Создание второго уровня защиты с помощью служб безопасности XDR в Microsoft Defender

Microsoft Defender для Office 365;
Microsoft Defender для облачных приложений
Microsoft Defender для удостоверений
Microsoft 365
Microsoft Endpoint Manager

Идеи решения

В этой статье описывается идея решения. Ваш архитектор облака может использовать это руководство, чтобы визуализировать основные компоненты для типичной реализации этой архитектуры. Используйте эту статью в качестве отправной точки для разработки хорошо спроектированного решения, которое соответствует конкретным требованиям рабочей нагрузки.

Многие организации работают в гибридной среде с ресурсами, размещенными как в Azure, так и в локальной среде. Большинство ресурсов Azure, таких как виртуальные машины, приложения Azure и идентификатор Microsoft Entra, можно защитить с помощью встроенных служб безопасности Azure.

Кроме того, организации часто подписываются на Microsoft 365 для предоставления пользователям таких приложений, как Word, Excel, PowerPoint и Exchange Online. Microsoft 365 также предлагает службы безопасности, которые можно использовать для добавления дополнительного уровня защиты к некоторым наиболее широко используемым ресурсам Azure.

Чтобы эффективно использовать службы безопасности Microsoft 365, важно понимать ключевые термины и структуру служб Microsoft 365. Эта четвертая статья в серии из пяти изучить эти темы более подробно, основываясь на концепциях, описанных в предыдущих статьях, особенно:

Microsoft 365 и Office 365 — это облачные службы, предназначенные для решения потребностей вашей организации в обеспечении надежной безопасности, надежности и повышения производительности пользователей. Microsoft 365 включает такие службы, как Power Automate, Forms, Stream, Sway и Office 365. Office 365 специально включает знакомый набор приложений для повышения производительности. Дополнительные сведения о вариантах подписки для этих двух служб см. в параметрах плана Microsoft 365 и Office 365.

В зависимости от лицензии, которую вы приобрели для Microsoft 365, вы также можете получить службы безопасности для Microsoft 365. Эти службы безопасности называются XDR в Microsoft Defender, которая предоставляет несколько служб:

  • Microsoft Defender для конечной точки (MDE)
  • Microsoft Defender для удостоверений (MDI)
  • Microsoft Defender для Office (MDO)
  • приложения Microsoft Defender для облака (MDA)
  • Доступ к приложениям Microsoft Defender для облака через "security.microsoft.com" отличается от "Microsoft Defender для облака", который является другим решением безопасности, доступ к которому осуществляется через "portal.azure.com".

На следующей схеме показана связь решений и основных служб, предоставляемых Microsoft 365, однако не все службы перечислены.

Схема служб и продуктов, входящих в состав Microsoft 365.

Возможные сценарии использования

Люди часто путаются о службах безопасности Microsoft 365 и их роли в ИТ-кибербезопасности. Основной причиной этой путаницы является сходство имен, включая некоторые службы безопасности Azure, такие как Microsoft Defender для облака (ранее Центр безопасности Azure) и приложения Defender для облака (ранее Microsoft Cloud App Security).

Однако путаница выходит за рамки терминологии. Некоторые службы обеспечивают аналогичную защиту, но для различных ресурсов. Например, Defender для удостоверений и Защиты идентификации Azure защищают службы удостоверений, но Defender для удостоверений защищает локальные удостоверения (с помощью проверки подлинности домен Active Directory служб и Kerberos), а Защита идентификации Azure защищает облачные удостоверения (через идентификатор Microsoft Entra и проверку подлинности OAuth).

В этих примерах подчеркивается важность понимания того, как службы безопасности Microsoft 365 отличаются от служб безопасности Azure. Получив это представление, вы можете более эффективно спланировать стратегию безопасности в облаке Майкрософт, сохраняя надежную защиту для ит-среды. Эта статья направлена на то, чтобы помочь вам достичь этого.

На следующей схеме представлен реальный вариант использования для служб безопасности XDR в Microsoft Defender. В нем показаны ресурсы, требующие защиты, службы, работающие в среде, и некоторые потенциальные угрозы. Службы XDR в Microsoft Defender расположены в середине, защищая ресурсы организации от этих угроз.

Схема, показывая угрозы, порядок атак, целевые ресурсы и службы XDR в Microsoft Defender, которые могут обеспечить защиту.

Архитектура

Решение расширенного обнаружения и ответа (XDR) Майкрософт, известное как XDR в Microsoft Defender, интегрирует несколько средств безопасности и служб для обеспечения единой защиты, обнаружения и реагирования между конечными точками, удостоверениями, электронными письмами, приложениями и облачными средами. Она объединяет расширенную аналитику угроз, автоматизацию и аналитику на основе искусственного интеллекта для обнаружения и реагирования на сложные киберугрозы в режиме реального времени, что позволяет командам безопасности быстро устранять риски и уменьшать влияние атак. Благодаря консолидации данных безопасности из различных источников XDR в Microsoft Defender помогает организациям достичь комплексной, упрощенной защиты во всей ИТ-инфраструктуре.

На следующей схеме показан слой, помеченный как DEFENDER, представляющий службы безопасности XDR в Microsoft Defender. Добавление этих служб в ИТ-среду помогает повысить защиту среды. Службы на уровне Defender могут работать со службами безопасности Azure.

Схема служб, угроз и служб безопасности, которые можно настроить для защиты ресурсов в среде I T.

Скачайте файл Visio для этой архитектуры.

©2021 г. Корпорация MITRE. Эта работа воспроизводится и распространяется с разрешением корпорации MITRE.

Рабочий процесс

  1. Microsoft Defender для конечной точки

    Defender для конечной точки защищает конечные точки в организации и предназначен для предотвращения, обнаружения, исследования и реагирования на сложные угрозы. Он создает уровень защиты для виртуальных машин, работающих в Azure и локальной среде. Дополнительные сведения о том, что он может защитить, см. в Microsoft Defender для конечной точки.

  2. Microsoft Defender for Cloud Apps

    Ранее известное как Microsoft Cloud Application Security, Defender для облака Apps — это брокер безопасности доступа к облаку (CASB), поддерживающий несколько режимов развертывания. Эти режимы включают коллекцию журналов, соединители API и обратный прокси-сервер. Он позволяет следить за состоянием данных и контролировать их перемещение, а тщательная аналитика помогает обезвреживать киберугрозы во всех облачных службах Майкрософт и сторонних поставщиков. Он обеспечивает защиту и устранение рисков для облачных приложений и даже для некоторых приложений, работающих в локальной среде. Он также предоставляет уровень защиты для пользователей, обращающихся к этим приложениям. Дополнительные сведения см. в Microsoft Defender для облака обзоре приложений.

    Важно не путать приложения Defender для облака с Microsoft Defender для облака, которые предоставляют рекомендации и оценку состояния безопасности серверов, приложений, учетных записей хранения и других ресурсов, работающих в Azure, локальной среде и других облаках. Defender для облака объединяет две предыдущие службы, Центр безопасности Azure и Azure Defender.

  3. Microsoft Defender для Office

    Defender для Office 365 защищает вашу организацию от вредоносных угроз, создаваемых сообщениями электронной почты, ссылками (URL-адресами) и средствами совместной работы. Она обеспечивает защиту электронной почты и совместной работы. В зависимости от лицензии вы можете добавить расследование после нарушения, охоту и реагирование, а также автоматизацию и имитацию (для обучения). Дополнительные сведения о параметрах лицензирования см. в Microsoft Defender для Office 365 обзоре безопасности.

  4. Microsoft Defender для удостоверений

    Defender для удостоверений — это облачное решение для безопасности, которое использует сигналы локальная служба Active Directory для выявления, обнаружения и изучения сложных угроз, скомпрометированных удостоверений и вредоносных действий предварительной оценки, направленных на вашу организацию. Она защищает службы домен Active Directory (AD DS), которые выполняются локально. Несмотря на то, что эта служба работает в облаке, она работает для защиты удостоверений в локальной среде. Defender для удостоверений ранее был назван Azure Advanced Threat Protection. Дополнительные сведения см. в разделе "Что такое Microsoft Defender для удостоверений?"

    Если вам нужна защита для удостоверений, предоставляемых идентификатором Microsoft Entra ID и работающими в облаке, рассмотрите возможность Защита идентификации Microsoft Entra.

  5. Intune (ранее — часть Microsoft Endpoint Manager

Microsoft Intune — это облачная служба, которая помогает организациям управлять и защищать свои устройства, приложения и данные. Это позволяет ИТ-администраторам управлять тем, как используются такие корпоративные устройства, как ноутбуки, смартфоны и планшеты, обеспечивая соответствие политикам безопасности. С помощью Intune можно применять конфигурации устройств, развертывать программное обеспечение, управлять мобильными приложениями и защищать корпоративные данные с помощью таких функций, как условный доступ и удаленная очистка. Это особенно полезно для обеспечения безопасной удаленной работы, управления корпоративными и личными устройствами (BYOD) и обеспечения безопасности данных на различных платформах, таких как Windows, iOS, Android и macOS.

Другая служба, которая была частью Endpoint Manager, — это локальное решение для управления клиентами и серверами, подключенными напрямую или через Интернет. Вы можете включить облачную функциональность для интеграции Configuration Manager с Intune, Идентификатором Microsoft Entra, Defender для конечной точки и другими облачными службами. Используйте его для развертывания приложений, обновлений программного обеспечения и операционных систем. Вы также можете отслеживать соответствие, запрашивать объекты, действовать на клиентах в режиме реального времени и многое другое. Дополнительные сведения обо всех доступных службах см. в обзоре Microsoft Endpoint Manager.

Порядок атак примеров угроз

Угрозы, именованные на схеме, соответствуют общему заказу атаки:

  1. Злоумышленник отправляет фишинговое сообщение с вредоносными программами, подключенными к нему.

  2. Конечный пользователь открывает подключенную вредоносную программу.

  3. Вредоносные программы устанавливаются в серверной части без уведомления пользователя.

  4. Установленная вредоносная программа украдет учетные данные некоторых пользователей.

  5. Злоумышленник использует учетные данные для получения доступа к конфиденциальным учетным записям.

  6. Если учетные данные предоставляют доступ к учетной записи с повышенными привилегиями, злоумышленник компрометирует дополнительные системы.

На схеме также показан уровень, помеченный как DEFENDER , который службы XDR Microsoft Defender могут отслеживать и устранять эти атаки. Это пример того, как Defender предоставляет дополнительный уровень безопасности, который работает со службами безопасности Azure, чтобы обеспечить дополнительную защиту ресурсов, отображаемых на схеме. Дополнительные сведения о том, как потенциальные атаки угрожают ИТ-среде, см. в второй статье этой серии, чтобы сопоставить угрозы с ИТ-средой. Дополнительные сведения о XDR в Microsoft Defender см. в разделе XDR в Microsoft Defender.

Доступ к службам безопасности XDR в Microsoft Defender и управление ими

На следующей схеме показаны доступные порталы и их связи друг с другом. Во время обновления для этой статьи некоторые из этих порталов уже могут быть устаревшими.

Схема, показывающая текущую связь порталов с службами.

Security.microsoft.com в настоящее время является самым важным порталом, так как он предоставляет функциональные возможности из Microsoft Defender для Office 365 (1), от Defender для конечной точки (2), от Defender для Office (3), Defender для удостоверений (5), Defender для приложений (4) и Для Microsoft Sentinel.

Важно отметить, что Microsoft Sentinel имеет некоторые функции, которые по-прежнему выполняются только на портале Azure (portal.azure.com).

Наконец, endpoint.microsoft.com предоставляет функциональные возможности в основном для Intune и Configuration Manager, но и для других служб, которые являются частью Endpoint Manager. Так как security.microsoft.com и endpoint.microsoft.com обеспечить защиту безопасности для конечных точек, они имеют много взаимодействий между ними (9), чтобы обеспечить большую безопасность для конечных точек.

Компоненты

В примере архитектуры в этой статье используются следующие компоненты Azure:

  • Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом. Идентификатор Microsoft Entra помогает пользователям получать доступ к внешним ресурсам, таким как Microsoft 365, портал Azure и тысячи других приложений SaaS. Он также помогает им получать доступ к внутренним ресурсам, таким как приложения в корпоративной сети интрасети.

  • Виртуальная сеть Azure — это фундаментальный строительный блок для вашей частной сети в Azure. виртуальная сеть позволяет многим типам ресурсов Azure безопасно взаимодействовать друг с другом, Интернетом и локальными сетями. виртуальная сеть предоставляет виртуальную сеть, которая обеспечивает преимущества инфраструктуры Azure, например масштабирования, доступности и изоляции.

  • Azure Load Balancer — это высокопроизводительная служба балансировки нагрузки уровня 4 с низкой задержкой (входящий и исходящий) для всех протоколов UDP и TCP. Она разработана для обработки миллионов запросов в секунду, обеспечивая при этом высокую доступность вашего решения. Служба Azure Load Balancer является избыточной между зонами, обеспечивая высокий уровень доступности для разных зон доступности.

  • Виртуальные машины — это один из нескольких типов масштабируемых вычислительных ресурсов, которые предлагает Azure. Виртуальная машина Azure предоставляет гибкие возможности виртуализации без необходимости приобретать и обслуживать физическое оборудование, на котором она выполняется.

  • Служба Azure Kubernetes (AKS) — это полностью управляемая служба Kubernetes для развертывания контейнерных приложений и управления ими. AKS обеспечивает бессерверную службу Kubernetes, непрерывную интеграцию и непрерывную доставку (CI/CD), а также безопасность и управление корпоративным классом.

  • Виртуальный рабочий стол Azure — это облачная служба визуализации рабочих столов и приложений, предоставляющая рабочие столы удаленным пользователям.

  • веб-приложения — это служба на основе HTTP для размещения веб-приложений, REST API и мобильных серверных серверов. Вы можете разрабатывать на выбранном языке, а также запускать и масштабировать приложения с легкостью в средах под управлением Windows и Linux.

  • служба хранилища Azure является высокодоступным, масштабируемым, устойчивым и безопасным хранилищем для различных объектов данных в облаке, включая объект, большой двоичный объект, файл, диск, очередь и хранилище таблиц. Все данные, записанные в учетную запись хранилища Azure, шифруются самой службой. В службе хранилища Azure предоставляется возможность точного управления доступом к данным.

  • База данных SQL Azure — это полностью управляемый ядро СУБД PaaS, обрабатывающее большинство функций управления базами данных , таких как обновление, исправление, резервное копирование и мониторинг. Он предоставляет эти функции без участия пользователей. База данных SQL предоставляет ряд встроенных функций безопасности и соответствия требованиям, которые помогают приложению соответствовать требованиям к безопасности и соответствию требованиям.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участниками.

Автор субъекта:

Другие участники:

Следующие шаги

Дополнительные сведения об этой эталонной архитектуре см. в других статьях этой серии: