Hantera infrastruktursäkerhet med hjälp av Defender för molnet

  • 10 minuter

Eftersom företaget är en finansiell organisation måste det uppfylla de högsta säkerhetskraven. Varje kund- eller partnertransaktion måste vara helt skyddad mot hot och du måste också effektivt reagera på potentiella hot. Om till exempel en virtuell dator (VM) komprometteras måste du agera snabbt för att åtgärda problemet.

I den här lektionen beskrivs hur du skyddar resurser och hanterar hot med hjälp av Microsoft Defender för molnet. Defender för molnet hjälper dig att säkerställa att säkerhetskonfigurationen för infrastrukturen är så säker som möjligt.

Du kan använda Defender för molnet för att:

  • Förstå arkitekturens säkerhetsstatus.
  • Identifiera och åtgärda risker och hot mot din infrastruktur.
  • Skydda en komplex infrastruktur med hjälp av traditionella interna kunskaper och kapital.
  • Skydda en infrastruktur som består av lokala resurser och molnresurser.

Förstå din säkerhetsstatus

Du måste förstå arkitekturens säkerhetsstatus för att hjälpa dig att skapa och underhålla bättre infrastrukturer. Defender för molnet hjälper dig att förstå säkerheten i din arkitektur genom att ge dig detaljerade analyser av olika komponenter i din miljö, inklusive:

  • Datasäkerhet
  • Nätverkssäkerhet
  • Identitet och åtkomst
  • Programsäkerhet

Defender för molnet använder Azure Monitor-loggar för att samla in data från dina virtuella datorer för att övervaka säkerhetsrisker och hot. En agent läser olika säkerhetsrelaterade konfigurationer och händelseloggar från den virtuella datorn och kopierar data till Log Analytics-arbetsytan för analys.

Defender för molnet rekommenderar sätt att åtgärda de problem och risker som upptäcks. Du kan använda rekommendationer för att förbättra säkerheten och efterlevnaden för din arkitektur.

Screenshot of recommendation in Microsoft Defender for Cloud.

Skydda dig mot risker

Du kan använda Defender för molnet jit-åtkomst (just-in-time) och anpassningsbara programkontroller för att blockera misstänkt aktivitet och skydda dina resurser. Om du vill komma åt dessa kontroller väljer du Arbetsbelastningsskydd i avsnittet Molnsäkerhet i Defender för molnet vänstra navigeringen.

JIT VM-åtkomst

Du kan skydda dina virtuella datorer med hjälp av jit-åtkomstfunktionen (just-in-time) för att blockera beständig åtkomst till virtuella datorer. Dina virtuella datorer kan endast nås baserat på granskad åtkomst som du konfigurerar.

Om du vill aktivera JIT väljer du Just-in-time VM-åtkomstskärmen Arbetsbelastningsskydd under Avancerat skydd. På sidan Just-in-time-åtkomst till virtuell dator markerar du kryssrutorna bredvid en eller flera virtuella datorer i listan Inte konfigurerad och väljer sedan Aktivera JIT på (antal) virtuella datorer för att konfigurera JIT för de virtuella datorerna.

Defender för molnet visar en lista över standardportar som JIT riktar in sig på, eller så kan du konfigurera dina egna portar.

Screenshot of JIT configuration.

Anpassningsbara programkontroller

Du kan använda anpassningsbara programkontroller för att styra vilka program som tillåts köras på dina virtuella datorer. Defender för molnet använder maskininlärning för att titta på de processer som körs på dina virtuella datorer, skapa undantagsregler för varje resursgrupp som innehåller dina virtuella datorer och ge rekommendationer.

Om du vill konfigurera anpassningsbara kontroller väljer du Anpassningsbar programkontrollskärmen Arbetsbelastningsskydd under Avancerat skydd. Skärmen Anpassningsbara programkontroller visar en lista över resursgrupper som innehåller dina virtuella datorer. På fliken Rekommenderas visas de resursgrupper som Defender för molnet rekommenderar för anpassningsbara programkontroller.

Screenshot of Adaptive application controls.

Välj en resursgrupp och använd skärmen Konfigurera programkontrollregler för att rikta in sig på virtuella datorer och program som ska ha kontrollreglerna tillämpade.

Reagera på hot

Defender för molnet ger dig en centraliserad vy över alla dina säkerhetsaviseringar, rangordnade efter deras allvarlighetsgrad. Du kan visa dina säkerhetsaviseringar genom att välja Säkerhetsaviseringar i det Defender för molnet vänstra navigeringsfältet.

Screenshot of security alerts.

Defender för molnet kombinerar relaterade aviseringar till en enda säkerhetsincident så mycket som möjligt. Välj en incident för att se de specifika säkerhetsaviseringar som incidenten innehåller.

Öka detaljnivån i en avisering genom att välja aviseringen och sedan välja Visa fullständig information.

Screenshot of incident details.

Defender för molnet kan hjälpa dig att svara på hot snabbare och på ett automatiserat sätt genom att vidta åtgärder. Välj Nästa: Vidta åtgärder för att vidta åtgärder i aviseringen.

Screenshot of alert details.

Expandera något av följande avsnitt för att vidta åtgärder i aviseringen:

  • Granska resurskontexten för att undersöka resursloggarna runt tidpunkten för aviseringen.
  • Minimera hotet om du vill se förslag på hur du minimerar eller åtgärdar hotet.
  • Förhindra framtida attacker för att implementera säkerhetsrekommendationer.
  • Utlös automatiserat svar för att utlösa en logikapp som ett automatiserat svar på den här säkerhetsaviseringen.
  • Ignorera liknande aviseringar genom att skapa en undertryckningsregel med fördefinierade villkor.
  • Konfigurera inställningar för e-postavisering för att välja vem som ska meddelas om aviseringen och under vilka villkor.

Screenshot of the Take action pane.

I aviseringsinformationen bör du stänga aviseringar om ingen åtgärd krävs, till exempel om det finns falska positiva identifieringar. Du bör agera för att hantera kända attacker, till exempel genom att blockera kända skadliga IP-adresser, och du bör bestämma vilka aviseringar som kräver mer undersökning.

Screenshot of alert status.

Testa dina kunskaper

1.

Hur kan du använda Defender för molnet för att förhindra beständig åtkomst till dina virtuella datorer?

2.

Hur kan du automatisera svar på Defender för molnet aviseringar?