描述 Azure Arc 安全解决方案

已完成

Contoso 希望保护连接到 Azure Arc 的服务器和 Kubernetes 群集。使用 Microsoft Sentinel,Contoso 可以为已启用 Arc 的服务器收集与安全相关的事件,从而提供警报检测、威胁可见性和其他优势。 Contoso 还可以使用 Microsoft Defender for Servers 监视其已启用 Arc 的服务器安全状况,同时通过 Microsoft Defender for Containers 帮助保护其 Kubernetes 群集。

使用 Microsoft Sentinel 的 Azure Arc 安全性

Microsoft Sentinel 是一种集成 SIEM(可缩放、云原生安全信息和事件管理)和 SOAR(安全业务流程、自动化和响应)解决方案。 Microsoft Sentinel 提供威胁智能,实现了同时用于攻击检测、主动搜寻和威胁响应的统一解决方案。 它提供了整个企业的鸟瞰视图,可以缓解日益复杂的攻击、不断增加的警报数量以及长时间解决时间帧带来的压力。

Microsoft Sentinel 的优势包括:

  • 跨所有用户、设备、应用程序和基础结构(包括本地和多个云)以云规模收集数据
  • 使用 Microsoft 的分析和出色的威胁情报检测以前未检测到的威胁,并最大程度减少误报。
  • 借助人工智能调查威胁,结合 Microsoft 多年以来的网络安全工作经验大规模搜寻可疑活动。
  • 通过内置的业务流程和常见任务自动化快速响应事件

通过 Azure Arc,这些优势可以扩展到 Contoso 混合环境中的服务器。

Microsoft Sentinel 附带几个适用于 Microsoft 解决方案的连接器,这些连接器立即可用并且可实现实时集成。 对于物理计算机和虚拟机,可以安装 Log Analytics 代理来收集日志并将其转发到 Microsoft Sentinel。

将已启用 Azure Arc 的服务器连接到 Log Analytics 工作区后,并且在启用了 Microsoft Sentinel 的情况下,可以设置数据连接器以开始引入日志。

Contoso 可以使用 Microsoft Sentinel 的威胁检测模板创建各自的规则来检测可疑活动。 这些规则模板基于已知威胁和常见攻击途径,允许 Contoso 创建特定规则以自动搜索其环境来查找威胁。 可以自定义模板以搜索活动,或根据需要进行筛选。

使用 Microsoft Defender 的 Azure Arc 安全性

Microsoft Defender for Servers 和 Microsoft Defender for Containers 为 Contoso 的服务器和 Kubernetes 群集提供额外的威胁防护。

Microsoft Defender for Servers 是 Defender for Cloud 的增强安全功能之一。 Defender for Servers 为 Windows 和 Linux 计算机添加了威胁检测和高级防护,无论它们是在 Azure、本地还是多云环境中运行。

适用于容器的 Microsoft Defender 是用于保护容器的云原生解决方案。 Defender for Containers 通过持续评估群集来保护群集,可提供对错误配置的可见性,并提供有助于缓解已识别威胁的准则。 威胁防护可生成针对可疑活动的安全警报。