Управление безопасностью: безопасность конечных точек

Endpoint Security охватывает элементы управления в обнаружении и реагировании на конечных точках, включая использование средств EDR и служб защиты от вредоносных программ для конечных точек в облачных средах.

ES-1. Используйте системы обнаружения и реакции на конечных устройствах (EDR)

Принцип безопасности. Включение возможностей обнаружения конечных точек и реагирования (EDR) для виртуальных машин и интеграции с процессами SIEM и операций безопасности.

Руководство по Azure. Microsoft Defender для серверов (с интегрированной службой Microsoft Defender для конечной точки) предоставляет возможности EDR для предотвращения, обнаружения, исследования и реагирования на сложные угрозы.

Используйте Microsoft Defender для облака, чтобы развернуть Microsoft Defender для серверов на конечных точках и интегрировать оповещения в решение SIEM, например Microsoft Sentinel.

Реализация Azure и дополнительный контекст:

• Общие сведения о Azure Defender для серверов
• Обзор Microsoft Defender для конечных точек
• Покрытие функций Microsoft Defender для облака для компьютеров
• Коннектор для интеграции Defender для серверов в SIEM

Руководство по AWS: Подключите вашу учетную запись AWS к Microsoft Defender для облака и разверните Microsoft Defender для серверов (с интегрированным Microsoft Defender для конечной точки) на ваших экземплярах EC2, чтобы обеспечить возможности EDR для предотвращения, обнаружения, исследования и реагирования на сложные угрозы.

Кроме того, используйте встроенную функцию аналитики угроз Amazon GuardDuty для мониторинга и защиты экземпляров EC2. Amazon GuardDuty может обнаруживать аномальные действия, такие как деятельность, указывающая на компрометацию экземпляра: добыча криптовалют, вредоносные программы, использующие алгоритмы генерации доменов (DGAs), исходящая активность отказа в обслуживании, необычно высокий объём сетевого трафика, необычные сетевые протоколы, исходящая связь экземпляра с известным вредоносным IP-адресом, использование временных учетных данных Amazon EC2 внешним IP-адресом, а также эксфильтрацию данных с использованием DNS.

Реализация AWS и дополнительный контекст:

• Защита конечных точек с помощью интегрированного решения EDR в Defender для Облака

Руководство по GCP. Подключение проекта GCP к Microsoft Defender для облака и развертывание Microsoft Defender для серверов (с интегрированной службой Microsoft Defender для конечной точки) на экземплярах виртуальных машин для обеспечения возможностей EDR для предотвращения, обнаружения, исследования и реагирования на дополнительные угрозы.

Кроме того, используйте Центр управления безопасностью Google для интегрированной аналитики угроз для мониторинга и защиты экземпляров виртуальных машин. Центр управления безопасностью может обнаруживать аномальные действия, такие как потенциально утечка учетных данных, добыча криптовалют, потенциально вредоносные приложения, вредоносные действия сети и многое другое.

Реализация GCP и дополнительный контекст:

• Защита конечных точек с помощью интегрированного решения EDR в Defender для облака:
• Общие сведения о Центре управления безопасностью:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Безопасность инфраструктуры и конечной точки
• Аналитика угроз
• Управление соответствием безопасности
• Управление осанкой

ES-2. Использование современного программного обеспечения для защиты от вредоносных программ

Принцип безопасности: используйте решения защиты от вредоносных программ (также известные как защита конечных точек), способные обеспечивать защиту в режиме реального времени и выполнять периодическое сканирование.

Руководство по Azure. Microsoft Defender для облака может автоматически определять использование ряда популярных решений для защиты от вредоносных программ для виртуальных машин и локальных компьютеров с настроенными Azure Arc и сообщать о состоянии выполнения защиты конечных точек и предоставлять рекомендации.

Антивирусная программа в Microsoft Defender — это решение для борьбы с вредоносным ПО, по умолчанию используемое в Windows Server 2016 и более поздних версий. Для Windows Server 2012 R2 используйте расширение Защиты от вредоносных программ Майкрософт, чтобы включить SCEP (System Center Endpoint Protection). Для виртуальных машин Linux используйте Microsoft Defender для конечной точки в Linux для функции защиты конечных точек.

Для Windows и Linux можно использовать Microsoft Defender для облака для обнаружения и оценки состояния работоспособности решения для защиты от вредоносных программ.

Примечание: Вы также можете использовать Microsoft Defender для облака: Защитник для хранилища для обнаружения вредоносных программ, загруженных в учетные записи Azure Storage.

Реализация Azure и дополнительный контекст:

• Поддерживаемые решения для защиты конечных точек
• Настройка Антивредоносного ПО Майкрософт для облачных служб и виртуальных машин

Руководство по AWS. Подключение учетной записи AWS к Microsoft Defender для облака позволяет Microsoft Defender для облака автоматически определять использование некоторых популярных решений защиты от вредоносных программ для экземпляров EC2 с настроенными Azure Arc и сообщать о состоянии выполнения защиты конечных точек и предоставлять рекомендации.

Разверните антивирус Microsoft Defender, который является решением по умолчанию для защиты от вредоносных программ для Windows Server 2016 и более поздних версий. Для экземпляров EC2 под управлением Windows Server 2012 R2 используйте расширение Microsoft Antimalware для включения SCEP (System Center Endpoint Protection). Для экземпляров EC2 под управлением Linux используйте Microsoft Defender для конечной точки в Linux для функции защиты конечных точек.

Для Windows и Linux можно использовать Microsoft Defender для облака для обнаружения и оценки состояния работоспособности решения для защиты от вредоносных программ.

Примечание. Microsoft Defender Cloud также поддерживает некоторые сторонние продукты защиты конечных точек для оценки состояния обнаружения и работоспособности.

Реализация AWS и дополнительный контекст:

• Обнаружение GuardDuty EC2
• Поддерживаемые решения для защиты конечных точек в Microsoft Defender
• Рекомендации по защите конечных точек в Microsoft Defender для облаков

Руководство по GCP. Подключение проектов GCP к Microsoft Defender для Облака, чтобы позволить Microsoft Defender для Облака автоматически определять использование популярных решений защиты от вредоносных программ для экземпляров виртуальных машин с настроенными Azure Arc и сообщать о состоянии защиты конечных точек и предоставлять рекомендации.

Разверните антивирус Microsoft Defender, который является решением по умолчанию для защиты от вредоносных программ для Windows Server 2016 и более поздних версий. Для экземпляров виртуальных машин под управлением Windows Server 2012 R2 используйте расширение Защиты от вредоносных программ Майкрософт, чтобы включить SCEP (System Center Endpoint Protection). Для экземпляров виртуальных машин под управлением Linux используйте Microsoft Defender для конечной точки в Linux для функции защиты конечных точек.

Для Windows и Linux можно использовать Microsoft Defender для облака для обнаружения и оценки состояния работоспособности решения для защиты от вредоносных программ.

Примечание. Microsoft Defender Cloud также поддерживает некоторые сторонние продукты защиты конечных точек для оценки состояния обнаружения и работоспособности.

Реализация GCP и дополнительный контекст:

• Поддерживаемые решения для защиты конечных точек в Microsoft Defender:
• Рекомендации по защите конечных точек в Microsoft Defender для облаков:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Безопасность инфраструктуры и конечной точки
• Аналитика угроз
• Управление соответствием безопасности
• Управление осанкой

ES-3. Обеспечение обновления программного обеспечения и подписей защиты от вредоносных программ

Принцип безопасности. Убедитесь, что подписи защиты от вредоносных программ обновляются быстро и последовательно для решения защиты от вредоносных программ.

Руководство по Azure. Следуйте рекомендациям в Microsoft Defender для Облака, чтобы обеспечить актуальность всех конечных точек с последними подписями. Антивирус Майкрософт (для Windows) и Microsoft Defender для конечных точек (для Linux) автоматически установят последние сигнатуры и обновления движка по умолчанию.

Для сторонних решений убедитесь, что подписи обновляются в стороннем решении для защиты от вредоносных программ.

Реализация Azure и дополнительный контекст:

• Развертывание антивредоносного ПО Майкрософт для облачных служб и виртуальной машины
• Оценка и рекомендации по защите конечных точек в Microsoft Defender для облака

Руководство по AWS. С помощью учетной записи AWS, подключенной к Microsoft Defender для облака, следуйте рекомендациям в Microsoft Defender для Облака, чтобы обеспечить актуальность всех конечных точек с последними подписями. Антивирус Майкрософт (для Windows) и Microsoft Defender для конечных точек (для Linux) автоматически установят последние сигнатуры и обновления движка по умолчанию.

Для сторонних решений убедитесь, что подписи обновляются в стороннем решении для защиты от вредоносных программ.

Реализация AWS и дополнительный контекст:

• Подключение учетных записей AWS к Microsoft Defender для Облака

Руководство по GCP. При подключении проектов GCP в Microsoft Defender для Облака следуйте рекомендациям в Microsoft Defender для Cloud, чтобы обеспечить актуальность всех решений EDR с последними подписями. Антивирус Майкрософт (для Windows) и Microsoft Defender для конечных точек (для Linux) автоматически установят последние сигнатуры и обновления движка по умолчанию.

Для сторонних решений убедитесь, что подписи обновляются в стороннем решении для защиты от вредоносных программ.

Реализация GCP и дополнительный контекст:

• Подключите проекты GCP к Microsoft Defender для облака:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Безопасность инфраструктуры и конечной точки
• Аналитика угроз
• Управление соответствием безопасности
• Управление осанкой