Интеграция с инфраструктурой

Инфраструктура включает оборудование, программное обеспечение, микрослужбы, сетевую инфраструктуру и средства, необходимые для поддержки ИТ-служб для организации. Решения для инфраструктуры на основе модели "Никому не доверяй" оценивают, отслеживают и предотвращают угрозы безопасности для этих служб.

Решения инфраструктуры "Никому не доверяй" поддерживают принципы "Никому не доверяй", гарантируя, что доступ к ресурсам инфраструктуры проверяется явным образом, доступ предоставляется с помощью принципов доступа с минимальными привилегиями, а механизмы предполагают нарушение безопасности и поиск и устранение угроз безопасности в инфраструктуре.

Это руководство предназначено для поставщиков ПО и технологических партнеров, которые хотят улучшить свои решения по обеспечению безопасности инфраструктуры за счет интеграции с продуктами Майкрософт.

Руководство по интеграции с нулевым доверием для инфраструктуры

Это руководство по интеграции включает стратегию и инструкции по интеграции с Microsoft Defender для облака и интегрированной платформой защиты облачных рабочих нагрузок (CWPP), Microsoft Defender для облака.

В руководстве также описано, как включить интеграцию с самыми популярными решениями для управления информационной безопасностью и событиями безопасности (SIEM), оркестрации, автоматизации и реагирования системы безопасности (SOAR), обнаружения и нейтрализации атак на конечные точки (EDR), а также управления ИТ-услугами (ITSM).

Никому не доверяй и Defender для облака

В нашем руководстве по развертыванию инфраструктуры на основе модели "Никому не доверяй" описаны ключевые этапы стратегии "Никому не доверяй" для инфраструктуры. А именно:

  1. оценка соответствия выбранным стандартам и политикам;
  2. усиление конфигурации при обнаружении недочетов;
  3. использование других средств для усиления защиты, таких как JIT-доступ к виртуальным машинам;
  4. настройка обнаружения угроз и защиты от них;
  5. автоматическое блокирование и маркировка рискованного поведения, а также принятие мер по защите.

Существует четкое сопоставление целей, описанных в руководстве по развертыванию инфраструктуры , с основными аспектами Defender для облака.

Цель модели "Никому не доверяй" Функция Defender для облака
Оценка соответствия В Defender для облака каждая подписка автоматически назначается инициативе по обеспечению безопасности Azure Security Benchmark.
С помощью средств оценки безопасности и панели мониторинга соответствия нормативным требованиям вы можете получить глубокое представление о состоянии безопасности клиента.
Усиление конфигурации Назначение инициатив безопасности подпискам и проверка оценки безопасности приводит к рекомендациям по защите, встроенным в Defender для облака. Defender для облака периодически анализирует состояние соответствия ресурсов для выявления потенциальных ошибок конфигурации и уязвимостей безопасности. Затем он предоставляет рекомендации по устранению этих проблем.
Применение механизмов усиления защиты Кроме одноразовых исправлений для неправильной настройки безопасности, Defender для облака предлагает средства для обеспечения непрерывной защиты, например:
JIT-доступ к виртуальным машинам
Адаптивная защита сети
Адаптивные элементы управления приложениями.
Настройка обнаружения угроз Defender для облака предлагает интегрированную платформу защиты облачных рабочих нагрузок (CWPP), Microsoft Defender для облака.
Microsoft Defender для облака обеспечивает расширенную, интеллектуальную защиту azure и гибридных ресурсов и рабочих нагрузок.
Один из планов Microsoft Defender, Microsoft Defender для серверов, включает встроенную интеграцию с Microsoft Defender для конечной точки.
Дополнительные сведения см. в статье "Общие сведения о Microsoft Defender для облака".
Автоматическая блокировка подозрительного поведения Многие рекомендации по обеспечению защиты в Defender для облака предлагают вариант запрета . Эта функция позволяет предотвратить создание ресурсов, которые не удовлетворяют определенным условиям усиления защиты. См. сведения о предотвращении ошибок конфигурации с помощью рекомендаций о применении и отклонении.
Автоматическое отмечание подозрительного поведения Оповещения системы безопасности Microsoft Defender для облака активируются расширенными обнаружениями. Список упорядоченных по приоритету оповещений отображается в Defender для облака вместе с данными, необходимыми для быстрого анализа проблемы. В Defender для облака также содержатся подробные инструкции по защите от атак. Полный список доступных оповещений см. в справочном руководстве по оповещениям системы безопасности.

Защита служб Azure PaaS с помощью Defender для облака

С включенным Defender для облака в подписке, а Microsoft Defender для облака включен для всех доступных типов ресурсов, у вас будет уровень интеллектуальной защиты от угроз на базе Microsoft Threat Intelligence , который защищает ресурсы в Azure Key Vault, службе хранилища Azure, Azure DNS и других службах Azure PaaS. Полный список см. в статье "Какие типы ресурсов могут защитить Microsoft Defender для облака"?.

Azure Logic Apps

Используйте Azure Logic Apps, чтобы создавать автоматические масштабируемые рабочие процессы, бизнес-процессы и корпоративные оркестрации для интеграции приложений и данных в разные облачные службы и локальные системы.

Функция автоматизации рабочих процессов Defender для облака позволяет автоматизировать ответы на триггеры Defender для облака.

Это отличный способ определения и реагирования автоматизированным согласованным образом в случаях обнаружения угроз. Например, с помощью этой функции можно уведомить релевантных участников, запустить процесс управления изменениями и применить определенные шаги по исправлению при обнаружении угрозы.

Интеграция Defender для облака с решениями SIEM, SOAR и ITSM

Из Microsoft Defender для облака оповещения системы безопасности можно передавать в наиболее популярные системы управления информационной безопасностью и событиями безопасности (SIEM), оркестрации событий безопасности и автоматического реагирования (SOAR) и управления ИТ-службами (ITSM).

В Azure есть встроенные средства, позволяющие просматривать данные оповещений во всех наиболее популярных сегодня решениях, в том числе:

  • Microsoft Sentinel
  • Splunk Enterprise и Splunk Cloud
  • QRadar от IBM
  • ServiceNow
  • ArcSight
  • Power BI
  • Palo Alto Networks

Microsoft Sentinel

Defender для облака изначально интегрируется с Microsoft Sentinel, собственным облачным решением Майкрософт, управлением информационной безопасностью (SIEM) и решением для автоматического реагирования (SOAR) оркестрации безопасности.

Существует два подхода к обеспечению представления данных Defender для облака в Microsoft Sentinel:

Потоковая передача предупреждений с помощью API безопасности Microsoft Graph

Defender для облака имеет готовую интеграцию с API безопасности Microsoft Graph. Никакая настройка не требуется, и дополнительная плата не взимается.

Этот API можно использовать для потоковой передачи оповещений из всего арендатора (и данных из многих других продуктов безопасности Майкрософт) в сторонние решения SIEM и другие популярные платформы:

Дополнительные сведения об API безопасности Microsoft Graph см. здесь.

Потоковая передача оповещений с помощью Azure Monitor

Используйте функцию непрерывного экспорта Defender для облака для подключения Defender для облака к Azure Monitor с помощью Центров событий Azure и потоковой передачи оповещений в ArcSight, SumoLogic, серверы Syslog, LogRhythm, Logz.io Cloud Observability Platform и другие решения для мониторинга.

Дополнительные сведения см. в разделе Потоковая передача оповещений с помощью Azure Monitor.

Это также можно сделать на уровне группы управления с помощью Политики Azure, как описано в разделе Настройка непрерывного экспорта в большом масштабе с помощью предоставляемых политик.

Совет

Схемы событий экспортируемых типов данных см. на странице Схемы событий Центров событий.

Интеграция Defender для облака с решением обнаружения и реагирования на конечные точки (EDR)

Защитник Майкрософт для конечных точек

Microsoft Defender для конечной точки — комплексное облачное решение для обеспечения безопасности конечной точки.

Интегрированный CWPP Defender для облака для компьютеров, Microsoft Defender для серверов, включает интегрированную лицензию на Microsoft Defender для конечной точки. Вместе они обеспечивают широкие возможности обнаружения конечных точек и реагирования. Дополнительные сведения см. в статье о защите конечных точек.

Когда Defender для конечной точки обнаруживает угрозу, активируется оповещение. Оповещение отображается в Defender для облака. Из Defender для облака вы можете перейти к консоли Defender для конечной точки, отобразить сводные данные и тщательно их изучить для определения области атаки. Ознакомьтесь с дополнительными сведениями о Microsoft Defender для конечной точки.

Другие решения EDR

Defender для облака предоставляет рекомендации по защите ресурсов вашей организации в соответствии с рекомендациями Azure Security Benchmark. Один из элементов управления в этих рекомендациях связан с безопасностью конечных точек: ES-1. Используйте обнаружение и нейтрализацию атак на конечные точки (EDR).

В Defender для облака есть две рекомендации, чтобы обеспечить включенную защиту конечных точек, и она работает хорошо. Эти рекомендации проверяют наличие и работоспособность решений EDR от:

  • Trend Micro
  • Symantec
  • McAfee
  • Sophos

Дополнительные сведения об оценке и рекомендациях Endpoint Protection см. в Microsoft Defender для облака.

Применение стратегии "Никому не доверяй" в гибридных и многооблачных сценариях

Так как облачные рабочие нагрузки часто распределяются между несколькими облачными платформами, облачные службы безопасности должны охватывать их все.

Microsoft Defender для облака защищает рабочие нагрузки везде, где они работают: в Azure, локальной среде, Amazon Web Services (AWS) или Google Cloud Platform (GCP).

Интеграция Defender для облака с локальными компьютерами

Для защиты гибридных облачных рабочих нагрузок можно расширить защиту Defender для облака, подключив локальные компьютеры к серверам с поддержкой Azure Arc.

Узнайте, как подключить компьютеры, не относящиеся к Azure, к Defender для облака.

Интеграция Defender для облака с другими облачными средами

Чтобы просмотреть состояние безопасности компьютеров Amazon Web Services в Defender для облака, включите учетные записи AWS в Defender для облака. Это позволит интегрировать AWS Security Hub и Microsoft Defender для облака для единого представления рекомендаций Defender для облака и результатов AWS Security Hub и предоставить ряд преимуществ, как описано в разделе "Подключение учетных записей AWS к Microsoft Defender для облака".

Чтобы просмотреть состояние безопасности компьютеров Google Cloud Platform в Defender для облака, включите учетные записи GCP в Defender для облака. Это позволит интегрировать GCP Security Command и Microsoft Defender для облака для единого представления рекомендаций Defender для облака и выводов Центра управления безопасностью GCP и предоставить ряд преимуществ, как описано в разделе "Подключение учетных записей GCP к Microsoft Defender для облака".

Дальнейшие действия

Дополнительные сведения о Microsoft Defender для облака и Microsoft Defender для облака см. в полной документации по Defender для облака.