Integracje infrastruktury
Infrastruktura obejmuje sprzęt, oprogramowanie, mikrousługę, infrastrukturę sieciową i obiekty wymagane do obsługi usług IT dla organizacji. Rozwiązania infrastruktury Zero Trust oceniają, monitorują i uniemożliwiają zagrożenia bezpieczeństwa tym usługom.
Rozwiązania infrastruktury Zero Trust obsługują zasady zero trust, zapewniając, że dostęp do zasobów infrastruktury jest weryfikowany jawnie, dostęp jest udzielany przy użyciu zasad dostępu najmniejszego uprawnień, a mechanizmy są w mocy, które zakładają naruszenie i szukają i korygują zagrożenia bezpieczeństwa w infrastrukturze.
Te wskazówki dotyczą dostawców oprogramowania i partnerów technologicznych, którzy chcą ulepszyć swoje rozwiązania w zakresie zabezpieczeń infrastruktury dzięki integracji z produktami firmy Microsoft.
Integracja z usługą Zero Trust dla infrastruktury — przewodnik
Ten przewodnik integracji zawiera strategię i instrukcje dotyczące integracji z programem Microsoft Defender dla Chmury i zintegrowanymi planami ochrony obciążeń w chmurze, usługą Microsoft Defender for ... (serwery, kontenery, bazy danych, magazyn, usługi App Services i inne).
Wskazówki obejmują integrację z najpopularniejszymi rozwiązaniami do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), automatyczną reakcją orkiestracji zabezpieczeń (SOAR), wykrywaniem i reagowaniem na punkty końcowe (EDR) oraz rozwiązaniami do zarządzania usługami IT (ITSM).
Zero Trust i Defender dla Chmury
Nasze wskazówki dotyczące wdrażania infrastruktury Zero Trust zawierają kluczowe etapy strategii Zero Trust dla infrastruktury. Są to:
- Ocena zgodności z wybranymi standardami i zasadami
- Wzmacnianie zabezpieczeń konfiguracji wszędzie tam, gdzie znaleziono luki
- Stosowanie innych narzędzi do wzmacniania zabezpieczeń, takich jak dostęp do maszyny wirtualnej just in time (JIT)
- Konfigurowanie wykrywania zagrożeń i ochrony
- Automatyczne blokowanie i flagi ryzykowne zachowanie i wykonywanie działań ochronnych
Istnieje wyraźne mapowanie celów opisanych w wytycznych dotyczących wdrażania infrastruktury do podstawowych aspektów Defender dla Chmury.
| Cel zerowego zaufania | funkcja Defender dla Chmury |
|---|---|
| Ocena zgodności | W Defender dla Chmury każda subskrypcja automatycznie ma przypisany test porównawczy zabezpieczeń w chmurze (MCSB) firmy Microsoft jako domyślną inicjatywę zabezpieczeń. Korzystając z narzędzi do oceny bezpieczeństwa i pulpitu nawigacyjnego zgodności z przepisami, możesz uzyskać dogłębną wiedzę na temat stanu zabezpieczeń klienta. |
| Konfiguracja zabezpieczeń | Przypisywanie inicjatyw zabezpieczeń do subskrypcji i przeglądanie wskaźnika bezpieczeństwa prowadzi do zaleceń dotyczących wzmacniania zabezpieczeń wbudowanych w Defender dla Chmury. Defender dla Chmury okresowo analizuje stan zgodności zasobów w celu zidentyfikowania potencjalnych błędów konfiguracji zabezpieczeń i słabych stron. Następnie zawiera zalecenia dotyczące sposobu korygowania tych problemów. |
| Stosowanie mechanizmów wzmacniania zabezpieczeń | Oprócz jednorazowych poprawek błędów konfiguracji zabezpieczeń, Defender dla Chmury zawiera funkcje w celu dalszego wzmacniania zabezpieczeń zasobów, takich jak: Dostęp do maszyny wirtualnej just in time (JIT) Adaptacyjne wzmacnianie zabezpieczeń sieci Funkcje adaptacyjnego sterowania aplikacjami. |
| Konfigurowanie wykrywania zagrożeń | Defender dla Chmury oferuje zintegrowane plany ochrony obciążeń w chmurze na potrzeby wykrywania zagrożeń i reagowania na nie. Plany zapewniają zaawansowane, inteligentne, ochrony platformy Azure, hybrydowe i wielochmurowe zasoby i obciążenia. Jeden z planów usługi Microsoft Defender, defender dla serwerów, obejmuje natywną integrację z Ochrona punktu końcowego w usłudze Microsoft Defender. Dowiedz się więcej w temacie Introduction to Microsoft Defender dla Chmury (Wprowadzenie do Microsoft Defender dla Chmury). |
| Automatyczne blokowanie podejrzanego zachowania | Wiele zaleceń dotyczących wzmacniania zabezpieczeń w Defender dla Chmury oferuje opcję odmowy. Ta funkcja umożliwia zapobieganie tworzeniu zasobów, które nie spełniają zdefiniowanych kryteriów wzmacniania zabezpieczeń. Dowiedz się więcej w artykule Zapobieganie błędom konfiguracji za pomocą zaleceń wymuszania/odmowy. |
| Automatyczne flagi podejrzane zachowanie | alerty zabezpieczeń Microsoft Defender dla Chmury są wyzwalane przez zaawansowane wykrywanie. Defender dla Chmury określa priorytety i wyświetla listę alertów wraz z informacjami potrzebnymi do szybkiego zbadania problemu. Defender dla Chmury zawiera również szczegółowe kroki ułatwiające korygowanie ataków. Aby uzyskać pełną listę dostępnych alertów, zobacz Alerty zabezpieczeń — przewodnik referencyjny. |
Ochrona usług PaaS platformy Azure za pomocą Defender dla Chmury
Po włączeniu Defender dla Chmury w ramach subskrypcji, a plany ochrony obciążeń usługi Defender są włączone dla wszystkich dostępnych typów zasobów, będziesz mieć warstwę inteligentnej ochrony przed zagrożeniami — obsługiwaną przez usługę Microsoft Threat Intelligence — chroniąc zasoby w usłudze Azure Key Vault, Azure Storage, Azure DNS i innych usługach PaaS platformy Azure. Aby uzyskać pełną listę, zobacz usługi PaaS wymienione w macierzy obsługi.
Azure Logic Apps
Usługa Azure Logic Apps umożliwia tworzenie zautomatyzowanych skalowalnych przepływów pracy, procesów biznesowych i aranżacji przedsiębiorstwa w celu zintegrowania aplikacji i danych między usługami w chmurze i systemami lokalnymi.
Funkcja automatyzacji przepływu pracy Defender dla Chmury umożliwia automatyzowanie odpowiedzi na wyzwalacze Defender dla Chmury.
Jest to doskonały sposób definiowania i reagowania w zautomatyzowany, spójny sposób podczas odnajdowania zagrożeń. Na przykład, aby powiadomić odpowiednich uczestników projektu, uruchomić proces zarządzania zmianami i zastosować określone kroki korygowania po wykryciu zagrożenia.
Integrowanie Defender dla Chmury z rozwiązaniami SIEM, SOAR i ITSM
Microsoft Defender dla Chmury mogą przesyłać strumieniowo alerty zabezpieczeń do najpopularniejszych rozwiązań do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), automatycznego reagowania na orkiestrację zabezpieczeń (SOAR) i zarządzania usługami IT (ITSM).
Istnieją narzędzia natywne dla platformy Azure umożliwiające wyświetlanie danych alertów we wszystkich najpopularniejszych rozwiązaniach używanych obecnie, w tym:
- Microsoft Sentinel
- Splunk Enterprise and Splunk Cloud
- QRadar IBM
- ServiceNow
- ArcSight
- Power BI
- Palo Alto Networks
Microsoft Sentinel
Defender dla Chmury natywnie integruje się z Microsoft Sentinel, natywny dla chmury, rozwiązanie SIEM (Security Information Event Management) i automatyczne reagowanie na orkiestrację zabezpieczeń (SOAR).
Istnieją dwa podejścia do zapewnienia, że dane Defender dla Chmury są reprezentowane w usłudze Microsoft Sentinel:
Łączniki usługi Sentinel — usługa Microsoft Sentinel obejmuje wbudowane łączniki dla Microsoft Defender dla Chmury na poziomie subskrypcji i dzierżawy:
- Przesyłanie strumieniowe alertów do usługi Microsoft Sentinel na poziomie subskrypcji
- Połączenie wszystkich subskrypcji w dzierżawie do usługi Microsoft Sentinel
Napiwek
Dowiedz się więcej w Połączenie alertach zabezpieczeń z Microsoft Defender dla Chmury.
Przesyłanie strumieniowe dzienników inspekcji — alternatywnym sposobem zbadania alertów Defender dla Chmury w usłudze Microsoft Sentinel jest przesyłanie strumieniowe dzienników inspekcji do usługi Microsoft Sentinel:
Przesyłanie strumieniowe alertów za pomocą programu Microsoft Graph interfejs API Zabezpieczenia
Defender dla Chmury ma wbudowaną integrację z programem Microsoft Graph interfejs API Zabezpieczenia. Nie jest wymagana żadna konfiguracja i nie ma dodatkowych kosztów.
Za pomocą tego interfejsu API można przesyłać strumieniowo alerty z całej dzierżawy (i dane z wielu innych produktów zabezpieczeń firmy Microsoft) do programów SIEM innych firm i innych popularnych platform:
- Rozwiązanie Splunk Enterprise and Splunk Cloud - korzysta z dodatku Microsoft Graph interfejs API Zabezpieczenia dla rozwiązania Splunk
- Usługa Power BI - Połączenie do interfejs API Zabezpieczenia programu Microsoft Graph w programie Power BI Desktop
- Usługa ServiceNow - postępuj zgodnie z instrukcjami, aby zainstalować i skonfigurować aplikację microsoft Graph interfejs API Zabezpieczenia ze sklepu ServiceNow Store
- Moduł obsługi urządzeń firmy QRadar - IBM dla Microsoft Defender dla Chmury za pośrednictwem interfejsu API programu Microsoft Graph
- Palo Alto Networks, Anomali, Lookout, InSpark i inne — Microsoft Graph interfejs API Zabezpieczenia
Dowiedz się więcej o interfejs API Zabezpieczenia programu Microsoft Graph.
Przesyłanie strumieniowe alertów za pomocą usługi Azure Monitor
Użyj funkcji eksportu ciągłego Defender dla Chmury, aby połączyć Defender dla Chmury z usługą Azure Monitor za pośrednictwem usługi Azure Event Hubs i przesyłać strumieniowo alerty do usług ArcSight, SumoLogic, serwerów Syslog, LogRhythm, Logz.io Cloud Observability Platform i innych rozwiązań do monitorowania.
Dowiedz się więcej w artykule Stream alerts with Azure Monitor (Alerty usługi Stream za pomocą usługi Azure Monitor).
Można to również zrobić na poziomie grupy zarządzania przy użyciu usługi Azure Policy. Zobacz Tworzenie konfiguracji automatyzacji eksportu ciągłego na dużą skalę.
Napiwek
Aby wyświetlić schematy zdarzeń wyeksportowanych typów danych, odwiedź stronę Schematy zdarzeń centrum zdarzeń.
Integrowanie Defender dla Chmury z rozwiązaniem wykrywania i reagowania na punkty końcowe (EDR)
Usługa Microsoft Defender dla punktu końcowego
Ochrona punktu końcowego w usłudze Microsoft Defender to całościowe, dostarczane przez chmurę rozwiązanie zabezpieczeń punktów końcowych.
Usługa Microsoft Defender dla serwerów zawiera zintegrowaną licencję na Ochrona punktu końcowego w usłudze Microsoft Defender. Razem zapewniają kompleksowe możliwości wykrywanie i reagowanie w punktach końcowych (EDR). Aby uzyskać więcej informacji, zobacz Ochrona punktów końcowych.
Gdy usługa Defender for Endpoint wykryje zagrożenie, wyzwala alert. Alert jest wyświetlany w Defender dla Chmury i można przejść do konsoli usługi Defender for Endpoint, aby przeprowadzić szczegółowe badanie i odkryć zakres ataku. Dowiedz się więcej o Ochrona punktu końcowego w usłudze Microsoft Defender.
Inne rozwiązania EDR
Defender dla Chmury zapewnia zalecenia dotyczące wzmacniania zabezpieczeń, aby upewnić się, że zabezpieczasz zasoby organizacji zgodnie ze wskazówkami dotyczącymi Test porównawczy zabezpieczeń w chmurze (MCSB) firmy Microsoft. Jedna z mechanizmów kontrolnych w teściu porównawczym odnosi się do zabezpieczeń punktu końcowego: ES-1: Używanie wykrywania i reagowania punktu końcowego (EDR).
Istnieją dwa zalecenia w Defender dla Chmury, aby upewnić się, że włączono ochronę punktu końcowego i działa prawidłowo. Te zalecenia sprawdzają obecność i kondycję operacyjną rozwiązań EDR:
- Trend Micro
- Symantec
- Mcafee
- Sophos
Dowiedz się więcej w temacie Ocena i zalecenia dotyczące ochrony punktu końcowego w Microsoft Defender dla Chmury.
Stosowanie strategii Zero Trust do scenariuszy hybrydowych i wielochmurowych
W przypadku obciążeń w chmurze często obejmujących wiele platform w chmurze usługi zabezpieczeń w chmurze muszą wykonywać te same czynności.
Microsoft Defender dla Chmury chroni obciążenia wszędzie tam, gdzie są uruchomione: na platformie Azure, lokalnie, w usługach Amazon Web Services (AWS) lub Google Cloud Platform (GCP).
Integrowanie Defender dla Chmury z maszynami lokalnymi
Aby zabezpieczyć obciążenia chmury hybrydowej, można rozszerzyć ochronę Defender dla Chmury przez połączenie maszyn lokalnych z serwerami z obsługą usługi Azure Arc.
Dowiedz się, jak połączyć maszyny w Połączenie maszynach spoza platformy Azure w celu Defender dla Chmury.
Integrowanie Defender dla Chmury z innymi środowiskami chmury
Aby wyświetlić stan zabezpieczeń maszyn amazon Web Services w Defender dla Chmury, dołącz konta platformy AWS do Defender dla Chmury. Spowoduje to zintegrowanie usługi AWS Security Hub i Microsoft Defender dla Chmury w celu uzyskania ujednoliconego widoku zaleceń Defender dla Chmury i ustaleń usługi AWS Security Hub oraz zapewnienia szeregu korzyści zgodnie z opisem w Połączenie kontach platformy AWS Microsoft Defender dla Chmury.
Aby wyświetlić stan zabezpieczeń maszyn google Cloud Platform w Defender dla Chmury, dołącz konta GCP do Defender dla Chmury. Spowoduje to zintegrowanie poleceń GCP Security i Microsoft Defender dla Chmury w celu uzyskania ujednoliconego widoku zaleceń Defender dla Chmury i ustaleń usługi GCP Security Command Center oraz zapewnienia szeregu korzyści zgodnie z opisem w Połączenie kontach GCP do Microsoft Defender dla Chmury.
Następne kroki
Aby dowiedzieć się więcej na temat Microsoft Defender dla Chmury, zobacz pełną dokumentację Defender dla Chmury.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla