端點安全性涵蓋端點偵測及回應的控制機制,包括針對雲端環境中的端點使用端點偵測及回應 (EDR) 與反惡意程式碼服務。
ES-1:使用端點偵測和回應 (EDR)
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 13.7 | SC-3、SI-2、SI-3、SI-16 | 11.5 |
安全性準則:為 VM 啟用端點偵測及回應 (EDR) 功能,並與 SIEM 和安全性作業程序整合。
Azure 指引:適用於伺服器的 Microsoft Defender(已整合適用於端點的 Microsoft Defender)提供 EDR 功能,以防止、偵測、調查及回應進階威脅。
使用適用於雲端的 Microsoft Defender,在您的端點上部署適用於伺服器的 Microsoft Defender,並將警示整合到 SIEM 解決方案,例如 Microsoft Sentinel。
Azure 實作和其他背景:
- 適用於伺服器的 Azure Defender 簡介
- Microsoft Defender 適用於端點概觀
- 機器 適用於雲端的 Microsoft Defender 功能涵蓋範圍
- 適用於伺服器的 Defender 整合至 SIEM 的連接器
AWS 指引:將您的 AWS 帳戶上線至適用於雲端的 Microsoft Defender,並在 EC2 實例上部署適用於伺服器的 Microsoft Defender(已整合 Microsoft Defender),以提供 EDR 功能,以防止、偵測、調查及回應進階威脅。
或者,使用 Amazon GuardDuty 整合式威脅情報功能,監視和保護您的 EC2 執行個體。 Amazon GuardDuty 可以偵測異常活動,例如指出實例入侵的活動,例如加密採礦、使用網域產生演算法的惡意代碼(DGAs)、輸出阻斷服務活動、異常大量的網路流量、不尋常的網路通訊協定、與已知惡意 IP 的輸出實例通訊、外部 IP 位址使用的暫時 Amazon EC2 認證,以及使用 DNS 的數據外流。
AWS 實作和其他內容:
GCP指南:將您的 GCP 專案整合進 Microsoft Defender for Cloud,並在虛擬機實例上部署適用於伺服器的 Microsoft Defender(整合 Microsoft Defender for Endpoint),以提供 EDR 功能,防止、偵測、調查及回應進階威脅。
或者,使用 Google 的安全性命令中心進行整合式威脅情報來監視和保護虛擬機實例。 安全性命令中心可以偵測異常活動,例如潛在的外泄認證、加密採礦、潛在的惡意應用程式、惡意網路活動等等。
GCP 實作和額外背景資訊:
客戶安全利害關係人 (瞭解更多):
ES-2:使用新式反惡意程式碼軟體
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 10.1 | SC-3、SI-2、SI-3、SI-16 | 5.1 |
安全性準則:使用能夠即時保護和定期掃描的反惡意程式碼解決方案 (也稱為端點保護)。
Azure 指引:Microsoft 適用於雲端的 Defender 可以自動識別數種用於配置了 Azure Arc 的虛擬機器和內部部署機器的熱門反惡意軟體解決方案,報告端點保護的執行狀態並提出建議。
Microsoft Defender 防毒軟體是 Windows Server 2016 和更新版本的預設反惡意程式碼解決方案。 對於 Windows Server 2012 R2,請使用 Microsoft Antimalware 延伸模組來啟用 SCEP (System Center Endpoint Protection)。 針對 Linux VM,請在 Linux 上使用適用於端點的 Microsoft Defender,以獲得端點保護功能。
對於 Windows 和 Linux,您可以使用適用於雲端的 Microsoft Defender 來探索及評定反惡意程式碼解決方案的健全狀態。
注意:您也可以使用 適用於雲端的 Microsoft Defender 的適用於記憶體的Defender來偵測上傳至 Azure 儲存體 帳戶的惡意代碼。
Azure 實作和其他背景:
AWS指引:將您的 AWS 帳戶上線至 Microsoft Defender for Cloud,以允許 Microsoft Defender for Cloud 自動識別配置了 Azure Arc 的 EC2 實例使用的一些熱門防毒軟體解決方案,並報告端點保護的運行狀態,並提出改善建議。
部署 Microsoft Defender 防毒軟體,這是 Windows Server 2016 和更新版本的預設反惡意程式碼解決方案。 對於執行 Windows Server 2012 R2 的 EC2 執行個體,請使用 Microsoft Antimalware 延伸模組來啟用 SCEP (System Center Endpoint Protection)。 針對執行 Linux 的 EC2 執行個體,請在 Linux 上使用適用於端點的 Microsoft Defender,以獲得端點保護功能。
對於 Windows 和 Linux,您可以使用適用於雲端的 Microsoft Defender 來探索及評定反惡意程式碼解決方案的健全狀態。
注意:Microsoft Defender Cloud 也支援某些第三方端點保護產品,以進行探索和健康狀態評估。
AWS 實作和其他內容:
GCP指引:將您的GCP專案整合至適用於雲端的Microsoft Defender,以便Microsoft Defender自動識別使用Azure Arc設定的虛擬機器實例所採用的知名反惡意程式解決方案,報告端點保護狀態並提出建議。
部署 Microsoft Defender 防毒軟體,這是 Windows Server 2016 和更新版本的預設反惡意程式碼解決方案。 針對執行 Windows Server 2012 R2 的虛擬機實例,請使用 Microsoft Antimalware 擴充功能來啟用 SCEP(System Center Endpoint Protection)。 對於執行 Linux 的虛擬機器實例,請使用 Microsoft Defender for Endpoint on Linux 以提供端點保護功能。
對於 Windows 和 Linux,您可以使用適用於雲端的 Microsoft Defender 來探索及評定反惡意程式碼解決方案的健全狀態。
注意:Microsoft Defender Cloud 也支援某些第三方端點保護產品,以進行探索和健康狀態評估。
GCP 實作和額外背景資訊:
客戶安全利害關係人 (瞭解更多):
ES-3:確定反惡意程式碼軟體和簽章已更新
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 10.2 | SI-2、SI-3 | 5.2 |
安全性準則:確保反惡意程式碼解決方案的反惡意程式碼簽章會快速而一致地更新。
Azure 指引:遵循適用於雲端的 Microsoft Defender 中的建議,使用最新的簽章讓所有端點保持在最新狀態。 Microsoft Antimalware (用於 Windows) 和適用於端點的 Microsoft Defender (用於 Linux) 依預設會自動安裝最新的簽章和引擎更新。
對於第三方解決方案,請確定已在第三方反惡意程式碼解決方案中更新簽章。
Azure 實作和其他背景:
AWS 指引:AWS 帳戶上線至適用於雲端的 Microsoft Defender 後,請遵循適用於雲端的 Microsoft Defender 中的建議,使用最新的簽章讓所有端點保持在最新狀態。 Microsoft Antimalware (用於 Windows) 和適用於端點的 Microsoft Defender (用於 Linux) 依預設會自動安裝最新的簽章和引擎更新。
對於第三方解決方案,請確定已在第三方反惡意程式碼解決方案中更新簽章。
AWS 實作和其他內容:
GCP指引:將您的GCP 項目整合到適用於雲端的 Microsoft Defender,請遵循 Microsoft Defender for Cloud 中的建議,確保所有 EDR 解決方案都更新到最新的簽章版本。 Microsoft Antimalware (用於 Windows) 和適用於端點的 Microsoft Defender (用於 Linux) 依預設會自動安裝最新的簽章和引擎更新。
對於第三方解決方案,請確定已在第三方反惡意程式碼解決方案中更新簽章。
GCP 實作和額外背景資訊:
客戶安全利害關係人 (瞭解更多):