Интеграция с конечными точками
Конечные точки — это устройства, которые обращаются к ресурсам и приложениям организации. На современных рабочих местах используются разнообразные устройства, которые запрашивают доступ как из корпоративной сети, так и за ее пределами.
Решения нулевого доверия для конечных точек предназначены для проверки безопасности устройств, обращаюющихся к рабочим данным, включая приложения, работающие на устройствах. Партнеры могут интегрироваться с решениями конечной точки Майкрософт для проверки безопасности устройств и приложений, применения политик минимальных привилегий и подготовки к нарушениям заранее.
Это руководство предназначено для поставщиков ПО и технологических партнеров, которые хотят улучшить свои решения по обеспечению безопасности конечных точек за счет интеграции с продуктами Майкрософт.
Руководство по интеграции нулевого доверия для конечных точек
В этом руководстве по интеграции приведены инструкции по интеграции со следующими продуктами:
- Платформа Microsoft Defender для конечной точки, которая помогает организациям предотвращать, обнаруживать и исследовать современные угрозы в сети, а также реагировать на них.
- Решение Microsoft Endpoint Manager, которое обеспечивает защиту и безопасность для устройств, используемых сотрудниками, и приложений, работающих на этих устройствах.
- Microsoft Defender для Интернета вещей, которая обеспечивает безопасность в операционных сетях (OT).
Защитник Майкрософт для конечных точек
Microsoft Defender для конечной точки — это корпоративная платформа защиты конечных точек, позволяющая организациям предотвращать, обнаруживать, исследовать современные угрозы в сети и реагировать на них. В ней используется сочетание датчиков поведения конечных точек, аналитики безопасности облака и аналитики угроз.
Defender для конечной точки поддерживает сторонние приложения, которые помогают усовершенствовать возможности обнаружения, изучения и анализа угроз платформы. Кроме того, партнеры могут расширить существующие предложения по обеспечению безопасности на основе открытой платформы, а также полнофункционального и полного набора API для создания расширений и интеграции с Defender для конечной точки.
В статье Возможности и сценарии Microsoft Defender для конечной точки для партнеров описано несколько категорий поддерживаемых возможностей интеграции. Есть и другие примеры сценариев интеграции:
- Упрощение исправления угроз. Microsoft Defender для конечной точки может принимать немедленные или интерактивные меры в ответ на предупреждения. Партнеры могут использовать ответные меры конечной точки, такие как изоляция компьютеров или карантин для файлов, чтобы блокировать индикатор компрометации на управляемой конечной точке.
- Объединение контроля доступа к сети с обеспечением безопасности устройств. Оценки риска или воздействия можно использовать для реализации и применения политик доступа к сети и приложениям.
Чтобы стать партнером по решению Microsoft Defender для конечной точки, необходимо выполнить действия, описанные в статье Станьте партнером Microsoft Defender для конечной точки.
Microsoft Endpoint Manager
Решение Microsoft Endpoint Manager, которое включает Microsoft Intune и Microsoft Configuration Manager, обеспечивает защиту и безопасность для устройств, используемых сотрудниками, и приложений, работающих на этих устройствах. Endpoint Manager включает политики соответствия устройств требованиям, которые гарантируют, что сотрудники осуществляют доступ к приложениям и данным с устройств, отвечающих политикам безопасности компании. Кроме того, это решение включает политики защиты приложений, которые предоставляют средства управления безопасностью на основе приложений для полностью управляемых и принадлежащих сотрудникам устройств.
Для интеграции с Microsoft Endpoint Manager независимые поставщики ПО будут использовать Microsoft Graph и пакет SDK для управления приложениями Microsoft Endpoint Manager. Интеграция Endpoint Manager с API Graph позволяет выполнять любые функции, предоставляемые консолью администрирования для Endpoint Manager (Intune). С помощью API Graph можно найти такие сведения, как состояние соответствия требованиям устройства, конфигурация политики соответствия требованиям, параметры политики защиты приложений и многие другие. Кроме того, вы можете автоматизировать задачи в Endpoint Manager, чтобы оптимизировать использование модели "Никому не доверяй" клиентом. Общие рекомендации по работе с Intune в Microsoft Graph доступны в репозитории документации по Microsoft Graph. Здесь мы рассмотрим сценарии, связанные с моделью "Никому не доверяй".
Проверяйте соблюдение устройствами стандартов безопасности и соответствия
Решения независимых поставщиков ПО могут использовать сведения Endpoint Manager о соответствии и политиках, связанные с устройствами, чтобы обеспечить принцип прямой проверки, который является частью модели "Никому не доверяй". Данные о соответствии пользователей и устройств от Endpoint Manager позволяют приложению независимого поставщика ПО определить риск состояния устройства, связанный с использованием приложения. Выполняя эти проверки, независимый поставщик ПО может убедиться, что устройства, использующие эту службу, соответствуют стандартам и политикам клиентов в отношении безопасности и соответствия.
API Microsoft Graph позволяет независимым поставщикам ПО интегрироваться с Endpoint Manager (Intune) через набор интерфейсов REST API. Эти API используются в консоли Endpoint Manager для просмотра, создания, управления, развертывания и отчетов по всем действиям и данным в Intune. Возможности, представляющие особый интерес для независимых поставщиков ПО, поддерживающих инициатив "Никому не доверяй", — это просмотр состояния соответствия устройства требованиям и настройка правил и политик соответствия. Рекомендации Майкрософт по использованию идентификатора Microsoft Entra ID и Endpoint Manager для настройки и соответствия требованиям: безопасные конечные точки с нулевой доверием. Правила соответствия Endpoint Manager являются основой для поддержки условного доступа на основе устройств с помощью идентификатора Microsoft Entra. Независимые поставщики ПО также должны ознакомиться с функциями и API условного доступа, чтобы понять, как действовать в различных сценариях, связанных с соответствием пользователей и устройств требованиям и условным доступом.
В идеале независимый поставщик ПО должен обеспечить подключение приложения к API Microsoft Graph в качестве облачного приложения и установку подключения между службами. Мультитенантные приложения предоставляют независимым поставщикам ПО возможность централизованного определения и администрирования приложений. Также они позволяют клиентам отдельно предоставлять приложениям независимого поставщика ПО разрешения на работу с данными арендаторов. Ознакомьтесь с информацией о клиенте в идентификаторе Microsoft Entra для регистрации и создания приложений Microsoft Entra с одним или несколькими клиентами. Проверка подлинности приложения может использовать идентификатор Microsoft Entra для единого входа.
После создания приложения необходимо получить доступ к сведениям об устройстве и соответствии с помощью API Microsoft Graph. Документацию по использованию Microsoft Graph можно найти в Центре разработки Microsoft Graph. API Graph — это набор соответствующих стандартам ODATA интерфейсов API REST для доступа к данным и выполнения запросов.
Получение состояния соответствия устройства требованиям
На этой схеме показано, как данные о соответствии устройства требованиям передаются из устройства в решение независимого поставщика ПО. Устройства пользователей получают политики из Intune, партнера по защите мобильных устройств от угроз (MTD) или партнера по соответствию требованиям управления мобильными устройствами (MDM). После сбора сведений о соответствии с устройствами Intune вычисляет общее состояние соответствия каждого устройства и сохраняет его в идентификаторе Microsoft Entra. Используя API Microsoft Graph, ваше решение может считывать состояние соответствия устройства требованиям и реагировать на него, применяя принцип "Никому не доверяй".
При регистрации в службе Intune в ней создается запись об устройстве с дополнительными сведениями об устройстве, включая состояние соответствия устройства требованиям. Intune перенаправит состояние соответствия устройств идентификатору Microsoft Entra ID, где идентификатор Microsoft Entra также сохраняет состояние соответствия для каждого устройства. Выполнив команду GET для https://graph.microsoft.com/v1.0/deviceManagement/managedDevices
, вы сможете увидеть все зарегистрированные устройства для арендатора и их состояние соответствия требованиям. Вы также можете запросить https://graph.microsoft.com/v1.0/devices
список зарегистрированных и зарегистрированных устройств Microsoft Entra и их состояния соответствия.
Например, этот запрос:
GET https://graph.microsoft.com/v1.0/users/{usersId}/managedDevices/{managedDeviceId}
Выходные данные:
HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 5095
{
"value": {
"@odata.type": "#microsoft.graph.managedDevice",
"id": "705c034c-034c-705c-4c03-5c704c035c70",
"userId": "User Id value",
"deviceName": "Device Name value",
"managedDeviceOwnerType": "company",
"enrolledDateTime": "2016-12-31T23:59:43.797191-08:00",
"lastSyncDateTime": "2017-01-01T00:02:49.3205976-08:00",
"complianceState": "compliant",
...
}
Вы также можете получить список политик соответствия требованиям, их развертываний и состояния пользователей и устройств для этих политик соответствия требованиям. Сведения о вызове Graph для получения сведений о политике соответствия требованиям см. в статье Получение объекта deviceCompliancePolicy — Microsoft Graph версии 1.0. Общие сведения о политиках соответствия устройств требованиям и их использовании см. в статье Использование политик соответствия, позволяющих установить правила для устройств, управляемых с помощью Intune.
Определив нужную политику, вы можете выполнить запрос, чтобы получить состояние устройства для указанного параметра политики соответствия требованиям. Например, если политика соответствия требованиям была развернута так, чтобы требовать секретный код для блокировки, выполните запрос на получение объекта deviceComplianceSettingState для определенного состояния этого параметра. В выходных данных будет указано, соответствует ли устройство параметру блокировки с использованием секретного кода или нет. Этот же подход можно использовать для других политик соответствия устройств требованиям, которые были развернуты клиентами.
Сведения о соответствии являются основой для функции условного доступа Идентификатора Microsoft Entra. Intune определяет соответствие устройств на основе политик соответствия требованиям и записывает состояние соответствия в идентификатор Microsoft Entra. Затем клиенты используют политики условного доступа, чтобы определить, выполняются ли какие-либо действия, которые приводят к нарушению соответствия, включая блокирование доступа пользователей к корпоративным данным с несоответствующих устройств.
Дополнительные сведения об интеграции соответствия устройств требованиям с условным доступом см. в разделе Политики соответствия устройств в Microsoft Intune.
Следуйте принципу доступа с минимальными привилегиями
Интеграция поставщика программного обеспечения с Endpoint Manager также потребуется убедиться, что их приложение поддерживает принцип нулевого доверия для применения минимального доступа к привилегиям. Интеграция Endpoint Manager поддерживает два важных метода управления доступом: делегированные разрешения и разрешения приложения. Приложение независимого поставщика ПО должно использовать одну из моделей разрешений. Делегированные разрешения обеспечивают детальный контроль над определенными объектами в Endpoint Manager, к которым приложение имеет доступ и для которых требуется, чтобы администратор выполнил вход с использованием учетных данных. Разрешения приложения позволяют приложению независимого поставщика ПО получать доступ к классам данных и объектов и управлять ими, а не отдельными объектами. Но этот метод не требует входа пользователя в систему.
Наряду с созданием приложения в качестве однотенантного или мультитенантного приложения (второй вариант является предпочтительным) необходимо объявить делегированные разрешения или разрешения приложения, необходимые приложению для доступа к информации Endpoint Manager и выполнения действий с Endpoint Manager. Дополнительные сведения о начале работы с разрешениями см. в статье Краткое руководство. Настройка приложения для доступа к веб-API.
Microsoft Defender для Интернета вещей
Сетевые архитектуры операционных технологий (OT) часто отличаются от традиционной ИТ-инфраструктуры, используя уникальную технологию с собственными протоколами. Устройства OT также могут иметь устаревшие платформы с ограниченным подключением и мощностью, или конкретными требованиями к безопасности и уникальными воздействиями на физические атаки.
Разверните Microsoft Defender для Интернета вещей , чтобы применить принципы нулевого доверия к сети OT, мониторинг трафика для аномального или несанкционированного поведения в качестве трафика пересекает сайты и зоны. Следите за угрозами и уязвимостями, характерными для устройств OT, снижая риски при обнаружении.
Скорость операций путем совместного использования данных Defender для Интернета вещей в центре управления безопасностью (SOC) и других частях вашей организации. Интеграция с службы Майкрософт, например Microsoft Sentinel и Defender для конечной точки, или другими партнерскими службами, включая siEM и системы билетов. Например:
Перенаправите локальные данные оповещений непосредственно в SIEMs, такие как Splunk, IBM QRadar и многое другое. Splunk и IBM QRadar также поддерживают прием центров событий, которые можно использовать для пересылки облачных оповещений из Defender для Интернета вещей.
Интеграция с диспетчером операционных технологий ServiceNow для импорта данных Defender для Интернета вещей в ServiceNow и действие на основе рисков с контекстом рабочего процесса.
Дополнительные сведения см. в разделе:
- Начало работы с мониторингом безопасности OT
- Нулевое доверие и сети OT
- Мониторинг с нулевым доверием
- Каталог интеграции Defender для Интернета вещей