Panduan perencanaan dan pengoperasian

  • Artikel

Panduan ini untuk profesional teknologi informasi (TI), arsitek TI, analis keamanan informasi, dan administrator cloud yang berencana menggunakan Defender for Cloud.

Panduan perencanaan

Panduan ini menyediakan latar belakang tentang bagaimana Defender untuk Cloud sesuai dengan persyaratan keamanan organisasi dan model manajemen cloud Anda. Penting untuk memahami bagaimana individu atau tim yang berbeda di organisasi Anda menggunakan layanan untuk memenuhi kebutuhan pengembangan dan operasi, pemantauan, tata kelola, dan respons insiden yang aman. Bidang utama yang perlu dipertimbangkan ketika berencana menggunakan Defender for Cloud adalah:

  • Peran Keamanan dan Microsoft Azure Access Control Service
  • Kebijakan dan Rekomendasi Keamanan
  • Pengumpulan dan Penyimpanan Data
  • onboarding sumber daya non-Azure
  • Pemantauan Keamanan yang Sedang Berlangsung
  • Respons Insiden

Di bagian berikutnya, Anda akan mempelajari cara merencanakan masing-masing area tersebut dan menerapkan rekomendasi tersebut berdasarkan kebutuhan Anda.

Catatan

Baca Defender untuk Cloud pertanyaan umum untuk daftar pertanyaan umum yang juga dapat berguna selama fase desain dan perencanaan.

Peran keamanan dan kontrol akses

Bergantung pada ukuran dan struktur organisasi Anda, beberapa individu dan tim mungkin menggunakan Defender untuk Cloud untuk melakukan tugas terkait keamanan yang berbeda. Dalam diagram berikut, Anda memiliki contoh persona fiktif dan peran masing-masing dan tanggung jawab keamanan:

Roles.

Defender for Cloud memungkinkan orang-orang ini untuk memenuhi berbagai tanggung jawab ini. Contohnya:

Jeff (Pemilik Beban Kerja)

  • Mengelola beban kerja cloud dan sumber daya terkait.

  • Bertanggung jawab untuk menerapkan dan memelihara perlindungan sesuai dengan kebijakan keamanan perusahaan.

Ellen (CISO/CIO)

  • Bertanggung jawab atas semua aspek keamanan untuk perusahaan.

  • Ingin memahami postur keamanan perusahaan di seluruh beban kerja cloud.

  • Perlu diinformasikan tentang serangan dan risiko besar.

David (Keamanan IT)

  • Menetapkan kebijakan keamanan perusahaan untuk memastikan perlindungan yang sesuai telah diterapkan.

  • Memantau kepatuhan terhadap kebijakan.

  • Menghasilkan laporan untuk kepemimpinan atau auditor.

Judy (Operasi Keamanan)

  • Memantau dan merespons pemberitahuan keamanan kapan saja.

  • Meningkatkan ke Pemilik Beban Kerja Cloud atau Analis Keamanan TI.

Sam (Analis Keamanan)

  • Selidiki serangan.

  • Bekerja sama dengan Pemilik Beban Kerja Cloud untuk menerapkan remediasi.

penggunaan Defender untuk CloudKontrol akses berbasis peran Azure (kontrol akses berbasis Peran Azure), yang menyediakan peran bawaan yang dapat ditetapkan untuk pengguna, grup, dan layanan di Azure. Saat pengguna membuka Defender for Cloud, mereka hanya melihat informasi yang terkait dengan sumber daya yang dapat mereka akses. Yang berarti pengguna diberi peran Pemilik, Kontributor, atau Pembaca ke grup langganan atau sumber daya milik sumber daya. Selain peran ini, ada dua peran khusus untuk Defender untuk Cloud:

  • Pembaca keamanan: pengguna yang termasuk dalam peran ini hanya dapat menampilkan konfigurasi Defender for Cloud, yang mencakup rekomendasi, pemberitahuan, kebijakan, dan kesehatan, tetapi tidak akan dapat membuat perubahan.

  • Admin keamanan: sama dengan pembaca keamanan tetapi juga dapat memperbarui kebijakan keamanan, menghilangkan rekomendasi dan pemberitahuan.

Persona yang dijelaskan dalam diagram sebelumnya memerlukan peran kontrol akses berbasis Peran Azure ini:

Jeff (Pemilik Beban Kerja)

  • Pemilik/Kontributor Grup Sumber Daya.

Ellen (CISO/CIO)

  • Pemilik Langganan/Kontributor atau Admin Keamanan.

David (Keamanan IT)

  • Pemilik Langganan/Kontributor atau Admin Keamanan.

Judy (Operasi Keamanan)

  • Pembaca Langganan atau Pembaca Keamanan untuk melihat pemberitahuan.

  • Pemilik Langganan/Kontributor atau Admin Keamanan diperlukan untuk menutup pemberitahuan.

Sam (Analis Keamanan)

  • Pembaca Langganan untuk melihat pemberitahuan.

  • Pemilik/Kontributor Langganan diperlukan untuk menutup pemberitahuan.

  • Akses ke ruang kerja mungkin diperlukan.

Beberapa informasi penting lainnya untuk dipertimbangkan:

  • Hanya Pemilik/Kontributor dan Admin Keamanan langganan yang dapat mengedit kebijakan keamanan.

  • Hanya Pemilik dan Kontributor grup langganan dan sumber daya yang dapat menerapkan rekomendasi keamanan untuk sumber daya.

Saat merencanakan kontrol akses menggunakan kontrol akses berbasis Peran Azure untuk Defender untuk Cloud, pastikan Anda memahami siapa di organisasi Anda yang memerlukan akses ke Defender untuk Cloud tugas yang akan mereka lakukan. Kemudian Anda dapat mengonfigurasi kontrol akses berbasis Peran Azure dengan benar.

Catatan

Kami menyarankan agar Anda menetapkan peran yang paling tidak permisif yang diperlukan pengguna untuk menyelesaikan tugas mereka. Misalnya, pengguna yang hanya perlu menampilkan informasi tentang status keamanan sumber daya tetapi tidak mengambil tindakan, seperti menerapkan rekomendasi atau kebijakan pengeditan, harus diberi peran Pembaca.

Kebijakan dan rekomendasi keamanan

Kebijakan keamanan menentukan konfigurasi beban kerja yang diinginkan dan membantu memastikan kepatuhan terhadap persyaratan keamanan perusahaan atau peraturan. Di Defender for Cloud, Anda dapat menentukan kebijakan untuk langganan Azure Anda, yang dapat disesuaikan dengan jenis beban kerja atau sensitivitas data.

Kebijakan Defenders for Cloud berisi komponen berikut:

  • Kumpulan data: provisi agen dan pengaturan kumpulan data.

  • Kebijakan keamanan: Azure Policy yang menentukan kontrol mana yang dipantau dan direkomendasikan oleh Defender untuk Cloud. Anda juga dapat menggunakan Azure Policy untuk membuat definisi baru, menentukan lebih banyak kebijakan, dan menetapkan kebijakan di seluruh grup manajemen.

  • Pemberitahuan email: kontak keamanan dan pengaturan pemberitahuan.

  • Tingkat harga: dengan atau tanpa paket Defender Microsoft Defender untuk Cloud, yang menentukan fitur Defender untuk Cloud mana yang tersedia untuk sumber daya dalam cakupan (dapat ditentukan untuk langganan dan ruang kerja menggunakan API).

Catatan

Menentukan kontak keamanan memastikan bahwa Azure dapat menjangkau orang yang tepat di organisasi Anda jika insiden keamanan terjadi. Baca Menyediakan detail kontak keamanan di Defender for Cloud untuk informasi selengkapnya tentang cara mengaktifkan rekomendasi ini.

Definisi dan rekomendasi kebijakan keamanan

Defender for Cloud secara otomatis membuat kebijakan keamanan default untuk setiap langganan Azure Anda. Anda dapat mengedit kebijakan di Defender untuk Cloud atau menggunakan Azure Policy untuk membuat definisi baru, menentukan lebih banyak kebijakan, dan menetapkan kebijakan di seluruh grup manajemen. Grup manajemen dapat mewakili seluruh organisasi atau unit bisnis dalam organisasi. Anda dapat memantau kepatuhan kebijakan di seluruh grup manajemen ini.

Sebelum mengonfigurasi kebijakan keamanan, tinjau setiap rekomendasi keamanan:

  • Lihat apakah kebijakan ini sesuai untuk berbagai langganan dan grup sumber daya Anda.

  • Pahami tindakan apa yang membahas rekomendasi keamanan.

  • Tentukan siapa di organisasi Anda yang bertanggung jawab untuk memantau dan memulihkan rekomendasi baru.

Pengumpulan dan penyimpanan data

Defender untuk Cloud menggunakan agen Analitik Log dan Agen Azure Monitor untuk mengumpulkan data keamanan dari komputer virtual Anda. Data yang dikumpulkan dari agen ini disimpan di ruang kerja Analitik Log Anda.

Agen

Saat provisi otomatis diaktifkan dalam kebijakan keamanan, agen pengumpulan data diinstal pada semua Azure VM yang didukung dan VM baru yang didukung yang dibuat. Jika komputer virtual atau komputer sudah menginstal agen Analitik Log, Defender untuk Cloud menggunakan agen yang diinstal saat ini. Proses agen dirancang untuk menjadi non-invasif dan memiliki efek minimal pada performa VM.

Jika suatu saat Anda ingin menonaktifkan Kumpulan Data, Anda bisa menonaktifkannya di kebijakan keamanan. Namun, karena agen Analitik Log mungkin digunakan oleh layanan manajemen dan pemantauan Azure lainnya, agen tidak akan dihapus instalasinya secara otomatis saat Anda menonaktifkan pengumpulan data di Defender untuk Cloud. Anda dapat menghapus instalan agen secara manual jika diperlukan.

Catatan

Untuk menemukan daftar VM yang didukung, baca pertanyaan umum Defender untuk Cloud.

Ruang kerja

Ruang kerja adalah sumber daya Azure yang berfungsi sebagai wadah untuk data. Anda atau anggota organisasi Anda lainnya mungkin menggunakan beberapa ruang kerja untuk mengelola kumpulan data berbeda yang dikumpulkan dari semua atau sebagian infrastruktur TI Anda.

Data yang dikumpulkan dari agen Analitik Log dapat disimpan di ruang kerja Analitik Log yang sudah ada yang terkait dengan langganan Azure atau ruang kerja baru Anda.

Di portal Microsoft Azure, Anda dapat menelusuri untuk melihat daftar ruang kerja Analitik Log Anda, termasuk yang dibuat oleh Defender for Cloud. Grup sumber daya terkait dibuat untuk ruang kerja baru. Sumber daya dibuat sesuai dengan konvensi penamaan ini:

  • Ruang kerja: DefaultWorkspace-[subscription-ID]-[geo]

  • Grup Sumber Daya: DefaultResourceGroup-[geo]

Untuk ruang kerja yang dibuat oleh Defender for Cloud, data disimpan selama 30 hari. Untuk ruang kerja yang ada, retensi didasarkan pada tingkat harga ruang kerja. Jika mau, Anda juga dapat menggunakan ruang kerja yang sudah ada.

Jika agen Anda melaporkan ke ruang kerja selain ruang kerja default, paket Defender untuk Cloud Defender apa pun yang telah Anda aktifkan pada langganan juga harus diaktifkan di ruang kerja.

Catatan

Microsoft membuat komitmen kuat untuk melindungi privasi dan keamanan data ini. Microsoft mematuhi pedoman kepatuhan dan keamanan yang ketat—mulai dari pengkodean hingga pengoperasian layanan. Untuk informasi selengkapnya tentang penanganan dan privasi data, baca Keamanan Data Defender for Cloud.

Onboard sumber daya non-Azure

Defender for Cloud dapat memantau postur keamanan komputer non-Azure Anda, tetapi pertama-tama Anda perlu menyambungkannya ke Azure. Baca Onboard komputer non-Azure untuk informasi selengkapnya tentang cara onboarding sumber daya non-Azure.

Pemantauan keamanan yang sedang berlangsung

Setelah konfigurasi dan penerapan awal rekomendasi Defender for Cloud, langkah selanjutnya adalah mempertimbangkan proses operasional Defender for Cloud.

Gambaran Umum Defender untuk Cloud menyediakan tampilan keamanan terpadu di semua sumber daya Azure Anda dan sumber daya non-Azure yang telah Anda sambungkan. Contoh ini menunjukkan lingkungan dengan banyak masalah untuk diselesaikan:

Screenshot of Defender for Cloud's overview page.

Catatan

Defender untuk Cloud tidak mengganggu prosedur operasional normal Anda. Defender untuk Cloud memantau penyebaran Anda secara pasif dan memberikan rekomendasi berdasarkan kebijakan keamanan yang Anda aktifkan.

Saat pertama kali Anda memilih untuk menggunakan Defender for Cloud untuk lingkungan Azure Anda saat ini, pastikan Anda meninjau semua rekomendasi, yang bisa dilakukan di halaman Rekomendasi.

Rencanakan untuk mengunjungi opsi intelijensi ancaman sebagai bagian dari operasi keamanan harian Anda. Di sana Anda dapat mengidentifikasi ancaman keamanan terhadap lingkungan, seperti mengidentifikasi apakah komputer tertentu adalah bagian dari botnet.

Pemantauan untuk sumber daya baru atau yang diubah

Sebagian besar lingkungan Azure dinamis, dengan sumber daya secara teratur dibuat, dipisahkan ke atas atau ke bawah, dikonfigurasi ulang, dan diubah. Defender for Cloud membantu memastikan bahwa Anda memiliki visibilitas ke dalam status keamanan sumber daya baru ini.

Saat Anda menambahkan sumber daya baru (VM, SQL DB) ke lingkungan Azure Anda, Defender untuk Cloud secara otomatis menemukan sumber daya ini dan mulai memantau keamanannya, termasuk peran web PaaS dan peran pekerja. Jika Pengumpulan Data diaktifkan dalam Kebijakan Keamanan, lebih banyak kemampuan pemantauan diaktifkan secara otomatis untuk komputer virtual Anda.

Anda juga harus secara teratur memantau sumber daya yang ada untuk perubahan konfigurasi yang dapat membuat risiko keamanan, melayang dari garis dasar yang direkomendasikan, dan pemberitahuan keamanan.

Akses yang dilakukan dan aplikasi

Sebagai bagian dari operasi keamanan Anda, Anda juga harus mengadopsi langkah-langkah pencegahan untuk membatasi akses ke komputer virtual, dan mengontrol aplikasi yang berjalan pada komputer virtual. Dengan mengunci lalu lintas masuk ke Azure VM, Anda mengurangi paparan serangan, dan pada saat yang sama menyediakan akses mudah untuk terhubung ke VM saat diperlukan. Gunakan fitur akses akses komputer virtual just-in-time untuk akses yang dilakukan ke komputer virtual Anda.

Anda dapat menggunakan kontrol aplikasi adaptif untuk membatasi aplikasi mana yang dapat berjalan pada komputer virtual yang terletak di Azure. Di antara manfaat lainnya, kontrol aplikasi adaptif membantu mengeraskan VM Anda terhadap malware. Dengan bantuan pembelajaran mesin, Defender untuk Cloud menganalisis proses yang berjalan di VM untuk membantu Anda membuat aturan daftar yang diizinkan.

Respons insiden

Defender for Cloud mendeteksi dan memberitahu Anda tentang ancaman saat terjadi. Organisasi harus memantau pemberitahuan keamanan baru dan mengambil tindakan sesuai kebutuhan untuk menyelidiki lebih lanjut atau memulihkan serangan. Untuk informasi lebih lanjut tentang cara kerja perlindungan ancaman Defender for Cloud, baca Cara Defender for Cloud mendeteksi dan merespons ancaman.

Meskipun kami tidak dapat membuat rencana Respons Insiden Anda, kami akan menggunakan Respons Keamanan Microsoft Azure dalam siklus hidup Cloud sebagai fondasi untuk tahap respons insiden. Tahapan respons insiden dalam siklus hidup cloud adalah:

Stages of the incident response in the cloud lifecycle.

Catatan

Anda dapat menggunakan Panduan Penanganan Insiden Keamanan Komputer National Institute of Standards and Technology (NIST) sebagai referensi untuk membantu Anda membangun sendiri.

Anda dapat menggunakan pemberitahuan Defender untuk Cloud selama tahapan berikut:

  • Deteksi: mengidentifikasi aktivitas yang mencurigakan dalam satu atau beberapa sumber daya.

  • Menilai: melakukan penilaian awal untuk mendapatkan informasi lebih lanjut tentang aktivitas yang mencurigakan.

  • Diagnosa: gunakan langkah-langkah remediasi untuk melakukan prosedur teknis untuk mengatasi masalah ini.

Setiap Pemberitahuan Keamanan menyediakan informasi yang dapat digunakan untuk lebih memahami sifat serangan dan menyarankan kemungkinan mitigasi. Beberapa pemberitahuan juga menyediakan link ke informasi lebih lanjut atau ke sumber informasi lain di Azure. Anda dapat menggunakan informasi yang diberikan untuk penelitian lebih lanjut dan memulai mitigasi, dan Anda juga dapat mencari data terkait keamanan yang disimpan di ruang kerja Anda.

Contoh berikut menunjukkan aktivitas RDP mencurigakan yang terjadi:

Suspicious activity.

Halaman ini menunjukkan rincian mengenai waktu serangan terjadi, nama host sumber, target komputer virtual dan juga memberikan langkah-langkah rekomendasi. Dalam beberapa keadaan, informasi sumber serangan mungkin kosong. Baca Informasi Sumber yang Hilang di pemberitahuan Defender untuk Cloud untuk informasi selengkapnya tentang jenis perilaku ini.

Setelah mengidentifikasi sistem yang disusupi, Anda dapat menjalankan otomatisasi alur kerja yang sebelumnya dibuat. Otomatisasi alur kerja adalah kumpulan prosedur yang dapat dijalankan dari Defender untuk Cloud setelah dipicu oleh pemberitahuan.

Catatan

Baca Mengelola dan merespons pemberitahuan keamanan di Defender for Cloud untuk informasi selengkapnya tentang cara menggunakan kapabilitas Defender for Cloud untuk membantu Anda selama proses Respons Insiden Anda.

Langkah berikutnya

Dalam dokumen ini, Anda belajar cara merencanakan adopsi Defender for Cloud. Pelajari selengkapnya tentang Defender untuk Cloud: