Infrastrukturintegreringar

Infrastrukturen omfattar maskinvara, programvara, mikrotjänster, nätverksinfrastruktur och de anläggningar som krävs för att stödja IT-tjänster för en organisation. Zero Trust-infrastrukturlösningar utvärderar, övervakar och förhindrar säkerhetshot mot dessa tjänster.

Zero Trust-infrastrukturlösningar stöder principerna noll förtroende genom att se till att åtkomst till infrastrukturresurser verifieras explicit, åtkomst beviljas med principer för åtkomst med lägsta behörighet och mekanismer som förutsätter intrång och söker efter och åtgärdar säkerhetshot i infrastrukturen.

Den här vägledningen är avsedd för programvaruleverantörer och teknikpartner som vill förbättra sina säkerhetslösningar för infrastrukturen genom att integrera med Microsoft-produkter.

Guide för Zero Trust-integrering för infrastruktur

Den här integreringsguiden innehåller strategi och instruktioner för integrering med Microsoft Defender för molnet och dess integrerade CWPP(Cloud Workload Protection Platform), Microsoft Defender för molnet.

Vägledningen omfattar integreringar med de mest populära lösningarna för säkerhetsinformations- och händelsehantering (SIEM), soar (Security Orchestration Automated Response), slutpunktsidentifiering och svar (EDR) och ITSM-lösningar (IT Service Management).

Noll förtroende och Defender för molnet

Vår distributionsvägledning för Zero Trust-infrastrukturen innehåller viktiga steg i nollförtroendestrategin för infrastruktur. Dessa är:

  1. Utvärdera efterlevnaden av valda standarder och principer
  2. Härda konfigurationen där det finns luckor
  3. Använda andra härdningsverktyg, till exempel jit-åtkomst (just-in-time) för virtuella datorer
  4. Konfigurera hotidentifiering och skydd
  5. Blockera och flagga riskfyllt beteende automatiskt och vidta skyddsåtgärder

Det finns en tydlig mappning från de mål som vi har beskrivit i vägledningen för infrastrukturdistribution till kärnaspekterna i Defender för molnet.

Noll förtroendemål Defender för molnet-funktionen
Utvärdera kompatibilitet I Defender för molnet har varje prenumeration automatiskt säkerhetsinitiativet Azure Security Benchmark tilldelat.
Med hjälp av verktygen för säkerhetspoäng och instrumentpanelen för regelefterlevnad kan du få en djup förståelse för kundens säkerhetsstatus.
Härdningskonfiguration Genom att tilldela säkerhetsinitiativ till prenumerationer och granska säkerhetspoängen får du de härdningsrekommendationer som är inbyggda i Defender för molnet. Defender för molnet analyserar regelbundet efterlevnadsstatusen för resurser för att identifiera potentiella felkonfigurationer och svagheter i säkerheten. Den ger sedan rekommendationer om hur du kan åtgärda dessa problem.
Använda härdningsmekanismer Förutom engångskorrigeringar av felaktiga säkerhetskonfigurationer erbjuder Defender för molnet verktyg för att säkerställa fortsatt härdning, till exempel:
Jit-åtkomst (Just-in-time) för virtuell dator (VM)
Anpassningsbar nätverkshärdning
Anpassningsbara programkontroller.
Konfigurera hotidentifiering Defender för molnet erbjuder en integrerad molnplattform för arbetsbelastningsskydd (CWPP), Microsoft Defender för molnet.
Microsoft Defender för molnet tillhandahåller avancerat, intelligent skydd av Azure och hybridresurser och arbetsbelastningar.
Ett av Microsoft Defender-abonnemangen, Microsoft Defender för servrar, innehåller en intern integrering med Microsoft Defender för Endpoint.
Läs mer i Introduktion till Microsoft Defender för molnet.
Blockera misstänkt beteende automatiskt Många av härdningsrekommendationerna i Defender för molnet erbjuder ett neka-alternativ . Med den här funktionen kan du förhindra att resurser skapas som inte uppfyller definierade härdningsvillkor. Läs mer i Prevent misconfigurations with Enforce/Deny recommendations (Förhindra felkonfigurationer med rekommendationer för framtvinga/neka).
Flagga automatiskt misstänkt beteende Säkerhetsaviseringar i Microsoft Defender för molnet utlöses av avancerade identifieringar. Defender för molnet prioriterar och listar aviseringarna, tillsammans med den information som behövs för att du snabbt ska kunna undersöka problemet. Defender för molnet innehåller också detaljerade steg som hjälper dig att åtgärda attacker. En fullständig lista över tillgängliga aviseringar finns i Säkerhetsaviseringar – en referensguide.

Skydda dina Azure PaaS-tjänster med Defender för molnet

När Defender för molnet är aktiverat för din prenumeration och Microsoft Defender för molnet är aktiverat för alla tillgängliga resurstyper har du ett lager med intelligent hotskydd – som drivs av Microsoft Threat Intelligence – som skyddar resurser i Azure Key Vault, Azure Storage, Azure DNS och andra Azure PaaS-tjänster. En fullständig lista finns i Vilka resurstyper kan Microsoft Defender för molnet skydda?.

Azure Logic Apps

Använd Azure Logic Apps för att skapa automatiserade skalbara arbetsflöden, affärsprocesser och företagsorkestreringar för att integrera dina appar och data i molntjänster och lokala system.

Med arbetsflödesautomatiseringsfunktionen i Defender för molnet kan du automatisera svar på Defender för molnet-utlösare.

Det här är ett bra sätt att definiera och reagera på ett automatiserat och konsekvent sätt när hot identifieras. Om du till exempel vill meddela relevanta intressenter startar du en ändringshanteringsprocess och tillämpar specifika åtgärdssteg när ett hot identifieras.

Integrera Defender för molnet med dina SIEM-, SOAR- och ITSM-lösningar

Microsoft Defender för molnet kan strömma dina säkerhetsaviseringar till de populäraste siem-lösningarna (Security Information and Event Management), Security Orchestration Automated Response (SOAR) och ITSM (IT Service Management).

Det finns Azure-inbyggda verktyg för att se till att du kan visa dina aviseringsdata i alla de populäraste lösningarna som används idag, inklusive:

  • Microsoft Sentinel
  • Splunk Enterprise och Splunk Cloud
  • IBM:s QRadar
  • ServiceNow
  • ArcSight
  • Power BI
  • Palo Alto Networks

Microsoft Sentinel

Defender för molnet integreras internt med Microsoft Sentinel, Microsofts molnbaserade SIEM-lösning (Security Information Event Management) och SOAR-lösningen (Security Orchestration Automated Response).

Det finns två sätt att se till att dina Defender for Cloud-data representeras i Microsoft Sentinel:

Stream-aviseringar med Microsoft Graph Security API

Defender för molnet har en färdig integrering med Microsoft Graph Security API. Ingen konfiguration krävs och det tillkommer inga ytterligare kostnader.

Du kan använda det här API:et för att strömma aviseringar från hela klientorganisationen (och data från många andra Microsoft Security-produkter) till SIEM från tredje part och andra populära plattformar:

Läs mer om Säkerhets-API för Microsoft Graph.

Strömma aviseringar med Azure Monitor

Använd defender för molnets kontinuerliga exportfunktion för att ansluta Defender för molnet med Azure Monitor via Azure Event Hubs och strömma aviseringar till ArcSight, SumoLogic, Syslog-servrar, LogRhythm, Logz.io Cloud Observability Platform och andra övervakningslösningar.

Läs mer i Stream-aviseringar med Azure Monitor.

Detta kan också göras på hanteringsgruppsnivå med hjälp av Azure Policy. Mer information finns i Skapa automatiseringskonfigurationer för kontinuerlig export i stor skala.

Tips

Om du vill visa händelsescheman för de exporterade datatyperna går du till Händelsehubbens händelsescheman.

Integrera Defender för molnet med en lösning för slutpunktsidentifiering och svar (EDR)

Microsoft Defender för slutpunkter

Microsoft Defender för Endpoint är en holistisk, molnlevererad slutpunktssäkerhetslösning.

Defender för molnets integrerade CWPP för datorer, Microsoft Defender för servrar, innehåller en integrerad licens för Microsoft Defender för Endpoint. Tillsammans tillhandahåller de omfattande funktioner för slutpunktsidentifiering och svar (EDR). Mer information finns i Skydda dina slutpunkter.

När Defender för Endpoint identifierar ett hot utlöses en avisering. Aviseringen visas i Defender för molnet. Från Defender för molnet kan du också pivotleda till Defender för Endpoint-konsolen och utföra en detaljerad undersökning för att ta reda på attackens omfattning. Läs mer om Microsoft Defender för Endpoint.

Andra EDR-lösningar

Defender för molnet innehåller härdningsrekommendationer för att säkerställa att du skyddar organisationens resurser enligt vägledningen i Azure Security Benchmark. En av kontrollerna i riktmärket avser slutpunktssäkerhet: ES-1: Använd slutpunktsidentifiering och svar (EDR).

Det finns två rekommendationer i Defender för molnet för att säkerställa att du har aktiverat slutpunktsskydd och att det fungerar bra. De här rekommendationerna kontrollerar förekomsten och driftshälsan för EDR-lösningar från:

  • Trend Micro
  • Symantec
  • Mcafee
  • Sophos

Läs mer i Utvärdering och rekommendationer för Endpoint Protection i Microsoft Defender för molnet.

Tillämpa din Noll förtroende-strategi på hybridscenarier och scenarier med flera moln

Med molnarbetsbelastningar som ofta omfattar flera molnplattformar måste molnsäkerhetstjänster göra detsamma.

Microsoft Defender för molnet skyddar arbetsbelastningar oavsett var de körs: i Azure, lokalt, Amazon Web Services (AWS) eller Google Cloud Platform (GCP).

Integrera Defender för molnet med lokala datorer

För att skydda arbetsbelastningar i hybridmoln kan du utöka Defender för molnets skydd genom att ansluta lokala datorer till Azure Arc-aktiverade servrar.

Lär dig mer om hur du ansluter datorer i Ansluta dina icke-Azure-datorer till Defender för molnet.

Integrera Defender för molnet med andra molnmiljöer

Om du vill visa säkerhetsstatusen för Amazon Web Services-datorer i Defender för molnet registrerar du AWS-konton i Defender för molnet. Detta integrerar AWS Security Hub och Microsoft Defender för molnet för en enhetlig vy över Defender för molnet-rekommendationer och AWS Security Hub-resultat och ger en rad fördelar enligt beskrivningen i Ansluta dina AWS-konton till Microsoft Defender för molnet.

Om du vill visa säkerhetsstatusen för Google Cloud Platform-datorer i Defender för molnet registrerar du GCP-konton i Defender för molnet. Detta integrerar GCP-säkerhetskommandot och Microsoft Defender för molnet för en enhetlig vy av Defender för molnet-rekommendationer och GCP Security Command Center-resultat och ger en rad fördelar enligt beskrivningen i Ansluta dina GCP-konton till Microsoft Defender för molnet.

Nästa steg

Mer information om Microsoft Defender för molnet och Microsoft Defender för molnet finns i den fullständiga dokumentationen om Defender för molnet.