Zero Trust en Defender voor Cloud
Dit artikel bevat strategie- en instructies voor het integreren van Zero Trust-infrastructuuroplossingen met Microsoft Defender voor Cloud. De richtlijnen omvatten integraties met andere oplossingen, waaronder SIEM-oplossingen (Security Information and Event Management), SOAR (Security Orchestration Automated Response), eindpuntdetectie en -respons (EDR) en ITSM-oplossingen (IT Service Management).
Infrastructuur omvat de hardware, software, microservices, netwerkinfrastructuur en faciliteiten die nodig zijn om IT-services voor een organisatie te ondersteunen. Of de infrastructuur nu on-premises of meerdere clouds is, vertegenwoordigt een kritieke bedreigingsvector.
Zero Trust-infrastructuuroplossingen beoordelen, bewaken en voorkomen beveiligingsrisico's voor uw infrastructuur. Oplossingen ondersteunen de principes van Zero Trust door ervoor te zorgen dat de toegang tot infrastructuurbronnen expliciet wordt geverifieerd en wordt verleend met behulp van principes van minimale toegangsrechten. Mechanismen gaan ervan uit dat er inbreuk wordt opgetreden en dat beveiligingsrisico's in de infrastructuur worden opgespoord en hersteld.
Wat is Zero Trust?
Zero Trust is een beveiligingsstrategie voor het ontwerpen en implementeren van de volgende sets beveiligingsprincipes:
| Expliciet verifiëren | Toegang tot minimale bevoegdheden gebruiken | Stel dat er sprake is van een schending |
|---|---|---|
| Altijd verifiëren en autoriseren op basis van alle beschikbare gegevenspunten. | Beperk gebruikerstoegang met Just-In-Time en Just-Enough-Access (JIT/JEA), op risico gebaseerd adaptief beleid en gegevensbeveiliging. | Minimaliseer straal en segmenttoegang. Controleer end-to-end-versleuteling en gebruik analyse om zichtbaarheid te krijgen, detectie van bedreigingen te stimuleren en verdediging te verbeteren. |
Zero Trust en Defender voor Cloud
Richtlijnen voor de implementatie van zero Trust-infrastructuur bieden belangrijke fasen van de Zero Trust-infrastructuurstrategie:
- Beoordeel de naleving van de gekozen standaarden en beleidsregels.
- Configuratie beperken waar hiaten zich bevinden.
- Gebruik andere beveiligingsmiddelen, zoals Just-In-Time -VM-toegang (JIT ).
- Bedreigingsbeveiliging instellen.
- Automatisch riskant gedrag blokkeren en markeren en beschermende acties uitvoeren.
Deze fasen worden als volgt toegewezen aan Defender voor Cloud.
| Goal | Defender voor Cloud |
|---|---|
| Naleving evalueren | In Defender voor Cloud wordt voor elk abonnement automatisch het MCSB-beveiligingsinitiatief (Microsoft Cloud Security Benchmark) toegewezen. Met behulp van de hulpprogramma's voor beveiligingsscore en het dashboard voor naleving van regelgeving krijgt u een goed inzicht in de beveiligingspostuur. |
| Configuratie van beveiliging | Infrastructuur- en omgevingsinstellingen worden beoordeeld op basis van de nalevingsstandaard en aanbevelingen worden gedaan op basis van deze evaluaties. U kunt beveiligingsaan aanbevelingen bekijken en herstellen en [beveiligingsscoreverbeteringen bijhouden] (secure-score-access-and-track.md) in de loop van de tijd. U kunt prioriteit geven aan welke aanbevelingen moeten worden hersteld op basis van mogelijke aanvalspaden. |
| Hardening-mechanismen gebruiken | Toegang met minimale bevoegdheden is een Zero Trust-principe. Defender voor Cloud kunt u helpen vm's en netwerkinstellingen te beveiligen met behulp van dit principe met functies zoals: Just-In-Time-VM-toegang (JIT). |
| Bedreigingsbeveiliging instellen | Defender voor Cloud is een platform voor cloudworkloadbeveiliging (CWPP), dat geavanceerde, intelligente beveiliging van Azure en hybride resources en workloads biedt. Meer informatie. |
| Riskant gedrag automatisch blokkeren | Veel van de aanbevelingen voor beveiliging in Defender voor Cloud bieden een optie voor weigeren om te voorkomen dat resources worden gemaakt die niet voldoen aan gedefinieerde hardingscriteria. Meer informatie. |
| Automatisch verdacht gedrag markeren | Defenders for Cloud-beveiligingswaarschuwingen worden geactiveerd door detectie van bedreigingen. Defender voor Cloud waarschuwingen prioriteert en vermeldt, met informatie om u te helpen onderzoeken. Het biedt ook gedetailleerde stappen om u te helpen aanvallen te herstellen. Bekijk een volledige lijst met beveiligingswaarschuwingen. |
Zero Trust toepassen op hybride en multicloudscenario's
Met cloudworkloads die vaak meerdere cloudplatforms omvatten, moeten cloudbeveiligingsservices hetzelfde doen. Defender voor Cloud beveiligt workloads waar ze ook worden uitgevoerd. In Azure, on-premises, AWS of GCP.
- AWS: Als u AWS-machines wilt beveiligen, onboardt u AWS-accounts in Defender voor Cloud. Deze integratie biedt een uniforme weergave van Defender voor Cloud aanbevelingen en bevindingen van AWS Security Hub. Meer informatie over het verbinden van AWS-accounts met Microsoft Defender voor Cloud.
- GCP: Als u GCP-machines wilt beveiligen, onboardt u GCP-accounts in Defender voor Cloud. Deze integratie biedt een uniforme weergave van Defender voor Cloud aanbevelingen en bevindingen van GCP Security Command Center. Meer informatie over het verbinden van GCP-accounts met Microsoft Defender voor Cloud.
- On-premises machines. U kunt Defender voor Cloud beveiliging uitbreiden door on-premises machines te verbinden met servers met Azure Arc. Meer informatie over het verbinden van on-premises machines met Defender voor Cloud.
Azure PaaS-services beveiligen
Wanneer Defender voor Cloud beschikbaar is in een Azure-abonnement en Defender voor Cloud abonnementen zijn ingeschakeld voor alle beschikbare resourcetypen, een laag intelligente bedreigingsbeveiliging, mogelijk gemaakt door Microsoft Threat Intelligence, beschermt resources in Azure PaaS-services, waaronder Azure Key Vault, Azure Storage, Azure DNS en andere. Meer informatie over de resourcetypen die Defender voor Cloud kunnen beveiligen.
Antwoorden automatiseren met Azure Logic Apps
Gebruik Azure Logic Apps om geautomatiseerde schaalbare werkstromen, bedrijfsprocessen en bedrijfsindelingen te bouwen om uw apps en gegevens te integreren in cloudservices en on-premises systemen.
met de functie voor werkstroomautomatisering van Defender voor Cloud kunt u antwoorden op Defender voor Cloud triggers automatiseren.
Dit is een uitstekende manier om op een geautomatiseerde, consistente manier te definiëren en te reageren wanneer bedreigingen worden gedetecteerd. Als u bijvoorbeeld relevante belanghebbenden op de hoogte wilt stellen, een wijzigingsbeheerproces wilt starten en specifieke herstelstappen wilt toepassen wanneer een bedreiging wordt gedetecteerd.
Integreren met SIEM-, SOAR- en ITSM-oplossingen
Defender voor Cloud kunt uw beveiligingswaarschuwingen streamen naar de populairste SIEM-, SOAR- en ITSM-oplossingen. Er zijn systeemeigen azure-hulpprogramma's om ervoor te zorgen dat u uw waarschuwingsgegevens kunt bekijken in alle populairste oplossingen die momenteel worden gebruikt, waaronder:
- Microsoft Sentinel
- Splunk Enterprise en Splunk Cloud
- QRadar van IBM
- ServiceNow
- ArcSight
- Power BI
- Palo Alto Networks
Integreren met Microsoft Sentinel
Defender voor Cloud is systeemeigen geïntegreerd met Microsoft Sentinel, de SIEM/SOAR-oplossing van Microsoft.
Er zijn twee manieren om ervoor te zorgen dat Defender voor Cloud gegevens worden weergegeven in Microsoft Sentinel:
Sentinel-connectors - Microsoft Sentinel bevat ingebouwde connectors voor Microsoft Defender voor Cloud op abonnements- en tenantniveau:
- Waarschuwingen streamen naar Microsoft Sentinel op abonnementsniveau
- Alle abonnementen in uw tenant verbinden met Microsoft Sentinel
Tip
Meer informatie in Beveiligingswaarschuwingen verbinden vanuit Microsoft Defender voor Cloud.
Auditlogboeken streamen- Een alternatieve manier om Defender voor Cloud waarschuwingen in Microsoft Sentinel te onderzoeken, is door uw auditlogboeken te streamen naar Microsoft Sentinel:
Waarschuwingen streamen met Microsoft Graph beveiligings-API
Defender voor Cloud beschikt over out-of-the-box-integratie met Microsoft Graph beveiligings-API. Er is geen configuratie vereist en er zijn geen extra kosten.
U kunt deze API gebruiken om waarschuwingen van de hele tenant te streamen en gegevens van vele andere Microsoft-beveiligingsproducten naar externe SIEM's en andere populaire platforms:
- Splunk Enterprise en Splunk Cloud- Gebruik de Microsoft Graph beveiligings-API-invoegtoepassing voor Splunk
- Power BI - Verbinding maken met de Microsoft Graph-beveiligings-API in Power BI Desktop
- ServiceNow: volg de instructies voor het installeren en configureren van de Microsoft Graph beveiligings-API-toepassing vanuit de ServiceNow Store
- QRadar - De module apparaatondersteuning van IBM gebruiken voor Defender voor Cloud via Microsoft Graph API
- Palo Alto Networks, Anomali, Lookout, InSpark en meer. Meer informatie over Microsoft Graph beveiligings-API.
Waarschuwingen streamen met Azure Monitor
Gebruik de functie voor continue export van Defender voor Cloud om via Azure Event Hubs verbinding te maken met Azure Monitor en waarschuwingen te streamen naar ArcSight, SumoLogic, Syslog-servers, LogRhythm, Logz.io Cloud Observability Platform en andere bewakingsoplossingen.
- Dit kan ook worden gedaan op het niveau van de beheergroep met behulp van Azure Policy. Meer informatie over het maken van configuraties voor continue exportautomatisering op schaal.
- Bekijk de Event Hubs-gebeurtenisschema's om de gebeurtenisschema's van de geëxporteerde gegevenstypen weer te geven.
Meer informatie over streamingwaarschuwingen voor het bewaken van oplossingen.
Integreren met EDR-oplossingen
Microsoft Defender voor Eindpunten
Defender voor Eindpunt is een holistische, cloudoplossing voor eindpuntbeveiliging. Het workloadplan voor Defender voor Cloud servers, Defender voor Servers, bevat een geïntegreerde licentie voor Defender voor Eindpunt. Samen bieden ze uitgebreide EDR-mogelijkheden. Meer informatie over het beveiligen van eindpunten.
Wanneer Defender voor Eindpunten een bedreiging detecteert, wordt er een waarschuwing geactiveerd. De waarschuwing wordt weergegeven in Defender voor Cloud. Vanuit Defender voor Cloud kunt u naar de Defender voor Eindpunt-console draaien en een gedetailleerd onderzoek uitvoeren om het bereik van de aanval te ontdekken.
Andere EDR-oplossingen
Defender voor Cloud biedt een statusbeoordeling van ondersteunde versies van EDR-oplossingen.
Defender voor Cloud aanbevelingen op basis van de Microsoft-beveiligingsbenchmark. Een van de besturingselementen in de benchmark heeft betrekking op eindpuntbeveiliging: ES-1: Endpoint Detection and Response (EDR) gebruiken. Er zijn twee aanbevelingen om ervoor te zorgen dat u Endpoint Protection hebt ingeschakeld en deze goed werkt. Meer informatie over evaluatie voor ondersteunde EDR-oplossingen in Defender voor Cloud.
Volgende stappen
Begin met het plannen van multicloudbeveiliging.