Infrastrukturintegrationen

Die Infrastruktur umfasst die Hardware, Software, Microservices, Netzwerkinfrastruktur und Einrichtungen, die erforderlich sind, um die IT-Dienste für eine Organisation zu unterstützen. Mit Zero Trust-Lösungen für die Infrastruktur werden Sicherheitsbedrohungen für diese Dienste bewertet, überwacht und verhindert.

Für Zero Trust-Lösungen für die Infrastruktur werden die Zero Trust-Grundlagen unterstützt. Hierfür wird sichergestellt, dass der Zugriff auf die Infrastrukturressourcen explizit überprüft wird, beim Zugriff auf die Gewährung der geringstmöglichen Berechtigungen geachtet wird und Mechanismen vorhanden sind, bei denen Sicherheitsverletzungen vorausgesetzt werden („Assume Breach“) und in der Infrastruktur nach Sicherheitsbedrohungen gesucht und deren Beseitigung durchgeführt wird.

Dieser Leitfaden richtet sich an Softwareanbieter und Technologiepartner, die ihre Lösungen zur Infrastruktursicherheit durch die Integration mit Microsoft-Produkten erweitern möchten.

Leitfaden zur Zero Trust-Integration für Infrastrukturen

Dieser Integrationsleitfaden enthält Strategien und Anweisungen für die Integration in Microsoft Defender for Cloud und seine integrierten Cloud-Workloadschutzpläne, Microsoft Defender for ... (Server, Container, Datenbanken, Speicher, App Services und mehr).

Der Leitfaden enthält Informationen zu den folgenden beliebten Integrationslösungen: Security Information & Event Management (SIEM), Security Orchestration Automated Response (SOAR), Endpoint Detection and Response (EDR) und IT-Service-Management (ITSM).

Zero Trust und Defender for Cloud

In unserem Leitfaden zur Bereitstellung von Zero Trust-Infrastruktur werden die wichtigen Phasen einer Zero Trust-Strategie für Infrastrukturen beschrieben. Dies sind:

  1. Bewerten der Konformität mit ausgewählten Standards und Richtlinien
  2. Härten der Konfiguration bei vorhandenen Lücken
  3. Verwenden anderer Tools für die Härtung, z. B. Just-In-Time-Zugriff (JIT) auf VMs
  4. Einrichten der Bedrohungserkennung und des Schutzes
  5. Automatisches Blockieren und Kennzeichnen von riskantem Verhalten und Ergreifen von Schutzmaßnahmen

Die Ziele, die im Leitfaden zur Bereitstellung der Infrastruktur beschrieben werden, sind den wichtigsten Aspekten von Defender for Cloud eindeutig zugeordnet.

Zero Trust-Ziel Funktionen von Defender for Cloud
Bewerten der Konformität In Defender for Cloud ist jedem Abonnement automatisch die MCSB-Sicherheitsinitiative (Microsoft Cloud Security Benchmark) als Standardinitiative zugewiesen.
Mit den Tools für die Sicherheitsbewertung (Secure Score) und dem Dashboard für die Einhaltung gesetzlicher Bestimmungen können Sie ein tiefes Verständnis des Sicherheitsstatus Ihres Kunden entwickeln.
Härten der Konfiguration Über die Zuweisung von Sicherheitsinitiativen zu Abonnements und die Überprüfung der Sicherheitsbewertung gelangen Sie zu den Empfehlungen zur Härtung, die in Defender for Cloud integriert sind. Defender for Cloud analysiert regelmäßig den Konformitätszustand von Ressourcen, um potenzielle Fehlkonfigurationen und Schwachstellen in Bezug auf die Sicherheit zu identifizieren. Anschließend werden Empfehlungen dazu bereitgestellt, wie Sie diese Probleme beheben können.
Verwenden von Härtungsmechanismen Neben einmaligen Korrekturen für Sicherheitsfehler umfasst Defender for Cloud Features, die Ihre Ressourcen weiter härten, z. B.:
Just-In-Time-Zugriff (JIT) auf VMs
Adaptives Erhöhen des Netzwerkschutzes
Adaptive Anwendungssteuerungen.
Einrichten der Bedrohungserkennung Defender for Cloud bietet integrierte Cloud-Workloadschutzpläne für die Bedrohungserkennung und -reaktion. Die Pläne ermöglichen den erweiterten intelligenten Schutz von Ressourcen und Workloads (Azure, Hybrid und Multicloud).
Einer der Microsoft Defender-Pläne – Defender for Server – umfasst die native Integration mit Microsoft Defender for Endpoint.
Weitere Informationen finden Sie in der Einführung in Microsoft Defender for Cloud.
Automatisches Blockieren von verdächtigem Verhalten Bei vielen Empfehlungen zur Härtung in Defender for Cloud können Sie die Option Deny (Ablehnen) nutzen. Mit diesem Feature können Sie die Erstellung von Ressourcen verhindern, für die die definierten Härtungskriterien nicht erfüllt sind. Weitere Informationen finden Sie unter Verhindern von Fehlkonfigurationen mit den Optionen zum Erzwingen/Ablehnen für Empfehlungen.
Automatisches Kennzeichnen von verdächtigem Verhalten Sicherheitswarnungen von Microsoft Defender for Cloud werden durch erweiterte Erkennungen ausgelöst. Defender für Cloud priorisiert die Warnungen und listet sie zusammen mit den Informationen auf, die für eine schnelle Untersuchung des Problems erforderlich sind. Defender für Cloud stellt auch detaillierte Schritte bereit, die Sie bei der Abwehr von Angriffen unterstützen. Eine vollständige Liste mit den verfügbaren Warnungen finden Sie unter Sicherheitswarnungen (Referenzhandbuch).

Schützen Ihrer Azure PaaS-Dienste mit Defender for Cloud

Wenn Defender for Cloud in Ihrem Abonnement und die Defender Workloadschutzpläne für alle vorhandenen Ressourcentypen aktiviert sind, verfügen Sie über eine Ebene mit intelligentem Bedrohungsschutz, der auf Microsoft Threat Intelligence basiert. Hiermit werden Ressourcen in Azure Key Vault, Azure Storage, Azure DNS und anderen Azure PaaS-Diensten geschützt. Eine vollständige Liste finden Sie in den PaaS-Diensten, die in der Supportmatrix aufgeführt sind.

Azure Logic Apps

Verwenden Sie Azure Logic Apps, um automatisierte skalierbare Workflows, Geschäftsprozesse und Unternehmensorchestrierungen für die Integration Ihrer Apps und Daten in Clouddienste und lokale Systeme zu entwickeln.

Mit der Workflowautomatisierungsfunktion von Defender for Cloud können Sie Antworten auf Defender for Cloud-Trigger automatisieren.

Dies ist eine hervorragende Möglichkeit zum Definieren von Reaktionen, die bei der Erkennung von Bedrohungen auf automatisierte und einheitliche Weise ausgelöst werden. Beispiele hierfür sind das Benachrichtigen der relevanten Beteiligten, das Starten eines Change Management-Prozesses und das Anwenden bestimmter Lösungsschritte, wenn eine Bedrohung erkannt wird.

Integrieren von Defender for Cloud in Ihre SIEM-, SOAR- und ITSM-Lösungen

Microsoft Defender für Cloud kann Ihre Sicherheitswarnungen in die gängigsten Lösungen für Security Information und Event Management (SIEM), Security Orchestration Automated Response (SOAR) und IT Service Management (ITSM) übertragen.

Es gibt native Azure-Tools, mit denen sichergestellt wird, dass Sie die Warnungsdaten in allen heute gebräuchlichen Lösungen anzeigen können. Dazu zählen:

  • Microsoft Sentinel
  • Splunk Enterprise and Splunk Cloud
  • QRadar von IBM
  • ServiceNow
  • ArcSight
  • Power BI
  • Palo Alto Networks

Microsoft Sentinel

Defender for Cloud kann nativ in Microsoft Sentinel integriert werden. Hierbei handelt es sich um die cloudnative SIEM- (Security Information & Event Management) und SOAR-Lösung (Security Orchestration Automated Response) von Microsoft.

Sie können mit zwei Ansätzen sicherstellen, dass Ihre Defender for Cloud-Daten in Microsoft Sentinel dargestellt werden:

Streamen von Warnungen mit der Microsoft Graph-Sicherheits-API

Defender für Cloud verfügt über eine sofort einsatzbereite Integration mit Microsoft Graph Security API. Es ist keine Konfiguration erforderlich, und es fallen keine zusätzlichen Kosten an.

Mithilfe dieser API können Sie Warnungen des gesamten Mandanten (und Daten aus vielen anderen Microsoft-Sicherheitsprodukten) an Drittanbieter-SIEMs und andere beliebte Plattformen streamen:

Erfahren Sie mehr über die Microsoft Graph-Sicherheits-API.

Streamen von Warnungen mit Azure Monitor

Verwenden Sie das Defender for Cloud-Feature Fortlaufender Export, um für Defender for Cloud über Azure Event Hubs eine Verbindung mit Azure Monitor herzustellen und Warnungen an ArcSight, SumoLogic, Syslog-Server, LogRhythm, Logz.io Cloud Observability Platform und andere Überwachungslösungen zu streamen.

Weitere Informationen finden Sie unter Streamen von Warnungen mit Azure Monitor.

Sie können dies auch auf Verwaltungsgruppenebene mit Azure Policy durchführen. Informationen hierzu finden Sie unter Erstellen von Konfigurationen zur Automatisierung des fortlaufenden Exports.

Tipp

Die Ereignisschemas der exportierten Datentypen finden Sie bei den Event Hub-Ereignisschemas.

Integrieren von Defender for Cloud mit einer Endpoint Detection & Response-Lösung (EDR)

Microsoft Defender für den Endpunkt

Microsoft Defender für Endpunkt ist eine ganzheitliche cloudbasierte Lösung für die Endpunktsicherheit.

Microsoft Defender for Server beinhaltet eine integrierte Lizenz für Microsoft Defender for Endpoint. Dadurch stehen umfassende EDR-Funktionen (Endpoint Detection and Response; Endpunkterkennung und -reaktion) zur Verfügung. Weitere Informationen finden Sie unter Schützen Ihrer Endpunkte.

Wenn Defender für Endpunkt eine Bedrohung erkennt, wird eine Warnung ausgelöst. Die Warnung wird in Defender for Cloud angezeigt und Sie können auch zur Defender for Endpoint-Konsole wechseln und eine gründliche Untersuchung durchführen, um das Ausmaß des Angriffs zu ermitteln. Erfahren Sie mehr zu Microsoft Defender for Endpoint.

Andere EDR-Lösungen

In Defender for Cloud werden Empfehlungen zur Härtung bereitgestellt, um sicherzustellen, dass Sie die Ressourcen Ihrer Organisation gemäß den Vorgaben der Microsoft Cloudsicherheits-Benchmark (MCSB) schützen. Eine der Kontrollen des Vergleichstests bezieht sich auf die Endpunktsicherheit: ES-1: Verwenden von Endpoint Detection & Response (EDR).

Defender for Cloud enthält zwei Empfehlungen, mit denen sichergestellt werden soll, dass Sie den Endpunktschutz aktiviert haben und dass dieser richtig ausgeführt wird. Bei diesen Empfehlungen wird überprüft, ob EDR-Lösungen der folgenden Art vorhanden und betriebsbereit sind:

  • Trend Micro
  • Symantec
  • McAfee
  • Sophos

Weitere Informationen finden Sie unter Endpoint Protection: Bewertung und Empfehlungen in Microsoft Defender for Cloud.

Anwenden Ihrer Zero Trust-Strategie auf Hybrid- und Multi-Cloud-Szenarien

Cloudworkloads umfassen in der Regel mehrere Cloudplattformen, daher muss das auch für Cloudsicherheitsdienste gelten.

Mit Microsoft Defender for Cloud werden Workloads unabhängig von ihrer Ausführungsart geschützt: in Azure, lokal, Amazon Web Services (AWS) oder Google Cloud Platform (GCP).

Integrieren von Defender for Cloud in lokale Computer

Für den Schutz von Hybrid Cloud-Workloads können Sie die Schutzfunktionen von Defender for Cloud erweitern, indem Sie für lokale Computer eine Verbindung mit Servern mit Azure Arc-Unterstützung herstellen.

Informationen zur Verbindungsherstellung für Computer finden Sie unter Verbinden Ihrer Nicht-Azure-Computer mit Defender for Cloud.

Integrieren von Defender for Cloud in andere Cloudumgebungen

Um den Sicherheitsstatus von Amazon Web Services-Computern in Defender for Cloud anzuzeigen, integrieren Sie AWS-Konten in Defender for Cloud. Dies integriert AWS Security Hub und Microsoft Defender for Cloud für eine einheitliche Ansicht von Defender for Cloud-Empfehlungen und AWS Security Hub-Ergebnissen und bietet eine Reihe von Vorteilen, wie unter Verbinden Ihrer AWS-Konten mit Microsoft Defender for Cloud beschrieben.

Um den Sicherheitsstatus von Google Cloud Platform-Computern in Defender for Cloud anzuzeigen, integrieren Sie GCP-Konten in Defender for Cloud. Dies integriert GCP Security Command und Microsoft Defender for Cloud für eine einheitliche Ansicht der Defender for Cloud-Empfehlungen und GCP Security Command Center-Ergebnisse und bietet eine Reihe von Vorteilen, wie unter Verbinden Ihrer GCP-Konten mit Microsoft Defender for Cloud beschrieben.

Nächste Schritte

Weitere Informationen zu Microsoft Defender for Cloud finden Sie in der vollständigen Dokumentation zu Microsoft Defender for Cloud.