Интеграция Microsoft Defender для облака с решением Azure VMware

Microsoft Defender для облака обеспечивает расширенную защиту от угроз в решении Azure VMware и локальных виртуальных машинах. Она оценивает уязвимость виртуальных машин решения Azure VMware и вызывает оповещения по мере необходимости. Эти оповещения системы безопасности можно перенаправить в Azure Monitor для разрешения. Политики безопасности можно определить в Microsoft Defender для Облака. Дополнительные сведения см. в статье "Работа с политиками безопасности".

Microsoft Defender для облака предлагает множество функций, в том числе:

  • Мониторинг целостности файлов
  • Обнаружение атак без файлов
  • Оценка исправлений операционной системы
  • Оценка на предмет неправильных настроек системы безопасности
  • Оценка защиты конечных точек

На схеме показана интегрированная архитектура мониторинга интегрированной безопасности для виртуальных машин решения Azure VMware.

Схема, показывающая архитектуру интегрированной безопасности Azure.

Агент Log Analytics собирает данные журнала из Azure, решения Azure VMware и локальных виртуальных машин. Данные журнала отправляются в журналы Azure Monitor и хранятся в рабочей области Log Analytics. Каждая рабочая область имеет собственный репозиторий данных и конфигурацию для хранения данных. После сбора журналов Microsoft Defender для облака оценивает состояние уязвимости виртуальных машин решения Azure VMware и вызывает оповещение о любой критической уязвимости. После оценки Microsoft Defender для облака перенаправит состояние уязвимости в Microsoft Sentinel, чтобы создать инцидент и сопоставить с другими угрозами. Microsoft Defender для облака подключен к Microsoft Sentinel с помощью Microsoft Defender для Cloud Connector.

Prerequisites

Добавление виртуальных машин решения Azure VMware в Defender для облака

  1. На портале Azure выполните поиск по Azure Arc и выберите его.

  2. В разделе "Ресурсы" выберите "Серверы " и "+Добавить".

    Снимок экрана: страница

  3. Выберите "Создать скрипт".

    Снимок экрана: страница Azure Arc с параметром добавления сервера с помощью интерактивного скрипта.

  4. На вкладке "Предварительные требования" нажмите кнопку "Далее".

  5. На вкладке сведений о ресурсе введите следующие сведения и нажмите кнопку "Далее". Теги:

    • Подписка
    • Группа ресурсов
    • Регион
    • Операционная система
    • Сведения о прокси-сервере

  6. На вкладке "Теги" нажмите кнопку "Далее".

  7. На вкладке "Скачать и запустить скрипт " выберите "Скачать".

  8. Укажите операционную систему и запустите скрипт на виртуальной машине решения Azure VMware.

Просмотр рекомендаций и переданных оценок

Рекомендации и оценки предоставляют информацию о состоянии безопасности вашего ресурса.

  1. В Microsoft Defender для облака выберите "Инвентаризация " в левой области.

  2. Для типа ресурса выберите серверы — Azure Arc.

    Снимок экрана: страница инвентаризации Microsoft Defender для облака с серверами — Azure Arc, выбранная в разделе

  3. Выберите имя ресурса. Откроется страница со сведениями о работоспособности безопасности ресурса.

  4. В списке рекомендаций выберите вкладки "Рекомендации", "Переданные оценки" и " Недоступные оценки ", чтобы просмотреть эти сведения.

    Снимок экрана: рекомендации и оценки Microsoft Defender для облачной безопасности.

Развертывание рабочей области Microsoft Sentinel

Microsoft Sentinel предоставляет аналитику безопасности, обнаружение оповещений и автоматическое реагирование на угрозы в среде. Это облачное решение для управления событиями информационной безопасности (SIEM), созданное на основе рабочей области Log Analytics.

Так как Microsoft Sentinel построен на основе рабочей области Log Analytics, необходимо выбрать только рабочую область, которую вы хотите использовать.

  1. На портале Azure найдите Microsoft Sentinel и выберите его.

  2. На странице рабочих областей Microsoft Sentinel нажмите кнопку +Добавить.

  3. Выберите рабочую область Log Analytics и нажмите кнопку "Добавить".

Включение сборщика данных для событий безопасности

  1. На странице рабочих областей Microsoft Sentinel выберите настроенную рабочую область.

  2. В разделе "Конфигурация" выберите соединители данных.

  3. В столбце "Имя соединителя" выберите "События безопасности" в списке, затем выберите Открыть страницу соединителя.

  4. На странице соединителя выберите события, которые вы хотите передавать, а затем нажмите кнопку "Применить изменения".

    Снимок экрана: страница

Подключение Microsoft Sentinel к Microsoft Defender для облака

  1. На странице рабочей области Microsoft Sentinel выберите настроенную рабочую область.

  2. В разделе "Конфигурация" выберите соединители данных.

  3. Выберите Microsoft Defender для облака из списка, а затем выберите Открыть страницу соединителя.

    Снимок экрана: страница соединителей данных в Microsoft Sentinel с выбранным вариантом подключения Microsoft Defender для облака с помощью Microsoft Sentinel.

  4. Выберите "Подключиться", чтобы подключить Microsoft Defender для облака с помощью Microsoft Sentinel.

  5. Включите Создать инцидент, чтобы сгенерировать инцидент в Microsoft Defender для Облака.

Создание правил для выявления угроз безопасности

После подключения источников данных к Microsoft Sentinel можно создать правила для создания оповещений для обнаруженных угроз. В следующем примере мы создадим правило для попытки входа на сервер Windows с неправильным паролем.

  1. На странице обзора Microsoft Sentinel в разделе "Конфигурации" выберите "Аналитика".

  2. В разделе "Конфигурации" выберите "Аналитика".

  3. Нажмите кнопку +Создать , а затем в раскрывающемся меню выберите правило запланированного запроса.

  4. На вкладке "Общие " введите необходимые сведения и нажмите кнопку "Далее: задать логику правила".

    • Name
    • Описание
    • Тактика
    • Серьезность
    • Статус

  5. На вкладке "Задать логику правила" введите необходимые сведения, а затем нажмите кнопку "Далее".

    • Запрос правила (здесь показан пример запроса)

      SecurityEvent
|where Activity startswith '4625'
|summarize count () by IpAddress,Computer
|where count_ > 3

    • Сопоставление сущностей

    • Планирование запросов

    • Порог оповещения

    • Группирование событий

    • Подавление

  6. На вкладке "Параметры инцидента " включите включение инцидентов из оповещений, активированных этим правилом аналитики , и нажмите кнопку "Далее: Автоматический ответ".

    Снимок экрана: мастер аналитических правил для создания нового правила в Microsoft Sentinel.

  7. Выберите Далее: Проверка.

  8. На вкладке "Рецензирование" и "Создать " просмотрите сведения и нажмите кнопку "Создать".

Tip

После третьей неудачной попытки входа на сервер Windows созданное правило активирует инцидент для каждой неудачной попытки.

Просмотр оповещений

Вы можете просмотреть созданные инциденты с помощью Microsoft Sentinel. Вы также можете назначать инциденты и закрывать их после разрешения, прямо в Microsoft Sentinel.

  1. Перейдите на страницу обзора Microsoft Sentinel.

  2. В разделе "Управление угрозами" выберите "Инциденты".

  3. Выберите инцидент и назначьте его команде для разрешения.

    Снимок экрана: страница

Tip

После устранения проблемы его можно закрыть.

Поиск угроз безопасности с помощью запросов

Вы можете создавать запросы или использовать готовый запрос в Microsoft Sentinel для выявления угроз в вашей среде. Следующие шаги выполняют предопределенный запрос.

  1. На странице обзора Microsoft Sentinel в разделе "Управление угрозами" выберите Поиск. Отображается список предопределенных запросов.

    Tip

    Вы также можете создать новый запрос, нажав кнопку "Создать запрос".

    Снимок экрана: страница поиска Microsoft Sentinel с выделенным элементом +Создать запрос.

  2. Выберите запрос и нажмите кнопку "Выполнить запрос".

  3. Выберите "Просмотреть результаты ", чтобы проверить результаты.

Дальнейшие действия

Теперь, когда вы рассмотрели, как защитить виртуальные машины решения Azure VMware, вы можете узнать больше о следующем:

  • Last updated on