Integrasikan Microsoft Defender for Cloud dengan Azure VMware Solution

  • Artikel

Microsoft Defender for Cloud memberikan perlindungan ancaman tingkat lanjut di seluruh Azure VMware Solution dan mesin virtual (VM) lokal Anda. Sistem ini menilai kerentanan VM Azure VMware Solution dan meningkatkan pemberitahuan sesuai kebutuhan. Peringatan keamanan ini dapat diteruskan ke Azure Monitor untuk resolusi. Anda dapat menentukan kebijakan keamanan di Microsoft Defender for Cloud. Untuk informasi selengkapnya, lihat Bekerja dengan kebijakan keamanan.

Microsoft Defender for Cloud menawarkan banyak fitur, termasuk:

  • Pemantauan integritas file
  • Deteksi serangan tanpa file
  • Penilaian patch sistem operasi
  • Penilaian kesalahan konfigurasi keamanan
  • Penilaian perlindungan titik akhir

Diagram menunjukkan arsitektur pemantauan terintegrasi dari keamanan terintegrasi untuk VM Azure VMware Solution.

Diagram memperlihatkan arsitektur Keamanan Terpadu Azure.

Agen Analisis Log mengumpulkan data log dari Azure, Azure VMware Solution, dan VM lokal. Data log dikirim ke Log Azure Monitor dan disimpan di Ruang Kerja Log Analitik. Setiap ruang kerja memiliki repositori data dan konfigurasinya sendiri untuk menyimpan data. Setelah log dikumpulkan, Microsoft Defender for Cloud menilai status kerentanan VM Azure VMware Solution dan meningkatkan peringatan untuk kerentanan kritis. Setelah dinilai, Microsoft Defender for Cloud meneruskan status kerentanan ke Microsoft Azure Sentinel untuk membuat insiden dan memetakan dengan ancaman lainnya. Microsoft Defender for Cloud terhubung ke Microsoft Azure Sentinel menggunakan Microsoft Defender untuk Cloud Connector.

Prasyarat

Tambahkan VM Azure VMware Solution ke Defender for Cloud

  1. Di portal Microsoft Azure, cari di Azure Arc dan pilih.

  2. Di bawah Sumber Daya, pilih Server lalu +Tambahkan.

    Cuplikan layar yang menampilkan halaman Server Azure Arc untuk menambahkan VM Azure VMware Solution ke Azure.

  3. Pilih Hasilkan skrip.

    Cuplikan layar halaman Azure Arc memperlihatkan opsi untuk menambahkan server menggunakan skrip interaktif.

  4. Pada tab Prasyarat, pilih Berikutnya.

  5. Pada tab Detail sumber daya, isi detail berikut lalu pilih Berikutnya. Tag:

    • Langganan
    • Grup sumber daya
    • Wilayah
    • Sistem operasi
    • Detail Server Proksi

  6. Pada tab Tag, pilih Berikutnya.

  7. Pada tab Unduh dan jalankan skrip, pilih Unduh.

  8. Tentukan sistem operasi Anda dan jalankan skrip pada VM Azure VMware Solution Anda.

Melihat rekomendasi dan penilaian yang lulus

Rekomendasi dan penilaian memberi Anda rincian kesehatan keamanan sumber daya Anda.

  1. Di Microsoft Defender for Cloud, pilih Inventaris dari panel kiri.

  2. Untuk jenis Sumber Daya, pilih Server - Azure Arc.

    Cuplikan layar yang menampilkan laman Microsoft Defender for Cloud Inventory dengan Server - Azure Arc dipilih di bawah Jenis sumber daya.

  3. Pilih nama sumber daya Anda. Halaman terbuka memperlihatkan detail kesehatan keamanan sumber daya Anda.

  4. Di bawah Daftar rekomendasi, pilih tab Rekomendasi, Penilaian yang lulus, dan Penilaian yang tidak tersedia untuk melihat detail ini.

    Cuplikan layar memperlihatkan rekomendasi dan penilaian keamanan Microsoft Defender for Cloud.

Menyebarkan ruang kerja Microsoft Azure Sentinel

Microsoft Azure Sentinel menyediakan analitik keamanan, deteksi pemberitahuan, dan respons ancaman otomatis di seluruh lingkungan. Ini adalah solusi cloud-native, security information event management (SIEM) yang dibangun di atas ruang kerja Analitik Log.

Karena Microsoft Sentinel dibangun di atas ruang kerja Analitik Log, Anda hanya perlu memilih ruang kerja yang ingin Anda gunakan.

  1. Di portal Microsoft Azure, cari Microsoft Azure Sentinel, dan pilih.

  2. Pada halaman ruang kerja Microsoft Azure Sentinel, pilih +Tambahkan.

  3. Pilih ruang kerja Log Analytics dan pilih Add.

Aktifkan pengumpul data untuk kejadian keamanan

  1. Pada halaman ruang kerja Microsoft Azure Sentinel, pilih ruang kerja yang dikonfigurasi.

  2. Di bawah Konfigurasi, pilih Konektor data.

  3. Di bawah kolom nama Koneksi atau, pilih Peristiwa Keamanan dari daftar, lalu pilih Buka halaman konektor.

  4. Pada halaman konektor, pilih peristiwa yang ingin Anda streaming, lalu pilih Terapkan Perubahan.

    Cuplikan layar halaman Peristiwa Keamanan di Microsoft Azure Sentinel tempat Anda dapat memilih peristiwa mana yang akan di-streaming.

Koneksi Microsoft Azure Sentinel dengan Microsoft Defender for Cloud

  1. Pada halaman ruang kerja Microsoft Azure Sentinel, pilih ruang kerja yang dikonfigurasi.

  2. Di bawah Konfigurasi, pilih Konektor data.

  3. Pilih Microsoft Defender untuk Cloud dari daftar, lalu pilih Buka halaman konektor.

    Cuplikan layar halaman konektor Data di Microsoft Azure Sentinel memperlihatkan pilihan untuk menghubungkan Microsoft Defender for Cloud dengan Microsoft Azure Sentinel.

  4. Pilih Sambungkan untuk menyambungkan Microsoft Defender for Cloud dengan Microsoft Azure Sentinel.

  5. Aktifkan Buat insiden untuk membuat insiden untuk Microsoft Defender for Cloud.

Membuat aturan untuk mengidentifikasi ancaman keamanan

Setelah menyambungkan sumber data ke Microsoft Azure Sentinel, Anda dapat membuat aturan untuk menghasilkan peringatan untuk ancaman yang terdeteksi. Dalam contoh berikut, kami membuat aturan untuk upaya masuk ke server Windows dengan kata sandi yang salah.

  1. Pada halaman gambaran umum Microsoft Azure Sentinel, di bawah Konfigurasi, pilih Analytics.

  2. Di bawah Konfigurasi, pilih Analytics.

  3. Pilih +Buat dan pada menu gulir, pilih Aturan kueri terjadwal.

  4. Pada tab Umum, masukkan informasi yang diperlukan, lalu pilih Berikutnya: Atur logika aturan.

    • Nama
    • Deskripsi
    • Taktik
    • Tingkat keparahan
    • Keadaan

  5. Pada tab Atur logika aturan, masukkan informasi yang diperlukan, lalu pilih Berikutnya.

    • Kueri aturan (di sini memperlihatkan contoh kueri kami)

      SecurityEvent
|where Activity startswith '4625'
|summarize count () by IpAddress,Computer
|where count_ > 3

    • Petakan entitas

    • Penjadwalan kueri

    • Ambang batas pemberitahuan

    • Pengelompokan peristiwa

    • Supresi

  6. Pada tab Pengaturan insiden, aktifkan Buat insiden dari pemberitahuan yang dipicu oleh aturan analisis ini dan pilih Berikutnya: Respons otomatis.

    Cuplikan layar yang menampilkan wizard aturan Analitik untuk membuat aturan baru di Microsoft Azure Sentinel.

  7. Pilih Berikutnya: Tinjauan.

  8. Pada tab Tinjau dan buat, tinjau informasi dan pilih Buat.

Tip

Setelah upaya ketiga gagal masuk ke server Windows, aturan yang dibuat memicu insiden untuk setiap upaya yang gagal.

Lihat peringatan

Anda dapat melihat insiden yang dihasilkan dengan Microsoft Azure Sentinel. Anda juga dapat menetapkan insiden dan menutupnya setelah diselesaikan, semuanya dari dalam Microsoft Azure Sentinel.

  1. Buka halaman gambaran umum Microsoft Azure Sentinel.

  2. Di bawah Manajemen Ancaman, pilih Insiden.

  3. Pilih insiden lalu tetapkan ke tim untuk resolusi.

    Cuplikan layar halaman Insiden Microsoft Azure Sentinel dengan insiden dipilih dan opsi untuk menetapkan insiden untuk resolusi.

Tip

Setelah menyelesaikan masalah, Anda dapat menutupnya.

Berburu ancaman keamanan dengan kueri

Anda dapat membuat kueri atau menggunakan kueri yang telah ditentukan sebelumnya yang tersedia di Microsoft Azure Sentinel untuk mengidentifikasi ancaman di lingkungan Anda. Langkah-langkah berikut menjalankan kueri yang telah ditentukan sebelumnya.

  1. Pada halaman gambaran umum Microsoft Azure Sentinel, pada Manajemen ancaman, pilih Berburu. Daftar kueri yang telah ditentukan sebelumnya ditampilkan.

    Tip

    Anda juga dapat membuat kueri baru dengan memilih Kueri Baru.

    Cuplikan layar halaman Perburuan Microsoft Azure Sentinel dengan + Kueri Baru disorot.

  2. Pilih kueri, lalu pilih Jalankan Kueri.

  3. Pilih Tampilkan Hasil untuk memeriksa hasilnya.

Langkah berikutnya

Sekarang setelah Anda membahas cara melindungi VM Azure VMware Solution, Anda dapat mempelajari selengkapnya tentang: