ARC pro přidání virtuálního počítače Azure VMware pro řešení do Azure

  3. Vyberte vygenerovat skript.

    Snímek obrazovky se stránkou ARC Azure znázorňující možnost přidání serveru pomocí interaktivního skriptu

  4. Na kartě předpoklady vyberte Další.

  5. Na kartě Podrobnosti o prostředku vyplňte následující podrobnosti a potom vyberte Další: značky.

    • Předplatné

    • Skupina prostředků

    • Oblast

    • Operační systém

    • Podrobnosti proxy serveru

  6. Na kartě značky vyberte Další.

  7. Na kartě Stáhnout a spustit skript vyberte Stáhnout.

  8. Zadejte svůj operační systém a spusťte skript na VIRTUÁLNÍm počítači řešení Azure VMware.

Zobrazit doporučení a úspěšná posouzení

Recommendations a posouzení poskytují podrobné informace o stavu zabezpečení vašeho prostředku.

  1. V programu Microsoft Defender pro Cloud vyberte inventář v levém podokně.

  2. Jako typ prostředku vyberte servery – Azure ARC.

    Snímek obrazovky se stránkou inventáře Microsoft Defenderu pro Cloud s možnostmi servery – ARC Azure vybraný v části typ prostředku.

  3. Vyberte název prostředku. Otevře se stránka se zobrazenými podrobnostmi o stavu zabezpečení vašeho prostředku.

  4. v části seznam doporučení vyberte kartu Recommendations, prošlé posouzení a nedostupné posouzení , abyste zobrazili tyto podrobnosti.

    Snímek obrazovky s informacemi o doporučeních a hodnoceních zabezpečení pro Cloud v programu Microsoft Defender

Nasazení pracovního prostoru Microsoft Sentinel

Microsoft Sentinel zajišťuje analýzu zabezpečení, detekci výstrah a automatickou reakci na hrozbu v rámci prostředí. Jedná se o řešení SIEM (Security Information Management), které je postavené na Log Analytics pracovním prostoru.

Vzhledem k tomu, že je Microsoft Sentinel postaven nad Log Analytics pracovním prostorem, stačí vybrat pracovní prostor, který chcete použít.

  1. V Azure Portal vyhledejte položku Microsoft Sentinel a vyberte ji.

  2. Na stránce pracovní prostory Microsoft Sentinel vyberte + Přidat.

  3. Vyberte pracovní prostor Log Analytics a vyberte Přidat.

Povolit shromažďování dat pro události zabezpečení

  1. Na stránce pracovní prostory Microsoft Sentinel vyberte nakonfigurovaný pracovní prostor.

  2. V části konfigurace vyberte datové konektory.

  3. Ve sloupci název konektoru v seznamu vyberte možnost události zabezpečení a pak vyberte možnost otevřít stránku konektoru.

  4. Na stránce konektor vyberte události, které chcete streamovat, a pak vyberte použít změny.

    Snímek obrazovky se stránkou události zabezpečení v nástroji Microsoft Sentinel, kde můžete vybrat události ke streamování.

Připojení Microsoft Sentinel s Microsoft Defenderem pro Cloud

  1. Na stránce pracovní prostor Microsoft Sentinel vyberte nakonfigurovaný pracovní prostor.

  2. V části konfigurace vyberte datové konektory.

  3. V seznamu vyberte Microsoft Defender pro Cloud a pak vyberte otevřít stránku konektoru.

    Snímek obrazovky se stránkou datových konektorů ve službě Microsoft Sentinel se zobrazením výběru pro připojení programu Microsoft Defender pro Cloud s Microsoft Sentinel.

  4. vyberte Připojení pro připojení programu microsoft Defender pro Cloud s nástrojem Microsoft Sentinel.

  5. Povolte možnost vytvořit incident pro vygenerování incidentu pro program Microsoft Defender pro Cloud.

Vytvoření pravidel pro identifikaci bezpečnostních hrozeb

Po připojení zdrojů dat ke službě Microsoft Sentinel můžete vytvořit pravidla, která generují výstrahy pro zjištěné hrozby. v následujícím příkladu vytvoříme pravidlo pro pokusy o přihlášení k Windows serveru s nesprávným heslem.

  1. Na stránce Přehled služby Microsoft Sentinel v části konfigurace vyberte Analytics.

  2. V části konfigurace vyberte Analytics.

  3. Vyberte + vytvořit a v rozevíracím seznamu vyberte naplánované pravidlo dotazu.

  4. Na kartě Obecné zadejte požadované informace a potom vyberte Další: nastavte logiku pravidla.

    • Název

    • Description

    • Taktika

    • Závažnost

    • Status

  5. Na kartě nastavit logiku pravidla zadejte požadované informace a pak vyberte Další.

    • Dotaz na pravidlo (tady vidíte náš vzorový dotaz)

      SecurityEvent
|where Activity startswith '4625'
|summarize count () by IpAddress,Computer
|where count_ > 3

    • Mapovat entity

    • Plánování dotazů

    • Prahová hodnota upozornění

    • Seskupování událostí

    • Potlačení

  6. Na kartě Nastavení incidentu povolit možnost vytvořit incidenty z výstrah aktivovaných pomocí tohoto pravidla analýzy a vybrat Další: automatizovaná odpověď.

    Snímek obrazovky průvodce analytickým pravidlem pro vytvoření nového pravidla v rámci Microsoft Sentinel

  7. Vyberte Další: Kontrola.

  8. Na kartě Kontrola a vytvoření zkontrolujte informace a vyberte vytvořit.

Tip

po třetím neúspěšném pokusu o přihlášení k serveru Windows aktivuje vytvořené pravidlo incident pro všechny neúspěšné pokusy.

Zobrazení upozornění

Vygenerované incidenty můžete zobrazit pomocí programu Microsoft Sentinel. Můžete také přiřadit incidenty a po jejich vyřešení je zavřít, a to vše v rámci Microsoft Sentinel.

  1. Přejít na stránku Přehled ověřovacích informací společnosti Microsoft.

  2. V části Správa hrozeb vyberte incidenty.

  3. Vyberte incident a pak ho přiřaďte týmu pro řešení.

    Snímek stránky incidentů Microsoft Sentinel s vybraným incidentem a možnost přiřazení incidentu k řešení

Tip

Po vyřešení problému ho můžete zavřít.

Prolovené bezpečnostní hrozby pomocí dotazů

Pro identifikaci hrozeb ve vašem prostředí můžete vytvářet dotazy nebo používat dostupný předem definovaný dotaz v rámci Microsoft Sentinel. V následujících krocích spustíte předem definovaný dotaz.

  1. Na stránce Přehled ověřovacích informací společnosti Microsoft v části Správa hrozeb vyberte možnost lov. Zobrazí se seznam předem definovaných dotazů.

    Tip

    Nový dotaz můžete vytvořit také tak, že vyberete Nový dotaz.

    Snímek stránky pro Loveckí Microsoft Sentinel se zvýrazněnou možností + nový dotaz

  2. Vyberte dotaz a pak vyberte Spustit dotaz.

  3. Vyberte výsledky zobrazení a zkontrolujte výsledky.

Další kroky

Teď, když jste se seznámili s postupem ochrany vašich virtuálních počítačů s Azure VMware, se můžete seznámit s těmito řešeními: