Infrastruktúra-integrációk

Az infrastruktúra a szervezet informatikai szolgáltatásainak támogatásához szükséges hardverekből, szoftverekből, mikroszolgáltatásokból, hálózati infrastruktúrából és létesítményekből áll. A zéró megbízhatósági infrastruktúra-megoldások értékelik, figyelik és megakadályozzák az ilyen szolgáltatásokat fenyegető biztonsági fenyegetéseket.

A zéró megbízhatósági infrastruktúra-megoldások támogatják a zéró megbízhatóság alapelveit azáltal, hogy biztosítják az infrastruktúra-erőforrásokhoz való hozzáférés explicit ellenőrzését, a hozzáférést a legalacsonyabb jogosultsági szintű hozzáférés elveivel biztosítják, és olyan mechanizmusok állnak rendelkezésre, amelyek biztonsági fenyegetéseket feltételeznek és keresnek és orvosolnak az infrastruktúrában.

Ez az útmutató azoknak a szoftverszolgáltatóknak és technológiai partnereknek szól, akik a Microsoft-termékekkel való integrációval szeretnék továbbfejleszteni infrastruktúrájuk biztonsági megoldásait.

Az infrastruktúra zéró megbízhatósági integrációja – útmutató

Ez az integrációs útmutató a Microsoft Defender for Cloud és az integrált felhőbeli számítási feladatvédelmi platform (CWPP), a Microsoft Defender for Cloud integrálásának stratégiáját és utasításait tartalmazza.

Az útmutató a legnépszerűbb biztonsági információ- és eseménykezelési (SIEM), a biztonsági vezénylési automatikus válasz (SOAR), a végpontészlelés és -válasz (EDR) és az IT Service Management (ITSM) megoldásokkal való integrációt tartalmazza.

Nulla megbízhatóság és a Felhőhöz készült Defender

A Zéró megbízhatósági infrastruktúra üzembe helyezési útmutatója az infrastruktúra zéró megbízhatósági stratégiájának kulcsfontosságú szakaszait biztosítja. Ezek a következők:

  1. A választott szabványoknak és szabályzatoknak való megfelelőség felmérése
  2. Konfigurálás megkonfigurálása mindenhol, ahol rések találhatók
  3. Egyéb megkeményítő eszközök, például igény szerinti (JIT) virtuális géphez való hozzáférés alkalmazása
  4. Fenyegetésészlelés és -védelem beállítása
  5. A kockázatos viselkedés automatikus blokkolása és megjelölése, valamint védelmi műveletek végrehajtása

Az infrastruktúra üzembe helyezési útmutatójában ismertetett célok egyértelmű leképezést nyújtanak a Defender for Cloud alapvető jellemzőire.

Nulla megbízhatósági cél A Defender for Cloud szolgáltatás
Megfelelőség kiértékelése A Defender for Cloudban minden előfizetéshez automatikusan hozzá van rendelve az Azure Security Benchmark biztonsági kezdeményezése.
A biztonsági pontszám eszközeivel és a jogszabályi megfelelési irányítópulttal alapos ismereteket szerezhet az ügyfél biztonsági helyzetéről.
Konfiguráció megkonfigurálásának megkonfigurá Ha biztonsági kezdeményezéseket rendel az előfizetésekhez, és áttekinti a biztonsági pontszámot, azzal a Defender for Cloud beépített megerősített javaslataihoz vezet. A Defender for Cloud rendszeres időközönként elemzi az erőforrások megfelelőségi állapotát a lehetséges biztonsági konfigurációk és gyengeségek azonosítása érdekében. Ezután javaslatokat tesz a problémák elhárítására.
Megkeményítő mechanizmusok alkalmazása A Defender for Cloud a biztonsági helytelen konfigurációk egyszeri javítása mellett eszközöket is kínál a folyamatos megkonfigurálás biztosításához, például:
Igény szerinti (JIT) virtuális gép (VM) hozzáférése
Adaptív hálózat-megerősítés
Adaptív alkalmazásvezérlők.
Fenyegetésészlelés beállítása A Defender for Cloud integrált felhőalapú számítási feladatvédelmi platformot (CWPP) kínál, a Microsoft Defender for Cloudot.
A Microsoft Defender for Cloud fejlett, intelligens védelmet nyújt az Azure-beli és hibrid erőforrásoknak és számítási feladatoknak.
Az egyik Microsoft Defender-csomag, a Microsoft Defender for Servers natív integrációt tartalmaz a Microsoft Defender for Endpoint szolgáltatással.
További információ a Microsoft Defender for Cloud bemutatása című témakörben.
Gyanús viselkedés automatikus blokkolása A Defender for Cloud számos megerősített javaslata megtagadási lehetőséget kínál. Ezzel a funkcióval megakadályozhatja olyan erőforrások létrehozását, amelyek nem felelnek meg a meghatározott megerősített feltételeknek. További információ a téves konfigurációk megelőzéséről kényszerítési/megtagadási javaslatokkal.
Gyanús viselkedés automatikus megjelölése A Microsoft Defender for Cloud biztonsági riasztásait speciális észlelések aktiválják. A Defender for Cloud rangsorolja és listázza a riasztásokat, valamint a probléma gyors kivizsgálásához szükséges információkat. A Defender for Cloud részletes lépéseket is tartalmaz a támadások elhárításához. Az elérhető riasztások teljes listájáért tekintse meg a biztonsági riasztásokat – referencia-útmutatót.

Az Azure PaaS-szolgáltatások védelme a Defender for Cloud használatával

Ha a Defender for Cloud engedélyezve van az előfizetésében, és a Microsoft Defender for Cloud minden elérhető erőforrástípushoz engedélyezve van, a Microsoft Threat Intelligence által működtetett intelligens veszélyforrások elleni védelem egy rétege védi az Azure Key Vaultban, az Azure Storage-ban, az Azure DNS-ben és más Azure PaaS-szolgáltatásokban található erőforrásokat. A teljes listát a Microsoft Defender for Cloud által biztonságossá tehető erőforrástípusok című témakörben találja.

Azure Logic Apps

Az Azure Logic Apps használatával automatizált skálázható munkafolyamatokat, üzleti folyamatokat és vállalati vezényléseket hozhat létre az alkalmazások és az adatok felhőszolgáltatásokba és helyszíni rendszerekbe való integrálásához.

A Defender for Cloud munkafolyamat-automatizálási funkciója lehetővé teszi a Defender for Cloud eseményindítóira adott válaszok automatizálását.

Ez nagyszerű módja annak, hogy automatikusan, konzisztens módon definiálja és válaszolja meg a fenyegetéseket. Ha például értesíteni szeretné az érintett érdekelt feleket, elindíthat egy változáskezelési folyamatot, és konkrét szervizelési lépéseket alkalmazhat fenyegetés észlelésekor.

A Defender for Cloud integrálása SIEM-, SOAR- és ITSM-megoldásokkal

A Microsoft Defender for Cloud a biztonsági riasztásokat a legnépszerűbb biztonsági információk és eseménykezelés (SIEM), a biztonsági vezénylés automatikus válasz (SOAR) és az IT Service Management (ITSM) megoldásokba streamelheti.

Vannak natív Azure-eszközök, amelyek biztosítják, hogy a riasztási adatokat a jelenleg használt összes legnépszerűbb megoldásban megtekinthesse, beleértve a következőket:

  • Microsoft Sentinel
  • Splunk Enterprise and Splunk Cloud
  • IBM QRadar
  • ServiceNow
  • ArcSight
  • Power BI
  • Palo Alto Networks

Microsoft Sentinel

A Defender for Cloud natív módon integrálható a Microsoft Sentinellel, a Microsoft felhőalapú natív biztonsági információs eseménykezelési (SIEM) és biztonsági vezénylési automatizált válaszmegoldásával (SOAR).

A Microsoft Sentinelben kétféleképpen biztosítható, hogy a Defender for Cloud-adatok szerepeljenek:

Riasztások streamelése a Microsoft Graph Security API-val

A Defender for Cloud beépített integrációval rendelkezik a Microsoft Graph Security API-val. Nincs szükség konfigurációra, és nincsenek további költségek.

Ezzel az API-val riasztásokat streamelhet a teljes bérlőről (és sok más Microsoft Security-termékről származó adatokat) külső SIEM-ekre és más népszerű platformokra:

További információ a Microsoft Graph Security API-ról.

Riasztások streamelése az Azure Monitorral

A Defender for Cloud folyamatos exportálási funkciójával csatlakoztathatja a Defender for Cloudot az Azure Monitorhoz az Azure Event Hubson keresztül, és riasztásokat streamelhet az ArcSightba, a SumoLogicba, a Syslog-kiszolgálókba, a LogRhythmbe, a Logz.io Cloud Observability Platformba és más monitorozási megoldásokba.

További információ a Stream-riasztásokról az Azure Monitorral.

Ez a felügyeleti csoport szintjén is elvégezhető az Azure Policy használatával. Lásd : Folyamatos exportálásautomatizálási konfigurációk létrehozása nagy méretekben.

Tipp

Az exportált adattípusok eseménysémáinak megtekintéséhez látogasson el az Event Hub eseménysémáira.

A Defender for Cloud integrálása végpontészlelési és válaszmegoldással (EDR)

Microsoft Defender végponthoz

A Microsoft Defender for Endpoint egy holisztikus, felhőalapú végpontbiztonsági megoldás.

A Defender for Cloud integrált, gépekhez készült CWPP-ja, a Microsoft Defender for Servers tartalmaz egy integrált licencet a Microsoft Defender for Endpointhez. Ezek együttesen átfogó végpontészlelési és válasz-(EDR-) képességeket biztosítanak. További információ: Végpontok védelme.

Amikor a Defender for Endpoint fenyegetést észlel, riasztást aktivál. A riasztás a Defender for Cloudban jelenik meg. A Defender for Cloudban a Végponthoz készült Defender konzolhoz is forgathat, és részletes vizsgálatot végezhet a támadás hatókörének felderítéséhez. További információ a Végponthoz készült Microsoft Defenderről.

Egyéb EDR-megoldások

A Defender for Cloud megerősített javaslatokat nyújt, amelyek biztosítják, hogy az Azure Security Benchmark útmutatásának megfelelően biztonságossá tehesse a szervezet erőforrásait. A teljesítményteszt egyik vezérlője a végpontbiztonsághoz kapcsolódik: ES-1: Végpontészlelés és -válasz (EDR) használata.

A Defender for Cloud két javaslattal biztosíthatja, hogy engedélyezte a végpontvédelmet, és megfelelően működjön. Ezek a javaslatok a következőkből ellenőrzik az EDR-megoldások jelenlétét és működési állapotát:

  • Trend Micro
  • Symantec
  • Mcafee
  • Sophos

További információ az Endpoint Protection felmérésében és a Microsoft Defender felhőhöz készült javaslataiban.

A nulla megbízhatósági stratégia alkalmazása hibrid és többfelhős forgatókönyvekre

A felhőbeli számítási feladatoknak általában több felhőplatformra is kiterjedniük kell, a felhőbiztonsági szolgáltatásoknak is ugyanezt kell tenni.

A Microsoft Defender for Cloud védelmet nyújt a számítási feladatoknak, bárhol is futnak: az Azure-ban, a helyszínen, az Amazon Web Servicesben (AWS) vagy a Google Cloud Platformon (GCP).

A Defender for Cloud integrálása helyszíni gépekkel

A hibrid felhőbeli számítási feladatok védelme érdekében kiterjesztheti a Defender for Cloud védelmét a helyszíni gépek Azure Arc-kompatibilis kiszolgálókhoz való csatlakoztatásával.

Megtudhatja, hogyan csatlakoztathat gépeket a nem Azure-beli gépekhez a Defender for Cloudhoz.

A Defender for Cloud integrálása más felhőkörnyezetekkel

Az Amazon Web Services-gépek biztonsági állapotának megtekintéséhez a Defender for Cloudban az AWS-fiókokat a Defender for Cloudba kell előkészítenie. Ez integrálja az AWS Security Hubot és a Microsoft Defender for Cloudot a Defender for Cloud javaslatainak és az AWS Security Hub eredményeinek egységes nézetéhez, és számos előnyt biztosít az AWS-fiókok csatlakoztatása a Microsoft Defender for Cloudhoz című cikkben leírtak szerint.

A Google Cloud Platform-gépek biztonsági állapotának megtekintéséhez a Defender for Cloudban GCP-fiókokat kell előkészítenie a Defender for Cloudba. Ez integrálja a GCP biztonsági parancsot és a Microsoft Defender for Cloudot a Defender for Cloud javaslatainak és a GCP Biztonsági parancsközpont eredményeinek egységes nézetéhez, és számos előnyt biztosít a GCP-fiókok csatlakoztatása a Microsoft Defender for Cloudhoz című cikkben leírtak szerint.

Következő lépések

A Felhőhöz készült Microsoft Defenderről és a Microsoft Defender for Cloudról a teljes Defender for Cloud dokumentációban talál további információt.