Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Infrastruktura obejmuje sprzęt, oprogramowanie, mikrousługę, infrastrukturę sieciową i obiekty wymagane do obsługi usług IT dla organizacji. Rozwiązania infrastruktury Zero Trust oceniają, monitorują i uniemożliwiają zagrożenia bezpieczeństwa tym usługom.
Rozwiązania infrastruktury Zero Trust obsługują zasady zero trust, zapewniając, że dostęp do zasobów infrastruktury jest weryfikowany jawnie, dostęp jest udzielany przy użyciu zasad dostępu najmniejszego uprawnień, a mechanizmy są w mocy, które zakładają naruszenie i szukają i korygują zagrożenia bezpieczeństwa w infrastrukturze.
Te wskazówki dotyczą dostawców oprogramowania i partnerów technologicznych, którzy chcą ulepszyć swoje rozwiązania w zakresie zabezpieczeń infrastruktury dzięki integracji z produktami firmy Microsoft.
Integracja z usługą Zero Trust dla infrastruktury — przewodnik
Ten przewodnik integracji zawiera strategię i instrukcje dotyczące integracji z usługą Microsoft Defender for Cloud i jej zintegrowanymi planami ochrony obciążeń w chmurze, Usługą Microsoft Defender for ... (Serwery, kontenery, bazy danych, magazyn, usługi App Services i inne).
Wskazówki obejmują integrację z najpopularniejszymi rozwiązaniami do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), automatyczną reakcją orkiestracji zabezpieczeń (SOAR), wykrywaniem i reagowaniem na punkty końcowe (EDR) oraz rozwiązaniami do zarządzania usługami IT (ITSM).
Zero Trust i Defender for Cloud
Nasze wskazówki dotyczące wdrażania infrastruktury Zero Trust zawierają kluczowe etapy strategii Zero Trust dla infrastruktury:
- Ocena zgodności z wybranymi standardami i zasadami
- Wzmacnianie zabezpieczeń konfiguracji wszędzie tam, gdzie znaleziono luki
- Stosowanie innych narzędzi do wzmacniania zabezpieczeń, takich jak dostęp do maszyny wirtualnej just in time (JIT)
- Konfigurowanie wykrywania zagrożeń i ochrony
- Automatyczne blokowanie i flagi ryzykowne zachowanie i wykonywanie działań ochronnych
Istnieje wyraźne mapowanie celów opisanych w wytycznych dotyczących wdrażania infrastruktury do podstawowych aspektów usługi Defender for Cloud.
| Cel zerowego zaufania | Funkcja defender for Cloud |
|---|---|
| Ocena zgodności | W usłudze Defender for Cloud każda subskrypcja automatycznie ma przypisany test porównawczy zabezpieczeń w chmurze firmy Microsoft (MCSB) jako domyślną inicjatywę zabezpieczeń. Korzystając z narzędzi do oceny bezpieczeństwa i pulpitu nawigacyjnego zgodności z przepisami , możesz uzyskać dogłębną wiedzę na temat stanu zabezpieczeń klienta. |
| Konfiguracja zabezpieczeń | Przypisz inicjatywy zabezpieczeń do subskrypcji i przejrzyj wskaźnik bezpieczeństwa, aby prowadzić do zaleceń dotyczących wzmacniania zabezpieczeń wbudowanych w usługę Defender for Cloud. Usługa Defender for Cloud okresowo analizuje stan zgodności zasobów w celu zidentyfikowania potencjalnych błędów konfiguracji zabezpieczeń i słabych stron. Następnie zawiera zalecenia dotyczące sposobu korygowania tych problemów. |
| Stosowanie mechanizmów wzmacniania zabezpieczeń | Ponadto jednorazowe poprawki błędów konfiguracji zabezpieczeń, usługa Defender dla Chmury zawiera funkcje w celu dalszego wzmacniania zabezpieczeń zasobów, takich jak: Dostęp do maszyny wirtualnej just in time (JIT) Adaptacyjne wzmacnianie zabezpieczeń sieci Funkcje adaptacyjnego sterowania aplikacjami. |
| Konfigurowanie wykrywania zagrożeń | Usługa Defender for Cloud oferuje zintegrowane plany ochrony obciążeń w chmurze na potrzeby wykrywania zagrożeń i reagowania na nie. Plany zapewniają zaawansowane, inteligentne, ochrony platformy Azure, hybrydowe i wielochmurowe zasoby i obciążenia. Jeden z planów usługi Microsoft Defender, defender dla serwerów, obejmuje natywną integrację z usługą Microsoft Defender dla punktu końcowego. Dowiedz się więcej w temacie Introduction to Microsoft Defender for Cloud (Wprowadzenie do usługi Microsoft Defender for Cloud). |
| Automatyczne blokowanie podejrzanego zachowania | Wiele zaleceń dotyczących wzmacniania zabezpieczeń w usłudze Defender for Cloud oferuje opcję odmowy . Ta funkcja umożliwia zapobieganie tworzeniu zasobów, które nie spełniają zdefiniowanych kryteriów wzmacniania zabezpieczeń. Dowiedz się więcej w artykule Zapobieganie błędom konfiguracji za pomocą zaleceń wymuszania/odmowy. |
| Automatyczne flagi podejrzane zachowanie | Zaawansowane wykrywania wyzwalają alerty zabezpieczeń usługi Microsoft Defender for Cloud. Usługa Defender for Cloud określa priorytety i wyświetla alerty wraz z informacjami potrzebnymi do szybkiego zbadania problemu. Usługa Defender for Cloud zawiera również szczegółowe kroki ułatwiające korygowanie ataków. Aby uzyskać pełną listę dostępnych alertów, zobacz Alerty zabezpieczeń — przewodnik referencyjny. |
Ochrona usług PaaS platformy Azure za pomocą usługi Defender for Cloud
Dzięki włączeniu usługi Defender for Cloud w ramach subskrypcji oraz planom ochrony obciążeń usługi Defender włączonym dla wszystkich dostępnych typów zasobów masz warstwę inteligentnej ochrony przed zagrożeniami, ochronę zasobów w usłudze Azure Key Vault, usłudze Azure Storage, usłudze Azure DNS i innych usługach PaaS platformy Azure. Aby uzyskać pełną listę, zobacz usługi PaaS wymienione w macierzy obsługi.
Aplikacje logiki Azure
Usługa Azure Logic Apps umożliwia tworzenie zautomatyzowanych skalowalnych przepływów pracy, procesów biznesowych i aranżacji przedsiębiorstwa w celu zintegrowania aplikacji i danych między usługami w chmurze i systemami lokalnymi.
Funkcja automatyzacji przepływu pracy usługi Defender for Cloud umożliwia automatyzowanie odpowiedzi na wyzwalacze usługi Defender for Cloud.
Takie podejście to doskonały sposób definiowania i reagowania na nie w zautomatyzowany, spójny sposób podczas odnajdowania zagrożeń. Na przykład, aby powiadomić odpowiednich uczestników projektu, uruchomić proces zarządzania zmianami i zastosować określone kroki korygowania po wykryciu zagrożenia.
Integrowanie usługi Defender for Cloud z rozwiązaniami SIEM, SOAR i ITSM
Usługa Microsoft Defender for Cloud może przesyłać strumieniowo alerty zabezpieczeń do najpopularniejszych rozwiązań do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), automatycznego reagowania orkiestracji zabezpieczeń (SOAR) i zarządzania usługami IT (ITSM).
Istnieją narzędzia natywne dla platformy Azure umożliwiające wyświetlanie danych alertów we wszystkich najpopularniejszych rozwiązaniach używanych obecnie, w tym:
- Microsoft Sentinel
- Splunk Enterprise and Splunk Cloud
- QRadar IBM
- ServiceNow
- ArcSight
- Power BI
- Palo Alto Networks
Microsoft Sentinel
Usługa Defender for Cloud natywnie integruje się z rozwiązaniem Microsoft Sentinel, natywnym dla chmury, zarządzaniem zdarzeniami informacji o zabezpieczeniach (SIEM) i rozwiązaniem SOAR (Security Orchestration Automated Response).
Istnieją dwa podejścia do zapewnienia, że dane usługi Defender for Cloud są reprezentowane w usłudze Microsoft Sentinel:
Łączniki usługi Sentinel — usługa Microsoft Sentinel zawiera wbudowane łączniki dla usługi Microsoft Defender for Cloud na poziomach subskrypcji i dzierżaw:
- Przesyłanie strumieniowe alertów do usługi Microsoft Sentinel na poziomie subskrypcji
- Łączenie wszystkich subskrypcji w dzierżawie z usługą Microsoft Sentinel
Wskazówka
Dowiedz się więcej w artykule Łączenie alertów zabezpieczeń z usługi Microsoft Defender for Cloud.
Przesyłanie strumieniowe dzienników inspekcji — alternatywnym sposobem zbadania alertów usługi Defender for Cloud w usłudze Microsoft Sentinel jest przesyłanie strumieniowe dzienników inspekcji do usługi Microsoft Sentinel:
Przesyłanie strumieniowe alertów za pomocą interfejsu MICROSOFT Graph Security API
Usługa Defender for Cloud ma wbudowaną integrację z interfejsem Microsoft Graph Security API. Nie jest wymagana żadna konfiguracja i nie ma dodatkowych kosztów.
Za pomocą tego interfejsu API można przesyłać strumieniowo alerty z całej dzierżawy (i dane z wielu innych produktów zabezpieczeń firmy Microsoft) do systemów SIEM innych niż Microsoft i innych popularnych platform:
- Splunk Enterprise and Splunk Cloud - Korzystanie z interfejsu MICROSOFT Graph Security API Add-On for Splunk
- Power BI - Nawiązywanie połączenia z interfejsem Microsoft Graph Security API w programie Power BI Desktop
- ServiceNow - Postępuj zgodnie z instrukcjami, aby zainstalować i skonfigurować aplikację interfejsu API zabezpieczeń programu Microsoft Graph ze sklepu ServiceNow Store
- QRadar - Moduł pomocy technicznej urządzeń firmy IBM dla usługi Microsoft Defender for Cloud za pośrednictwem interfejsu API programu Microsoft Graph
- Palo Alto Networks, Anomali, Lookout, InSpark i inne — Microsoft Graph Security API
Dowiedz się więcej o interfejsie Microsoft Graph Security API.
Przesyłanie strumieniowe alertów za pomocą usługi Azure Monitor
Użyj funkcji ciągłego eksportu usługi Defender for Cloud, aby połączyć usługę Defender for Cloud z usługą Azure Monitor za pośrednictwem usługi Azure Event Hubs i przesyłać strumieniowo alerty do usługi ArcSight, SumoLogic, serwerów syslog, LogRhythm, Logz.io Cloud Observability Platform i innych rozwiązań do monitorowania.
Dowiedz się więcej w artykule Stream alerts with Azure Monitor (Alerty usługi Stream za pomocą usługi Azure Monitor).
Tę operację można również wykonać na poziomie grupy zarządzania przy użyciu usługi Azure Policy. Zobacz Tworzenie konfiguracji automatyzacji eksportu ciągłego na dużą skalę.
Wskazówka
Aby wyświetlić schematy zdarzeń wyeksportowanych typów danych, odwiedź stronę Schematy zdarzeń usługi Event Hubs.
Integrowanie usługi Defender for Cloud z rozwiązaniem wykrywania i reagowania na punkty końcowe (EDR)
Usługa Microsoft Defender dla punktu końcowego
Usługa Microsoft Defender dla punktu końcowego to całościowe, dostarczane w chmurze rozwiązanie zabezpieczeń punktu końcowego.
Usługa Microsoft Defender dla serwerów zawiera zintegrowaną licencję dla usługi Microsoft Defender dla punktu końcowego. Razem zapewniają kompleksowe możliwości wykrywania i reagowania na punkty końcowe (EDR). Aby uzyskać więcej informacji, zobacz Ochrona punktów końcowych.
Gdy usługa Defender for Endpoint wykryje zagrożenie, wyzwala alert. Alert jest wyświetlany w usłudze Defender for Cloud i można przejść do konsoli usługi Defender for Endpoint, aby przeprowadzić szczegółowe badanie i odkryć zakres ataku. Dowiedz się więcej o usłudze Microsoft Defender dla punktu końcowego.
Inne rozwiązania EDR
Usługa Defender for Cloud udostępnia zalecenia dotyczące wzmacniania zabezpieczeń, aby upewnić się, że zabezpieczasz zasoby organizacji zgodnie ze wskazówkami dotyczącymi testu porównawczego zabezpieczeń w chmurze firmy Microsoft (MCSB). Jedna z mechanizmów kontrolnych w teściu porównawczym odnosi się do zabezpieczeń punktu końcowego: ES-1: Używanie wykrywania i reagowania punktu końcowego (EDR).
Istnieją dwie rekomendacje w usłudze Defender for Cloud, aby zapewnić włączenie ochrony punktu końcowego i sprawne działanie. Te zalecenia sprawdzają obecność i kondycję operacyjną rozwiązań EDR:
- Trend Micro
- Symantec
- Mcafee
- Sophos
Dowiedz się więcej w temacie Ocena i zalecenia dotyczące ochrony punktu końcowego w usłudze Microsoft Defender for Cloud.
Stosowanie strategii Zero Trust do scenariuszy hybrydowych i wielochmurowych
W przypadku obciążeń w chmurze często obejmujących wiele platform w chmurze usługi zabezpieczeń w chmurze muszą wykonywać te same czynności.
Usługa Microsoft Defender for Cloud chroni obciążenia wszędzie tam, gdzie są uruchomione: na platformie Azure, lokalnie, w usługach Amazon Web Services (AWS) lub Google Cloud Platform (GCP).
Integrowanie usługi Defender for Cloud z maszynami lokalnymi
Aby zabezpieczyć obciążenia chmury hybrydowej, możesz rozszerzyć ochronę usługi Defender for Cloud, łącząc maszyny lokalne z serwerami z obsługą usługi Azure Arc.
Dowiedz się, jak łączyć maszyny w temacie Łączenie maszyn spoza platformy Azure z usługą Defender for Cloud.
Integrowanie usługi Defender for Cloud z innymi środowiskami chmury
Aby wyświetlić stan zabezpieczeń maszyn usług Amazon Web Services w usłudze Defender for Cloud, dołącz konta platformy AWS do usługi Defender for Cloud. Takie podejście integruje usługi AWS Security Hub i Microsoft Defender for Cloud w celu uzyskania ujednoliconego widoku zaleceń usługi Defender for Cloud i ustaleń usługi AWS Security Hub oraz zapewnia szereg korzyści, zgodnie z opisem w temacie Łączenie kont platformy AWS z usługą Microsoft Defender for Cloud.
Aby wyświetlić stan zabezpieczeń maszyn Google Cloud Platform w usłudze Defender for Cloud, dołącz konta GCP do usługi Defender for Cloud. To podejście integruje polecenie GCP Security Command i usługę Microsoft Defender for Cloud w celu uzyskania ujednoliconego widoku zaleceń usługi Defender for Cloud i ustaleń usługi GCP Security Command Center oraz zapewnia szereg korzyści opisanych w temacie Łączenie kont GCP z usługą Microsoft Defender for Cloud.
Dalsze kroki
Aby dowiedzieć się więcej o usłudze Microsoft Defender for Cloud, zobacz pełną dokumentację usługi Defender for Cloud.