Nulový vztah důvěryhodnosti a Defender pro cloud
Tento článek obsahuje strategii a pokyny pro integraci řešení infrastruktury nulové důvěryhodnosti s Microsoft Defenderem pro cloud. Tyto pokyny zahrnují integraci s jinými řešeními, včetně řešení pro správu informací o zabezpečení a událostí (SIEM), automatizované reakce na orchestraci zabezpečení (SOAR), detekce a reakce u koncových bodů (EDR) a řešení pro správu IT služeb (ITSM).
Infrastruktura se skládá z hardwaru, softwaru, mikroslužeb, síťové infrastruktury a zařízení potřebných k podpoře IT služeb pro organizaci. Infrastruktura představuje kritický vektor hrozby bez ohledu na to, jestli je místní nebo multicloudový.
nulová důvěra (Zero Trust) řešení infrastruktury vyhodnocují, monitorují a brání bezpečnostním hrozbám vaší infrastruktury. Řešení podporují principy nulové důvěry tím, že zajišťují, aby byl přístup k prostředkům infrastruktury ověřený explicitně a udělen pomocí principů přístupu s nejnižšími oprávněními. Mechanismy předpokládají porušení zabezpečení a hledají a opravují bezpečnostní hrozby v infrastruktuře.
Co je nulový vztah důvěryhodnosti?
nulová důvěra (Zero Trust) je strategie zabezpečení pro navrhování a implementaci následujících sad principů zabezpečení:
| Explicitní ověření | Použití přístupu s nejnižšími oprávněními | Předpokládat porušení zabezpečení |
|---|---|---|
| Vždy ověřovat a autorizovat na základě všech dostupných datových bodů. | Omezte přístup uživatelů pomocí technologie Just-In-Time a Just-Enough-Access (JIT/JEA), adaptivních zásad založených na rizikech a ochrany dat. | Minimalizujte poloměr výbuchu a segmentování přístupu. Ověřte komplexní šifrování a využijte analýzy k získání viditelnosti, zjišťování hrozeb a zlepšení ochrany. |
nulová důvěra (Zero Trust) a Defender for Cloud
nulová důvěra (Zero Trust) pokyny k nasazení infrastruktury poskytují klíčové fáze strategie infrastruktury nulové důvěryhodnosti:
- Vyhodnoťte dodržování zvolených standardů a zásad.
- Posílení konfigurace všude, kde jsou nalezeny mezery
- Používejte další nástroje pro posílení zabezpečení, jako je přístup k virtuálním počítačům podle potřeby (JIT ).
- Nastavení ochrany před hrozbami
- Automaticky blokovat a označit rizikové chování a provádět ochranné akce.
Tady je postup, jak se tyto fáze mapují na Defender for Cloud.
| Goal | Defender for Cloud |
|---|---|
| Posouzení dodržování předpisů | V programu Defender for Cloud má každé předplatné přiřazenou iniciativu zabezpečení microsoftu (MCSB). Pomocí nástrojů pro bezpečnostní skóre a řídicího panelu dodržování právních předpisů můžete získat hluboké znalosti stavu zabezpečení. |
| Posílení konfigurace | Nastavení infrastruktury a prostředí se posuzuje podle standardu dodržování předpisů a doporučení se vydávají na základě těchto posouzení. V průběhu času můžete kontrolovat a opravovat doporučení k zabezpečení a [sledovat vylepšení skóre zabezpečení] (secure-score-access-and-track.md). Můžete určit prioritu doporučení, která se mají napravit na základě potenciálních cest útoku. |
| Použití mechanismů posílení zabezpečení | Přístup s nejnižšími oprávněními je princip nulové důvěryhodnosti. Defender for Cloud vám pomůže posílit zabezpečení virtuálních počítačů a nastavení sítě pomocí tohoto principu s funkcemi, jako jsou: Přístup k virtuálním počítačům za běhu (JIT) |
| Nastavení ochrany před hrozbami | Defender for Cloud je platforma ochrany cloudových úloh (CWPP), která poskytuje pokročilou, inteligentní ochranu Azure a hybridních prostředků a úloh. Další informace. |
| Automatické blokování rizikového chování | Řada doporučení pro posílení zabezpečení v Defenderu pro cloud nabízí možnost odepření , aby se zabránilo vytváření prostředků, které nesplňují definovaná kritéria posílení zabezpečení. Další informace. |
| Automatické označení podezřelého chování | Detekce hrozeb aktivují defendery pro výstrahy zabezpečení cloudu. Defender for Cloud upřednostňuje a vypíše výstrahy s informacemi, které vám pomůžou prozkoumat. Obsahuje také podrobné kroky, které vám pomůžou napravit útoky. Zkontrolujte úplný seznam výstrah zabezpečení. |
Použití nulové důvěryhodnosti u hybridních a multicloudových scénářů
U cloudových úloh, které často pokrývají více cloudových platforem, musí služby cloudového zabezpečení provádět totéž. Defender for Cloud chrání úlohy bez ohledu na to, kde jsou spuštěné. V Azure, v místním prostředí, AWS nebo GCP.
- AWS: Pokud chcete chránit počítače AWS, připojte účty AWS do defenderu pro cloud. Tato integrace poskytuje jednotné zobrazení doporučení defenderu pro cloud a zjištění AWS Security Hubu. Přečtěte si další informace o připojování účtů AWS k Programu Microsoft Defender for Cloud.
- GCP: Pokud chcete chránit počítače GCP, zařaďte účty GCP do programu Defender for Cloud. Tato integrace poskytuje jednotné zobrazení doporučení defenderu pro cloud a zjištění GCP Security Command Center. Přečtěte si další informace o připojování účtů GCP ke službě Microsoft Defender for Cloud.
- Místní počítače. Defender for Cloud Protection můžete rozšířit připojením místních počítačů k serverům s podporou Azure Arc. Přečtěte si další informace o připojení místních počítačů k Defenderu pro cloud.
Ochrana služeb Azure PaaS
Když je Defender for Cloud dostupný v předplatném Azure a plán Defender for Cloud povolený pro všechny dostupné typy prostředků, vrstva inteligentní ochrany před hrozbami založená na službě Microsoft Threat Intelligence chrání prostředky ve službách Azure PaaS, včetně služby Azure Key Vault, Azure Storage, Azure DNS a dalších. Přečtěte si další informace o typech prostředků, které může Defender for Cloud zabezpečit.
Automatizace odpovědí pomocí Azure Logic Apps
Využijte Azure Logic Apps k vytváření automatizovaných škálovatelných pracovních postupů, obchodních procesů a podnikových orchestrací pro integraci aplikací a dat mezi cloudovými službami a místními systémy.
Funkce automatizace pracovních postupů v Defenderu for Cloud umožňuje automatizovat odpovědi na triggery Defenderu pro cloud.
To je skvělý způsob, jak definovat a reagovat automatizovaným konzistentním způsobem při zjištění hrozeb. Chcete-li například upozornit relevantní zúčastněné strany, spustit proces správy změn a použít konkrétní nápravné kroky při zjištění hrozby.
Integrace s řešeními SIEM, SOAR a ITSM
Defender for Cloud může streamovat výstrahy zabezpečení do nejoblíbenějších řešení SIEM, SOAR a ITSM. Existují nativní nástroje Azure, které vám pomůžou zobrazit data výstrah ve všech nejoblíbenějších řešeních, která se dnes používají, včetně:
- Microsoft Sentinel
- Splunk Enterprise a Splunk Cloud
- QRadar od IBM
- ServiceNow
- ArcSight
- Power BI
- Palo Alto Networks
Integrace s Microsoft Sentinelem
Defender for Cloud se nativně integruje s Microsoft Sentinelem, řešením SIEM/SOAR od Microsoftu.
Existují dva přístupy k zajištění toho, aby se v Microsoft Sentinelu reprezentoval defender pro cloudová data:
Konektory služby Sentinel – Microsoft Sentinel zahrnuje integrované konektory pro Microsoft Defender for Cloud na úrovni předplatného a tenanta:
- Streamování upozornění na Microsoft Sentinel na úrovni předplatného
- Připojení všech předplatných ve vašem tenantovi k Microsoft Sentinelu
Tip
Další informace najdete v upozorněních zabezpečení pro připojení z Microsoft Defenderu pro cloud.
Streamování protokolů auditu – alternativní způsob, jak prozkoumat upozornění Defenderu pro cloud v Microsoft Sentinelu, je streamovat protokoly auditu do Microsoft Sentinelu:
Streamování upozornění pomocí Rozhraní API pro zabezpečení Microsoft Graphu
Defender for Cloud má připravenou integraci s Microsoft Graphem Rozhraní API pro zabezpečení. Nevyžaduje se žádná konfigurace a žádné další náklady.
Pomocí tohoto rozhraní API můžete streamovat výstrahy z celého tenanta a data z mnoha dalších produktů Microsoft Security do systémů SIEM třetích stran a dalších oblíbených platforem:
- Splunk Enterprise a Splunk Cloud – Použití doplňku Microsoft Graph Rozhraní API pro zabezpečení pro Splunk
- Power BI – Připojení k microsoft Graphu Rozhraní API pro zabezpečení v Power BI Desktopu
- ServiceNow – Postupujte podle pokynů k instalaci a konfiguraci aplikace Microsoft Graph Rozhraní API pro zabezpečení ze služby ServiceNow Store.
- QRadar – Použití modulu podpory zařízení IBM pro Defender pro cloud prostřednictvím rozhraní Microsoft Graph API
- Palo Alto Networks, Anomálie, Lookout, InSpark a další. Přečtěte si další informace o Rozhraní API pro zabezpečení Microsoft Graphu.
Streamování upozornění pomocí služby Azure Monitor
Pomocí funkce průběžného exportu v Programu Defender for Cloud se připojte ke službě Azure Monitor prostřednictvím služby Azure Event Hubs a streamujte výstrahy do serverů ArcSight, SumoLogic, Syslog, LogRhythm, Logz.io Cloud Observability Platform a dalších řešení monitorování.
- Můžete to provést také na úrovni skupiny pro správu pomocí služby Azure Policy. Seznamte se s vytvářením konfigurací automatizace průběžného exportu ve velkém měřítku.
- Pokud chcete zobrazit schémata událostí exportovaných datových typů, projděte si schémata událostí služby Event Hubs.
Přečtěte si další informace o upozorněních streamování pro monitorování řešení.
Integrace s řešeními EDR
Microsoft Defender for Endpoint
Defender for Endpoint je ucelené cloudové řešení zabezpečení koncových bodů. Plán úloh Defenderu pro cloudové servery Defender for Servers zahrnuje integrovanou licenci pro Defender for Endpoint. Společně poskytují komplexní možnosti EDR. Přečtěte si další informace o ochraně koncových bodů.
Když Defender for Endpoint detekuje hrozbu, aktivuje výstrahu. Výstraha se zobrazí v programu Defender for Cloud. V programu Defender for Cloud můžete přejít do konzoly Defenderu pro koncový bod a provést podrobné šetření, abyste odhalili rozsah útoku.
Další řešení EDR
Defender for Cloud poskytuje posouzení stavu podporovaných verzí řešení EDR.
Defender for Cloud poskytuje doporučení na základě srovnávacího testu zabezpečení Microsoftu. Jedna z kontrol v srovnávacím testu souvisí se zabezpečením koncových bodů: ES-1: Použití detekce a odezvy koncových bodů (EDR). Existují dvě doporučení, abyste zajistili, že máte povolenou ochranu koncových bodů a funguje dobře. Přečtěte si další informace o posouzení podporovaných řešení EDR v defenderu pro cloud.
Další kroky
Začněte plánovat ochranu s více cloudy.