Kontrola zabezpieczeń: zabezpieczenia punktu końcowego
Zabezpieczenia punktu końcowego obejmują mechanizmy wykrywania i reagowania na punkty końcowe, w tym korzystanie z wykrywania i reagowania na punkty końcowe w środowiskach chmury oraz usługi ochrony przed złośliwym oprogramowaniem.
ES-1: Używanie wykrywania i reagowania punktów końcowych (EDR)
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 13,7 | SC-3, SI-2, SI-3, SI-16 | 11.5 |
Zasada zabezpieczeń: Włącz funkcje wykrywania i reagowania na punkty końcowe (EDR) dla maszyn wirtualnych i integrują się z procesami SIEM i operacjami zabezpieczeń.
Wskazówki dotyczące platformy Azure: Microsoft Defender dla serwerów (ze zintegrowanym Ochrona punktu końcowego w usłudze Microsoft Defender) zapewnia możliwość EDR zapobiegania zaawansowanym zagrożeniom, wykrywania, badania i reagowania na nie.
Użyj Microsoft Defender for Cloud, aby wdrożyć Microsoft Defender dla serwerów w punktach końcowych i zintegrować alerty z rozwiązaniem SIEM, takim jak Microsoft Sentinel.
Implementacja platformy Azure i dodatkowy kontekst:
- Wprowadzenie do usługi Azure Defender dla serwerów
- omówienie Ochrona punktu końcowego w usłudze Microsoft Defender
- Microsoft Defender pokrycie funkcji w chmurze dla maszyn
- Łącznik dla integracji z usługą Defender for Servers w usłudze SIEM
Wskazówki dotyczące platformy AWS: dołączanie konta platformy AWS do Microsoft Defender dla chmury i wdrażanie Microsoft Defender dla serwerów (z Ochrona punktu końcowego w usłudze Microsoft Defender zintegrowane) w wystąpieniach usługi EC2 w celu zapewnienia możliwości EDR zapobiegania, wykrywania, badania i reagowania na zaawansowane zagrożenia.
Alternatywnie możesz użyć zintegrowanej funkcji analizy zagrożeń usługi Amazon GuardDuty, aby monitorować i chronić wystąpienia usługi EC2. Amazon GuardDuty może wykrywać nietypowe działania, takie jak działanie wskazujące naruszenie zabezpieczeń wystąpienia, takie jak wyszukiwanie kryptowalut, złośliwe oprogramowanie przy użyciu algorytmów generowania domen (DGA), odmowę ruchu wychodzącego usługi, niezwykle dużą liczbę ruchu sieciowego, nietypowe protokoły sieciowe, komunikację wystąpienia wychodzącego ze znanym złośliwym adresem IP, tymczasowe poświadczenia amazon EC2 używane przez zewnętrzny adres IP i eksfiltrację danych przy użyciu systemu DNS.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: dołącz projekt GCP do Microsoft Defender for Cloud i wdróż Microsoft Defender dla serwerów (z Ochrona punktu końcowego w usłudze Microsoft Defender zintegrowane) na wystąpieniach maszyn wirtualnych w celu zapewnienia możliwości EDR zapobiegania, wykrywania, badania i reagowania na zaawansowane zagrożenia.
Alternatywnie użyj usługi Security Command Center firmy Google do zintegrowanej analizy zagrożeń, aby monitorować i chronić wystąpienia maszyn wirtualnych. Usługa Security Command Center może wykrywać nietypowe działania, takie jak potencjalnie wycieki poświadczeń, wyszukiwanie kryptowalut, potencjalnie złośliwe aplikacje, złośliwe działanie sieci i nie tylko.
Implementacja GCP i dodatkowy kontekst:
- Ochrona punktów końcowych za pomocą zintegrowanego rozwiązania EDR usługi Defender for Cloud:
- Omówienie usługi Security Command Center:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zabezpieczenia infrastruktury i punktu końcowego
- Analiza zagrożeń
- Zarządzanie zgodnością zabezpieczeń
- Zarządzanie stanem bezpieczeństwa
ES-2: Korzystanie z nowoczesnego oprogramowania chroniącego przed złośliwym oprogramowaniem
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 10.1 | SC-3, SI-2, SI-3, SI-16 | 5,1 |
Zasada zabezpieczeń: używaj rozwiązań chroniących przed złośliwym oprogramowaniem (nazywanych również ochroną punktu końcowego) umożliwiających ochronę w czasie rzeczywistym i okresowe skanowanie.
Wskazówki dotyczące platformy Azure: Microsoft Defender for Cloud może automatycznie identyfikować użycie wielu popularnych rozwiązań chroniących przed złośliwym oprogramowaniem dla maszyn wirtualnych i maszyn lokalnych ze skonfigurowaną usługą Azure Arc oraz zgłaszać stan działania ochrony punktu końcowego i przedstawiać zalecenia.
Microsoft Defender Antivirus to domyślne rozwiązanie chroniące przed złośliwym oprogramowaniem dla systemu Windows Server 2016 lub nowszego. W przypadku systemu Windows Server 2012 R2 użyj rozszerzenia Microsoft Antimalware, aby włączyć protokół SCEP (System Center Endpoint Protection). W przypadku maszyn wirtualnych z systemem Linux użyj Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux na potrzeby funkcji ochrony punktu końcowego.
W przypadku systemów Windows i Linux można użyć Microsoft Defender for Cloud do odnajdywania i oceniania stanu kondycji rozwiązania chroniącego przed złośliwym oprogramowaniem.
Uwaga: możesz również użyć Microsoft Defender dla usługi Defender for Storage w chmurze do wykrywania złośliwego oprogramowania przekazanego na konta usługi Azure Storage.
Implementacja platformy Azure i dodatkowy kontekst:
- Obsługiwane rozwiązania ochrony punktów końcowych
- Jak skonfigurować Microsoft Antimalware dla maszyn wirtualnych i Cloud Services
Wskazówki dotyczące platformy AWS: dołącz konto platformy AWS do Microsoft Defender for Cloud, aby umożliwić usłudze Microsoft Defender for Cloud automatyczne identyfikowanie używania niektórych popularnych rozwiązań chroniących przed złośliwym oprogramowaniem dla wystąpień USŁUGI EC2 ze skonfigurowaną usługą Azure Arc i zgłaszanie stanu działania ochrony punktu końcowego oraz zalecenia.
Wdróż program antywirusowy Microsoft Defender, który jest domyślnym rozwiązaniem chroniącym przed złośliwym oprogramowaniem dla systemu Windows Server 2016 lub nowszego. W przypadku wystąpień usługi EC2 z systemem Windows Server 2012 R2 użyj rozszerzenia Microsoft Antimalware, aby włączyć protokół SCEP (System Center Endpoint Protection). W przypadku wystąpień usługi EC2 z systemem Linux użyj Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux na potrzeby funkcji ochrony punktu końcowego.
W przypadku systemów Windows i Linux można użyć Microsoft Defender for Cloud do odnajdywania i oceniania stanu kondycji rozwiązania chroniącego przed złośliwym oprogramowaniem.
Uwaga: Microsoft Defender Cloud obsługuje również niektóre produkty ochrony punktu końcowego innych firm na potrzeby oceny stanu odnajdywania i kondycji.
Implementacja platformy AWS i dodatkowy kontekst:
- Odkrycie guardDuty EC2
- Microsoft Defender obsługiwane rozwiązania ochrony punktu końcowego
- Zalecenia dotyczące ochrony punktów końcowych w usłudze Microsoft Defender for Clouds
Wskazówki dotyczące platformy GCP: Dołącz projekty GCP do Microsoft Defender for Cloud, aby umożliwić usłudze Microsoft Defender for Cloud automatyczne identyfikowanie korzystania z popularnych rozwiązań chroniących przed złośliwym oprogramowaniem dla wystąpień maszyn wirtualnych ze skonfigurowaną usługą Azure Arc i zgłaszanie stanu ochrony punktu końcowego oraz zgłaszanie zaleceń.
Wdróż program antywirusowy Microsoft Defender, który jest domyślnym rozwiązaniem chroniącym przed złośliwym oprogramowaniem dla systemu Windows Server 2016 lub nowszego. W przypadku wystąpień maszyn wirtualnych z systemem Windows Server 2012 R2 użyj rozszerzenia Microsoft Antimalware, aby włączyć protokół SCEP (System Center Endpoint Protection). W przypadku wystąpień maszyn wirtualnych z systemem Linux użyj Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux na potrzeby funkcji ochrony punktu końcowego.
W przypadku systemów Windows i Linux można użyć Microsoft Defender for Cloud do odnajdywania i oceniania stanu kondycji rozwiązania chroniącego przed złośliwym oprogramowaniem.
Uwaga: Microsoft Defender Cloud obsługuje również niektóre produkty ochrony punktu końcowego innych firm na potrzeby oceny stanu odnajdywania i kondycji.
Implementacja GCP i dodatkowy kontekst:
- Microsoft Defender obsługiwane rozwiązania ochrony punktu końcowego:
- Zalecenia dotyczące programu Endpoint Protection w usłudze Microsoft Defender for Clouds:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zabezpieczenia infrastruktury i punktu końcowego
- Analiza zagrożeń
- Zarządzanie zgodnością zabezpieczeń
- Zarządzanie stanem bezpieczeństwa
ES-3: Upewnij się, że oprogramowanie i podpisy chroniące przed złośliwym oprogramowaniem są aktualizowane
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 10,2 | SI-2, SI-3 | 5.2 |
Zasada zabezpieczeń: Upewnij się, że podpisy chroniące przed złośliwym oprogramowaniem są szybko i spójnie aktualizowane dla rozwiązania chroniącego przed złośliwym oprogramowaniem.
Wskazówki dotyczące platformy Azure: postępuj zgodnie z zaleceniami w Microsoft Defender for Cloud, aby zapewnić aktualność wszystkich punktów końcowych przy użyciu najnowszych podpisów. Microsoft Antimalware (dla systemu Windows) i Ochrona punktu końcowego w usłudze Microsoft Defender (dla systemu Linux) automatycznie zainstalują domyślnie najnowsze podpisy i aktualizacje aparatu.
W przypadku rozwiązań innych firm upewnij się, że podpisy są aktualizowane w rozwiązaniu chroniącym przed złośliwym oprogramowaniem innej firmy.
Implementacja platformy Azure i dodatkowy kontekst:
- Jak wdrożyć Microsoft Antimalware dla Cloud Services i maszyny wirtualnej
- Ocena i zalecenia dotyczące ochrony punktu końcowego w usłudze Microsoft Defender for Cloud
Wskazówki dotyczące platformy AWS: Po dołączeniu konta platformy AWS do usługi Microsoft Defender for Cloud postępuj zgodnie z zaleceniami w Microsoft Defender for Cloud, aby zapewnić aktualność wszystkich punktów końcowych przy użyciu najnowszych podpisów. Microsoft Antimalware (dla systemu Windows) i Ochrona punktu końcowego w usłudze Microsoft Defender (dla systemu Linux) automatycznie zainstalują domyślnie najnowsze podpisy i aktualizacje aparatu.
W przypadku rozwiązań innych firm upewnij się, że podpisy są aktualizowane w rozwiązaniu chroniącym przed złośliwym oprogramowaniem innej firmy.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: Po dołączeniu projektów GCP do Microsoft Defender for Cloud postępuj zgodnie z zaleceniami w Microsoft Defender for Cloud, aby zapewnić aktualność wszystkich rozwiązań EDR z najnowszymi podpisami. Microsoft Antimalware (dla systemu Windows) i Ochrona punktu końcowego w usłudze Microsoft Defender (dla systemu Linux) automatycznie zainstalują domyślnie najnowsze podpisy i aktualizacje aparatu.
W przypadku rozwiązań innych firm upewnij się, że podpisy są aktualizowane w rozwiązaniu chroniącym przed złośliwym oprogramowaniem innej firmy.
Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):