安全性控制:端點安全性
端點安全性涵蓋端點偵測和回應的控制,包括針對雲端環境中端點使用端點偵測和回應 (EDR) 和反惡意程式碼服務。
ES-1:使用端點偵測和回應 (EDR)
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 13.7 | SC-3、SI-2、SI-3、SI-16 | 11.5 |
安全性準則:啟用 VM 的端點偵測與回應 (EDR) 功能,並與 SIEM 和安全性作業程式整合。
Azure 指引:Microsoft Defender搭配適用於端點的 Microsoft Defender整合式) 的伺服器 (,提供 EDR 功能來防止、偵測、調查及回應進階威脅。
使用 Microsoft Defender for Cloud 為端點上的伺服器部署Microsoft Defender,並將警示整合到 SIEM 解決方案,例如 Microsoft Sentinel。
Azure 實作和其他內容:
- 適用于伺服器的 Azure Defender 簡介
- 適用於端點的 Microsoft Defender概觀
- 適用于機器的雲端功能涵蓋範圍Microsoft Defender
- 適用于 Defender 的連接器與 SIEM 整合
AWS 指引:將您的 AWS 帳戶上線至雲端Microsoft Defender,並為伺服器部署 (Microsoft Defender,並在 EC2 實例上使用適用於端點的 Microsoft Defender整合式) ,以提供 EDR 功能來防止、偵測、調查及回應進階威脅。
或者,使用 Amazon GuardDuty 整合式威脅情報功能來監視和保護 EC2 實例。 Amazon GuardDuty 可以偵測異常活動,例如指出實例入侵的活動,例如惡意採礦、使用網域產生演算法的惡意程式碼 (DVA) 、輸出阻斷服務活動、異常大量網路流量、不尋常的網路通訊協定、與已知惡意 IP 的輸出實例通訊、外部 IP 位址使用的暫時 Amazon EC2 認證、 以及使用 DNS 的資料外流。
AWS 實作和其他內容:
GCP 指引:將您的 GCP專案上線至雲端Microsoft Defender,並在虛擬機器實例上部署 (適用於端點的 Microsoft Defender整合式) 的伺服器Microsoft Defender,以提供 EDR 功能來防止、偵測、調查及回應進階威脅。
或者,使用 Google 的安全性命令中心進行整合式威脅情報,以監視和保護虛擬機器實例。 資訊安全命令中心可以偵測異常活動,例如可能外泄的認證、採礦、潛在的惡意應用程式、惡意網路活動等等。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
ES-2:使用新式反惡意程式碼軟體
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 10.1 | SC-3、SI-2、SI-3、SI-16 | 5.1 |
安全性準則:使用反惡意程式碼解決方案 (也稱為端點保護) 能夠即時保護和定期掃描。
Azure 指引:Microsoft Defender for Cloud 可以針對已設定 Azure Arc 的虛擬機器和內部部署機器自動識別使用數個熱門反惡意程式碼解決方案,並報告端點保護執行狀態並提出建議。
Microsoft Defender防毒軟體是 Windows Server 2016 和更新版本的預設反惡意程式碼解決方案。 若為 Windows Server 2012 R2,請使用 Microsoft Antimalware 擴充功能來啟用 SCEP (System Center Endpoint Protection) 。 針對 Linux VM,在 Linux 上使用 適用於端點的 Microsoft Defender 進行端點保護功能。
針對 Windows 和 Linux,您可以使用 Microsoft Defender for Cloud 來探索及評估反惡意程式碼解決方案的健康情況狀態。
注意:您也可以針對雲端的適用于儲存體的 Defender 使用Microsoft Defender來偵測上傳至 Azure 儲存體帳戶的惡意程式碼。
Azure 實作和其他內容:
AWS 指引:將您的 AWS 帳戶上線至 Microsoft Defender for Cloud,以允許雲端Microsoft Defender自動識別已設定 Azure Arc 的 EC2 實例使用一些熱門反惡意程式碼解決方案,並報告端點保護執行狀態並提出建議。
部署Microsoft Defender防毒軟體,這是 Windows Server 2016 和更新版本的預設反惡意程式碼解決方案。 對於執行 Windows Server 2012 R2 的 EC2 實例,請使用 Microsoft Antimalware 擴充功能來啟用 SCEP (System Center Endpoint Protection) 。 針對執行 Linux 的 EC2 實例,請使用 linux 上的適用於端點的 Microsoft Defender進行 Endpoint Protection 功能。
針對 Windows 和 Linux,您可以使用 Microsoft Defender for Cloud 來探索及評估反惡意程式碼解決方案的健康情況狀態。
注意:Microsoft Defender Cloud 也支援某些協力廠商 Endpoint Protection 產品來進行探索和健康情況狀態評估。
AWS 實作和其他內容:
GCP 指引:將您的 GCP專案上線至 Microsoft Defender for Cloud,以允許雲端Microsoft Defender針對已設定 Azure Arc 的虛擬機器實例自動識別熱門反惡意程式碼解決方案的使用,並報告端點保護狀態並提出建議。
部署Microsoft Defender防毒軟體,這是 Windows Server 2016 和更新版本的預設反惡意程式碼解決方案。 對於執行 Windows Server 2012 R2 的虛擬機器實例,請使用 Microsoft Antimalware 擴充功能來啟用 SCEP (System Center Endpoint Protection) 。 對於執行 Linux 的虛擬機器實例,請使用 linux 上的適用於端點的 Microsoft Defender進行 Endpoint Protection 功能。
針對 Windows 和 Linux,您可以使用 Microsoft Defender for Cloud 來探索及評估反惡意程式碼解決方案的健康情況狀態。
注意:Microsoft Defender Cloud 也支援某些協力廠商 Endpoint Protection 產品來進行探索和健康情況狀態評估。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
ES-3:確定已更新反惡意程式碼軟體和簽章
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 10.2 | SI-2、SI-3 | 5.2 |
安全性準則:確保反惡意程式碼簽章會針對反惡意程式碼解決方案快速且一致地更新。
Azure 指引:遵循雲端Microsoft Defender中的建議,讓所有端點保持最新狀態,並包含最新的簽章。 適用于 Windows) 和 Linux 適用於端點的 Microsoft Defender (的Microsoft Antimalware () 預設會自動安裝最新的簽章和引擎更新。
針對協力廠商解決方案,請確定協力廠商反惡意程式碼解決方案中已更新簽章。
Azure 實作和其他內容:
AWS 指引:將 AWS 帳戶上線至雲端Microsoft Defender後,請遵循 Microsoft Defender for Cloud 中的建議,以使用最新的簽章讓所有端點保持最新狀態。 適用于 Windows) 和 Linux 適用於端點的 Microsoft Defender (的Microsoft Antimalware () 預設會自動安裝最新的簽章和引擎更新。
針對協力廠商解決方案,請確定協力廠商反惡意程式碼解決方案中已更新簽章。
AWS 實作和其他內容:
GCP 指引:將 GCP專案上線至雲端Microsoft Defender後,請遵循 Microsoft Defender for Cloud 中的建議,讓所有 EDR 解決方案保持最新狀態,並包含最新的簽章。 適用于 Windows) 和 Linux 適用於端點的 Microsoft Defender (的Microsoft Antimalware () 預設會自動安裝最新的簽章和引擎更新。
針對協力廠商解決方案,請確定協力廠商反惡意程式碼解決方案中已更新簽章。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :