Integrowanie Microsoft Defender dla Chmury z rozwiązaniem Azure VMware

  • Artykuł

Microsoft Defender dla Chmury zapewnia zaawansowaną ochronę przed zagrożeniami w rozwiązaniu Azure VMware Solution i lokalnych maszynach wirtualnych. Ocenia lukę w zabezpieczeniach maszyn wirtualnych usługi Azure VMware Solution i zgłasza alerty zgodnie z potrzebami. Te alerty zabezpieczeń można przekazywać do usługi Azure Monitor w celu rozwiązania problemu. Zasady zabezpieczeń można zdefiniować w Microsoft Defender dla Chmury. Aby uzyskać więcej informacji, zobacz Praca z zasadami zabezpieczeń.

Microsoft Defender dla Chmury oferuje wiele funkcji, w tym:

  • Monitorowanie integralności plików
  • Wykrywanie ataków bez plików
  • Ocena poprawek systemu operacyjnego
  • Ocena błędów konfiguracji zabezpieczeń
  • Ocena programu Endpoint Protection

Na diagramie przedstawiono zintegrowaną architekturę monitorowania zintegrowanego zabezpieczeń dla maszyn wirtualnych usługi Azure VMware Solution.

Diagram przedstawiający architekturę zabezpieczeń zintegrowanych platformy Azure.

Agent usługi Log Analytics zbiera dane dziennika z platformy Azure, rozwiązania Azure VMware Solution i lokalnych maszyn wirtualnych. Dane dziennika są wysyłane do dzienników usługi Azure Monitor i przechowywane w obszarze roboczym usługi Log Analytics. Każdy obszar roboczy ma własne repozytorium danych i konfigurację do przechowywania danych. Po zebraniu dzienników Microsoft Defender dla Chmury oceni stan luk w zabezpieczeniach maszyn wirtualnych usługi Azure VMware Solution i zgłasza alert dotyczący wszelkich krytycznych luk w zabezpieczeniach. Po dokonaniu oceny Microsoft Defender dla Chmury przekazuje stan luki w zabezpieczeniach do usługi Microsoft Sentinel, aby utworzyć zdarzenie i mapować je na inne zagrożenia. Microsoft Defender dla Chmury jest połączony z usługą Microsoft Sentinel przy użyciu Microsoft Defender dla Chmury Połączenie or.

Wymagania wstępne

Dodawanie maszyn wirtualnych usługi Azure VMware Solution do Defender dla Chmury

  1. W witrynie Azure Portal wyszukaj usługę Azure Arc i wybierz ją.

  2. W obszarze Zasoby wybierz pozycję Serwery , a następnie pozycję +Dodaj.

    Zrzut ekranu przedstawiający stronę Serwerów usługi Azure Arc na potrzeby dodawania maszyny wirtualnej usługi Azure VMware Solution na platformę Azure.

  3. Wybierz pozycję Generuj skrypt.

    Zrzut ekranu przedstawiający stronę usługi Azure Arc z opcją dodawania serwera przy użyciu skryptu interaktywnego.

  4. Na karcie Wymagania wstępne wybierz pozycję Dalej.

  5. Na karcie Szczegóły zasobu wypełnij następujące szczegóły, a następnie wybierz pozycję Dalej. Tagi:

    • Subskrypcja
    • Grupa zasobów
    • Region (Region)
    • System operacyjny
    • Szczegóły serwera proxy

  6. Na karcie Tagi wybierz pozycję Dalej.

  7. Na karcie Pobierz i uruchom skrypt wybierz pozycję Pobierz.

  8. Określ system operacyjny i uruchom skrypt na maszynie wirtualnej usługi Azure VMware Solution.

Wyświetlanie zaleceń i przeszłych ocen

Rekomendacje i oceny zapewniają szczegółowe informacje o kondycji zabezpieczeń zasobu.

  1. W Microsoft Defender dla Chmury wybierz pozycję Spis w okienku po lewej stronie.

  2. W polu Typ zasobu wybierz pozycję Serwery — Azure Arc.

    Zrzut ekranu przedstawiający stronę spisu Microsoft Defender dla Chmury z serwerami — Azure Arc wybraną w obszarze Typ zasobu.

  3. Wybierz nazwę zasobu. Zostanie otwarta strona przedstawiająca szczegóły kondycji zabezpieczeń zasobu.

  4. W obszarze Lista zaleceń wybierz karty Rekomendacje, Oceny z powodzeniem i Niedostępne, aby wyświetlić te szczegóły.

    Zrzut ekranu przedstawiający zalecenia i oceny dotyczące zabezpieczeń Microsoft Defender dla Chmury.

Wdrażanie obszaru roboczego usługi Microsoft Sentinel

Usługa Microsoft Sentinel zapewnia analizę zabezpieczeń, wykrywanie alertów i automatyczną odpowiedź na zagrożenia w środowisku. Jest to natywne dla chmury rozwiązanie do zarządzania zdarzeniami zabezpieczeń (SIEM) oparte na obszarze roboczym usługi Log Analytics.

Ponieważ usługa Microsoft Sentinel jest oparta na obszarze roboczym usługi Log Analytics, wystarczy wybrać obszar roboczy, którego chcesz użyć.

  1. W witrynie Azure Portal wyszukaj pozycję Microsoft Sentinel i wybierz ją.

  2. Na stronie Obszary robocze usługi Microsoft Sentinel wybierz pozycję +Dodaj.

  3. Wybierz obszar roboczy usługi Log Analytics i wybierz pozycję Dodaj.

Włączanie modułu zbierającego dane dla zdarzeń zabezpieczeń

  1. Na stronie Obszary robocze usługi Microsoft Sentinel wybierz skonfigurowany obszar roboczy.

  2. W obszarze Konfiguracja wybierz pozycję Łączniki danych.

  3. W kolumnie nazwa Połączenie or wybierz pozycję Zdarzenia zabezpieczeń z listy, a następnie wybierz pozycję Otwórz stronę łącznika.

  4. Na stronie łącznika wybierz zdarzenia, które chcesz przesłać strumieniowo, a następnie wybierz pozycję Zastosuj zmiany.

    Zrzut ekranu przedstawiający stronę Zdarzenia zabezpieczeń w usłudze Microsoft Sentinel, na której można wybrać zdarzenia do przesyłania strumieniowego.

Połączenie microsoft Sentinel z Microsoft Defender dla Chmury

  1. Na stronie obszaru roboczego usługi Microsoft Sentinel wybierz skonfigurowany obszar roboczy.

  2. W obszarze Konfiguracja wybierz pozycję Łączniki danych.

  3. Wybierz pozycję Microsoft Defender dla Chmury z listy, a następnie wybierz pozycję Otwórz stronę łącznika.

    Zrzut ekranu przedstawiający stronę Łączniki danych w usłudze Microsoft Sentinel z wyborem umożliwiającym połączenie Microsoft Defender dla Chmury z usługą Microsoft Sentinel.

  4. Wybierz Połączenie, aby połączyć Microsoft Defender dla Chmury z usługą Microsoft Sentinel.

  5. Włącz opcję Utwórz zdarzenie, aby wygenerować zdarzenie dla Microsoft Defender dla Chmury.

Tworzenie reguł w celu identyfikowania zagrożeń bezpieczeństwa

Po połączeniu źródeł danych z usługą Microsoft Sentinel można utworzyć reguły generowania alertów dla wykrytych zagrożeń. W poniższym przykładzie utworzymy regułę dla prób zalogowania się na serwerze z systemem Windows przy użyciu nieprawidłowego hasła.

  1. Na stronie przeglądu usługi Microsoft Sentinel w obszarze Konfiguracje wybierz pozycję Analiza.

  2. W obszarze Konfiguracje wybierz pozycję Analiza.

  3. Wybierz pozycję +Utwórz i na liście rozwijanej wybierz pozycję Zaplanowana reguła zapytania.

  4. Na karcie Ogólne wprowadź wymagane informacje, a następnie wybierz pozycję Dalej: Ustaw logikę reguły.

    • Nazwa/nazwisko
    • opis
    • Taktyka
    • Ważność
    • Stan

  5. Na karcie Ustaw logikę reguły wprowadź wymagane informacje, a następnie wybierz pozycję Dalej.

    • Zapytanie reguły (tutaj przedstawiające nasze przykładowe zapytanie)

      SecurityEvent
|where Activity startswith '4625'
|summarize count () by IpAddress,Computer
|where count_ > 3

    • Mapowanie jednostek

    • Planowanie zapytań

    • Próg alertu

    • Grupowanie zdarzeń

    • Pomijanie

  6. Na karcie Ustawienia zdarzenia włącz opcję Utwórz zdarzenia z alertów wyzwalanych przez tę regułę analizy i wybierz pozycję Dalej: Automatyczna odpowiedź.

    Zrzut ekranu przedstawiający kreatora reguł analitycznych na potrzeby tworzenia nowej reguły w usłudze Microsoft Sentinel.

  7. Wybierz pozycję Dalej: Przejrzyj.

  8. Na karcie Przeglądanie i tworzenie przejrzyj informacje i wybierz pozycję Utwórz.

Napiwek

Po trzeciej próbie zalogowania się do systemu Windows Server utworzona reguła wyzwala zdarzenie dla każdej nieudanej próby.

Wyświetlanie alertów

Wygenerowane zdarzenia można wyświetlić w usłudze Microsoft Sentinel. Możesz również przypisać zdarzenia i zamknąć je po ich rozwiązaniu— wszystko z poziomu usługi Microsoft Sentinel.

  1. Przejdź do strony przeglądu usługi Microsoft Sentinel.

  2. W obszarze Zarządzanie zagrożeniami wybierz pozycję Incydenty.

  3. Wybierz zdarzenie, a następnie przypisz je do zespołu w celu rozwiązania problemu.

    Zrzut ekranu przedstawiający stronę Zdarzenia w usłudze Microsoft Sentinel z wybraną opcją i opcją przypisania zdarzenia na potrzeby rozwiązania problemu.

Napiwek

Po rozwiązaniu problemu możesz go zamknąć.

Wyszukiwanie zagrożeń bezpieczeństwa za pomocą zapytań

Zapytania można tworzyć lub używać dostępnego wstępnie zdefiniowanego zapytania w usłudze Microsoft Sentinel, aby zidentyfikować zagrożenia w danym środowisku. Poniższe kroki umożliwiają uruchomienie wstępnie zdefiniowanego zapytania.

  1. Na stronie przeglądu usługi Microsoft Sentinel w obszarze Zarządzanie zagrożeniami wybierz pozycję Wyszukiwanie zagrożeń. Zostanie wyświetlona lista wstępnie zdefiniowanych zapytań.

    Napiwek

    Możesz również utworzyć nowe zapytanie, wybierając pozycję Nowe zapytanie.

    Zrzut ekranu przedstawiający stronę wyszukiwania zagrożeń w usłudze Microsoft Sentinel z wyróżnioną pozycją + Nowe zapytanie.

  2. Wybierz zapytanie, a następnie wybierz pozycję Uruchom zapytanie.

  3. Wybierz pozycję Wyświetl wyniki , aby sprawdzić wyniki.

Następne kroki

Teraz, gdy omówiono sposób ochrony maszyn wirtualnych usługi Azure VMware Solution, możesz dowiedzieć się więcej o następujących tematach: