Dela via


Säkerhetskontroll: Slutpunktssäkerhet

Slutpunktssäkerhet omfattar kontroller i slutpunktsidentifiering och svar, inklusive användning av slutpunktsidentifiering och svar (EDR) och tjänst för skydd mot skadlig kod för slutpunkter i molnmiljöer.

ES-1: Använd Slutpunktsidentifiering och svar (EDR)

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID:n PCI-DSS ID(s) v3.2.1
13,7 SC-3, SI-2, SI-3, SI-16 11.5

Säkerhetsprincip: Aktivera funktioner för slutpunktsidentifiering och svar (EDR) för virtuella datorer och integrera med SIEM- och säkerhetsåtgärdsprocesser.


Azure-vägledning: Microsoft Defender för servrar (med Microsoft Defender för Endpoint integrerade) ger EDR-funktioner för att förhindra, identifiera, undersöka och svara på avancerade hot.

Använd Microsoft Defender för molnet för att distribuera Microsoft Defender för servrar på dina slutpunkter och integrera aviseringarna i SIEM-lösningen, till exempel Microsoft Sentinel.

Azure-implementering och ytterligare kontext:


AWS-vägledning: Registrera ditt AWS-konto i Microsoft Defender för molnet och distribuera Microsoft Defender för servrar (med Microsoft Defender för Endpoint integrerat) på dina EC2-instanser för att tillhandahålla EDR-funktioner för att förhindra, identifiera, undersöka och svara på avancerade hot.

Du kan också använda Amazon GuardDuty-funktionen för integrerad hotinformation för att övervaka och skydda dina EC2-instanser. Amazon GuardDuty kan identifiera avvikande aktiviteter som aktivitet som indikerar en instanskompromation, till exempel utvinning av kryptovaluta, skadlig kod med hjälp av algoritmer för domängenerering (DGA), utgående överbelastningsaktivitet, ovanligt hög volym nätverkstrafik, ovanliga nätverksprotokoll, utgående instanskommunikation med en känd skadlig IP-adress, tillfälliga Amazon EC2-autentiseringsuppgifter som används av en extern IP-adress och dataexfiltrering med DNS.

AWS-implementering och ytterligare kontext:


GCP-vägledning: Registrera ditt GCP-projekt i Microsoft Defender för molnet och distribuera Microsoft Defender för servrar (med Microsoft Defender för Endpoint integrerat) på dina virtuella datorinstanser för att tillhandahålla EDR-funktioner för att förhindra, identifiera, undersöka och svara på avancerade hot.

Du kan också använda Googles Security Command Center för integrerad hotinformation för att övervaka och skydda dina virtuella datorinstanser. Security Command Center kan identifiera avvikande aktivitet, till exempel potentiellt läckta autentiseringsuppgifter, utvinning av kryptovalutor, potentiellt skadliga program, skadlig nätverksaktivitet med mera.

GCP-implementering och ytterligare kontext:


Kunders säkerhetsintressenter (Läs mer):

ES-2: Använd modern programvara mot skadlig kod

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID:n PCI-DSS ID(s) v3.2.1
10.1 SC-3, SI-2, SI-3, SI-16 5,1

Säkerhetsprincip: Använd lösningar mot skadlig kod (även kallat slutpunktsskydd) som kan skydda i realtid och periodisk genomsökning.


Azure-vägledning: Microsoft Defender för molnet kan automatiskt identifiera användningen av ett antal populära lösningar mot skadlig kod för dina virtuella datorer och lokala datorer med Azure Arc konfigurerat och rapportera statusen för slutpunktsskydd som körs och ge rekommendationer.

Microsoft Defender Antivirus är standardlösningen mot skadlig kod för Windows Server 2016 och senare. För Windows Server 2012 R2 använder du Microsoft Antimalware-tillägget för att aktivera SCEP (System Center Endpoint Protection). För virtuella Linux-datorer använder du Microsoft Defender för Endpoint på Linux för slutpunktsskyddsfunktionen.

För både Windows och Linux kan du använda Microsoft Defender för molnet för att identifiera och utvärdera hälsostatusen för lösningen mot skadlig kod.

Obs! Du kan också använda Microsoft Defender för Molnets Defender for Storage för att identifiera skadlig kod som laddats upp till Azure Storage-konton.

Azure-implementering och ytterligare kontext:


AWS-vägledning: Registrera ditt AWS-konto i Microsoft Defender för molnet så att Microsoft Defender för molnet automatiskt kan identifiera användningen av några populära lösningar mot skadlig kod för EC2-instanser med Azure Arc konfigurerad och rapportera slutpunktsskyddskörningsstatusen och ge rekommendationer.

Distribuera Microsoft Defender Antivirus som är standardlösningen mot skadlig kod för Windows Server 2016 och senare. För EC2-instanser som kör Windows Server 2012 R2 använder du Microsoft Antimalware-tillägget för att aktivera SCEP (System Center Endpoint Protection). För EC2-instanser som kör Linux använder du Microsoft Defender för Endpoint i Linux för slutpunktsskyddsfunktionen.

För både Windows och Linux kan du använda Microsoft Defender för molnet för att identifiera och utvärdera hälsostatusen för lösningen mot skadlig kod.

Obs! Microsoft Defender Cloud stöder även vissa slutpunktsskyddsprodukter från tredje part för identifierings- och hälsostatusutvärderingen.

AWS-implementering och ytterligare kontext:


GCP-vägledning: Registrera dina GCP-projekt i Microsoft Defender för molnet så att Microsoft Defender för molnet automatiskt kan identifiera användningen av populära lösningar mot skadlig kod för virtuella datorinstanser med Azure Arc konfigurerat och rapportera slutpunktsskyddsstatusen och ge rekommendationer.

Distribuera Microsoft Defender Antivirus som är standardlösningen mot skadlig kod för Windows Server 2016 och senare. För virtuella datorinstanser som kör Windows Server 2012 R2 använder du Microsoft Antimalware tillägg för att aktivera SCEP (System Center Endpoint Protection). För virtuella datorinstanser som kör Linux använder du Microsoft Defender för Endpoint på Linux för slutpunktsskyddsfunktionen.

För både Windows och Linux kan du använda Microsoft Defender för molnet för att identifiera och utvärdera hälsostatusen för lösningen mot skadlig kod.

Obs! Microsoft Defender Cloud stöder även vissa slutpunktsskyddsprodukter från tredje part för identifierings- och hälsostatusutvärderingen.

GCP-implementering och ytterligare kontext:


Kunders säkerhetsintressenter (Läs mer):

ES-3: Se till att programvara och signaturer mot skadlig kod uppdateras

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID:n PCI-DSS ID(s) v3.2.1
10,2 SI-2, SI-3 5.2

Säkerhetsprincip: Se till att signaturer mot skadlig kod uppdateras snabbt och konsekvent för lösningen mot skadlig kod.


Azure-vägledning: Följ rekommendationerna i Microsoft Defender för molnet för att hålla alla slutpunkter uppdaterade med de senaste signaturerna. Microsoft Antimalware (för Windows) och Microsoft Defender för Endpoint (för Linux) installerar automatiskt de senaste signaturerna och motoruppdateringarna som standard.

För lösningar från tredje part kontrollerar du att signaturerna uppdateras i lösningen mot skadlig kod från tredje part.

Azure-implementering och ytterligare kontext:


AWS-vägledning: Med ditt AWS-konto registrerat i Microsoft Defender för molnet följer du rekommendationerna i Microsoft Defender för molnet för att hålla alla slutpunkter uppdaterade med de senaste signaturerna. Microsoft Antimalware (för Windows) och Microsoft Defender för Endpoint (för Linux) installerar automatiskt de senaste signaturerna och motoruppdateringarna som standard.

För lösningar från tredje part kontrollerar du att signaturerna uppdateras i lösningen mot skadlig kod från tredje part.

AWS-implementering och ytterligare kontext:


GCP-vägledning: Med dina GCP-projekt registrerade i Microsoft Defender för molnet följer du rekommendationerna i Microsoft Defender för molnet för att hålla alla EDR-lösningar uppdaterade med de senaste signaturerna. Microsoft Antimalware (för Windows) och Microsoft Defender för Endpoint (för Linux) installerar automatiskt de senaste signaturerna och motoruppdateringarna som standard.

För lösningar från tredje part kontrollerar du att signaturerna uppdateras i lösningen mot skadlig kod från tredje part.

GCP-implementering och ytterligare kontext:


Kunders säkerhetsintressenter (Läs mer):