Beveiligingsbeheer: eindpuntbeveiliging
Eindpuntbeveiliging omvat besturingselementen voor eindpuntdetectie en -respons, waaronder het gebruik van eindpuntdetectie en -respons (EDR) en de antimalwareservice voor eindpunten in cloudomgevingen.
ES-1: Endpoint Detection and Response (EDR) gebruiken
| CIS Controls v8 ID('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 13.7 | SC-3, SI-2, SI-3, SI-16 | 11.5 |
Beveiligingsprincipe: EDR-mogelijkheden (Endpoint Detection and Response) inschakelen voor VM's en integreren met SIEM- en beveiligingsbewerkingsprocessen.
Azure-richtlijnen: Microsoft Defender voor servers (met Microsoft Defender voor Eindpunt geïntegreerd) biedt EDR de mogelijkheid om geavanceerde bedreigingen te voorkomen, te detecteren, te onderzoeken en erop te reageren.
Gebruik Microsoft Defender for Cloud om Microsoft Defender voor servers op uw eindpunten te implementeren en de waarschuwingen te integreren in uw SIEM-oplossing, zoals Microsoft Sentinel.
Azure-implementatie en aanvullende context:
- Inleiding tot Azure Defender voor servers
- overzicht van Microsoft Defender voor Eindpunt
- Microsoft Defender voor cloudfunctiedekking voor machines
- Connector voor Integratie van Defender voor Servers in SIEM
AWS-richtlijnen: onboard uw AWS-account in Microsoft Defender for Cloud en implementeer Microsoft Defender voor servers (met Microsoft Defender voor Eindpunt geïntegreerd) op uw EC2-exemplaren om EDR-mogelijkheden te bieden om geavanceerde bedreigingen te voorkomen, detecteren, onderzoeken en erop te reageren.
U kunt ook de geïntegreerde bedreigingsinformatiefunctie van Amazon GuardDuty gebruiken om uw EC2-exemplaren te bewaken en te beveiligen. Amazon GuardDuty kan afwijkende activiteiten detecteren, zoals activiteiten die duiden op een inbreuk op een exemplaar, zoals cryptovaluta-mining, malware met behulp van algoritmen voor domeingeneratie (DGA's), uitgaande Denial of Service-activiteit, ongebruikelijk grote hoeveelheid netwerkverkeer, ongebruikelijke netwerkprotocollen, uitgaande exemplaarcommunicatie met een bekend schadelijk IP-adres, tijdelijk Gebruik van Amazon EC2-referenties door een extern IP-adres en gegevensexfiltratie met behulp van DNS.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: onboard uw GCP-project in Microsoft Defender for Cloud en implementeer Microsoft Defender voor servers (met Microsoft Defender voor Eindpunt geïntegreerd) op uw virtuele-machine-exemplaren om EDR-mogelijkheden te bieden voor het voorkomen, detecteren, onderzoeken en reageren op geavanceerde Bedreigingen.
U kunt ook het Security Command Center van Google gebruiken voor geïntegreerde bedreigingsinformatie om uw exemplaren van virtuele machines te bewaken en te beveiligen. Security Command Center kan afwijkende activiteiten detecteren, zoals mogelijk gelekte referenties, mining van cryptovaluta, mogelijk schadelijke toepassingen, schadelijke netwerkactiviteit en meer.
GCP-implementatie en aanvullende context:
- Bescherm uw eindpunten met de geïntegreerde EDR-oplossing van Defender for Cloud:
- Overzicht van Security Command Center:
Belanghebbenden bij de beveiliging van klanten (meer informatie):
- Infrastructuur- en eindpuntbeveiliging
- Bedreigingsinformatie
- Beveiligingsnalevingsbeheer
- Postuurbeheer
ES-2: Moderne antimalwaresoftware gebruiken
| CIS Controls v8 ID('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 10.1 | SC-3, SI-2, SI-3, SI-16 | 5.1 |
Beveiligingsprincipe: gebruik antimalwareoplossingen (ook wel endpoint protection genoemd) die realtime-beveiliging en periodieke scans kunnen uitvoeren.
Azure-richtlijnen: Microsoft Defender voor Cloud kan automatisch het gebruik identificeren van een aantal populaire antimalwareoplossingen voor uw virtuele machines en on-premises machines waarop Azure Arc is geconfigureerd, de status van de eindpuntbeveiliging rapporteren en aanbevelingen doen.
Microsoft Defender Antivirus is de standaard antimalwareoplossing voor Windows Server 2016 en hoger. Voor Windows Server 2012 R2 gebruikt u Microsoft Antimalware extensie om SCEP (System Center Endpoint Protection) in te schakelen. Voor Linux-VM's gebruikt u Microsoft Defender voor Eindpunt op Linux voor de eindpuntbeveiligingsfunctie.
Voor zowel Windows als Linux kunt u Microsoft Defender for Cloud gebruiken om de status van de antimalwareoplossing te detecteren en te beoordelen.
Opmerking: u kunt ook Microsoft Defender for Cloud Defender for Storage gebruiken om malware te detecteren die is geüpload naar Azure Storage-accounts.
Azure-implementatie en aanvullende context:
- Ondersteunde oplossingen voor eindpuntbeveiliging
- Microsoft Antimalware configureren voor Cloud Services en virtuele machines
AWS-richtlijnen: onboard uw AWS-account in Microsoft Defender for Cloud, zodat Microsoft Defender voor Cloud automatisch het gebruik van enkele populaire antimalwareoplossingen voor EC2-exemplaren met Azure Arc kan identificeren en de status van de endpoint protection-uitvoering kan rapporteren en aanbevelingen kan doen.
Implementeer Microsoft Defender Antivirus. Dit is de standaard antimalwareoplossing voor Windows Server 2016 en hoger. Voor EC2-exemplaren met Windows Server 2012 R2 gebruikt u Microsoft Antimalware-extensie om SCEP (System Center Endpoint Protection) in te schakelen. Voor EC2-exemplaren met Linux gebruikt u Microsoft Defender voor Eindpunt op Linux voor de eindpuntbeveiligingsfunctie.
Voor zowel Windows als Linux kunt u Microsoft Defender for Cloud gebruiken om de status van de antimalwareoplossing te detecteren en te beoordelen.
Opmerking: Microsoft Defender Cloud ondersteunt ook bepaalde eindpuntbeveiligingsproducten van derden voor de detectie- en statusbeoordeling.
AWS-implementatie en aanvullende context:
- GuardDuty EC2-bevinding
- Microsoft Defender ondersteunde oplossingen voor eindpuntbeveiliging
- Aanbevelingen voor eindpuntbeveiliging in Microsoft Defender for Clouds
GCP-richtlijnen: onboard uw GCP-projecten in Microsoft Defender for Cloud om Microsoft Defender for Cloud in staat te stellen automatisch het gebruik van populaire antimalwareoplossingen voor virtuele-machine-exemplaren te identificeren waarvoor Azure Arc is geconfigureerd, de status van eindpuntbeveiliging te rapporteren en aanbevelingen te doen.
Implementeer Microsoft Defender Antivirus. Dit is de standaard antimalwareoplossing voor Windows Server 2016 en hoger. Voor exemplaren van virtuele machines met Windows Server 2012 R2 gebruikt u Microsoft Antimalware extensie om SCEP (System Center Endpoint Protection) in te schakelen. Voor exemplaren van virtuele machines met Linux gebruikt u Microsoft Defender voor Eindpunt op Linux voor de eindpuntbeveiligingsfunctie.
Voor zowel Windows als Linux kunt u Microsoft Defender for Cloud gebruiken om de status van de antimalwareoplossing te detecteren en te beoordelen.
Opmerking: Microsoft Defender Cloud ondersteunt ook bepaalde eindpuntbeveiligingsproducten van derden voor de detectie- en statusbeoordeling.
GCP-implementatie en aanvullende context:
- Microsoft Defender ondersteunde oplossingen voor eindpuntbeveiliging:
- Aanbevelingen voor eindpuntbeveiliging in Microsoft Defender for Clouds:
Belanghebbenden bij de beveiliging van klanten (meer informatie):
- Infrastructuur- en eindpuntbeveiliging
- Bedreigingsinformatie
- Beveiligingsnalevingsbeheer
- Postuurbeheer
ES-3: Zorg ervoor dat antimalwaresoftware en -handtekeningen zijn bijgewerkt
| CIS Controls v8 ID('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 10,2 | SI-2, SI-3 | 5.2 |
Beveiligingsprincipe: zorg ervoor dat antimalwarehandtekeningen snel en consistent worden bijgewerkt voor de antimalwareoplossing.
Azure-richtlijnen: volg de aanbevelingen in Microsoft Defender voor Cloud om alle eindpunten up-to-date te houden met de nieuwste handtekeningen. Microsoft Antimalware (voor Windows) en Microsoft Defender voor Eindpunt (voor Linux) worden standaard automatisch de meest recente handtekeningen en engine-updates geïnstalleerd.
Voor oplossingen van derden moet u ervoor zorgen dat de handtekeningen zijn bijgewerkt in de antimalwareoplossing van derden.
Azure-implementatie en aanvullende context:
- Microsoft Antimalware implementeren voor Cloud Services en virtuele machines
- Evaluatie van eindpuntbeveiliging en aanbevelingen in Microsoft Defender for Cloud
AWS-richtlijnen: nu uw AWS-account is toegevoegd aan Microsoft Defender for Cloud, volgt u de aanbevelingen in Microsoft Defender voor Cloud om alle eindpunten up-to-date te houden met de nieuwste handtekeningen. Microsoft Antimalware (voor Windows) en Microsoft Defender voor Eindpunt (voor Linux) worden standaard automatisch de meest recente handtekeningen en engine-updates geïnstalleerd.
Voor oplossingen van derden moet u ervoor zorgen dat de handtekeningen zijn bijgewerkt in de antimalwareoplossing van derden.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: volg de aanbevelingen in Microsoft Defender for Cloud terwijl uw GCP-projecten zijn toegevoegd aan Microsoft Defender for Cloud om alle EDR-oplossingen up-to-date te houden met de nieuwste handtekeningen. Microsoft Antimalware (voor Windows) en Microsoft Defender voor Eindpunt (voor Linux) worden standaard automatisch de meest recente handtekeningen en engine-updates geïnstalleerd.
Voor oplossingen van derden moet u ervoor zorgen dat de handtekeningen zijn bijgewerkt in de antimalwareoplossing van derden.
GCP-implementatie en aanvullende context:
Belanghebbenden bij de beveiliging van klanten (meer informatie)::