Integrace Microsoft Defenderu pro cloud se službou Azure VMware Solution

  • Článek

Microsoft Defender for Cloud poskytuje pokročilou ochranu před hrozbami napříč řešením Azure VMware a místními virtuálními počítači. Vyhodnocuje ohrožení zabezpečení virtuálních počítačů Azure VMware Solution a podle potřeby vyvolává výstrahy. Tyto výstrahy zabezpečení je možné předat službě Azure Monitor za účelem řešení. Zásady zabezpečení můžete definovat v programu Microsoft Defender for Cloud. Další informace najdete v tématu Práce se zásadami zabezpečení.

Microsoft Defender for Cloud nabízí řadu funkcí, mezi které patří:

  • Monitorování integrity souborů
  • Detekce útoků bez souborů
  • Posouzení oprav operačního systému
  • Posouzení chyb konfigurace zabezpečení
  • Posouzení ochrany koncových bodů

Diagram znázorňuje integrovanou architekturu monitorování integrovaného zabezpečení pro virtuální počítače Azure VMware Solution.

Diagram znázorňující architekturu integrovaného zabezpečení Azure

Agent Log Analytics shromažďuje data protokolů z Azure, Azure VMware Solution a místních virtuálních počítačů. Data protokolu se odesílají do protokolů služby Azure Monitor a ukládají se do pracovního prostoru služby Log Analytics. Každý pracovní prostor má vlastní úložiště dat a konfiguraci pro ukládání dat. Jakmile se protokoly shromažďují, Microsoft Defender for Cloud vyhodnotí stav ohrožení zabezpečení virtuálních počítačů Azure VMware Solution a vyvolá výstrahu pro všechna kritická ohrožení zabezpečení. Po posouzení Microsoft Defender for Cloud předá stav ohrožení zabezpečení službě Microsoft Sentinel a vytvoří incident a mapuje se s jinými hrozbami. Microsoft Defender pro cloud je připojený k Microsoft Sentinelu pomocí Microsoft Defenderu pro cloudový konektor.

Požadavky

Přidání virtuálních počítačů Azure VMware Solution do Defenderu pro cloud

  1. Na webu Azure Portal vyhledejte Azure Arc a vyberte ho.

  2. V části Prostředky vyberte Servery a pak +Přidat.

    Snímek obrazovky se stránkou Serverů Azure Arc pro přidání virtuálního počítače Azure VMware Solution do Azure

  3. Vyberte Vygenerovat skript.

    Snímek obrazovky se stránkou Azure Arc zobrazující možnost přidání serveru pomocí interaktivního skriptu

  4. Na kartě Požadavky vyberte Další.

  5. Na kartě Podrobnosti o zdroji vyplňte následující podrobnosti a pak vyberte Další. Značky:

    • Předplatné
    • Skupina prostředků
    • Oblast
    • Operační systém
    • Podrobnosti proxy serveru

  6. Na kartě Značky vyberte Další.

  7. Na kartě Stáhnout a spustit skript vyberte Stáhnout.

  8. Zadejte operační systém a spusťte skript na virtuálním počítači Azure VMware Solution.

Zobrazení doporučení a předaných posouzení

Doporučení a posouzení poskytují podrobnosti o stavu zabezpečení vašeho prostředku.

  1. V programu Microsoft Defender for Cloud vyberte Inventář z levého podokna.

  2. Jako typ prostředku vyberte Servery – Azure Arc.

    Snímek obrazovky zobrazující stránku Inventář cloudu v programu Microsoft Defender se servery – Azure Arc vybranou v části Typ prostředku

  3. Vyberte název vašeho prostředku. Otevře se stránka s podrobnostmi o stavu zabezpečení vašeho prostředku.

  4. V části Seznam doporučení vyberte karty Doporučení, Předaná hodnocení a Nedostupná posouzení a zobrazte tyto podrobnosti.

    Snímek obrazovky s doporučeními a posouzeními zabezpečení cloudu v programu Microsoft Defender for Cloud

Nasazení pracovního prostoru Služby Microsoft Sentinel

Microsoft Sentinel poskytuje analýzy zabezpečení, detekci výstrah a automatizovanou reakci na hrozby v celém prostředí. Jedná se o řešení pro správu událostí zabezpečení (SIEM) nativní pro cloud, které je postavené na pracovním prostoru služby Log Analytics.

Vzhledem k tomu, že služba Microsoft Sentinel je založená na pracovním prostoru služby Log Analytics, stačí vybrat jenom pracovní prostor, který chcete použít.

  1. Na webu Azure Portal vyhledejte Microsoft Sentinel a vyberte ho.

  2. Na stránce pracovních prostorů Služby Microsoft Sentinel vyberte +Přidat.

  3. Vyberte pracovní prostor služby Log Analytics a vyberte Přidat.

Povolení kolektoru dat pro události zabezpečení

  1. Na stránce pracovních prostorů Služby Microsoft Sentinel vyberte nakonfigurovaný pracovní prostor.

  2. V části Konfigurace vyberte Datové konektory.

  3. Ve sloupci Název konektoru vyberte v seznamu události zabezpečení a pak vyberte Otevřít stránku konektoru.

  4. Na stránce konektoru vyberte události, které chcete streamovat, a pak vyberte Použít změny.

    Snímek obrazovky se stránkou Události zabezpečení v Microsoft Sentinelu, kde můžete vybrat, které události se mají streamovat

Propojení Microsoft Sentinelu s Microsoft Defenderem pro cloud

  1. Na stránce pracovního prostoru Služby Microsoft Sentinel vyberte nakonfigurovaný pracovní prostor.

  2. V části Konfigurace vyberte Datové konektory.

  3. V seznamu vyberte Microsoft Defender for Cloud a pak vyberte Otevřít stránku konektoru.

    Snímek obrazovky se stránkou Datové konektory v Microsoft Sentinelu zobrazující výběr pro připojení Microsoft Defenderu pro cloud s Microsoft Sentinelem

  4. Vyberte Připojit a připojte Microsoft Defender for Cloud s Microsoft Sentinelem.

  5. Povolením vytvoření incidentu vygenerujte incident pro Microsoft Defender for Cloud.

Vytvoření pravidel pro identifikaci bezpečnostních hrozeb

Po připojení zdrojů dat ke službě Microsoft Sentinel můžete vytvořit pravidla pro generování výstrah pro zjištěné hrozby. V následujícím příkladu vytvoříme pravidlo pro pokusy o přihlášení k Windows Serveru pomocí nesprávného hesla.

  1. Na stránce přehledu služby Microsoft Sentinel v části Konfigurace vyberte Analýza.

  2. V části Konfigurace vyberte Analýza.

  3. Vyberte +Vytvořit a v rozevíracím seznamu vyberte Pravidlo naplánovaného dotazu.

  4. Na kartě Obecné zadejte požadované informace a pak vyberte Další: Nastavit logiku pravidla.

    • Název
    • Popis
    • Taktika
    • Závažnost
    • Stav

  5. Na kartě Nastavit logiku pravidla zadejte požadované informace a pak vyberte Další.

    • Dotaz na pravidlo (tady znázorňující náš ukázkový dotaz)

      SecurityEvent
|where Activity startswith '4625'
|summarize count () by IpAddress,Computer
|where count_ > 3

    • Mapovat entity

    • Plánování dotazů

    • Prahová hodnota upozornění

    • Seskupování událostí

    • Potlačení

  6. Na kartě Nastavení incidentu povolte možnost Vytvořit incidenty z výstrah aktivovaných tímto analytickým pravidlem a vyberte Další: Automatizovaná odpověď.

    Snímek obrazovky s průvodcem analytickým pravidlem pro vytvoření nového pravidla v Microsoft Sentinelu

  7. Vyberte Další: Zkontrolovat.

  8. Na kartě Revize a vytvoření zkontrolujte informace a vyberte Vytvořit.

Tip

Po třetím neúspěšném pokusu o přihlášení k Windows Serveru aktivuje vytvořené pravidlo incident pro každý neúspěšný pokus.

Zobrazení upozornění

Vygenerované incidenty můžete zobrazit pomocí Služby Microsoft Sentinel. Incidenty můžete také přiřadit a zavřít, jakmile se vyřeší, a to vše z Microsoft Sentinelu.

  1. Přejděte na stránku přehledu služby Microsoft Sentinel.

  2. V části Správa hrozeb vyberte Incidenty.

  3. Vyberte incident a pak ho přiřaďte týmu k vyřešení.

    Snímek obrazovky se stránkou Incidenty Služby Microsoft Sentinel s vybraným incidentem a možností přiřazení incidentu k řešení

Tip

Po vyřešení problému ho můžete zavřít.

Vyhledávání bezpečnostních hrozeb pomocí dotazů

Můžete vytvářet dotazy nebo používat dostupný předdefinovaný dotaz v Microsoft Sentinelu k identifikaci hrozeb ve vašem prostředí. Následující kroky spustí předdefinovaný dotaz.

  1. Na stránce přehledu služby Microsoft Sentinel v části Správa hrozeb vyberte Proaktivní vyhledávání. Zobrazí se seznam předdefinovaných dotazů.

    Tip

    Nový dotaz můžete vytvořit také tak, že vyberete Nový dotaz.

    Snímek obrazovky se stránkou proaktivního vyhledávání v Microsoft Sentinelu se zvýrazněnou možností + Nový dotaz

  2. Vyberte dotaz a pak vyberte Spustit dotaz.

  3. Výběrem možnosti Zobrazit výsledky zkontrolujte výsledky.

Další kroky

Teď, když jste se zabývali ochranou virtuálních počítačů Azure VMware Solution, získáte další informace o: