Controllo della sicurezza: Sicurezza degli endpoint
Endpoint Security illustra i controlli nel rilevamento e nella risposta degli endpoint, tra cui l'uso del rilevamento degli endpoint e della risposta (EDR) e del servizio antimalware per gli endpoint negli ambienti cloud.
ES-1: Usare rilevamento e risposta degli endpoint (EDR)
CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
---|---|---|
13.7 | SC-3, SI-2, SI-3, SI-16 | 11.5 |
Principio di sicurezza: abilitare le funzionalità di rilevamento e risposta degli endpoint per le macchine virtuali e integrarsi con i processi delle operazioni di sicurezza e SIEM.
Linee guida di Azure: Microsoft Defender per i server (con Microsoft Defender per endpoint integrato) offre funzionalità EDR per prevenire, rilevare, analizzare e rispondere alle minacce avanzate.
Usare Microsoft Defender for Cloud per distribuire Microsoft Defender per i server negli endpoint e integrare gli avvisi per la soluzione SIEM, ad esempio Microsoft Sentinel.
Implementazione di Azure e contesto aggiuntivo:
- Introduzione ad Azure Defender per server
- Panoramica di Microsoft Defender per endpoint
- Microsoft Defender per la copertura delle funzionalità cloud per i computer
- Integrazione del connettore per Defender per server in SIEM
Indicazioni su AWS: eseguire l'onboarding dell'account AWS in Microsoft Defender for Cloud e distribuire Microsoft Defender per i server (con Microsoft Defender per endpoint integrato) nelle istanze EC2 per offrire funzionalità EDR per prevenire, rilevare, analizzare e rispondere alle minacce avanzate.
In alternativa, usare la funzionalità di intelligence integrata per le minacce di Amazon GuardDuty per monitorare e proteggere le istanze EC2. Amazon GuardDuty può rilevare attività anomale, ad esempio attività che indicano una compromissione dell'istanza, ad esempio il mining di criptovaluta, il malware usando algoritmi di generazione di dominio (DGA), denial of service in uscita, un volume insolitamente elevato di traffico di rete, protocolli di rete insoliti, comunicazioni di istanza in uscita con un indirizzo IP dannoso noto, credenziali Amazon EC2 temporanee usate da un indirizzo IP esterno ed esfiltrazione di dati tramite DNS.
Implementazione di AWS e contesto aggiuntivo:
Linee guida per GCP: eseguire l'onboarding del progetto GCP in Microsoft Defender for Cloud e distribuire Microsoft Defender per i server (con Microsoft Defender per endpoint integrato) nelle istanze di macchina virtuale per fornire funzionalità EDR per impedire, rilevare, analizzare e rispondere alle minacce avanzate.
In alternativa, usare il Centro comandi di sicurezza di Google per l'intelligence integrata sulle minacce per monitorare e proteggere le istanze delle macchine virtuali. Il Centro comandi di sicurezza può rilevare attività anomale, ad esempio credenziali potenzialmente perse, mining di criptovaluta, applicazioni potenzialmente dannose, attività di rete dannose e altro ancora.
Implementazione GCP e contesto aggiuntivo:
- Proteggere gli endpoint con la soluzione EDR integrata di Defender for Cloud:
- Panoramica del Centro comandi di sicurezza:
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Sicurezza dell'infrastruttura e degli endpoint
- Intelligence per le minacce
- Gestione della conformità della sicurezza
- Gestione della postura
ES-2: Usare software antimalware moderno
CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
---|---|---|
10.1 | SC-3, SI-2, SI-3, SI-16 | 5,1 |
Principio di sicurezza: usare soluzioni antimalware (note anche come Endpoint Protection) in grado di eseguire la protezione in tempo reale e l'analisi periodica.
Linee guida di Azure: Microsoft Defender for Cloud può identificare automaticamente l'uso di una serie di soluzioni antimalware comuni per le macchine virtuali e le macchine locali con Azure Arc configurato e segnalare lo stato di esecuzione della protezione degli endpoint e creare raccomandazioni.
Microsoft Defender Antivirus è la soluzione antimalware predefinita per Windows Server 2016 e versioni successive. Per Windows Server 2012 R2, usare l'estensione Microsoft Antimalware per abilitare SCEP (System Center Endpoint Protection). Per le macchine virtuali Linux, usare Microsoft Defender per endpoint in Linux per la funzionalità endpoint protection.
Per Windows e Linux, è possibile usare Microsoft Defender per Cloud per individuare e valutare lo stato di integrità della soluzione antimalware.
Nota: è anche possibile usare Microsoft Defender per Cloud's Defender for Storage per rilevare il malware caricato negli account di archiviazione di Azure.
Implementazione di Azure e contesto aggiuntivo:
- Soluzioni di Endpoint Protection supportate
- Come configurare Microsoft Antimalware per Servizi cloud e macchine virtuali
Indicazioni su AWS: eseguire l'onboarding dell'account AWS in Microsoft Defender for Cloud per consentire a Microsoft Defender for Cloud di identificare automaticamente l'uso di alcune soluzioni antimalware comuni per le istanze EC2 con Azure Arc configurato e segnalare lo stato di esecuzione di Endpoint Protection e fornire raccomandazioni.
Distribuire Microsoft Defender Antivirus, ovvero la soluzione antimalware predefinita per Windows Server 2016 e versioni successive. Per le istanze EC2 che eseguono Windows Server 2012 R2, usare Microsoft Antimalware estensione per abilitare SCEP (System Center Endpoint Protection). Per le istanze ec2 che eseguono Linux, usare Microsoft Defender per endpoint in Linux per la funzionalità endpoint protection.
Per Windows e Linux, è possibile usare Microsoft Defender per Cloud per individuare e valutare lo stato di integrità della soluzione antimalware.
Nota: Microsoft Defender Cloud supporta anche alcuni prodotti endpoint protection di terze parti per la valutazione dello stato di individuazione e integrità.
Implementazione di AWS e contesto aggiuntivo:
- GuardDuty EC2 ricerca
- Microsoft Defender soluzioni di Endpoint Protection supportate
- Raccomandazioni di Endpoint Protection in Microsoft Defender per cloud
Linee guida per GCP: eseguire l'onboarding dei progetti GCP in Microsoft Defender for Cloud per consentire a Microsoft Defender per cloud di identificare automaticamente l'uso di soluzioni antimalware comuni per le istanze di macchine virtuali con Azure Arc configurato e segnalare lo stato di endpoint protection e fornire raccomandazioni.
Distribuire Microsoft Defender Antivirus, ovvero la soluzione antimalware predefinita per Windows Server 2016 e versioni successive. Per le istanze di macchine virtuali che eseguono Windows Server 2012 R2, usare l'estensione Microsoft Antimalware per abilitare SCEP (System Center Endpoint Protection). Per le istanze di macchine virtuali che eseguono Linux, usare Microsoft Defender per endpoint in Linux per la funzionalità endpoint protection.
Per Windows e Linux, è possibile usare Microsoft Defender per Cloud per individuare e valutare lo stato di integrità della soluzione antimalware.
Nota: Microsoft Defender Cloud supporta anche alcuni prodotti endpoint protection di terze parti per la valutazione dello stato di individuazione e integrità.
Implementazione GCP e contesto aggiuntivo:
- Microsoft Defender soluzioni di Endpoint Protection supportate:
- Raccomandazioni di Endpoint Protection in Microsoft Defender per i cloud:
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Sicurezza dell'infrastruttura e degli endpoint
- Intelligence per le minacce
- Gestione della conformità della sicurezza
- Gestione della postura
ES-3: Assicurarsi che il software antimalware e le firme siano aggiornate
CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
---|---|---|
10,2 | SI-2, SI-3 | 5,2 |
Principio di sicurezza: assicurarsi che le firme antimalware vengano aggiornate rapidamente e in modo coerente per la soluzione antimalware.
Indicazioni di Azure: seguire le raccomandazioni in Microsoft Defender for Cloud per mantenere tutti gli endpoint aggiornati con le firme più recenti. Microsoft Antimalware (per Windows) e Microsoft Defender per endpoint (per Linux) installeranno automaticamente le firme e gli aggiornamenti più recenti del motore per impostazione predefinita.
Per le soluzioni di terze parti, assicurarsi che le firme vengano aggiornate nella soluzione antimalware di terze parti.
Implementazione di Azure e contesto aggiuntivo:
- Come distribuire Microsoft Antimalware per Servizi cloud e macchina virtuale
- Valutazione e raccomandazioni di Endpoint Protection in Microsoft Defender for Cloud
Indicazioni su AWS: con l'account AWS caricato in Microsoft Defender for Cloud, seguire le raccomandazioni riportate in Microsoft Defender for Cloud per mantenere tutti gli endpoint aggiornati con le firme più recenti. Microsoft Antimalware (per Windows) e Microsoft Defender per endpoint (per Linux) installeranno automaticamente le firme e gli aggiornamenti più recenti del motore per impostazione predefinita.
Per le soluzioni di terze parti, assicurarsi che le firme vengano aggiornate nella soluzione antimalware di terze parti.
Implementazione di AWS e contesto aggiuntivo:
Linee guida per GCP: con i progetti GCP caricati in Microsoft Defender for Cloud, seguire le raccomandazioni riportate in Microsoft Defender for Cloud per mantenere tutte le soluzioni EDR aggiornate con le firme più recenti. Microsoft Antimalware (per Windows) e Microsoft Defender per endpoint (per Linux) installeranno automaticamente le firme e gli aggiornamenti più recenti del motore per impostazione predefinita.
Per le soluzioni di terze parti, assicurarsi che le firme vengano aggiornate nella soluzione antimalware di terze parti.
Implementazione GCP e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):