Upravit

Sdílet prostřednictvím

Vytvoření druhé vrstvy ochrany pomocí služeb Zabezpečení XDR v programu Microsoft Defender

Microsoft Defender for Office 365
Microsoft Defender for Cloud Apps
Microsoft Defender for Identity
Microsoft 365
Microsoft Endpoint Manager

Nápady na řešení

Tento článek popisuje myšlenku řešení. Váš cloudový architekt může pomocí těchto pokynů vizualizovat hlavní komponenty pro typickou implementaci této architektury. Tento článek slouží jako výchozí bod k návrhu dobře navrženého řešení, které odpovídá konkrétním požadavkům vaší úlohy.

Mnoho organizací pracuje v hybridním prostředí s prostředky hostovanými v Azure i v místním prostředí. Většina prostředků Azure, jako jsou virtuální počítače, aplikace Azure a ID Microsoft Entra, je možné zabezpečit pomocí integrovaných služeb zabezpečení Azure.

Organizace se navíc často přihlašují k odběru Microsoftu 365, aby uživatelům poskytovaly aplikace, jako je Word, Excel, PowerPoint a Exchange Online. Microsoft 365 také nabízí služby zabezpečení, které je možné použít k přidání další vrstvy ochrany k některým z nejčastěji používaných prostředků Azure.

Aby bylo možné efektivně využívat služby zabezpečení Microsoftu 365, je důležité porozumět klíčové terminologii a struktuře služeb Microsoftu 365. Tento čtvrtý článek v řadě pěti zkoumá tato témata podrobněji, a to na základě konceptů popsaných v předchozích článcích, zejména:

Microsoft 365 a Office 365 jsou cloudové služby navržené tak, aby řešily potřeby vaší organizace v oblasti silného zabezpečení, spolehlivosti a vyšší produktivity uživatelů. Microsoft 365 zahrnuje služby, jako jsou Power Automate, Forms, Stream, Sway a Office 365. Office 365 obsahuje konkrétně známou sadu kancelářských aplikací. Další informace o možnostech předplatného pro tyto dvě služby najdete v tématu Možnosti plánu Microsoft 365 a Office 365.

V závislosti na licenci, kterou získáte pro Microsoft 365, můžete získat také služby zabezpečení pro Microsoft 365. Tyto služby zabezpečení se nazývají XDR v programu Microsoft Defender, které poskytují více služeb:

  • Microsoft Defender for Endpoint (MDE)
  • Microsoft Defender for Identity (MDI)
  • Microsoft Defender for Office (MDO)
  • Microsoft Defender for Cloud Apps (MDA)
  • Microsoft Defender for Cloud Apps, ke kterým se přistupuje prostřednictvím security.microsoft.com, se liší od programu Microsoft Defender for Cloud, který je dalším řešením zabezpečení, ke kterému se přistupuje prostřednictvím portal.azure.com.

Následující diagram znázorňuje vztah řešení a hlavních služeb, které Microsoft 365 nabízí, i když nejsou uvedené všechny služby.

Diagram služeb a produktů, které jsou součástí Microsoftu 365

Případ potenciálního použití

Lidé se často zaměňují o bezpečnostních službách Microsoftu 365 a jejich roli v oblasti kybernetické bezpečnosti IT. Hlavní příčinou tohoto zmatení je podobnost v názvech, včetně některých služeb zabezpečení Azure, jako je Microsoft Defender for Cloud (dříve Azure Security Center) a Defender for Cloud Apps (dříve Microsoft Cloud App Security).

Nejasnost ale přesahuje terminologii. Některé služby poskytují podobnou ochranu, ale pro různé prostředky. Například Defender for Identity a Azure Identity Protection chrání služby identit, ale Defender for Identity zabezpečuje místní identity (prostřednictvím Doména služby Active Directory Services a ověřování Kerberos), zatímco Azure Identity Protection zabezpečuje cloudové identity (prostřednictvím Microsoft Entra ID a ověřování OAuth).

Tyto příklady zvýrazňují význam porozumění tomu, jak se služby zabezpečení Microsoftu 365 liší od služeb zabezpečení Azure. Díky tomuto porozumění můžete efektivněji naplánovat strategii zabezpečení v cloudu Microsoftu a zároveň zachovat silný stav zabezpečení pro vaše IT prostředí. Tento článek vám pomůže toho dosáhnout.

Následující diagram znázorňuje skutečný případ použití pro služby zabezpečení XDR v programu Microsoft Defender. Ukazuje prostředky, které potřebují ochranu, služby spuštěné v prostředí a některé potenciální hrozby. Služby XDR v programu Microsoft Defender jsou umístěné uprostřed a chrání prostředky organizace před těmito hrozbami.

Diagram znázorňující hrozby, jejich pořadí útoku, cílové prostředky a služby XDR v programu Microsoft Defender, které můžou poskytovat ochranu

Architektura

Řešení Rozšířené detekce a odpovědi (XDR) microsoftu označované jako XDR v programu Microsoft Defender integruje několik nástrojů a služeb zabezpečení, které poskytují jednotnou ochranu, detekci a reakci napříč koncovými body, identitami, e-maily, aplikacemi a cloudovými prostředími. Kombinuje pokročilou analýzu hrozeb, automatizaci a analýzu založenou na umělé inteligenci za účelem detekce sofistikovaných kybernetických hrozeb v reálném čase a umožňuje týmům zabezpečení rychle zmírnit rizika a snížit dopad útoků. Konsolidací dat zabezpečení z různých zdrojů pomáhá XDR v programu Microsoft Defender organizacím dosáhnout komplexní a zjednodušené obrany v celé infrastruktuře IT.

Následující diagram znázorňuje vrstvu označenou jako DEFENDER, která představuje služby zabezpečení XDR v programu Microsoft Defender. Přidání těchto služeb do vašeho IT prostředí vám pomůže vytvořit lepší obranu vašeho prostředí. Služby ve vrstvě Defender můžou fungovat se službami zabezpečení Azure.

Diagram služeb, hrozeb a služeb zabezpečení, které můžete nakonfigurovat tak, aby poskytovaly ochranu prostředkům ve vašem prostředí I T

Stáhněte si soubor aplikace Visio s touto architekturou.

©2021 Společnost MITRE. Tato práce se reprodukuje a distribuuje s oprávněním společnosti MITRE Corporation.

Workflow

  1. Microsoft Defender for Endpoint

    Defender for Endpoint zabezpečuje koncové body ve vašem podniku a je navržený tak, aby pomohl sítím předcházet, zjišťovat, zkoumat a reagovat na pokročilé hrozby. Vytvoří vrstvu ochrany virtuálních počítačů, které běží v Azure a v místním prostředí. Další informace o tom, co může chránit, najdete v programu Microsoft Defender for Endpoint.

  2. Microsoft Defender for Cloud Apps

    Dříve označovaný jako Microsoft Cloud Application Security, Defender for Cloud Apps je zprostředkovatel zabezpečení přístupu ke cloudu (CASB), který podporuje více režimů nasazení. Mezi tyto režimy patří shromažďování protokolů, konektory rozhraní API a reverzní proxy server. Poskytuje bohatou viditelnost, kontrolu nad cestováním dat a sofistikovanou analýzu pro identifikaci a boj proti kybernetickým hrozbám ve všech cloudových službách Microsoftu a třetích stran. Poskytuje ochranu a zmírnění rizik pro Cloud Apps a dokonce i pro některé aplikace, které běží místně. Poskytuje také vrstvu ochrany pro uživatele, kteří k těmto aplikacím přistupují. Další informace najdete v tématu Microsoft Defender for Cloud Apps – přehled.

    Je důležité nezaměňovat Defender for Cloud Apps s Programem Microsoft Defender for Cloud, který poskytuje doporučení a skóre stavu zabezpečení serverů, aplikací, účtů úložiště a dalších prostředků běžících v Azure, místně a v jiných cloudech. Defender for Cloud konsoliduje dvě předchozí služby, Azure Security Center a Azure Defender.

  3. Microsoft Defender pro Office

    Defender pro Office 365 chrání vaši organizaci před škodlivými hrozbami, které představují e-mailové zprávy, odkazy (adresy URL) a nástroje pro spolupráci. Poskytuje ochranu e-mailu a spolupráce. V závislosti na licenci můžete přidat vyšetřování po porušení zabezpečení, proaktivní vyhledávání a reakci a také automatizaci a simulaci (pro trénování). Další informace o možnostech licencování najdete v tématu Microsoft Defender pro Office 365 přehled zabezpečení.

  4. Microsoft Defender for Identity

    Defender for Identity je cloudové řešení zabezpečení, které používá vaše místní Active Directory signály k identifikaci, zjišťování a zkoumání pokročilých hrozeb, ohrožených identit a škodlivých akcí insiderů, které jsou zaměřené na vaši organizaci. Chrání Doména služby Active Directory Services (AD DS), které běží místně. I když tato služba běží v cloudu, funguje na ochraně identit místně. Defender for Identity se dříve jmenoval Azure Advanced Threat Protection. Další informace najdete v tématu Co je Microsoft Defender for Identity?

    Pokud potřebujete ochranu identit, které poskytuje Microsoft Entra ID a které běží nativně v cloudu, zvažte Microsoft Entra ID Protection.

  5. Intune (dříve součást Microsoft Endpoint Manageru)

Microsoft Intune je cloudová služba, která pomáhá organizacím spravovat a zabezpečit svá zařízení, aplikace a data. Umožňuje správcům IT řídit, jak se používají firemní zařízení, jako jsou přenosné počítače, smartphony a tablety, a zajistit tak dodržování zásad zabezpečení. V Intune můžete vynutit konfigurace zařízení, nasadit software, spravovat mobilní aplikace a chránit podniková data pomocí funkcí, jako je podmíněný přístup a vzdálené vymazání. Je zvlášť užitečné při povolování zabezpečené práce na dálku, správě zařízení vlastněných společností i osobních zařízení (BYOD) a zajištění zabezpečení dat napříč různými platformami, jako jsou Windows, iOS, Android a macOS.

Další službou, která byla součástí Endpoint Manageru, je Configuration Manager, místní řešení pro správu, které umožňuje spravovat klientské a serverové počítače, které jsou ve vaší síti, připojené přímo nebo přes internet. Můžete povolit cloudové funkce pro integraci Configuration Manageru s Intune, Microsoft Entra ID, Defender for Endpoint a dalšími cloudovými službami. Slouží k nasazení aplikací, aktualizací softwaru a operačních systémů. Můžete také monitorovat dodržování předpisů, dotazovat se na objekty, pracovat s klienty v reálném čase a mnoho dalšího. Další informace o všech dostupných službách najdete v přehledu Microsoft Endpoint Manageru.

Pořadí útoků ukázkových hrozeb

Hrozby pojmenované v diagramu se řídí běžným pořadím útoku:

  1. Útočník odešle phishingový e-mail s malwarem připojeným k němu.

  2. Koncový uživatel otevře připojený malware.

  3. Malware se nainstaluje do back-endu bez toho, aby ho uživatel chystal.

  4. Nainstalovaný malware ukradne přihlašovací údaje některých uživatelů.

  5. Útočník pomocí přihlašovacích údajů získá přístup k citlivým účtům.

  6. Pokud přihlašovací údaje poskytují přístup k účtu se zvýšenými oprávněními, útočník ohrožuje další systémy.

Diagram také ukazuje ve vrstvě označené jako DEFENDER , které služby XDR v programu Microsoft Defender můžou tyto útoky monitorovat a zmírnit. Toto je příklad toho, jak Defender poskytuje další vrstvu zabezpečení, která funguje se službami zabezpečení Azure a nabízí další ochranu prostředků zobrazených v diagramu. Další informace o tom, jak potenciální útoky vyhrožují vašemu IT prostředí, najdete v druhém článku této série, který mapuje hrozby pro vaše IT prostředí. Další informace o XDR v programu Microsoft Defender naleznete v tématu XDR v programu Microsoft Defender.

Přístup ke službám Zabezpečení XDR v programu Microsoft Defender a jejich správa

Následující diagram znázorňuje, které portály jsou aktuálně k dispozici, a jejich vztahy mezi sebou. V době aktualizace pro tyto články můžou být některé z těchto portálů už zastaralé.

Diagram znázorňující aktuální vztah portálů ke službám

Security.microsoft.com je aktuálně nejdůležitější portál, protože přináší funkce z Microsoft Defender pro Office 365 (1), z Defenderu for Endpoint (2), z Defenderu pro Office (3), Defenderu for Identity (5), Defenderu for Apps (4) a také pro Microsoft Sentinel.

Je důležité zmínit, že Microsoft Sentinel má některé funkce, které stále běží jenom na webu Azure Portal (portal.azure.com).

endpoint.microsoft.com Nakonec poskytuje funkce hlavně pro Intune a Configuration Manager, ale také pro další služby, které jsou součástí Endpoint Manageru. Protože security.microsoft.com a endpoint.microsoft.com poskytuje ochranu zabezpečení pro koncové body, mají mezi nimi mnoho interakcí (9), které nabízejí skvělý stav zabezpečení pro vaše koncové body.

Komponenty

Ukázková architektura v tomto článku používá následující komponenty Azure:

  • Microsoft Entra ID je cloudová služba pro správu identit a přístupu. Microsoft Entra ID pomáhá uživatelům přistupovat k externím prostředkům, jako jsou Microsoft 365, Azure Portal a tisíce dalších aplikací SaaS. Pomáhá jim také přistupovat k interním prostředkům, jako jsou aplikace ve vaší podnikové intranetové síti.

  • Azure Virtual Network je základní stavební blok vaší privátní sítě v Azure. Virtuální síť umožňuje mnoha typům prostředků Azure bezpečně komunikovat mezi sebou, internetem a místními sítěmi. Virtuální síť poskytuje virtuální síť, která využívá infrastrukturu Azure, jako je škálování, dostupnost a izolace.

  • Azure Load Balancer je vysoce výkonná služba vyrovnávání zatížení vrstvy 4 (příchozí a odchozí) pro všechny protokoly UDP a TCP. Je sestavená tak, aby zpracovávala miliony požadavků za sekundu a současně zajistila vysokou dostupnost vašeho řešení. Azure Load Balancer je zónově redundantní a zajišťuje vysokou dostupnost napříč Zóny dostupnosti.

  • Virtuální počítače jsou jedním z několika typů škálovatelných výpočetních prostředků na vyžádání, které Azure nabízí. Virtuální počítač Azure poskytuje flexibilitu virtualizace, aniž byste museli kupovat a udržovat fyzický hardware, na kterém běží.

  • Azure Kubernetes Service (AKS) je plně spravovaná služba Kubernetes pro nasazování a správu kontejnerizovaných aplikací. AKS poskytuje bezserverové Kubernetes, kontinuální integraci/průběžné doručování (CI/CD) a zabezpečení a zásady správného řízení na podnikové úrovni.

  • Azure Virtual Desktop je desktopová a aplikační virtualizační služba, která běží v cloudu a poskytuje desktopy vzdáleným uživatelům.

  • Web Apps je služba založená na protokolu HTTP pro hostování webových aplikací, rozhraní REST API a mobilních back-endů. Můžete vyvíjet ve svém oblíbeném jazyce a aplikace běží a škálují se snadno v prostředích s Windows i Linuxem.

  • Azure Storage je vysoce dostupná, široce škálovatelná, odolná a zabezpečená úložiště pro různé datové objekty v cloudu, včetně objektu, objektu blob, souboru, disku, fronty a úložiště tabulek. Služba šifruje všechna data zapsaná do účtu úložiště Azure. Azure Storage poskytuje jemně odstupňované řízení přístupu k datům.

  • Azure SQL Database je plně spravovaný databázový stroj PaaS, který zpracovává většinu funkcí správy databází, jako je upgrade, opravy, zálohování a monitorování. Poskytuje tyto funkce bez zásahu uživatele. SQL Database poskytuje řadu integrovaných funkcí zabezpečení a dodržování předpisů, které pomáhají vaší aplikaci splňovat požadavky na zabezpečení a dodržování předpisů.

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

Další přispěvatelé:

Další kroky

Další podrobnosti o této referenční architektuře najdete v dalších článcích v této sérii: