Zero Trust i Defender dla Chmury
Ten artykuł zawiera strategię i instrukcje dotyczące integrowania rozwiązań infrastruktury Zero Trust z Microsoft Defender dla Chmury. Wskazówki obejmują integracje z innymi rozwiązaniami, w tym zarządzanie informacjami o zabezpieczeniach i zdarzeniami (SIEM), automatyczne reagowanie na orkiestrację zabezpieczeń (SOAR), wykrywanie i reagowanie w punktach końcowych (EDR) i rozwiązania do zarządzania usługami IT (ITSM).
Infrastruktura obejmuje sprzęt, oprogramowanie, mikrousługę, infrastrukturę sieciową i obiekty wymagane do obsługi usług IT dla organizacji. Niezależnie od tego, czy infrastruktura jest lokalna, czy wielochmurowa, reprezentuje krytyczny wektor zagrożenia.
Rozwiązania infrastruktury Zero Trust oceniają, monitorują i uniemożliwiają zagrożenia bezpieczeństwa dla infrastruktury. Rozwiązania obsługują zasady zerowego zaufania, zapewniając, że dostęp do zasobów infrastruktury jest weryfikowany jawnie i udzielany przy użyciu zasad dostępu do najniższych uprawnień. Mechanizmy zakładają naruszenie i wyszukują i koryguje zagrożenia bezpieczeństwa w infrastrukturze.
Co to jest zero trust?
Zero Trust to strategia zabezpieczeń do projektowania i implementowania następujących zestawów zasad zabezpieczeń:
| Jawną weryfikację | Korzystanie z dostępu z najmniejszymi uprawnieniami | Zakładanie naruszeń zabezpieczeń |
|---|---|---|
| Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych. | Ogranicz dostęp użytkowników za pomocą zasad just in time i Just-Enough-Access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych. | Zminimalizuj promień wybuchu i dostęp segmentu. Zweryfikuj kompleksowe szyfrowanie i korzystaj z analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i poprawić ochronę. |
Zero Trust i Defender dla Chmury
Wskazówki dotyczące wdrażania infrastruktury Zero Trust zawierają kluczowe etapy strategii infrastruktury Zero Trust:
- Ocena zgodności z wybranymi standardami i zasadami.
- Utwardź konfigurację wszędzie tam, gdzie znaleziono luki.
- Zastosuj inne narzędzia do wzmacniania zabezpieczeń, takie jak dostęp do maszyny wirtualnej just in time (JIT).
- Konfigurowanie ochrony przed zagrożeniami.
- Automatycznie blokuj i flaguj ryzykowne zachowanie i podejmij działania ochronne.
Poniżej przedstawiono sposób mapowania tych etapów na Defender dla Chmury.
| Goal | Defender dla Chmury |
|---|---|
| Ocena zgodności | W Defender dla Chmury każda subskrypcja automatycznie ma przypisaną inicjatywę zabezpieczeń testów porównawczych zabezpieczeń w chmurze firmy Microsoft (MCSB). Korzystając z narzędzi do oceny bezpieczeństwa i pulpitu nawigacyjnego zgodności z przepisami, możesz uzyskać szczegółowe informacje na temat stanu zabezpieczeń. |
| Konfiguracja zabezpieczeń | Ustawienia infrastruktury i środowiska są oceniane pod kątem standardu zgodności, a zalecenia są wydawane na podstawie tych ocen. W czasie można przeglądać i korygować zalecenia dotyczące zabezpieczeń oraz [śledzić ulepszenia wskaźnika bezpieczeństwa] (secure-score-access-and-track.md). Możesz określić priorytety, które zalecenia mają być korygowane na podstawie potencjalnych ścieżek ataków. |
| Stosowanie mechanizmów wzmacniania zabezpieczeń | Najniższy dostęp uprzywilejowany jest zasadą zero trust. Defender dla Chmury może pomóc w wzmacnianiu zabezpieczeń maszyn wirtualnych i ustawień sieci przy użyciu tej zasady z funkcjami takimi jak: Dostęp just in time (JIT) do maszyny wirtualnej. |
| Konfigurowanie ochrony przed zagrożeniami | Defender dla Chmury to platforma ochrony obciążeń w chmurze (CWPP), zapewniająca zaawansowaną, inteligentną ochronę zasobów i obciążeń platformy Azure oraz hybrydowych. Dowiedz się więcej. |
| Automatyczne blokowanie ryzykownych zachowań | Wiele zaleceń dotyczących wzmacniania zabezpieczeń w Defender dla Chmury oferuje opcję odmowy, aby zapobiec tworzeniu zasobów, które nie spełniają zdefiniowanych kryteriów wzmacniania zabezpieczeń. Dowiedz się więcej. |
| Automatyczne flagi podejrzane zachowanie | Alerty zabezpieczeń usługi Defenders for Cloud są wyzwalane przez wykrycia zagrożeń. Defender dla Chmury określa priorytety i wyświetla alerty z informacjami, które ułatwiają badanie. Zawiera on również szczegółowe kroki ułatwiające korygowanie ataków. Przejrzyj pełną listę alertów zabezpieczeń. |
Stosowanie modelu Zero Trust do scenariuszy hybrydowych i wielochmurowych
W przypadku obciążeń w chmurze często obejmujących wiele platform w chmurze usługi zabezpieczeń w chmurze muszą wykonywać te same czynności. Defender dla Chmury chroni obciążenia wszędzie tam, gdzie są uruchomione. Na platformie Azure, lokalnie, w usługach AWS lub GCP.
- AWS: aby chronić maszyny platformy AWS, należy dołączyć konta platformy AWS do Defender dla Chmury. Ta integracja zapewnia ujednolicony widok zaleceń Defender dla Chmury i ustaleń usługi AWS Security Hub. Dowiedz się więcej na temat łączenia kont platformy AWS z Microsoft Defender dla Chmury.
- GCP: Aby chronić maszyny GCP, należy dołączyć konta GCP do Defender dla Chmury. Ta integracja zapewnia ujednolicony widok zaleceń Defender dla Chmury i ustaleń usługi GCP Security Command Center. Dowiedz się więcej na temat łączenia kont GCP z Microsoft Defender dla Chmury.
- Maszyny lokalne. Ochronę Defender dla Chmury można rozszerzyć, łącząc maszyny lokalne z serwerami z obsługą usługi Azure Arc. Dowiedz się więcej na temat łączenia maszyn lokalnych z Defender dla Chmury.
Ochrona usług PaaS platformy Azure
Gdy Defender dla Chmury jest dostępna w ramach subskrypcji platformy Azure, a plany Defender dla Chmury włączone dla wszystkich dostępnych typów zasobów, warstwa inteligentnej ochrony przed zagrożeniami obsługiwana przez usługę Microsoft Threat Intelligence chroni zasoby w usługach PaaS platformy Azure, w tym usługi Azure Key Vault, Azure Storage, Azure DNS i innych. Dowiedz się więcej o typach zasobów, które Defender dla Chmury mogą być bezpieczne.
Automatyzowanie odpowiedzi za pomocą usługi Azure Logic Apps
Usługa Azure Logic Apps umożliwia tworzenie zautomatyzowanych skalowalnych przepływów pracy, procesów biznesowych i aranżacji przedsiębiorstwa w celu zintegrowania aplikacji i danych między usługami w chmurze i systemami lokalnymi.
Funkcja automatyzacji przepływu pracy Defender dla Chmury umożliwia automatyzowanie odpowiedzi na wyzwalacze Defender dla Chmury.
Jest to doskonały sposób definiowania i reagowania w zautomatyzowany, spójny sposób podczas odnajdowania zagrożeń. Na przykład, aby powiadomić odpowiednich uczestników projektu, uruchomić proces zarządzania zmianami i zastosować określone kroki korygowania po wykryciu zagrożenia.
Integracja z rozwiązaniami SIEM, SOAR i ITSM
Defender dla Chmury mogą przesyłać strumieniowo alerty zabezpieczeń do najpopularniejszych rozwiązań SIEM, SOAR i ITSM. Istnieją narzędzia natywne dla platformy Azure, które zapewniają, że możesz wyświetlać dane alertów we wszystkich najpopularniejszych rozwiązaniach używanych obecnie, w tym:
- Microsoft Sentinel
- Splunk Enterprise and Splunk Cloud
- QRadar IBM
- ServiceNow
- ArcSight
- Power BI
- Palo Alto Networks
Integracja z usługą Microsoft Sentinel
Defender dla Chmury natywnie integruje się z Microsoft Sentinel, rozwiązanie SIEM/SOAR firmy Microsoft.
Istnieją dwa podejścia do zapewnienia, że Defender dla Chmury dane są reprezentowane w usłudze Microsoft Sentinel:
Łączniki usługi Sentinel — usługa Microsoft Sentinel obejmuje wbudowane łączniki dla Microsoft Defender dla Chmury na poziomie subskrypcji i dzierżawy:
- Przesyłanie strumieniowe alertów do usługi Microsoft Sentinel na poziomie subskrypcji
- Łączenie wszystkich subskrypcji w dzierżawie z usługą Microsoft Sentinel
Napiwek
Dowiedz się więcej w artykule Łączenie alertów zabezpieczeń z Microsoft Defender dla Chmury.
Przesyłanie strumieniowe dzienników inspekcji — alternatywnym sposobem badania alertów Defender dla Chmury w usłudze Microsoft Sentinel jest przesyłanie strumieniowe dzienników inspekcji do usługi Microsoft Sentinel:
Przesyłanie strumieniowe alertów za pomocą programu Microsoft Graph interfejs API Zabezpieczenia
Defender dla Chmury ma wbudowaną integrację z programem Microsoft Graph interfejs API Zabezpieczenia. Nie jest wymagana żadna konfiguracja i nie ma dodatkowych kosztów.
Za pomocą tego interfejsu API można przesyłać strumieniowo alerty z całej dzierżawy oraz dane z wielu innych produktów zabezpieczeń firmy Microsoft do programów SIEM innych firm i innych popularnych platform:
- Splunk Enterprise and Splunk Cloud — korzystanie z dodatku Microsoft Graph interfejs API Zabezpieczenia dla rozwiązania Splunk
- Power BI — łączenie się z interfejs API Zabezpieczenia programu Microsoft Graph w programie Power BI Desktop
- ServiceNow — postępuj zgodnie z instrukcjami, aby zainstalować i skonfigurować aplikację microsoft Graph interfejs API Zabezpieczenia ze sklepu ServiceNow Store
- QRadar — korzystanie z modułu obsługi urządzeń ibm do Defender dla Chmury za pośrednictwem interfejsu API programu Microsoft Graph
- Palo Alto Networks, Anomali, Lookout, InSpark i nie tylko. Dowiedz się więcej o interfejs API Zabezpieczenia programu Microsoft Graph.
Przesyłanie strumieniowe alertów za pomocą usługi Azure Monitor
Użyj funkcji eksportu ciągłego Defender dla Chmury, aby nawiązać połączenie z usługą Azure Monitor za pośrednictwem usługi Azure Event Hubs i przesyłać strumieniowo alerty do usługi ArcSight, SumoLogic, serwerów Syslog, LogRhythm, Logz.io Cloud Observability Platform i innych rozwiązań do monitorowania.
- Można to również zrobić na poziomie grupy zarządzania przy użyciu usługi Azure Policy. Dowiedz się więcej o tworzeniu konfiguracji automatyzacji eksportu ciągłego na dużą skalę.
- Aby wyświetlić schematy zdarzeń wyeksportowanych typów danych, zapoznaj się ze schematami zdarzeń usługi Event Hubs.
Dowiedz się więcej o alertach przesyłanych strumieniowo do rozwiązań do monitorowania.
Integracja z rozwiązaniami EDR
Usługa Microsoft Defender dla punktu końcowego
Defender for Endpoint to całościowe, dostarczane przez chmurę rozwiązanie zabezpieczeń punktu końcowego. Plan obciążenia serwerów Defender dla Chmury, Defender for Servers, obejmuje zintegrowaną licencję dla usługi Defender dla punktu końcowego. Razem zapewniają kompleksowe możliwości EDR. Dowiedz się więcej o ochronie punktów końcowych.
Gdy usługa Defender for Endpoint wykryje zagrożenie, wyzwala alert. Alert jest wyświetlany w Defender dla Chmury. W Defender dla Chmury możesz przechylić się do konsoli usługi Defender for Endpoint i przeprowadzić szczegółowe badanie, aby odkryć zakres ataku.
Inne rozwiązania EDR
Defender dla Chmury zapewnia ocenę kondycji obsługiwanych wersji rozwiązań EDR.
Defender dla Chmury zawiera zalecenia na podstawieTest porównawczy zabezpieczeń firmy Microsoft. Jedna z mechanizmów kontrolnych w teściu porównawczym odnosi się do zabezpieczeń punktu końcowego: ES-1: Używanie wykrywania i reagowania punktu końcowego (EDR). Istnieją dwie rekomendacje, które zapewniają włączenie ochrony punktu końcowego i działają prawidłowo. Dowiedz się więcej o ocenie obsługiwanych rozwiązań EDR w Defender dla Chmury.
Następne kroki
Rozpocznij planowanie ochrony wielochmurowej.