Felhőhöz készült Microsoft Defender integrálása az Azure VMware-megoldással

  • Cikk

Felhőhöz készült Microsoft Defender fejlett veszélyforrások elleni védelmet nyújt az Azure VMware Solution és a helyszíni virtuális gépek (VM-ek) számára. Felméri az Azure VMware Solution virtuális gépek sebezhetőségét, és szükség szerint riasztásokat hoz létre. Ezek a biztonsági riasztások továbbíthatók az Azure Monitornak megoldás céljából. A biztonsági szabályzatokat a Felhőhöz készült Microsoft Defender határozhatja meg. További információ: Biztonsági szabályzatok használata.

Felhőhöz készült Microsoft Defender számos funkciót kínál, többek között a következőket:

  • Fájlintegritás monitorozása
  • Fájl nélküli támadásészlelés
  • Operációsrendszer-javítások felmérése
  • Biztonsági konfigurációk értékelése
  • Végpontvédelmi értékelés

Az ábra az Azure VMware Solution virtuális gépek integrált biztonsági architektúráját mutatja be.

Az Azure Integrated Security architektúráját bemutató ábra.

A Log Analytics-ügynök naplóadatokat gyűjt az Azure-ból, az Azure VMware Solutionből és a helyszíni virtuális gépekről. A rendszer elküldi a naplóadatokat az Azure Monitor-naplóknak, és egy Log Analytics-munkaterületen tárolja. Minden munkaterület saját adattárral és konfigurációval rendelkezik az adatok tárolásához. A naplók összegyűjtése után Felhőhöz készült Microsoft Defender felméri az Azure VMware Solution virtuális gépek sebezhetőségi állapotát, és riasztást küld a kritikus biztonsági résekre vonatkozóan. Az értékelés után Felhőhöz készült Microsoft Defender továbbítja a biztonságirés állapotát a Microsoft Sentinelnek, hogy incidenst hozzon létre, és megfeleltetsen más fenyegetéseknek. Felhőhöz készült Microsoft Defender Felhőhöz készült Microsoft Defender Csatlakozás or használatával csatlakozik a Microsoft Sentinelhez.

Előfeltételek

Azure VMware-megoldás virtuális gépek hozzáadása a Felhőhöz készült Defender

  1. Az Azure Portalon keressen rá az Azure Arcra, és válassza ki.

  2. Az Erőforrások területen válassza a Kiszolgálók , majd a +Hozzáadás lehetőséget.

    Képernyőkép az Azure Arc Servers azure-beli VMware-megoldás virtuális gép Azure-hoz való hozzáadásáról.

  3. Válassza a Szkript létrehozása lehetőséget.

    Képernyőkép az Azure Arc oldaláról, amelyen egy kiszolgáló interaktív szkripttel való hozzáadásának lehetősége látható.

  4. Az Előfeltételek lapon válassza a Tovább gombot.

  5. Az Erőforrás részletei lapon adja meg a következő adatokat, majd válassza a Tovább gombot. Címkék:

    • Előfizetés
    • Erőforráscsoport
    • Régió
    • Operációs rendszer
    • Proxykiszolgáló részletei

  6. A Címkék lapon válassza a Tovább gombot.

  7. A Szkript letöltése és futtatása lapon válassza a Letöltés lehetőséget.

  8. Adja meg az operációs rendszert, és futtassa a szkriptet az Azure VMware Solution virtuális gépen.

Javaslatok és elfogadott értékelések megtekintése

Javaslatok és értékelések biztosítják az erőforrás biztonsági állapotának részleteit.

  1. A Felhőhöz készült Microsoft Defender a bal oldali panelen válassza az Inventory (Leltár) lehetőséget.

  2. Erőforrástípus esetén válassza a Kiszolgálók – Azure Arc lehetőséget.

    Képernyőkép a Felhőhöz készült Microsoft Defender Leltár lapról, amelyen a Kiszolgálók – Azure Arc erőforrástípus alatt van kiválasztva.

  3. Válassza ki az erőforrás nevét. Megnyílik egy oldal, amelyen az erőforrás biztonsági állapotának részletei láthatók.

  4. A Javaslatok listában válassza ki a Javaslatok, az Elvégzett értékelések és a Nem érhető el értékelések fület ezeknek a részleteknek a megtekintéséhez.

    Képernyőkép a Felhőhöz készült Microsoft Defender biztonsági javaslatokról és értékelésekről.

Microsoft Sentinel-munkaterület üzembe helyezése

A Microsoft Sentinel biztonsági elemzéseket, riasztásészlelést és automatizált fenyegetéskezelést biztosít egy környezetben. Ez egy natív felhőbeli, biztonsági információval kapcsolatos eseménykezelési (SIEM) megoldás, amely egy Log Analytics-munkaterületre épül.

Mivel a Microsoft Sentinel egy Log Analytics-munkaterületre épül, csak a használni kívánt munkaterületet kell kiválasztania.

  1. Az Azure Portalon keresse meg a Microsoft Sentinelt, és válassza ki.

  2. A Microsoft Sentinel-munkaterületek lapon válassza a +Hozzáadás lehetőséget.

  3. Válassza ki a Log Analytics-munkaterületet, és válassza a Hozzáadás lehetőséget.

Adatgyűjtő engedélyezése biztonsági eseményekhez

  1. A Microsoft Sentinel-munkaterületek lapon válassza ki a konfigurált munkaterületet.

  2. A Konfiguráció területen válassza az Adatösszekötők lehetőséget.

  3. A Csatlakozás or Név oszlopában válassza a Biztonsági események lehetőséget a listából, majd válassza az Összekötő megnyitása lapot.

  4. Az összekötő oldalán válassza ki a streamelni kívánt eseményeket, majd válassza a Módosítások alkalmazása lehetőséget.

    Képernyőkép a Microsoft Sentinel Biztonsági események lapjáról, ahol kiválaszthatja, hogy mely eseményeket szeretné streamelni.

Csatlakozás Microsoft Sentinel Felhőhöz készült Microsoft Defender

  1. A Microsoft Sentinel munkaterület lapján válassza ki a konfigurált munkaterületet.

  2. A Konfiguráció területen válassza az Adatösszekötők lehetőséget.

  3. Válassza Felhőhöz készült Microsoft Defender a listából, majd válassza az Összekötő megnyitása lapot.

    Képernyőkép a Microsoft Sentinel Adatösszekötők lapjáról, amelyen az Felhőhöz készült Microsoft Defender a Microsoft Sentinelhez való csatlakozásra vonatkozó kijelölés látható.

  4. Válassza a Csatlakozás a Felhőhöz készült Microsoft Defender a Microsoft Sentinelhez való csatlakoztatásához.

  5. Incidens létrehozásához engedélyezze az incidens létrehozását a Felhőhöz készült Microsoft Defender számára.

Biztonsági fenyegetések azonosítására szolgáló szabályok létrehozása

Miután csatlakoztatta az adatforrásokat a Microsoft Sentinelhez, szabályokat hozhat létre az észlelt fenyegetésekre vonatkozó riasztások létrehozásához. Az alábbi példában egy szabályt hozunk létre a Windows Serverre való rossz jelszóval való bejelentkezésre tett kísérletekhez.

  1. A Microsoft Sentinel áttekintési lapján, a Konfigurációk területen válassza az Elemzés lehetőséget.

  2. A Konfigurációk területen válassza az Elemzés lehetőséget.

  3. Válassza a +Létrehozás lehetőséget, majd a legördülő menüben válassza az Ütemezett lekérdezési szabály lehetőséget.

  4. Az Általános lapon adja meg a szükséges információkat, majd válassza a Tovább: Szabálylogika beállítása lehetőséget.

    • Név
    • Leírás
    • Taktika
    • Súlyosság
    • Állapot

  5. A Szabály logikai beállítása lapon adja meg a szükséges adatokat, majd válassza a Tovább gombot.

    • Szabály lekérdezése (itt látható a példa lekérdezés)

      SecurityEvent
|where Activity startswith '4625'
|summarize count () by IpAddress,Computer
|where count_ > 3

    • Entitások leképezése

    • Lekérdezés ütemezése

    • Riasztás küszöbértéke

    • Események csoportosítása

    • Mellőzés

  6. Az Incidens beállításai lapon engedélyezze az incidensek létrehozását az elemzési szabály által aktivált riasztásokból, és válassza a Tovább: Automatikus válasz lehetőséget.

    Képernyőkép az Elemzési szabály varázslóról, amely új szabályt hoz létre a Microsoft Sentinelben.

  7. Válassza a Következő: Véleményezés lehetőséget.

  8. A Véleményezés és létrehozáslapon tekintse át az információkat, és válassza a Létrehozás lehetőséget.

Tipp.

Miután a harmadik sikertelen kísérlet a Windows Serverre való bejelentkezésre, a létrehozott szabály minden sikertelen kísérlet esetén incidenst indít el.

Riasztások megtekintése

A létrehozott incidenseket a Microsoft Sentinellel tekintheti meg. Az incidenseket hozzárendelheti és bezárhatja a feloldásuk után, mindezt a Microsoft Sentinelből.

  1. Nyissa meg a Microsoft Sentinel áttekintési oldalát.

  2. A Fenyegetéskezelés területen válassza az Incidensek lehetőséget.

  3. Jelöljön ki egy incidenst, majd rendelje hozzá egy csapathoz a megoldáshoz.

    Képernyőkép a Microsoft Sentinel Incidensek oldaláról, amelyen az incidens ki van választva, és lehetőség van az incidens megoldáshoz való hozzárendelésére.

Tipp.

A probléma megoldása után bezárhatja azt.

Biztonsági fenyegetések keresése lekérdezésekkel

Lekérdezéseket hozhat létre, vagy a Microsoft Sentinelben elérhető előre definiált lekérdezéssel azonosíthatja a környezetében lévő fenyegetéseket. Az alábbi lépések előre definiált lekérdezést futtatnak.

  1. A Microsoft Sentinel áttekintési lapján, a Fenyegetéskezelés területen válassza a Vadászat lehetőséget. Megjelenik az előre definiált lekérdezések listája.

    Tipp.

    Az Új lekérdezés lehetőséget választva új lekérdezést is létrehozhat.

    Képernyőkép a Microsoft Sentinel Hunting oldaláról a + Új lekérdezés kiemelésével.

  2. Válasszon ki egy lekérdezést, majd válassza a Lekérdezés futtatása lehetőséget.

  3. Az eredmények megtekintéséhez válassza az Eredmények megtekintése lehetőséget.

Következő lépések

Most, hogy megismerkedett az Azure VMware Solution virtuális gépek védelmének módjával, az alábbiakról tudhat meg többet: