Integrera Microsoft Defender for Cloud med Azure VMware Solution

  • Artikel
  • 4 minuter för att läsa

Microsoft Defender for Cloud ger avancerat skydd mot Azure VMware Solution virtuella datorer och lokala virtuella datorer. Den utvärderar säkerhetsrisken för virtuella Azure VMware Solution datorer och höja aviseringarna efter behov. Dessa säkerhetsaviseringar kan vidarebefordras till Azure Monitor för lösning. Du kan definiera säkerhetsprinciper i Microsoft Defender för molnet. Mer information finns i Arbeta med säkerhetsprinciper.

Microsoft Defender for Cloud erbjuder många funktioner, inklusive:

  • Övervakning av filintegritet
  • Identifiering av fillös attack
  • Utvärdering av operativsystemskorrigering
  • Utvärdering av säkerhetsfelkonfigurationer
  • Utvärdering av slutpunktsskydd

Diagrammet visar den integrerade övervakningsarkitekturen för integrerad säkerhet för Azure VMware Solution virtuella datorer.

Diagram som visar arkitekturen i Azure Integrated Security.

Log Analytics-agenten samlar in loggdata från Azure, Azure VMware Solution och lokala virtuella datorer. Loggdata skickas till en Azure Monitor och lagras på en Log Analytics-arbetsyta. Varje arbetsyta har en egen datalager och konfiguration för att lagra data. När loggarna har samlats in utvärderar Microsoft Defender for Cloud sårbarhetsstatusen för de Azure VMware Solution virtuella datorerna och höja en avisering för eventuella kritiska säkerhetsrisk. Efter en bedömning vidarebefordrar Microsoft Defender for Cloud sårbarhetsstatusen till Microsoft Sentinel för att skapa en incident och mappa med andra hot. Microsoft Defender for Cloud är anslutet till Microsoft Sentinel med Microsoft Defender för Cloud Connector.

Förutsättningar

Lägga Azure VMware Solution virtuella datorer i Defender for Cloud

  1. I Azure Portal du på Azure Arc och markerar den.

  2. Under Resurser väljer du Servrar och sedan +Lägg till.

    Skärmbild som visar Azure Arc serversidan för att lägga till en Azure VMware Solution virtuell dator i Azure.

  3. Välj Generera skript.

    Skärmbild av Azure Arc visar alternativet för att lägga till en server med hjälp av ett interaktivt skript.

  4. fliken Förutsättningar väljer du Nästa.

  5. På fliken Resursinformation fyller du i följande information och väljer sedan Nästa: Taggar.

    • Prenumeration

    • Resursgrupp

    • Region

    • Operativsystem

    • Information om proxyserver

  6. På fliken Taggar väljer du Nästa.

  7. På fliken Ladda ned och kör skript väljer du Ladda ned.

  8. Ange operativsystemet och kör skriptet på den virtuella Azure VMware Solution datorn.

Visa rekommendationer och godkända utvärderingar

Rekommendationer och utvärderingar ger dig information om säkerhetshälsan för din resurs.

  1. I Microsoft Defender för moln väljer du Inventering i den vänstra rutan.

  2. För Resurstyp väljer du Servrar - Azure Arc.

    Skärmbild som visar sidan Microsoft Defender för molninventering med alternativet Servrar Azure Arc valt under Resurstyp.

  3. Välj namnet på din resurs. En sida öppnas med information om säkerhetshälsa för din resurs.

  4. Under Rekommendationslista väljer du flikarna Rekommendationer, Godkända utvärderingar och Ej tillgängliga utvärderingar för att visa den här informationen.

    Skärmbild som visar säkerhetsrekommendationer och utvärderingar för Microsoft Defender for Cloud.

Distribuera en Microsoft Sentinel-arbetsyta

Microsoft Sentinel tillhandahåller säkerhetsanalys, aviseringsidentifiering och automatiserad hotsvar i en miljö. Det är en molnbaserad SIEM-lösning (Security Information Event Management) som bygger på en Log Analytics-arbetsyta.

Eftersom Microsoft Sentinel är byggt på en Log Analytics-arbetsyta behöver du bara välja den arbetsyta som du vill använda.

  1. I Azure Portal du efter Microsoft Sentinel och väljer det.

  2. På sidan Microsoft Sentinel-arbetsytor väljer du +Lägg till.

  3. Välj Log Analytics-arbetsytan och välj Lägg till.

Aktivera datainsamlare för säkerhetshändelser

  1. På sidan Microsoft Sentinel-arbetsytor väljer du den konfigurerade arbetsytan.

  2. Under Konfiguration väljer du Datakopplingar.

  3. Under kolumnen Namn på anslutningsapp väljer du Säkerhetshändelser i listan och väljer sedan Öppna anslutningssidan.

  4. På anslutningssidan väljer du de händelser som du vill strömma och väljer sedan Tillämpa ändringar.

    Skärmbild av sidan Säkerhetshändelser i Microsoft Sentinel där du kan välja vilka händelser som ska strömmas.

Anslut Microsoft Sentinel med Microsoft Defender för molnet

  1. På sidan Microsoft Sentinel-arbetsyta väljer du den konfigurerade arbetsytan.

  2. Under Konfiguration väljer du Datakopplingar.

  3. Välj Microsoft Defender for Cloud i listan och välj sedan Öppna anslutningssidan.

    Skärmbild av sidan dataanslutningsappar i Microsoft Sentinel som visar val för att ansluta Microsoft Defender för molnet med Microsoft Sentinel.

  4. Välj Anslut för att ansluta Microsoft Defender för moln med Microsoft Sentinel.

  5. Aktivera Skapa incident för att generera en incident för Microsoft Defender för molnet.

Skapa regler för att identifiera säkerhetshot

När du har anslutit datakällor till Microsoft Sentinel kan du skapa regler för att generera aviseringar för identifierade hot. I följande exempel skapar vi en regel för försök att logga in på Windows server med fel lösenord.

  1. På översiktssidan för Microsoft Sentinel går du till Konfigurationer och väljer Analytics.

  2. Under Konfigurationer väljer du Analytics.

  3. Välj +Skapa och välj Schemalagd frågeregel i listrutan.

  4. På fliken Allmänt anger du nödvändig information och väljer sedan Nästa: Ange regellogik.

    • Name

    • Beskrivning

    • Taktiker

    • Allvarlighetsgrad

    • Status

  5. På fliken Ange regellogik anger du nödvändig information och väljer sedan Nästa.

    • Regelfråga (här visar vår exempelfråga)

      SecurityEvent
|where Activity startswith '4625'
|summarize count () by IpAddress,Computer
|where count_ > 3

    • Mappa entiteter

    • Schemaläggning av frågor

    • Aviseringströskelvärde

    • Händelsegruppering

    • Undertryckning

  6. På fliken Incidentinställningar aktiverar du Skapa incidenter från aviseringar som utlöses av den här analysregeln och väljer Nästa: Automatiserat svar.

    Skärmbild som visar guiden Analysregel för att skapa en ny regel i Microsoft Sentinel.

  7. Välj Nästa: Granskning.

  8. På fliken Granska och skapa granskar du informationen och väljer Skapa.

Tips

Efter det tredje misslyckade försöket att logga in på Windows server utlöser den skapade regeln en incident för varje misslyckat försök.

Visa aviseringar

Du kan visa genererade incidenter med Microsoft Sentinel. Du kan också tilldela incidenter och stänga dem när de har lösts, allt inifrån Microsoft Sentinel.

  1. Gå till översiktssidan för Microsoft Sentinel.

  2. Under Hothantering väljer du Incidenter.

  3. Välj en incident och tilldela den sedan till ett team för lösning.

    Skärmbild av sidan Incidenter i Microsoft Sentinel med incident valt och alternativ för att tilldela incidenten för lösning.

Tips

När du har löst problemet kan du stänga det.

Sök efter säkerhetshot med frågor

Du kan skapa frågor eller använda den tillgängliga fördefinierade frågan i Microsoft Sentinel för att identifiera hot i din miljö. Följande steg kör en fördefinierad fråga.

  1. På översiktssidan för Microsoft Sentinel går du till Hothantering och väljer Jakt. En lista över fördefinierade frågor visas.

    Tips

    Du kan också skapa en ny fråga genom att välja Ny fråga.

    Skärmbild av sidan Jakt i Microsoft Sentinel med + Ny fråga markerat.

  2. Välj en fråga och välj sedan Kör fråga.

  3. Välj Visa resultat för att kontrollera resultatet.

Nästa steg

Nu när du har gått in på hur du skyddar dina virtuella Azure VMware Solution kanske du vill lära dig mer om: