Управление безопасностью инфраструктуры с помощью Defender для облака
Так как ваша компания является финансовой организацией, она должна соответствовать самым высоким стандартам безопасности. Каждая транзакция клиента или партнера должна быть полностью защищена от угроз, и вы также должны эффективно реагировать на потенциальные угрозы. Например, если виртуальная машина скомпрометирована, необходимо быстро действовать для решения этой проблемы.
В этом уроке описывается, как защитить ресурсы и реагировать на угрозы с помощью Microsoft Defender для облака. Defender для облака помогает обеспечить, чтобы конфигурация безопасности инфраструктуры была максимально безопасной.
Вы можете использовать Defender для облака:
- Изучите состояние безопасности вашей архитектуры.
- Определение и устранение рисков и угроз в инфраструктуре.
- Защитите сложную инфраструктуру с помощью традиционных навыков и капитала.
- Защита инфраструктуры, состоящей из локальных и облачных ресурсов.
Понимание вашей позиции в области безопасности
Необходимо понять уровень безопасности архитектуры, чтобы помочь вам создавать и поддерживать более эффективную инфраструктуру. Defender для Облака помогает понять безопасность архитектуры, предоставляя подробный анализ различных компонентов среды, включая:
- Безопасность данных
- Безопасность сети
- Идентификация и доступ
- Безопасность приложений
Defender для облака использует журналы Azure Monitor для сбора данных из виртуальных машин для отслеживания уязвимостей и угроз безопасности. Агент считывает различные конфигурации безопасности и журналы событий из виртуальной машины и копирует данные в рабочую область Log Analytics для анализа.
Defender для облака рекомендует способы решения проблем и рисков, которые он обнаруживает. Рекомендации можно использовать для повышения безопасности и соответствия архитектуры.
Защита от угроз
Вы можете использовать JIT-доступ к виртуальной машине Defender для облака и адаптивные элементы управления приложениями, чтобы блокировать подозрительные действия и защищать ресурсы. Чтобы получить доступ к этим элементам управления, выберите Защита рабочих нагрузок в разделе Cloud Security в левой навигационной панели Defender for Cloud.
Доступ к виртуальной машине JIT
Вы можете защитить виртуальные машины с помощью функции JIT-доступа к виртуальной машине, чтобы заблокировать постоянный доступ к виртуальной машине. Доступ к виртуальным машинам можно получить только на основе аудита доступа, который вы настроили.
Чтобы включить JIT, выберите Доступ к виртуальной машине по требованию на экране Защита рабочих нагрузок в разделе Расширенная защита. На странице доступа к виртуальной машине по требованию установите флажки рядом с одной или несколькими виртуальными машинами в списке «Не настроено», а затем выберите Включить JIT для виртуальных машин (число), чтобы настроить JIT для виртуальных машин.
Defender для облака отображает список портов по умолчанию, предназначенных для JIT, или вы можете настроить собственные порты.
Адаптивные элементы управления приложениями
Адаптивные элементы управления приложениями можно использовать для управления тем, какие приложения могут выполняться на виртуальных машинах. Defender для облака использует машинное обучение для просмотра процессов, выполняемых на виртуальных машинах, создания правил исключений для каждой группы ресурсов, содержащей виртуальные машины, и предоставления рекомендаций.
Чтобы настроить адаптивные элементы управления, выберите адаптивный элемент управления приложениями на экране Защита рабочих нагрузок в разделе Расширенная защита. На экране адаптивных элементов управления приложениями отображается список групп ресурсов, содержащих виртуальные машины. На вкладке Рекомендуемые перечислены группы ресурсов, которые Defender для Cloud рекомендует для адаптивного управления приложениями.
При выборе группы ресурсов откроется Настройка правил управления приложениями. На этом экране используйте параметры для целевых виртуальных машин и приложений, которые должны применять правила управления.
Реагирование на угрозы
Defender для облака предоставляет централизованное представление всех оповещений системы безопасности, ранжированных по их серьезности. Вы можете просмотреть свои оповещения о безопасности, выбрав Оповещения о безопасности в левом меню навигации Defender для облака.
Defender для облака объединяет связанные оповещения в единый инцидент безопасности, насколько это возможно. Выберите инцидент, чтобы просмотреть определенные оповещения системы безопасности, которые содержит инцидент.
Чтобы углубиться в оповещение, выберите его, а затем выберите Просмотреть полные сведения.
Defender для облака поможет вам быстрее реагировать на угрозы и автоматически выполнять действия. Нажмите кнопку Далее: выполните действие, чтобы принять меры по оповещению.
Разверните любой из следующих разделов, чтобы принять меры по оповещению:
- Проверьте контекст ресурса, чтобы изучить журналы ресурсов во время оповещения.
- Смягчение угрозы, чтобы увидеть предложения по минимизации или устранению угрозы.
- Предотвратить будущие атаки для реализации рекомендаций по безопасности.
- активировать автоматический ответ для запуска приложения логики в ответ на это оповещение системы безопасности.
- Подавление аналогичных оповещений путем создания правила подавления с предопределенными условиями.
- Настройка параметров уведомлений по электронной почте, чтобы выбрать, кто уведомляет об оповещении и о каких условиях.
В сведениях об оповещении следует закрыть оповещения, если никаких действий не требуется, например, если есть ложные срабатывания. Следует действовать для решения известных атак, например путем блокировки известных вредоносных IP-адресов, и вы должны решить, какие оповещения требуют дальнейшего изучения.
