Edytuj

Udostępnij za pośrednictwem

Integrowanie usług zabezpieczeń Azure i Microsoft Defender XDR

Microsoft Sentinel
Azure Monitor
Microsoft Defender for Cloud
Azure Log Analytics
Azure Network Watcher

Pomysły dotyczące rozwiązań

W tym artykule opisano pomysł rozwiązania. Architekt chmury może użyć tych wskazówek, aby ułatwić wizualizowanie głównych składników dla typowej implementacji tej architektury. Skorzystaj z tego artykułu jako punktu wyjścia, aby zaprojektować dobrze zaprojektowane rozwiązanie zgodne z konkretnymi wymaganiami obciążenia.

Możesz wzmocnić stan zabezpieczeń IT organizacji, korzystając z funkcji zabezpieczeń dostępnych na platformie Microsoft 365 i na platformie Azure. W tym piątym i ostatnim artykule z serii wyjaśniono, jak zintegrować te funkcje zabezpieczeń przy użyciu usług monitorowania XDR i Microsoft Defender.

Ten artykuł opiera się na poprzednich artykułach z serii:

  1. Monitorowanie platformy Azure w celu zintegrowania składników zabezpieczeń zapewnia ogólny wgląd w sposób, w jaki można zintegrować usługi zabezpieczeń platformy Azure i usługi Microsoft Defender XDR.

  2. Mapuj zagrożenia na środowisko IT opisuje metody mapowania przykładów typowych zagrożeń, taktyki i technik na przykład hybrydowego środowiska IT, które korzysta zarówno z usług lokalnych, jak i usług w chmurze firmy Microsoft.

  3. Utwórz pierwszą warstwę obrony za pomocą usług Azure Security Services mapuje przykład niektórych usług zabezpieczeń platformy Azure, które tworzą pierwszą warstwę obrony w celu ochrony środowiska platformy Azure zgodnie z testem porównawczym zabezpieczeń platformy Azure w wersji 3.

  4. Druga warstwa obrony za pomocą usług Microsoft Defender XDR Security opisuje przykład serii ataków na środowisko IT oraz sposób dodawania kolejnej warstwy ochrony przy użyciu usługi Microsoft Defender XDR.

Architektura

Diagram pełnej architektury referencyjnej dla tej pięciodniowej serii artykułów, w których przedstawiono środowisko IT, zagrożenia i usługi zabezpieczeń.

Pobierz plik programu Visio z tą architekturą.

©2021 MITRE Corporation. Ta praca jest odtwarzana i rozpowszechniana z uprawnieniem MITRE Corporation.

Ten diagram przedstawia kompletną dokumentację architektury. Zawiera przykład środowiska IT, zestaw przykładowych zagrożeń, które są opisane zgodnie z ich taktyką (w kolorze niebieskim) oraz ich technikami (w polu tekstowym) zgodnie z macierzą MITRE ATT&CK. Macierz MITRE ATT&CK jest omówiona w temacie Mapuj zagrożenia dla środowiska IT.

Diagram przedstawia kilka ważnych usług. Niektóre, takie jak Azure Network Watcher i Application Insights, koncentrują się na przechwytywaniu danych z określonych usług. Inne, takie jak Log Analytics (znane również jako dzienniki usługi Azure Monitor) i Microsoft Sentinel, służą jako podstawowe usługi, ponieważ mogą zbierać, przechowywać i analizować dane z szerokiego zakresu usług, niezależnie od tego, czy są związane z sieciami, obliczeniami, czy aplikacjami.

Na środku diagramu znajdują się dwie warstwy usług zabezpieczeń i warstwa dedykowana dla określonych usług monitorowania platformy Azure, wszystkie zintegrowane za pośrednictwem usługi Azure Monitor (pokazane po lewej stronie diagramu). Kluczowym składnikiem tej integracji jest usługa Microsoft Sentinel.

Na diagramie przedstawiono następujące usługi w podstawowych usługach monitorowania i w warstwie Monitor :

  • Azure Monitor
  • Log Analytics
  • Microsoft Defender for Cloud
  • Microsoft Sentinel
  • Network Watcher
  • Analiza ruchu (część usługi Network Watcher)
  • Szczegółowe dane dotyczące aplikacji
  • Analityka magazynu

Przepływ pracy

  1. Usługa Azure Monitor jest parasolem dla wielu usług monitorowania platformy Azure. Obejmuje między innymi zarządzanie dziennikami, metryki i usługę Application Insights. Udostępnia również kolekcję pulpitów nawigacyjnych, które są gotowe do użycia alertów i zarządzania nimi. Aby uzyskać więcej informacji, zobacz Omówienie usługi Azure Monitor.

  2. Microsoft Defender dla Chmury dostarcza zalecenia dotyczące maszyn wirtualnych, magazynu, aplikacji i innych zasobów, które pomagają środowisku IT być zgodne z różnymi standardami prawnymi, takimi jak ISO i PCI. Jednocześnie Defender dla Chmury oferuje ocenę stanu zabezpieczeń systemów, które mogą pomóc w śledzeniu bezpieczeństwa środowiska. Defender dla Chmury oferuje również automatyczne alerty oparte na dziennikach, które zbiera i analizuje. Defender dla Chmury był wcześniej znany jako Azure Security Center. Aby uzyskać więcej informacji, zobacz Microsoft Defender dla Chmury.

  3. Usługa Log Analytics jest jedną z najważniejszych usług. Jest on odpowiedzialny za przechowywanie wszystkich dzienników i alertów używanych do tworzenia alertów, szczegółowych informacji i zdarzeń. Usługa Microsoft Sentinel działa na podstawie usługi Log Analytics. Zasadniczo wszystkie dane pozyskiwane przez usługę Log Analytics są automatycznie dostępne dla usługi Microsoft Sentinel. Usługa Log Analytics jest również znana jako dzienniki usługi Azure Monitor. Aby uzyskać więcej informacji, zobacz Omówienie usługi Log Analytics w usłudze Azure Monitor.

  4. Usługa Microsoft Sentinel działa jak fasada usługi Log Analytics. Usługa Log Analytics przechowuje dzienniki i alerty z różnych źródeł, ale usługa Microsoft Sentinel oferuje interfejsy API, które ułatwiają pozyskiwanie dzienników z różnych źródeł. Źródła te obejmują lokalne maszyny wirtualne, maszyny wirtualne platformy Azure, alerty z usługi Microsoft Defender XDR i innych usług. Usługa Microsoft Sentinel koreluje dzienniki, aby uzyskać szczegółowe informacje o tym, co dzieje się w środowisku IT, unikając wyników fałszywie dodatnich. Usługa Microsoft Sentinel jest podstawą zabezpieczeń i monitorowania usług w chmurze firmy Microsoft. Aby uzyskać więcej informacji na temat usługi Microsoft Sentinel, zobacz Co to jest usługa Microsoft Sentinel?.

Powyższe usługi na tej liście to podstawowe usługi, które działają w środowiskach lokalnych platformy Azure, usługi Office 365. Następujące usługi koncentrują się na określonych zasobach:

  1. Usługa Network Watcher udostępnia narzędzia do monitorowania, diagnozowania, wyświetlania metryk oraz włączania lub wyłączania dzienników dla zasobów w sieci wirtualnej platformy Azure. Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Network Watcher?.

  2. Analiza ruchu jest częścią usługi Network Watcher i działa na podstawie dzienników z sieciowych grup zabezpieczeń. Analiza ruchu oferuje wiele pulpitów nawigacyjnych, które mogą agregować metryki z połączeń wychodzących i przychodzących w usłudze Azure Virtual Network. Aby uzyskać więcej informacji, zobacz Analiza ruchu.

  3. Usługa Application Insights koncentruje się na aplikacjach i zapewnia rozszerzalne zarządzanie wydajnością i monitorowanie na żywo aplikacji internetowych, w tym obsługę szerokiej gamy platform, takich jak .NET, Node.js, Java i Python. Application Insights to funkcja usługi Azure Monitor. Aby uzyskać więcej informacji, zobacz Omówienie usługi Application Insights.

  4. Usługa Azure analityka magazynu wykonuje rejestrowanie i udostępnia metryki dla konta magazynu. Ich dane umożliwiają śledzenie żądań, analizowanie trendów użycia i diagnozowanie problemów z kontem magazynu. Aby uzyskać więcej informacji, zobacz Używanie analizy usługi Azure Storage do zbierania dzienników i danych metryk.

  5. Ponieważ ta dokumentacja architektury jest oparta na programie Microsoft Zero Trust, usługi i składniki w obszarze Infrastruktura i punkt końcowy nie mają określonych usług monitorowania. Dzienniki usługi Azure Monitor i Defender dla Chmury to główne usługi, które zbierają, przechowują i analizują dzienniki z maszyn wirtualnych i innych usług obliczeniowych.

Centralnym składnikiem tej architektury jest usługa Microsoft Sentinel. Konsoliduje wszystkie dzienniki i alerty generowane przez usługi zabezpieczeń platformy Azure, usługę Microsoft Defender XDR i usługę Azure Monitor. Po zaimplementowaniu usługi Microsoft Sentinel i otrzymaniu dzienników i alertów ze źródeł opisanych w tym artykule należy zamapować zapytania na te dzienniki, aby zebrać szczegółowe informacje i wykryć wskaźniki naruszenia (IOCs). Gdy usługa Microsoft Sentinel przechwytuje te informacje, możesz zbadać je ręcznie lub wyzwolić automatyczne odpowiedzi skonfigurowane w celu ograniczenia lub rozwiązania zdarzeń. Zautomatyzowane akcje mogą obejmować blokowanie użytkownika w identyfikatorze Entra firmy Microsoft lub blokowanie adresu IP przy użyciu zapory.

Aby uzyskać więcej informacji na temat usługi Microsoft Sentinel, zobacz dokumentację usługi Microsoft Sentinel.

Jak uzyskać dostęp do usług zabezpieczeń i monitorowania

Poniższa lista zawiera informacje o sposobie uzyskiwania dostępu do poszczególnych usług przedstawionych w tym artykule:

  • Usługi zabezpieczeń platformy Azure. Dostęp do wszystkich usług zabezpieczeń platformy Azure wymienionych na diagramach w tej serii artykułów można uzyskać za pomocą witryny Azure Portal. W portalu użyj funkcji wyszukiwania, aby zlokalizować interesujące Cię usługi i uzyskać do nich dostęp.

  • Azure Monitor. Usługa Azure Monitor jest dostępna we wszystkich subskrypcjach platformy Azure. Dostęp do niego można uzyskać za pomocą funkcji wyszukiwania monitora w witrynie Azure Portal.

  • Defender dla Chmury. Defender dla Chmury jest dostępna dla każdego, kto uzyskuje dostęp doWitryna Azure Portal. W portalu wyszukaj Defender dla Chmury.

  • Log Analytics. Aby uzyskać dostęp do usługi Log Analytics, musisz najpierw utworzyć usługę w portalu, ponieważ nie istnieje domyślnie. W witrynie Azure Portal wyszukaj obszar roboczy usługi Log Analytics, a następnie wybierz pozycję Utwórz. Po utworzeniu możesz uzyskać dostęp do usługi.

  • Microsoft Sentinel. Ponieważ usługa Microsoft Sentinel działa w oparciu o usługę Log Analytics, musisz najpierw utworzyć obszar roboczy usługi Log Analytics. Następnie wyszukaj usługę sentinel w witrynie Azure Portal. Następnie utwórz usługę, wybierając obszar roboczy, który chcesz mieć za usługą Microsoft Sentinel.

  • Usługa Microsoft Defender dla punktu końcowego. Usługa Defender for Endpoint jest częścią usługi Microsoft Defender XDR. Uzyskaj dostęp do usługi za pośrednictwem usługi https://security.microsoft.com. Jest to zmiana z poprzedniego adresu URL. securitycenter.windows.com

  • Microsoft Defender dla Chmury Apps. Defender dla Chmury Apps jest częścią platformy Microsoft 365. Uzyskaj dostęp do usługi za pośrednictwem usługi https://portal.cloudappsecurity.com.

  • Ochrona usługi Office 365 w usłudze Microsoft Defender. Ochrona usługi Office 365 w usłudze Defender jest częścią platformy Microsoft 365. Uzyskaj dostęp do usługi za pośrednictwem https://security.microsoft.comwitryny , w tym samym portalu używanym dla usługi Defender dla punktu końcowego. (Jest to zmiana z poprzedniego adresu URL, protection.office.com.)

  • Microsoft Defender for Identity. Usługa Defender for Identity jest częścią platformy Microsoft 365. Dostęp do usługi można uzyskać za pośrednictwem .https://portal.atp.azure.com Mimo że jest to usługa w chmurze, usługa Defender for Identity jest odpowiedzialna za ochronę tożsamości w systemach lokalnych.

  • Microsoft Endpoint Manager. Endpoint Manager to nowa nazwa usługi Intune, programu Configuration Manager i innych usług. Uzyskaj do niego dostęp za pośrednictwem .https://endpoint.microsoft.com Aby dowiedzieć się więcej na temat uzyskiwania dostępu do usług udostępnianych przez usługę Microsoft Defender XDR i sposobu, w jaki każdy portal jest powiązany, zobacz Tworzenie drugiej warstwy obrony za pomocą usług Microsoft Defender XDR Security.

  • Azure Network Watcher. Aby uzyskać dostęp do usługi Azure Network Watcher, wyszukaj obserwatora w witrynie Azure Portal.

  • Analiza ruchu. Analiza ruchu jest częścią usługi Network Watcher. Dostęp do niego można uzyskać z menu po lewej stronie w usłudze Network Watcher. Jest to zaawansowany monitor sieci, który działa na podstawie sieciowych grup zabezpieczeń, które są implementowane w poszczególnych interfejsach sieciowych i podsieciach. Usługa Network Watcher wymaga zbierania informacji z sieciowych grup zabezpieczeń. Aby uzyskać instrukcje dotyczące zbierania tych informacji, zobacz Samouczek: rejestrowanie ruchu sieciowego do i z maszyny wirtualnej przy użyciu witryny Azure Portal.

  • Application Insights. Usługa Application Insights jest częścią usługi Azure Monitor. Należy jednak najpierw utworzyć ją dla aplikacji, którą chcesz monitorować. W przypadku niektórych aplikacji utworzonych na platformie Azure, takich jak Web Apps, możesz utworzyć usługę Application Insights bezpośrednio z poziomu aprowizacji usługi Web Apps. Aby uzyskać do niego dostęp, wyszukaj pozycję Monitor w witrynie Azure Portal. Na stronie Monitorowanie wybierz pozycję Aplikacje w menu po lewej stronie.

  • analityka magazynu. Usługa Azure Storage oferuje różne typy magazynów w ramach tej samej technologii konta magazynu. Można znaleźć obiekty blob, pliki, tabele i kolejki na kontach magazynu. Analiza magazynu oferuje szeroką gamę metryk do użycia z tymi usługami magazynu. Uzyskaj dostęp do analityka magazynu z konta magazynu w witrynie Azure Portal, a następnie wybierz pozycję Ustawienia diagnostyczne w menu po lewej stronie. Wybierz jeden obszar roboczy usługi Log Analytics, aby wysłać te informacje. Następnie możesz uzyskać dostęp do pulpitu nawigacyjnego z poziomu szczegółowych informacji. Wszystkie monitorowane elementy na koncie magazynu są reprezentowane w menu.

Składniki

Przykładowa architektura w tym artykule korzysta z następujących składników platformy Azure:

  • Microsoft Entra ID to oparta na chmurze usługa zarządzania tożsamościami i dostępem. Microsoft Entra ID pomaga użytkownikom uzyskiwać dostęp do zasobów zewnętrznych, takich jak platforma Microsoft 365, witryna Azure Portal i tysiące innych aplikacji SaaS. Ułatwia również dostęp do zasobów wewnętrznych, takich jak aplikacje w sieci intranetowej firmy.

  • Usługa Azure Virtual Network to podstawowy blok konstrukcyjny dla sieci prywatnej na platformie Azure. Sieć wirtualna umożliwia wielu typom zasobów platformy Azure bezpieczne komunikowanie się ze sobą, Internetem i sieciami lokalnymi. Sieć wirtualna udostępnia sieć wirtualną, która korzysta z infrastruktury platformy Azure, takiej jak skalowanie, dostępność i izolacja.

  • Usługa Azure Load Balancer to usługa równoważenia obciążenia w warstwie 4 o wysokiej wydajności (ruch przychodzący i wychodzący) o wysokiej wydajności dla wszystkich protokołów UDP i TCP. Jest on tworzony tak, aby obsługiwał miliony żądań na sekundę, zapewniając wysoką dostępność rozwiązania. Usługa Azure Load Balancer jest strefowo nadmiarowa, zapewniając wysoką dostępność w Strefy dostępności.

  • Maszyny wirtualne to jeden z kilku typów skalowalnych zasobów obliczeniowych dostępnych na żądanie, które oferuje platforma Azure. Maszyna wirtualna platformy Azure zapewnia elastyczność wirtualizacji bez konieczności kupowania i konserwowania fizycznego sprzętu, który go uruchamia.

  • Usługa Azure Kubernetes Service (AKS) to w pełni zarządzana usługa Kubernetes służąca do wdrażania konteneryzowanych aplikacji i zarządzania nimi. Usługa AKS zapewnia bezserwerową platformę Kubernetes, ciągłą integrację/ciągłe dostarczanie (CI/CD) oraz zabezpieczenia i nadzór klasy korporacyjnej.

  • Azure Virtual Desktop to usługa wirtualizacji pulpitu i aplikacji działająca w chmurze, która zapewnia pulpity dla użytkowników zdalnych.

  • Web Apps to oparta na protokole HTTP usługa do hostowania aplikacji internetowych, interfejsów API REST i zapleczy mobilnych. Możesz programować w ulubionym języku, a aplikacje są uruchamiane i skalowane z łatwością zarówno w środowiskach opartych na systemach Windows, jak i Linux.

  • Usługa Azure Storage to wysoce dostępny, wysoce skalowalny, trwały i bezpieczny magazyn dla różnych obiektów danych w chmurze, w tym obiektów, obiektów blob, plików, dysków, kolejek i magazynu tabel. Wszystkie dane zapisane na koncie usługi Azure Storage są szyfrowane przez usługę. Usługa Azure Storage zapewnia precyzyjną kontrolę nad tym, kto ma dostęp do danych.

  • Azure SQL Database to w pełni zarządzany aparat bazy danych PaaS, który obsługuje większość funkcji zarządzania bazami danych, takich jak uaktualnianie, poprawianie, tworzenie kopii zapasowych i monitorowanie. Zapewnia te funkcje bez udziału użytkownika. Usługa SQL Database udostępnia szereg wbudowanych funkcji zabezpieczeń i zgodności, które ułatwiają aplikacji spełnienie wymagań dotyczących zabezpieczeń i zgodności.

Szczegóły rozwiązania

Na początku rozwiązania do monitorowania na platformie Azure mogą wydawać się mylące, ponieważ platforma Azure oferuje wiele usług monitorowania. Jednak każda usługa monitorowania platformy Azure jest ważna w strategii zabezpieczeń i monitorowania opisanej w tej serii. W artykułach z tej serii opisano różne usługi i sposób planowania skutecznych zabezpieczeń dla środowiska IT.

  1. Integrowanie składników zabezpieczeń za pomocą monitorowania platformy Azure
  2. Mapuj zagrożenia na środowisko IT
  3. Tworzenie pierwszej warstwy obrony za pomocą usług Azure Security Services
  4. Tworzenie drugiej warstwy ochrony za pomocą usług Microsoft Defender XDR Security

Potencjalne przypadki użycia

Ta architektura referencyjna zapewnia kompleksowy widok usług zabezpieczeń w chmurze firmy Microsoft i pokazuje, jak je zintegrować w celu uzyskania optymalnego stanu zabezpieczeń.

Chociaż nie musisz implementować każdej usługi zabezpieczeń, ten przykład i mapa zagrożeń pokazana na diagramie architektury może pomóc w utworzeniu własnej mapy zagrożeń i zaplanowaniu strategii zabezpieczeń. Wybierz usługi zabezpieczeń platformy Azure i usługi Microsoft Defender XDR, które najlepiej odpowiadają Twoim potrzebom.

Optymalizacja kosztów

Ceny usług platformy Azure przedstawionych w tej serii artykułów są obliczane na różne sposoby. Niektóre usługi są bezpłatne, niektóre mają opłatę za każde użycie, a niektóre mają opłatę opartą na licencjonowaniu. Najlepszym sposobem oszacowania cen dla dowolnej z usług zabezpieczeń platformy Azure jest użycie kalkulatora cen. W kalkulatorze wyszukaj usługę, którą cię interesuje, a następnie wybierz ją, aby uzyskać wszystkie zmienne określające cenę usługi.

Usługi zabezpieczeń XDR w usłudze Microsoft Defender działają z licencjami. Aby uzyskać informacje o wymaganiach dotyczących licencjonowania, zobacz Wymagania wstępne usługi Microsoft Defender XDR.

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Główny autor:

Inni współautorzy:

Następne kroki

Aby uzyskać więcej informacji na temat tej architektury referencyjnej, zobacz inne artykuły z tej serii:

Aby uzyskać powiązane architektury w Centrum architektury platformy Azure, zobacz następujące artykuły: