Создание второго уровня защиты с помощью служб безопасности Microsoft Defender XDR

Microsoft Defender для Office 365
Microsoft Defender для облачных приложений
Microsoft Defender для удостоверений
Microsoft 365
Microsoft Endpoint Manager

Идеи решения

В этой статье описывается идея решения. Ваш архитектор облака может использовать это руководство, чтобы визуализировать основные компоненты для типичной реализации этой архитектуры. Используйте эту статью в качестве отправной точки для разработки хорошо спроектированного решения, которое соответствует конкретным требованиям рабочей нагрузки.

Многие организации работают в гибридной среде с ресурсами, размещенными как в Azure, так и в локальной среде. Большинство Azure ресурсов, таких как виртуальные машины, Azure приложения и Microsoft Entra ID, можно защитить с помощью встроенных служб безопасности Azure.

Кроме того, организации часто подписываются на Microsoft 365 для предоставления пользователям таких приложений, как Word, Excel, PowerPoint и Exchange Online. Microsoft 365 также предлагает службы безопасности, которые можно использовать для добавления дополнительного уровня защиты к некоторым наиболее широко используемым Azure ресурсам.

Чтобы эффективно использовать Microsoft 365 службы безопасности, важно понимать ключевые терминологии и структуру служб Microsoft 365. Эта четвертая статья в серии из пяти изучает эти темы более подробно, основываясь на концепциях, описанных в предыдущих статьях, особенно:

Microsoft 365 и Office 365 — это облачные службы, предназначенные для решения потребностей организации в обеспечении надежной безопасности, надежности и повышения производительности пользователей. Microsoft 365 включает такие службы, как Power Automate, Microsoft Forms, Stream, Sway и Office 365. Office 365 специально включает знакомый набор приложений для повышения производительности. Дополнительные сведения о параметрах подписки для этих двух служб см. в разделе Microsoft 365 и параметры плана Office 365.

В зависимости от лицензии, которую вы приобрели для Microsoft 365, вы также можете получить службы безопасности для Microsoft 365. Эти службы безопасности называются Microsoft Defender XDR, которые предоставляют несколько служб:

  • Microsoft Defender for Endpoint (средство защиты для конечных точек)
  • Microsoft Defender for Identity
  • Microsoft Defender для Office
  • Microsoft Defender для облачных приложений
  • Доступ к Microsoft Defender for Cloud Apps через "security.microsoft.com" отличается от "Microsoft Defender for Cloud", который является другим решением безопасности, доступ к которому осуществляется через "portal.azure.com".

На следующей схеме показана связь решений и основных служб, которые Microsoft 365 предлагает, хотя перечислены не все службы.

Diagram служб и продуктов, входящих в состав Microsoft 365.

Возможные сценарии использования

Люди часто путаются в службе безопасности Microsoft 365 и ее роли в кибербезопасности ИТ. Основной причиной этой путаницы является сходство имен, включая некоторые Azure службы безопасности, такие как Microsoft Defender for Cloud (ранее Azure Security Center) и Defender для облачных приложений (ранее Microsoft Cloud App Security).

Однако путаница выходит за рамки терминологии. Некоторые службы обеспечивают аналогичную защиту, но для различных ресурсов. Например, Defender для Identity и Azure Identity Protection оба защищают службы идентификации, но Defender для Identity защищает локальные идентификации (через Active Directory Domain Services и аутентификацию Kerberos), в то время как Azure Identity Protection защищает облачные идентификации (через Microsoft Entra ID и аутентификацию OAuth).

В этих примерах подчеркивается важность понимания того, как службы безопасности Microsoft 365 отличаются от служб безопасности Azure. Получив это представление, вы можете более эффективно спланировать стратегию безопасности в облаке Майкрософт, сохраняя надежную защиту для ит-среды. Эта статья направлена на то, чтобы помочь вам достичь этого.

На следующей схеме представлен реальный вариант использования служб безопасности Microsoft Defender XDR. В нем показаны ресурсы, требующие защиты, службы, работающие в среде, и некоторые потенциальные угрозы. Microsoft Defender XDR службы расположены в середине, защищая ресурсы организации от этих угроз.

Diagram, показывающий угрозы, порядок атак, целевые ресурсы и службы Microsoft Defender XDR, которые могут обеспечить защиту.

Архитектура

Решение расширенного обнаружения и реагирования (XDR) Корпорации Майкрософт, известное как Microsoft Defender XDR, интегрирует несколько средств безопасности и служб для обеспечения единой защиты, обнаружения и реагирования между конечными точками, удостоверениями, электронными письмами, приложениями и облачными средами. Она объединяет расширенную аналитику угроз, автоматизацию и аналитику на основе искусственного интеллекта для обнаружения и реагирования на сложные киберугрозы в режиме реального времени, что позволяет командам безопасности быстро устранять риски и уменьшать влияние атак. Благодаря консолидации данных безопасности из различных источников Microsoft Defender XDR помогает организациям достичь комплексной, упрощенной защиты во всей ИТ-инфраструктуре.

На следующей схеме показан слой, помеченный как DEFENDER, представляющий службы безопасности Microsoft Defender XDR. Добавление этих служб в ИТ-среду помогает повысить защиту среды. Службы на уровне Defender могут работать с Azure службами безопасности.

Схема служб, угроз и служб безопасности, которые можно настроить для защиты ресурсов в среде I T.

Скачайте файл в формате Visio этой архитектуры.

©2021 г. Корпорация MITRE. Эта работа воспроизводится и распространяется с разрешением корпорации MITRE.

Рабочий процесс

  1. Microsoft Defender for Endpoint

    Defender для Endpoint защищает конечные устройства в вашем предприятии и разработан для помощи в предотвращении, обнаружении, исследовании и реагировании на сложные угрозы. Он создает уровень защиты для виртуальных машин, работающих в Azure и локальной среде. Дополнительные сведения о том, что он может защитить, см. в разделе Microsoft Defender for Endpoint.

  2. Microsoft Defender for Cloud Apps

    Ранее известный как Microsoft Cloud Application Security, Defender for Cloud Apps — это брокер безопасности доступа к облачным приложениям (CASB), поддерживающий несколько режимов развертывания. Эти режимы включают коллекцию журналов, соединители API и обратный прокси-сервер. Он позволяет следить за состоянием данных и контролировать их перемещение, а тщательная аналитика помогает обезвреживать киберугрозы во всех облачных службах Майкрософт и сторонних поставщиков. Он обеспечивает защиту и устранение рисков для облачных приложений и даже для некоторых приложений, работающих в локальной среде. Он также предоставляет уровень защиты для пользователей, обращающихся к этим приложениям. Дополнительные сведения см. в обзоре Microsoft Defender for Cloud Apps.

    Важно не путать Defender для облачных приложений с Microsoft Defender for Cloud, которая предоставляет рекомендации и оценку состояния безопасности серверов, приложений, учетных записей хранения и других ресурсов, работающих в Azure, локальных и других облаках. Defender для облака объединяет две предыдущие службы, Azure Security Center и Azure Defender.

  3. Microsoft Defender для Office

    Defender для Office 365 защищает вашу организацию от вредоносных угроз, создаваемых сообщениями электронной почты, ссылками (URL-адресами) и средствами совместной работы. Она обеспечивает защиту электронной почты и совместной работы. В зависимости от лицензии вы можете добавить расследование после нарушения, охоту и реагирование, а также автоматизацию и имитацию (для обучения). Дополнительные сведения о параметрах лицензирования см. в разделе Microsoft Defender for Office 365 обзор безопасности.

  4. Microsoft Defender for Identity

    Defender for Identity — это облачное решение для безопасности, которое использует сигналы локального Active Directory для идентификации, обнаружения и расследования сложных угроз, скомпрометированных удостоверений и вредоносных действий инсайдера, направленных на вашу организацию. Он защищает Active Directory Domain Services (AD DS), которые выполняются локально. Несмотря на то, что эта служба функционирует в облаке, она направлена на защиту идентичностей в локальной среде. Defender для идентификации ранее назывался Azure Advanced Threat Protection. Дополнительные сведения см. в разделе Что такое Microsoft Defender for Identity?

    Если вам нужна защита для удостоверений, предоставляемых Microsoft Entra ID и работающих в облаке, рассмотрите Microsoft Entra ID Protection.

  5. Intune (ранее часть Microsoft Endpoint Manager

Microsoft Intune — это облачная служба, которая помогает организациям управлять и защищать свои устройства, приложения и данные. Это позволяет ИТ-администраторам управлять тем, как используются такие корпоративные устройства, как ноутбуки, смартфоны и планшеты, обеспечивая соответствие политикам безопасности. С помощью Intune можно применять конфигурации устройств, развертывать программное обеспечение, управлять мобильными приложениями и защищать корпоративные данные с помощью таких функций, как условный доступ и удаленная очистка. Это особенно полезно для обеспечения безопасной удаленной работы, управления корпоративными и личными устройствами (BYOD) и обеспечения безопасности данных на различных платформах, таких как Windows, iOS, Android и macOS.

Другая служба, которая была частью Endpoint Manager, — это Configuration Manager, локальное решение управления, которое позволяет управлять клиентскими и серверными компьютерами, подключенными напрямую или через Интернет. Вы можете включить облачную функциональность для интеграции Configuration Manager с Intune, Microsoft Entra ID, Defender для конечной точки и других облачных служб. Используйте его для развертывания приложений, обновлений программного обеспечения и операционных систем. Вы также можете отслеживать соответствие, запрашивать объекты, действовать на клиентах в режиме реального времени и многое другое. Сведения обо всех доступных службах см. в статье "Управление конечными точками" в Корпорации Майкрософт.

Порядок атак примерных угроз

Угрозы, именованные на схеме, соответствуют общему заказу атаки:

  1. Злоумышленник отправляет фишинговое сообщение с вредоносными программами, подключенными к нему.

  2. Конечный пользователь открывает подключенную вредоносную программу.

  3. Вредоносные программы устанавливаются в серверной части без уведомления пользователя.

  4. Установленная вредоносная программа украдет учетные данные некоторых пользователей.

  5. Злоумышленник использует учетные данные для получения доступа к конфиденциальным учетным записям.

  6. Если учетные данные предоставляют доступ к учетной записи с повышенными привилегиями, злоумышленник компрометирует дополнительные системы.

На диаграмме также показан слой с названием DEFENDER, который службы Microsoft Defender XDR могут отслеживать и использовать для противодействия этим атакам. Это пример того, как Defender предоставляет дополнительный уровень безопасности, который работает с Azure службами безопасности, чтобы обеспечить дополнительную защиту ресурсов, отображаемых на схеме. Дополнительные сведения о том, как потенциальные атаки угрожают ИТ-среде, см. во второй статье этой серии, Карта угроз для вашей ИТ-среды. Дополнительные сведения о Microsoft Defender XDR см. в разделе Microsoft Defender XDR.

Доступ к службам безопасности Microsoft Defender XDR и управление ими

На следующей схеме показаны доступные порталы и их связи друг с другом. Во время обновления для этой статьи некоторые из этих порталов могут быть уже устаревшими.

Схема, показывающая текущую связь порталов с службами.

Security.microsoft.com в настоящее время является самым важным порталом, так как он предоставляет функциональные возможности из Microsoft Defender for Office 365 (1), Defender для конечных точек (2), Microsoft Defender for Office (3), Defender для удостоверений (5), Defender для приложений (4) и Microsoft Sentinel.

Важно отметить, что Microsoft Sentinel имеет некоторые функции, которые по-прежнему выполняются только на портале Azure (portal.azure. com).

Наконец, endpoint.microsoft.com предоставляет функции в основном для Intune и Configuration Manager, но и для других служб, которые являются частью Endpoint Manager. Так как security.microsoft.com и endpoint.microsoft.com обеспечивают защиту безопасности для конечных точек, у них много взаимодействий друг с другом (9), чтобы обеспечить высокую степень безопасности для ваших конечных точек.

Компоненты

В примере архитектуры в этой статье используются следующие Azure компоненты:

  • Microsoft Entra ID — это облачная служба управления удостоверениями и доступом. Microsoft Entra ID помогает пользователям получать доступ к внешним и внутренним ресурсам. В этой архитектуре Microsoft Entra ID выполняет проверку подлинности пользователей, обращаюющихся к приложениям Microsoft 365, Azure и программному обеспечению как услуга (SaaS). Он служит основой идентификации для обнаружения угроз и реагирования.

  • Azure Virtual Network — это сетевая служба в Azure, которая обеспечивает безопасный обмен данными между ресурсами Azure, Интернетом и локальными сетями. В этой архитектуре она предоставляет инфраструктуру частной сети, которая поддерживает безопасное подключение и сегментацию рабочих нагрузок, которые Microsoft Defender XDR защищает.

  • Azure Load Balancer — это высокопроизводительная служба балансировки нагрузки уровня 4 для протокола TCP и протокола UDP. В этой архитектуре обеспечивается высокий уровень доступности и масштабируемость служб, работающих в Azure путем распределения трафика между виртуальными машинами и контейнерами.

  • Azure Virtual Machines — это предложение инфраструктуры как услуга (IaaS), которое предоставляет масштабируемые вычислительные ресурсы. В этой архитектуре виртуальные машины размещают рабочие нагрузки, которые Microsoft Defender for Endpoint отслеживают и защищают в рамках решения Microsoft Defender XDR.

  • Azure Kubernetes Service (AKS) — это управляемая служба Kubernetes для развертывания контейнерных приложений и управления ими. В этой архитектуре AKS выполняет контейнерные рабочие нагрузки, которые интегрируются в платформу обнаружения угроз и реагирования на Microsoft Defender XDR.

  • Azure Virtual Desktop — это служба виртуализации рабочих столов и приложений, которая обеспечивает безопасный удаленный доступ к облачным рабочим столам. В этой архитектуре она поддерживает удаленных пользователей. Microsoft Defender for Endpoint мониторит виртуальные рабочие столы для выявления и нейтрализации угроз конечных точек.

  • Функциональность Web Apps Azure App Service размещает веб-приложения, REST API и мобильные серверные компоненты. Вы можете развиваться на выбранном языке. Приложения выполняются и масштабируются с легкостью в Windows и средах под управлением Linux. В этой архитектуре Web Apps размещает HTTP-приложения, которые защищены с помощью интегрированных функций безопасности и отслеживает угрозы.

  • Azure Storage — это масштабируемая и безопасная служба хранения для различных объектов данных в облаке, включая объект, большой двоичный объект, файл, диск, очередь и хранилище таблиц. Azure Storage шифрует все данные, записанные в учетную запись Azure storage. Он обеспечивает точное управление доступом к данным. В этой архитектуре он хранит данные приложения и системы и защищается Defender для облака, чтобы обеспечить целостность данных и управление доступом.

  • Azure SQL Database — управляемый реляционный движок базы данных, который автоматизирует обновление, резервное копирование и мониторинг. В этой архитектуре хранятся структурированные данные и извлекается выгода из встроенных функций безопасности, которые соответствуют возможностям защиты от угроз XDR с помощью Microsoft Defender.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участниками.

Основной автор:

Другие участники:

Следующие шаги

Дополнительные сведения об этой эталонной архитектуре см. в других статьях этой серии: