Redigera

Dela via

Integrera Azure och Microsoft Defender XDR-säkerhetstjänster

Microsoft Sentinel
Azure Monitor
Microsoft Defender for Cloud
Azure Log Analytics
Azure Network Watcher

Lösningsidéer

I den här artikeln beskrivs en lösningsidé. Molnarkitekten kan använda den här vägledningen för att visualisera huvudkomponenterna för en typisk implementering av den här arkitekturen. Använd den här artikeln som utgångspunkt för att utforma en välkonstruerad lösning som överensstämmer med arbetsbelastningens specifika krav.

Du kan stärka organisationens IT-säkerhetsstatus med hjälp av de säkerhetsfunktioner som är tillgängliga i Microsoft 365 och Azure. Den här femte och sista artikeln i serien beskriver hur du integrerar dessa säkerhetsfunktioner med hjälp av Microsoft Defender XDR- och Azure-övervakningstjänster.

Den här artikeln bygger på föregående artiklar i serien:

  1. Med Azure-övervakning för att integrera säkerhetskomponenter får du en övergripande vy över hur du kan integrera säkerhetstjänsterna i Azure och Microsoft Defender XDR.

  2. Mappa hot mot DIN IT-miljö beskriver metoder för att mappa exempel på vanliga hot, taktiker och tekniker mot ett exempel på en hybrid-IT-miljö som använder både lokala och Microsoft-molntjänster.

  3. Skapa det första försvarsskiktet med Azure Security Services mappar ett exempel på vissa Azure-säkerhetstjänster som skapar det första försvarsskiktet för att skydda din Azure-miljö enligt Azure Security Benchmark version 3.

  4. Skapa det andra försvarsskiktet med Microsoft Defender XDR Security Services beskriver ett exempel på en serie attacker mot IT-miljön och hur du lägger till ytterligare ett skyddslager med hjälp av Microsoft Defender XDR.

Arkitektur

Diagram över den fullständiga referensarkitekturen för den här serien med fem artiklar som visar en IT-miljö, hot och säkerhetstjänster.

Ladda ned en Visio-fil med den här arkitekturen.

©2021 MITRE Corporation. Det här arbetet reproduceras och distribueras med tillstånd av MITRE Corporation.

Det här diagrammet visar en fullständig arkitekturreferens. Den innehåller ett exempel på en IT-miljö, en uppsättning exempelhot som beskrivs enligt deras taktik (i blått) och deras tekniker (i textrutan) enligt MITRE ATT&CK-matrisen. MITRE ATT&CK-matrisen beskrivs i Mappa hot mot DIN IT-miljö.

Diagrammet visar flera viktiga tjänster. Vissa, till exempel Azure Network Watcher och Application Insights, fokuserar på att samla in data från specifika tjänster. Andra, som Log Analytics (även kallade Azure Monitor-loggar) och Microsoft Sentinel, fungerar som kärntjänster eftersom de kan samla in, lagra och analysera data från en mängd olika tjänster, oavsett om de är relaterade till nätverk, beräkning eller program.

I mitten av diagrammet finns två lager av säkerhetstjänster och ett lager som är dedikerat till specifika Azure-övervakningstjänster, alla integrerade via Azure Monitor (visas till vänster i diagrammet). Den viktigaste komponenten i den här integreringen är Microsoft Sentinel.

Diagrammet visar följande tjänster i Core Monitoring Services och i övervakningsskiktet :

  • Azure Monitor
  • Log Analytics
  • Microsoft Defender for Cloud
  • Microsoft Sentinel
  • Network Watcher
  • Traffic Analytics (en del av Network Watcher)
  • Programinsikter
  • Lagringsanalys

Arbetsflöde

  1. Azure Monitor är paraplyet för många Azure-övervakningstjänster. Den innehåller bland annat logghantering, mått och Application Insights. Den innehåller också en samling instrumentpaneler som är redo för användning och hantering av aviseringar. Mer information finns i Översikt över Azure Monitor.

  2. Microsoft Defender för molnet ger rekommendationer för virtuella datorer , lagring, program och andra resurser, som hjälper en IT-miljö att följa olika regelstandarder, till exempel ISO och PCI. Samtidigt erbjuder Defender för molnet en poäng för säkerhetsstatusen för system som kan hjälpa dig att spåra säkerheten i din miljö. Defender för molnet erbjuder även automatiska aviseringar som baseras på loggarna som samlas in och analyseras. Defender för molnet kallades tidigare Azure Security Center. Mer information finns i Microsoft Defender för molnet.

  3. Log Analytics är en av de viktigaste tjänsterna. Den ansvarar för att lagra alla loggar och aviseringar som används för att skapa aviseringar, insikter och incidenter. Microsoft Sentinel fungerar ovanpå Log Analytics. I grund och botten är alla data som Log Analytics matar in automatiskt tillgängliga för Microsoft Sentinel. Log Analytics kallas även för Azure Monitor-loggar. Mer information finns i Översikt över Log Analytics i Azure Monitor.

  4. Microsoft Sentinel fungerar som en fasad för Log Analytics. Medan Log Analytics lagrar loggar och aviseringar från olika källor, erbjuder Microsoft Sentinel API:er som hjälper till med inmatning av loggar från olika källor. Dessa källor omfattar lokala virtuella datorer, virtuella Azure-datorer, aviseringar från Microsoft Defender XDR och andra tjänster. Microsoft Sentinel korrelerar loggarna för att ge insikter om vad som händer i DIN IT-miljö och undviker falska positiva identifieringar. Microsoft Sentinel är kärnan i säkerhet och övervakning för Microsofts molntjänster. Mer information om Microsoft Sentinel finns i Vad är Microsoft Sentinel?.

Ovanstående tjänster i den här listan är kärntjänster som fungerar i Azure, Office 365 och lokala miljöer. Följande tjänster fokuserar på specifika resurser:

  1. Network Watcher innehåller verktyg för att övervaka, diagnostisera, visa mått och aktivera eller inaktivera loggar för resurser i ett virtuellt Azure-nätverk. Mer information finns i Vad är Azure Network Watcher?.

  2. Traffic Analytics är en del av Network Watcher och fungerar ovanpå loggar från nätverkssäkerhetsgrupper (NSG:er). Traffic Analytics erbjuder många instrumentpaneler som kan aggregera mått från utgående och inkommande anslutning i Azure Virtual Network. Mer information finns i Trafikanalys.

  3. Application Insights fokuserar på program och tillhandahåller utökningsbar prestandahantering och övervakning för webbappar i realtid, inklusive stöd för en mängd olika plattformar som .NET, Node.js, Java och Python. Application Insights är en funktion i Azure Monitor. Mer information finns i Översikt över Application Insights.

  4. Azure Lagringsanalys utför loggning och tillhandahåller mått för ett lagringskonto. Du kan använda dess data för att spåra begäranden, analysera användningstrender och diagnostisera problem med ditt lagringskonto. Mer information finns i Använda Azure Storage-analys för att samla in loggar och måttdata.

  5. Eftersom den här arkitekturreferensen baseras på Microsoft Nolltillit har tjänsterna och komponenterna under Infrastruktur och slutpunkt inte några specifika övervakningstjänster. Azure Monitor-loggar och Defender för molnet är de viktigaste tjänsterna som samlar in, lagrar och analyserar loggar från virtuella datorer och andra beräkningstjänster.

Den centrala komponenten i den här arkitekturen är Microsoft Sentinel. Den konsoliderar alla loggar och aviseringar som genereras av Azure-säkerhetstjänster, Microsoft Defender XDR och Azure Monitor. När Microsoft Sentinel har implementerats och tagit emot loggar och aviseringar från källorna som beskrivs i den här artikeln måste du mappa frågor till dessa loggar för att samla in insikter och identifiera indikatorer för kompromisser (IOCs). När Microsoft Sentinel samlar in den här informationen kan du antingen undersöka den manuellt eller utlösa automatiserade svar som du konfigurerar för att minimera eller lösa incidenter. Automatiserade åtgärder kan vara att blockera en användare i Microsoft Entra-ID eller blockera en IP-adress med hjälp av brandväggen.

Mer information om Microsoft Sentinel finns i Microsoft Sentinel-dokumentationen.

Så här får du åtkomst till säkerhets- och övervakningstjänster

Följande lista innehåller information om hur du får åtkomst till var och en av de tjänster som presenteras i den här artikeln:

  • Azure-säkerhetstjänster. Du kan komma åt alla Azure-säkerhetstjänster som nämns i diagrammen i den här artikelserien med hjälp av Azure Portal. I portalen använder du sökfunktionen för att hitta de tjänster som du är intresserad av och komma åt dem.

  • Azure Monitor. Azure Monitor är tillgängligt i alla Azure-prenumerationer. Du kan komma åt den från en sökning efter övervakare i Azure Portal.

  • Defender för molnet. Defender för molnet är tillgängligt för alla som har åtkomst till Azure Portal. Sök efter Defender för molnet i portalen.

  • Log Analytics. För att få åtkomst till Log Analytics måste du först skapa tjänsten i portalen, eftersom den inte finns som standard. I Azure Portal söker du efter Log Analytics-arbetsytan och väljer sedan Skapa. När du har skapat den kan du komma åt tjänsten.

  • Microsoft Sentinel. Eftersom Microsoft Sentinel fungerar ovanpå Log Analytics måste du först skapa en Log Analytics-arbetsyta. Sök sedan efter sentinel i Azure Portal. Skapa sedan tjänsten genom att välja den arbetsyta som du vill ha bakom Microsoft Sentinel.

  • Microsoft Defender för slutpunkter. Defender för Endpoint är en del av Microsoft Defender XDR. Få åtkomst till tjänsten via https://security.microsoft.com. Det här är en ändring från föregående URL, securitycenter.windows.com.

  • Microsoft Defender för molnet Appar. Defender för molnet Apps är en del av Microsoft 365. Få åtkomst till tjänsten via https://portal.cloudappsecurity.com.

  • Microsoft Defender för Office 365. Defender för Office 365 ingår i Microsoft 365. Få åtkomst till tjänsten via https://security.microsoft.com, samma portal som används för Defender för Endpoint. (Det här är en ändring från föregående URL, protection.office.com.)

  • Microsoft Defender för identitet. Defender for Identity ingår i Microsoft 365. Du kommer åt tjänsten via https://portal.atp.azure.com. Även om det är en molntjänst ansvarar Defender for Identity även för att skydda identiteter i lokala system.

  • Microsoft Endpoint Manager. Endpoint Manager är det nya namnet för Intune, Configuration Manager och andra tjänster. Få åtkomst till den via https://endpoint.microsoft.com. Mer information om hur du kommer åt de tjänster som tillhandahålls av Microsoft Defender XDR och hur varje portal är relaterad finns i Skapa det andra försvarsskiktet med Microsoft Defender XDR Security Services.

  • Azure Network Watcher. Om du vill komma åt Azure Network Watcher söker du efter watcher i Azure Portal.

  • Trafikanalys. Traffic Analytics är en del av Network Watcher. Du kan komma åt den från menyn till vänster i Network Watcher. Det är en kraftfull nätverksövervakare som fungerar baserat på dina NSG:er som implementeras på dina enskilda nätverksgränssnitt och undernät. Network Watcher kräver insamling av information från NSG:erna. Anvisningar om hur du samlar in den informationen finns i Självstudie: Logga nätverkstrafik till och från en virtuell dator med hjälp av Azure Portal.

  • Application Insight. Application Insight är en del av Azure Monitor. Du måste dock först skapa den för det program som du vill övervaka. För vissa program som bygger på Azure, till exempel Web Apps, kan du skapa Application Insight direkt från etableringen av Web Apps. Om du vill komma åt den söker du efter övervakaren i Azure Portal. På sidan Övervaka väljer du Program på menyn till vänster.

  • Lagringsanalys. Azure Storage erbjuder olika typer av lagring under samma lagringskontoteknik. Du hittar blobar, filer, tabeller och köer ovanpå lagringskonton. Lagringsanalys erbjuder ett brett utbud av mått att använda med dessa lagringstjänster. Åtkomst Lagringsanalys från lagringskontot i Azure Portal och välj sedan Diagnostikinställningar menyn till vänster. Välj en log analytics-arbetsyta för att skicka den informationen. Sedan kan du komma åt en instrumentpanel från Insights. Allt i ditt lagringskonto som övervakas visas på menyn.

Komponenter

Exempelarkitekturen i den här artikeln använder följande Azure-komponenter:

  • Microsoft Entra ID är en molnbaserad identitets- och åtkomsthanteringstjänst. Microsoft Entra ID hjälper användarna att komma åt externa resurser, till exempel Microsoft 365, Azure Portal och tusentals andra SaaS-program. Det hjälper dem också att komma åt interna resurser, till exempel appar i företagets intranätnätverk.

  • Azure Virtual Network är den grundläggande byggstenen för ditt privata nätverk i Azure. Med virtuellt nätverk kan många typer av Azure-resurser kommunicera på ett säkert sätt med varandra, internet och lokala nätverk. Virtual Network tillhandahåller ett virtuellt nätverk som drar nytta av Azures infrastruktur, till exempel skalning, tillgänglighet och isolering.

  • Azure Load Balancer är en högpresterande layer 4-tjänst med låg svarstid (inkommande och utgående) för alla UDP- och TCP-protokoll. Den är byggd för att hantera miljontals begäranden per sekund samtidigt som du ser till att din lösning är mycket tillgänglig. Azure Load Balancer är zonredundant, vilket säkerställer hög tillgänglighet i Tillgänglighetszoner.

  • Virtuella datorer är en av flera typer av skalbara beräkningsresurser på begäran som Azure erbjuder. En virtuell Azure-dator (VM) ger dig flexibiliteten i virtualisering utan att behöva köpa och underhålla den fysiska maskinvara som kör den.

  • Azure Kubernetes Service (AKS) är en fullständigt hanterad Kubernetes-tjänst för att distribuera och hantera containerbaserade program. AKS tillhandahåller serverlösa Kubernetes, kontinuerlig integrering/kontinuerlig leverans (CI/CD) och säkerhet och styrning i företagsklass.

  • Azure Virtual Desktop är en tjänst för skrivbords- och appvirtualisering som körs i molnet för att tillhandahålla skrivbord för fjärranvändare.

  • Web Apps är en HTTP-baserad tjänst som är värd för webbprogram, REST-API:er och mobila serverdelar. Du kan utveckla på ditt favoritspråk och program körs och skalas enkelt i både Windows- och Linux-baserade miljöer.

  • Azure Storage är mycket tillgängligt, massivt skalbart, beständigt och säkert lagringsutrymme för olika dataobjekt i molnet, inklusive objekt, blob, fil, disk, kö och tabelllagring. Alla data som skrivs till ett Azure Storage-konto krypteras av tjänsten. Med Azure Storage får du detaljerad kontroll över vem som har tillgång till dina data.

  • Azure SQL Database är en fullständigt hanterad PaaS-databasmotor som hanterar de flesta av databashanteringsfunktionerna, till exempel uppgradering, korrigering, säkerhetskopiering och övervakning. Den tillhandahåller dessa funktioner utan användarengagemang. SQL Database innehåller en rad inbyggda säkerhets- och efterlevnadsfunktioner som hjälper ditt program att uppfylla säkerhets- och efterlevnadskrav.

Lösningsdetaljer

Övervakningslösningar i Azure kan till en början verka förvirrande eftersom Azure erbjuder flera övervakningstjänster. Varje Azure-övervakningstjänst är dock viktig i den säkerhets- och övervakningsstrategi som beskrivs i den här serien. Artiklarna i den här serien beskriver de olika tjänsterna och hur du planerar effektiv säkerhet för din IT-miljö.

  1. Använda Azure-övervakning för att integrera säkerhetskomponenter
  2. Mappa hot mot din IT-miljö
  3. Skapa det första försvarsskiktet med Azure Security Services
  4. Skapa det andra försvarsskiktet med Microsoft Defender XDR Security Services

Potentiella användningsfall

Den här referensarkitekturen ger en omfattande vy över Microsoft Cloud Security Services och visar hur du integrerar dem för att uppnå en optimal säkerhetsstatus.

Även om du inte behöver implementera alla säkerhetstjänster som visas kan det här exemplet och hotkartan som illustreras i arkitekturdiagrammet hjälpa dig att skapa en egen hotkarta och planera din säkerhetsstrategi. Välj de Azure-säkerhetstjänster och Microsoft Defender XDR-tjänster som passar dina behov bäst.

Kostnadsoptimering

Prissättningen för De Azure-tjänster som presenteras i den här artikelserien beräknas på olika sätt. Vissa tjänster är kostnadsfria, vissa har en avgift för varje användning och vissa har en avgift som baseras på licensiering. Det bästa sättet att beräkna prissättningen för någon av Azure-säkerhetstjänsterna är att använda priskalkylatorn. I kalkylatorn söker du efter en tjänst som du är intresserad av och väljer den sedan för att hämta alla variabler som avgör priset för tjänsten.

Microsoft Defender XDR-säkerhetstjänster fungerar med licenser. Information om licenskraven finns i Krav för Microsoft Defender XDR.

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudförfattare:

Övriga medarbetare:

Nästa steg

Mer information om den här referensarkitekturen finns i de andra artiklarna i den här serien:

Relaterade arkitekturer i Azure Architecture Center finns i följande artiklar: