Sdílet prostřednictvím

Řízení zabezpečení: Zabezpečení koncového bodu

  • Článek

Zabezpečení koncového bodu zahrnuje kontrolní mechanismy při detekci a odezvě koncových bodů, včetně použití detekce a odezvy koncových bodů (EDR) a antimalwarové služby pro koncové body v cloudových prostředích.

ES-1: Použití detekce a odezvy koncových bodů (EDR)

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
13.7 SC-3, SI-2, SI-3, SI-16 11,5

Princip zabezpečení: Povolte funkce EDR (Endpoint Detection and Response) pro virtuální počítače a integrujte je s SIEM a procesy operací zabezpečení.

Pokyny Azure: Microsoft Defender pro servery (s integrovaným Microsoft Defender for Endpoint) poskytuje možnost EDR pro prevenci, detekci, vyšetřování a reakci na pokročilé hrozby.

Pomocí Microsoft Defender for Cloud nasaďte Microsoft Defender pro servery na koncových bodech a integrujte výstrahy do řešení SIEM, jako je Microsoft Sentinel.

Implementace Azure a další kontext:

Pokyny pro AWS: Onboarding vašeho účtu AWS do Microsoft Defender for Cloud a nasazení Microsoft Defender pro servery (s integrovanými Microsoft Defender for Endpoint) na instancích EC2, abyste mohli poskytovat možnosti EDR pro prevenci, detekci, prošetřování a reakci na pokročilé hrozby.

Případně můžete k monitorování a ochraně instancí EC2 použít integrovanou funkci analýzy hrozeb Amazon GuardDuty. Amazon GuardDuty může detekovat neobvyklé aktivity, jako je aktivita indikující ohrožení zabezpečení instance, jako je dolování kryptocurrency, malware pomocí algoritmů generování domén (DGA), odchozí aktivita odepření služby, neobvykle vysoký objem síťového provozu, neobvyklé síťové protokoly, odchozí komunikace instancí se známou škodlivou IP adresou, použití dočasných přihlašovacích údajů Amazon EC2 externí IP adresou a exfiltrace dat pomocí DNS.

Implementace AWS a další kontext:

Pokyny ke GCP: Onboarding projektu GCP do Microsoft Defender for Cloud a nasazení Microsoft Defender pro servery (s integrovaným Microsoft Defender for Endpoint) na instance virtuálních počítačů, které poskytují možnosti EDR pro prevenci, detekci, prošetřování a reakci na pokročilé hrozby..

Případně můžete použít Centrum zabezpečení společnosti Google pro integrovanou analýzu hrozeb k monitorování a ochraně instancí virtuálních počítačů. Security Command Center může detekovat neobvyklé aktivity, jako jsou potenciálně uniklé přihlašovací údaje, dolování kryptoměn, potenciálně škodlivé aplikace, škodlivé síťové aktivity a další.

Implementace GCP a další kontext:

Účastníci zabezpečení zákazníků (další informace):

ES-2: Použití moderního antimalwarového softwaru

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
10.1 SC-3, SI-2, SI-3, SI-16 5,1

Princip zabezpečení: Používejte antimalwarová řešení (označovaná také jako ochrana koncových bodů), která jsou schopná zajistit ochranu v reálném čase a pravidelnou kontrolu.

Pokyny Pro Azure: Microsoft Defender for Cloud může automaticky identifikovat použití řady oblíbených antimalwarových řešení pro virtuální počítače a místní počítače s nakonfigurovanou službou Azure Arc, hlásit stav spuštěné ochrany koncového bodu a vytvářet doporučení.

Microsoft Defender Antivirus je výchozím antimalwarovým řešením pro Windows Server 2016 a novější. Pro Windows Server 2012 R2 použijte rozšíření Microsoft Antimalware k povolení SCEP (System Center Endpoint Protection). Pro virtuální počítače s Linuxem použijte Microsoft Defender for Endpoint v Linuxu pro funkci ochrany koncových bodů.

Pro Windows i Linux můžete pomocí Microsoft Defender for Cloud zjistit a posoudit stav antimalwarového řešení.

Poznámka: K detekci malwaru nahraného do účtů Azure Storage můžete také použít defender Microsoft Defender for Cloud.

Implementace Azure a další kontext:

Pokyny pro AWS: Připojte svůj účet AWS do Microsoft Defender for Cloud, abyste Microsoft Defender for Cloud umožnili automaticky identifikovat použití některých oblíbených antimalwarových řešení pro instance EC2 s nakonfigurovanou službou Azure Arc a nahlásit stav spuštěné ochrany koncového bodu a poskytnout doporučení.

Nasaďte Microsoft Defender Antivirus, což je výchozí antimalwarové řešení pro Windows Server 2016 a novější. V případě instancí EC2 se systémem Windows Server 2012 R2 povolte SCEP (System Center Endpoint Protection) pomocí rozšíření Microsoft Antimalware. V případě instancí EC2 se systémem Linux použijte pro funkci ochrany koncových bodů Microsoft Defender for Endpoint v Linuxu.

Pro Windows i Linux můžete pomocí Microsoft Defender for Cloud zjistit a posoudit stav antimalwarového řešení.

Poznámka: Microsoft Defender Cloud také podporuje určité produkty ochrany koncových bodů třetích stran pro zjišťování a hodnocení stavu.

Implementace AWS a další kontext:

Pokyny ke GCP: Onboarding projektů GCP do Microsoft Defender for Cloud, aby Microsoft Defender for Cloud mohla automaticky identifikovat použití oblíbených antimalwarových řešení pro instance virtuálních počítačů s nakonfigurovanou službou Azure Arc, hlásit stav ochrany koncových bodů a vytvářet doporučení.

Nasaďte Microsoft Defender Antivirus, což je výchozí antimalwarové řešení pro Windows Server 2016 a novější. U instancí virtuálních počítačů se systémem Windows Server 2012 R2 povolte SCEP (System Center Endpoint Protection) pomocí rozšíření Microsoft Antimalware. Pro instance virtuálních počítačů s Linuxem použijte jako funkci ochrany koncových bodů Microsoft Defender for Endpoint v Linuxu.

Pro Windows i Linux můžete pomocí Microsoft Defender for Cloud zjistit a posoudit stav antimalwarového řešení.

Poznámka: Microsoft Defender Cloud také podporuje určité produkty ochrany koncových bodů třetích stran pro zjišťování a hodnocení stavu.

Implementace GCP a další kontext:

Účastníci zabezpečení zákazníků (další informace):

ES-3: Zajištění aktualizace antimalwarového softwaru a podpisů

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
10,2 SI-2, SI-3 5.2

Princip zabezpečení: Zajistěte, aby se antimalwarové signatury rychle a konzistentně aktualizovaly pro antimalwarové řešení.

Pokyny k Azure: Postupujte podle doporučení v Microsoft Defender for Cloud a udržujte všechny koncové body aktuální s nejnovějšími podpisy. Microsoft Antimalware (pro Windows) a Microsoft Defender for Endpoint (pro Linux) automaticky nainstalují nejnovější signatury a aktualizace modulu ve výchozím nastavení.

V případě řešení třetích stran se ujistěte, že se podpisy v antimalwarovém řešení třetí strany aktualizují.

Implementace Azure a další kontext:

Pokyny pro AWS: Když máte účet AWS nasazený v Microsoft Defender for Cloud, postupujte podle doporučení v Microsoft Defender for Cloud a udržujte všechny koncové body aktuální s nejnovějšími podpisy. Microsoft Antimalware (pro Windows) a Microsoft Defender for Endpoint (pro Linux) automaticky nainstalují nejnovější signatury a aktualizace modulu ve výchozím nastavení.

V případě řešení třetích stran se ujistěte, že se podpisy v antimalwarovém řešení třetí strany aktualizují.

Implementace AWS a další kontext:

Pokyny ke GCP: Po nasazení projektů GCP do Microsoft Defender for Cloud postupujte podle doporučení v Microsoft Defender for Cloud, abyste měli všechna řešení EDR aktuální a nejnovější podpisy. Microsoft Antimalware (pro Windows) a Microsoft Defender for Endpoint (pro Linux) automaticky nainstalují nejnovější signatury a aktualizace modulu ve výchozím nastavení.

V případě řešení třetích stran se ujistěte, že se podpisy v antimalwarovém řešení třetí strany aktualizují.

Implementace GCP a další kontext:

Účastníci zabezpečení zákazníků (další informace):