Создание базовой конфигурации для Microsoft Defender для облака

Завершено

Microsoft Defender для облака предоставляет возможности унифицированного управления безопасностью и расширенной защиты от угроз для рабочих нагрузок, которые выполняются в Azure, в локальной среде и в других облаках. Ниже приводятся рекомендации по Defender для облака. По ним можно задать различные политики безопасности для подписки Azure. Эти политики определяют набор элементов управления, рекомендуемых для ресурсов с подпиской Azure.

Рекомендации по безопасности Microsoft Defender для облака

В следующих разделах представлены рекомендации Microsoft Defender для облака, содержащиеся в CIS Microsoft Azure Foundations Security Benchmark версии 1.3.0. В каждую рекомендацию включены основные шаги, которые необходимо выполнить на портале Azure. Вы должны выполнить эти шаги для своей подписки и использовать свои ресурсы для проверки каждой рекомендации по безопасности. Имейте в виду, что параметры уровня 2 могут ограничивать некоторые функции или действия, поэтому подумайте, какие параметры безопасности следует применить.

Включение расширенных функций безопасности — уровень 2

Microsoft Defender для облака предлагается в двух режимах: Без расширенных функций безопасности (бесплатный) и С расширенными функциями безопасности. Включение повышенной безопасности расширяет возможности бесплатного режима для рабочих нагрузок, которые выполняются в частных и общедоступных облаках. Расширенные возможности безопасности также включают унифицированное управление безопасностью и защиту от угроз для гибридных облачных рабочих нагрузок. В этом режиме также добавляются расширенные возможности обнаружения угроз, например следующие:

  • встроенные средства анализа поведения и машинного обучения для выявления атак и уязвимостей нулевого дня;
  • элементы управления доступом и приложениями, которые уменьшают подверженность сетевым атакам и вредоносным программам.

Microsoft Defender для облака со всеми расширенными функциями безопасности предлагает обнаружение угроз, предоставляемое Центром Майкрософт по реагированию на угрозы, и поддерживает ресурсы, развернутые в:

  • Виртуальные машины Azure
  • Масштабируемые наборы виртуальных машин
  • Служба приложений Azure
  • Azure SQL Server
  • Хранилище Azure
  1. Войдите на портал Azure. Найдите и выберите Microsoft Defender для облака.

  2. В меню слева в разделе Общие выберите Начало работы.

  3. Перейдите на вкладку Обновить и выберите подписку для обновления. В области Ресурсы показаны ресурсы, которые будут защищены, и затраты на каждый ресурс.

  4. Нажмите кнопку Обновить.

    Screenshot that shows the getting started with Microsoft Defender for Cloud pane.

Просмотр встроенных политик безопасности в Microsoft Defender для облака

Чтобы просмотреть политики безопасности Microsoft Defender для облака для подписки Azure:

  1. Войдите на портал Azure. Найдите и выберите Microsoft Defender для облака.

  2. В меню слева в разделе Управление выберите Параметры среды.

  3. Выберите подписку, чтобы открыть область Параметры политики.

Screenshot that shows the environment settings for Defender for Cloud.

Включенные политики определяют рекомендации Microsoft Defender для облака:

Screenshot that shows the built-in security policies for Defender for Cloud.

Включение автоматической подготовки к работе агента Log Analytics — уровень 1

Когда вы включаете автоматическую подготовку, Defender для облака устанавливает агент Azure Log Analytics на все поддерживаемые виртуальные машины Azure и все новые создаваемые вами виртуальные машины. Автоматическая подготовка настоятельно рекомендуется.

  1. Войдите на портал Azure. Найдите и выберите Microsoft Defender для облака.

  2. В меню слева в разделе Общие выберите Начало работы.

  3. Перейдите на вкладку Установка агентов и выберите подписку для установки агентов.

  4. Нажмите кнопку Установить агенты.

    Screenshot that shows the getting started pane and the Install agents tab.

Включение обновлений системы — уровень 1

Microsoft Defender для облака ежедневно отслеживает наличие обновлений операционной системы для виртуальных машин и физических компьютеров Windows и Linux. Microsoft Defender для облака получает список доступных обновлений системы безопасности и критических обновлений из Центра обновления Windows или из Windows Server Update Services (WSUS). То, какие обновления присутствуют в списке, зависит от того, какая служба настроена на компьютере Windows. Defender для облака также проверяет наличие самых актуальных обновлений для систем Linux. Если на виртуальной машине или физическом компьютере отсутствует обновление системы, Defender для облака порекомендует его применить.

  1. Войдите на портал Azure. Найдите и выберите Microsoft Defender для облака.

  2. В меню слева в разделе Управление выберите Параметры среды.

  3. Выберите подписку.

  4. В меню слева выберите Политика безопасности.

  5. В разделе Инициатива по умолчанию выберите подписку или группу управления.

  6. Выберите вкладку Свойства .

  7. Убедитесь, что флажок Показывать только параметры, требующие ввода или проверки, снят.

    Screenshot that shows the Parameters tab and the checkbox for Only show parameters that need input or review is cleared.

  8. Убедитесь, что политика На ваших компьютерах должны быть установлены обновления системы является одной из перечисленных политик.

    В следующем примере агент Microsoft Defender для облака не развернут на виртуальной машине или физическом компьютере, поэтому отображается сообщение AuditIfNotExists. AuditIfNotExists позволяет проводить аудит ресурсов, которые соответствуют условию if (если). Если ресурс не развернут, отображается сообщение NotExists.

    Screenshot that shows the 'System updates should be installed on your machines' parameter.

    Если параметр На ваших компьютерах должны быть установлены системные обновления включен, отобразится параметр Аудит. Если развернуто, но отключено, отображается Отключено.

  9. Если вы изменили какие-либо настройки, перейдите на вкладку Проверка + Сохранение и щелкните Сохранить.

Включение конфигураций безопасности — уровень 1

Microsoft Defender для облака отслеживает конфигурации безопасности, применяя набор из более чем 150 рекомендуемых правил для усиления защиты ОС. Эти правила связаны с брандмауэрами, аудитом, политиками паролей и т. д. Если у компьютера уязвимая конфигурация, Defender для облака формирует рекомендации по безопасности.

  1. Войдите на портал Azure. Найдите и выберите Microsoft Defender для облака.

  2. В меню слева в разделе Управление выберите Параметры среды.

  3. Выберите подписку.

  4. В меню слева выберите Политика безопасности.

  5. В разделе Инициатива по умолчанию выберите подписку или группу управления.

  6. Выберите вкладку Свойства .

  7. Убедитесь, что политика Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены является одной из перечисленных политик.

  8. Если вы изменили какие-либо настройки, перейдите на вкладку Проверка + Сохранение и щелкните Сохранить.

Примечание.

Все следующие категории политик, в заголовке которых есть (*), находятся на вкладке Параметры. В некоторых случаях в каждой категории доступно несколько вариантов.

Включение защиты конечных точек (*) — уровень 1

Для всех виртуальных машин рекомендуется включить защиту конечных точек.

Включение шифрования дисков (*) — уровень 1

Microsoft Defender для облака рекомендует использовать Шифрование дисков Azure, если у вас имеются диски виртуальных машин Windows или Linux. Шифрование дисков позволяет шифровать диски виртуальных машин инфраструктуры Windows и Linux как услуги (IaaS). Шифрование рекомендуется как для ОС, так и для томов данных на вашей виртуальной машине.

Включение групп безопасности сети (*) — уровень 1

Microsoft Defender для облака рекомендует включить группы безопасности сети (NSG). Группы безопасности сети содержат правила списка управления доступом (ACL), которые разрешают или запрещают сетевой трафик для экземпляров виртуальных машин в виртуальной сети. Группы безопасности сети можно связать с подсетями или отдельными экземплярами виртуальных машин в одной из подсетей. Если NSG связана с подсетью, правила ACL применяются ко всем экземплярам виртуальных машин в этой подсети. Кроме того, трафик на отдельные виртуальные машины можно дополнительно ограничить, связав NSG непосредственно с нужной виртуальной машиной.

Включение брандмауэра веб-приложения (*) — уровень 1

Microsoft Defender для облака может рекомендовать добавить брандмауэр веб-приложений (WAF) от партнера корпорации Майкрософт, чтобы защитить ваши веб-приложения.

Включение оценки уязвимостей (*) — уровень 1

В перечень рекомендаций для виртуальных машин входит оценивание уязвимости в Microsoft Defender для облака. Если ему не удастся найти на виртуальной машине установленное решение по оцениванию уязвимости, вы получите рекомендацию установить такое решение. После развертывания агент партнера начнет отправку сведений об уязвимостях на платформу управления партнера, Партнерская платформа управления, в свою очередь, предоставляет данные мониторинга уязвимостей и работоспособности в Defender для облака.

Включение шифрования хранилища (*) — уровень 1

Если шифрование хранилища включено, все новые данные в Хранилище BLOB-объектов Azure и Файлах Azure шифруются.

Включение JIT-доступа к сети (*) — уровень 1

Сетевой JIT-доступ позволяет блокировать входящий трафик виртуальных машин Azure. Сетевой JIT-доступ снижает подверженность атакам, обеспечивая при этом простой доступ для подключения к виртуальным машинам, когда это необходимо.

Включение адаптивных элементов управления приложениями (*) — уровень 1

Адаптивный элемент управления приложениями — это комплексное автоматизированное интеллектуальное решение по формированию списка разрешенных приложений в Microsoft Defender для облака. Этот элемент позволяет управлять выполнением приложений на виртуальных машинах Azure и других (Windows и Linux), что, в свою очередь, помимо других преимуществ, помогает повысить уровень защиты виртуальных машин от вредоносных программ. Defender для облака использует машинное обучение для анализа приложений, работающих на ваших виртуальных машинах. Это помогает применять определенные правила утверждения с помощью интеллектуальных адаптивных элементов управления приложениями. Эта возможность значительно упрощает настройку и администрирование политик разрешенных приложений.

Включить аудит SQL и обнаружение угроз (*) — уровень 1

Microsoft Defender для облака рекомендует включить аудит и обнаружение угроз для всех баз данных на ваших серверах, на которых работает Azure SQL. Аудит и обнаружение угроз могут помочь вам обеспечить соответствие, проанализировать действия с базой данных, а также получить представление о несоответствиях и аномалиях, которые могут указывать на проблемы с бизнесом или предполагаемые нарушения безопасности.

Включение шифрования SQL (*) — уровень 1

Microsoft Defender для облака рекомендует включить прозрачное шифрование данных (TDE) в базах данных SQL, которые работают в Azure. Прозрачное шифрование данных обеспечивает защиту данных и помогает соблюдать нормативные требования за счет шифрования базы данных, связанных с ней резервных копий и файлов журнала транзакций в местах их хранения. Включение TDE не требует внесения изменений в приложения.

Настроить контактный адрес электронной почты и номер телефона для системы безопасности — уровень 1

Microsoft Defender для облака порекомендует вам предоставить сведения контактного лица по вопросам безопасности для подписки Azure. Корпорация Майкрософт воспользуется этой информацией, чтобы связаться с вами, если Центр Майкрософт по реагированию на угрозы обнаружит, что неавторизованная сторона получила доступ к вашим пользовательским данным. Центр Майкрософт по реагированию на угрозы проводит выборочный мониторинг безопасности сети и инфраструктуры Azure и получает аналитические данные об угрозах и жалобы о нарушениях от третьих лиц.

  1. Войдите на портал Azure. Найдите и выберите пункт Управление затратами + выставление счетов. В зависимости от ваших подписок вы увидите либо панель Обзор, либо панель Области выставления счетов.

    • Если отображается панель Обзор, перейдите к следующему шагу.
    • Если отображается панель Области выставления счетов, выберите свою подписку, чтобы открыть панель Обзор.
  2. В области Обзор в меню слева в разделе Параметры выберите Свойства.

  3. Проверьте контактные данные, которые отобразятся на экране. Если контактные данные необходимо обновить, щелкните ссылку Изменить данные о покупателе и введите новые сведения.

  4. Если вы изменили параметры, выберите Сохранить.

Screenshot that shows the Properties pane with contact information and the Update sold to link selected.

Включение функции "Отправлять мне сообщения электронной почты об оповещениях" — уровень 1

Microsoft Defender для облака порекомендует вам предоставить сведения контактного лица по вопросам безопасности для подписки Azure.

  1. Войдите на портал Azure. Найдите и выберите Microsoft Defender для облака.

  2. В меню слева в разделе Управление выберите Параметры среды.

  3. Выберите подписку.

  4. В меню слева в разделе Параметры выберите Уведомления по электронной почте.

  5. В раскрывающемся списке Все пользователи со следующими ролями выберите свою роль или в поле Дополнительные адреса электронной почты (разделенные запятыми) введите свой адрес электронной почты.

  6. Установите флажок Уведомлять об оповещениях со следующей серьезностью, выберите серьезность оповещения и щелкните Сохранить.

Screenshot that shows the email notifications settings pane for Microsoft Defender for Cloud.

Включение отправки сообщений электронной почты владельцам подписки — уровень 1

Microsoft Defender для облака порекомендует вам предоставить сведения контактного лица по вопросам безопасности для подписки Azure.

  1. В области Уведомления по электронной почте (см. предыдущий раздел), вы можете добавить дополнительные адреса электронной почты, разделенные запятыми.

  2. Если вы изменили параметры, в строке меню выберите Сохранить.