規劃與操作指南

  • 發行項

本指南適用於計劃採用「適用於雲端的 Defender」的資訊技術 (IT) 專業人員、IT 架構設計人員、資訊安全性分析師和雲端系統管理員。

規劃指南

本指南提供適用於雲端的 Defender 如何符合您組織的安全性需求和雲端管理模型的背景。 請務必了解您組織中的不同人員或小組如何使用此服務,來滿足安全地開發和作業、監視、治理和事件回應的需求。 規劃使用適用於雲端的 Defender 時,要考慮的主要領域包括:

  • 安全性角色和存取控制
  • 安全性原則和建議
  • 資料收集和儲存體
  • 將非 Azure 資源上線
  • 持續安全性監視
  • 事件回覆

在下一節中,您將學習如何根據需求來規劃每個領域及套用那些建議。

注意

如需在設計和規劃階段也很好用的常見問題清單,請閱讀適用於雲端的 Defender 常見問題集 (部分機器翻譯)。

安全性角色和存取控制

根據您組織的大小和結構,多個個人和小組可以使用適用於雲端的 Defender 來執行不同的安全性相關工作。 在下圖中,您有虛設的角色和其各自的角色和安全性責任的範例:

Roles.

適用於雲端的 Defender 可讓這些個人符合這些不同的責任。 例如:

Jeff (工作負載擁有者)

  • 管理雲端工作負載和其相關的資源。

  • 負責根據公司的安全性原則來實作和維護保護。

Ellen (CISO/CIO)

  • 負責公司安全性的所有層面。

  • 想要了解各雲端工作負載之間公司的安全性狀態。

  • 需要知道有關主要攻擊和風險的資訊。

David (IT 安全性)

  • 設定公司安全性原則,以確保適當的保護已就位。

  • 監視安全性原則的合規性。

  • 產生報告以供主管或稽核人員使用。

Judy (安全性作業)

  • 隨時監視並回應安全性警示。

  • 呈報給雲端工作負載擁有者或 IT 安全性分析師。

Sam (安全性分析師)

  • 調查攻擊。

  • 與雲端工作負載擁有者合作以套用補救方法。

適用於雲端的 Defender 會使用 Azure 角色型存取控制 (Azure 角色型存取控制) (部分機器翻譯),這會提供可在 Azure 中指派給使用者、群組與服務的內建角色 (部分機器翻譯)。 當使用者開啟適用於雲端的 Defender 時,他們只會看到他們有權存取的資源相關資訊。 這表示使用者已將擁有者、參與者或讀取者的角色指派給資源所屬的訂用帳戶或資源群組。 除了這建角色,還有兩個特定的適用於雲端的 Defender 角色:

  • 安全性讀取者:屬於此角色的使用者只能檢視適用於雲端的 Defender 設定,其中包括建議、警示、原則和健康情況,但無法進行變更。

  • 安全性系統管理員:與安全性讀取者相同,但它還可以更新安全性原則、關閉建議和警示。

上圖中說明的角色需要下列 Azure 角色型存取控制角色:

Jeff (工作負載擁有者)

  • 資源群組擁有者/參與者。

Ellen (CISO/CIO)

  • 訂用帳戶擁有者/參與者或安全性管理員。

David (IT 安全性)

  • 訂用帳戶擁有者/參與者或安全性管理員。

Judy (安全性作業)

  • 可檢視警示的訂用帳戶讀者或安全性讀者。

  • 可解除警示的訂用帳戶擁有者/參與者或安全性管理員。

Sam (安全性分析師)

  • 可檢視警示的訂用帳戶讀者。

  • 可解除警示的訂用帳戶擁有者/參與者。

  • 可能需要工作區存取權。

需要考量的其他重要資訊︰

  • 只有訂用帳戶擁有者/參與者和安全性管理員可以編輯安全性原則。

  • 只有訂用帳戶和資源群組擁有者和參與者可以套用資源的安全性建議。

使用適用於雲端的 Defender 的 Azure 角色型存取控制規劃存取控制時,請確定您瞭解組織中誰需要存取適用於雲端的 Defender 上他們將會執行的工作。 然後,您就可以正確地設定 Azure 角色型存取控制。

注意

我們建議您指派所需的最寬鬆角色,以便使用者完成其工作。 例如,只需要檢視資源安全性狀態的相關資訊,但不採取行動 (例如套用建議或編輯原則) 的使用者應被指派「讀者」角色。

安全性原則和建議

安全性原則會定義工作負載所需的設定,並協助確保符合公司或法規安全性需求。 在適用於雲端的 Defender 中,您可以定義 Azure 訂用帳戶的原則,其可針對工作負載類型或資料的敏感度量身打造。

適用於雲端的 Defender 原則包含下列元件:

  • 資料收集:代理程式佈建和資料收集設定。

  • 安全性原則 (部分機器翻譯):決定適用於雲端的 Defender 會監視及建議哪些控制措施的 Azure 原則 (部分機器翻譯)。 您也可以使用 Azure 原則來建立新的定義、定義更多原則,以及跨管理群組指派原則。

  • 電子郵件通知:安全性連絡人和通知設定。

  • 定價層 (部分機器翻譯):包含或不包含適用於雲端的 Microsoft Defender 方案,用來決定哪些適用於雲端的 Defender 功能可用於範圍中的資源 (可以使用 API 針對訂用帳戶和工作區來指定)。

注意

指定安全性連絡人可確保如果發生安全性事件,Azure 可以連絡您組織中適當的人員。 如需如何啟用這項建議的詳細資訊,請閱讀 在適用於雲端的 Defender 中提供安全性連絡人詳細資料

安全性原則的定義和建議

適用於雲端的 Defender 會自動為每個 Azure 訂用帳戶建立預設安全性原則。 您可以在適用於雲端的 Defender 中編輯原則,或使用Azure 原則建立新的定義、定義更多原則,以及跨管理群組指派原則。 管理群組可以代表整個組織或組織內的業務單位。 您可以跨這些管理群組監視原則合規性。

設定安全性原則之前,請先檢閱每個安全性建議 (部分機器翻譯):

  • 查看這些原則是否適用於您的各種訂用帳戶和資源群組。

  • 了解哪些動作可解決安全性建議。

  • 判斷組織中的哪位人員要負責監視和補救新的建議。

資料收集和儲存體

適用於雲端的 Defender 會使用 Log Analytics 代理程式及 Azure 監視器代理程式,從您的虛擬機器收集安全性資料。 從這個代理程式收集的資料 (部分機器翻譯) 會儲存在 Log Analytics 工作區中。

代理程式

在安全性原則中啟用自動佈建時,資料收集代理程式 (部分機器翻譯) 已安裝於所有支援的 Azure VM 和任何新建的 VM 上。 如果 VM 或電腦已經安裝 Log Analytics 代理程式,則適用於雲端的 Defender 將會使用目前已安裝的代理程式。 代理程式的程序會設計為非侵入式,對 VM 效能的影響很小。

如果在某個時間點您想要停用資料收集,您可以在安全性原則中將其關閉。 不過,因為其他 Azure 管理和監視服務可能會使用 Log Analytics 代理程式,所以當您在適用於雲端的 Defender 中關閉資料收集時,並不會自動解除安裝代理程式。 您可以視需要手動解除安裝代理程式。

注意

若要尋找支援的 VM 清單,請閱讀適用於雲端的 Defender 常見問題集 (部分機器翻譯)。

工作區

工作區是作為資料容器的 Azure 資源。 您或組織的其他成員可能會使用多個工作區來管理從您的所有或部份 IT 基礎結構收集而來的不同組資料。

從 Log Analytics 代理程式收集的資料會儲存在與您的 Azure 訂用帳戶相關聯的現有 Log Analytics 工作區或新的工作區中。

在 Azure 入口網站中,您可以瀏覽以查看 Log Analytics 工作區的清單,包括適用於雲端的 Defender 所建立的任何工作區。 會針對新的工作區建立相關的資源群組。 資源會根據此命名慣例建立:

  • 工作區:DefaultWorkspace-[subscription-ID]-[geo]

  • 資源群組:DefaultResourceGroup-[geo]

適用於雲端的 Defender 所建立的工作區,資料會保留 30 天。 自訂工作區的資料保留是根據工作區定價層來計費。 如有需要,您也可以使用現有的工作區。

如果您的代理程式向預設工作區以外的工作區報告,則任何已在訂用帳戶上啟用的適用於雲端的 Defender 之 Defender 方案,也應該在工作區上啟用。

注意

Microsoft 大力承諾會保護此資料的隱私權和安全性。 Microsoft 從撰寫程式碼到運作服務均遵守嚴格的規範與安全性指導方針。 如需資料處理和隱私權的詳細資訊,請閱讀適用於雲端的 Defender 資料安全性

上架非 Azure 資源

適用於雲端的 Defender 可以監視非 Azure 電腦的安全性態勢,但您需要先將這些資源上線。 如需如何將非 Azure 資源上線的詳細資訊,請參閱 將非 Azure 電腦上線

持續安全性監視

在初始設定和應用適用於雲端的 Defender 建議之後,下一個步驟是考慮適用於雲端的 Defender 作業流程。

適用於雲端的 Defender 概觀會提供跨您所有的 Azure 資源和任何您已連線之非 Azure 資源的整合檢視。 此範例顯示具有許多問題必須解決的環境:

Screenshot of Defender for Cloud's overview page.

注意

適用於雲端的 Defender 不會干擾您的一般作業程序。 適用於雲端的 Defender 會被動監視您的部署,並根據您啟用的安全性原則提供建議。

當您第一次選擇為您目前的 Azure 環境使用適用於雲端的 Defender 時,請確定您檢閱所有建議,這可以在 [建議] 頁面中完成。

規劃將瀏覽威脅情報選項作為每日安全性作業的一部分。 您可以在那裡識別環境的安全性威脅,例如識別特定電腦是否屬於殭屍網路。

監視新的或已變更的資源

大部分的 Azure 環境都是動態的,資源會定期建立、啟動或關閉、重新設定及變更。 適用於雲端的 Defender 可協助確保您能夠瞭解這些新資源的安全性狀態。

當您將新的資源 (VM,SQL DB) 新增至您的 Azure 環境時,適用於雲端的 Defender 會自動探索這些資源並開始監視其安全性,包括 PaaS Web 角色和背景工作角色。 如果已在安全性原則 (部分機器翻譯) 中啟用資料收集,則會自動為您的虛擬機器啟用更多監視功能。

您也應該定期監視現有資源是否有可能已建立安全性風險、偏離建議基準與安全性警訊的設定變更。

強化存取和應用程式

在安全性作業中,您也應該採取預防措施來限制對 VM 的存取,並控制在 VM 上執行的應用程式。 藉由鎖定前往您的 Azure VM 的輸入流量,可以降低受攻擊的風險,同時在需要時提供輕鬆存取以連線到 VM。 使用 Just-in-Time VM 存取功能來強化您的 VM 存取。

您可以使用自適性應用程式控制來限制哪些應用程式可以在 Azure 中的 VM 上執行。 除了其他優點之外,自適性應用程式控制可協助強化 VM 抵禦惡意程式碼。 有了機器學習的協助,適用於雲端的 Defender 會分析 VM 中執行的程序,以協助您建立允許清單規則。

事件回應

適用於雲端的 Defender 會在威脅發生時偵測並發警示給您。 組織應監視新的安全性警訊,並視需要採取動作,以進一步調查或補救攻擊。 如需有關適用於雲端的 Defender 威脅防護如何運作的詳細資訊,請參閱適用於雲端的 Defender 如何偵測及回應威脅

雖然我們無法建立您的事件回應計畫,但我們會在雲端生命週期中使用 Microsoft Azure 安全性回應作為事件回應階段的基礎。 雲端生命週期中的事件回應階段如下:

Stages of the incident response in the cloud lifecycle.

注意

您可以使用美國國家標準技術局 (NIST) 的 Computer Security Incident Handling Guide 做為參考來協助您建置自己的計劃。

在下列階段期間,您可以使用適用於雲端的 Defender 警示:

  • 偵測:識別一或多個資源中的可疑活動。

  • 評估:執行初始評估以取得可疑活動的更多資訊。

  • 診斷:使用補救步驟執行技術程序以解決問題。

每個安全性警訊都提供資訊,可用來進一步瞭解攻擊的性質,並建議可能的風險降低措施。 某些警示也會提供詳細資訊或 Azure 內其他資訊來源的連結。 您可以使用提供的資訊進一步研究並開始風險降低措施,也可以搜尋儲存在工作區中的安全性相關資料。

下列範例說明正在發生的可疑 RDP 活動︰

Suspicious activity.

此分頁會顯示有關攻擊發生時間、來源主機名稱、目標 VM 的詳細資訊,也會提供建議步驟。 在某些情況下,攻擊的來源資訊可能是空的。 如需有關這類行為的詳細資訊,請閱讀適用於雲端的 Defender 警示中缺少來源資訊 (英文)。

一旦識別出遭入侵的系統之後,您就可以執行先前建立的工作流程自動化。 工作流程自動化是程序的集合,可以在警示觸發後,從適用於雲端的 Defender 執行。

注意

若要深入了解如何使用適用於雲端的 Defender 功能來為事件回應程序提供協助,請參閱管理及回應適用於雲端的 Defender 的安全性警示

下一步

在本文件中,您已了解如何為採用「適用於雲端的 Defender」進行規劃。 深入了解適用於雲端的 Defender: