Интеграция служб безопасности XDR в Azure и Microsoft Defender

Microsoft Sentinel
Azure Monitor
Microsoft Defender для облака
Azure Log Analytics
Наблюдатель за сетями Azure

Идеи решения

В этой статье описывается идея решения. Ваш архитектор облака может использовать это руководство, чтобы визуализировать основные компоненты для типичной реализации этой архитектуры. Используйте эту статью в качестве отправной точки для разработки хорошо спроектированного решения, которое соответствует конкретным требованиям рабочей нагрузки.

Вы можете укрепить ит-безопасность вашей организации с помощью функций безопасности, доступных в Microsoft 365 и Azure. В этой пятой и последней статье серии объясняется, как интегрировать эти возможности безопасности с помощью служб мониторинга Microsoft Defender XDR и Azure.

Эта статья основана на предыдущих статьях в серии:

  1. Использование мониторинга Azure для интеграции компонентов безопасности предоставляет общее представление о том, как можно интегрировать службы безопасности Azure и Microsoft Defender XDR.

  2. Сопоставление угроз с ИТ-средой описывает методы сопоставления примеров распространенных угроз, тактики и методов с примером гибридной ИТ-среды, которая использует как локальные, так и облачные службы Майкрософт.

  3. Создание первого уровня защиты с помощью служб безопасности Azure сопоставляет пример некоторых служб безопасности Azure, которые создают первый уровень защиты для защиты среды Azure в соответствии с Azure Security Benchmark версии 3.

  4. Создание второго уровня защиты с помощью служб безопасности XDR в Microsoft Defender описывает пример серии атак на ИТ-среду и добавление другого уровня защиты с помощью XDR в Microsoft Defender.

Архитектура

Схема полной эталонной архитектуры для этой пяти статей серии, в которой показаны ИТ-среда, угрозы и службы безопасности.

Скачайте файл Visio для этой архитектуры.

©2021 г. Корпорация MITRE. Эта работа воспроизводится и распространяется с разрешением корпорации MITRE.

На этой схеме показана полная ссылка на архитектуру. Он содержит пример ИТ-среды, набор примеров угроз, которые описаны в соответствии с их тактикой (синим цветом) и их методами (в текстовом поле) в соответствии с матрицой MITRE ATT&CK. Матрица MITRE ATT&CK рассматривается в схеме угроз ит-среды.

На схеме выделено несколько важных служб. Некоторые, такие как Azure Наблюдатель за сетями и Application Insights, сосредоточены на сборе данных из определенных служб. Другие, такие как Log Analytics (также известные как журналы Azure Monitor) и Microsoft Sentinel, служат основными службами, так как они могут собирать, хранить и анализировать данные из широкого спектра служб, независимо от сетей, вычислений или приложений.

В центре схемы находятся два уровня служб безопасности и уровень, выделенный для определенных служб мониторинга Azure, все интегрированные через Azure Monitor (показанные слева на схеме). Ключевым компонентом этой интеграции является Microsoft Sentinel.

На схеме показаны следующие службы в основных службах мониторинга и на уровне монитора:

  • Azure Monitor
  • Служба Log Analytics
  • Microsoft Defender для облака
  • Microsoft Sentinel
  • Наблюдатель за сетями
  • Аналитика трафика (часть Наблюдатель за сетями)
  • Application Insights
  • Аналитика службы хранилища

Рабочий процесс

  1. Azure Monitor — это зонтик для многих служб мониторинга Azure. Она включает управление журналами, метрики и Application Insights, а также другие. Он также предоставляет коллекцию панелей мониторинга, готовых к использованию и управлению оповещениями. Дополнительные сведения см. в обзоре Azure Monitor.

  2. Microsoft Defender для облака предоставляет рекомендации по виртуальным машинам , хранилищу, приложениям и другим ресурсам, которые помогают ИТ-среде соответствовать различным нормативным стандартам, таким как ISO и PCI. В то же время Defender для облака предлагает оценку состояния безопасности систем, которые помогают отслеживать безопасность вашей среды. Defender для облака также предлагает автоматические оповещения, основанные на журналах, которые он собирает и анализирует. Defender для облака ранее был известен как Центр безопасности Azure. Дополнительные сведения см. в Microsoft Defender для облака.

  3. Log Analytics — это одна из самых важных служб. Она отвечает за хранение всех журналов и оповещений, которые используются для создания оповещений, аналитических сведений и инцидентов. Microsoft Sentinel работает на основе Log Analytics. В основном, все данные, которые ingests Log Analytics, доступны автоматически в Microsoft Sentinel. Log Analytics также называется журналами Azure Monitor. Дополнительные сведения см. в статье Обзор Log Analytics в Azure Monitor.

  4. Microsoft Sentinel работает как фасад для Log Analytics. Хотя Log Analytics хранит журналы и оповещения из различных источников, Microsoft Sentinel предлагает API,которые помогают приему журналов из различных источников. Эти источники включают локальные виртуальные машины, виртуальные машины Azure, оповещения от XDR в Microsoft Defender и других службах. Microsoft Sentinel сопоставляет журналы, чтобы предоставить аналитические сведения о том, что происходит в ИТ-среде, избегая ложных срабатываний. Microsoft Sentinel является основой безопасности и мониторинга для облачных служб Майкрософт. Дополнительные сведения о Microsoft Sentinel см. в статье "Что такое Microsoft Sentinel?".

Приведенные выше службы в этом списке являются основными службами, работающими в Azure, Office 365 и локальных средах. Следующие службы сосредоточены на определенных ресурсах:

  1. Наблюдатель за сетями предоставляет средства для мониторинга, диагностики, просмотра метрик и включения или отключения журналов для ресурсов в виртуальной сети Azure. Дополнительные сведения см. в статье "Что такое Azure Наблюдатель за сетями?".

  2. Аналитика трафика является частью Наблюдатель за сетями и работает над журналами из групп безопасности сети (NSG). Аналитика трафика предлагает множество панелей мониторинга, которые могут агрегировать метрики из исходящего и входящего подключения в Azure виртуальная сеть. Дополнительные сведения см. в разделе "Аналитика трафика".

  3. Application Insights фокусируется на приложениях и обеспечивает расширяемое управление производительностью и мониторинг динамических веб-приложений, включая поддержку различных платформ, таких как .NET, Node.js, Java и Python. Application Insights — это компонент Azure Monitor. Дополнительные сведения см. в обзоре Application Insights.

  4. служба хранилища Azure Аналитика выполняет ведение журнала и предоставляет метрики для учетной записи хранения. Данные можно использовать для трассировки запросов, анализа тенденций использования и диагностики проблем с учетной записью хранения. Дополнительные сведения см. в статье "Использование аналитики служба хранилища Azure для сбора журналов и данных метрик".

  5. Так как эта ссылка на архитектуру основана на microsoft Zero Trust, службы и компоненты в разделе "Инфраструктура и конечная точка" не имеют конкретных служб мониторинга. Журналы Azure Monitor и Defender для облака — это основные службы, которые собирают, хранят и анализируют журналы из виртуальных машин и других вычислительных служб.

Центральным компонентом этой архитектуры является Microsoft Sentinel. Он объединяет все журналы и оповещения, созданные службами безопасности Azure, XDR Microsoft Defender и Azure Monitor. После реализации и получения журналов и оповещений microsoft Sentinel из источников, описанных в этой статье, необходимо сопоставить запросы с этими журналами для сбора аналитических сведений и обнаружения индикаторов компрометации (IOCs). Когда Microsoft Sentinel захватывает эти сведения, вы можете исследовать их вручную или активировать автоматические ответы, настроенные для устранения или устранения инцидентов. Автоматические действия могут включать блокировку пользователя в идентификаторе Записи Майкрософт или блокировку IP-адреса с помощью брандмауэра.

Дополнительные сведения о Microsoft Sentinel см . в документации по Microsoft Sentinel.

Как получить доступ к службам безопасности и мониторинга

В следующем списке содержатся сведения о том, как получить доступ к каждой из служб, представленных в этой статье:

  • Службы безопасности Azure. Вы можете получить доступ ко всем службам безопасности Azure, упомянутым на схемах в этой серии статей, с помощью портал Azure. На портале используйте функцию поиска, чтобы найти интересующие вас службы и получить к ним доступ.

  • Azure Monitor. Azure Monitor доступен во всех подписках Azure. Вы можете получить доступ к нему из поиска монитора в портал Azure.

  • Defender для облака. Defender для облака доступен всем, кто обращается к портал Azure. На портале найдите Defender для облака.

  • Log Analytics. Чтобы получить доступ к Log Analytics, необходимо сначала создать службу на портале, так как она не существует по умолчанию. В портал Azure найдите рабочую область Log Analytics и нажмите кнопку "Создать". После создания вы сможете получить доступ к службе.

  • Microsoft Sentinel. Так как Microsoft Sentinel работает над Log Analytics, необходимо сначала создать рабочую область Log Analytics. Затем найдите sentinel в портал Azure. Затем создайте службу, выбрав рабочую область, которую вы хотите использовать в Microsoft Sentinel.

  • Microsoft Defender для конечной точки . Defender для конечной точки является частью XDR в Microsoft Defender. Доступ к службе через https://security.microsoft.com. Это изменение предыдущего URL-адреса securitycenter.windows.com.

  • Microsoft Defender for Cloud Apps. Defender для облака Приложения являются частью Microsoft 365. Доступ к службе через https://portal.cloudappsecurity.com.

  • Microsoft Defender для Office 365. Defender для Office 365 входит в состав Microsoft 365. Доступ к службе через https://security.microsoft.comтот же портал, который использовался для Defender для конечной точки. (Это изменение предыдущего URL-адреса, protection.office.com.)

  • Microsoft Defender для удостоверений. Defender для удостоверений является частью Microsoft 365. Доступ к службе выполняется через https://portal.atp.azure.com. Хотя это облачная служба, Defender для удостоверений отвечает за защиту удостоверения в локальных системах.

  • Microsoft Endpoint Manager. Endpoint Manager — это новое имя Для Intune, Configuration Manager и других служб. Доступ к нему через https://endpoint.microsoft.com. Дополнительные сведения о доступе к службам, предоставляемым XDR в Microsoft Defender, и о том, как связан каждый портал, см. в статье "Создание второго уровня защиты с помощью служб безопасности XDR в Microsoft Defender".

  • Azure Наблюдатель за сетями. Чтобы получить доступ к Azure Наблюдатель за сетями, найдите наблюдателя в портал Azure.

  • Аналитика трафика. Аналитика трафика является частью Наблюдатель за сетями. Вы можете получить доступ к нему из меню слева в Наблюдатель за сетями. Это мощный сетевой монитор, который работает на основе групп безопасности сети, реализованных в отдельных сетевых интерфейсах и подсетях. Наблюдатель за сетями требует сбора сведений из групп безопасности сети. Инструкции по сбору этой информации см. в руководстве по журналу сетевого трафика на виртуальную машину и из нее с помощью портал Azure.

  • Application Insights. Application Insights является частью Azure Monitor. Однако сначала необходимо создать его для приложения, которое требуется отслеживать. Для некоторых приложений, созданных в Azure, например веб-приложения, можно создать Application Insights непосредственно из подготовки веб-приложения. Чтобы получить доступ к нему, найдите монитор в портал Azure. На странице "Монитор" выберите "Приложения" в меню слева.

  • Аналитика Службы хранилища. служба хранилища Azure предлагает различные типы хранилища в рамках одной технологии учетной записи хранения. Большие двоичные объекты, файлы, таблицы и очереди можно найти на основе учетных записей хранения. Аналитика хранилища предлагает широкий спектр метрик для использования с этими службами хранилища. Откройте Аналитика Службы хранилища из учетной записи хранения в портал Azure, а затем выберите параметры диагностики в меню слева. Выберите одну рабочую область log analytics для отправки этой информации. Затем вы можете получить доступ к панели мониторинга из Insights. Все в отслеживаемой учетной записи хранения представлено в меню.

Компоненты

В примере архитектуры в этой статье используются следующие компоненты Azure:

  • Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом. Идентификатор Microsoft Entra помогает пользователям получать доступ к внешним ресурсам, таким как Microsoft 365, портал Azure и тысячи других приложений SaaS. Он также помогает им получать доступ к внутренним ресурсам, таким как приложения в корпоративной сети интрасети.

  • Виртуальная сеть Azure — это фундаментальный строительный блок для вашей частной сети в Azure. виртуальная сеть позволяет многим типам ресурсов Azure безопасно взаимодействовать друг с другом, Интернетом и локальными сетями. виртуальная сеть предоставляет виртуальную сеть, которая обеспечивает преимущества инфраструктуры Azure, например масштабирования, доступности и изоляции.

  • Azure Load Balancer — это высокопроизводительная служба балансировки нагрузки уровня 4 с низкой задержкой (входящий и исходящий) для всех протоколов UDP и TCP. Она разработана для обработки миллионов запросов в секунду, обеспечивая при этом высокую доступность вашего решения. Служба Azure Load Balancer является избыточной между зонами, обеспечивая высокий уровень доступности для разных зон доступности.

  • Виртуальные машины — это один из нескольких типов масштабируемых вычислительных ресурсов, которые предлагает Azure. Виртуальная машина Azure предоставляет гибкие возможности виртуализации без необходимости приобретать и обслуживать физическое оборудование, на котором она выполняется.

  • Служба Azure Kubernetes (AKS) — это полностью управляемая служба Kubernetes для развертывания контейнерных приложений и управления ими. AKS обеспечивает бессерверную службу Kubernetes, непрерывную интеграцию и непрерывную доставку (CI/CD), а также безопасность и управление корпоративным классом.

  • Виртуальный рабочий стол Azure — это облачная служба визуализации рабочих столов и приложений, предоставляющая рабочие столы удаленным пользователям.

  • веб-приложения — это служба на основе HTTP для размещения веб-приложений, REST API и мобильных серверных серверов. Вы можете разрабатывать на выбранном языке, а также запускать и масштабировать приложения с легкостью в средах под управлением Windows и Linux.

  • служба хранилища Azure является высокодоступным, масштабируемым, устойчивым и безопасным хранилищем для различных объектов данных в облаке, включая объект, большой двоичный объект, файл, диск, очередь и хранилище таблиц. Все данные, записанные в учетную запись хранилища Azure, шифруются самой службой. В службе хранилища Azure предоставляется возможность точного управления доступом к данным.

  • База данных SQL Azure — это полностью управляемый ядро СУБД PaaS, обрабатывающее большинство функций управления базами данных , таких как обновление, исправление, резервное копирование и мониторинг. Он предоставляет эти функции без участия пользователей. База данных SQL предоставляет ряд встроенных функций безопасности и соответствия требованиям, которые помогают приложению соответствовать требованиям к безопасности и соответствию требованиям.

Описание решения

Сначала решения мониторинга в Azure могут показаться запутанными, так как Azure предлагает несколько служб мониторинга. Однако каждая служба мониторинга Azure важна в стратегии безопасности и мониторинга, описанной в этой серии. В статьях этой серии описываются различные службы и способы планирования эффективной безопасности для ИТ-среды.

  1. Интеграция компонентов безопасности с помощью мониторинга Azure
  2. Сопоставление угроз с ИТ-средой
  3. Создание первого уровня защиты с помощью служб безопасности Azure
  4. Создание второго уровня защиты с помощью служб безопасности XDR в Microsoft Defender

Потенциальные варианты использования

Эта эталонная архитектура предоставляет комплексное представление служб Microsoft Cloud Security и демонстрирует, как интегрировать их для достижения оптимальной системы безопасности.

Хотя вам не нужно реализовать каждую показанную службу безопасности, этот пример и карта угроз, показанная на схеме архитектуры, поможет вам создать собственную карту угроз и спланировать стратегию безопасности. Выберите службы безопасности Azure и службы XDR в Microsoft Defender, которые лучше всего подходят для ваших потребностей.

Оптимизация затрат

Цены на службы Azure, представленные в этой серии статей, вычисляются различными способами. Некоторые службы бесплатны, некоторые из них имеют плату за каждое использование, и некоторые имеют плату, которая основана на лицензировании. Лучший способ оценить цены для любой из служб безопасности Azure — использовать калькулятор цен. В калькуляторе найдите интересующую вас службу, а затем выберите ее, чтобы получить все переменные, определяющие цену службы.

Службы безопасности XDR в Microsoft Defender работают с лицензиями. Сведения о требованиях к лицензированию см . в предварительных требованиях XDR в Microsoft Defender.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участниками.

Автор субъекта:

Другие участники:

Следующие шаги

Дополнительные сведения об этой эталонной архитектуре см. в других статьях этой серии:

Связанные архитектуры в Центре архитектуры Azure см. в следующих статьях: