Infrastrukturintegreringar
Infrastrukturen består av maskinvara, programvara, mikrotjänster, nätverksinfrastruktur och anläggningar som krävs för att stödja IT-tjänster för en organisation. Nolltillit infrastrukturlösningar utvärderar, övervakar och förhindrar säkerhetshot mot dessa tjänster.
Nolltillit infrastrukturlösningar stöder principerna för Nolltillit genom att se till att åtkomsten till infrastrukturresurser verifieras explicit beviljas åtkomst med hjälp av principer för åtkomst med minst behörighet och mekanismer finns på plats som förutsätter intrång och letar efter och åtgärdar säkerhetshot i infrastrukturen.
Den här vägledningen gäller programvaruleverantörer och teknikpartner som vill förbättra sina säkerhetslösningar för infrastrukturen genom att integrera med Microsoft-produkter.
Nolltillit integrering för infrastrukturguide
Den här integreringsguiden innehåller strategi och instruktioner för integrering med Microsoft Defender för molnet och dess integrerade molnbaserade arbetsbelastningsskyddsplaner, Microsoft Defender för ... (servrar, containrar, databaser, lagring, App Services med mera).
Vägledningen omfattar integreringar med de mest populära lösningarna för säkerhetsinformation och händelsehantering (SIEM), soar (Security Orchestration Automated Response), Slutpunktsidentifiering och svar (Identifiering och åtgärd på slutpunkt) och ITSM(IT Service Management).
Nolltillit och Defender för molnet
Vår vägledning för distribution av Nolltillit infrastruktur ger viktiga steg i Nolltillit strategi för infrastruktur. Dessa är:
- Utvärdera efterlevnaden av valda standarder och principer
- Härda konfigurationen där det finns luckor
- Använda andra härdningsverktyg som just-in-time-åtkomst (JIT) för virtuella datorer
- Konfigurera hotidentifiering och skydd
- Blockera och flagga automatiskt riskfyllt beteende och vidta skyddsåtgärder
Det finns en tydlig mappning från de mål som vi har beskrivit i vägledningen för infrastrukturdistribution till de viktigaste aspekterna av Defender för molnet.
Nolltillit mål | Defender för molnet funktion |
---|---|
Utvärdera kompatibilitet | I Defender för molnet tilldelas varje prenumeration automatiskt Microsoft Cloud Security Benchmark (MCSB) som standardsäkerhetsinitiativ. Med hjälp av verktygen för säker poäng och instrumentpanelen för regelefterlevnad kan du få en djup förståelse för kundens säkerhetsstatus. |
Harden-konfiguration | Genom att tilldela säkerhetsinitiativ till prenumerationer och granska säkerhetspoängen leder du till de härdningsrekommendationer som är inbyggda i Defender för molnet. Defender för molnet analyserar regelbundet efterlevnadsstatusen för resurser för att identifiera potentiella säkerhetsfel och svagheter. Den ger sedan rekommendationer om hur du åtgärdar dessa problem. |
Använda härdningsmekanismer | Förutom engångskorrigeringar av felkonfigurationer för säkerhet innehåller Defender för molnet funktioner för att ytterligare förstärka dina resurser, till exempel: JiT-åtkomst (Just-in-time) för virtuell dator (VM) Adaptiv nätverkshärdning Anpassningsbara programkontroller. |
Konfigurera hotidentifiering | Defender för molnet erbjuder integrerade molnbaserade arbetsbelastningsskyddsplaner för hotidentifiering och svar. Planerna ger avancerat, intelligent skydd av Resurser och arbetsbelastningar i Azure, hybrid och flera moln. Ett av Microsoft Defender-abonnemangen, Defender för servrar, innehåller en intern integrering med Microsoft Defender för Endpoint. Läs mer i Introduktion till Microsoft Defender för molnet. |
Blockera automatiskt misstänkt beteende | Många av härdningsrekommendationerna i Defender för molnet erbjuder ett neka-alternativ. Med den här funktionen kan du förhindra att resurser skapas som inte uppfyller definierade härdningsvillkor. Läs mer i Förhindra felkonfigurationer med rekommendationer för framtvinga/neka. |
Flagga automatiskt misstänkt beteende | Microsoft Defender för molnet säkerhetsaviseringar utlöses av avancerade identifieringar. Defender för molnet prioriterar och listar aviseringarna, tillsammans med den information som behövs för att du snabbt ska kunna undersöka problemet. Defender för molnet innehåller också detaljerade steg som hjälper dig att åtgärda attacker. En fullständig lista över tillgängliga aviseringar finns i Säkerhetsaviseringar – en referensguide. |
Skydda dina Azure PaaS-tjänster med Defender för molnet
Med Defender för molnet aktiverat i din prenumeration och Defender-arbetsbelastningsskyddsplanerna är aktiverade för alla tillgängliga resurstyper har du ett lager av intelligent skydd mot hot – som drivs av Microsoft Threat Intelligence – som skyddar resurser i Azure Key Vault, Azure Storage, Azure DNS och andra Azure PaaS-tjänster. En fullständig lista finns i PaaS-tjänsterna i supportmatrisen.
Azure Logic Program-program
Använd Azure Logic Apps för att skapa automatiserade skalbara arbetsflöden, affärsprocesser och företagsorkestreringar för att integrera dina appar och data i molntjänster och lokala system.
Defender för molnet med funktionen för arbetsflödesautomatisering kan du automatisera svar på Defender för molnet utlösare.
Det här är ett bra sätt att definiera och svara på ett automatiserat och konsekvent sätt när hot identifieras. Om du till exempel vill meddela relevanta intressenter startar du en ändringshanteringsprocess och tillämpar specifika reparationssteg när ett hot identifieras.
Integrera Defender för molnet med dina SIEM-, SOAR- och ITSM-lösningar
Microsoft Defender för molnet kan strömma dina säkerhetsaviseringar till de mest populära siem-lösningarna (Security Information and Event Management), Security Orchestration Automated Response (SOAR) och IT Service Management (ITSM).
Det finns Azure-inbyggda verktyg för att se till att du kan visa dina aviseringsdata i alla de mest populära lösningarna som används idag, inklusive:
- Microsoft Sentinel
- Splunk Enterprise och Splunk Cloud
- IBM:s QRadar
- ServiceNow
- ArcSight
- Power BI
- Palo Alto Networks
Microsoft Sentinel
Defender för molnet integreras internt med Microsoft Sentinel, Microsofts molnbaserade siem-lösning (security information event management) och soar-lösning (security orchestration automated response).
Det finns två sätt att se till att dina Defender för molnet data representeras i Microsoft Sentinel:
Sentinel-anslutningsappar – Microsoft Sentinel innehåller inbyggda anslutningsappar för Microsoft Defender för molnet på prenumerations- och klientnivå:
- Strömma aviseringar till Microsoft Sentinel på prenumerationsnivå
- Anslut alla prenumerationer i din klientorganisation till Microsoft Sentinel
Dricks
Läs mer i Anslut säkerhetsaviseringar från Microsoft Defender för molnet.
Strömma granskningsloggarna – Ett annat sätt att undersöka Defender för molnet aviseringar i Microsoft Sentinel är att strömma granskningsloggarna till Microsoft Sentinel:
Stream-aviseringar med Microsoft Graph API för säkerhet
Defender för molnet har en färdig integrering med Microsoft Graph API för säkerhet. Ingen konfiguration krävs och det finns inga ytterligare kostnader.
Du kan använda det här API:et för att strömma aviseringar från hela klientorganisationen (och data från många andra Microsoft Security-produkter) till tredjeparts-SIEM:er och andra populära plattformar:
- Splunk Enterprise och Splunk Cloud - Använd Microsoft Graph API för säkerhet-tillägget för Splunk
- Power BI - Anslut till Microsoft Graph API för säkerhet i Power BI Desktop
- ServiceNow - Följ anvisningarna för att installera och konfigurera Microsoft Graph API för säkerhet-programmet från ServiceNow Store
- QRadar - IBM:s enhetssupportmodul för Microsoft Defender för molnet via Microsoft Graph API
- Palo Alto Networks, Anomali, Lookout, InSpark med mera – Microsoft Graph API för säkerhet
Läs mer om Microsoft Graph API för säkerhet.
Stream-aviseringar med Azure Monitor
Använd Defender för molnet kontinuerlig exportfunktion för att ansluta Defender för molnet med Azure Monitor via Azure Event Hubs och strömma aviseringar till ArcSight, SumoLogic, Syslog-servrar, LogRhythm, Logz.io Cloud Observability Platform och andra övervakningslösningar.
Läs mer i Stream-aviseringar med Azure Monitor.
Detta kan också göras på hanteringsgruppsnivå med hjälp av Azure Policy, se Skapa konfigurationer för kontinuerlig exportautomatisering i stor skala.
Dricks
Om du vill visa händelsescheman för de exporterade datatyperna går du till Händelsehubbens händelsescheman.
Integrera Defender för molnet med en lösning för slutpunktsidentifiering och svar (Identifiering och åtgärd på slutpunkt)
Microsoft Defender för slutpunkter
Microsoft Defender för Endpoint är en holistisk, molnbaserad slutpunktssäkerhetslösning.
Microsoft Defender för servrar innehåller en integrerad licens för Microsoft Defender för Endpoint. Tillsammans tillhandahåller de omfattande funktioner för identifiering och åtgärd på slutpunkt (Identifiering och åtgärd på slutpunkt). Mer information finns i Skydda dina slutpunkter.
När Defender för Endpoint identifierar ett hot utlöses en avisering. Aviseringen visas i Defender för molnet och du kan pivoteras till Defender för Endpoint-konsolen för att utföra en detaljerad undersökning och upptäcka omfattningen av attacken. Läs mer om Microsoft Defender för Endpoint.
Andra Identifiering och åtgärd på slutpunkt lösningar
Defender för molnet ger härdningsrekommendationer för att säkerställa att du skyddar organisationens resurser enligt vägledningen förMicrosoft Cloud Security Benchmark (MCSB). En av kontrollerna i riktmärket gäller slutpunktssäkerhet: ES-1: Använd slutpunktsidentifiering och svar (Identifiering och åtgärd på slutpunkt).
Det finns två rekommendationer i Defender för molnet för att säkerställa att du har aktiverat slutpunktsskydd och att det fungerar bra. Dessa rekommendationer kontrollerar förekomsten och drifthälsan för Identifiering och åtgärd på slutpunkt lösningar från:
- Trend Micro
- Symantec
- Mcafee
- Sophos
Läs mer i Utvärdering och rekommendationer för slutpunktsskydd i Microsoft Defender för molnet.
Tillämpa din Nolltillit strategi på hybridscenarier och scenarier med flera moln
Med molnarbetsbelastningar som ofta omfattar flera molnplattformar måste molnsäkerhetstjänster göra detsamma.
Microsoft Defender för molnet skyddar arbetsbelastningar oavsett var de körs: i Azure, lokalt, Amazon Web Services (AWS) eller Google Cloud Platform (GCP).
Integrera Defender för molnet med lokala datorer
För att skydda arbetsbelastningar i hybridmoln kan du utöka Defender för molnet skydd genom att ansluta lokala datorer till Azure Arc-aktiverade servrar.
Lär dig hur du ansluter datorer i Anslut dina datorer som inte är Azure-datorer till Defender för molnet.
Integrera Defender för molnet med andra molnmiljöer
Om du vill visa säkerhetsstatusen för Amazon Web Services-datorer i Defender för molnet registrerar du AWS-konton i Defender för molnet. Detta integrerar AWS Security Hub och Microsoft Defender för molnet för en enhetlig vy över Defender för molnet rekommendationer och AWS Security Hub-resultat och ger en rad fördelar enligt beskrivningen i Anslut dina AWS-konton till Microsoft Defender för molnet.
Om du vill visa säkerhetsstatusen för Google Cloud Platform-datorer i Defender för molnet registrerar du GCP-konton i Defender för molnet. Detta integrerar GCP-säkerhetskommandot och Microsoft Defender för molnet för en enhetlig vy över Defender för molnet rekommendationer och GCP Security Command Center-resultat och ger en rad fördelar enligt beskrivningen i Anslut dina GCP-konton till Microsoft Defender för molnet.
Nästa steg
Mer information om Microsoft Defender för molnet finns i den fullständiga Defender för molnet dokumentationen.