Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk ismerteti Microsoft biztonsági szolgáltatásokat, valamint azt, hogyan működnek együtt egységes rendszerként a technológiai alappillérek amelyek identitásokat, eszközöket, alkalmazásokat, adatokat, AI-t és infrastruktúrát tartalmaznak.
A modern vállalati biztonság a peremhálózat-alapú védelemről az identitásalapú, felhőalapú integrált modellre váltott. A szervezeteknek biztonságossá kell tenni a felhasználókat, eszközöket, alkalmazásokat és adatokat hibrid és többfelhős környezetekben, miközben folyamatosan alkalmazkodnak a változó fenyegetésekhez.
Microsoft olyan felhőalapú szolgáltatások integrált készletét biztosítja, amelyek együttműködve osztják meg a jeleket, konzisztens szabályzatokat alkalmaznak, vezérlőket kényszerítenek ki, valamint koordinálják az észlelést és a reagálást a környezetben.
Biztonsági eredmények
Az integrált Microsoft biztonság a következő eredményeket biztosítja:
- Egységes jel láthatósága: A telemetriát folyamatosan gyűjtjük és központosítjuk identitások, eszközök, alkalmazások, adatok és infrastruktúra között, és központosított, végrehajtható jelekké alakítjuk.
- Identitásalapú döntéshozatal: A hozzáférési és kényszerítési döntések identitáson, eszközállapoton, kockázati jeleken és munkamenet-környezeten alapulnak.
- Konzisztens kényszerítés: Teljes felügyelet vezérlők alkalmazása végpontok, felhőszolgáltatások és alkalmazások között a hozzáférési időben és a használat során történik.
- Integrált észlelés és válasz: A jelek és a riasztások a tartományok között korrelálnak, hogy egységes műveletként észleljék és reagáljanak a fenyegetésekre.
- Folyamatos ellenőrzés és fejlesztés: Az észlelés és a kockázati jelek visszatáplálása a szabályzati döntésekbe, hogy idővel megerősítse a védelmet.
Alapvető biztonsági szolgáltatások
Az alapvető biztonsági szolgáltatások több technológiai alappilléretre terjednek ki, amelyek mindegyike hozzájárul a jelekhez, a környezethez és a végrehajtáshoz a platformon.
|
Pillér Elsődleges szolgáltatás |
Védelem | Elsődleges portál |
|---|---|---|
|
Identitás és hozzáférés Microsoft Entra Microsoft Defender for Identity. |
Microsoft Entra szabályozza a felhasználók, számítási feladatok és alkalmazások hozzáférését. Kiértékeli az identitást, az eszközt és a munkamenet-jeleket a hozzáférési döntések meghozatalához. A Defender for Identity a támadások észlelése érdekében figyeli a hibrid identitásinfrastruktúrát. |
Microsoft Entra felügyeleti központ Microsoft Defender portál |
|
Eszközök/végpontok Microsoft Defender végponthoz Microsoft Intune |
A Defender for Endpoint végponti telemetriai adatokat gyűjt, és fenyegetéseket észlel. Microsoft Intune értékeli az eszközmegfelelést, és kikényszeríti a szabályzatot. |
Microsoft Defender portál Microsoft Intune Felügyeleti központ |
|
E-mail és együttműködés Office 365-höz készült Defender |
Védi Exchange és együttműködési szolgáltatásokat (Microsoft Teams, SharePoint, OneDrive) a kártevők, a rosszindulatú hivatkozások/mellékletek és az üzleti e-mailek sérülése ellen. | Microsoft Defender portál |
|
Adatok Microsoft Purview |
Adatvédelmi és adatveszteség-megelőzési (DLP-) szabályzatokat kényszerít ki végpontok és felhőszolgáltatások között. | Microsoft Purview portál |
|
Infrastruktúra/felhőbeli számítási feladatok Felhőhöz készült Microsoft Defender |
Javítja a biztonsági helyzetet, és fenyegetésészlelést biztosít a felhőbeli és hibrid számítási feladatok között. |
Microsoft Azure Portal Microsoft Defender portál |
|
Networks Azure hálózati szolgáltatások |
A hálózatok szegmentálása és védelme. | Microsoft Azure Portal |
|
SaaS/felhőalkalmazások Microsoft Defender felhőalkalmazásokhoz |
Betekintést nyújt a felhőalkalmazások használatába, és figyeli a felhasználói tevékenységeket a kockázatos viselkedés észleléséhez. | Microsoft Defender portál |
|
Kitettség/kockázat Microsoft Biztonságikitettség-kezelés |
Azonosítja, rangsorolja és csökkenti az identitások, eszközök, felhőbeli erőforrások és alkalmazások kitettségét. | Microsoft Defender portál |
|
Fenyegetésészlelés/-válasz Microsoft Defender XDR |
Összekapcsolja a jeleket Defender szolgáltatások között, és egységes incidenseket hoz létre a kivizsgáláshoz és a reagáláshoz. | Microsoft Defender portál |
|
Biztonsági műveletek Microsoft Sentinel |
A központosított elemzéshez, vizsgálathoz és válaszhoz Microsoft és külső forrásokból származó telemetria összesítése. |
Microsoft Azure Portal Microsoft Defender portál |
|
Fejlesztői/alkalmazásbiztonság DevOps-hoz készült Defender (Defender for Cloud) GitHub Advanced Security |
Védi a kódot, a függőségeket és a buildfolyamatokat, valamint érvényesíti a biztonsági irányelveket a DevOps-munkafolyamatokban. |
Microsoft Defender portál GitHub felület |
Hálózatvédelmi szolgáltatások
A táblázat összefoglalja Azure hálózati képességeket, valamint azt, hogy ezek hogyan integrálhatók közvetlenül más biztonsági szolgáltatásokkal. A szolgáltatások a Microsoft Azure Portal vannak konfigurálva.
| Szolgáltatás | Védelem | Integráció |
|---|---|---|
| Azure Firewall | IP-, port- és alkalmazásszabályokat kényszerít ki az alhálózatok, az internet és a helyszíni hálózatok bejövő és kimenő forgalmának szabályozásához. Microsoft fenyegetésintelligencia használatával blokkolja az ismert rosszindulatú forgalmat. | Defender for Cloud kiértékeli a konfigurációs helyzetet. A diagnosztikai naplók bekerülnek az Azure Monitorba/Log Analyticsbe, ahol a Microsoft Sentinel elemzi őket az észlelés és a korreláció érdekében. |
| Azure DDoS Protection | Csökkenti a mennyiségi, protokoll- és alkalmazásréteg-támadásokat. A virtuális hálózatok (VNetek) internetes erőforrásait védi a nagy léptékű árvízi támadásoktól. | A metrikák és a támadásokkal kapcsolatos telemetriai adatok betöltésre kerülnek az Azure Monitorba/Log Analyticsbe, és elemezhetők a Microsoft Sentinelben. Defender for Cloud testtartási javaslatokat nyújt. |
| Azure virtuális hálózat | Hálózati elkülönítést, szegmentálást és privát IP-címzést biztosít Azure erőforrásokhoz. Lehetővé teszi a szolgáltatások közötti szabályozott kapcsolatot. | Defender for Cloud kiértékeli a konfiguráció állapotát, beleértve az expozíciót, például a nyilvános hozzáférési útvonalakat. |
| Hálózati biztonsági csoportok (NSG-k) | Az alhálózat és a hálózati adapter szintjén szűri a forgalmat engedélyezési/megtagadási szabályok használatával. Korlátozza az erőforrások nemkívánatos forgalmát. | Az NSG-folyamatnaplók (Azure Monitor keresztül) elemezhetők Microsoft Sentinel a forgalom láthatósága és észlelése érdekében. Defender for Cloud kiértékeli az NSG-szabály konfigurációját. |
| Azure Web Application Firewall (WAF) | OWASP-szabálykészletekkel védi a HTTP/HTTPS-alkalmazásokat. Segít megelőzni az olyan gyakori webes támadásokat, mint az SQL-injektálás és a helyek közötti szkriptelés (XSS). | A WAF-naplók az Azure Monitorba/Log Analyticsbe kerülnek be, és a Microsoft Sentinel elemzi őket. A Defender for Cloud kiértékeli a WAF-konfiguráció állapotát. |
| Azure Front Door | Globális belépési pontot biztosít a webalkalmazásokhoz útválasztási, gyorsítási és peremhálózati biztonsági képességekkel. Integrálva van a WAF-tal az alkalmazásvédelemhez. | A diagnosztikai naplók (Front Door/WAF) a Log Analyticsbe kerülnek, és a Microsoft Sentinel elemzi őket. Defender for Cloud kiértékeli a konfigurációs helyzetet. |
| Azure Application Gateway | Regionális terheléselosztást biztosít a beépített webalkalmazási tűzfalfunkciókkal az alkalmazásforgalom védelméhez és irányításához. | A hozzáférési és WAF-naplók bekerülnek a Log Analyticsbe, és a Microsoft Sentinel elemzi őket. Defender for Cloud kiértékeli a konfigurációs és expozíciós beállításokat. |
| Azure VPN Gateway | Titkosított IPsec-/IKE-kapcsolatot biztosít a helyszíni környezetek és Azure virtuális hálózatok között. Védi a nyilvános hálózatokon áthaladó adatokat. | A kapcsolat- és alagútnaplók a Log Analyticsbe kerülnek betöltésre, és a Microsoft Sentinelben elemezhetők. Defender for Cloud kiértékeli a konfigurációs helyzetet, beleértve a titkosítási beállításokat is. |
| Azure ExpressRoute | Privát, dedikált kapcsolatot biztosít a helyszíni környezetek és a Azure között a Microsoft gerinchálózaton keresztül, elkerülve a nyilvános internetet. | A működési telemetria (például BGP, kapcsolatcsoport állapota) Azure Monitor keresztül érhető el, és elemezhető Microsoft Sentinel. Defender for Cloud kiértékeli a magas szintű konfigurációs helyzetet. |
| Azure Bastion | Biztonságos RDP- és SSH-hozzáférést biztosít a virtuális gépekhez böngészőn keresztül, így nincs szükség nyilvános IP-kitettségre. | A diagnosztikai naplókat betöltik a Log Analyticsba, és a Microsoft Sentinel elemzi őket. Defender for Cloud kiértékeli a csökkentett virtuális gépet, de közvetlenül nem Azure Bastion konfigurációt. |
| Azure Private Link | Privát kapcsolatot biztosít Azure PaaS-szolgáltatásokhoz és ügyfélszolgálatokhoz privát IP-címekkel, így kiküszöbölve a nyilvános kitettséget. | A szolgáltatásszintű naplókat a Private Linken keresztül elért szolgáltatásokhoz (például Storage, SQL és Key Vault) a Log Analyticsbe töltik be, és a Microsoft Sentinel elemzi. Defender for Cloud kiértékeli, hogy a privát kapcsolatok használata csökkenti-e az expozíciót. |
| Azure Network Watcher | Hálózati diagnosztikát, monitorozást és folyamatszintű láthatóságot biztosít Azure erőforrások között. | Az NSG forgalmi naplói és diagnosztikai naplói a Log Analyticsbe kerülnek betöltésre, és a Microsoft Sentinelben elemezhetők. Defender for Cloud közvetlenül Network Watcher helyett kiértékeli az alapul szolgáló erőforráskonfigurációs állapotot, például az NSG-beállításokat. |
Biztonsági munkafolyamat
A biztonsági szolgáltatások folyamatos folyamatként működnek. A jeleket folyamatosan gyűjtik, értékelik ki, kényszerítik, és használják az észlelés és a válasz hajtóerőjeként.
| Csővezeték | Action | Fő tevékenység |
|---|---|---|
| 1. szakasz: Jelgyűjtés | A biztonsági szolgáltatások telemetriát hoznak létre identitások, eszközök, alkalmazások és infrastruktúra között. | - A Defender for Endpoint eszköztelemetriát gyűjt. - Microsoft Intune kiértékeli az eszközmegfelelőségeket. - A Defender for Identity figyeli a helyszíni identitással kapcsolatos tevékenységeket. - Defender for Cloud Apps figyeli az SaaS-tevékenységet. - Defender for Cloud figyeli az infrastruktúrát/számítási feladat konfigurációját és tevékenységét. |
| 2. szakasz: Szakpolitikai döntések | A rendszer kiértékeli a jeleket a hozzáférési feltételek és a vezérlési műveletek meghatározásához. | Microsoft Entra Feltételes hozzáférés kiértékeli az identitáskockázatot, az eszköz megbízhatóságát, a helyet és a munkamenet-környezetet. |
| 3. szakasz: A kényszerítés ellenőrzése | A biztonsági vezérlők identitások, eszközök, munkamenetek, adatok és hálózati rétegeken vannak alkalmazva. | A kényszerítési pontok a következők: - Feltételes hozzáférés (MFA/korlátozások) - Intune (eszközmegfelelés) -Defender for Cloud Apps (munkamenet-vezérlés) - Microsoft Purview (DLP) - Azure hálózatkezelés (kapcsolati korlátozások). |
| 4. szakasz: Észlelés és válasz | A jelek és riasztások összefüggésben vannak a fenyegetések észleléséhez, kivizsgálásához és elhárításához. | Microsoft Defender XDR az összes Defender terméktől érkező jeleket egységes incidensekké alakítja. Microsoft Sentinel központosítja a naplókat, incidenseket, a vadászatot és a biztonsági vezénylést, az automatizálást és a válaszadást (SOAR) a teljes környezetben – beleértve a külső forrásokat is. |
| Visszajelzési ciklus | Az észlelési eredmények visszavetik a szabályzati döntéseket a védelem folyamatos javítása érdekében. | A kockázati és fenyegetési jelek valós idejű szabályzatfrissítéseket tájékoztatnak, lehetővé téve az adaptív és automatizált védelmet. |
Biztonsági szolgáltatás integrációja
Microsoft biztonsági szolgáltatások több, összetartó folyamatként működő folyamaton keresztül integrálhatók, és folyamatos védelmi rendszert alkotnak.
- A jelek (telemetria) az identitások, eszközök, alkalmazások és egyéb erőforrások tevékenységeit rögzítik.
- A környezet (identitás, eszköztartás és adatbesorolás) a pontosság és a döntéshozatal javítása érdekében bővíti a jeleket.
- A szabályzat a kiértékelt feltételek alapján határozza meg, hogy milyen hozzáférés engedélyezett vagy tiltott.
- A műveletek automatikus vezérlőkkel és válaszokkal kényszerítik ki a döntéseket.
Ahogy a jelek áthaladnak a platformon, azok ki lesznek bővítve, kiértékelve a szabályzatok alapján, és reagálnak rájuk, és folyamatos védelmi és válaszciklust hoznak létre.
A szolgáltatások integrálása
A táblázat összefoglalja, hogy a biztonsági szolgáltatások hogyan használnak fel jeleket és kontextust egymástól, és hogy mit adnak ki és hajtanak végre.
| Szolgáltatás | Fogyaszt | Outputs |
|---|---|---|
| Microsoft Entra-azonosító |
Jelek: Hitelesítési tevékenység (bejelentkezések, kockázati események). Eszközmegfelelőségi állapot a Microsoft Intune-ból. Context: Az eszköz környezete a Defender for Endpoint hozzáférési döntéseihez. Munkamenet-környezet a Defender for Cloud Apps hozzáférési döntéseihez. |
Műveletek: Feltételes hozzáféréssel kapcsolatos döntések (engedélyezés, letiltás, korlátozás, vezérlők megkövetelése). |
| Microsoft Intune |
Jelek: Felügyelt eszközök leltára, állapota, megfelelőségi állapota. Kontextus: Identitástársítás a Microsoft Entra ID-ból. |
Outputs: Az eszköz megfelelőségi állapota a Microsoft Entra ID felé. Eszközellenőrzési naplók a Microsoft Sentinelbe. |
| Microsoft Purview |
Signals: Vállalati adatok Microsoft 365, SaaS-alkalmazások és helyszíni rendszerek között. Környezet: Adatbesorolás (bizalmassági címkék, tartalomvizsgálat, felhasználói tevékenység). |
Outputs: Bennfentes kockázati és adatveszteség-megelőzési (DLP) riasztások a Defender XDR-be. Megfelelőségi és auditnaplók a Microsoft Sentinelbe. Műveletek: DLP-kikényszerítés a végpontokon (Defender for Endpoint) és a munkamenetekben (Defender for Cloud Apps). |
| Defender végpontvédelem |
Jelek: Végpont telemetriai adatai (folyamat, fájl, hálózati tevékenység). Kontext: Microsoft Entra ID (identitáskörnyezet). Microsoft Intune (eszközállapot). Microsoft Purview (DLP-szabályzatok). |
Outputs: Végpontriasztások és telemetria a Defender XDR-be és a Microsoft Sentinelbe. Műveletek: Végpont-kényszerítés (eszközelkülönítés, blokkolás, szervizelés). |
| Defender az Identitáshoz | Jelek: Active Directory-identitásjelek. | Kimenet: Identitásfenyegetési riasztások a Defender XDR-be és a Microsoft Sentinelbe. |
| Defender for Cloud Apps |
Jelek: SaaS-alkalmazástevékenység (felhőhasználat). Hálózati és árnyék-IT-telemetria a Defender for Endpointből. Kontext: Munkamenet- és hitelesítési környezet Microsoft Entra ID. A Microsoft Purview DLP-szabályzatai. |
Outputs: Felhőalkalmazás-riasztások a Defender XDR-be és a Microsoft Sentinelbe. Műveletek: Munkamenet-kényszerítés (letiltás, figyelés, hozzáférés korlátozása). |
| Defender for Cloud |
Signals: Az Azure-ból származó erőforrás-műveleti információk. A Defender for Endpoint kiszolgáló- és munkaterhelés-telemetriai adatai. Környezet: Erőforrás konfigurációja és testtartása. |
Outputs: Biztonsági riasztások és a Defender XDR és Microsoft Sentinel állapotelemzései. |
| Microsoft Biztonságikitettség-kezelés |
Signals: A Defender for Endpoint eszközkockázati pontszámai. A Defender for Cloudból származó felhőerőforrás-leltár-, biztonságiállapot-, kitettségi és támadási felületi megállapítások. Identitásleltár és kockázati jelzések a Microsoft Entrából. SaaS-alkalmazásleltár, kockázat és használati környezet Defender for Cloud Apps. Kontextus: Egységes expozíció és kockázati korreláció. |
Outputs: Expozíciós elemzések és kockázati korrelációk Microsoft XDR és Microsoft Sentinel. |
| Defender XDR | Signals: Riasztások a Defender for Endpointből (eszközök), a Defender for Identityből (identitásjelek), a Office 365-höz készült Defender-ből (levelezés és együttműködés), a Defender for Cloud Appsból (SaaS- és alkalmazástevékenység). További jelzések a Microsoft Purviewből (DLP, belső kockázatok, adatbesorolás), a Microsoft Entra ID-védelemből (identitáskockázati jelzések) és a Defender for Cloudból (munkaterhelés-/felhőbiztonsági állapot). |
Kimenetek: Korrelált riasztások, incidensek a Microsoft Sentinelbe. Műveletek: Automatikus tartományközi válasz. |
| Microsoft Sentinel | Signals: Riasztások, naplók, telemetria Defender XDR, Microsoft Purview, felhőszolgáltatások és más külső/külső forrásokból. |
Kimenetek: Elemzések, vizsgálatok és incidensek. Műveletek: Automatikus válasz forgatókönyvek használatával. |
| Microsoft Security Copilot |
Signals: Incidensek és riasztások a Microsoft Sentinelből és a Defender XDR-ből. Környezet: Bizalmas adatokkal és bennfentes kockázatokkal kapcsolatos környezet a Microsoft Purviewből. A Microsoft Biztonság Exposure Managementből származó kitettségi kontextus. |
Kimenetek: Vizsgálati összefoglalók, javaslatok, AI-alapú elemzések. Actions: Irányított válaszműveletek Microsoft Sentinel és Defender XDR munkafolyamatokon keresztül. |
Következő lépések
- Kezdésként a jelenlegi biztonsági helyzetének Teljes felügyelet felmérésével.
- Kövesse strukturált adoption-modellünket a Teljes felügyelet bevezetésének megkezdéséhez.
- Bevezetési üzleti forgatókönyveinkkel megismerhetjük az üzleti vezetők számára a kritikus biztonsági eredményeket. Első lépéskéntalkalmazzon technikai megoldásokat üzleti megoldásokhoz és technológiai pillérekhez, például adatokhoz és eszközökhöz.