Integracje infrastruktury

Infrastruktura obejmuje sprzęt, oprogramowanie, mikrousługę, infrastrukturę sieciową i obiekty wymagane do obsługi usług IT w organizacji. Rozwiązania infrastruktury Zero Trust oceniają, monitorują i uniemożliwiają zagrożenia bezpieczeństwa tym usługom.

Rozwiązania infrastruktury Zero Trust obsługują zasady zerowego zaufania, zapewniając, że dostęp do zasobów infrastruktury jest weryfikowany jawnie, dostęp jest udzielany przy użyciu zasad najmniej uprzywilejowanego dostępu, a mechanizmy są stosowane, które zakładają naruszenie i szukają i korygują zagrożenia bezpieczeństwa w infrastrukturze.

Te wskazówki dotyczą dostawców oprogramowania i partnerów technologicznych, którzy chcą ulepszyć swoje rozwiązania w zakresie zabezpieczeń infrastruktury dzięki integracji z produktami firmy Microsoft.

Integracja z usługą Zero Trust dla infrastruktury — przewodnik

Ten przewodnik integracji zawiera strategię i instrukcje dotyczące integracji z usługą Microsoft Defender for Cloud oraz zintegrowaną platformą ochrony obciążeń w chmurze (CWPP), usługą Microsoft Defender for Cloud.

Wskazówki obejmują integrację z najpopularniejszymi rozwiązaniami do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), automatyczną reakcją orkiestracji zabezpieczeń (SOAR), wykrywaniem i reagowaniem na punkty końcowe (EDR) oraz rozwiązaniami do zarządzania usługami IT (ITSM).

Zero Trust i Defender for Cloud

Nasze wskazówki dotyczące wdrażania infrastruktury Zero Trust zawierają kluczowe etapy strategii Zero Trust dla infrastruktury. Są to:

  1. Ocena zgodności z wybranymi standardami i zasadami
  2. Wzmacnianie konfiguracji wszędzie tam, gdzie znaleziono luki
  3. Stosowanie innych narzędzi do wzmacniania zabezpieczeń, takich jak dostęp just in time (JIT) do maszyny wirtualnej
  4. Konfigurowanie wykrywania zagrożeń i ochrony
  5. Automatycznie blokuj i flaguj ryzykowne zachowanie i podejmuj działania ochronne

Istnieje jasne mapowanie celów opisanych w wytycznych dotyczących wdrażania infrastruktury do podstawowych aspektów usługi Defender for Cloud.

Cel zero trustu Funkcja defender for Cloud
Ocena zgodności W usłudze Defender for Cloud każda subskrypcja automatycznie ma przypisaną inicjatywę zabezpieczeń testu porównawczego zabezpieczeń platformy Azure.
Korzystając z narzędzi do oceny bezpieczeństwa i pulpitu nawigacyjnego zgodności z przepisami , możesz uzyskać szczegółowe informacje na temat stanu zabezpieczeń klienta.
Konfiguracja wzmacniania zabezpieczeń Przypisywanie inicjatyw zabezpieczeń do subskrypcji i przeglądanie wskaźnika bezpieczeństwa prowadzi do zaleceń dotyczących wzmacniania zabezpieczeń wbudowanych w usługę Defender for Cloud. Usługa Defender for Cloud okresowo analizuje stan zgodności zasobów, aby zidentyfikować potencjalne błędy i słabe konfiguracje zabezpieczeń. Następnie zawiera zalecenia dotyczące rozwiązywania tych problemów.
Stosowanie mechanizmów wzmacniania zabezpieczeń Oprócz jednorazowych poprawek błędów konfiguracji zabezpieczeń usługa Defender for Cloud oferuje narzędzia zapewniające ciągłe wzmacnianie zabezpieczeń, takie jak:
Dostęp just in time (JIT) do maszyny wirtualnej
Adaptacyjne wzmocnienie zabezpieczeń sieci
Funkcje adaptacyjnego sterowania aplikacjami.
Konfigurowanie wykrywania zagrożeń Usługa Defender for Cloud oferuje zintegrowaną platformę ochrony obciążeń w chmurze (CWPP), Microsoft Defender for Cloud.
Usługa Microsoft Defender for Cloud zapewnia zaawansowaną, inteligentną ochronę platformy Azure oraz hybrydowe zasoby i obciążenia.
Jeden z planów usługi Microsoft Defender, usługa Microsoft Defender dla serwerów, obejmuje natywną integrację z usługą Microsoft Defender dla punktu końcowego.
Dowiedz się więcej w artykule Introduction to Microsoft Defender for Cloud (Wprowadzenie do usługi Microsoft Defender dla Chmury).
Automatyczne blokowanie podejrzanego zachowania Wiele zaleceń dotyczących wzmacniania zabezpieczeń w usłudze Defender for Cloud oferuje opcję odmowy . Ta funkcja umożliwia zapobieganie tworzeniu zasobów, które nie spełniają zdefiniowanych kryteriów wzmacniania zabezpieczeń. Dowiedz się więcej w artykule Zapobieganie błędom konfiguracji za pomocą zaleceń wymuszania/odmowy.
Automatycznie flaguj podejrzane zachowanie Alerty zabezpieczeń usługi Microsoft Defender for Cloud są wyzwalane przez zaawansowane wykrywanie. Usługa Defender for Cloud określa priorytety i wyświetla alerty wraz z informacjami potrzebnymi do szybkiego zbadania problemu. Usługa Defender for Cloud udostępnia również szczegółowe kroki ułatwiające korygowanie ataków. Aby uzyskać pełną listę dostępnych alertów, zobacz Alerty zabezpieczeń — przewodnik referencyjny.

Ochrona usług PaaS platformy Azure za pomocą usługi Defender for Cloud

Po włączeniu usługi Defender for Cloud w ramach subskrypcji i włączeniu usługi Microsoft Defender for Cloud dla wszystkich dostępnych typów zasobów będziesz mieć warstwę inteligentnej ochrony przed zagrożeniami — obsługiwaną przez funkcję Microsoft Threat Intelligence — chroniąc zasoby w usłudze Azure Key Vault, Azure Storage, Azure DNS i innych usługach Azure PaaS. Aby uzyskać pełną listę, zobacz Jakie typy zasobów mogą zabezpieczyć usługę Microsoft Defender for Cloud?

Azure Logic Apps

Usługa Azure Logic Apps umożliwia tworzenie zautomatyzowanych skalowalnych przepływów pracy, procesów biznesowych i aranżacji przedsiębiorstwa w celu zintegrowania aplikacji i danych między usługami w chmurze i systemami lokalnymi.

Funkcja automatyzacji przepływu pracy usługi Defender for Cloud umożliwia automatyzowanie odpowiedzi na wyzwalacze usługi Defender for Cloud.

Jest to doskonały sposób definiowania i reagowania w zautomatyzowany, spójny sposób po wykryciu zagrożeń. Na przykład, aby powiadomić odpowiednich uczestników projektu, uruchomić proces zarządzania zmianami i zastosować określone kroki korygowania po wykryciu zagrożenia.

Integrowanie usługi Defender for Cloud z rozwiązaniami SIEM, SOAR i ITSM

Usługa Microsoft Defender dla Chmury może przesyłać strumieniowo alerty zabezpieczeń do najpopularniejszych rozwiązań do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), automatycznego reagowania na orkiestrację zabezpieczeń (SOAR) i zarządzania usługami IT (ITSM).

Istnieją narzędzia natywne dla platformy Azure umożliwiające wyświetlanie danych alertów we wszystkich najpopularniejszych rozwiązaniach używanych obecnie, w tym:

  • Microsoft Sentinel
  • Splunk Enterprise and Splunk Cloud
  • QRadar firmy IBM
  • ServiceNow
  • ArcSight
  • Power BI
  • Palo Alto Networks

Microsoft Sentinel

Usługa Defender for Cloud natywnie integruje się z usługą Microsoft Sentinel, natywną dla chmury, funkcją zarządzania zdarzeniami zabezpieczeń (SIEM) i rozwiązaniem SOAR (Security Orchestration Automated Response).

Istnieją dwa podejścia do zapewnienia, że dane usługi Defender for Cloud są reprezentowane w usłudze Microsoft Sentinel:

Przesyłanie strumieniowe alertów za pomocą interfejsu MICROSOFT Graph Security API

Usługa Defender for Cloud ma wbudowaną integrację z interfejsem Microsoft Graph Security API. Nie jest wymagana żadna konfiguracja i nie ma żadnych dodatkowych kosztów.

Za pomocą tego interfejsu API można przesyłać strumieniowo alerty z całej dzierżawy (i dane z wielu innych produktów zabezpieczeń firmy Microsoft) do rozwiązań SIEM innych firm i innych popularnych platform:

Dowiedz się więcej o interfejsie Microsoft Graph Security API.

Przesyłanie strumieniowe alertów za pomocą usługi Azure Monitor

Użyj funkcji ciągłego eksportu usługi Defender for Cloud, aby połączyć usługę Defender for Cloud z usługą Azure Monitor za pośrednictwem usługi Azure Event Hubs i przesyłać strumieniowo alerty do usług ArcSight, SumoLogic, serwerów syslog, LogRhythm, Logz.io Cloud Observability Platform i innych rozwiązań do monitorowania.

Dowiedz się więcej w artykule Stream alerts with Azure Monitor (Alerty usługi Stream za pomocą usługi Azure Monitor).

Można to również zrobić na poziomie grupy zarządzania przy użyciu usługi Azure Policy. Zobacz Tworzenie konfiguracji automatyzacji eksportu ciągłego na dużą skalę.

Porada

Aby wyświetlić schematy zdarzeń wyeksportowanych typów danych, odwiedź stronę Schematy zdarzeń centrum zdarzeń.

Integrowanie usługi Defender for Cloud z rozwiązaniem do wykrywania i reagowania na punkty końcowe (EDR)

Usługa Microsoft Defender dla punktu końcowego

Usługa Microsoft Defender dla punktu końcowego to całościowe, dostarczane przez chmurę rozwiązanie zabezpieczeń punktów końcowych.

Zintegrowana funkcja CWPP usługi Defender for Cloud dla maszyn, usługa Microsoft Defender dla serwerów, obejmuje zintegrowaną licencję dla usługi Microsoft Defender dla punktu końcowego. Razem zapewniają kompleksowe możliwości wykrywania i reagowania na punkty końcowe (EDR). Aby uzyskać więcej informacji, zobacz Ochrona punktów końcowych.

Gdy usługa Defender for Endpoint wykryje zagrożenie, wyzwala alert. Alert jest wyświetlany w usłudze Defender for Cloud. W usłudze Defender for Cloud możesz również przechylić się do konsoli usługi Defender for Endpoint i przeprowadzić szczegółowe badanie, aby odkryć zakres ataku. Dowiedz się więcej o usłudze Microsoft Defender dla punktu końcowego.

Inne rozwiązania EDR

Usługa Defender for Cloud udostępnia zalecenia dotyczące wzmacniania zabezpieczeń, aby upewnić się, że zabezpieczasz zasoby organizacji zgodnie ze wskazówkami dotyczącymi testu porównawczego zabezpieczeń platformy Azure. Jedna z kontrolek w teściu porównawczym odnosi się do zabezpieczeń punktów końcowych: ES-1: Używanie wykrywania i reagowania punktu końcowego (EDR).

Istnieją dwie rekomendacje w usłudze Defender for Cloud, aby upewnić się, że włączono ochronę punktu końcowego i działa prawidłowo. Te zalecenia sprawdzają obecność i kondycję operacyjną rozwiązań EDR:

  • Trend Micro
  • Symantec
  • Mcafee
  • Sophos

Dowiedz się więcej w temacie Ocena i zalecenia dotyczące ochrony punktu końcowego w usłudze Microsoft Defender for Cloud.

Stosowanie strategii Zero Trust do scenariuszy hybrydowych i wielochmurowych

W przypadku obciążeń w chmurze obejmujących często wiele platform w chmurze usługi zabezpieczeń w chmurze muszą wykonywać te same czynności.

Usługa Microsoft Defender for Cloud chroni obciążenia wszędzie tam, gdzie są uruchomione: na platformie Azure, lokalnie, w usługach Amazon Web Services (AWS) lub Google Cloud Platform (GCP).

Integrowanie usługi Defender for Cloud z maszynami lokalnymi

Aby zabezpieczyć obciążenia chmury hybrydowej, możesz rozszerzyć ochronę usługi Defender for Cloud, łącząc maszyny lokalne z serwerami z obsługą usługi Azure Arc.

Dowiedz się, jak łączyć maszyny w temacie Łączenie maszyn spoza platformy Azure z usługą Defender for Cloud.

Integrowanie usługi Defender for Cloud z innymi środowiskami chmury

Aby wyświetlić stan zabezpieczeń maszyn usługi Amazon Web Services w usłudze Defender for Cloud, dołącz konta platformy AWS do usługi Defender for Cloud. Spowoduje to integrację usług AWS Security Hub i Microsoft Defender for Cloud w celu uzyskania ujednoliconego widoku zaleceń usługi Defender for Cloud i ustaleń usługi AWS Security Hub oraz zapewnienia szeregu korzyści opisanych w temacie Łączenie kont platformy AWS z usługą Microsoft Defender for Cloud.

Aby wyświetlić stan zabezpieczeń maszyn google Cloud Platform w usłudze Defender for Cloud, dołącz konta GCP do usługi Defender for Cloud. Spowoduje to integrację poleceń GCP Security i usługi Microsoft Defender for Cloud w celu uzyskania ujednoliconego widoku zaleceń usługi Defender for Cloud i ustaleń usługi GCP Security Command Center i zapewnienia szeregu korzyści opisanych w temacie Łączenie kont GCP z usługą Microsoft Defender for Cloud.

Następne kroki

Aby dowiedzieć się więcej o usłudze Microsoft Defender for Cloud i usłudze Microsoft Defender for Cloud, zobacz pełną dokumentację usługi Defender for Cloud.