Zero Trust und Defender for Cloud

Dieser Artikel enthält Strategien und Anweisungen für die Integration von Zero Trust-Infrastrukturlösungen mit Microsoft Defender for Cloud. Der Leitfaden enthält Integrationen mit anderen Lösungen, einschließlich Lösungen für Security Information & Event Management (SIEM), automatisierte Sicherheitsorchestrierungsantwort (Security Orchestration Automated Response,SOAR), Erkennung und Reaktion am Endpunkt (Endpoint Detection and Response, EDR) und IT-Service-Management (ITSM).

Die Infrastruktur umfasst die Hardware, Software, Microservices, Netzwerkinfrastruktur und Einrichtungen, die erforderlich sind, um die IT-Dienste für eine Organisation zu unterstützen. Unabhängig davon, ob lokal oder in einer Multicloud, die Infrastruktur stellt einen kritischen Bedrohungsvektor dar.

Zero Trust-Lösungen bewerten, überwachen und verhindern Sicherheitsbedrohungen für Ihre Infrastruktur. Lösungen unterstützen die Prinzipien von Zero Trust, indem sichergestellt wird, dass der Zugriff auf Infrastrukturressourcen explizit überprüft und mithilfe von Prinzipien der geringsten Rechte gewährt wird. Mechanismen gehen von Sicherheitsverletzungen aus und suchen und beheben Sicherheitsbedrohungen in der Infrastruktur.

Was ist Zero Trust?

Zero Trust ist eine Sicherheitsstrategie für den Entwurf und die Implementierung der folgenden Sicherheitsprinzipien:

Explizit verifizieren	Verwenden des Zugriffs mit den geringsten Rechten	Von einer Sicherheitsverletzung ausgehen
Ziehen Sie zur Authentifizierung und Autorisierung immer alle verfügbaren Datenpunkte heran.	Beschränken Sie den Benutzerzugriff mit Just-In-Time- und Just-Enough-Access (JIT/JEA), risikobasierten adaptiven Richtlinien und Datenschutz.	Minimieren Sie Auswirkungsgrad und Segmentzugriff. Überprüfen Sie die End-to-End-Verschlüsselung, und verwenden Sie Analysen, um für Transparenz zu sorgen, die Bedrohungserkennung voranzutreiben und die Abwehr zu verbessern.

Zero Trust und Defender for Cloud

Der Leitfaden zur Bereitstellung einer Zero Trust-Infrastruktur enthält die wichtigen Phasen einer Zero Trust-Infrastrukturstrategie:

1. Bewerten der Konformität mit ausgewählten Standards und Richtlinien.
2. Härten der Konfiguration, wenn Lücken gefunden werden.
3. Verwenden anderer Tools für die Härtung, z. B. Just-In-Time (JIT)-VM-Zugriff.
4. Einrichten des Bedrohungsschutzes.
5. Automatisches Blockieren und Kennzeichnen von riskantem Verhalten und Ergreifen von Schutzmaßnahmen

Hier erfahren Sie, wie diese Phasen Defender for Cloud zugeordnet sind.

Ziel	Defender für Cloud
Bewerten der Konformität	In Defender for Cloud ist jedem Abonnement automatisch die MCSB-Sicherheitsinitiative (Microsoft Cloud Security Benchmark) zugewiesen. Mit den Tools für die Sicherheitsbewertung und dem Dashboard für die Einhaltung von Vorschriften erhalten Sie ein umfassendes Verständnis des Sicherheitsstatus.
Härten der Konfiguration	Infrastruktur- und Umgebungseinstellungen werden anhand des Compliance-Standards bewertet, und Empfehlungen werden basierend auf diesen Bewertungen ausgegeben. Sie können Sicherheitsempfehlungen überprüfen und korrigieren und [Verbesserungen der Sicherheitsbewertung] (secure-score-access-and-track.md) im Zeitverlauf nachverfolgen. Sie können priorisieren, welche Empfehlungen basierend auf potenziellen Angriffspfadenkorrigiert werden sollen.
Verwenden von Härtungsmechanismen	Zugriff mit geringsten Rechten ist ein Zero Trust-Prinzip. Defender for Cloud kann Ihnen helfen, VMs und Netzwerkeinstellungen mithilfe dieses Prinzips zu härten, mit Features wie: Just-In-Time-Zugriff (JIT) auf VMs:
Einrichten des Bedrohungsschutzes	Defender for Cloud ist eine Cloud-Workload Protection Platform (CWPP), die erweiterten, intelligenten Schutz von Azure und hybriden Ressourcen und Workloads bietet. Weitere Informationen
Riskantes Verhalten automatisch blockieren	Viele der Härtungsempfehlungen in Defender for Cloud bieten eine Option Verweigern, um die Erstellung von Ressourcen zu verhindern, die definierten Härtekriterien nicht erfüllen. Weitere Informationen
Automatisches Kennzeichnen von verdächtigem Verhalten	Defenders for Cloud-Sicherheitswarnungen werden durch Bedrohungserkennungen ausgelöst. Defender for Cloud priorisiert und listet Warnungen mit Informationen auf, die Sie bei der Untersuchung unterstützen. Es stellt auch detaillierte Schritte bereit, die Sie bei der Abwehr von Angriffen unterstützen. Überprüfen Sie eine vollständige Liste der Sicherheitswarnungen.

Anwenden von Zero Trust in Hybrid- und Multicloudszenarien

Da Cloudworkloads häufig mehrere Cloudplattformen umfassen, müssen Cloudsicherheitsdienste dies auch tun. Defender for Cloud schützt Workloads überall dort, wo sie ausgeführt werden. In Azure, lokal, AWS oder GCP.

• AWS: Um AWS-Computer zu schützen, integrieren Sie AWS-Konten in Defender for Cloud. Diese Integration bietet eine einheitliche Ansicht von Defender for Cloud-Empfehlungen und AWS Security Hub-Ergebnissen. Erfahren Sie mehr über das Verbinden Ihrer AWS-Konten mit Microsoft Defender for Cloud.
• GCP: Um GCP-Computer zu schützen, integrieren Sie GCP-Konten in Defender for Cloud. Diese Integration bietet eine einheitliche Ansicht von Defender for Cloud-Empfehlungen und GCP Security Command Center-Ergebnissen. Erfahren Sie mehr über das Verbinden Ihrer GCP-Konten mit Microsoft Defender for Cloud.
• Lokale Computer. Sie können den Defender for Cloud-Schutz erweitern, indem Sie lokale Computer mit Azure Arc-fähigen Servern verbinden. Erfahren Sie mehr über das Verbinden lokaler Computer mit Defender for Cloud.

Schützen von Azure PaaS-Diensten

Wenn Defender for Cloud in einen Azure-Abonnement verfügbar ist und Microsoft Defender for Cloud-Pläne für alle vorhandenen Ressourcentypen aktiviert sind, schützt eine Ebene mit intelligentem Bedrohungsschutz, unterstützt von Microsoft Threat Intelligence, die Ressourcen in Azure PaaS-Diensten, einschließlich Azure Key Vault, Azure Storage, Azure DNS und andere. Erfahren Sie mehr über die Ressourcentypen, die Defender for Cloud schützen kann.

Automatisieren von Antworten mit Azure Logic Apps

Verwenden Sie Azure Logic Apps, um automatisierte skalierbare Workflows, Geschäftsprozesse und Unternehmensorchestrierungen für die Integration Ihrer Apps und Daten in Clouddienste und lokale Systeme zu entwickeln.

Mit der Workflowautomatisierungsfunktion von Defender for Cloud können Sie Antworten auf Defender for Cloud-Trigger automatisieren.

Dies ist eine hervorragende Möglichkeit zum Definieren von Reaktionen, die bei der Erkennung von Bedrohungen auf automatisierte und einheitliche Weise ausgelöst werden. Beispiele hierfür sind das Benachrichtigen der relevanten Beteiligten, das Starten eines Change Management-Prozesses und das Anwenden bestimmter Lösungsschritte, wenn eine Bedrohung erkannt wird.

Integration in SIEM-, SOAR- und ITSM-Lösungen

Defender for Cloud kann Ihre Sicherheitswarnungen in die beliebtesten SIEM-, SOAR- und ITSM-Lösungen streamen. Es gibt Azure-native Tools, die sicherstellen, dass Sie Ihre Warndaten in allen gängigen Lösungen anzeigen können, die heute verwendet werden, einschließlich:

• Microsoft Sentinel
• Splunk Enterprise and Splunk Cloud
• QRadar von IBM
• ServiceNow
• ArcSight
• Power BI
• Palo Alto Networks

Integration mit Microsoft Sentinel

Defender for Cloud ist nativ in Microsoft Sentinel integriert, die SIEM/SOAR-Lösung von Microsoft.

Es gibt zwei Ansätze, um sicherzustellen, dass Ihre Defender for Cloud-Daten in Microsoft Sentinel dargestellt werden:

• Sentinel-Connectors: Microsoft Sentinel enthält integrierte Konnektoren für Microsoft Defender for Cloud auf Abonnement- und Tenantebene:

  • Streaming von Warnmeldungen an Microsoft Sentinel auf Abonnementebene
  • Verbinden Sie alle Abonnements in Ihrem Tenant mit Microsoft Sentinel

  Tipp

  Weitere Informationen finden Sie unter Verbinden von Microsoft Defender for Cloud-Sicherheitswarnungen.

• Streaming von Überwachungsprotokollen – Eine alternative Möglichkeit zur Untersuchung von Defender for Cloud-Warnungen in Microsoft Sentinel ist das Streamen Ihrer Überwachungsprotokolle in Microsoft Sentinel:

  • Herstellen einer Verbindung mit Windows-Sicherheitsereignissen
  • Sammeln von Daten aus Linux-basierten Quellen mithilfe von Syslog
  • Verknüpfen von Daten aus dem Azure-Aktivitätsprotokoll

Streamen von Warnungen mit der Microsoft Graph-Sicherheits-API

Defender für Cloud verfügt über eine sofort einsatzbereite Integration mit Microsoft Graph Security API. Es ist keine Konfiguration erforderlich, und es fallen keine zusätzlichen Kosten an.

Sie können diese API verwenden, um Warnungen des gesamten Mandanten sowie Daten aus vielen anderen Microsoft-Sicherheitsprodukten zu Drittanbieter-SIEMs und andere beliebte Plattformen zu streamen:

• Splunk Enterprise und Splunk Cloud – Verwenden des Microsoft Graph-Sicherheits-API-Add-Ons für Splunk
• Power BI – Herstellen einer Verbindung mit der Microsoft Graph-Sicherheits-API in Power BI Desktop
• ServiceNow – Befolgen der Anweisungen zum Installieren und Konfigurieren der Microsoft Graph-Sicherheits-API-Anwendung aus dem ServiceNow-Store
• QRadar – Verwenden des Geräteunterstützungsmoduls von IBM für Microsoft Defender for Cloud über die Microsoft Graph-API
• Palo Alto Networks, Anomali, Lookout, InSpark und weitere. Erfahren Sie mehr über die Microsoft Graph-Sicherheits-API.

Streamen von Warnungen mit Azure Monitor

Verwenden Sie das Defender for Cloud-Feature fortlaufender Export, um über Azure Event Hubs eine Verbindung mit Azure Monitor herzustellen und Warnungen an ArcSight, SumoLogic, Syslog-Server, LogRhythm, Logz.io Cloud Observability Platform und andere Überwachungslösungen zu streamen.

• Dies kann auch auf Verwaltungsgruppenebene mithilfe von Azure Policy erfolgen. Erfahren Sie mehr über das Erstellen von Automatisierungskonfigurationen für fortlaufenden Export im großen Stil.
• Um die Ereignisschemas der exportierten Datentypen anzuzeigen, überprüfen Sie die Event Hubs-Ereignisschemas.

Erfahren Sie mehr über das Streaming von Warnungen für Überwachungslösungen.

Integration in EDR-Lösungen

Microsoft Defender für den Endpunkt

Defender for Endpoint ist eine ganzheitliche, in der Cloud bereitgestellte Endpunktsicherheitslösung. Der Workloadplan für Defender for Cloud-Server, Defender for Servers, enthält eine integrierte Lizenz für Defender for Endpoint. Gemeinsam bieten sie umfassende EDR-Funktionen. Erfahren Sie mehr über das Schützen von Endpunkten.

Wenn Defender für Endpunkt eine Bedrohung erkennt, wird eine Warnung ausgelöst. Die Warnung wird in Defender für Cloud angezeigt. Über Defender for Cloud können Sie zur Defender for Endpoint-Konsole wechseln und eine detaillierte Untersuchung durchführen, um den Umfang des Angriffs zu ermitteln.

Andere EDR-Lösungen

Defender for Cloud bietet eine Integritätsbewertung der unterstützten Versionen von EDR-Lösungen.

Defender for Cloud stellt Empfehlungen basierend auf dem Microsoft Security-Benchmark bereit. Eine der Kontrollen des Vergleichstests bezieht sich auf die Endpunktsicherheit: ES-1: Verwenden von Endpoint Detection & Response (EDR). Es gibt zwei Empfehlungen, um sicherzustellen, dass Endpoint Protection aktiviert wurde und ordnungsgemäß ausgeführt wird. Erfahren Sie mehr über die Bewertung für unterstützte EDR-Lösungen in Defender for Cloud.

Nächste Schritte

Beginnen Sie mit der Planung des Multicloud-Schutzes.