Säkerhetskontroll: Slutpunktssäkerhet
Slutpunktssäkerhet omfattar kontroller i slutpunktsidentifiering och svar, inklusive användning av slutpunktsidentifiering och svar (EDR) och tjänst för skydd mot skadlig kod för slutpunkter i molnmiljöer.
ES-1: Använd Slutpunktsidentifiering och svar (EDR)
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 13,7 | SC-3, SI-2, SI-3, SI-16 | 11.5 |
Säkerhetsprincip: Aktivera funktioner för slutpunktsidentifiering och svar (EDR) för virtuella datorer och integrera med SIEM- och säkerhetsåtgärdsprocesser.
Azure-vägledning: Microsoft Defender för servrar (med Microsoft Defender för Endpoint integrerade) ger EDR-funktioner för att förhindra, identifiera, undersöka och svara på avancerade hot.
Använd Microsoft Defender för molnet för att distribuera Microsoft Defender för servrar på dina slutpunkter och integrera aviseringarna i SIEM-lösningen, till exempel Microsoft Sentinel.
Azure-implementering och ytterligare kontext:
- Introduktion till Azure Defender för servrar
- Microsoft Defender för Endpoint översikt
- Microsoft Defender för molnfunktionstäckning för datorer
- Anslutningsprogram för Defender för servrar-integrering i SIEM
AWS-vägledning: Registrera ditt AWS-konto i Microsoft Defender för molnet och distribuera Microsoft Defender för servrar (med Microsoft Defender för Endpoint integrerat) på dina EC2-instanser för att tillhandahålla EDR-funktioner för att förhindra, identifiera, undersöka och svara på avancerade hot.
Du kan också använda Amazon GuardDuty-funktionen för integrerad hotinformation för att övervaka och skydda dina EC2-instanser. Amazon GuardDuty kan identifiera avvikande aktiviteter som aktivitet som indikerar en instanskompromation, till exempel utvinning av kryptovaluta, skadlig kod med hjälp av algoritmer för domängenerering (DGA), utgående överbelastningsaktivitet, ovanligt hög volym nätverkstrafik, ovanliga nätverksprotokoll, utgående instanskommunikation med en känd skadlig IP-adress, tillfälliga Amazon EC2-autentiseringsuppgifter som används av en extern IP-adress och dataexfiltrering med DNS.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Registrera ditt GCP-projekt i Microsoft Defender för molnet och distribuera Microsoft Defender för servrar (med Microsoft Defender för Endpoint integrerat) på dina virtuella datorinstanser för att tillhandahålla EDR-funktioner för att förhindra, identifiera, undersöka och svara på avancerade hot.
Du kan också använda Googles Security Command Center för integrerad hotinformation för att övervaka och skydda dina virtuella datorinstanser. Security Command Center kan identifiera avvikande aktivitet, till exempel potentiellt läckta autentiseringsuppgifter, utvinning av kryptovalutor, potentiellt skadliga program, skadlig nätverksaktivitet med mera.
GCP-implementering och ytterligare kontext:
- Skydda dina slutpunkter med Defender for Clouds integrerade EDR-lösning:
- Översikt över Security Command Center:
Kunders säkerhetsintressenter (Läs mer):
- Infrastruktur- och slutpunktssäkerhet
- Hotinformation
- Hantering av säkerhetsefterlevnad
- Statushantering
ES-2: Använd modern programvara mot skadlig kod
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 10.1 | SC-3, SI-2, SI-3, SI-16 | 5,1 |
Säkerhetsprincip: Använd lösningar mot skadlig kod (även kallat slutpunktsskydd) som kan skydda i realtid och periodisk genomsökning.
Azure-vägledning: Microsoft Defender för molnet kan automatiskt identifiera användningen av ett antal populära lösningar mot skadlig kod för dina virtuella datorer och lokala datorer med Azure Arc konfigurerat och rapportera statusen för slutpunktsskydd som körs och ge rekommendationer.
Microsoft Defender Antivirus är standardlösningen mot skadlig kod för Windows Server 2016 och senare. För Windows Server 2012 R2 använder du Microsoft Antimalware-tillägget för att aktivera SCEP (System Center Endpoint Protection). För virtuella Linux-datorer använder du Microsoft Defender för Endpoint på Linux för slutpunktsskyddsfunktionen.
För både Windows och Linux kan du använda Microsoft Defender för molnet för att identifiera och utvärdera hälsostatusen för lösningen mot skadlig kod.
Obs! Du kan också använda Microsoft Defender för Molnets Defender for Storage för att identifiera skadlig kod som laddats upp till Azure Storage-konton.
Azure-implementering och ytterligare kontext:
- Slutpunktsskyddslösningar som stöds
- Konfigurera Microsoft Antimalware för Cloud Services och virtuella datorer
AWS-vägledning: Registrera ditt AWS-konto i Microsoft Defender för molnet så att Microsoft Defender för molnet automatiskt kan identifiera användningen av några populära lösningar mot skadlig kod för EC2-instanser med Azure Arc konfigurerad och rapportera slutpunktsskyddskörningsstatusen och ge rekommendationer.
Distribuera Microsoft Defender Antivirus som är standardlösningen mot skadlig kod för Windows Server 2016 och senare. För EC2-instanser som kör Windows Server 2012 R2 använder du Microsoft Antimalware-tillägget för att aktivera SCEP (System Center Endpoint Protection). För EC2-instanser som kör Linux använder du Microsoft Defender för Endpoint i Linux för slutpunktsskyddsfunktionen.
För både Windows och Linux kan du använda Microsoft Defender för molnet för att identifiera och utvärdera hälsostatusen för lösningen mot skadlig kod.
Obs! Microsoft Defender Cloud stöder även vissa slutpunktsskyddsprodukter från tredje part för identifierings- och hälsostatusutvärderingen.
AWS-implementering och ytterligare kontext:
- GuardDuty EC2-sökning
- Microsoft Defender slutpunktsskyddslösningar som stöds
- Rekommendationer för slutpunktsskydd i Microsoft Defender för moln
GCP-vägledning: Registrera dina GCP-projekt i Microsoft Defender för molnet så att Microsoft Defender för molnet automatiskt kan identifiera användningen av populära lösningar mot skadlig kod för virtuella datorinstanser med Azure Arc konfigurerat och rapportera slutpunktsskyddsstatusen och ge rekommendationer.
Distribuera Microsoft Defender Antivirus som är standardlösningen mot skadlig kod för Windows Server 2016 och senare. För virtuella datorinstanser som kör Windows Server 2012 R2 använder du Microsoft Antimalware tillägg för att aktivera SCEP (System Center Endpoint Protection). För virtuella datorinstanser som kör Linux använder du Microsoft Defender för Endpoint på Linux för slutpunktsskyddsfunktionen.
För både Windows och Linux kan du använda Microsoft Defender för molnet för att identifiera och utvärdera hälsostatusen för lösningen mot skadlig kod.
Obs! Microsoft Defender Cloud stöder även vissa slutpunktsskyddsprodukter från tredje part för identifierings- och hälsostatusutvärderingen.
GCP-implementering och ytterligare kontext:
- Microsoft Defender slutpunktsskyddslösningar som stöds:
- Rekommendationer för slutpunktsskydd i Microsoft Defender för moln:
Kunders säkerhetsintressenter (Läs mer):
- Infrastruktur- och slutpunktssäkerhet
- Hotinformation
- Hantering av säkerhetsefterlevnad
- Statushantering
ES-3: Se till att programvara och signaturer mot skadlig kod uppdateras
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 10,2 | SI-2, SI-3 | 5.2 |
Säkerhetsprincip: Se till att signaturer mot skadlig kod uppdateras snabbt och konsekvent för lösningen mot skadlig kod.
Azure-vägledning: Följ rekommendationerna i Microsoft Defender för molnet för att hålla alla slutpunkter uppdaterade med de senaste signaturerna. Microsoft Antimalware (för Windows) och Microsoft Defender för Endpoint (för Linux) installerar automatiskt de senaste signaturerna och motoruppdateringarna som standard.
För lösningar från tredje part kontrollerar du att signaturerna uppdateras i lösningen mot skadlig kod från tredje part.
Azure-implementering och ytterligare kontext:
- Distribuera Microsoft Antimalware för Cloud Services och virtuell dator
- Utvärdering och rekommendationer för slutpunktsskydd i Microsoft Defender för molnet
AWS-vägledning: Med ditt AWS-konto registrerat i Microsoft Defender för molnet följer du rekommendationerna i Microsoft Defender för molnet för att hålla alla slutpunkter uppdaterade med de senaste signaturerna. Microsoft Antimalware (för Windows) och Microsoft Defender för Endpoint (för Linux) installerar automatiskt de senaste signaturerna och motoruppdateringarna som standard.
För lösningar från tredje part kontrollerar du att signaturerna uppdateras i lösningen mot skadlig kod från tredje part.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Med dina GCP-projekt registrerade i Microsoft Defender för molnet följer du rekommendationerna i Microsoft Defender för molnet för att hålla alla EDR-lösningar uppdaterade med de senaste signaturerna. Microsoft Antimalware (för Windows) och Microsoft Defender för Endpoint (för Linux) installerar automatiskt de senaste signaturerna och motoruppdateringarna som standard.
För lösningar från tredje part kontrollerar du att signaturerna uppdateras i lösningen mot skadlig kod från tredje part.
GCP-implementering och ytterligare kontext:
Kunders säkerhetsintressenter (Läs mer):