Planerings- och drifthandbok

Den här guiden är avsedd för IT-proffs, IT-arkitekter, informationssäkerhetsanalytiker och molnadministratörer som planerar att använda Defender för molnet.

Planeringsguide

Den här guiden innehåller bakgrunden till hur Defender för molnet passar in i organisationens säkerhetskrav och molnhanteringsmodell. Det är viktigt att förstå hur olika individer eller team i din organisation använder tjänsten för att uppfylla säkra utvecklings- och drifts-, övervaknings-, styrnings- och incidenthanteringsbehov. De viktigaste områdena att tänka på när du planerar att använda Defender för molnet är:

• Säkerhetsroller och åtkomstkontroll
• Säkerhetsprinciper och säkerhetsrekommendationer
• Datainsamling och lagring
• Publicera icke-Azure-resurser
• Fortlöpande säkerhetsövervakning
• Incidentsvar

I nästa avsnitt får du lära dig hur du planerar för vart och ett av dessa områden och tillämpar dessa rekommendationer baserat på dina krav.

Kommentar

Läs Defender för molnet vanliga frågor för en lista över vanliga frågor som också kan vara användbara under design- och planeringsfasen.

Säkerhetsroller och åtkomstkontroll

Beroende på organisationens storlek och struktur kan flera personer och team använda Defender för molnet för att utföra olika säkerhetsrelaterade uppgifter. Följande diagram innehåller exempel på fiktiva personer och deras olika roller och ansvarsområden:

Defender för molnet gör det möjligt för dessa individer att uppfylla dessa olika ansvarsområden. Till exempel:

Jens (arbetsbelastningsägare)

• Hantera en molnarbetsbelastning och dess relaterade resurser.

• Ansvarar för att implementera och underhålla skydd i enlighet med företagets säkerhetspolicy.

Elisabeth (IT-chef)

• Ansvarig för alla säkerhetsaspekter för företaget.

• Vill förstå företagets säkerhetsstatus för molnarbetsbelastningar.

• Måste informeras om större attacker och risker.

Daniel (IT-säkerhetsansvarig)

• Anger företagets säkerhetsprinciper för att säkerställa att lämpliga skydd finns på plats.

• Övervakar efterlevnaden av principer.

• Genererar rapporter för ledarskap eller granskare.

Selma (säkerhetsmedarbetare)

• Övervakar och svarar när som helst på säkerhetsaviseringar.

• Eskalerar till molnarbetsbelastningsägare eller IT-säkerhetsanalytiker.

Sami (säkerhetsanalytiker)

• Undersök attacker.

• Arbeta med cloud workload owner för att tillämpa reparation.

Defender för molnet använder Rollbaserad åtkomstkontroll i Azure (rollbaserad åtkomstkontroll i Azure) som tillhandahåller inbyggda roller som kan tilldelas till användare, grupper och tjänster i Azure. När en användare öppnar Defender för molnet ser de bara information som rör resurser som de har åtkomst till. Detta betyder att användaren tilldelas rollen som ägare, deltagare eller läsare för den prenumeration eller resursgrupp som en resurs hör till. Utöver dessa roller finns det två roller som är specifika för Defender för molnet:

• Säkerhetsläsare: en användare som tillhör den här rollen kan bara visa Defender för molnet konfigurationer, som innehåller rekommendationer, aviseringar, principer och hälsa, men den kan inte göra ändringar.

• Security-admin: samma som security-läsare, men kan också uppdatera säkerhetsprinciper, stänga rekommendationer och aviseringar.

De personas som beskrivs i föregående diagram behöver dessa Rollbaserade åtkomstkontrollroller i Azure:

Jens (arbetsbelastningsägare)

• Resursgruppens ägare/deltagare.

Elisabeth (IT-chef)

• Prenumerationsägare/deltagare eller säkerhetsadministratör.

Daniel (IT-säkerhetsansvarig)

• Prenumerationsägare/deltagare eller säkerhetsadministratör.

Selma (säkerhetsmedarbetare)

• Prenumerationsläsare eller säkerhetsläsare för att visa aviseringar.

• Prenumerationsägare/deltagare eller säkerhetsadministratör krävs för att stänga aviseringar.

Sami (säkerhetsanalytiker)

• Prenumerationsläsare för att visa aviseringar.

• Prenumerationsägare/deltagare krävs för att stänga aviseringar.

• Åtkomst till arbetsytan kan krävas.

Tänk även på följande:

• Endast ägare och deltagare i prenumerationer samt Security-administratörer kan ändra säkerhetsprinciper.

• Endast ägare och deltagare i prenumerationer och resursgrupper kan tillämpa säkerhetsrekommendationer på en resurs.

När du planerar åtkomstkontroll med hjälp av rollbaserad åtkomstkontroll i Azure för Defender för molnet ska du se till att du förstår vem i din organisation som behöver åtkomst till Defender för molnet de uppgifter som de utför. Sedan kan du konfigurera rollbaserad åtkomstkontroll i Azure korrekt.

Kommentar

Vi rekommenderar att du ger användarna den roll som precis ger dem den behörighet de behöver för att kunna utföra sina arbetsuppgifter. De användare som till exempel endast behöver se information om säkerhetsstatusen på resurser men inte vidta några åtgärder, som att tillämpa rekommendationer eller ändra principer, bör få rollen som läsare.

Säkerhetsprinciper och säkerhetsrekommendationer

En säkerhetsprincip definierar den önskade konfigurationen för arbetsbelastningarna och hjälper till att säkerställa efterlevnaden av företagets eller bestämmelsemässiga säkerhetskrav. I Defender för molnet kan du definiera principer för dina Azure-prenumerationer, som kan skräddarsys efter typen av arbetsbelastning eller känsligheten för data.

Defender for Cloud-principer innehåller följande komponenter:

• Datainsamling: agentetablering och datainsamlingsinställningar.

• Säkerhetsprincip: en Azure Policy som avgör vilka kontroller som övervakas och rekommenderas av Defender för molnet. Du kan också använda Azure Policy för att skapa nya definitioner, definiera fler principer och tilldela principer mellan hanteringsgrupper.

• E-postmeddelanden: säkerhetskontakter och inställningar för meddelanden.

• Prisnivå: med eller utan Microsoft Defender för molnet Defender-planer, som avgör vilka Defender för molnet funktioner som är tillgängliga för resurser i omfånget (kan anges för prenumerationer och arbetsytor med hjälp av API:et).

Kommentar

Om du anger en säkerhetskontakt ser du till att Azure kan nå rätt person i din organisation om en säkerhetsincident inträffar. Läs Ange kontaktuppgifter för säkerhet i Defender för molnet för mer information om hur du aktiverar den här rekommendationen.

Säkerhetsprincipdefinitioner och rekommendationer

Defender för molnet skapar automatiskt en standardsäkerhetsprincip för var och en av dina Azure-prenumerationer. Du kan redigera principen i Defender för molnet eller använda Azure Policy för att skapa nya definitioner, definiera fler principer och tilldela principer mellan hanteringsgrupper. Hanteringsgrupper kan representera hela organisationen eller en affärsenhet i organisationen. Du kan övervaka principefterlevnad i dessa hanteringsgrupper.

Innan du konfigurerar säkerhetsprinciper bör du granska var och en av säkerhetsrekommendationerna:

• Se om dessa principer är lämpliga för dina olika prenumerationer och resursgrupper.

• Förstå vilka åtgärder som hanterar säkerhetsrekommendationerna.

• Ta reda på vem i din organisation som ansvarar för övervakning och reparation av nya rekommendationer.

Datainsamling och datalagring

Defender för molnet använder Log Analytics-agenten och Azure Monitor-agenten för att samla in säkerhetsdata från dina virtuella datorer. Data som samlas in från den här agenten lagras på dina Log Analytics-arbetsytor.

Agent

När automatisk etablering är aktiverad i säkerhetsprincipen installeras datainsamlingsagenten på alla virtuella Azure-datorer som stöds och alla nya virtuella datorer som stöds som skapas. Om den virtuella datorn eller datorn redan har Log Analytics-agenten installerad använder Defender för molnet den aktuella installerade agenten. Agentens process är utformad för att vara icke-invasiv och ha minimal effekt på den virtuella datorns prestanda.

Om du vid ett senare tillfälle vill inaktivera datainsamlingen kan du göra det i säkerhetsprincipen. Men eftersom Log Analytics-agenten kan användas av andra Azure-hanterings- och övervakningstjänster avinstalleras inte agenten automatiskt när du inaktiverar datainsamling i Defender för molnet. Du kan avinstallera agenten manuellt om det behövs.

Kommentar

Om du vill hitta en lista över virtuella datorer som stöds läser du Defender för molnet vanliga frågor.

Arbetsyta

En arbetsyta är en Azure-resurs som fungerar som en datacontainer. Du eller andra medlemmar i din organisation kan använda flera arbetsytor för att hantera olika uppsättningar av data som samlas in från alla eller delar av din IT-infrastruktur.

Data som samlas in från Log Analytics-agenten kan lagras på en befintlig Log Analytics-arbetsyta som är associerad med din Azure-prenumeration eller en ny arbetsyta.

I Azure-portalen kan du bläddra för att se en lista över dina Log Analytics-arbetsytor, inklusive alla som skapats av Defender för molnet. En relaterad resursgrupp skapas för nya arbetsytor. Resurser skapas enligt den här namngivningskonventionen:

• Arbetsyta: DefaultWorkspace-[prenumerations-id]-[geo]

• Resursgrupp: DefaultResourceGroup-[geo]

För arbetsytor som skapats av Defender för molnet bevaras data i 30 dagar. För befintliga arbetsytor baseras kvarhållningen på arbetsytans prisnivå. Om du vill kan du även använda en befintlig arbetsyta.

Om din agent rapporterar till en annan arbetsyta än standardarbetsytan bör alla Defender för molnet Defender-planer som du har aktiverat i prenumerationen också aktiveras på arbetsytan.

Kommentar

Microsoft gör starka åtaganden för att skydda dessa datas integritet och säkerhet. Microsoft följer strikta riktlinjer för efterlevnad och säkerhet – från kodning till driften av en tjänst. Mer information om datahantering och sekretess finns i Defender för molnet Data Security.

Registrera icke-Azure-resurser

Defender för molnet kan övervaka säkerhetsstatusen för dina icke-Azure-datorer, men du måste först registrera dessa resurser. Läs Publicera icke-Azure-datorer för mer information om hur du registrerar icke-Azure-resurser.

Fortlöpande säkerhetsövervakning

Efter den första konfigurationen och tillämpningen av Defender för molnet rekommendationer överväger nästa steg Defender för molnet operativa processer.

Översikt över Defender för molnet ger en enhetlig vy över säkerheten för alla dina Azure-resurser och alla icke-Azure-resurser som du har anslutit. Det här exemplet visar en miljö med många problem att lösa:

Kommentar

Defender för molnet stör inte dina normala driftprocedurer. Defender för molnet övervakar dina distributioner passivt och ger rekommendationer baserat på de säkerhetsprinciper som du har aktiverat.

När du först väljer att använda Defender för molnet för din aktuella Azure-miljö kontrollerar du att du granskar alla rekommendationer, vilket kan göras på sidan Rekommendationer.

Planera in att använda Hotinformation som en del av dina dagliga säkerhetsåtgärder. Där kan du identifiera säkerhetshot mot miljön, till exempel identifiera om en viss dator är en del av ett botnät.

Övervakning av nya och ändrade resurser

De flesta Azure-miljöer är dynamiska, med resurser som regelbundet skapas, snurras upp eller ned, konfigureras om och ändras. Defender för molnet hjälper dig att se till att du har insyn i säkerhetstillståndet för dessa nya resurser.

När du lägger till nya resurser (virtuella datorer, SQL-databaser) i Din Azure-miljö identifierar Defender för molnet automatiskt dessa resurser och börjar övervaka deras säkerhet, inklusive PaaS-webbroller och arbetsroller. Om datainsamling är aktiverat i säkerhetsprincipen aktiveras fler övervakningsfunktioner automatiskt för dina virtuella datorer.

Du bör också regelbundet övervaka befintliga resurser för konfigurationsändringar som kan ha skapat säkerhetsrisker, avvikelse från rekommenderade baslinjer och säkerhetsaviseringar.

Härdning av åtkomst och program

Som en del av dina säkerhetsåtgärder bör du även vidta förebyggande åtgärder för att begränsa åtkomsten till virtuella datorer och kontrollera programmen som körs på virtuella datorer. Genom att låsa inkommande trafik till dina virtuella Azure-datorer minskar du exponeringen för attacker och ger samtidigt enkel åtkomst till att ansluta till virtuella datorer när det behövs. Använd just-in-time-åtkomstfunktionen för virtuella datorer för att härda åtkomsten till dina virtuella datorer.

Du kan använda anpassningsbara programkontroller för att begränsa vilka program som kan köras på dina virtuella datorer i Azure. Bland andra fördelar hjälper anpassningsbara programkontroller till att förstärka dina virtuella datorer mot skadlig kod. Med hjälp av maskininlärning analyserar Defender för molnet processer som körs på den virtuella datorn för att hjälpa dig att skapa regler för tillåtna listor.

Incidenthantering

Defender för molnet identifierar och varnar dig för hot när de inträffar. Organisationen bör övervaka om det kommer nya säkerhetsaviseringar och vidta de åtgärder som behövs för att undersöka vidare eller stoppa angreppet. Mer information om hur Defender för molnet skydd mot hot fungerar finns i Så här identifierar och svarar Defender för molnet på hot.

Även om vi inte kan skapa din incidenthanteringsplan använder vi Microsoft Azure Security Response i molnlivscykeln som grund för incidenthanteringssteg. Stegen för incidenthantering i molnlivscykeln är:

Kommentar

National Institute of Standards and Technology (NIST) har en handbok för hantering av datasäkerhetsrelaterade incidenter som kan vara till hjälp när du vill skapa en egen plan.

Du kan använda Defender för molnet aviseringar under följande steg:

• Identifiera: Identifiera misstänkt aktivitet i en eller flera resurser.

• Utvärdera: Utför en första utvärdering för att få mer information om den misstänkta aktiviteten.

• Diagnostisera: Gå igenom de tekniska rutinerna genom att utföra åtgärdsstegen för att åtgärda problemet.

I säkerhetsaviseringarna finns information som gör att du kan förstå vilken typ av angrepp det rör sig om och vad du kan göra för att åtgärda angreppet. I vissa aviseringar finns länkar antingen till mer information eller till andra informationskällor inom Azure. Du kan använda informationen för ytterligare forskning och för att påbörja åtgärdsarbetet. Du kan också söka säkerhetsrelaterade data som lagras på din arbetsyta.

Följande exempel visar en misstänkt RDP-aktivitet:

Den här sidan visar information om när angreppet upptäcktes, varifrån det kommer och vilken virtuell dator som är drabbad, och här finns även rekommendationer för vad du bör göra. I vissa fall kan källinformationen för attacken vara tom. Mer information om den här typen av beteende finns i Källinformation saknas i Defender för molnet aviseringar.

När du har identifierat det komprometterade systemet kan du köra en arbetsflödesautomation som skapades tidigare. Arbetsflödesautomatiseringar är en samling procedurer som kan köras från Defender för molnet när de utlöses av en avisering.

Kommentar

Läs Hantera och svara på säkerhetsaviseringar i Defender för molnet för mer information om hur du använder Defender för molnet funktioner för att hjälpa dig under din incidenthanteringsprocess.

Nästa steg

I det här dokumentet har du lärt dig hur du planerar för Defender för molnet införande. Läs mer om Defender för molnet:

• Hantera och svara på säkerhetsaviseringar i Defender för molnet
• Övervaka partnerlösningar med Defender för molnet – Lär dig hur du övervakar hälsotillståndet för dina partnerlösningar.
• Defender för molnet vanliga frågor – Hitta vanliga frågor om hur du använder tjänsten.
• Azure Security-blogg – Läs blogginlägg om säkerhet och efterlevnad i Azure.