Dela via

Integrera Microsoft Defender för molnet med Azure VMware Solution

  • Artikel

Microsoft Defender för molnet ger avancerat skydd mot hot i din Azure VMware-lösning och lokala virtuella datorer (VM). Den utvärderar säkerhetsrisken för virtuella Azure VMware Solution-datorer och aviserar vid behov. Dessa säkerhetsaviseringar kan vidarebefordras till Azure Monitor för lösning. Du kan definiera säkerhetsprinciper i Microsoft Defender för molnet. Mer information finns i Arbeta med säkerhetsprinciper.

Microsoft Defender för molnet erbjuder många funktioner, bland annat:

  • Övervakning av filintegritet
  • Fillös attackidentifiering
  • Uppdatering av operativsystem
  • Utvärdering av säkerhetsfelkonfigurationer
  • Utvärdering av slutpunktsskydd

Diagrammet visar den integrerade övervakningsarkitekturen för integrerad säkerhet för virtuella Azure VMware Solution-datorer.

Diagram som visar arkitekturen för Azure Integrated Security.

Log Analytics-agenten samlar in loggdata från Azure, Azure VMware Solution och lokala virtuella datorer. Loggdata skickas till Azure Monitor-loggar och lagras på en Log Analytics-arbetsyta. Varje arbetsyta har en egen datalagringsplats och konfiguration för att lagra data. När loggarna har samlats in utvärderar Microsoft Defender för molnet sårbarhetsstatusen för virtuella Azure VMware Solution-datorer och skapar en avisering om eventuella kritiska säkerhetsrisker. När den har utvärderats vidarebefordrar Microsoft Defender för molnet sårbarhetsstatusen till Microsoft Sentinel för att skapa en incident och mappa med andra hot. Microsoft Defender för molnet är ansluten till Microsoft Sentinel med hjälp av Microsoft Defender för molnet Connector.

Förutsättningar

Lägg till virtuella Azure VMware Solution-datorer i Defender för molnet

  1. I Azure Portal söker du på Azure Arc och väljer det.

  2. Under Resurser väljer du Servrar och sedan +Lägg till.

    Skärmbild som visar sidan Azure Arc-servrar för att lägga till en virtuell Azure VMware Solution-dator i Azure.

  3. Välj Generera skript.

    Skärmbild av Azure Arc-sidan som visar alternativet för att lägga till en server med hjälp av interaktivt skript.

  4. På fliken Förutsättningar väljer du Nästa.

  5. På fliken Resursinformation fyller du i följande information och väljer sedan Nästa. Taggar:

    • Prenumeration
    • Resursgrupp
    • Region
    • Operativsystem
    • Information om proxyserver

  6. På fliken Taggar väljer du Nästa.

  7. På fliken Ladda ned och kör skript väljer du Ladda ned.

  8. Ange operativsystemet och kör skriptet på den virtuella Azure VMware Solution-datorn.

Visa rekommendationer och skickade utvärderingar

Rekommendationer och utvärderingar ger dig information om säkerhetshälsa för din resurs.

  1. I Microsoft Defender för molnet väljer du Inventering i den vänstra rutan.

  2. För Resurstyp väljer du Servrar – Azure Arc.

    Skärmbild som visar sidan Microsoft Defender för molnet Inventory med sidan Servrar – Azure Arc valt under Resurstyp.

  3. Välj namnet på resursen. En sida öppnas med information om säkerhetshälsa för din resurs.

  4. Under Rekommendationslista väljer du flikarna Rekommendationer, Godkända utvärderingar och Ej tillgängliga utvärderingar för att visa den här informationen.

    Skärmbild som visar Microsoft Defender för molnet säkerhetsrekommendationer och utvärderingar.

Distribuera en Microsoft Sentinel-arbetsyta

Microsoft Sentinel tillhandahåller säkerhetsanalys, aviseringsidentifiering och automatiserat hotsvar i en miljö. Det är en molnbaserad SIEM-lösning (Security Information Event Management) som bygger på en Log Analytics-arbetsyta.

Eftersom Microsoft Sentinel bygger på en Log Analytics-arbetsyta behöver du bara välja den arbetsyta som du vill använda.

  1. I Azure Portal söker du efter Microsoft Sentinel och väljer det.

  2. På sidan Microsoft Sentinel-arbetsytor väljer du +Lägg till.

  3. Välj Log Analytics-arbetsytan och välj Lägg till.

Aktivera datainsamlare för säkerhetshändelser

  1. På sidan Microsoft Sentinel-arbetsytor väljer du den konfigurerade arbetsytan.

  2. Under Konfiguration väljer du Dataanslutningsprogram.

  3. Under kolumnen Anslutningsnamn väljer du Säkerhetshändelser i listan och väljer sedan Sidan Öppna anslutningsapp.

  4. På sidan anslutningsapp väljer du de händelser som du vill strömma och väljer sedan Tillämpa ändringar.

    Skärmbild av sidan Säkerhetshändelser i Microsoft Sentinel där du kan välja vilka händelser som ska strömmas.

Ansluta Microsoft Sentinel till Microsoft Defender för molnet

  1. På sidan Microsoft Sentinel-arbetsyta väljer du den konfigurerade arbetsytan.

  2. Under Konfiguration väljer du Dataanslutningsprogram.

  3. Välj Microsoft Defender för molnet i listan och välj sedan Sidan Öppna anslutningsapp.

    Skärmbild av sidan Dataanslutningsprogram i Microsoft Sentinel som visar val för att ansluta Microsoft Defender för molnet med Microsoft Sentinel.

  4. Välj Anslut för att ansluta Microsoft Defender för molnet med Microsoft Sentinel.

  5. Aktivera Skapa incident för att generera en incident för Microsoft Defender för molnet.

Skapa regler för att identifiera säkerhetshot

När du har anslutit datakällor till Microsoft Sentinel kan du skapa regler för att generera aviseringar för identifierade hot. I följande exempel skapar vi en regel för försök att logga in på Windows Server med fel lösenord.

  1. På översiktssidan för Microsoft Sentinel går du till Konfigurationer och väljer Analys.

  2. Under Konfigurationer väljer du Analys.

  3. Välj +Skapa och välj Schemalagd frågeregel i listrutan.

  4. På fliken Allmänt anger du nödvändig information och väljer sedan Nästa: Ange regellogik.

    • Name
    • beskrivning
    • Taktiker
    • Allvarlighet
    • Status

  5. På fliken Ange regellogik anger du nödvändig information och väljer sedan Nästa.

    • Regelfråga (här visar vår exempelfråga)

      SecurityEvent
|where Activity startswith '4625'
|summarize count () by IpAddress,Computer
|where count_ > 3

    • Mappa entiteter

    • Frågeschemaläggning

    • Aviseringströskelvärde

    • Händelsegruppering

    • Undertryckning

  6. På fliken Incidentinställningar aktiverar du Skapa incidenter från aviseringar som utlöses av den här analysregeln och väljer Nästa: Automatiserat svar.

    Skärmbild som visar guiden Analysregel för att skapa en ny regel i Microsoft Sentinel.

  7. Välj Nästa: Granska.

  8. På fliken Granska och skapa granskar du informationen och väljer Skapa.

Dricks

Efter det tredje misslyckade försöket att logga in på Windows Server utlöser den skapade regeln en incident för varje misslyckat försök.

Visa aviseringar

Du kan visa genererade incidenter med Microsoft Sentinel. Du kan också tilldela incidenter och stänga dem när de har lösts, allt inifrån Microsoft Sentinel.

  1. Gå till översiktssidan för Microsoft Sentinel.

  2. Under Hothantering väljer du Incidenter.

  3. Välj en incident och tilldela den sedan till ett team för lösning.

    Skärmbild av sidan Microsoft Sentinel-incidenter med incidenten vald och alternativet att tilldela incidenten för lösning.

Dricks

När du har löst problemet kan du stänga det.

Jaga säkerhetshot med frågor

Du kan skapa frågor eller använda den tillgängliga fördefinierade frågan i Microsoft Sentinel för att identifiera hot i din miljö. Följande steg kör en fördefinierad fråga.

  1. På översiktssidan för Microsoft Sentinel går du till Hothantering och väljer Jakt. En lista över fördefinierade frågor visas.

    Dricks

    Du kan också skapa en ny fråga genom att välja Ny fråga.

    Skärmbild av sidan Microsoft Sentinel-jakt med + Ny fråga markerad.

  2. Välj en fråga och välj sedan Kör fråga.

  3. Välj Visa resultat för att kontrollera resultatet.

Nästa steg

Nu när du har gått igenom hur du skyddar dina virtuella Azure VMware Solution-datorer kan du läsa mer om: