Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье содержатся стратегии и инструкции по интеграции решений инфраструктуры нулевого доверия с Microsoft Defender для облака. Руководство включает интеграцию с другими решениями, включая управление сведениями о безопасности и событиями (SIEM), автоматическое реагирование оркестрации безопасности (SOAR), обнаружение и нейтрализация атак на конечные точки (EDR) и решения управления ИТ-службами (ITSM).
Инфраструктура состоит из оборудования, программного обеспечения, микрослужб, сетевой инфраструктуры и объектов, необходимых для поддержки ИТ-служб для организации. Независимо от того, является ли локальная или многооблачная инфраструктура критически важным вектором угроз.
Решения инфраструктуры нулевого доверия оценивают, отслеживают и предотвращают угрозы безопасности для вашей инфраструктуры. Решения поддерживают принципы нулевого доверия, гарантируя, что доступ к ресурсам инфраструктуры проверяется явным образом и предоставляется с помощью принципов наименее привилегированного доступа. Механизмы предполагают нарушение и поиск и устранение угроз безопасности в инфраструктуре.
Что такое нулевое доверие?
Zero Trust — это стратегия безопасности для разработки и реализации следующих принципов безопасности:
| Явная проверка | Использование наименьших привилегий для доступа | Предполагайте наличие бреши в системе безопасности |
|---|---|---|
| Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных. | Ограничьте доступ пользователей с помощью технологий "точно в срок" и "достаточного уровня доступа" (JIT/JEA), адаптивных политик, основанных на рисках, и защиты данных. | Минимизируйте радиус поражения и ограничьте доступ к сегментам. Используйте сквозное шифрование и аналитику для обеспечения видимости, обнаружения угроз и усиления защиты. |
Нулевое доверие и Defender для облака
Руководство по развертыванию инфраструктуры нулевого доверия предоставляет ключевые этапы стратегии инфраструктуры нулевого доверия:
- Оценка соответствия выбранным стандартам и политикам.
- Укрепляйте конфигурацию, где обнаружены пробелы.
- Используйте другие средства защиты, такие как доступ к виртуальной машине в режиме "точно вовремя" (JIT).
- Настройте защиту от угроз.
- автоматическое блокирование и маркировка рискованного поведения, а также принятие мер по защите.
Вот как эти этапы соотносятся с Defender for Cloud.
| Цель | Defender для облака |
|---|---|
| Оценка соответствия | В Defender для облака каждой подписке автоматически назначена инициатива безопасности Microsoft Cloud Security Benchmark (MCSB). Используя средства оценки безопасности и панель мониторинга соответствия нормативным требованиям, вы можете получить глубокое представление о состоянии безопасности. |
| Укрепление конфигурации | Параметры инфраструктуры и среды оцениваются по стандарту соответствия требованиям, а рекомендации выдаются на основе этих оценок. Со временем вы можете просматривать и устранять рекомендации по безопасности и [отслеживать улучшения показателя безопасности] (secure-score-access-and-track.md). Вы можете определить приоритеты рекомендаций по исправлению на основе потенциальных путей атаки. |
| Применение механизмов усиления защиты | Наименее привилегированный доступ является принципом нулевого доверия. Defender для облака поможет защитить виртуальные машины и параметры сети с помощью этого принципа с такими функциями, как: JIT-доступ к виртуальным машинам. |
| Настройка защиты от угроз | Defender для облака — это платформа защиты облачных рабочих нагрузок (CWPP), обеспечивающая расширенную, интеллектуальную защиту ресурсов и гибридных ресурсов и рабочих нагрузок Azure. Подробнее. |
| Автоматическое блокирование рискованного поведения | Многие из рекомендаций по обеспечению защиты в Defender для облака предлагают вариант запрета, чтобы предотвратить создание ресурсов, которые не соответствуют определенным критериям защиты. Подробнее. |
| Автоматическое отмечание подозрительного поведения | Оповещения Defenders for Cloud Security активируются обнаружением угроз. Defender для облака приоритизирует и сортирует оповещения, предоставляя информацию, чтобы помочь вам в расследовании. Он также содержит подробные инструкции по устранению атак. Просмотрите полный список оповещений системы безопасности. |
Применение нулевого доверия к сценариям гибридной и многооблачной среды
Так как облачные рабочие нагрузки часто распределяются между несколькими облачными платформами, облачные службы безопасности должны охватывать их все. Defender для облака защищает рабочие нагрузки везде, где они работают. В Azure, локальной среде, AWS или GCP.
- AWS: чтобы защитить компьютеры AWS, вы подключаете учетные записи AWS к Defender для облачных решений. Эта интеграция предоставляет единое представление о рекомендациях Defender для облака и результатах Центра безопасности AWS. Дополнительные сведения о подключении учетных записей AWS к Microsoft Defender для облака.
- GCP: чтобы защитить компьютеры GCP, вы подключаете учетные записи GCP в Defender для облачных решений. Эта интеграция обеспечивает унифицированное представление рекомендаций Defender для облака и выводов Центра управления безопасностью GCP. Дополнительные сведения о подключении учетных записей GCP к Microsoft Defender для облака.
- Локальные компьютеры. Вы можете расширить Defender для облака защиту, подключив локальные компьютеры к серверам с поддержкой Azure Arc. Дополнительные сведения о подключении локальных компьютеров к Defender для облака.
Защита служб Azure PaaS
Если Defender для облака доступен в подписке Azure, а планы Defender для облака активированы для всех доступных типов ресурсов, предоставляется уровень интеллектуальной защиты от угроз на основе Microsoft Defender Threat Intelligence, который защищает ресурсы в службах Azure PaaS, включая Azure Key Vault, Azure Storage, Azure DNS и другие. Дополнительные сведения о типах ресурсов, которые Defender для облака может защитить.
Автоматизация ответов с помощью Azure Logic Apps
Используйте Azure Logic Apps, чтобы создавать автоматические масштабируемые рабочие процессы, бизнес-процессы и корпоративные оркестрации для интеграции приложений и данных в разные облачные службы и локальные системы.
Функция автоматизации рабочих процессов Defender для облака позволяет автоматизировать ответы на триггеры Defender для облака.
Это отличный способ определения и реагирования автоматизированным согласованным образом в случаях обнаружения угроз. Например, с помощью этой функции можно уведомить релевантных участников, запустить процесс управления изменениями и применить определенные шаги по исправлению при обнаружении угрозы.
Интеграция с решениями SIEM, SOAR и ITSM
Защитник для облачных сервисов может передавать оповещения системы безопасности в самые популярные решения SIEM, SOAR и ITSM. Существуют собственные средства Azure, которые позволяют просматривать данные оповещений во всех наиболее популярных решениях, используемых сегодня, в том числе:
- Microsoft Sentinel
- Splunk Enterprise и Splunk Cloud
- QRadar от IBM
- ServiceNow
- ArcSight
- Power BI
- Palo Alto Networks
Интеграция с Microsoft Sentinel
Defender for Cloud изначально интегрируется с Microsoft Sentinel, решением SIEM/SOAR от Microsoft.
Существует два подхода к обеспечению того, чтобы данные Defender для облака представлены в Microsoft Sentinel:
Соединители Sentinel — Microsoft Sentinel включает встроенные соединители для Microsoft Defender для облака на уровне подписки и клиента:
- Передавайте оповещения в Microsoft Sentinel на уровне подписки
- Подключите все подписки вашего арендатора к Microsoft Sentinel
Совет
Узнайте больше в Подключение оповещений системы безопасности от Microsoft Defender для облака.
Потоковая передача журналов аудита — это альтернативный способ изучения оповещений Defender для облака в Microsoft Sentinel, заключающийся в потоковой передаче ваших журналов аудита в Microsoft Sentinel.
Трансляция предупреждений с API безопасности Microsoft Graph
Defender для облака имеет встроенную интеграцию с Microsoft Graph Security API. Конфигурация не требуется и не требуется дополнительных затрат.
Этот API можно использовать для потоковой передачи оповещений от всего клиента и данных из многих других продуктов Майкрософт Security в сторонние SIEMs и другие популярные платформы:
- Splunk Enterprise и Splunk Cloud — используйте надстройку Microsoft Graph Security API для Splunk
- Power BI — подключение к API безопасности Microsoft Graph в Power BI Desktop
- ServiceNow. Следуйте инструкциям по установке и настройке приложения Microsoft Graph API безопасности из ServiceNow Store
- QRadar — использование модуля поддержки устройств IBM для Defender для облака через API Microsoft Graph
- Palo Alto Networks, Anomali, Lookout, InSpark и многое другое. Дополнительные сведения о API безопасности Microsoft Graph.
Стриминг оповещений с помощью Azure Monitor
Используйте функцию непрерывного экспорта Defender для облака Azure для подключения к Azure Monitor через Центр событий Azure, и потоковая передача оповещений в ArcSight, SumoLogic, серверы Syslog, LogRhythm, Logz.io Cloud Observability Platform и другие решения мониторинга.
- Это также можно сделать на уровне группы управления с помощью Политика Azure. Узнайте о создании конфигураций автоматизации непрерывного экспорта в большом масштабе.
- Чтобы просмотреть схемы событий экспортированных типов данных, просмотрите схемы событий Центров событий.
Узнайте больше о потоковой передаче оповещений в системы мониторинга.
Интеграция с решениями EDR
Microsoft Defender для конечной точки;
Defender для конечной точки — это комплексное облачное решение для обеспечения безопасности конечных точек . План рабочей нагрузки Defender для облака серверов Defender для серверов включает интегрированную лицензию для Defender для конечной точки. Вместе они предоставляют комплексные возможности EDR. Дополнительные сведения о защите конечных точек.
Когда Microsoft Defender для конечных точек обнаруживает угрозу, он посылает оповещение. Оповещение отображается в Defender для облака. Из Defender for Cloud можно перейти на консоль Defender for Endpoint и провести подробное исследование, чтобы выявить масштаб атаки.
Другие решения EDR
Defender для облака предоставляет оценку работоспособности поддерживаемых версий решений EDR.
Defender для облачных сервисов предоставляет рекомендации на основе стандарта безопасности Майкрософт. Один из элементов управления в этих рекомендациях связан с безопасностью конечных точек: ES-1. Используйте обнаружение и нейтрализацию атак на конечные точки (EDR). Существует две рекомендации, чтобы убедиться, что защита конечных точек включена и функционирует правильно. Дополнительные сведения об оценке поддерживаемых EDR-решений в Defender для облака.
Следующие шаги
Начните планирование многооблачной защиты.