služby zabezpečení Microsoft

Tento článek popisuje Microsoft služby zabezpečení a jejich spolupráci jako sjednocený systém pro zajištění ochrany napříč pilíři technologie které zahrnují identity, zařízení, aplikace, data, AI a infrastrukturu.

Moderní podnikové zabezpečení se přesunulo z hraniční ochrany na model integrovaný v cloudu řízený identitou. Organizace musí zabezpečit uživatele, zařízení, aplikace a data v hybridních a multicloudových prostředích a současně se neustále přizpůsobovat měnícím se hrozbám.

Microsoft poskytuje integrovanou sadu cloudových služeb, které spolupracují na sdílení signálů, používají konzistentní zásady, vynucují kontroly a koordinují detekci a reakci v celém prostředí.

Výsledky zabezpečení

Integrované zabezpečení Microsoft přináší následující výsledky:

  • Viditelnost sjednoceného signálu: Telemetrie se průběžně shromažďuje a centralizuje napříč identitami, zařízeními, aplikacemi, daty a infrastrukturou a převádí se na centralizované signály, které se dají zpracovat.
  • Rozhodování řízené identitou: Rozhodnutí o přístupu a vynucování jsou založená na identitě, stavu zařízení, rizikových signálech a kontextu relace.
  • Konzistentní vynucování: Kontroly nulová důvěra (Zero Trust) jsou uplatňovány napříč koncovými body, cloudovými službami a aplikacemi v okamžiku přístupu i během používání.
  • Integrované zjišťování a reakce: Signály a výstrahy korelují napříč doménami za účelem detekce hrozeb a reakce na ně jako sjednocené operace.
  • Průběžné ověřování a zlepšování: Detekce a rizikové signály se vrací k rozhodnutím o zásadách, aby se v průběhu času posílila ochrana.

Základní služby zabezpečení

Základní služby zabezpečení zahrnují několik technologických pilířů, z nichž každý přispívá ke signálům, kontextu a vynucování napříč platformou.

Pilíř
Primární služba
Ochranu Primární portál
Identita a přístup

Microsoft Entra

Microsoft Defender for Identity.
Microsoft Entra řídí přístup pro uživatele, úlohy a aplikace. Vyhodnocuje identity, zařízení a signály relací, aby se mohli rozhodovat o přístupu.

Defender pro identity monitoruje infrastrukturu hybridní identity k detekci útoků.
Centrum pro správu Microsoft Entra

Portál Microsoft Defenderu
Zařízení/koncová zařízení

Microsoft Defender for Endpoint (ochrana koncových bodů)

Microsoft Intune
Defender pro koncový bod shromažďuje telemetrii koncových bodů a detekuje hrozby.
Microsoft Intune vyhodnocuje dodržování předpisů zařízením a vynucuje zásady.
Portál Microsoft Defenderu

Centrum pro správu Microsoft Intune
E-mail a spolupráce

Defender pro Microsoft Office 365
Chrání Exchange a služby pro spolupráci (Microsoft Teams, SharePoint, OneDrive) před malwarem, škodlivými odkazy a přílohami a ohrožením zabezpečení obchodních e-mailů. Portál Microsoft Defenderu
Data

Microsoft Purview
Vynucuje zásady ochrany dat a ochrany před únikem informací napříč koncovými body a cloudovými službami. Portál Microsoft Purview
Infrastruktura/ cloudové úlohy

Microsoft Defender for Cloud
Zlepšuje stav zabezpečení a poskytuje detekci hrozeb napříč cloudovými a hybridními úlohami. Microsoft Azure Portal
Portál Microsoft Defenderu
Networks

síťové služby Azure
Segmentace a ochrana sítí Microsoft Azure Portal
SaaS/ cloudové aplikace

Microsoft Defender pro cloudové aplikace
Poskytuje přehled o využití cloudových aplikací a monitoruje aktivity uživatelů za účelem zjištění rizikového chování. Portál Microsoft Defenderu
Stav/riziko

Správa zranitelností zabezpečení Microsoftu
Identifikuje, upřednostňuje a snižuje riziko ohrožení identit, zařízení, cloudových prostředků a aplikací. Portál Microsoft Defenderu
Detekce hrozeb/reakce

Microsoft Defender XDR
Koreluje signály napříč službami Defender a vytváří jednotné incidenty pro vyšetřování a reakci. portál Microsoft Defender
Operace zabezpečení

Microsoft Sentinel
Agreguje telemetrii z Microsoft a zdrojů třetích stran pro centralizovanou analýzu, šetření a reakci. Microsoft Azure Portal
Portál Microsoft Defenderu
Zabezpečení pro vývojáře a aplikace

Defender for DevOps (v Defender for Cloud)
GitHub Advanced Security
Zabezpečuje kód, závislosti a kanály sestavení a vynucuje zásady správného řízení zabezpečení napříč pracovními postupy DevOps. Portál Microsoft Defenderu
rozhraní GitHub

Služby ochrany sítě

Tabulka shrnuje možnosti Azure sítí a jejich přímou integraci s dalšími službami zabezpečení. Služby se konfigurují v portál Microsoft Azure.

Service Ochranu Integrace
Azure Firewall Vynucuje pravidla IP adres, portů a aplikací pro řízení příchozího a odchozího provozu napříč podsítěmi, internetem a místními sítěmi. Používá Microsoft analýzu hrozeb k blokování známého škodlivého provozu. Defender for Cloud vyhodnotí stav konfigurace.

Diagnostické protokoly se shromažďují v Azure Monitoru / Log Analytics a jsou analyzovány nástrojem Microsoft Sentinel pro detekci a korelaci.
Azure ochrana před útoky DDoS Snižuje objemové útoky, protokoly a útoky na aplikační vrstvu. Chrání internetové prostředky ve virtuálních sítích před rozsáhlými útoky na záplavy. Metriky a telemetrie útoků se ingestují do Azure Monitor/Log Analytics a dají se analyzovat v Microsoft Sentinel.

Defender for Cloud poskytuje doporučení ke stavu zabezpečení.
Azure virtuální síť Poskytuje izolaci sítě, segmentaci a přidělování privátních IP adres pro prostředky Azure. Umožňuje řízené připojení mezi službami. Defender for Cloud vyhodnotí stav konfigurace, včetně vystavení, jako jsou veřejné přístupové cesty.
Skupiny zabezpečení sítě (NSG) Filtruje provoz na úrovni podsítě a síťového rozhraní pomocí pravidel povolení a zamítnutí. Omezuje nežádoucí provoz směrem ke zdrojům. Protokoly toku NSG (prostřednictvím Azure Monitor) je možné analyzovat v Microsoft Sentinel za účelem viditelnosti a detekce provozu.

Defender for Cloud vyhodnotí konfiguraci pravidla NSG.
Firewall webových aplikací Azure (WAF) Chrání aplikace HTTP/HTTPS pomocí sad pravidel OWASP. Pomáhá předcházet běžným webovým útokům, jako je injektáž SQL a skriptování mezi weby (XSS). Protokoly WAF se načítají do Azure Monitoru / Log Analytics a analyzují se službou Microsoft Sentinel.

Defender for Cloud vyhodnotí stav konfigurace WAF.
Azure Front Door Poskytuje globální vstupní bod pro webové aplikace se směrováním, zrychlením a funkcemi zabezpečení na okraji sítě. Integruje se s WAF pro ochranu aplikací. Diagnostické protokoly (Front Door/WAF) se přijímají do služby Log Analytics a jsou analyzovány službou Microsoft Sentinel.

Defender for Cloud vyhodnotí stav konfigurace.
Azure Application Gateway Poskytuje regionální vyrovnávání zatížení s integrovanými funkcemi firewallu webových aplikací pro ochranu a směrování provozu aplikací. Protokoly přístupu a protokoly brány WAF se načítají do Log Analytics a jsou analyzovány službou Microsoft Sentinel.

Defender for Cloud vyhodnotí stav konfigurace a nastavení expozice.
Službu Azure VPN Gateway Poskytuje šifrované připojení IPsec/IKE mezi místními prostředími a virtuálními sítěmi Azure. Chrání přenášená data přes veřejné sítě. Protokoly připojení a tunelů se načítají do Log Analytics a lze je analyzovat v Microsoft Sentinel.

Defender for Cloud vyhodnotí stav konfigurace, včetně nastavení šifrování.
Azure ExpressRoute Poskytuje privátní vyhrazené připojení mezi místními prostředími a Azure přes páteřní síť Microsoft, aby se zabránilo veřejnému internetu. Provozní telemetrie (například protokol BGP, stav okruhu) je dostupná prostřednictvím Azure Monitor a je možné ji analyzovat v Microsoft Sentinel.

Defender for Cloud vyhodnocuje celkový stav konfigurace.
Azure Bastion Poskytuje zabezpečený přístup RDP a SSH k virtuálním počítačům prostřednictvím prohlížeče a eliminuje potřebu vystavení veřejné IP adresy. Diagnostické protokoly se načítají do Log Analytics a analyzují se v Microsoft Sentinelu.

Defender for Cloud vyhodnocuje omezené VM, ale konfiguraci Azure Bastion přímo nevyhodnocuje.
Azure Private Link Poskytuje privátní připojení ke službám PaaS Azure a zákaznickým službám pomocí privátních IP adres, což eliminuje veřejné vystavení. Protokoly na úrovni služeb (pro služby přístupné prostřednictvím Private Link, například Storage, SQL a Key Vault) se shromažďují v Log Analytics a analyzuje je Microsoft Sentinel.

Defender for Cloud vyhodnotí, jestli se k omezení expozice používají privátní propojení.
Azure Network Watcher Poskytuje diagnostiku sítě, monitorování a viditelnost na úrovni toku napříč prostředky Azure. Protokoly toků NSG a diagnostická data se načítají do Log Analytics a lze je analyzovat v Microsoft Sentinel.

Defender for Cloud vyhodnocuje stav konfigurace podkladových prostředků, například nastavení NSG, nikoli samotný Network Watcher.

Pracovní postup zabezpečení

Služby zabezpečení fungují jako nepřetržitý proces. Signály se průběžně shromažďují, vyhodnocují, vynucují a používají k řízení detekce a odezvy.

Pipeline Action Klíčová aktivita
Fáze 1: Shromažďování signálů Služby zabezpečení generují telemetrii napříč identitami, zařízeními, aplikacemi a infrastrukturou. - Microsoft Defender for Endpoint shromažďuje telemetrii zařízení.
– Microsoft Intune vyhodnotí dodržování předpisů zařízením.
– Defender for Identity monitoruje aktivity identit v místním prostředí.
- Defender for Cloud Apps monitoruje aktivitu SaaS.
– Defender for Cloud monitoruje konfiguraci infrastruktury a úlohy a aktivitu.
Fáze 2: Rozhodnutí o zásadách Signály se vyhodnocují tak, aby určily podmínky přístupu a řídicí akce. Microsoft Entra Podmíněný přístup vyhodnocuje riziko identity, důvěryhodnost zařízení, umístění a kontext relace.
Fáze 3: Vynucení kontroly Kontrolní mechanismy zabezpečení se používají napříč identitou, zařízeními, relacemi, daty a síťovými vrstvami. Body prosazování zásad zahrnují:
– Podmíněný přístup (MFA/omezení)
– Intune (dodržování předpisů zařízením)
-Defender for Cloud Apps (řízení relací)
– Microsoft Purview (DLP)
– Azure sítě (omezení připojení).
Fáze 4: Detekce a odezva Signály a výstrahy korelují s detekcí, vyšetřováním a nápravou hrozeb. Microsoft Defender XDR koreluje signály ze všech produktů Defender do jednotných incidentů.

Microsoft Sentinel centralizuje protokoly, incidenty, proaktivní vyhledávání a orchestraci zabezpečení, automatizaci a reakci (SOAR) v celém prostředí , včetně zdrojů třetích stran.
Smyčka zpětné vazby Výsledky detekce se promítají zpět do rozhodování o bezpečnostních zásadách, aby se ochrana průběžně zlepšovala. Signály rizik a hrozeb informují aktualizace zásad v reálném čase a umožňují adaptivní a automatizovanou ochranu.

Integrace služby zabezpečení

Microsoft služby zabezpečení se integrují prostřednictvím několika toků fungujících jako soudržný kanál, který tvoří nepřetržitý systém ochrany.

  • Signály (telemetrie) zaznamenávají aktivitu napříč identitami, zařízeními, aplikacemi a dalšími prostředky.
  • Kontext (identita, stav zařízení a klasifikace dat) rozšiřuje signály, aby se zlepšila přesnost a rozhodování.
  • Zásada definuje, jaký přístup je povolený nebo blokovaný na základě vyhodnocených podmínek.
  • Akce vynucují rozhodnutí prostřednictvím automatizovaných ovládacích prvků a odpovědí.

Když signály procházejí platformou, jsou obohacovány, vyhodnocovány podle bezpečnostních zásad a je na ně reagováno, čímž vzniká nepřetržitý cyklus ochrany a reakce.

Integrace služeb

Tabulka shrnuje, jak bezpečnostní služby využívají signály a kontext z jednotlivých zdrojů a jaké výstupy produkují a jaké akce provádějí.

Service Spotřebuje Outputs
Microsoft Entra ID Signály: Aktivita ověřování (přihlášení, rizikové události). Stav dodržování předpisů zařízení v Microsoft Intune

Context: Kontext zařízení pro rozhodování o přístupu z Defender for Endpoint. Kontext relace pro rozhodnutí o přístupu z Defender for Cloud Apps
Akce: Rozhodnutí o podmíněném přístupu (povolení, blokování, omezení, vyžadování ovládacích prvků)
Microsoft Intune Signály: Inventář spravovaných zařízení, stav, stav dodržování předpisů.

Context: Přidružení identit z Microsoft Entra ID.
Výstupy: Stav souladu zařízení v Microsoft Entra ID. Protokoly auditu zařízení pro Microsoft Sentinel
Microsoft Purview Signals: Podniková data napříč Microsoft 365, aplikacemi SaaS a místními systémy.

Kontext: Klasifikace dat (popisky citlivosti, kontrola obsahu, aktivita uživatelů).
Výstupy: Výstrahy rizik insiderů a ochrany před únikem informací (DLP) do Defender XDR. Protokoly dodržování předpisů a auditu pro Microsoft Sentinel

Actions: Vynucování zásad DLP na koncových zařízeních (Defender for Endpoint) a v relacích (Defender for Cloud Apps).
Defender for Endpoint – Microsoftova služba zabezpečení koncových bodů Signály: Telemetrie koncového bodu (proces, soubor, síťová aktivita).

Context: Microsoft Entra ID (kontext identity). Microsoft Intune (stav zařízení). Microsoft Purview (zásady DLP).
Výstupy: Výstrahy z koncových bodů a telemetrie do Defenderu XDR a Microsoft Sentinelu.

Akce: Vynucování na koncových bodech (izolace zařízení, blokování, náprava).
Defender for Identity Signály: Signály identity služby služba Active Directory. Output: Upozornění na hrozby identity pro Defender XDR a Microsoft Sentinel.
Defender for Cloud Apps Signály: Aktivita aplikace SaaS (využití cloudu). Síťová a stínová telemetrie IT z Defender pro koncový bod

Context: Kontext relace a ověřování z Microsoft Entra ID. Zásady ochrany před únikem informací v Microsoft Purview
Outputs: Upozornění cloudových aplikací na Defender XDR a Microsoft Sentinel.

Akce: Vynucování relace (blokování, monitorování, omezení přístupu).
Defender for Cloud Signals: Informace o operaci prostředku z Azure. Telemetrie serverů nebo úloh z Defenderu for Endpoint.

Kontext: Konfigurace a stav prostředků
Outputs: Výstrahy zabezpečení a přehledy stavu pro Defender XDR a Microsoft Sentinel.
Řízení vystavení bezpečnostním hrozbám od Microsoftu Signals: Skóre rizika zařízení v programu Defender for Endpoint. Inventář cloudových prostředků, stav zabezpečení, míra vystavení a zjištění týkající se plochy útoku z Defender for Cloud. Inventarizace identit a signály rizik z Microsoft Entra Inventář, rizika a kontext využití aplikací SaaS z Defender for Cloud Apps

Kontext: Jednotná expozice a korelace rizik.
Výstupy: Poznatky o vystavení a korelace rizik pro Microsoft XDR a Microsoft Sentinel.
Defender XDR Signály: Výstrahy z Defender for Endpoint (zařízení), Defender for Identity (signály identit), Defender pro Office 365 (e-mail a spolupráce), Defender for Cloud Apps (aktivita SaaS a aplikací). Další signály z Microsoft Purview (DLP, insider risk, klasifikace dat), Microsoft Entra ID Protection (signály rizik identit) a Defender for Cloud (stav úloh nebo cloudu). Outputs: Korelované výstrahy, incidenty do Microsoft Sentinelu.

Akce: Automatizovaná odpověď napříč doménami.
Microsoft Sentinel Signals: Upozornění, protokoly, telemetrie z Defender XDR, Microsoft Purview, cloudové služby a další zdroje třetích stran. Výstupy: Analýzy, vyšetřování a incidenty.

Akce: Automatizovaná reakce pomocí playbooků.
Microsoft Security Copilot Signals: Incidenty a výstrahy z Microsoft Sentinel a Defender XDR.

Context: Citlivá data a kontext insiderských rizik z Microsoft Purview. Kontext expozice v rámci zabezpečení od Microsoftu Exposure Management.
Výstupy: Souhrny šetření, doporučení, přehledy řízené AI

Actions: Řízené akce reakce směrované do pracovních postupů Microsoft Sentinel a Defender XDR.

Další kroky

  • Začněte posouzením nulová důvěra (Zero Trust) vašeho současného stavu zabezpečení.
  • Pokud chcete začít s přechodem na nulová důvěra (Zero Trust), postupujte podle našeho strukturovaného modelu adoption.
  • Seznamte se s klíčovými výsledky v oblasti zabezpečení pro vedoucí představitele firem prostřednictvím našich scénářů zavádění pro firmy . Začněteimplementací technických řešení pro obchodní řešení a technologické pilíře, jako jsou data a zařízení.