Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje Microsoft služby zabezpečení a jejich spolupráci jako sjednocený systém pro zajištění ochrany napříč pilíři technologie které zahrnují identity, zařízení, aplikace, data, AI a infrastrukturu.
Moderní podnikové zabezpečení se přesunulo z hraniční ochrany na model integrovaný v cloudu řízený identitou. Organizace musí zabezpečit uživatele, zařízení, aplikace a data v hybridních a multicloudových prostředích a současně se neustále přizpůsobovat měnícím se hrozbám.
Microsoft poskytuje integrovanou sadu cloudových služeb, které spolupracují na sdílení signálů, používají konzistentní zásady, vynucují kontroly a koordinují detekci a reakci v celém prostředí.
Výsledky zabezpečení
Integrované zabezpečení Microsoft přináší následující výsledky:
- Viditelnost sjednoceného signálu: Telemetrie se průběžně shromažďuje a centralizuje napříč identitami, zařízeními, aplikacemi, daty a infrastrukturou a převádí se na centralizované signály, které se dají zpracovat.
- Rozhodování řízené identitou: Rozhodnutí o přístupu a vynucování jsou založená na identitě, stavu zařízení, rizikových signálech a kontextu relace.
- Konzistentní vynucování: Kontroly nulová důvěra (Zero Trust) jsou uplatňovány napříč koncovými body, cloudovými službami a aplikacemi v okamžiku přístupu i během používání.
- Integrované zjišťování a reakce: Signály a výstrahy korelují napříč doménami za účelem detekce hrozeb a reakce na ně jako sjednocené operace.
- Průběžné ověřování a zlepšování: Detekce a rizikové signály se vrací k rozhodnutím o zásadách, aby se v průběhu času posílila ochrana.
Základní služby zabezpečení
Základní služby zabezpečení zahrnují několik technologických pilířů, z nichž každý přispívá ke signálům, kontextu a vynucování napříč platformou.
|
Pilíř Primární služba |
Ochranu | Primární portál |
|---|---|---|
|
Identita a přístup Microsoft Entra Microsoft Defender for Identity. |
Microsoft Entra řídí přístup pro uživatele, úlohy a aplikace. Vyhodnocuje identity, zařízení a signály relací, aby se mohli rozhodovat o přístupu. Defender pro identity monitoruje infrastrukturu hybridní identity k detekci útoků. |
Centrum pro správu Microsoft Entra Portál Microsoft Defenderu |
|
Zařízení/koncová zařízení Microsoft Defender for Endpoint (ochrana koncových bodů) Microsoft Intune |
Defender pro koncový bod shromažďuje telemetrii koncových bodů a detekuje hrozby. Microsoft Intune vyhodnocuje dodržování předpisů zařízením a vynucuje zásady. |
Portál Microsoft Defenderu Centrum pro správu Microsoft Intune |
|
E-mail a spolupráce Defender pro Microsoft Office 365 |
Chrání Exchange a služby pro spolupráci (Microsoft Teams, SharePoint, OneDrive) před malwarem, škodlivými odkazy a přílohami a ohrožením zabezpečení obchodních e-mailů. | Portál Microsoft Defenderu |
|
Data Microsoft Purview |
Vynucuje zásady ochrany dat a ochrany před únikem informací napříč koncovými body a cloudovými službami. | Portál Microsoft Purview |
|
Infrastruktura/ cloudové úlohy Microsoft Defender for Cloud |
Zlepšuje stav zabezpečení a poskytuje detekci hrozeb napříč cloudovými a hybridními úlohami. |
Microsoft Azure Portal Portál Microsoft Defenderu |
|
Networks síťové služby Azure |
Segmentace a ochrana sítí | Microsoft Azure Portal |
|
SaaS/ cloudové aplikace Microsoft Defender pro cloudové aplikace |
Poskytuje přehled o využití cloudových aplikací a monitoruje aktivity uživatelů za účelem zjištění rizikového chování. | Portál Microsoft Defenderu |
|
Stav/riziko Správa zranitelností zabezpečení Microsoftu |
Identifikuje, upřednostňuje a snižuje riziko ohrožení identit, zařízení, cloudových prostředků a aplikací. | Portál Microsoft Defenderu |
|
Detekce hrozeb/reakce Microsoft Defender XDR |
Koreluje signály napříč službami Defender a vytváří jednotné incidenty pro vyšetřování a reakci. | portál Microsoft Defender |
|
Operace zabezpečení Microsoft Sentinel |
Agreguje telemetrii z Microsoft a zdrojů třetích stran pro centralizovanou analýzu, šetření a reakci. |
Microsoft Azure Portal Portál Microsoft Defenderu |
|
Zabezpečení pro vývojáře a aplikace Defender for DevOps (v Defender for Cloud) GitHub Advanced Security |
Zabezpečuje kód, závislosti a kanály sestavení a vynucuje zásady správného řízení zabezpečení napříč pracovními postupy DevOps. |
Portál Microsoft Defenderu rozhraní GitHub |
Služby ochrany sítě
Tabulka shrnuje možnosti Azure sítí a jejich přímou integraci s dalšími službami zabezpečení. Služby se konfigurují v portál Microsoft Azure.
| Service | Ochranu | Integrace |
|---|---|---|
| Azure Firewall | Vynucuje pravidla IP adres, portů a aplikací pro řízení příchozího a odchozího provozu napříč podsítěmi, internetem a místními sítěmi. Používá Microsoft analýzu hrozeb k blokování známého škodlivého provozu. | Defender for Cloud vyhodnotí stav konfigurace. Diagnostické protokoly se shromažďují v Azure Monitoru / Log Analytics a jsou analyzovány nástrojem Microsoft Sentinel pro detekci a korelaci. |
| Azure ochrana před útoky DDoS | Snižuje objemové útoky, protokoly a útoky na aplikační vrstvu. Chrání internetové prostředky ve virtuálních sítích před rozsáhlými útoky na záplavy. | Metriky a telemetrie útoků se ingestují do Azure Monitor/Log Analytics a dají se analyzovat v Microsoft Sentinel. Defender for Cloud poskytuje doporučení ke stavu zabezpečení. |
| Azure virtuální síť | Poskytuje izolaci sítě, segmentaci a přidělování privátních IP adres pro prostředky Azure. Umožňuje řízené připojení mezi službami. | Defender for Cloud vyhodnotí stav konfigurace, včetně vystavení, jako jsou veřejné přístupové cesty. |
| Skupiny zabezpečení sítě (NSG) | Filtruje provoz na úrovni podsítě a síťového rozhraní pomocí pravidel povolení a zamítnutí. Omezuje nežádoucí provoz směrem ke zdrojům. | Protokoly toku NSG (prostřednictvím Azure Monitor) je možné analyzovat v Microsoft Sentinel za účelem viditelnosti a detekce provozu. Defender for Cloud vyhodnotí konfiguraci pravidla NSG. |
| Firewall webových aplikací Azure (WAF) | Chrání aplikace HTTP/HTTPS pomocí sad pravidel OWASP. Pomáhá předcházet běžným webovým útokům, jako je injektáž SQL a skriptování mezi weby (XSS). | Protokoly WAF se načítají do Azure Monitoru / Log Analytics a analyzují se službou Microsoft Sentinel. Defender for Cloud vyhodnotí stav konfigurace WAF. |
| Azure Front Door | Poskytuje globální vstupní bod pro webové aplikace se směrováním, zrychlením a funkcemi zabezpečení na okraji sítě. Integruje se s WAF pro ochranu aplikací. | Diagnostické protokoly (Front Door/WAF) se přijímají do služby Log Analytics a jsou analyzovány službou Microsoft Sentinel. Defender for Cloud vyhodnotí stav konfigurace. |
| Azure Application Gateway | Poskytuje regionální vyrovnávání zatížení s integrovanými funkcemi firewallu webových aplikací pro ochranu a směrování provozu aplikací. | Protokoly přístupu a protokoly brány WAF se načítají do Log Analytics a jsou analyzovány službou Microsoft Sentinel. Defender for Cloud vyhodnotí stav konfigurace a nastavení expozice. |
| Službu Azure VPN Gateway | Poskytuje šifrované připojení IPsec/IKE mezi místními prostředími a virtuálními sítěmi Azure. Chrání přenášená data přes veřejné sítě. | Protokoly připojení a tunelů se načítají do Log Analytics a lze je analyzovat v Microsoft Sentinel. Defender for Cloud vyhodnotí stav konfigurace, včetně nastavení šifrování. |
| Azure ExpressRoute | Poskytuje privátní vyhrazené připojení mezi místními prostředími a Azure přes páteřní síť Microsoft, aby se zabránilo veřejnému internetu. | Provozní telemetrie (například protokol BGP, stav okruhu) je dostupná prostřednictvím Azure Monitor a je možné ji analyzovat v Microsoft Sentinel. Defender for Cloud vyhodnocuje celkový stav konfigurace. |
| Azure Bastion | Poskytuje zabezpečený přístup RDP a SSH k virtuálním počítačům prostřednictvím prohlížeče a eliminuje potřebu vystavení veřejné IP adresy. | Diagnostické protokoly se načítají do Log Analytics a analyzují se v Microsoft Sentinelu. Defender for Cloud vyhodnocuje omezené VM, ale konfiguraci Azure Bastion přímo nevyhodnocuje. |
| Azure Private Link | Poskytuje privátní připojení ke službám PaaS Azure a zákaznickým službám pomocí privátních IP adres, což eliminuje veřejné vystavení. | Protokoly na úrovni služeb (pro služby přístupné prostřednictvím Private Link, například Storage, SQL a Key Vault) se shromažďují v Log Analytics a analyzuje je Microsoft Sentinel. Defender for Cloud vyhodnotí, jestli se k omezení expozice používají privátní propojení. |
| Azure Network Watcher | Poskytuje diagnostiku sítě, monitorování a viditelnost na úrovni toku napříč prostředky Azure. | Protokoly toků NSG a diagnostická data se načítají do Log Analytics a lze je analyzovat v Microsoft Sentinel. Defender for Cloud vyhodnocuje stav konfigurace podkladových prostředků, například nastavení NSG, nikoli samotný Network Watcher. |
Pracovní postup zabezpečení
Služby zabezpečení fungují jako nepřetržitý proces. Signály se průběžně shromažďují, vyhodnocují, vynucují a používají k řízení detekce a odezvy.
| Pipeline | Action | Klíčová aktivita |
|---|---|---|
| Fáze 1: Shromažďování signálů | Služby zabezpečení generují telemetrii napříč identitami, zařízeními, aplikacemi a infrastrukturou. | - Microsoft Defender for Endpoint shromažďuje telemetrii zařízení. – Microsoft Intune vyhodnotí dodržování předpisů zařízením. – Defender for Identity monitoruje aktivity identit v místním prostředí. - Defender for Cloud Apps monitoruje aktivitu SaaS. – Defender for Cloud monitoruje konfiguraci infrastruktury a úlohy a aktivitu. |
| Fáze 2: Rozhodnutí o zásadách | Signály se vyhodnocují tak, aby určily podmínky přístupu a řídicí akce. | Microsoft Entra Podmíněný přístup vyhodnocuje riziko identity, důvěryhodnost zařízení, umístění a kontext relace. |
| Fáze 3: Vynucení kontroly | Kontrolní mechanismy zabezpečení se používají napříč identitou, zařízeními, relacemi, daty a síťovými vrstvami. | Body prosazování zásad zahrnují: – Podmíněný přístup (MFA/omezení) – Intune (dodržování předpisů zařízením) -Defender for Cloud Apps (řízení relací) – Microsoft Purview (DLP) – Azure sítě (omezení připojení). |
| Fáze 4: Detekce a odezva | Signály a výstrahy korelují s detekcí, vyšetřováním a nápravou hrozeb. | Microsoft Defender XDR koreluje signály ze všech produktů Defender do jednotných incidentů. Microsoft Sentinel centralizuje protokoly, incidenty, proaktivní vyhledávání a orchestraci zabezpečení, automatizaci a reakci (SOAR) v celém prostředí , včetně zdrojů třetích stran. |
| Smyčka zpětné vazby | Výsledky detekce se promítají zpět do rozhodování o bezpečnostních zásadách, aby se ochrana průběžně zlepšovala. | Signály rizik a hrozeb informují aktualizace zásad v reálném čase a umožňují adaptivní a automatizovanou ochranu. |
Integrace služby zabezpečení
Microsoft služby zabezpečení se integrují prostřednictvím několika toků fungujících jako soudržný kanál, který tvoří nepřetržitý systém ochrany.
- Signály (telemetrie) zaznamenávají aktivitu napříč identitami, zařízeními, aplikacemi a dalšími prostředky.
- Kontext (identita, stav zařízení a klasifikace dat) rozšiřuje signály, aby se zlepšila přesnost a rozhodování.
- Zásada definuje, jaký přístup je povolený nebo blokovaný na základě vyhodnocených podmínek.
- Akce vynucují rozhodnutí prostřednictvím automatizovaných ovládacích prvků a odpovědí.
Když signály procházejí platformou, jsou obohacovány, vyhodnocovány podle bezpečnostních zásad a je na ně reagováno, čímž vzniká nepřetržitý cyklus ochrany a reakce.
Integrace služeb
Tabulka shrnuje, jak bezpečnostní služby využívají signály a kontext z jednotlivých zdrojů a jaké výstupy produkují a jaké akce provádějí.
| Service | Spotřebuje | Outputs |
|---|---|---|
| Microsoft Entra ID |
Signály: Aktivita ověřování (přihlášení, rizikové události). Stav dodržování předpisů zařízení v Microsoft Intune Context: Kontext zařízení pro rozhodování o přístupu z Defender for Endpoint. Kontext relace pro rozhodnutí o přístupu z Defender for Cloud Apps |
Akce: Rozhodnutí o podmíněném přístupu (povolení, blokování, omezení, vyžadování ovládacích prvků) |
| Microsoft Intune |
Signály: Inventář spravovaných zařízení, stav, stav dodržování předpisů. Context: Přidružení identit z Microsoft Entra ID. |
Výstupy: Stav souladu zařízení v Microsoft Entra ID. Protokoly auditu zařízení pro Microsoft Sentinel |
| Microsoft Purview |
Signals: Podniková data napříč Microsoft 365, aplikacemi SaaS a místními systémy. Kontext: Klasifikace dat (popisky citlivosti, kontrola obsahu, aktivita uživatelů). |
Výstupy: Výstrahy rizik insiderů a ochrany před únikem informací (DLP) do Defender XDR. Protokoly dodržování předpisů a auditu pro Microsoft Sentinel Actions: Vynucování zásad DLP na koncových zařízeních (Defender for Endpoint) a v relacích (Defender for Cloud Apps). |
| Defender for Endpoint – Microsoftova služba zabezpečení koncových bodů |
Signály: Telemetrie koncového bodu (proces, soubor, síťová aktivita). Context: Microsoft Entra ID (kontext identity). Microsoft Intune (stav zařízení). Microsoft Purview (zásady DLP). |
Výstupy: Výstrahy z koncových bodů a telemetrie do Defenderu XDR a Microsoft Sentinelu. Akce: Vynucování na koncových bodech (izolace zařízení, blokování, náprava). |
| Defender for Identity | Signály: Signály identity služby služba Active Directory. | Output: Upozornění na hrozby identity pro Defender XDR a Microsoft Sentinel. |
| Defender for Cloud Apps |
Signály: Aktivita aplikace SaaS (využití cloudu). Síťová a stínová telemetrie IT z Defender pro koncový bod Context: Kontext relace a ověřování z Microsoft Entra ID. Zásady ochrany před únikem informací v Microsoft Purview |
Outputs: Upozornění cloudových aplikací na Defender XDR a Microsoft Sentinel. Akce: Vynucování relace (blokování, monitorování, omezení přístupu). |
| Defender for Cloud |
Signals: Informace o operaci prostředku z Azure. Telemetrie serverů nebo úloh z Defenderu for Endpoint. Kontext: Konfigurace a stav prostředků |
Outputs: Výstrahy zabezpečení a přehledy stavu pro Defender XDR a Microsoft Sentinel. |
| Řízení vystavení bezpečnostním hrozbám od Microsoftu |
Signals: Skóre rizika zařízení v programu Defender for Endpoint. Inventář cloudových prostředků, stav zabezpečení, míra vystavení a zjištění týkající se plochy útoku z Defender for Cloud. Inventarizace identit a signály rizik z Microsoft Entra Inventář, rizika a kontext využití aplikací SaaS z Defender for Cloud Apps Kontext: Jednotná expozice a korelace rizik. |
Výstupy: Poznatky o vystavení a korelace rizik pro Microsoft XDR a Microsoft Sentinel. |
| Defender XDR | Signály: Výstrahy z Defender for Endpoint (zařízení), Defender for Identity (signály identit), Defender pro Office 365 (e-mail a spolupráce), Defender for Cloud Apps (aktivita SaaS a aplikací). Další signály z Microsoft Purview (DLP, insider risk, klasifikace dat), Microsoft Entra ID Protection (signály rizik identit) a Defender for Cloud (stav úloh nebo cloudu). |
Outputs: Korelované výstrahy, incidenty do Microsoft Sentinelu. Akce: Automatizovaná odpověď napříč doménami. |
| Microsoft Sentinel | Signals: Upozornění, protokoly, telemetrie z Defender XDR, Microsoft Purview, cloudové služby a další zdroje třetích stran. |
Výstupy: Analýzy, vyšetřování a incidenty. Akce: Automatizovaná reakce pomocí playbooků. |
| Microsoft Security Copilot |
Signals: Incidenty a výstrahy z Microsoft Sentinel a Defender XDR. Context: Citlivá data a kontext insiderských rizik z Microsoft Purview. Kontext expozice v rámci zabezpečení od Microsoftu Exposure Management. |
Výstupy: Souhrny šetření, doporučení, přehledy řízené AI Actions: Řízené akce reakce směrované do pracovních postupů Microsoft Sentinel a Defender XDR. |
Další kroky
- Začněte posouzením nulová důvěra (Zero Trust) vašeho současného stavu zabezpečení.
- Pokud chcete začít s přechodem na nulová důvěra (Zero Trust), postupujte podle našeho strukturovaného modelu adoption.
- Seznamte se s klíčovými výsledky v oblasti zabezpečení pro vedoucí představitele firem prostřednictvím našich scénářů zavádění pro firmy . Začněteimplementací technických řešení pro obchodní řešení a technologické pilíře, jako jsou data a zařízení.