Microsoft Defender for Cloud integreren met Azure VMware Solution

Microsoft Defender for Cloud biedt geavanceerde beveiliging tegen bedreigingen op uw Azure VMware Solution en on-premises virtuele machines (VM's). Het evalueert het beveiligingsprobleem van Azure VMware Solution-VM's en geeft zo nodig waarschuwingen. Deze beveiligingswaarschuwingen kunnen worden doorgestuurd naar Azure Monitor oplossing. U kunt beveiligingsbeleid definiëren in Microsoft Defender for Cloud. Zie Werken met beveiligingsbeleid voor meer informatie.

Microsoft Defender for Cloud biedt veel functies, waaronder:

• Bestandsintegriteit controleren
• Detectie van bestandsloze aanvallen
• Patchevaluatie van besturingssysteem
• Evaluatie van onjuiste beveiligingsconfiguratie
• Evaluatie van eindpuntbeveiliging

In het diagram ziet u de geïntegreerde bewakingsarchitectuur van geïntegreerde beveiliging voor Azure VMware Solution VM's.

De Log Analytics-agent verzamelt logboekgegevens van Azure, Azure VMware Solution en on-premises VM's. De logboekgegevens worden verzonden naar Azure Monitor logboeken en opgeslagen in een Log Analytics-werkruimte. Elke werkruimte heeft een eigen gegevensopslagplaats en configuratie voor het opslaan van gegevens. Zodra de logboeken zijn verzameld, evalueert Microsoft Defender for Cloud de beveiligingsstatus van de virtuele Azure VMware Solution's en wordt er een waarschuwing voor kritieke beveiligingslekken verstuurd. Na de beoordeling wordt de beveiligingsstatus door Microsoft Defender for Cloud doorgestuurd naar Microsoft Sentinel om een incident te maken en te worden in kaart gebracht met andere bedreigingen. Microsoft Defender for Cloud is verbonden met Microsoft Sentinel met behulp van Microsoft Defender for Cloud Connector.

Vereisten

• Plan het geoptimaliseerde gebruik van Defender for Cloud.

• Bekijk de ondersteunde platforms in Defender for Cloud.

• Maak een Log Analytics-werkruimte voor het verzamelen van gegevens uit verschillende bronnen.

• Schakel Microsoft Defender for Cloud in uw abonnement in.

  Notitie

  Microsoft Defender for Cloud is een vooraf geconfigureerd hulpprogramma waarvoor geen implementatie is vereist, maar u moet het wel inschakelen.

• Schakel Microsoft Defender for Cloud in.

Virtuele Azure VMware Solution toevoegen aan Defender for Cloud

1. Zoek in Azure Portal op Azure Arc selecteer deze optie.

2. Selecteer onder Resources de optie Servers en vervolgens +Toevoegen.

   

3. Selecteer Script genereren.

   

4. Selecteer op het tabblad Vereisten de optie Volgende.

5. Vul op het tabblad Resourcedetails de volgende gegevens in en selecteer volgende: Tags.

   • Abonnement

   • Resourcegroep

   • Regio

   • Besturingssysteem

   • Proxyserverdetails

6. Selecteer op het tabblad Tags de optie Volgende.

7. Selecteer downloaden op het tabblad Script downloaden en uitvoeren.

8. Geef uw besturingssysteem op en voer het script uit op Azure VMware Solution VM.

Aanbevelingen en doorgegeven evaluaties weergeven

Aanbevelingen en evaluaties bieden u de beveiligingsgegevens van uw resource.

1. Selecteer in Microsoft Defender for Cloud Inventaris in het linkerdeelvenster.

2. Bij Resourcetype selecteert u Servers - Azure Arc.

   

3. Selecteer de naam van uw resource. Er wordt een pagina geopend met de beveiligingsgegevens van uw resource.

4. Selecteer onder Aanbevelingslijst de tabbladen Aanbevelingen, Doorgegeven evaluaties en Niet-beschikbare evaluaties om deze details weer te geven.

   

Een Microsoft Sentinel-werkruimte implementeren

Microsoft Sentinel biedt beveiligingsanalyses, waarschuwingsdetectie en geautomatiseerd reageren op bedreigingen in een omgeving. Het is een cloudeigen SIEM-oplossing (Security Information Event Management) die boven op een Log Analytics-werkruimte is gebouwd.

Omdat Microsoft Sentinel boven op een Log Analytics-werkruimte is gebouwd, hoeft u alleen de werkruimte te selecteren die u wilt gebruiken.

1. Zoek in Azure Portal naar Microsoft Sentinel en selecteer deze.

2. Selecteer op de pagina Microsoft Sentinel-werkruimten de optie +Toevoegen.

3. Selecteer de Log Analytics-werkruimte en selecteer Toevoegen.

Gegevensverzamelaar inschakelen voor beveiligingsgebeurtenissen

1. Selecteer op de pagina Microsoft Sentinel-werkruimten de geconfigureerde werkruimte.

2. Selecteer gegevensconnectoren onder Configuratie.

3. Selecteer in de kolom Connectornaam de optie Beveiligingsgebeurtenissen in de lijst en selecteer vervolgens Connectorpagina openen.

4. Selecteer op de connectorpagina de gebeurtenissen die u wilt streamen en selecteer vervolgens Wijzigingen toepassen.

   

Verbinding maken Microsoft Sentinel met Microsoft Defender for Cloud

1. Selecteer op de pagina Microsoft Sentinel-werkruimte de geconfigureerde werkruimte.

2. Selecteer gegevensconnectoren onder Configuratie.

3. Selecteer Microsoft Defender for Cloud in de lijst en selecteer vervolgens Connectorpagina openen.

   

4. Selecteer Verbinding maken microsoft Defender for Cloud te verbinden met Microsoft Sentinel.

5. Schakel Incident maken in om een incident te genereren voor Microsoft Defender for Cloud.

Regels maken om beveiligingsrisico's te identificeren

Nadat u gegevensbronnen hebt verbonden met Microsoft Sentinel, kunt u regels maken om waarschuwingen te genereren voor gedetecteerde bedreigingen. In het volgende voorbeeld maken we een regel voor pogingen om aan te melden bij Windows server met het verkeerde wachtwoord.

1. Selecteer op de overzichtspagina van Microsoft Sentinel onder Configuraties de optie Analyse.

2. Selecteer onder Configuraties de optie Analyse.

3. Selecteer +Maken en selecteer geplande queryregel in de vervolgkeuzekeuze.

4. Voer op het tabblad Algemeen de vereiste gegevens in en selecteer volgende: Regellogica instellen.

   • Naam

   • Beschrijving

   • Tactieken

   • Ernst

   • Status

5. Voer op het tabblad Regellogica instellen de vereiste gegevens in en selecteer volgende.

   • Regelquery (hier met onze voorbeeldquery)

     SecurityEvent
     |where Activity startswith '4625'
     |summarize count () by IpAddress,Computer
     |where count_ > 3
     

   • Entiteiten toewijzen

   • Queryplanning

   • Waarschuwingsdrempel

   • Gebeurtenissen groeperen

   • Onderdrukking

6. Schakel op het tabblad Incidentinstellingen de optie Incidenten maken in op basis van waarschuwingen die worden geactiveerd door deze analyseregel en selecteer Volgende: Geautomatiseerd antwoord.

   

7. Selecteer Volgende: Review.

8. Controleer de informatie op het tabblad Controleren en maken en selecteer Maken.

Waarschuwingen weergeven

U kunt gegenereerde incidenten weergeven met Microsoft Sentinel. U kunt incidenten ook toewijzen en sluiten zodra ze zijn opgelost, allemaal vanuit Microsoft Sentinel.

1. Ga naar de overzichtspagina van Microsoft Sentinel.

2. Selecteer incidenten onder Bedreigingsbeheer.

3. Selecteer een incident en wijs dit vervolgens toe aan een team voor oplossing.

   

Beveiligingsrisico's opzoeken met query's

U kunt query's maken of de beschikbare vooraf gedefinieerde query in Microsoft Sentinel gebruiken om bedreigingen in uw omgeving te identificeren. Met de volgende stappen wordt een vooraf gedefinieerde query uitgevoerd.

1. Selecteer op de overzichtspagina van Microsoft Sentinel onder Bedreigingsbeheer de optie Hunting. Er wordt een lijst met vooraf gedefinieerde query's weergegeven.

   Tip

   U kunt ook een nieuwe query maken door Nieuwe query te selecteren.

   

2. Selecteer een query en selecteer vervolgens Query uitvoeren.

3. Selecteer Resultaten weergeven om de resultaten te controleren.

Volgende stappen

Nu u hebt behandeld hoe u uw virtuele Azure VMware Solution kunt u het volgende leren:

• Het dashboard workloadbeveiliging gebruiken
• Geavanceerde detectie van aanvallen met meerdere fases in Microsoft Sentinel
• Systeemeigen Azure-services integreren in Azure VMware Solution