Управление безопасностью v3. Безопасность конечных точек

Безопасность конечных точек охватывает аспекты управления, касающиеся обнаружения и нейтрализация атак на конечные точки, в том числе с использованием службы "Обнаружение и нейтрализация атак на конечные точки" (EDR) и службы защиты от вредоносных программ для конечных точек в средах Azure.

ES-1. Обнаружение и нейтрализация атак на конечные точки (EDR)

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
13,7 SC-3, SI-2, SI-3, SI-16 11,5

Принцип безопасности: активируйте возможности обнаружения и нейтрализации атак на конечные точки (EDR) для виртуальных машин и интегрируйте их с SIEM и операциями безопасности.

Руководство по Azure: Azure Defender для серверов (с интегрированным Microsoft Defender для конечных точек) предоставляет функции EDR для предотвращения, обнаружения, расследования и нейтрализации сложных угроз.

Используйте Microsoft Defender для облака, чтобы развернуть Microsoft Defender для серверов на конечной точке и интегрировать оповещения в решение SIEM, например Azure Sentinel.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

ES-2: использовать современное программное обеспечение для борьбы с вредоносными программами

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
10.1 SC-3, SI-2, SI-3, SI-16 5.1

Принцип безопасности: используйте решения для защиты от вредоносных программ, поддерживающие защиту в реальном времени и регулярное сканирование.

Руководство по Azure: Microsoft Defender для облака может автоматически обнаруживать использование нескольких популярных решений для защиты от вредоносных программ на виртуальных машинах и локальных компьютерах с настроенной службой Azure Arc, а также сообщать о состоянии запуска Endpoint Protection и формировать рекомендации.

Антивирусная программа в Microsoft Defender — это решение для борьбы с вредоносным ПО, по умолчанию используемое в Windows Server 2016 и более поздних версий. Для Windows Server 2012 R2 используйте расширение Microsoft Antimalware, чтобы активировать SCEP (System Center Endpoint Protection), а Microsoft Defender для облака — для получения и оценки состояния работоспособности. Для виртуальных машин Linux используйте Microsoft Defender для конечной точки в Linux.

Примечание. Вы также можете использовать Защитник службы хранилища в Microsoft Defender для облака для обнаружения вредоносных программ, передаваемых в учетные записи службы хранилища Azure.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

ES-3: проверка обновлений ПО для защиты от вредоносных программ и сигнатур

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
10,2 SI-2, SI-3 5,2

Принцип безопасности: обеспечьте оперативное и согласованное обновление антивирусных сигнатур для защиты от вредоносных программ.

Руководство Azure: чтобы гарантировать, что на всех конечных точках применены актуальные сигнатуры, следуйте рекомендациям в Microsoft Defender для облака: «Вычислительные & приложения». По умолчанию Microsoft Antimalware будет автоматически устанавливать новые сигнатуры и обновления подсистемы. В Linux убедитесь в том, что в стороннем решении для защиты от вредоносных программ обновлены сигнатуры.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):