Szerkesztés

Hibrid biztonság monitorozása a Felhőhöz készült Microsoft Defender és a Microsoft Sentinel használatával

Azure Log Analytics
Azure Monitor
Microsoft Defender for Cloud
Microsoft Sentinel
Azure Stack

Ez a referenciaarchitektúra bemutatja, hogyan használható a Felhőhöz készült Microsoft Defender és a Microsoft Sentinel a helyszíni, Azure- és Azure Stack-számítási feladatok biztonsági konfigurációjának és telemetriájának figyelésére.

Felépítés

Diagram that shows monitoring agent on on-premises as well as on Azure transferring data to Microsoft Defender for Cloud and Microsoft Sentinel.

Töltse le az architektúra Visio-fájlját.

Munkafolyamat

  • Felhőhöz készült Microsoft Defender. Ez egy fejlett, egységes biztonsági felügyeleti platform, amelyet a Microsoft minden Azure-előfizetőnek kínál. Felhőhöz készült Defender felhőbeli biztonsági helyzetkezelési (CSPM) és felhőbeli számítási feladatok védelmi platformjaként (CWPP) van szegmentált. A CWPP-t a munkaterhelés-központú biztonsági védelmi megoldások határozzák meg, amelyek általában ügynökalapúak. Felhőhöz készült Microsoft Defender fenyegetésvédelmet biztosít a helyszíni és más felhőkben futó Azure-számítási feladatokhoz, beleértve a Windows- és Linux rendszerű virtuális gépeket, tárolókat, adatbázisokat és az eszközök internetes hálózatát (IoT). Aktiváláskor a Log Analytics-ügynök automatikusan üzembe helyezhető az Azure-beli virtuális gépeken. Helyszíni Windows- és Linux-kiszolgálók és virtuális gépek esetén manuálisan telepítheti az ügynököt, használhatja a szervezet központi telepítési eszközét, például a Microsoft Endpoint Protection Managert, vagy használhat parancsfájlalapú üzembe helyezési módszereket. Felhőhöz készült Defender megkezdi az összes virtuális gép, hálózat, alkalmazás és adat biztonsági állapotának felmérését.
  • Microsoft Sentinel. Ez egy natív felhőbeli biztonsági információ- és eseménykezelési (SIEM) és biztonsági vezénylési automatizált válasz (SOAR) megoldás, amely fejlett AI- és biztonsági elemzéseket használ a vállalati fenyegetések észleléséhez, kereséséhez, megelőzéséhez és elhárításához.
  • Azure Stack. Olyan termékportfólió, amely kibővíti az Azure-szolgáltatásokat és képességeket a választott környezetre, beleértve az adatközpontot, a peremhálózati helyeket és a távoli irodákat. Az Azure Stack-implementációk általában négy-tizenhat kiszolgálóból álló állványokat használnak, amelyeket megbízható hardverpartnerek hoztak létre, és amelyeket az adatközpontba szállítottak.
  • Azure Monitor. Számos helyszíni és Azure-forrásból gyűjt monitorozási telemetriát. A felügyeleti eszközök, például a Felhőhöz készült Microsoft Defender és az Azure Automation eszközei is leküldik a naplóadatokat az Azure Monitorba.
  • Log Analytics-munkaterület. Az Azure Monitor naplóadatokat tárol egy Log Analytics-munkaterületen, amely egy olyan tároló, amely adatokat és konfigurációs információkat tartalmaz.
  • Log Analytics-ügynök. A Log Analytics-ügynök figyelési adatokat gyűjt az Azure vendég operációs rendszeréről és virtuálisgép-számítási feladatairól, más felhőszolgáltatóktól és a helyszíni szolgáltatásokról. A Log Analytics-ügynök támogatja a proxykonfigurációt, és általában ebben a forgatókönyvben a Microsoft Operations Management Suite (OMS) átjáró proxyként működik.
  • Helyszíni hálózat. Ez a tűzfal konfigurálva van a meghatározott rendszerekből érkező HTTPS-kimenő forgalom támogatására.
  • Helyszíni Windows- és Linux-rendszerek. A Log Analytics-ügynökkel telepített rendszerek.
  • Azure Windows és Linux rendszerű virtuális gépek. Rendszerek, amelyeken a Felhőhöz készült Microsoft Defender monitorozási ügynök telepítve van.

Összetevők

Forgatókönyv részletei

Lehetséges használati esetek

Az architektúra gyakori használati módjai többek között a következők:

  • Ajánlott eljárások a helyszíni biztonsági és telemetriai monitorozás Azure-alapú számítási feladatokkal való integrálásához
  • A Felhőhöz készült Microsoft Defender integrálása az Azure Stackdel
  • A Felhőhöz készült Microsoft Defender integrálása a Microsoft Sentinelrel

Ajánlások

Az alábbi javaslatok a legtöbb forgatókönyvre vonatkoznak. Kövesse ezeket a javaslatokat, ha nincsenek ezeket felülíró követelményei.

Felhőhöz készült Microsoft Defender frissítés

Ez a referenciaarchitektúra Felhőhöz készült Microsoft Defender használ a helyszíni rendszerek, az Azure-beli virtuális gépek, az Azure Monitor-erőforrások és a más felhőszolgáltatók által üzemeltetett virtuális gépek monitorozására. A Felhőhöz készült Microsoft Defender díjszabásáról itt talál további információt.

Testreszabott Log Analytics-munkaterület

A Microsoft Sentinelnek hozzá kell férnie egy Log Analytics-munkaterülethez. Ebben a forgatókönyvben nem használhatja az alapértelmezett Felhőhöz készült Defender Log Analytics-munkaterületet a Microsoft Sentinellel. Ehelyett egy testre szabott munkaterületet hoz létre. A testre szabott munkaterületek adatmegőrzése a munkaterület tarifacsomagján alapul, és itt talál díjszabási modelleket a monitorozási naplókhoz.

Feljegyzés

A Microsoft Sentinel a Log Analytics bármely általános rendelkezésre állási (GA) régiójában futtathat munkaterületeket, kivéve Kína és Németország (szuverén) régióit. A Microsoft Sentinel által generált adatok, például incidensek, könyvjelzők és riasztási szabályok, amelyek tartalmazhatnak bizonyos, ezekből a munkaterületekből származó ügyféladatot, vagy Európában (európa-alapú munkaterületek esetén), Ausztráliában (Ausztrália-alapú munkaterületek esetén) vagy az USA keleti régiójában (bármely más régióban található munkaterületek esetében) kerülnek mentésre.

Megfontolások

Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek halmaza. További információ: Microsoft Azure Well-Architected Framework.

Biztonság

A biztonság biztosítékokat nyújt a szándékos támadások és az értékes adatokkal és rendszerekkel való visszaélés ellen. További információ: A biztonsági pillér áttekintése.

A biztonsági szabályzat határozza meg a megadott előfizetésen belüli erőforrásokhoz ajánlott vezérlőket. A Felhőhöz készült Microsoft Defender az Azure-előfizetésekre vonatkozó szabályzatokat a vállalat biztonsági követelményeinek, valamint az egyes előfizetések alkalmazástípusának vagy adatérzékenységének megfelelően határozza meg.

A Felhőhöz készült Microsoft Defender engedélyezett biztonsági szabályzatok biztonsági javaslatokat és monitorozást tesznek lehetővé. A biztonsági szabályzatokkal kapcsolatos további információkért tekintse meg a biztonsági szabályzat megerősítése Felhőhöz készült Microsoft Defender című témakört. Biztonsági szabályzatokat csak a felügyeleti vagy előfizetési csoport szintjén rendelhet hozzá Felhőhöz készült Microsoft Defender.

Feljegyzés

A referenciaarchitektúra első része részletesen ismerteti, hogyan engedélyezheti a Felhőhöz készült Microsoft Defender az Azure-erőforrások, a helyszíni rendszerek és az Azure Stack-rendszerek monitorozását.

Költségoptimalizálás

A költségoptimalizálás a szükségtelen kiadások csökkentésének és a működési hatékonyság javításának módjairól szól. További információ: A költségoptimalizálási pillér áttekintése.

A korábban ismertetett módon az Azure-előfizetésen túli költségek a következők lehetnek:

  1. Felhőhöz készült Microsoft Defender költségeket. További információ: Felhőhöz készült Defender díjszabás.
  2. Az Azure Monitor-munkaterület részletes számlázást kínál. További információ: Használat és költségek kezelése az Azure Monitor-naplókkal.
  3. A Microsoft Sentinel egy fizetős szolgáltatás. További információkért tekintse meg a Microsoft Sentinel díjszabását.

Működés eredményessége

Az üzemeltetési kiválóság azokat az üzemeltetési folyamatokat fedi le, amelyek üzembe helyeznek egy alkalmazást, és éles környezetben tartják azt. További információ: A működési kiválósági pillér áttekintése.

Felhőhöz készült Microsoft Defender szerepkörök

Felhőhöz készült Defender felméri az erőforrások konfigurációját a biztonsági problémák és a biztonsági rések azonosítása érdekében, és megjeleníti az erőforrással kapcsolatos információkat, ha az erőforráshoz tartozó előfizetéshez vagy erőforráscsoporthoz tulajdonosi, közreműködői vagy olvasói szerepkörrel rendelkezik.

Ezen szerepkörök mellett két konkrét Felhőhöz készült Defender szerepkör is létezik:

  • Biztonsági olvasó. A szerepkörhöz tartozó felhasználó csak olvasási jogosultságokkal rendelkezik a Felhőhöz készült Defender. A felhasználó figyelheti a javaslatokat, riasztásokat, biztonsági szabályzatokat és biztonsági állapotokat, de nem végezhet módosításokat.

  • Biztonsági Rendszergazda. A szerepkörhöz tartozó felhasználók ugyanazokkal a jogosultságokkal rendelkezik, mint a Biztonsági olvasó, valamint frissíthetik a biztonsági szabályzatokat, és elvethetik a riasztásokat és a javaslatokat. Általában ezek a felhasználók kezelik a számítási feladatot.

  • A Biztonsági olvasó és a Biztonsági Rendszergazda biztonsági szerepkörök csak Felhőhöz készült Defender rendelkeznek hozzáféréssel. A biztonsági szerepkörök nem férnek hozzá más Azure-szolgáltatási területekhez, például a tároláshoz, a webhez, a mobilhoz vagy az IoT-hez.

Microsoft Sentinel-előfizetés

  • A Microsoft Sentinel engedélyezéséhez közreműködői engedélyekre van szüksége ahhoz az előfizetéshez, amelyben a Microsoft Sentinel-munkaterület található.
  • A Microsoft Sentinel használatához közreműködői vagy olvasói engedélyekre van szüksége ahhoz az erőforráscsoporthoz, amelyhez a munkaterület tartozik.
  • A Microsoft Sentinel egy fizetős szolgáltatás. További információkért tekintse meg a Microsoft Sentinel díjszabását.

Teljesítmény hatékonysága

A teljesítményhatékonyság az a képesség, hogy a számítási feladat hatékonyan méretezhető, hogy megfeleljen a felhasználók által támasztott követelményeknek. További információ: Teljesítményhatékonysági pillér áttekintése.

A Windowshoz és Linuxhoz készült Log Analytics-ügynök úgy lett kialakítva, hogy minimális hatással legyen a virtuális gépek vagy fizikai rendszerek teljesítményére.

Felhőhöz készült Microsoft Defender működési folyamat nem zavarja a szokásos üzemeltetési eljárásokat. Ehelyett passzívan figyeli az üzemelő példányokat, és javaslatokat tesz az engedélyezett biztonsági szabályzatok alapján.

A forgatókönyv üzembe helyezése

Log Analytics-munkaterület létrehozása az Azure Portalon

  1. Jelentkezzen be az Azure Portalra biztonsági Rendszergazda jogosultságokkal rendelkező felhasználóként.
  2. Az Azure Portalon válassza a Minden szolgáltatás elemet. Az erőforrások listájában adja meg a Log Analyticset. A beírás megkezdésekor a lista a bemenet alapján szűr. Válassza a Log Analytics-munkaterületek lehetőséget.
  3. Válassza a Hozzáadás lehetőséget a Log Analytics lapon.
  4. Adjon nevet az új Log Analytics-munkaterületnek, például Felhőhöz készült Defender-SentinelWorkspace. Ennek a névnek globálisan egyedinek kell lennie az összes Azure Monitor-előfizetésben.
  5. Válassza ki az előfizetést a legördülő listából, ha az alapértelmezett kijelölés nem megfelelő.
  6. Erőforráscsoport esetén válasszon egy meglévő erőforráscsoportot, vagy hozzon létre egy újat.
  7. A Hely mezőben válasszon egy elérhető földrajzi helyet.
  8. A konfiguráció befejezéséhez válassza az OK gombot. New Workspace created for the architecture

Felhőhöz készült Defender engedélyezése

Miközben továbbra is biztonsági Rendszergazda jogosultságokkal rendelkező felhasználóként jelentkezik be az Azure Portalra, válassza a panelen a Felhőhöz készült Defender. Felhőhöz készült Defender – Megnyílik az áttekintés:

Defender for Cloud Overview dashboard blade opens

Felhőhöz készült Defender automatikusan engedélyezi az ingyenes szintet az Ön vagy egy másik előfizetés-felhasználó által korábban nem előkészített Azure-előfizetésekhez.

Felhőhöz készült Microsoft Defender frissítése

  1. A Felhőhöz készült Defender főmenüben válassza az Első lépések lehetőséget.
  2. Válassza a Frissítés most gombot. Felhőhöz készült Defender felsorolja a használatra jogosult előfizetéseket és munkaterületeket.
  3. A próbaidőszak elkezdéséhez válassza ki az erre jogosult munkaterületeket és előfizetéseket. Válassza ki a korábban létrehozott munkaterületet, az ASC-SentinelWorkspacet a legördülő menüből.
  4. A Felhőhöz készült Defender főmenüben válassza a Próbaverzió indítása lehetőséget.
  5. Az Ügynökök telepítése párbeszédpanelnek meg kell jelennie.
  6. Válassza az Ügynökök telepítése gombot. Megjelenik a Felhőhöz készült Defender – Lefedettség panel, és figyelnie kell a kiválasztott előfizetést. Security Coverage blade showing your subscriptions should be open

Ezzel engedélyezte az automatikus üzembe helyezést, és Felhőhöz készült Defender telepíti a Windows Log Analytics-ügynökét (HealthService.exe) és a Linux omsagentjét az összes támogatott Azure-beli virtuális gépen és a létrehozott új gépeken. Kikapcsolhatja és manuálisan kezelheti ezt a szabályzatot, bár határozottan javasoljuk az automatikus üzembe helyezést.

A Windowsban és Linuxban elérhető Felhőhöz készült Defender funkciókkal kapcsolatos további információkért tekintse meg a gépek funkcióinak lefedettségét.

Helyszíni Windows rendszerű számítógépek Felhőhöz készült Microsoft Defender monitorozásának engedélyezése

  1. A Felhőhöz készült Defender – Áttekintés panelen az Azure Portalon válassza az Első lépések lapot.
  2. Válassza a Konfigurálás lehetőséget az Új nem Azure-beli számítógépek hozzáadása csoportban. Megjelenik a Log Analytics-munkaterületek listája, és tartalmaznia kell a Felhőhöz készült Defender-SentinelWorkspace-t.
  3. Válassza ki ezt a munkaterületet. Megnyílik a Közvetlen ügynök panel egy hivatkozással, amellyel letölthet egy Windows-ügynököt, valamint a munkaterület-azonosító (ID) kulcsait, amelyet az ügynök konfigurálásakor használhat.
  4. Válassza ki a számítógép processzortípusának megfelelő Windows-ügynök letöltése hivatkozást a telepítési fájl letöltéséhez.
  5. A munkaterület-azonosítótól jobbra válassza a Másolás lehetőséget, majd illessze be az azonosítót a Jegyzettömb.
  6. Az elsődleges kulcstól jobbra válassza a Másolás lehetőséget, majd illessze be a kulcsot Jegyzettömb.

A Windows-ügynök telepítése

Ha telepíteni szeretné az ügynököt a megcélzott számítógépekre, kövesse az alábbi lépéseket.

  1. Másolja a fájlt a célszámítógépre, majd futtassa a telepítőt.
  2. Az Üdvözöljük lapon kattintson a Tovább gombra.
  3. A Licencfeltételek oldalon olvassa el és fogadja el a licencet, majd kattintson az Elfogadom gombra.
  4. A Célmappa lapon fogadja el az alapértelmezett telepítési mappát, vagy adjon meg egy másikat, majd kattintson a Tovább gombra.
  5. Az ügynök telepítésének beállításai lapon csatlakoztassa az ügynököt az Azure Log Analyticshez, majd kattintson a Tovább gombra.
  6. Az Azure Log Analytics lapon illessze be az előző folyamat során a Jegyzettömbbe másolt Munkaterület-azonosítót és a Munkaterületkulcsot (Elsődleges kulcs).
  7. Ha a gépnek egy Azure Government-felhőbeli Log Analytics-munkaterületnek kell jelentenie, válassza az Azure US Government lehetőséget az Azure Cloud legördülő listából. Ha a számítógépnek proxykiszolgálón keresztül kell kommunikálnia a Log Analytics szolgáltatással, válassza a Speciális lehetőséget, majd adja meg a proxykiszolgáló URL-címét és portszámát.
  8. A szükséges konfigurációs beállítások megadása után válassza a Tovább gombot. Log Analytics Agent setup page for connecting agent to an Azure Log Analytics workspace
  9. A Telepítésre kész oldalon ellenőrizze a beállításokat, majd kattintson a Telepítés elemre.
  10. A Konfiguráció sikeresen befejeződött lapon válassza a Befejezés lehetőséget.

Ha elkészült, a Log Analytics-ügynök megjelenik a Windows Vezérlőpult, és áttekintheti a konfigurációt, és ellenőrizheti, hogy az ügynök csatlakoztatva van-e.

Az ügynök telepítésével és konfigurálásával kapcsolatos további információkért tekintse meg a Log Analytics-ügynök windowsos számítógépeken való telepítését ismertető témakört.

A Log Analytics Agent szolgáltatás összegyűjti az esemény- és teljesítményadatokat, végrehajtja a felügyeleti csomagban definiált feladatokat és egyéb munkafolyamatokat. Felhőhöz készült Defender kibővíti a felhőalapú számítási feladatok védelmi platformjait az integrációval Microsoft Defender for Servers. Ezek együttesen átfogó végponti észlelés és reagálás (Végponti észlelés és reagálás) képességeket biztosítanak.

A Microsoft Defender for Servers szolgáltatással kapcsolatos további információkért tekintse meg az előkészítési kiszolgálókat a Microsoft Defender for Servers szolgáltatásban.

Helyszíni Linux rendszerű számítógépek Felhőhöz készült Microsoft Defender monitorozásának engedélyezése

  1. Térjen vissza az Első lépések lapra a korábban leírtak szerint.
  2. Válassza a Konfigurálás lehetőséget az Új nem Azure-beli számítógépek hozzáadása csoportban. Megjelenik a Log Analytics-munkaterületek listája. A listának tartalmaznia kell a létrehozott Felhőhöz készült Defender-SentinelWorkspace-t.
  3. A Direct Agent panelEN a DOWNLOAD AND ONBOARD AGENT FOR LINUX alatt válassza a másolást a wget parancs másolásához.
  4. Nyissa meg Jegyzettömb, majd illessze be ezt a parancsot. Mentse a fájlt a Linux rendszerű számítógépről elérhető helyre.

Feljegyzés

Unix és Linux operációs rendszereken a wget egy eszköz, amely nem interaktív fájlokat tölt le a weből. Támogatja a HTTPS-t, az FTP-ket és a proxykat.

A Linux-ügynök a Linux Audit Daemon keretrendszert használja. Felhőhöz készült Defender ennek a keretrendszernek a funkcióit integrálja a Log Analytics-ügynökön belül, amely lehetővé teszi a naplórekordok gyűjtését, bővítését és eseményekbe való összesítését a Linuxhoz készült Log Analytics-ügynök használatával. Felhőhöz készült Defender folyamatosan új elemzéseket ad hozzá, amelyek Linux-jeleket használnak a felhőben és a helyszíni Linux-gépeken előforduló rosszindulatú viselkedések észleléséhez.

A Linux-riasztások listájáért tekintse meg a riasztások referenciatábláját.

A Linux-ügynök telepítése

Ha telepíteni szeretné az ügynököt a megcélzott Linux rendszerű számítógépekre, kövesse az alábbi lépéseket:

  1. Nyissa meg a linuxos számítógépen a korábban mentett fájlt. Jelölje ki és másolja ki a teljes tartalmat, nyisson meg egy terminálkonzolt, majd illessze be a parancsot.
  2. A telepítés befejezése után a pgrep parancs futtatásával ellenőrizheti, hogy az omsagent telepítve van-e. A parancs visszaadja az omsagent folyamatazonosítót (PID). Az ügynök naplóit a következő címen találja: /var/opt/microsoft/omsagent/"workspace id"/log/.

Akár 30 percig is eltarthat, amíg az új Linux-számítógép megjelenik a Felhőhöz készült Defender.

Azure Stack virtuális gépek Felhőhöz készült Microsoft Defender monitorozásának engedélyezése

Az Azure-előfizetés előkészítése után engedélyezheti Felhőhöz készült Defender az Azure Stacken futó virtuális gépek védelmének engedélyezéséhez, ha hozzáadja az Azure Monitor, Update és Configuration Management virtuálisgép-bővítményt az Azure Stack piactérről. Megvalósítás:

  1. Térjen vissza az Első lépések lapra a korábban leírtak szerint.
  2. Válassza a Konfigurálás lehetőséget az Új nem Azure-beli számítógépek hozzáadása csoportban. Megjelenik a Log Analytics-munkaterületek listája, és tartalmaznia kell a létrehozott Felhőhöz készült Defender-SentinelWorkspace-t.
  3. A Közvetlen ügynök panelen található egy hivatkozás, amely letölti a munkaterület-azonosító ügynökét és kulcsait az ügynökkonfiguráció során. Nem kell manuálisan letöltenie az ügynököt. A következő lépésekben virtuálisgép-bővítményként lesz telepítve.
  4. A munkaterület-azonosítótól jobbra válassza a Másolás lehetőséget, majd illessze be az azonosítót a Jegyzettömb.
  5. Az elsődleges kulcstól jobbra válassza a Másolás lehetőséget, majd illessze be a kulcsot Jegyzettömb.

Azure Stack virtuális gépek Felhőhöz készült Defender monitorozásának engedélyezése

Felhőhöz készült Microsoft Defender a Azure Monitor, Update és Configuration Management virtuálisgép-bővítmény az Azure Stackdel együtt. Az Azure Monitor, Update és Configuration Management bővítmény engedélyezéséhez kövesse az alábbi lépéseket:

  1. Egy új böngészőlapon jelentkezzen be az Azure Stack-portálra .
  2. Tekintse meg a Virtuális gépek lapot, majd válassza ki a védeni kívánt virtuális gépet Felhőhöz készült Defender.
  3. Válassza a Bővítmények lehetőséget. Megjelenik a virtuális gépre telepített virtuálisgép-bővítmények listája.
  4. Válassza a Hozzáadás lapot. Megnyílik az Új erőforrás menü panel, és megjeleníti az elérhető virtuálisgép-bővítmények listáját.
  5. Válassza ki az Azure Monitor, Update és Configuration Management bővítményt, majd válassza a Létrehozás lehetőséget. Megnyílik a Bővítménykonfiguráció telepítése panel.
  6. A Bővítménykonfiguráció telepítése panelen illessze be az előző eljárásban Jegyzettömb átmásolt munkaterület-azonosítót és munkaterületkulcsot (elsődleges kulcsot).
  7. Ha befejezte a szükséges konfigurációs beállítások megadását, válassza az OK gombot.
  8. Ha a bővítmény telepítése befejeződött, az állapota sikeres kiépítésként jelenik meg. Akár egy órát is igénybe vehet, hogy a virtuális gép megjelenjen a Felhőhöz készült Defender portálon.

Az ügynök windowsos telepítésével és konfigurálásával kapcsolatos további információkért tekintse meg az ügynök telepítése a telepítővarázslóval című témakört.

A Linux-ügynökkel kapcsolatos hibaelhárítási problémákért tekintse meg a LinuxHoz készült Log Analytics-ügynökkel kapcsolatos problémák elhárítását ismertető témakört.

Mostantól egy helyről felügyelheti az Azure-beli virtuális gépeket és a nem Azure-beli számítógépeket. Az Azure Compute áttekintést nyújt az összes virtuális gépről és számítógépről a javaslatok mellett. Minden oszlop egy javaslatkészletet jelöl, a szín pedig a virtuális gépeket vagy számítógépeket, valamint a javaslat aktuális biztonsági állapotát jelöli. Felhőhöz készült Defender biztonsági riasztásokban is észleli ezeket a számítógépeket. Defender for Cloud list of systems monitored on the Compute blade

A Számítás panelen kétféle ikon található:

Purple computer icon that represents a non-azure monitored computer Nem Azure-beli számítógép

Blue terminal icon that represents an Azure monitored computer Azure-számítógép

Feljegyzés

A referenciaarchitektúra második része összekapcsolja Felhőhöz készült Microsoft Defender riasztásait, és a Microsoft Sentinelbe továbbítja őket.

A Microsoft Sentinel szerepe, hogy különböző adatforrásokból származó adatokat tölt be, és adatkorrelációt hajt végre ezeken az adatforrásokon. A Microsoft Sentinel a gépi tanulás és az AI használatával intelligensebbé teszi a fenyegetéskeresést, a riasztásészlelést és a fenyegetésekre adott válaszokat.

A Microsoft Sentinel előkészítéséhez engedélyeznie kell, majd csatlakoztatnia kell az adatforrásokat. A Microsoft Sentinel számos összekötőt tartalmaz a Microsoft-megoldásokhoz, amelyek a dobozon kívül érhetők el, és valós idejű integrációt biztosítanak, beleértve a Felhőhöz készült Microsoft Defender, a Microsoft Threat Protection-megoldásokat, a Microsoft 365-forrásokat (beleértve az Office 365-öt), a Microsoft Entra ID-t, a Microsoft Defendert a kiszolgálókhoz, Felhőhöz készült Microsoft Defender Alkalmazások és egyebek. Ezeken felül további beépített összekötők is vannak a nem microsoftos megoldások tágabb biztonsági ökoszisztémájához. A Common Event Format, a syslog vagy az Representational State Transfer API használatával is csatlakoztathatja az adatforrásokat a Microsoft Sentinelhez.

A Microsoft Sentinel és a Felhőhöz készült Microsoft Defender integrálásának követelményei

  1. Microsoft Azure-előfizetés
  2. Olyan Log Analytics-munkaterület, amely nem az alapértelmezett munkaterület, amelyet a Felhőhöz készült Microsoft Defender engedélyezésekor hoztak létre.
  3. Felhőhöz készült Microsoft Defender.

Mindhárom követelménynek teljesülnie kell, ha az előző szakaszban dolgozott.

Globális előfeltételek

  • A Microsoft Sentinel engedélyezéséhez közreműködői engedélyekre van szüksége ahhoz az előfizetéshez, amelyben a Microsoft Sentinel-munkaterület található.
  • A Microsoft Sentinel használatához közreműködői vagy olvasói engedélyekre van szüksége ahhoz az erőforráscsoporthoz, amelyhez a munkaterület tartozik.
  • Adott adatforrások csatlakoztatásához további engedélyekre lehet szükség. Nincs szükség további engedélyekre a Felhőhöz készült Defender való csatlakozáshoz.
  • A Microsoft Sentinel egy fizetős szolgáltatás. További információkért tekintse meg a Microsoft Sentinel díjszabását.

A Microsoft Sentinel engedélyezése

  1. Jelentkezzen be az Azure Portalra egy olyan felhasználóval, aki közreműködői jogosultságokkal rendelkezik a Felhőhöz készült Defender-Sentinelworkspace szolgáltatáshoz.
  2. Keresse meg és válassza ki a Microsoft Sentinelt. In the Azure portal search for the term
  3. Válassza a Hozzáadás lehetőséget.
  4. A Microsoft Sentinel panelen válassza a Felhőhöz készült Defender-Sentinelworkspace lehetőséget.
  5. A Microsoft Sentinelben válassza az Adatösszekötőket a navigációs menüből.
  6. Az adatösszekötők gyűjteményében válassza a Felhőhöz készült Microsoft Defender, majd az Összekötő megnyitása lap gombot. In Microsoft Sentinel showing the open Collectors page
  7. A Konfiguráció területen válassza a Csatlakozás azon előfizetések mellett, amelyekhez riasztásokat szeretne streamelni a Microsoft Sentinelbe. A Csatlakozás gomb csak akkor érhető el, ha rendelkezik a szükséges engedélyekkel és a Felhőhöz készült Defender előfizetéssel.
  8. Most a Csatlakozás ion állapotátkell megfigyelnie Csatlakozás. A csatlakozás után Csatlakozás lesz.
  9. A kapcsolat megerősítése után bezárhatja Felhőhöz készült Defender Data Csatlakozás or beállításait, és frissítheti a lapot, hogy megfigyelje a Riasztásokat a Microsoft Sentinelben. Eltarthat egy ideig, mire a naplók elkezdenek szinkronizálódni a Microsoft Sentinellel. A csatlakozás után egy adatösszesítést fog megfigyelni a kapott adatok grafikonon, valamint az adattípusok kapcsolati állapotát.
  10. Megadhatja, hogy a Felhőhöz készült Microsoft Defender riasztásai automatikusan generáljanak-e incidenseket a Microsoft Sentinelben. Az Incidensek létrehozása csoportban válassza az Engedélyezve lehetőséget az alapértelmezett elemzési szabály bekapcsolásához, amely automatikusan létrehoz incidenseket a riasztásokból. Ezt a szabályt az Elemzés területen, az Aktív szabályok lapon szerkesztheti.
  11. A Felhőhöz készült Microsoft Defender-riasztások megfelelő sémájának használatához keresse meg a SecurityAlertet a Log Analyticsben.

A Microsoft Sentinel SIEM-ként való használatának egyik előnye, hogy több forrás között biztosít adatkorrelációt, így teljes körűen áttekintheti a szervezet biztonsági eseményeit.

A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:

Következő lépések

Azure Monitor

Microsoft Defender for Cloud

Microsoft Sentinel

Azure Stack