Hantera infrastruktursäkerhet med hjälp av Defender för molnet

Slutförd

Eftersom ditt företag är en finansiell organisation måste det uppfylla de högsta säkerhetsstandarderna. Varje kund- eller partnertransaktion måste skyddas helt från hot, och du måste också effektivt reagera på potentiella hot. Om till exempel en virtuell dator (VM) komprometteras måste du agera snabbt för att åtgärda problemet.

I den här lektionen beskrivs hur du skyddar resurser och svarar på hot med hjälp av Microsoft Defender för molnet. Defender for Cloud hjälper dig att säkerställa att säkerhetskonfigurationen för din infrastruktur är så säker som möjligt.

Du kan använda Defender för molnet för att:

  • Förstå arkitekturens säkerhetsstatus.
  • Identifiera och åtgärda risker och hot mot din infrastruktur.
  • Skydda en komplex infrastruktur med hjälp av traditionella interna kunskaper och kapital.
  • Skydda en infrastruktur som består av lokala resurser och molnresurser.

Förstå din säkerhetsstatus

Du måste förstå arkitekturens säkerhetsstatus för att hjälpa dig att skapa och underhålla bättre infrastrukturer. Defender for Cloud hjälper dig att förstå säkerheten i din arkitektur genom att ge dig detaljerade analyser av olika komponenter i din miljö, inklusive:

  • Datasäkerhet
  • Nätverkssäkerhet
  • Identitet och åtkomst
  • Programsäkerhet

Defender for Cloud använder Azure Monitor-loggar för att samla in data från dina virtuella datorer för att övervaka säkerhetsrisker och hot. En agent läser olika säkerhetsrelaterade konfigurationer och händelseloggar från den virtuella datorn och kopierar data till Log Analytics-arbetsytan för analys.

Defender for Cloud rekommenderar olika sätt att åtgärda de problem och risker som upptäcks. Du kan använda rekommendationer för att förbättra säkerheten och efterlevnaden för din arkitektur.

Skärmbild av rekommendationen i Microsoft Defender för molnet.

Skydda mot hot

Du kan använda just-in-time (JIT) VM-åtkomst i Defender för molnet och adaptiva programkontroller för att blockera misstänkt aktivitet och skydda dina resurser. Om du vill komma åt dessa kontroller väljer du arbetsbelastningsskydd i avsnittet Cloud Security i det vänstra navigeringsfältet i Defender för molnet.

JIT VM-åtkomst

Du kan skydda dina virtuella datorer med hjälp av jit-åtkomstfunktionen (just-in-time) för att blockera beständig åtkomst till virtuella datorer. Dina virtuella datorer kan endast nås baserat på granskad åtkomst som du konfigurerar.

Om du vill aktivera JIT väljer du just-in-time VM-åtkomst på skärmen arbetsbelastningsskydd under Avancerat skydd. På sidan just-in-time-åtkomst till virtuella datorer markerar du kryssrutorna bredvid en eller flera virtuella datorer i listan Inte konfigurerad och väljer sedan Aktivera JIT på (antal) virtuella datorer för att konfigurera JIT för de virtuella datorerna.

Defender for Cloud visar en lista över standardportar som JIT riktar in sig på, eller så kan du konfigurera dina egna portar.

Skärmbild av JIT-konfiguration.

Anpassningsbara applikationskontroller

Du kan använda anpassningsbara programkontroller för att styra vilka program som tillåts köras på dina virtuella datorer. Defender för molnet använder maskininlärning för att titta på de processer som körs på dina virtuella datorer, skapa undantagsregler för varje resursgrupp som innehåller dina virtuella datorer och ge rekommendationer.

Om du vill konfigurera anpassningsbara kontroller väljer du Anpassningsbar programkontroll på skärmen Arbetsbelastningsskydd under Avancerat skydd. Skärmen Anpassningsbara programkontroller visar en lista över resursgrupper som innehåller dina virtuella datorer. Fliken rekommenderade visar de resursgrupper som Defender för molnet rekommenderar för anpassningsbara programkontroller.

Skärmbild av anpassningsbara programkontroller.

När du väljer en resursgrupp öppnas Konfigurera regler för programkontroll. På den här skärmen använder du alternativen för att rikta in sig på virtuella datorer och program som ska ha kontrollreglerna tillämpade.

Svara på hot

Defender for Cloud ger dig en central vy över alla dina säkerhetsaviseringar, rangordnade efter deras allvarlighetsgrad. Du kan visa dina säkerhetsaviseringar genom att välja Säkerhetsaviseringar i det vänstra navigeringsfältet i Defender för molnet.

Skärmbild av säkerhetsaviseringar.

Defender for Cloud kombinerar relaterade aviseringar till en enda säkerhetsincident så mycket som möjligt. Välj en incident för att se de specifika säkerhetsaviseringar som incidenten innehåller.

Öka detaljnivån i en avisering genom att välja aviseringen och sedan välja Visa fullständig information.

Skärmbild av incidentinformation.

Defender for Cloud kan hjälpa dig att svara på hot snabbare och på ett automatiserat sätt genom att vidta åtgärder. Välj Nästa: Agera för att agera på aviseringen.

Skärmbild av aviseringsinformation.

Expandera något av följande avsnitt för att vidta åtgärder i aviseringen:

  • Granska resurskontexten för att undersöka resursloggarna runt tidpunkten för aviseringen.
  • Minimera hotet för att se förslag på hur du minimerar eller åtgärdar hotet.
  • Förhindra framtida attacker för att implementera säkerhetsrekommendationer.
  • Utlösa automatiserat svar för att utlösa en logikapp som ett automatiserat svar på den här säkerhetsaviseringen.
  • Ignorera liknande aviseringar genom att skapa en undertryckningsregel med fördefinierade villkor.
  • Konfigurera inställningar för e-postmeddelanden för att välja vem som ska meddelas om aviseringen och under vilka villkor.

Skärmbild av åtgärdsfönstret Ta åtgärder.

I aviseringsinformationen bör du stänga aviseringar om ingen åtgärd krävs, till exempel om det finns falska positiva identifieringar. Du bör agera för att hantera kända attacker, till exempel genom att blockera kända skadliga IP-adresser, och du bör bestämma vilka aviseringar som kräver ytterligare undersökning.

Skärmbild av aviseringsstatus.

Kontrollera dina kunskaper

1.

Hur kan du använda Defender för molnet för att förhindra beständig åtkomst till dina virtuella datorer?

2.

Hur kan du automatisera svar på Defender for Cloud-aviseringar?