Security Control v3: Zabezpieczenia punktu końcowego

  • Artykuł

Zabezpieczenia punktu końcowego obejmują mechanizmy kontroli wykrywania i reagowania punktów końcowych, w tym korzystanie z wykrywania i reagowania na punkty końcowe w środowiskach platformy Azure oraz usługi ochrony przed złośliwym oprogramowaniem.

ES-1: Używanie wykrywania i reagowania punktów końcowych (EDR)

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
13,7 SC-3, SI-2, SI-3, SI-16 11.5

Zasada zabezpieczeń: Włącz możliwości wykrywania i reagowania punktów końcowych (EDR) dla maszyn wirtualnych i integruj je z procesami SIEM i operacjami zabezpieczeń.

Wskazówki dotyczące platformy Azure: Usługa Azure Defender dla serwerów (z zintegrowaną usługą Ochrona punktu końcowego w usłudze Microsoft Defender) zapewnia możliwość EDR zapobiegania zaawansowanym zagrożeniom, wykrywania, badania i reagowania na nie.

Użyj Microsoft Defender for Cloud, aby wdrożyć usługę Azure Defender dla serwerów dla punktu końcowego i zintegrować alerty z rozwiązaniem SIEM, takim jak Usługa Azure Sentinel.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

ES-2: Korzystanie z nowoczesnego oprogramowania chroniącego przed złośliwym oprogramowaniem

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
10.1 SC-3, SI-2, SI-3, SI-16 5,1

Zasada zabezpieczeń: Używaj rozwiązań chroniących przed złośliwym oprogramowaniem, które umożliwiają ochronę w czasie rzeczywistym i okresowe skanowanie.

Wskazówki dotyczące platformy Azure: Microsoft Defender for Cloud może automatycznie identyfikować użycie wielu popularnych rozwiązań chroniących przed złośliwym oprogramowaniem dla maszyn wirtualnych i maszyn lokalnych ze skonfigurowaną usługą Azure Arc oraz zgłaszać stan działania ochrony punktu końcowego i przedstawiać zalecenia.

Microsoft Defender Antivirus to domyślne rozwiązanie chroniące przed złośliwym oprogramowaniem dla systemu Windows Server 2016 lub nowszego. W przypadku systemu Windows Server 2012 R2 użyj rozszerzenia Microsoft Antimalware, aby włączyć protokół SCEP (System Center Endpoint Protection) i Microsoft Defender dla chmury, aby wykryć i ocenić stan kondycji. W przypadku maszyn wirtualnych z systemem Linux użyj Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.

Uwaga: możesz również użyć Microsoft Defender dla usługi Defender for Storage w chmurze do wykrywania złośliwego oprogramowania przekazanego na konta usługi Azure Storage.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

ES-3: Upewnij się, że oprogramowanie i podpisy chroniące przed złośliwym oprogramowaniem są aktualizowane

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
10,2 SI-2, SI-3 5.2

Zasada zabezpieczeń: Upewnij się, że sygnatury ochrony przed złośliwym oprogramowaniem są szybko i spójnie aktualizowane w celu rozwiązania chroniącego przed złośliwym oprogramowaniem.

Wskazówki dotyczące platformy Azure: Postępuj zgodnie z zaleceniami w Microsoft Defender for Cloud: "Compute & Apps", aby zapewnić aktualność wszystkich punktów końcowych przy użyciu najnowszych podpisów. Microsoft Antimalware automatycznie zainstaluje domyślnie najnowsze podpisy i aktualizacje aparatu. W przypadku systemu Linux upewnij się, że podpisy są aktualizowane w rozwiązaniu chroniącym przed złośliwym oprogramowaniem innej firmy.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):