Поделиться через

Создание второго уровня защиты с помощью служб безопасности XDR в Microsoft Defender

Microsoft Defender для Office 365
Microsoft Defender для облачных приложений
Microsoft Defender для удостоверений
Microsoft 365
Microsoft Endpoint Manager

Идеи решения

В этой статье описывается идея решения. Ваш архитектор облака может использовать это руководство, чтобы визуализировать основные компоненты для типичной реализации этой архитектуры. Используйте эту статью в качестве отправной точки для разработки хорошо спроектированного решения, которое соответствует конкретным требованиям рабочей нагрузки.

Многие организации работают в гибридной среде с ресурсами, размещенными как в Azure, так и в локальной среде. Большинство ресурсов Azure, таких как виртуальные машины, приложения Azure и идентификатор Microsoft Entra, можно защитить с помощью встроенных служб безопасности Azure.

Кроме того, организации часто подписываются на Microsoft 365 для предоставления пользователям таких приложений, как Word, Excel, PowerPoint и Exchange Online. Microsoft 365 также предлагает службы безопасности, которые можно использовать для добавления дополнительного уровня защиты к некоторым наиболее широко используемым ресурсам Azure.

Чтобы эффективно использовать службы безопасности Microsoft 365, важно понимать ключевые термины и структуру служб Microsoft 365. Эта четвертая статья в серии из пяти изучает эти темы более подробно, основываясь на концепциях, описанных в предыдущих статьях, особенно:

Microsoft 365 и Office 365 — это облачные службы, предназначенные для решения потребностей вашей организации в обеспечении надежной безопасности, надежности и повышения производительности пользователей. Microsoft 365 включает такие службы, как Power Automate, Forms, Stream, Sway и Office 365. Office 365 специально включает знакомый набор приложений для повышения производительности. Дополнительные сведения о вариантах подписки для этих двух служб см. в параметрах плана Microsoft 365 и Office 365.

В зависимости от лицензии, которую вы приобрели для Microsoft 365, вы также можете получить службы безопасности для Microsoft 365. Эти услуги безопасности называются Microsoft Defender XDR, которые предоставляют несколько услуг:

  • Microsoft Defender для конечной точки;
  • Microsoft Defender для идентификации
  • Microsoft Defender для Office
  • Microsoft Defender для облачных приложений
  • Доступ к Microsoft Defender для облачных приложений с помощью "security.microsoft.com" отличается от "Microsoft Defender для облака", который является другим решением безопасности, доступ к которому осуществляется через "portal.azure.com".

На следующей схеме показана связь решений и основных служб, предоставляемых Microsoft 365, однако не все службы перечислены.

Схема служб и продуктов, входящих в состав Microsoft 365.

Возможные сценарии использования

Люди часто путаются в службах безопасности в Microsoft 365 и их роли в ИТ-кибербезопасности. Основной причиной этой путаницы является сходство имен, включая некоторые службы безопасности Azure, такие как Microsoft Defender для облака (ранее Центр безопасности Azure) и приложения Defender для облака (ранее Microsoft Cloud App Security).

Однако путаница выходит за рамки терминологии. Некоторые службы обеспечивают аналогичную защиту, но для различных ресурсов. Например, Defender для Identity и Azure Identity Protection защищают службы удостоверений, но Defender для Identity защищает локальные идентичности (с помощью службы домена Active Directory и проверки подлинности Kerberos), а Azure Identity Protection защищает облачные идентичности (через Microsoft Entra ID и проверку подлинности OAuth).

В этих примерах подчеркивается важность понимания того, как службы безопасности Microsoft 365 отличаются от служб безопасности Azure. Получив это представление, вы можете более эффективно спланировать стратегию безопасности в облаке Майкрософт, сохраняя надежную защиту для ит-среды. Эта статья направлена на то, чтобы помочь вам достичь этого.

На следующей схеме представлен реальный сценарий использования для служб обеспечения безопасности Microsoft Defender XDR. В нем показаны ресурсы, требующие защиты, службы, работающие в среде, и некоторые потенциальные угрозы. Службы XDR в Microsoft Defender расположены в середине, защищая ресурсы организации от этих угроз.

Схема, показывая угрозы, порядок атак, целевые ресурсы и службы XDR в Microsoft Defender, которые могут обеспечить защиту.

Архитектура

Решение расширенного обнаружения и ответа (XDR) Майкрософт, известное как XDR в Microsoft Defender, интегрирует несколько средств безопасности и служб для обеспечения единой защиты, обнаружения и реагирования между конечными точками, удостоверениями, электронными письмами, приложениями и облачными средами. Она объединяет расширенную аналитику угроз, автоматизацию и аналитику на основе искусственного интеллекта для обнаружения и реагирования на сложные киберугрозы в режиме реального времени, что позволяет командам безопасности быстро устранять риски и уменьшать влияние атак. Благодаря консолидации данных безопасности из различных источников, Microsoft Defender XDR помогает организациям достичь комплексной, упрощенной защиты во всей ИТ-инфраструктуре.

На следующей схеме показан слой, помеченный как DEFENDER, представляющий службы безопасности XDR в Microsoft Defender. Добавление этих служб в ИТ-среду помогает повысить защиту среды. Службы на уровне Defender могут работать со службами безопасности Azure.

Схема служб, угроз и служб безопасности, которые можно настроить для защиты ресурсов в среде I T.

Скачайте файл Visio для этой архитектуры.

©2021 г. Корпорация MITRE. Эта работа воспроизводится и распространяется с разрешением корпорации MITRE.

Рабочий процесс

  1. Microsoft Defender для конечных устройств

    Defender для Endpoint защищает конечные устройства в вашем предприятии и разработан для помощи в предотвращении, обнаружении, исследовании и реагировании на сложные угрозы. Он создает уровень защиты для виртуальных машин, работающих в Azure и локальной среде. Дополнительные сведения о том, что он может защитить, см. в Microsoft Defender for Endpoint.

  2. Microsoft Defender for Cloud Apps

    Ранее известный как Microsoft Cloud Application Security, Defender for Cloud Apps — это брокер безопасности доступа к облачным приложениям (CASB), поддерживающий несколько режимов развертывания. Эти режимы включают коллекцию журналов, соединители API и обратный прокси-сервер. Он позволяет следить за состоянием данных и контролировать их перемещение, а тщательная аналитика помогает обезвреживать киберугрозы во всех облачных службах Майкрософт и сторонних поставщиков. Он обеспечивает защиту и устранение рисков для облачных приложений и даже для некоторых приложений, работающих в локальной среде. Он также предоставляет уровень защиты для пользователей, обращающихся к этим приложениям. Для получения дополнительной информации см. обзор Microsoft Defender for Cloud Apps.

    Важно не путать приложения Defender для облака с Microsoft Defender для облака, которые предоставляют рекомендации и оценку состояния безопасности серверов, приложений, учетных записей хранения и других ресурсов, работающих в Azure, локальной среде и других облаках. Defender для облака объединяет две предыдущие службы, Центр безопасности Azure и Azure Defender.

  3. Microsoft Defender для Office

    Defender для Office 365 защищает вашу организацию от вредоносных угроз, создаваемых сообщениями электронной почты, ссылками (URL-адресами) и средствами совместной работы. Она обеспечивает защиту электронной почты и совместной работы. В зависимости от лицензии вы можете добавить расследование после нарушения, охоту и реагирование, а также автоматизацию и имитацию (для обучения). Дополнительные сведения о параметрах лицензирования см. в обзоре безопасности Microsoft Defender для Office 365.

  4. Microsoft Defender для идентификации

    Защитник идентификации — это облачное решение для безопасности, которое использует сигналы локальной службы Active Directory для выявления, обнаружения и исследования сложных угроз, скомпрометированных удостоверений и вредоносных действий инсайдеров, направленных на вашу организацию. Она защищает службы домен Active Directory (AD DS), которые выполняются локально. Несмотря на то, что эта служба функционирует в облаке, она направлена на защиту идентичностей в локальной среде. Defender for Identity ранее назывался Azure Advanced Threat Protection. Дополнительные сведения см. в разделе "Что такое Microsoft Defender для удостоверений?"

    Если вам нужна защита для удостоверений, предоставляемых Microsoft Entra ID и работающих непосредственно в облаке, рассмотрите Microsoft Entra ID Protection.

  5. Intune (ранее — часть Microsoft Endpoint Manager

Microsoft Intune — это облачная служба, которая помогает организациям управлять и защищать свои устройства, приложения и данные. Это позволяет ИТ-администраторам управлять тем, как используются такие корпоративные устройства, как ноутбуки, смартфоны и планшеты, обеспечивая соответствие политикам безопасности. С помощью Intune можно применять конфигурации устройств, развертывать программное обеспечение, управлять мобильными приложениями и защищать корпоративные данные с помощью таких функций, как условный доступ и удаленная очистка. Это особенно полезно для обеспечения безопасной удаленной работы, управления корпоративными и личными устройствами (BYOD) и обеспечения безопасности данных на различных платформах, таких как Windows, iOS, Android и macOS.

Другая служба, которая была частью Endpoint Manager, — это локальное решение для управления клиентами и серверами, подключенными напрямую или через Интернет. Вы можете включить облачную функциональность для интеграции Configuration Manager с Intune, Идентификатором Microsoft Entra, Defender для конечной точки и другими облачными службами. Используйте его для развертывания приложений, обновлений программного обеспечения и операционных систем. Вы также можете отслеживать соответствие, запрашивать объекты, действовать на клиентах в режиме реального времени и многое другое. Дополнительные сведения обо всех доступных службах см. в обзоре Microsoft Endpoint Manager.

Порядок атак примерных угроз

Угрозы, именованные на схеме, соответствуют общему заказу атаки:

  1. Злоумышленник отправляет фишинговое сообщение с вредоносными программами, подключенными к нему.

  2. Конечный пользователь открывает подключенную вредоносную программу.

  3. Вредоносные программы устанавливаются в серверной части без уведомления пользователя.

  4. Установленная вредоносная программа украдет учетные данные некоторых пользователей.

  5. Злоумышленник использует учетные данные для получения доступа к конфиденциальным учетным записям.

  6. Если учетные данные предоставляют доступ к учетной записи с повышенными привилегиями, злоумышленник компрометирует дополнительные системы.

На схеме также показан уровень, помеченный как DEFENDER, который службы Microsoft Defender XDR могут отслеживать и устранять эти атаки. Это пример того, как Defender предоставляет дополнительный уровень безопасности, который работает со службами безопасности Azure, чтобы обеспечить дополнительную защиту ресурсов, отображаемых на схеме. Дополнительные сведения о том, как потенциальные атаки угрожают ИТ-среде, см. во второй статье этой серии, Карта угроз для вашей ИТ-среды. Дополнительные сведения о XDR в Microsoft Defender см. в разделе XDR в Microsoft Defender.

Доступ к службам безопасности XDR в Microsoft Defender и управление ими

На следующей схеме показаны доступные порталы и их связи друг с другом. Во время обновления для этой статьи некоторые из этих порталов могут быть уже устаревшими.

Схема, показывающая текущую связь порталов с службами.

Security.microsoft.com в настоящее время является самым важным порталом, так как он предоставляет функциональные возможности из Microsoft Defender для Office 365 (1), от Defender для конечной точки (2), от Defender для Office (3), Defender для удостоверений (5), Defender для приложений (4), и от Microsoft Sentinel.

Важно отметить, что Microsoft Sentinel имеет некоторые функции, которые по-прежнему выполняются только на портале Azure (portal.azure.com).

Наконец, endpoint.microsoft.com предоставляет функциональные возможности в основном для Intune и Configuration Manager, но и для других служб, которые являются частью Endpoint Manager. Так как security.microsoft.com и endpoint.microsoft.com обеспечивают защиту безопасности для конечных точек, у них много взаимодействий друг с другом (9), чтобы обеспечить высокую степень безопасности для ваших конечных точек.

Компоненты

В примере архитектуры в этой статье используются следующие компоненты Azure:

  • Microsoft Entra ID — это облачная служба управления удостоверениями и доступом. Идентификатор Microsoft Entra помогает пользователям получать доступ к внешним и внутренним ресурсам. В этой архитектуре идентификатор Microsoft Entra проверяет подлинность пользователей, обращаюющихся к приложениям Microsoft 365, Azure и программному обеспечению как услуга (SaaS). Он служит основой идентификации для обнаружения угроз и реагирования.

  • Виртуальная сеть Azure — это сетевая служба в Azure, которая обеспечивает безопасный обмен данными между ресурсами Azure, Интернетом и локальными сетями. В этой архитектуре она предоставляет инфраструктуру частной сети, которая поддерживает безопасное подключение и сегментацию рабочих нагрузок, защищенных Microsoft Defender XDR.

  • Azure Load Balancer — это высокопроизводительная служба балансировки нагрузки уровня 4 для протокола TCP и трафика протокола UDP. В этой архитектуре обеспечивается высокий уровень доступности и масштабируемость служб, работающих в Azure, путем распределения трафика между виртуальными машинами и контейнерами.

  • Виртуальные машины Azure — это предложение инфраструктуры как службы (IaaS), которое предоставляет масштабируемые вычислительные ресурсы. В этой архитектуре виртуальные машины размещают рабочие нагрузки, которые Microsoft Defender для конечных точек отслеживает и защищает в рамках решения Microsoft Defender XDR.

  • Служба Azure Kubernetes (AKS) — это управляемая служба Kubernetes для развертывания контейнерных приложений и управления ими. В этой архитектуре AKS выполняет контейнерные рабочие нагрузки, которые интегрируются в платформу обнаружения угроз и реагирования XDR в Microsoft Defender.

  • Виртуальный рабочий стол Azure — это служба виртуализации рабочих столов и приложений, которая обеспечивает безопасный удаленный доступ к облачным рабочим столам. В этой архитектуре она поддерживает удаленных пользователей. Microsoft Defender for Endpoint мониторит виртуальные рабочие столы для выявления и нейтрализации угроз конечных точек.

  • Функция веб-приложений службы приложений Azure размещает веб-приложения, REST API и мобильные серверные части. Вы можете развиваться на выбранном языке. Приложения без затруднений работают и масштабируются в средах на основе Windows и Linux. В этой архитектуре веб-приложения размещают HTTP-ориентированные приложения, которые защищены с помощью интегрированных функций безопасности и контролируются на наличие угроз.

  • Служба хранилища Azure — это масштабируемая и безопасная служба хранения для различных объектов данных в облаке, включая объект, большой двоичный объект, файл, диск, очередь и хранилище таблиц. Служба хранилища Azure шифрует все данные, записанные в учетную запись хранения Azure. Он обеспечивает точное управление доступом к данным. В этой архитектуре он хранит данные приложения и системы и защищается Defender для облака, чтобы обеспечить целостность данных и управление доступом.

  • База данных Azure SQL — это управляемый реляционный движок базы данных, автоматизирующий обновление, резервное копирование и мониторинг. В этой архитектуре хранятся структурированные данные и извлекается выгода из встроенных функций безопасности, которые соответствуют возможностям защиты от угроз XDR с помощью Microsoft Defender.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участниками.

Основной автор:

Другие участники:

Следующие шаги

Дополнительные сведения об этой эталонной архитектуре см. в других статьях этой серии: