Delen via

Microsoft Defender voor Cloud integreren met Azure VMware Solution

  • Artikel

Microsoft Defender voor Cloud biedt geavanceerde beveiliging tegen bedreigingen voor uw Azure VMware Solution en on-premises virtuele machines (VM's). Het evalueert het beveiligingsprobleem van azure VMware Solution-VM's en genereert indien nodig waarschuwingen. Deze beveiligingswaarschuwingen kunnen worden doorgestuurd naar Azure Monitor voor oplossing. U kunt beveiligingsbeleid definiëren in Microsoft Defender voor Cloud. Zie Werken met beveiligingsbeleid voor meer informatie.

Microsoft Defender voor Cloud biedt veel functies, waaronder:

  • Bestandsintegriteit controleren
  • Detectie van bestandsloze aanvallen
  • Evaluatie van patches voor besturingssysteem
  • Evaluatie van onjuiste beveiligingsconfiguratie
  • Evaluatie van eindpuntbeveiliging

In het diagram ziet u de geïntegreerde bewakingsarchitectuur van geïntegreerde beveiliging voor azure VMware Solution-VM's.

Diagram met de architectuur van geïntegreerde Azure-beveiliging.

Log Analytics-agent verzamelt logboekgegevens van Azure, Azure VMware Solution en on-premises VM's. De logboekgegevens worden verzonden naar Azure Monitor-logboeken en opgeslagen in een Log Analytics-werkruimte. Elke werkruimte heeft een eigen gegevensopslagplaats en -configuratie voor het opslaan van gegevens. Zodra de logboeken zijn verzameld, Microsoft Defender voor Cloud de beveiligingsstatus van azure VMware Solution-VM's beoordelen en een waarschuwing genereren voor kritieke beveiligingsproblemen. Na de evaluatie stuurt Microsoft Defender voor Cloud de status van het beveiligingsprobleem door naar Microsoft Sentinel om een incident te maken en toe te wijzen aan andere bedreigingen. Microsoft Defender voor Cloud is verbonden met Microsoft Sentinel met behulp van Microsoft Defender voor Cloud Verbinding maken or.

Vereisten

Azure VMware Solution-VM's toevoegen aan Defender voor Cloud

  1. Zoek in Azure Portal op Azure Arc en selecteer deze.

  2. Selecteer Onder Resources de optie Servers en vervolgens +Toevoegen.

    Schermopname van de pagina Azure Arc-servers voor het toevoegen van een Azure VMware Solution-VM aan Azure.

  3. Selecteer Script genereren.

    Schermopname van de Azure Arc-pagina met de optie voor het toevoegen van een server met behulp van een interactief script.

  4. Selecteer Volgende op het tabblad Vereisten.

  5. Vul op het tabblad Resourcegegevens de volgende details in en selecteer vervolgens Volgende. Tags:

    • Abonnement
    • Resourcegroep
    • Regio
    • Besturingssysteem
    • Details van proxyserver

  6. Selecteer Volgende op het tabblad Tags.

  7. Selecteer Downloaden op het tabblad Script downloaden en uitvoeren.

  8. Geef uw besturingssysteem op en voer het script uit op uw Azure VMware Solution-VM.

Aanbevelingen en geslaagde evaluaties weergeven

Aanbevelingen en evaluaties bieden u de beveiligingsstatusgegevens van uw resource.

  1. Selecteer Inventaris in Microsoft Defender voor Cloud in het linkerdeelvenster.

  2. Voor resourcetype selecteert u Servers - Azure Arc.

    Schermopname van de pagina Microsoft Defender voor Cloud Inventaris met servers - Azure Arc geselecteerd onder Resourcetype.

  3. Selecteer de naam van uw resource. Er wordt een pagina geopend met de beveiligingsstatusgegevens van uw resource.

  4. Selecteer onder De lijst met aanbevelingen de tabbladen Aanbevelingen, Geslaagde evaluaties en Niet-beschikbare evaluaties om deze details weer te geven.

    Schermopname van de Microsoft Defender voor Cloud aanbevelingen en evaluaties voor beveiliging.

Een Microsoft Sentinel-werkruimte implementeren

Microsoft Sentinel biedt beveiligingsanalyses, waarschuwingsdetectie en geautomatiseerde reactie op bedreigingen in een omgeving. Het is een cloudeigen SIEM-oplossing (Security Information Event Management) die is gebouwd op basis van een Log Analytics-werkruimte.

Omdat Microsoft Sentinel is gebouwd op basis van een Log Analytics-werkruimte, hoeft u alleen de werkruimte te selecteren die u wilt gebruiken.

  1. Zoek in Azure Portal naar Microsoft Sentinel en selecteer deze.

  2. Selecteer +Toevoegen op de pagina Microsoft Sentinel-werkruimten.

  3. Selecteer de Log Analytics-werkruimte en selecteer Toevoegen.

Gegevensverzamelaar inschakelen voor beveiligingsevenementen

  1. Selecteer op de pagina Microsoft Sentinel-werkruimten de geconfigureerde werkruimte.

  2. Selecteer gegevensconnectors onder Configuratie.

  3. Selecteer in de kolom Verbinding maken orNaam de optie Beveiligingsevenementen in de lijst en selecteer vervolgens de pagina Connector openen.

  4. Selecteer op de connectorpagina de gebeurtenissen die u wilt streamen en selecteer Vervolgens Wijzigingen toepassen.

    Schermopname van de pagina Beveiligingsevenementen in Microsoft Sentinel, waar u kunt selecteren welke gebeurtenissen u wilt streamen.

Verbinding maken Microsoft Sentinel met Microsoft Defender voor Cloud

  1. Selecteer op de pagina Microsoft Sentinel-werkruimte de geconfigureerde werkruimte.

  2. Selecteer gegevensconnectors onder Configuratie.

  3. Selecteer Microsoft Defender voor Cloud in de lijst en selecteer vervolgens de connectorpagina openen.

    Schermopname van de pagina Gegevensconnectors in Microsoft Sentinel met de selectie om Microsoft Defender voor Cloud te verbinden met Microsoft Sentinel.

  4. Selecteer Verbinding maken om de Microsoft Defender voor Cloud te verbinden met Microsoft Sentinel.

  5. Schakel Een incident maken in om een incident te genereren voor Microsoft Defender voor Cloud.

Regels maken om beveiligingsrisico's te identificeren

Nadat u gegevensbronnen hebt verbonden met Microsoft Sentinel, kunt u regels maken voor het genereren van waarschuwingen voor gedetecteerde bedreigingen. In het volgende voorbeeld maken we een regel voor pogingen om u aan te melden bij Windows Server met het verkeerde wachtwoord.

  1. Selecteer Analytics op de overzichtspagina van Microsoft Sentinel onder Configuraties.

  2. Selecteer Analyse onder Configuraties.

  3. Selecteer +Maken en selecteer in de vervolgkeuzelijst geplande queryregel.

  4. Voer op het tabblad Algemeen de vereiste gegevens in en selecteer vervolgens Volgende: Regellogica instellen.

    • Name
    • Beschrijving
    • Tactieken
    • Ernst
    • Status

  5. Voer op het tabblad Regellogica instellen de vereiste gegevens in en selecteer vervolgens Volgende.

    • Regelquery (hier met de voorbeeldquery)

      SecurityEvent
|where Activity startswith '4625'
|summarize count () by IpAddress,Computer
|where count_ > 3

    • Entiteiten toewijzen

    • Query plannen

    • Waarschuwingsdrempel

    • Gebeurtenissen groeperen

    • Onderdrukking

  6. Schakel op het tabblad Incidentinstellingen incidenten maken in op basis van waarschuwingen die worden geactiveerd door deze analyseregel en selecteer Volgende: Geautomatiseerd antwoord.

    Schermopname van de wizard Analyseregel voor het maken van een nieuwe regel in Microsoft Sentinel.

  7. Selecteer Volgende: Controleren.

  8. Controleer de informatie op het tabblad Controleren en maken en selecteer Maken.

Tip

Nadat de derde mislukte poging om zich aan te melden bij Windows Server, activeert de gemaakte regel een incident voor elke mislukte poging.

Waarschuwingen weergeven

U kunt gegenereerde incidenten weergeven met Microsoft Sentinel. U kunt incidenten ook toewijzen en sluiten zodra ze zijn opgelost, allemaal vanuit Microsoft Sentinel.

  1. Ga naar de overzichtspagina van Microsoft Sentinel.

  2. Selecteer incidenten onder Bedreigingsbeheer.

  3. Selecteer een incident en wijs het vervolgens toe aan een team voor oplossing.

    Schermopname van de pagina Microsoft Sentinel-incidenten met incident geselecteerd en de optie voor het toewijzen van het incident voor oplossing.

Tip

Nadat u het probleem hebt opgelost, kunt u het sluiten.

Beveiligingsrisico's opsporen met query's

U kunt query's maken of de beschikbare vooraf gedefinieerde query in Microsoft Sentinel gebruiken om bedreigingen in uw omgeving te identificeren. Met de volgende stappen voert u een vooraf gedefinieerde query uit.

  1. Selecteer Opsporing op de overzichtspagina van Microsoft Sentinel onder Bedreigingsbeheer. Er wordt een lijst met vooraf gedefinieerde query's weergegeven.

    Tip

    U kunt ook een nieuwe query maken door Nieuwe query te selecteren.

    Schermopname van de pagina Opsporing van Microsoft Sentinel met + Nieuwe query gemarkeerd.

  2. Selecteer een query en selecteer vervolgens Query uitvoeren.

  3. Selecteer Resultaten weergeven om de resultaten te controleren.

Volgende stappen

Nu u hebt besproken hoe u uw Virtuele Azure VMware Solution-machines beveiligt, kunt u meer informatie krijgen over: