Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zabezpieczenia urządzeń końcowych obejmują mechanizmy kontroli wykrywania i reagowania na zagrożenia w urządzeniach końcowych, w tym korzystanie z mechanizmów EDR (Endpoint Detection and Response) oraz usługi antymalware dla urządzeń końcowych w środowiskach chmurowych.
ES-1: Używanie wykrywania i reagowania punktu końcowego (EDR)
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 13.7 | SC-3, SI-2, SI-3, SI-16 | 11.5 |
Zasada zabezpieczeń: Włącz funkcje wykrywania i reagowania na punkty końcowe (EDR) dla maszyn wirtualnych, a także zintegrować je z procesami SIEM i procesami operacji bezpieczeństwa.
Wskazówki dotyczące platformy Azure: Usługa Microsoft Defender dla serwerów (zintegrowana z usługą Microsoft Defender dla punktu końcowego) zapewnia funkcję EDR w celu zapobiegania, wykrywania, badania i reagowania na zaawansowane zagrożenia.
Użyj usługi Microsoft Defender for Cloud, aby wdrożyć usługę Microsoft Defender dla serwerów w punktach końcowych i zintegrować alerty z rozwiązaniem SIEM, takim jak Microsoft Sentinel.
Implementacja platformy Azure i dodatkowy kontekst:
- Wprowadzenie do usługi Azure Defender dla serwerów
- omówienie Microsoft Defender for Endpoint
- Pokrycie funkcji usługi Microsoft Defender for Cloud dla maszyn
- Integracja łącznika dla usługi Defender for Servers z usługą SIEM
Wskazówki dotyczące platformy AWS: dołączanie konta platformy AWS do usługi Microsoft Defender for Cloud i wdrażanie usługi Microsoft Defender dla serwerów (z zintegrowaną usługą Microsoft Defender for Endpoint) w wystąpieniach usługi EC2 w celu zapewnienia możliwości EDR w celu zapobiegania, wykrywania, badania i reagowania na zaawansowane zagrożenia.
Alternatywnie możesz użyć zintegrowanej funkcji analizy zagrożeń amazon GuardDuty, aby monitorować i chronić wystąpienia usługi EC2. Amazon GuardDuty może wykrywać nietypowe działania, takie jak działanie wskazujące naruszenie zabezpieczeń wystąpienia, takie jak górnictwo kryptowalut, złośliwe oprogramowanie przy użyciu algorytmów generowania domen (DGAs), wychodząca odmowa usługi, niezwykle duża liczba ruchu sieciowego, nietypowe protokoły sieciowe, komunikacja wychodząca wystąpienia ze znanym złośliwym adresem IP, tymczasowe poświadczenia Amazon EC2 używane przez zewnętrzny adres IP i eksfiltracja danych przy użyciu systemu DNS.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: dołącz projekt GCP do usługi Microsoft Defender for Cloud i wdróż usługę Microsoft Defender dla serwerów (z zintegrowaną usługą Microsoft Defender for Endpoint) na wystąpieniach maszyn wirtualnych, aby zapewnić możliwości EDR w celu zapobiegania, wykrywania, badania i reagowania na zaawansowane zagrożenia.
Alternatywnie użyj usługi Security Command Center firmy Google do zintegrowanej analizy zagrożeń, aby monitorować i chronić wystąpienia maszyn wirtualnych. Usługa Security Command Center może wykrywać nietypowe działania, takie jak potencjalnie ujawnione poświadczenia, górnictwo kryptowalut, potencjalnie złośliwe aplikacje, złośliwe działanie sieci i nie tylko.
Implementacja GCP i dodatkowy kontekst:
- Ochrona punktów końcowych za pomocą zintegrowanego rozwiązania EDR usługi Defender for Cloud:
- Omówienie usługi Security Command Center:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zabezpieczenia infrastruktury i punktu końcowego
- Analiza zagrożeń
- Zarządzanie zgodnością z zabezpieczeniami
- zarządzanie postawą
ES-2: Korzystanie z nowoczesnego oprogramowania chroniącego przed złośliwym oprogramowaniem
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 10.1 | SC-3, SI-2, SI-3, SI-16 | 5,1 |
Zasada zabezpieczeń: używaj rozwiązań chroniących przed złośliwym oprogramowaniem (nazywanych również ochroną punktu końcowego) w celu ochrony w czasie rzeczywistym i okresowego skanowania.
Wskazówki dotyczące platformy Azure: Usługa Microsoft Defender for Cloud może automatycznie identyfikować użycie wielu popularnych rozwiązań chroniących przed złośliwym oprogramowaniem dla maszyn wirtualnych i maszyn lokalnych za pomocą usługi Azure Arc skonfigurowanych i zgłaszać stan działania ochrony punktu końcowego oraz przedstawiać zalecenia.
Program antywirusowy Microsoft Defender jest domyślnym rozwiązaniem chroniącym przed złośliwym oprogramowaniem dla systemu Windows Server 2016 lub nowszego. W przypadku systemu Windows Server 2012 R2 użyj rozszerzenia Microsoft Antimalware, aby włączyć protokół SCEP (System Center Endpoint Protection). W przypadku maszyn wirtualnych z systemem Linux użyj Microsoft Defender for Endpoint na Linuxa dla funkcji ochrony punktu końcowego.
W przypadku systemów Windows i Linux można użyć Microsoft Defender dla Chmury do odnajdywania i oceniania stanu kondycji rozwiązania chroniącego przed złośliwym oprogramowaniem.
Uwaga: Możesz także użyć funkcji Defender for Storage w Microsoft Defender for Cloud do wykrywania wirusów przesyłanych na konta Azure Storage.
Implementacja platformy Azure i dodatkowy kontekst:
- Obsługiwane rozwiązania ochrony punktu końcowego
- Jak skonfigurować oprogramowanie firmy Microsoft chroniące przed złośliwym kodem dla usług Cloud Services i maszyn wirtualnych
Wskazówki dotyczące platformy AWS: dołącz konto platformy AWS do usługi Microsoft Defender for Cloud, aby umożliwić usłudze Microsoft Defender for Cloud automatyczne identyfikowanie użycia niektórych popularnych rozwiązań chroniących przed złośliwym oprogramowaniem dla wystąpień EC2 ze skonfigurowanym usługą Azure Arc i zgłaszanie stanu działania ochrony punktu końcowego i zgłaszanie zaleceń.
Wdróż Program antywirusowy Microsoft Defender, które jest domyślnym rozwiązaniem chroniącym przed złośliwym oprogramowaniem dla systemu Windows Server 2016 lub nowszym. W przypadku wystąpień usługi EC2 z systemem Windows Server 2012 R2 użyj rozszerzenia Microsoft Antimalware, aby włączyć protokół SCEP (System Center Endpoint Protection). W przypadku instancji EC2 działających na systemie Linux, użyj Microsoft Defender for Endpoint na Linux na potrzeby funkcji ochrony punktu końcowego.
W przypadku systemów Windows i Linux można użyć Microsoft Defender dla Chmury do odnajdywania i oceniania stanu kondycji rozwiązania chroniącego przed złośliwym oprogramowaniem.
Uwaga: Usługa Microsoft Defender Cloud obsługuje również niektóre produkty ochrony punktu końcowego innych firm na potrzeby oceny stanu odnajdywania i kondycji.
Implementacja platformy AWS i dodatkowy kontekst:
- Odkrycie GuardDuty EC2
- Rozwiązania do ochrony punktów końcowych obsługiwane przez usługę Microsoft Defender
- Zalecenia dotyczące ochrony punktu końcowego w usłudze Microsoft Defender for Clouds
Wskazówki dotyczące platformy GCP: dołącz projekty GCP do usługi Microsoft Defender for Cloud, aby umożliwić usłudze Microsoft Defender for Cloud automatyczne identyfikowanie korzystania z popularnych rozwiązań chroniących przed złośliwym oprogramowaniem dla wystąpień maszyn wirtualnych ze skonfigurowanym usługą Azure Arc i zgłaszanie stanu ochrony punktu końcowego oraz zgłaszanie zaleceń.
Wdróż Program antywirusowy Microsoft Defender, które jest domyślnym rozwiązaniem chroniącym przed złośliwym oprogramowaniem dla systemu Windows Server 2016 lub nowszym. W przypadku wystąpień maszyn wirtualnych z systemem Windows Server 2012 R2 użyj rozszerzenia Microsoft Antimalware, aby włączyć protokół SCEP (System Center Endpoint Protection). W przypadku wystąpień maszyn wirtualnych z systemem Linux użyj usługi Microsoft Defender dla punktu końcowego w systemie Linux na potrzeby funkcji ochrony punktu końcowego.
W przypadku systemów Windows i Linux można użyć Microsoft Defender dla Chmury do odnajdywania i oceniania stanu kondycji rozwiązania chroniącego przed złośliwym oprogramowaniem.
Uwaga: Usługa Microsoft Defender Cloud obsługuje również niektóre produkty ochrony punktu końcowego innych firm na potrzeby oceny stanu odnajdywania i kondycji.
Implementacja GCP i dodatkowy kontekst:
- Obsługiwane rozwiązania ochrony punktu końcowego w usłudze Microsoft Defender:
- Zalecenia dotyczące ochrony punktu końcowego w usłudze Microsoft Defender for Clouds:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zabezpieczenia infrastruktury i punktu końcowego
- Analiza zagrożeń
- Zarządzanie zgodnością z zabezpieczeniami
- zarządzanie postawą
ES-3: Upewnij się, że oprogramowanie i podpisy chroniące przed złośliwym oprogramowaniem są aktualizowane
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 10,2 | SI-2, SI-3 | 5.2 |
Zasada zabezpieczeń: Upewnij się, że sygnatury ochrony przed złośliwym oprogramowaniem są szybko i spójnie aktualizowane dla rozwiązania chroniącego przed złośliwym oprogramowaniem.
Wskazówki dotyczące platformy Azure: postępuj zgodnie z zaleceniami w usłudze Microsoft Defender for Cloud, aby zapewnić aktualność wszystkich punktów końcowych przy użyciu najnowszych podpisów. Oprogramowanie Microsoft Antimalware (dla systemu Windows) i Microsoft Defender for Endpoint (dla systemu Linux) automatycznie, domyślnie, zainstaluje najnowsze sygnatury i aktualizacje programu.
W przypadku rozwiązań innych firm upewnij się, że podpisy są aktualizowane w rozwiązaniu chroniącym przed złośliwym oprogramowaniem innej firmy.
Implementacja platformy Azure i dodatkowy kontekst:
- Jak wdrożyć program Microsoft Antimalware dla usług Cloud Services i maszyny wirtualnej
- Ocena i zalecenia dotyczące programu Endpoint Protection w usłudze Microsoft Defender for Cloud
Wskazówki dotyczące platformy AWS: Po dołączeniu konta platformy AWS do usługi Microsoft Defender for Cloud postępuj zgodnie z zaleceniami w usłudze Microsoft Defender for Cloud, aby zapewnić aktualność wszystkich punktów końcowych przy użyciu najnowszych podpisów. Oprogramowanie Microsoft Antimalware (dla systemu Windows) i Microsoft Defender for Endpoint (dla systemu Linux) automatycznie, domyślnie, zainstaluje najnowsze sygnatury i aktualizacje programu.
W przypadku rozwiązań innych firm upewnij się, że podpisy są aktualizowane w rozwiązaniu chroniącym przed złośliwym oprogramowaniem innej firmy.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: Po dołączeniu projektów GCP do usługi Microsoft Defender for Cloud postępuj zgodnie z zaleceniami w usłudze Microsoft Defender for Cloud, aby zapewnić aktualność wszystkich rozwiązań EDR z najnowszymi podpisami. Oprogramowanie Microsoft Antimalware (dla systemu Windows) i Microsoft Defender for Endpoint (dla systemu Linux) automatycznie, domyślnie, zainstaluje najnowsze sygnatury i aktualizacje programu.
W przypadku rozwiązań innych firm upewnij się, że podpisy są aktualizowane w rozwiązaniu chroniącym przed złośliwym oprogramowaniem innej firmy.
Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):