Nolltillit och Defender för molnet
Den här artikeln innehåller strategi och instruktioner för att integrera Nolltillit infrastrukturlösningar med Microsoft Defender för molnet. Vägledningen omfattar integreringar med andra lösningar, inklusive siem(security information and event management), soar (security orchestration automated response), identifiering och åtgärd på slutpunkt (EDR) och ITSM-lösningar (IT Service Management).
Infrastrukturen består av maskinvara, programvara, mikrotjänster, nätverksinfrastruktur och anläggningar som krävs för att stödja IT-tjänster för en organisation. Oavsett om det är lokalt eller flera moln representerar infrastrukturen en kritisk hotvektor.
Nolltillit infrastrukturlösningar utvärderar, övervakar och förhindrar säkerhetshot mot din infrastruktur. Lösningar stöder principerna för Nolltillit genom att se till att åtkomsten till infrastrukturresurser verifieras explicit och beviljas med hjälp av principer för åtkomst med minst behörighet. Mekanismer förutsätter intrång och letar efter och åtgärdar säkerhetshot i infrastrukturen.
Vad är Nolltillit?
Nolltillit är en säkerhetsstrategi för att utforma och implementera följande uppsättningar av säkerhetsprinciper:
| Verifiera explicit | Använd åtkomst med minst behörighet | Anta intrång |
|---|---|---|
| Autentisera och auktorisera alltid baserat på alla tillgängliga datapunkter. | Begränsa användaråtkomst med JUST-In-Time och Just-Enough-Access (JIT/JEA), riskbaserade adaptiva principer och dataskydd. | Minimera explosionsradie och segmentåtkomst. Verifiera kryptering från slutpunkt till slutpunkt och använd analys för att få synlighet, driva hotidentifiering och förbättra skyddet. |
Nolltillit och Defender för molnet
Nolltillit vägledning för infrastrukturdistribution ger viktiga steg i Nolltillit infrastrukturstrategi:
- Utvärdera efterlevnaden av valda standarder och principer.
- Härda konfigurationen där det finns luckor.
- Använd andra härdningsverktyg som just-in-time-åtkomst (JIT).
- Konfigurera skydd mot hot.
- Blockera och flagga automatiskt riskfyllt beteende och vidta skyddsåtgärder.
Så här mappar de här stegen till Defender för molnet.
| Goal | Defender för molnet |
|---|---|
| Utvärdera kompatibilitet | I Defender för molnet tilldelas varje prenumeration automatiskt säkerhetsinitiativet Microsoft Cloud Security Benchmark (MCSB). Med hjälp av verktygen för säker poäng och instrumentpanelen för regelefterlevnad kan du få en djup förståelse för säkerhetsstatus. |
| Harden-konfiguration | Infrastruktur- och miljöinställningar utvärderas mot efterlevnadsstandarden och rekommendationer utfärdas baserat på dessa utvärderingar. Du kan granska och åtgärda säkerhetsrekommendationer och [spåra förbättringar av säkerhetspoäng] (secure-score-access-and-track.md) över tid. Du kan prioritera vilka rekommendationer som ska åtgärdas baserat på potentiella attackvägar. |
| Använda härdningsmekanismer | Lägsta behörighet är en Nolltillit princip. Defender för molnet kan hjälpa dig att härda virtuella datorer och nätverksinställningar med hjälp av den här principen med funktioner som: Just-in-time-åtkomst (JIT). |
| Konfigurera skydd mot hot | Defender för molnet är en molnplattform för arbetsbelastningsskydd (CWPP) som tillhandahåller avancerat, intelligent skydd av Azure och hybridresurser och arbetsbelastningar. Läs mer. |
| Blockera automatiskt riskfyllt beteende | Många av härdningsrekommendationerna i Defender för molnet erbjuder ett neka-alternativ för att förhindra att resurser skapas som inte uppfyller definierade härdningskriterier. Läs mer. |
| Flagga automatiskt misstänkt beteende | Försvarare av molnsäkerhetsaviseringar utlöses av hotidentifieringar. Defender för molnet prioriterar och listar aviseringar med information som hjälper dig att undersöka. Den innehåller också detaljerade steg som hjälper dig att åtgärda attacker. Granska en fullständig lista över säkerhetsaviseringar. |
Tillämpa Nolltillit på hybrid- och multimolnscenarier
Med molnarbetsbelastningar som ofta omfattar flera molnplattformar måste molnsäkerhetstjänster göra detsamma. Defender för molnet skyddar arbetsbelastningar var de än körs. I Azure, lokalt, AWS eller GCP.
- AWS: För att skydda AWS-datorer registrerar du AWS-konton i Defender för molnet. Den här integreringen ger en enhetlig vy över Defender för molnet rekommendationer och AWS Security Hub-resultat. Läs mer om hur du ansluter AWS-konton till Microsoft Defender för molnet.
- GCP: För att skydda GCP-datorer registrerar du GCP-konton i Defender för molnet. Den här integreringen ger en enhetlig vy över Defender för molnet rekommendationer och GCP Security Command Center-resultat. Läs mer om hur du ansluter GCP-konton till Microsoft Defender för molnet.
- Lokala datorer. Du kan utöka Defender för molnet skydd genom att ansluta lokala datorer till Azure Arc-aktiverade servrar. Läs mer om hur du ansluter lokala datorer till Defender för molnet.
Skydda Azure PaaS-tjänster
När Defender för molnet är tillgängligt i en Azure-prenumeration och Defender för molnet planer som är aktiverade för alla tillgängliga resurstyper, skyddar ett lager av intelligent hotskydd som drivs av Microsoft Threat Intelligence resurser i Azure PaaS-tjänster, inklusive Azure Key Vault, Azure Storage, Azure DNS och andra. Läs mer om de resurstyper som Defender för molnet kan skydda.
Automatisera svar med Azure Logic Apps
Använd Azure Logic Apps för att skapa automatiserade skalbara arbetsflöden, affärsprocesser och företagsorkestreringar för att integrera dina appar och data i molntjänster och lokala system.
Defender för molnet med funktionen för arbetsflödesautomatisering kan du automatisera svar på Defender för molnet utlösare.
Det här är ett bra sätt att definiera och svara på ett automatiserat och konsekvent sätt när hot identifieras. Om du till exempel vill meddela relevanta intressenter startar du en ändringshanteringsprocess och tillämpar specifika reparationssteg när ett hot identifieras.
Integrera med SIEM-, SOAR- och ITSM-lösningar
Defender för molnet kan strömma dina säkerhetsaviseringar till de mest populära SIEM-, SOAR- och ITSM-lösningarna. Det finns Azure-inbyggda verktyg för att se till att du kan visa dina aviseringsdata i alla de mest populära lösningarna som används idag, inklusive:
- Microsoft Sentinel
- Splunk Enterprise och Splunk Cloud
- IBM:s QRadar
- ServiceNow
- ArcSight
- Power BI
- Palo Alto Networks
Integrera med Microsoft Sentinel
Defender för molnet integreras internt med Microsoft Sentinel, Microsofts SIEM/SOAR-lösning.
Det finns två sätt att se till att Defender för molnet data representeras i Microsoft Sentinel:
Sentinel-anslutningsappar – Microsoft Sentinel innehåller inbyggda anslutningsappar för Microsoft Defender för molnet på prenumerations- och klientnivå:
- Strömma aviseringar till Microsoft Sentinel på prenumerationsnivå
- Ansluta alla prenumerationer i din klientorganisation till Microsoft Sentinel
Dricks
Läs mer i Anslut säkerhetsaviseringar från Microsoft Defender för molnet.
Direktuppspelning av granskningsloggar – Ett annat sätt att undersöka Defender för molnet aviseringar i Microsoft Sentinel är att strömma dina granskningsloggar till Microsoft Sentinel:
Stream-aviseringar med Microsoft Graph API för säkerhet
Defender för molnet har en färdig integrering med Microsoft Graph API för säkerhet. Ingen konfiguration krävs och det finns inga extra kostnader.
Du kan använda det här API:et för att strömma aviseringar från hela klientorganisationen och data från många andra Microsoft Security-produkter till tredjeparts-SIEM:er och andra populära plattformar:
- Splunk Enterprise och Splunk Cloud – Använd Microsoft Graph API för säkerhet-tillägget för Splunk
- Power BI – Anslut till Microsoft Graph-API för säkerhet i Power BI Desktop
- ServiceNow – Följ anvisningarna för att installera och konfigurera Microsoft Graph API för säkerhet-programmet från ServiceNow Store
- QRadar – Använd IBM:s enhetssupportmodul för Defender för molnet via Microsoft Graph API
- Palo Alto Networks, Anomali, Lookout, InSpark med mera. Läs mer om Microsoft Graph API för säkerhet.
Stream-aviseringar med Azure Monitor
Använd Defender för molnet kontinuerlig exportfunktion för att ansluta till Azure Monitor via Azure Event Hubs och strömma aviseringar till ArcSight, SumoLogic, Syslog-servrar, LogRhythm, Logz.io Cloud Observability Platform och andra övervakningslösningar.
- Detta kan också göras på hanteringsgruppsnivå med hjälp av Azure Policy. Lär dig mer om att skapa konfigurationer för kontinuerlig exportautomatisering i stor skala.
- Om du vill visa händelsescheman för de exporterade datatyperna läser du händelsescheman för Event Hubs.
Läs mer om strömmande aviseringar till övervakningslösningar.
Integrera med EDR-lösningar
Microsoft Defender för Endpoint
Defender för Endpoint är en holistisk, molnbaserad slutpunktssäkerhetslösning. Arbetsbelastningsplanen för Defender för molnet servrar, Defender för servrar, innehåller en integrerad licens för Defender för Endpoint. Tillsammans tillhandahåller de omfattande EDR-funktioner. Läs mer om att skydda slutpunkter.
När Defender för Endpoint identifierar ett hot utlöses en avisering. Aviseringen visas i Defender för molnet. Från Defender för molnet kan du pivotleda till Defender för Endpoint-konsolen och utföra en detaljerad undersökning för att ta reda på omfattningen av attacken.
Andra EDR-lösningar
Defender för molnet tillhandahåller hälsobedömning av versioner av EDR-lösningar som stöds.
Defender för molnet ger rekommendationer baserat på Microsofts säkerhetsmått. En av kontrollerna i riktmärket gäller slutpunktssäkerhet: ES-1: Använd slutpunktsidentifiering och svar (EDR). Det finns två rekommendationer för att säkerställa att du har aktiverat slutpunktsskydd och att det fungerar bra. Läs mer om utvärdering för EDR-lösningar som stöds i Defender för molnet.
Nästa steg
Börja planera multimolnskydd.