Поделиться через


Интеграция с инфраструктурой

Инфраструктура состоит из оборудования, программного обеспечения, микрослужб, сетевой инфраструктуры и объектов, необходимых для поддержки ИТ-служб для организации. Решения для инфраструктуры на основе модели "Никому не доверяй" оценивают, отслеживают и предотвращают угрозы безопасности для этих служб.

Решения инфраструктуры нулевого доверия поддерживают принципы нулевого доверия, гарантируя, что доступ к ресурсам инфраструктуры проверяется явным образом, доступ предоставляется с помощью принципов наименее привилегированного доступа, а механизмы предполагают нарушение и поиск и устранение угроз безопасности в инфраструктуре.

Это руководство предназначено для поставщиков ПО и технологических партнеров, которые хотят улучшить свои решения по обеспечению безопасности инфраструктуры за счет интеграции с продуктами Майкрософт.

Руководство по интеграции с нулевым доверием для инфраструктуры

Это руководство по интеграции включает стратегию и инструкции по интеграции с Microsoft Defender для облака и ее интегрированными планами защиты облачных рабочих нагрузок, Microsoft Defender для ... (Серверы, контейнеры, базы данных, служба хранилища, Служба приложений и многое другое).

В руководстве также описано, как включить интеграцию с самыми популярными решениями для управления информационной безопасностью и событиями безопасности (SIEM), оркестрации, автоматизации и реагирования системы безопасности (SOAR), обнаружения и нейтрализации атак на конечные точки (EDR), а также управления ИТ-услугами (ITSM).

Нулевое доверие и Defender для облака

В нашем руководстве по развертыванию инфраструктуры на основе модели "Никому не доверяй" описаны ключевые этапы стратегии "Никому не доверяй" для инфраструктуры. К ним относятся:

  1. оценка соответствия выбранным стандартам и политикам;
  2. усиление конфигурации при обнаружении недочетов;
  3. использование других средств для усиления защиты, таких как JIT-доступ к виртуальным машинам;
  4. настройка обнаружения угроз и защиты от них;
  5. автоматическое блокирование и маркировка рискованного поведения, а также принятие мер по защите.

Существует четкое сопоставление целей, описанных в руководстве по развертыванию инфраструктуры с основными аспектами Defender для облака.

Цель модели "Никому не доверяй" функция Defender для облака
Оценка соответствия В Defender для облака каждая подписка автоматически имеет microsoft cloud security benchmark (MCSB) в качестве инициативы безопасности по умолчанию.
Используя средства оценки безопасности и панель мониторинга соответствия нормативным требованиям, вы можете получить глубокое представление о состоянии безопасности клиента.
Усиление конфигурации Назначение инициатив безопасности подпискам и проверка оценки безопасности приводит к использованию рекомендаций по защите, встроенных в Defender для облака. Defender для облака периодически анализирует состояние соответствия ресурсов для выявления потенциальных ошибок в настройке безопасности и слабых мест. Затем он предоставляет рекомендации по устранению этих проблем.
Применение механизмов усиления защиты Кроме однократных исправлений для неправильной настройки безопасности, Defender для облака включает функции для дальнейшего ужесточения ресурсов, таких как:
JIT-доступ к виртуальным машинам
Адаптивная защита сети
Адаптивные элементы управления приложениями.
Настройка обнаружения угроз Defender для облака предлагает интегрированные планы защиты облачных рабочих нагрузок для обнаружения угроз и реагирования. Планы обеспечивают расширенную, интеллектуальную, защиту azure, гибридные и многооблачные ресурсы и рабочие нагрузки.
Одна из планов Microsoft Defender, Defender для серверов, включает встроенную интеграцию с Microsoft Defender для конечной точки.
Дополнительные сведения см. в статье "Введение в Microsoft Defender для облака".
Автоматическая блокировка подозрительного поведения Многие рекомендации по обеспечению защиты в Defender для облака предлагают вариант запрета. Эта функция позволяет предотвратить создание ресурсов, которые не удовлетворяют определенным условиям усиления защиты. См. сведения о предотвращении ошибок конфигурации с помощью рекомендаций о применении и отклонении.
Автоматическое отмечание подозрительного поведения оповещения системы безопасности Microsoft Defender для облака активируются расширенными обнаружениями. Список упорядоченных по приоритету оповещений отображается в Defender для облака вместе с данными, необходимыми для быстрого анализа проблемы. В Defender для облака также содержатся подробные инструкции по защите от атак. Полный список доступных оповещений см. в справочном руководстве по оповещениям системы безопасности.

Защита служб Azure PaaS с помощью Defender для облака

С поддержкой Defender для облака в подписке и планах защиты рабочих нагрузок Defender, включенных для всех доступных типов ресурсов, вы будете иметь уровень интеллектуальной защиты от угроз на базе Microsoft Threat Intelligence, защищенных ресурсами в Azure Key Vault, служба хранилища Azure, Azure DNS и других службах Azure PaaS. Полный список см. в разделе "Службы PaaS", перечисленные в матрице поддержки.

Приложения логики Azure

Используйте Azure Logic Apps, чтобы создавать автоматические масштабируемые рабочие процессы, бизнес-процессы и корпоративные оркестрации для интеграции приложений и данных в разные облачные службы и локальные системы.

Функция автоматизации рабочих процессов Defender для облака позволяет автоматизировать ответы на триггеры Defender для облака.

Это отличный способ определения и реагирования автоматизированным согласованным образом в случаях обнаружения угроз. Например, с помощью этой функции можно уведомить релевантных участников, запустить процесс управления изменениями и применить определенные шаги по исправлению при обнаружении угрозы.

Интеграция Defender для облака с решениями SIEM, SOAR и ITSM

Из Microsoft Defender для облака оповещения системы безопасности можно передавать в наиболее популярные системы управления информационной безопасностью и событиями безопасности (SIEM), оркестрации событий безопасности и автоматического реагирования (SOAR) и управления ИТ-службами (ITSM).

В Azure есть встроенные средства, позволяющие просматривать данные оповещений во всех наиболее популярных сегодня решениях, в том числе:

  • Microsoft Sentinel
  • Splunk Enterprise и Splunk Cloud
  • QRadar от IBM
  • ServiceNow
  • ArcSight
  • Power BI
  • Palo Alto Networks

Microsoft Sentinel

Defender для облака изначально интегрируется с Microsoft Sentinel, облачное решение microsoft, управление событиями информационной безопасности (SIEM) и автоматизированное решение для оркестрации безопасности (SOAR).

Существует два подхода к обеспечению представления данных Defender для облака в Microsoft Sentinel:

Потоковая передача предупреждений с помощью API безопасности Microsoft Graph

Defender для облака имеет нестандартную интеграцию с Microsoft Graph API безопасности. Никакая настройка не требуется, и дополнительная плата не взимается.

Этот API можно использовать для потоковой передачи оповещений из всего арендатора (и данных из многих других продуктов безопасности Майкрософт) в сторонние решения SIEM и другие популярные платформы:

Дополнительные сведения об API безопасности Microsoft Graph см. здесь.

Потоковая передача оповещений с помощью Azure Monitor

Используйте функцию непрерывного экспорта Defender для облака для подключения Defender для облака к Azure Monitor с помощью Центры событий Azure и потоковой передачи оповещений в ArcSight, SumoLogic, серверах Syslog, LogRhythm, Logz.io Cloud Observability Platform и других решениях мониторинга.

Дополнительные сведения см. в разделе Потоковая передача оповещений с помощью Azure Monitor.

Это также можно сделать на уровне группы управления с помощью Политики Azure, как описано в разделе Настройка непрерывного экспорта в большом масштабе с помощью предоставляемых политик.

Совет

Схемы событий экспортируемых типов данных см. на странице Схемы событий Центров событий.

Интеграция Defender для облака с решением обнаружения и ответа конечных точек (EDR)

Защитник Майкрософт для конечных точек

Microsoft Defender для конечной точки — комплексное облачное решение для обеспечения безопасности конечной точки.

Microsoft Defender для серверов включает интегрированную лицензию для Microsoft Defender для конечной точки. Вместе они обеспечивают широкие возможности обнаружения конечных точек и реагирования. Дополнительные сведения см. в статье о защите конечных точек.

Когда Defender для конечной точки обнаруживает угрозу, активируется оповещение. Оповещение отображается в Defender для облака, и вы можете свести к консоли Defender для конечной точки подробный анализ и выявить область атаки. Дополнительные сведения о Microsoft Defender для конечной точки.

Другие решения EDR

Defender для облака предоставляет рекомендации по защите ресурсов вашей организации в соответствии с рекомендациями Microsoft Cloud Security Benchmark (MCSB). Один из элементов управления в этих рекомендациях связан с безопасностью конечных точек: ES-1. Используйте обнаружение и нейтрализацию атак на конечные точки (EDR).

Существует две рекомендации в Defender для облака, чтобы гарантировать, что вы включили защиту конечных точек и работает хорошо. Эти рекомендации проверяют наличие и работоспособность решений EDR от:

  • Trend Micro
  • Symantec
  • McAfee
  • Sophos

Дополнительные сведения об оценке и рекомендациях Endpoint Protection см. в Microsoft Defender для облака.

Применение стратегии "Никому не доверяй" в гибридных и многооблачных сценариях

Так как облачные рабочие нагрузки часто распределяются между несколькими облачными платформами, облачные службы безопасности должны охватывать их все.

Microsoft Defender для облака защищает рабочие нагрузки везде, где они работают: в Azure, локальной среде, Amazon Web Services (AWS) или Google Cloud Platform (GCP).

Интеграция Defender для облака с локальными компьютерами

Чтобы защитить гибридные облачные рабочие нагрузки, можно расширить защиту Defender для облака путем подключения локальных компьютеров к серверам с поддержкой Azure Arc.

Узнайте, как подключить компьютеры в Подключение компьютерах, отличных от Azure, к Defender для облака.

Интеграция Defender для облака с другими облачными средами

Чтобы просмотреть состояние безопасности компьютеров Amazon Web Services в Defender для облака, включите учетные записи AWS в Defender для облака. Это позволит интегрировать Центр безопасности AWS и Microsoft Defender для облака для унифицированного представления рекомендаций Defender для облака и результатов AWS Security Hub и предоставления ряда преимуществ, как описано в Подключение учетных записей AWS. Microsoft Defender для облака.

Чтобы просмотреть состояние безопасности компьютеров Google Cloud Platform в Defender для облака, включите учетные записи GCP в Defender для облака. Это позволит интегрировать команду безопасности GCP и Microsoft Defender для облака для единого представления рекомендаций Defender для облака и результатов центра управления безопасностью GCP и предоставить ряд преимуществ, как описано в Подключение учетных записей GCP. Microsoft Defender для облака.

Следующие шаги

Дополнительные сведения о Microsoft Defender для облака см. в полной Defender для облака документации.