Microsoft biztonsági szolgáltatások

Ez a cikk ismerteti Microsoft biztonsági szolgáltatásokat, valamint azt, hogyan működnek együtt egységes rendszerként a technológiai alappillérek amelyek identitásokat, eszközöket, alkalmazásokat, adatokat, AI-t és infrastruktúrát tartalmaznak.

A modern vállalati biztonság a peremhálózat-alapú védelemről az identitásalapú, felhőalapú integrált modellre váltott. A szervezeteknek biztonságossá kell tenni a felhasználókat, eszközöket, alkalmazásokat és adatokat hibrid és többfelhős környezetekben, miközben folyamatosan alkalmazkodnak a változó fenyegetésekhez.

Microsoft olyan felhőalapú szolgáltatások integrált készletét biztosítja, amelyek együttműködve osztják meg a jeleket, konzisztens szabályzatokat alkalmaznak, vezérlőket kényszerítenek ki, valamint koordinálják az észlelést és a reagálást a környezetben.

Biztonsági eredmények

Az integrált Microsoft biztonság a következő eredményeket biztosítja:

  • Egységes jel láthatósága: A telemetriát folyamatosan gyűjtjük és központosítjuk identitások, eszközök, alkalmazások, adatok és infrastruktúra között, és központosított, végrehajtható jelekké alakítjuk.
  • Identitásalapú döntéshozatal: A hozzáférési és kényszerítési döntések identitáson, eszközállapoton, kockázati jeleken és munkamenet-környezeten alapulnak.
  • Konzisztens kényszerítés: Teljes felügyelet vezérlők alkalmazása végpontok, felhőszolgáltatások és alkalmazások között a hozzáférési időben és a használat során történik.
  • Integrált észlelés és válasz: A jelek és a riasztások a tartományok között korrelálnak, hogy egységes műveletként észleljék és reagáljanak a fenyegetésekre.
  • Folyamatos ellenőrzés és fejlesztés: Az észlelés és a kockázati jelek visszatáplálása a szabályzati döntésekbe, hogy idővel megerősítse a védelmet.

Alapvető biztonsági szolgáltatások

Az alapvető biztonsági szolgáltatások több technológiai alappilléretre terjednek ki, amelyek mindegyike hozzájárul a jelekhez, a környezethez és a végrehajtáshoz a platformon.

Pillér
Elsődleges szolgáltatás
Védelem Elsődleges portál
Identitás és hozzáférés

Microsoft Entra

Microsoft Defender for Identity.
Microsoft Entra szabályozza a felhasználók, számítási feladatok és alkalmazások hozzáférését. Kiértékeli az identitást, az eszközt és a munkamenet-jeleket a hozzáférési döntések meghozatalához.

A Defender for Identity a támadások észlelése érdekében figyeli a hibrid identitásinfrastruktúrát.
Microsoft Entra felügyeleti központ

Microsoft Defender portál
Eszközök/végpontok

Microsoft Defender végponthoz

Microsoft Intune
A Defender for Endpoint végponti telemetriai adatokat gyűjt, és fenyegetéseket észlel.
Microsoft Intune értékeli az eszközmegfelelést, és kikényszeríti a szabályzatot.
Microsoft Defender portál

Microsoft Intune Felügyeleti központ
E-mail és együttműködés

Office 365-höz készült Defender
Védi Exchange és együttműködési szolgáltatásokat (Microsoft Teams, SharePoint, OneDrive) a kártevők, a rosszindulatú hivatkozások/mellékletek és az üzleti e-mailek sérülése ellen. Microsoft Defender portál
Adatok

Microsoft Purview
Adatvédelmi és adatveszteség-megelőzési (DLP-) szabályzatokat kényszerít ki végpontok és felhőszolgáltatások között. Microsoft Purview portál
Infrastruktúra/felhőbeli számítási feladatok

Felhőhöz készült Microsoft Defender
Javítja a biztonsági helyzetet, és fenyegetésészlelést biztosít a felhőbeli és hibrid számítási feladatok között. Microsoft Azure Portal
Microsoft Defender portál
Networks

Azure hálózati szolgáltatások
A hálózatok szegmentálása és védelme. Microsoft Azure Portal
SaaS/felhőalkalmazások

Microsoft Defender felhőalkalmazásokhoz
Betekintést nyújt a felhőalkalmazások használatába, és figyeli a felhasználói tevékenységeket a kockázatos viselkedés észleléséhez. Microsoft Defender portál
Kitettség/kockázat

Microsoft Biztonságikitettség-kezelés
Azonosítja, rangsorolja és csökkenti az identitások, eszközök, felhőbeli erőforrások és alkalmazások kitettségét. Microsoft Defender portál
Fenyegetésészlelés/-válasz

Microsoft Defender XDR
Összekapcsolja a jeleket Defender szolgáltatások között, és egységes incidenseket hoz létre a kivizsgáláshoz és a reagáláshoz. Microsoft Defender portál
Biztonsági műveletek

Microsoft Sentinel
A központosított elemzéshez, vizsgálathoz és válaszhoz Microsoft és külső forrásokból származó telemetria összesítése. Microsoft Azure Portal
Microsoft Defender portál
Fejlesztői/alkalmazásbiztonság

DevOps-hoz készült Defender (Defender for Cloud)
GitHub Advanced Security
Védi a kódot, a függőségeket és a buildfolyamatokat, valamint érvényesíti a biztonsági irányelveket a DevOps-munkafolyamatokban. Microsoft Defender portál
GitHub felület

Hálózatvédelmi szolgáltatások

A táblázat összefoglalja Azure hálózati képességeket, valamint azt, hogy ezek hogyan integrálhatók közvetlenül más biztonsági szolgáltatásokkal. A szolgáltatások a Microsoft Azure Portal vannak konfigurálva.

Szolgáltatás Védelem Integráció
Azure Firewall IP-, port- és alkalmazásszabályokat kényszerít ki az alhálózatok, az internet és a helyszíni hálózatok bejövő és kimenő forgalmának szabályozásához. Microsoft fenyegetésintelligencia használatával blokkolja az ismert rosszindulatú forgalmat. Defender for Cloud kiértékeli a konfigurációs helyzetet.

A diagnosztikai naplók bekerülnek az Azure Monitorba/Log Analyticsbe, ahol a Microsoft Sentinel elemzi őket az észlelés és a korreláció érdekében.
Azure DDoS Protection Csökkenti a mennyiségi, protokoll- és alkalmazásréteg-támadásokat. A virtuális hálózatok (VNetek) internetes erőforrásait védi a nagy léptékű árvízi támadásoktól. A metrikák és a támadásokkal kapcsolatos telemetriai adatok betöltésre kerülnek az Azure Monitorba/Log Analyticsbe, és elemezhetők a Microsoft Sentinelben.

Defender for Cloud testtartási javaslatokat nyújt.
Azure virtuális hálózat Hálózati elkülönítést, szegmentálást és privát IP-címzést biztosít Azure erőforrásokhoz. Lehetővé teszi a szolgáltatások közötti szabályozott kapcsolatot. Defender for Cloud kiértékeli a konfiguráció állapotát, beleértve az expozíciót, például a nyilvános hozzáférési útvonalakat.
Hálózati biztonsági csoportok (NSG-k) Az alhálózat és a hálózati adapter szintjén szűri a forgalmat engedélyezési/megtagadási szabályok használatával. Korlátozza az erőforrások nemkívánatos forgalmát. Az NSG-folyamatnaplók (Azure Monitor keresztül) elemezhetők Microsoft Sentinel a forgalom láthatósága és észlelése érdekében.

Defender for Cloud kiértékeli az NSG-szabály konfigurációját.
Azure Web Application Firewall (WAF) OWASP-szabálykészletekkel védi a HTTP/HTTPS-alkalmazásokat. Segít megelőzni az olyan gyakori webes támadásokat, mint az SQL-injektálás és a helyek közötti szkriptelés (XSS). A WAF-naplók az Azure Monitorba/Log Analyticsbe kerülnek be, és a Microsoft Sentinel elemzi őket.

A Defender for Cloud kiértékeli a WAF-konfiguráció állapotát.
Azure Front Door Globális belépési pontot biztosít a webalkalmazásokhoz útválasztási, gyorsítási és peremhálózati biztonsági képességekkel. Integrálva van a WAF-tal az alkalmazásvédelemhez. A diagnosztikai naplók (Front Door/WAF) a Log Analyticsbe kerülnek, és a Microsoft Sentinel elemzi őket.

Defender for Cloud kiértékeli a konfigurációs helyzetet.
Azure Application Gateway Regionális terheléselosztást biztosít a beépített webalkalmazási tűzfalfunkciókkal az alkalmazásforgalom védelméhez és irányításához. A hozzáférési és WAF-naplók bekerülnek a Log Analyticsbe, és a Microsoft Sentinel elemzi őket.

Defender for Cloud kiértékeli a konfigurációs és expozíciós beállításokat.
Azure VPN Gateway Titkosított IPsec-/IKE-kapcsolatot biztosít a helyszíni környezetek és Azure virtuális hálózatok között. Védi a nyilvános hálózatokon áthaladó adatokat. A kapcsolat- és alagútnaplók a Log Analyticsbe kerülnek betöltésre, és a Microsoft Sentinelben elemezhetők.

Defender for Cloud kiértékeli a konfigurációs helyzetet, beleértve a titkosítási beállításokat is.
Azure ExpressRoute Privát, dedikált kapcsolatot biztosít a helyszíni környezetek és a Azure között a Microsoft gerinchálózaton keresztül, elkerülve a nyilvános internetet. A működési telemetria (például BGP, kapcsolatcsoport állapota) Azure Monitor keresztül érhető el, és elemezhető Microsoft Sentinel.

Defender for Cloud kiértékeli a magas szintű konfigurációs helyzetet.
Azure Bastion Biztonságos RDP- és SSH-hozzáférést biztosít a virtuális gépekhez böngészőn keresztül, így nincs szükség nyilvános IP-kitettségre. A diagnosztikai naplókat betöltik a Log Analyticsba, és a Microsoft Sentinel elemzi őket.

Defender for Cloud kiértékeli a csökkentett virtuális gépet, de közvetlenül nem Azure Bastion konfigurációt.
Azure Private Link Privát kapcsolatot biztosít Azure PaaS-szolgáltatásokhoz és ügyfélszolgálatokhoz privát IP-címekkel, így kiküszöbölve a nyilvános kitettséget. A szolgáltatásszintű naplókat a Private Linken keresztül elért szolgáltatásokhoz (például Storage, SQL és Key Vault) a Log Analyticsbe töltik be, és a Microsoft Sentinel elemzi.

Defender for Cloud kiértékeli, hogy a privát kapcsolatok használata csökkenti-e az expozíciót.
Azure Network Watcher Hálózati diagnosztikát, monitorozást és folyamatszintű láthatóságot biztosít Azure erőforrások között. Az NSG forgalmi naplói és diagnosztikai naplói a Log Analyticsbe kerülnek betöltésre, és a Microsoft Sentinelben elemezhetők.

Defender for Cloud közvetlenül Network Watcher helyett kiértékeli az alapul szolgáló erőforráskonfigurációs állapotot, például az NSG-beállításokat.

Biztonsági munkafolyamat

A biztonsági szolgáltatások folyamatos folyamatként működnek. A jeleket folyamatosan gyűjtik, értékelik ki, kényszerítik, és használják az észlelés és a válasz hajtóerőjeként.

Csővezeték Action Fő tevékenység
1. szakasz: Jelgyűjtés A biztonsági szolgáltatások telemetriát hoznak létre identitások, eszközök, alkalmazások és infrastruktúra között. - A Defender for Endpoint eszköztelemetriát gyűjt.
- Microsoft Intune kiértékeli az eszközmegfelelőségeket.
- A Defender for Identity figyeli a helyszíni identitással kapcsolatos tevékenységeket.
- Defender for Cloud Apps figyeli az SaaS-tevékenységet.
- Defender for Cloud figyeli az infrastruktúrát/számítási feladat konfigurációját és tevékenységét.
2. szakasz: Szakpolitikai döntések A rendszer kiértékeli a jeleket a hozzáférési feltételek és a vezérlési műveletek meghatározásához. Microsoft Entra Feltételes hozzáférés kiértékeli az identitáskockázatot, az eszköz megbízhatóságát, a helyet és a munkamenet-környezetet.
3. szakasz: A kényszerítés ellenőrzése A biztonsági vezérlők identitások, eszközök, munkamenetek, adatok és hálózati rétegeken vannak alkalmazva. A kényszerítési pontok a következők:
- Feltételes hozzáférés (MFA/korlátozások)
- Intune (eszközmegfelelés)
-Defender for Cloud Apps (munkamenet-vezérlés)
- Microsoft Purview (DLP)
- Azure hálózatkezelés (kapcsolati korlátozások).
4. szakasz: Észlelés és válasz A jelek és riasztások összefüggésben vannak a fenyegetések észleléséhez, kivizsgálásához és elhárításához. Microsoft Defender XDR az összes Defender terméktől érkező jeleket egységes incidensekké alakítja.

Microsoft Sentinel központosítja a naplókat, incidenseket, a vadászatot és a biztonsági vezénylést, az automatizálást és a válaszadást (SOAR) a teljes környezetben – beleértve a külső forrásokat is.
Visszajelzési ciklus Az észlelési eredmények visszavetik a szabályzati döntéseket a védelem folyamatos javítása érdekében. A kockázati és fenyegetési jelek valós idejű szabályzatfrissítéseket tájékoztatnak, lehetővé téve az adaptív és automatizált védelmet.

Biztonsági szolgáltatás integrációja

Microsoft biztonsági szolgáltatások több, összetartó folyamatként működő folyamaton keresztül integrálhatók, és folyamatos védelmi rendszert alkotnak.

  • A jelek (telemetria) az identitások, eszközök, alkalmazások és egyéb erőforrások tevékenységeit rögzítik.
  • A környezet (identitás, eszköztartás és adatbesorolás) a pontosság és a döntéshozatal javítása érdekében bővíti a jeleket.
  • A szabályzat a kiértékelt feltételek alapján határozza meg, hogy milyen hozzáférés engedélyezett vagy tiltott.
  • A műveletek automatikus vezérlőkkel és válaszokkal kényszerítik ki a döntéseket.

Ahogy a jelek áthaladnak a platformon, azok ki lesznek bővítve, kiértékelve a szabályzatok alapján, és reagálnak rájuk, és folyamatos védelmi és válaszciklust hoznak létre.

A szolgáltatások integrálása

A táblázat összefoglalja, hogy a biztonsági szolgáltatások hogyan használnak fel jeleket és kontextust egymástól, és hogy mit adnak ki és hajtanak végre.

Szolgáltatás Fogyaszt Outputs
Microsoft Entra-azonosító Jelek: Hitelesítési tevékenység (bejelentkezések, kockázati események). Eszközmegfelelőségi állapot a Microsoft Intune-ból.

Context: Az eszköz környezete a Defender for Endpoint hozzáférési döntéseihez. Munkamenet-környezet a Defender for Cloud Apps hozzáférési döntéseihez.
Műveletek: Feltételes hozzáféréssel kapcsolatos döntések (engedélyezés, letiltás, korlátozás, vezérlők megkövetelése).
Microsoft Intune Jelek: Felügyelt eszközök leltára, állapota, megfelelőségi állapota.

Kontextus: Identitástársítás a Microsoft Entra ID-ból.
Outputs: Az eszköz megfelelőségi állapota a Microsoft Entra ID felé. Eszközellenőrzési naplók a Microsoft Sentinelbe.
Microsoft Purview Signals: Vállalati adatok Microsoft 365, SaaS-alkalmazások és helyszíni rendszerek között.

Környezet: Adatbesorolás (bizalmassági címkék, tartalomvizsgálat, felhasználói tevékenység).
Outputs: Bennfentes kockázati és adatveszteség-megelőzési (DLP) riasztások a Defender XDR-be. Megfelelőségi és auditnaplók a Microsoft Sentinelbe.

Műveletek: DLP-kikényszerítés a végpontokon (Defender for Endpoint) és a munkamenetekben (Defender for Cloud Apps).
Defender végpontvédelem Jelek: Végpont telemetriai adatai (folyamat, fájl, hálózati tevékenység).

Kontext: Microsoft Entra ID (identitáskörnyezet). Microsoft Intune (eszközállapot). Microsoft Purview (DLP-szabályzatok).
Outputs: Végpontriasztások és telemetria a Defender XDR-be és a Microsoft Sentinelbe.

Műveletek: Végpont-kényszerítés (eszközelkülönítés, blokkolás, szervizelés).
Defender az Identitáshoz Jelek: Active Directory-identitásjelek. Kimenet: Identitásfenyegetési riasztások a Defender XDR-be és a Microsoft Sentinelbe.
Defender for Cloud Apps Jelek: SaaS-alkalmazástevékenység (felhőhasználat). Hálózati és árnyék-IT-telemetria a Defender for Endpointből.

Kontext: Munkamenet- és hitelesítési környezet Microsoft Entra ID. A Microsoft Purview DLP-szabályzatai.
Outputs: Felhőalkalmazás-riasztások a Defender XDR-be és a Microsoft Sentinelbe.

Műveletek: Munkamenet-kényszerítés (letiltás, figyelés, hozzáférés korlátozása).
Defender for Cloud Signals: Az Azure-ból származó erőforrás-műveleti információk. A Defender for Endpoint kiszolgáló- és munkaterhelés-telemetriai adatai.

Környezet: Erőforrás konfigurációja és testtartása.
Outputs: Biztonsági riasztások és a Defender XDR és Microsoft Sentinel állapotelemzései.
Microsoft Biztonságikitettség-kezelés Signals: A Defender for Endpoint eszközkockázati pontszámai. A Defender for Cloudból származó felhőerőforrás-leltár-, biztonságiállapot-, kitettségi és támadási felületi megállapítások. Identitásleltár és kockázati jelzések a Microsoft Entrából. SaaS-alkalmazásleltár, kockázat és használati környezet Defender for Cloud Apps.

Kontextus: Egységes expozíció és kockázati korreláció.
Outputs: Expozíciós elemzések és kockázati korrelációk Microsoft XDR és Microsoft Sentinel.
Defender XDR Signals: Riasztások a Defender for Endpointből (eszközök), a Defender for Identityből (identitásjelek), a Office 365-höz készült Defender-ből (levelezés és együttműködés), a Defender for Cloud Appsból (SaaS- és alkalmazástevékenység). További jelzések a Microsoft Purviewből (DLP, belső kockázatok, adatbesorolás), a Microsoft Entra ID-védelemből (identitáskockázati jelzések) és a Defender for Cloudból (munkaterhelés-/felhőbiztonsági állapot). Kimenetek: Korrelált riasztások, incidensek a Microsoft Sentinelbe.

Műveletek: Automatikus tartományközi válasz.
Microsoft Sentinel Signals: Riasztások, naplók, telemetria Defender XDR, Microsoft Purview, felhőszolgáltatások és más külső/külső forrásokból. Kimenetek: Elemzések, vizsgálatok és incidensek.

Műveletek: Automatikus válasz forgatókönyvek használatával.
Microsoft Security Copilot Signals: Incidensek és riasztások a Microsoft Sentinelből és a Defender XDR-ből.

Környezet: Bizalmas adatokkal és bennfentes kockázatokkal kapcsolatos környezet a Microsoft Purviewből. A Microsoft Biztonság Exposure Managementből származó kitettségi kontextus.
Kimenetek: Vizsgálati összefoglalók, javaslatok, AI-alapú elemzések.

Actions: Irányított válaszműveletek Microsoft Sentinel és Defender XDR munkafolyamatokon keresztül.

Következő lépések