共用方式為

零信任和適用於雲端的 Defender

  • 發行項

本文提供整合 零信任 基礎結構解決方案與 適用於雲端的 Microsoft Defender 的策略和指示。 指引包括與安全性資訊與事件管理 (SIEM)、安全性協調流程自動化回應 (SOAR)、端點偵測和回應 (EDR) 以及 IT 服務管理 (ITSM) 等其他解決方案整合的方式。

基礎結構包括硬體、軟體、微服務、網路基礎結構,以及支援組織 IT 服務所需的設施。 無論是內部部署還是多雲端,基礎結構都代表重要的威脅向量。

零信任基礎結構解決方案會評估、監視及防止基礎結構的安全性威脅。 解決方案支援 零信任 原則,方法是確保明確驗證基礎結構資源的存取權,並使用最低許可權存取原則授與。 機制假設存在安全性缺口,會尋找並補救基礎結構中的安全性威脅。

什麼是零信任?

零信任是用於設計和實作下列安全性準則集合的安全性策略:

明確驗證 使用最低權限存取權 假設缺口
一律根據所有可用的資料點進行驗證及授權。 使用 Just-In-Time 和 Just-Enough-Access (JIT/JEA)、風險型調適型原則以及資料保護來限制使用者存取權。 將爆炸半徑和區段存取權降至最低。 確認端對端加密,運用分析來提升資訊透明度與威脅偵測,並改善防禦。

零信任和適用於雲端的 Defender

零信任 基礎結構部署指引提供 零信任 基礎結構策略的關鍵階段:

  1. 評估所選標準和原則的合規性
  2. 在找到縫隙的部分強化組態
  3. 採用其他強化工具,例如 Just-In-Time (JIT) VM 存取。
  4. 設定威脅防護
  5. 自動封鎖和標示有風險的行為,並採取防護動作。

以下說明這些階段如何對應至適用於雲端的 Defender。

Goal Defender for Cloud
評定合規性 在適用於雲端的 Microsoft Defender 中,會自動指派 Microsoft 雲端安全性基準 (MCSB) 安全性倡議給每個訂用帳戶
使用安全分數工具法規合規性儀表板,您即可深入了解安全性態勢。
強化設定 基礎結構和環境設定會根據合規性標準進行評估,並根據這些評估結果提出建議。 您可以檢閱並補救安全性建議和 [追蹤安全分數改進] (secure-score-access-and-track.md) 一段時間。 您可以根據潛在的 攻擊路徑,針對要補救的建議排定優先順序。
採用強化機制 最低許可權存取是 零信任 原則。 適用於雲端的 Defender 可藉由利用下列功能,協助您使用此原則強化 VM 和網路設定:
Just-In-Time VM 存取
設定威脅防護 適用於雲端的 Defender 是雲端工作負載保護平台 (CWPP),可提供 Azure 和混合式資源和工作負載的進階智慧型防護。 深入了解
自動封鎖有風險的行為 適用於雲端的 Defender 中的許多強化建議都提供拒絕選項,以防止建立不符合已定義強化準則的資源。 深入了解
自動標示可疑行為 適用於雲端的 Defender 安全性警示是由威脅偵測所觸發。 適用於雲端的 Defender 會排定優先順序並列出警示,且提供資訊協助您調查。 此外,也會提供協助修復攻擊的詳細步驟。 請參閱完整的安全性警示清單

將 零信任 套用至混合式和多重雲端案例

由於雲端工作負載通常需要跨越多個雲端平台,因此雲端安全性服務必須執行相同動作。適用於雲端的 Defender 會在工作負載執行時提供防護。 在 Azure、內部部署、AWS 或 GCP 中。

保護 Azure PaaS 服務

當 Azure 訂用帳戶上可以使用適用於雲端的 Defender,並已針對所有可用的資源類型啟用適用於雲端的 Defender 方案之後,有一層由 Microsoft 威脅情報提供的智慧型威脅防護將保護 Azure PaaS 服務中的資源,包括 Azure Key Vault、Azure 儲存體、Azure DNS 等等。 深入瞭解適用於雲端的 Defender可以保護的資源類型

使用 Azure Logic Apps 自動化回應

使用 Azure Logic Apps 建置可自動調整的工作流程、商務流程和企業協調流程,將您的應用程式和資料整合到雲端服務和內部部署系統。

適用於雲端的 Defender 工作流程自動化功能可讓您自動回應適用於雲端的 Defender 觸發程式。

這是在探索到威脅時,以自動化且一致的方式定義和回應的絕佳方式。 例如,若要通知相關的項目關係人,請啟動變更管理程式,並在偵測到威脅時套用特定的補救步驟。

與 SIEM、SOAR 和 ITSM 解決方案整合

適用於雲端的 Defender 可以將安全性警示串流至最受歡迎的 SIEM、SOAR 和 ITSM 解決方案。 有 Azure 原生工具,可確保您能夠在現今使用的所有最熱門解決方案中檢視警示資料,包括:

  • Microsoft Sentinel
  • Splunk Enterprise and Splunk Cloud
  • IBM 的 QRadar
  • ServiceNow
  • ArcSight
  • Power BI
  • Palo Alto Networks

與 Microsoft Sentinel 整合

適用於雲端的 Defender 與 Microsoft Sentinel (Microsoft 的 SIEM/SOAR 解決方案) 原生整合。

有兩種方法可確保適用於雲端的 Defender 資料在 Microsoft Sentinel 中呈現:

搭配 Microsoft Graph 安全性 API 串流警示

適用於雲端的 Defender 與 Microsoft Graph 安全性 API 有現用的整合。 不需要設定,也無須支付其他的費用。

您可以使用此 API,將來自整個租用戶的警示 (以及來自許多其他 Microsoft 安全性產品的資料) 串流至協力廠商 SIEM 和其他熱門平台:

使用 Azure 監視器串流警示

使用適用於雲端的 Defender 的連續匯出功能,透過 Azure 事件中樞連接 Azure 監視器,將警示串流至 ArcSightSumoLogic、Syslog 伺服器、LogRhythmLogz.io Cloud Observability Platform 及其他監視解決方案。

深入瞭解如何將警示串流至監視解決方案

與 EDR 解決方案整合

適用於端點的 Microsoft Defender

適用於端點的 Defender 是全方位的雲端交付端點安全性解決方案。 適用於雲端的 Defender 伺服器工作負載方案 (適用於伺服器的 Defender) 包括適用於端點的 Defender 的整合式授權。 整體可提供完整的 EDR 功能。 深入瞭解如何保護端點

適用於端點的 Defender 偵測到威脅時會觸發警示。 警示會顯示在適用於雲端的 Defender 中。 從「適用於雲端的 Defender」,您可以切換至「適用於端點的 Defender」主控台,然後詳細調查找出攻擊的範圍。

其他 EDR 解決方案

適用於雲端的 Defender 提供 EDR 解決方案支援版本的健康情況評估。

適用於雲端的 Defender 會根據 Microsoft 安全性基準提供建議。 基礎檢驗中的其中一個控制件與端點安全性有關:ES-1:使用端點偵測和回應 (EDR)。 有兩個建議可確保您已啟用端點保護,且其運作良好。 深入瞭解適用於雲端的 Defender 中,支援的 EDR 解決方案評估

下一步

開始規劃多雲端保護