你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
零信任和 Defender for Cloud
本文提供将零信任基础设施解决方案与 Microsoft Defender for Cloud 集成的策略和说明。 该指南包含与安全信息和事件管理 (SIEM)、安全业务流程自动响应 (SOAR)、终结点检测和响应 (EDR) 以及 IT 服务管理 (ITSM) 解决方案等的集成。
基础结构包括组织支持 IT 服务所需的硬件、软件、微服务、网络基础结构和设施。 无论是本地还是多云,基础结构都表示严重威胁途径。
零信任基础设施解决方案可评估、监视和阻止对你的基础设施的安全威胁。 解决方案通过确保显式验证对基础设施资源的访问并使用最低特权访问原则授予零信任原则来支持零信任原则。 机制会假设存在漏洞,并查找和修正基础设施中的安全威胁。
什么是零信任?
零信任是一种安全策略,用于设计和实现以下安全原则集:
| 显式验证 | 使用最低特权访问 | 假定数据泄露 |
|---|---|---|
| 始终根据所有可用的数据点进行身份验证和授权。 | 使用实时和恰好足够的访问权限 (JIT/JEA)、基于风险的自适应策略和数据保护,来限制用户访问。 | 最大限度地减少影响范围,并对访问进行分段。 验证端对端加密并使用分析来获取可见性、驱动威胁检测并改进防御。 |
零信任和 Defender for Cloud
零信任基础设施部署指南提供了基础设施零信任策略的关键阶段:
- 评估与所选标准和策略的合规性情况。
- 在发现差距的地方强化配置。
- 使用其他强化工具,如实时 (JIT) VM 访问。
- 设置威胁防护。
- 自动阻止和标记有风险的行为并采取防护操作。
下面介绍了这些阶段如何映射到 Defender for Cloud。
| 目标 | Defender for Cloud |
|---|---|
| 评估符合性 | 在 Defender for Cloud 中,每个订阅都会自动分配 Microsoft 云安全基准 (MCSB) 安全计划。 使用安全评分工具和法规合规性仪表板可深入了解安全状况。 |
| 强化配置 | 基础结构和环境设置根据合规性标准进行评估,并根据这些评估发出建议。 你可以随时查看和修正安全建议,并[跟踪安全分数改进] (secure-score-access-and-track.md)。 可以利用攻击路径功能,确定对要修正的建议设置级别。 |
| 使用强化机制 | 最低特权访问是一项零信任原则。 Defender for Cloud 可帮助你使用此原则强化 VM 和网络设置,并提供以下功能: 实时 (JIT) VM 访问。 |
| 设置威胁防护 | Defender for Cloud 是一个云工作负载保护平台 (CWPP),提供对 Azure 和混合资源和工作负载的高级智能保护。 了解详细信息。 |
| 自动阻止风险行为 | Defender for Cloud 中的许多强化建议提供了拒绝选项,以防止创建不符合定义的强化条件的资源。 了解详细信息。 |
| 自动标记可疑行为 | Defender for Cloud 安全警报由威胁检测触发。 Defender for Cloud 会优先考虑并列出警报,并提供有助于调查的信息。 它还提供了详细步骤来帮助你修正攻击。 请查看完整的安全警报列表。 |
对混合和多云方案应用零信任
由于云工作负载通常跨多个云平台分布,因此云安全服务也需要如此。Defender for Cloud 会保护工作负荷,无论它们在何处运行均是如此。 在 Azure、本地、AWS 或 GCP 中。
- AWS:若要保护 AWS 计算机,可将 AWS 帐户载入 Defender for Cloud。 此集成提供了 Defender for Cloud 建议和 AWS 安全中心发现的统一视图。 详细了解如何将 AWS 帐户连接到 Microsoft Defender for Cloud。
- GCP:若要保护 GCP 计算机,可将 GCP 帐户加入 Defender for Cloud。 此集成提供了 Defender for Cloud 建议和 GCP 安全命令中心调查结果的统一视图。 详细了解如何将 GCP 帐户连接到 Microsoft Defender for Cloud。
- 本地计算机。 可以通过将本地计算机连接到已启用 Azure Arc 的服务器来扩展 Defender for Cloud 保护。 详细了解如何将本地计算机连接到 Defender for Cloud。
保护 Azure PaaS 服务
当 Defender for Cloud 在 Azure 订阅中可用,并为所有可用资源类型启用 Defender for Cloud 计划时,一层智能威胁防护,由 Microsoft 威胁情报提供的智能威胁保护层就会保护 Azure PaaS 服务中的资源,包括 Azure Key Vault、Azure 存储、Azure DNS 等。 详细了解 Defender for Cloud 可以保护的资源类型。
使用 Azure 逻辑应用的自动响应
使用 Azure 逻辑应用构建可自动缩放的工作流、业务流程和企业业务流程,以便在多个云服务和本地系统中集成你的应用和数据。
通过 Defender for Cloud 的工作流自动化功能,可自动响应 Defender for Cloud 触发器。
若在发现威胁时需以自动一致的方式进行定义和响应,这是一种非常好的方法。 例如,若要通知相关利益干系人,请启动变更管理流程,并在检测到威胁时应用特定的修正步骤。
与 SIEM、SOAR 和 ITSM 解决方案集成
Defender for Cloud 可以将安全警报流式传输到最热门的 SIEM、SOAR 和 ITSM 解决方案中。 Azure 本机工具可确保你可以查看当前使用的所有最常用解决方案中的警报数据,其中包括:
- Microsoft Sentinel
- Splunk Enterprise and Splunk Cloud
- IBM 的 QRadar
- ServiceNow
- ArcSight
- Power BI
- Palo Alto Networks
与 Microsoft Sentinel 集成
Defender for Cloud 原生与 Microsoft Sentinel(Microsoft 的 SIEM/SOAR 解决方案)集成。
可通过两种方法确保在 Microsoft Sentinel 中表示 Defender for Cloud 数据:
Sentinel 连接器 - Microsoft Sentinel 在订阅和租户级别包含适用于 Microsoft Defender for Cloud 的内置连接器:
提示
有关详细信息,请参阅从 Microsoft Defender for Cloud 连接安全警报。
审核日志流式处理 - 在 Microsoft Sentinel 中调查 Defender for Cloud 警报的另一种方法是将审核日志流式传输到 Microsoft Sentinel:
使用 Microsoft Graph 安全性 API 流式传输警报
Defender for Cloud 提供与 Microsoft Graph 安全 API 的直接集成。 无需进行配置,也不需要额外的费用。
可以使用此 API 将警报从整个租户(以及许多其他 Microsoft 安全产品的数据)流式传输到第三方 SIEM 和其他常用平台:
- Splunk Enterprise 和 Splunk Cloud - 使用适用于 Splunk 的 Microsoft Graph 安全性 API 附加产品
- Power BI - 连接到 Power BI Desktop 中的 Microsoft Graph 安全性 API。
- ServiceNow - 按照说明从 ServiceNow Store 中安装和配置 Microsoft Graph 安全性 API 应用程序
- QRadar - 使用 IBM 的设备支持模块,可通过 Microsoft Graph API 将其用于 Defender for Cloud
- Palo Alto Networks、Anomali、Lookout、InSpark 等。 详细了解 Microsoft Graph 安全性 API。
使用 Azure Monitor 流式传输警报
使用 Defender for Cloud 的连续导出功能,通过 Azure 事件中心连接到 Azure Monitor,并将警报流式传输到 ArcSight、SumoLogic、Syslog 服务器、LogRhythm、Logz.io Cloud Observability Platform 和其他监视解决方案中。
- 也可以使用 Azure Policy 在管理组级别执行此操作。 了解如何大规模创建连续导出自动化配置。
- 若要查看导出的数据类型的事件架构,请查看事件中心事件架构。
详细了解如何将警报流式传输到监视解决方案。
与 EDR 解决方案集成
用于终结点的 Microsoft Defender
Defender for Endpoint 是一种整体的、云交付的终结点安全解决方案。 Defender for Cloud 服务器工作负荷计划(Defender for Servers)包括用于 Defender for Endpoint 的集成许可证。 它们共同提供全面的 EDR 功能。 详细了解保护终结点。
用于终结点的 Defender 在检测到威胁时会触发警报。 该警报显示在 Defender for Cloud 中。 在 Defender for Cloud 中,可以透视 Defender for Endpoint 控制台,并执行详细调查来发现攻击范围。
其他 EDR 解决方案
Defender for Cloud 提供对支持的 EDR 解决方案版本的运行状况评估。
Defender for Cloud 根据 Microsoft 安全基准提供建议。 基准中的其中一项控制与终结点安全性相关:ES-1:使用终结点检测和响应 (EDR)。 有两项建议,用于确保你已启用终结点保护并使其正常运行。 详细了解 Defender for Cloud 中支持的 EDR 解决方案的评估。
后续步骤
开始规划多云保护。