Microsoft Defender for Cloud integreren met Azure VMware Solution

Microsoft Defender for Cloud biedt geavanceerde beveiliging tegen bedreigingen op uw Azure VMware Solution en on-premises virtuele machines (VM's). Het evalueert het beveiligingsprobleem van Azure VMware Solution-VM's en geeft zo nodig waarschuwingen. Deze beveiligingswaarschuwingen kunnen worden doorgestuurd naar Azure Monitor oplossing. U kunt beveiligingsbeleid definiëren in Microsoft Defender for Cloud. Zie Werken met beveiligingsbeleid voor meer informatie.

Microsoft Defender for Cloud biedt veel functies, waaronder:

  • Bestandsintegriteit controleren
  • Detectie van bestandsloze aanvallen
  • Patchevaluatie van besturingssysteem
  • Evaluatie van onjuiste beveiligingsconfiguratie
  • Evaluatie van eindpuntbeveiliging

In het diagram ziet u de geïntegreerde bewakingsarchitectuur van geïntegreerde beveiliging voor Azure VMware Solution VM's.

Diagram met de architectuur van Azure Integrated Security.

De Log Analytics-agent verzamelt logboekgegevens van Azure, Azure VMware Solution en on-premises VM's. De logboekgegevens worden verzonden naar Azure Monitor logboeken en opgeslagen in een Log Analytics-werkruimte. Elke werkruimte heeft een eigen gegevensopslagplaats en configuratie voor het opslaan van gegevens. Zodra de logboeken zijn verzameld, evalueert Microsoft Defender for Cloud de beveiligingsstatus van de virtuele Azure VMware Solution's en wordt er een waarschuwing voor kritieke beveiligingslekken verstuurd. Na de beoordeling wordt de beveiligingsstatus door Microsoft Defender for Cloud doorgestuurd naar Microsoft Sentinel om een incident te maken en te worden in kaart gebracht met andere bedreigingen. Microsoft Defender for Cloud is verbonden met Microsoft Sentinel met behulp van Microsoft Defender for Cloud Connector.

Vereisten

Virtuele Azure VMware Solution toevoegen aan Defender for Cloud

  1. Zoek in Azure Portal op Azure Arc selecteer deze optie.

  2. Selecteer onder Resources de optie Servers en vervolgens +Toevoegen.

    Schermopname van Azure Arc servers waarop u een virtuele Azure VMware Solution aan Azure kunt toevoegen.

  3. Selecteer Script genereren.

    Schermopname van Azure Arc met de optie voor het toevoegen van een server met behulp van een interactief script.

  4. Selecteer op het tabblad Vereisten de optie Volgende.

  5. Vul op het tabblad Resourcedetails de volgende gegevens in en selecteer volgende: Tags.

    • Abonnement

    • Resourcegroep

    • Regio

    • Besturingssysteem

    • Proxyserverdetails

  6. Selecteer op het tabblad Tags de optie Volgende.

  7. Selecteer downloaden op het tabblad Script downloaden en uitvoeren.

  8. Geef uw besturingssysteem op en voer het script uit op Azure VMware Solution VM.

Aanbevelingen en doorgegeven evaluaties weergeven

Aanbevelingen en evaluaties bieden u de beveiligingsgegevens van uw resource.

  1. Selecteer in Microsoft Defender for Cloud Inventaris in het linkerdeelvenster.

  2. Bij Resourcetype selecteert u Servers - Azure Arc.

    Schermopname van de pagina Microsoft Defender for Cloud Inventory met de pagina Servers - Azure Arc geselecteerd onder Resourcetype.

  3. Selecteer de naam van uw resource. Er wordt een pagina geopend met de beveiligingsgegevens van uw resource.

  4. Selecteer onder Aanbevelingslijst de tabbladen Aanbevelingen, Doorgegeven evaluaties en Niet-beschikbare evaluaties om deze details weer te geven.

    Schermopname van de aanbevelingen en evaluaties voor Microsoft Defender for Cloud-beveiliging.

Een Microsoft Sentinel-werkruimte implementeren

Microsoft Sentinel biedt beveiligingsanalyses, waarschuwingsdetectie en geautomatiseerd reageren op bedreigingen in een omgeving. Het is een cloudeigen SIEM-oplossing (Security Information Event Management) die boven op een Log Analytics-werkruimte is gebouwd.

Omdat Microsoft Sentinel boven op een Log Analytics-werkruimte is gebouwd, hoeft u alleen de werkruimte te selecteren die u wilt gebruiken.

  1. Zoek in Azure Portal naar Microsoft Sentinel en selecteer deze.

  2. Selecteer op de pagina Microsoft Sentinel-werkruimten de optie +Toevoegen.

  3. Selecteer de Log Analytics-werkruimte en selecteer Toevoegen.

Gegevensverzamelaar inschakelen voor beveiligingsgebeurtenissen

  1. Selecteer op de pagina Microsoft Sentinel-werkruimten de geconfigureerde werkruimte.

  2. Selecteer gegevensconnectoren onder Configuratie.

  3. Selecteer in de kolom Connectornaam de optie Beveiligingsgebeurtenissen in de lijst en selecteer vervolgens Connectorpagina openen.

  4. Selecteer op de connectorpagina de gebeurtenissen die u wilt streamen en selecteer vervolgens Wijzigingen toepassen.

    Schermopname van de pagina Beveiligingsgebeurtenissen in Microsoft Sentinel, waar u kunt selecteren welke gebeurtenissen u wilt streamen.

Verbinding maken Microsoft Sentinel met Microsoft Defender for Cloud

  1. Selecteer op de pagina Microsoft Sentinel-werkruimte de geconfigureerde werkruimte.

  2. Selecteer gegevensconnectoren onder Configuratie.

  3. Selecteer Microsoft Defender for Cloud in de lijst en selecteer vervolgens Connectorpagina openen.

    Schermopname van de pagina Gegevensconnectoren in Microsoft Sentinel met de selectie om Microsoft Defender for Cloud te verbinden met Microsoft Sentinel.

  4. Selecteer Verbinding maken microsoft Defender for Cloud te verbinden met Microsoft Sentinel.

  5. Schakel Incident maken in om een incident te genereren voor Microsoft Defender for Cloud.

Regels maken om beveiligingsrisico's te identificeren

Nadat u gegevensbronnen hebt verbonden met Microsoft Sentinel, kunt u regels maken om waarschuwingen te genereren voor gedetecteerde bedreigingen. In het volgende voorbeeld maken we een regel voor pogingen om aan te melden bij Windows server met het verkeerde wachtwoord.

  1. Selecteer op de overzichtspagina van Microsoft Sentinel onder Configuraties de optie Analyse.

  2. Selecteer onder Configuraties de optie Analyse.

  3. Selecteer +Maken en selecteer geplande queryregel in de vervolgkeuzekeuze.

  4. Voer op het tabblad Algemeen de vereiste gegevens in en selecteer volgende: Regellogica instellen.

    • Naam

    • Beschrijving

    • Tactieken

    • Ernst

    • Status

  5. Voer op het tabblad Regellogica instellen de vereiste gegevens in en selecteer volgende.

    • Regelquery (hier met onze voorbeeldquery)

      SecurityEvent
      |where Activity startswith '4625'
      |summarize count () by IpAddress,Computer
      |where count_ > 3
      
    • Entiteiten toewijzen

    • Queryplanning

    • Waarschuwingsdrempel

    • Gebeurtenissen groeperen

    • Onderdrukking

  6. Schakel op het tabblad Incidentinstellingen de optie Incidenten maken in op basis van waarschuwingen die worden geactiveerd door deze analyseregel en selecteer Volgende: Geautomatiseerd antwoord.

    Schermopname van de wizard Analyseregel voor het maken van een nieuwe regel in Microsoft Sentinel.

  7. Selecteer Volgende: Review.

  8. Controleer de informatie op het tabblad Controleren en maken en selecteer Maken.

Tip

Na de derde mislukte poging om u aan te melden bij Windows server, activeert de gemaakte regel een incident voor elke mislukte poging.

Waarschuwingen weergeven

U kunt gegenereerde incidenten weergeven met Microsoft Sentinel. U kunt incidenten ook toewijzen en sluiten zodra ze zijn opgelost, allemaal vanuit Microsoft Sentinel.

  1. Ga naar de overzichtspagina van Microsoft Sentinel.

  2. Selecteer incidenten onder Bedreigingsbeheer.

  3. Selecteer een incident en wijs dit vervolgens toe aan een team voor oplossing.

    Schermopname van de pagina Microsoft Sentinel-incidenten met het incident geselecteerd en de optie om het incident toe te wijzen voor oplossing.

Tip

Nadat het probleem is opgelost, kunt u het sluiten.

Beveiligingsrisico's opzoeken met query's

U kunt query's maken of de beschikbare vooraf gedefinieerde query in Microsoft Sentinel gebruiken om bedreigingen in uw omgeving te identificeren. Met de volgende stappen wordt een vooraf gedefinieerde query uitgevoerd.

  1. Selecteer op de overzichtspagina van Microsoft Sentinel onder Bedreigingsbeheer de optie Hunting. Er wordt een lijst met vooraf gedefinieerde query's weergegeven.

    Tip

    U kunt ook een nieuwe query maken door Nieuwe query te selecteren.

    Schermopname van de pagina Microsoft Sentinel Hunting met + New Query gemarkeerd.

  2. Selecteer een query en selecteer vervolgens Query uitvoeren.

  3. Selecteer Resultaten weergeven om de resultaten te controleren.

Volgende stappen

Nu u hebt behandeld hoe u uw virtuele Azure VMware Solution kunt u het volgende leren: