Microsoft layanan keamanan

Artikel ini menjelaskan Microsoft layanan keamanan dan bagaimana mereka bekerja sama sebagai sistem terpadu untuk memberikan perlindungan di pilar teknologi yang mencakup identitas, perangkat, aplikasi, data, AI, dan infrastruktur.

Keamanan perusahaan modern bergeser dari perlindungan berbasis perimeter ke model berbasis identitas dan terintegrasi cloud. Organisasi harus mengamankan pengguna, perangkat, aplikasi, dan data di seluruh lingkungan hibrid dan multicloud sambil terus beradaptasi dengan ancaman yang berkembang.

Microsoft menyediakan serangkaian layanan berbasis cloud terintegrasi yang bekerja sama untuk berbagi sinyal, menerapkan kebijakan yang konsisten, menerapkan kontrol, dan mengoordinasikan deteksi dan respons di seluruh lingkungan.

Hasil keamanan

Keamanan Microsoft terintegrasi memberikan hasil berikut:

  • Visibilitas sinyal terpadu: Telemetri terus dikumpulkan dan dipusatkan di seluruh identitas, perangkat, aplikasi, data, dan infrastruktur, dan dikonversi menjadi sinyal terpusat dan dapat ditindaklanjuti.
  • Pengambilan keputusan berbasis identitas: Keputusan akses dan penegakan didasarkan pada identitas, status perangkat, sinyal risiko, dan konteks sesi.
  • Penegakan yang konsisten: kontrol Zero Trust diterapkan di semua endpoint, layanan cloud, dan aplikasi pada saat akses dan selama penggunaan.
  • Deteksi dan respons terintegrasi: Sinyal dan pemberitahuan berkorelasi di seluruh domain untuk mendeteksi dan merespons ancaman sebagai operasi terpadu.
  • Validasi dan peningkatan berkelanjutan: Deteksi dan sinyal risiko memberi umpan kembali ke keputusan kebijakan untuk memperkuat perlindungan dari waktu ke waktu.

Layanan keamanan inti

Layanan keamanan inti mencakup beberapa pilar teknologi, masing-masing memberikan sinyal, konteks, dan penegakan di seluruh platform.

Pilar
Layanan utama
Perlindungan Portal utama
Identitas dan akses

Microsoft Entra

Microsoft Defender untuk Identitas.
Microsoft Entra mengontrol akses untuk pengguna, beban kerja, dan aplikasi. Ini mengevaluasi sinyal identitas, perangkat, dan sesi untuk membuat keputusan akses.

Defender untuk Identitas memantau infrastruktur identitas hibrid untuk mendeteksi serangan.
Microsoft Entra Admin Center

Portal Pertahanan Microsoft
Perangkat/titik akhir

Microsoft Defender untuk Endpoint

Microsoft Intune
Defender for Endpoint mengumpulkan telemetri endpoint dan mendeteksi ancaman.
Microsoft Intune menilai kepatuhan perangkat dan menerapkan kebijakan.
Portal Pertahanan Microsoft

Pusat Administrasi Microsoft Intune
Email dan kolaborasi

Defender untuk Office 365
Melindungi layanan Exchange dan kolaborasi (Microsoft Teams, SharePoint, OneDrive) dari malware, tautan/lampiran berbahaya, dan penyusupan email bisnis. Portal Pertahanan Microsoft
Data

Microsoft Purview
Memberlakukan kebijakan perlindungan data dan pencegahan kehilangan data (DLP) di seluruh titik akhir dan layanan cloud. Portal Microsoft Purview
Beban kerja infrastruktur/cloud

Microsoft Defender untuk Cloud
Meningkatkan postur keamanan dan menyediakan deteksi ancaman di seluruh beban kerja cloud dan hibrid. Portal Microsoft Azure
Portal Pertahanan Microsoft
Networks

Layanan jaringan Azure
Segmentasikan dan lindungi jaringan. Portal Microsoft Azure
Aplikasi SaaS/cloud

Microsoft Defender untuk Aplikasi Cloud
Memberikan visibilitas ke dalam penggunaan aplikasi cloud dan memantau aktivitas pengguna untuk mendeteksi perilaku berisiko. Portal Pertahanan Microsoft
Postur/risiko

Manajemen Paparan Keamanan Microsoft
Mengidentifikasi, memprioritaskan, dan mengurangi paparan di seluruh identitas, perangkat, sumber daya cloud, dan aplikasi. Portal Pertahanan Microsoft
Deteksi/respons ancaman

Microsoft Defender XDR
Menghubungkan sinyal di seluruh layanan Defender dan menghasilkan insiden terpadu untuk penyelidikan dan respons. Portal Microsoft Defender
Operasi keamanan

Microsoft Sentinel
Menggabungkan telemetri dari Microsoft dan sumber pihak ketiga untuk analisis, investigasi, dan respons terpusat. Portal Microsoft Azure
Portal Pertahanan Microsoft
Keamanan pengembang/aplikasi

Defender untuk DevOps (dalam Defender untuk Cloud)
GitHub Advanced Security
Mengamankan kode, dependensi, dan membangun alur, dan memberlakukan tata kelola keamanan di seluruh alur kerja DevOps. Portal Pertahanan Microsoft
antarmuka GitHub

Layanan perlindungan jaringan

Tabel ini meringkas kemampuan jaringan Azure dan bagaimana mereka langsung berintegrasi dengan layanan keamanan lainnya. Layanan dikonfigurasi dalam portal Microsoft Azure.

Layanan Perlindungan Integrasi
Azure Firewall Memberlakukan aturan IP, port, dan aplikasi untuk mengontrol lalu lintas masuk dan keluar di seluruh subnet, internet, dan jaringan lokal. Menggunakan inteligensi ancaman Microsoft untuk memblokir lalu lintas berbahaya yang diketahui. Defender untuk Cloud mengevaluasi status konfigurasi.

Log diagnostik diserap ke dalam Azure Monitor/Log Analytics dan dianalisis oleh Microsoft Sentinel untuk deteksi dan korelasi.
Azure DDoS Protection Mengurangi serangan volumetrik, protokol, dan lapisan aplikasi. Melindungi sumber daya yang terhubung ke internet di jaringan virtual (VNet) dari serangan banjir skala besar. Metrik dan telemetri serangan diserap ke dalam Azure Monitor/Log Analytics dan dapat dianalisis dalam Microsoft Sentinel.

Defender untuk Cloud memberikan rekomendasi postur.
Azure VNet Menyediakan isolasi jaringan, segmentasi, dan alamat IP privat untuk sumber daya Azure. Memungkinkan konektivitas terkontrol antar layanan. Defender untuk Cloud mengevaluasi status konfigurasi, termasuk paparan seperti jalur akses publik.
Kelompok Keamanan Jaringan (NSG) Memfilter lalu lintas di tingkat subnet dan antarmuka jaringan menggunakan aturan izinkan/tolak. Membatasi lalu lintas yang tidak diinginkan menuju sumber daya. Log alur NSG (melalui Azure Monitor) dapat dianalisis dalam Microsoft Sentinel untuk visibilitas dan deteksi lalu lintas.

Defender untuk Cloud mengevaluasi konfigurasi aturan NSG.
Azure Web Application Firewall (WAF) Melindungi aplikasi HTTP/HTTPS menggunakan seperangkat aturan OWASP. Membantu mencegah serangan web umum seperti injeksi SQL dan scripting lintas situs (XSS). Log WAF diserap ke dalam Azure Monitor/Log Analytics dan dianalisis oleh Microsoft Sentinel.

Defender untuk Cloud mengevaluasi postur konfigurasi WAF.
Azure Front Door Menyediakan titik masuk global untuk aplikasi web dengan kemampuan perutean, akselerasi, dan keamanan tepi. Terintegrasi dengan WAF untuk perlindungan aplikasi. Log diagnostik (Front Door/WAF) dimasukkan ke dalam Log Analytics dan dianalisis oleh Microsoft Sentinel.

Defender untuk Cloud mengevaluasi status konfigurasi.
Azure Application Gateway Menyediakan penyeimbangan beban regional dengan kemampuan firewall aplikasi web bawaan untuk melindungi dan merutekan lalu lintas aplikasi. Log Akses dan WAF diserap ke dalam Log Analytics dan dianalisis oleh Microsoft Sentinel.

Defender untuk Cloud mengevaluasi postur konfigurasi dan pengaturan paparan.
Azure VPN Gateway Menyediakan konektivitas IPsec/IKE terenkripsi antara lingkungan lokal dan Azure VNet. Melindungi data saat transit melalui jaringan publik. Log koneksi dan terowongan diserap ke dalam Log Analytics dan dapat dianalisis dalam Microsoft Sentinel.

Defender untuk Cloud mengevaluasi postur konfigurasi, termasuk pengaturan enkripsi.
Azure ExpressRoute Menyediakan konektivitas privat dan khusus antara lingkungan lokal dan Azure melalui tulang punggung Microsoft, menghindari internet publik. Telemetri operasional (seperti BGP, status sirkuit) tersedia melalui Azure Monitor dan dapat dianalisis dalam Microsoft Sentinel.

Defender untuk Cloud mengevaluasi postur konfigurasi tingkat tinggi.
Azure Bastion Menyediakan akses RDP dan SSH yang aman ke komputer virtual melalui browser, menghilangkan kebutuhan akan paparan IP publik. Log diagnostik diserap ke dalam Log Analytics dan dianalisis oleh Microsoft Sentinel.

Defender untuk Cloud mengevaluasi VM yang diperkecil, tetapi tidak mengevaluasi konfigurasi Azure Bastion secara langsung.
Azure Private Link Menyediakan konektivitas privat untuk Azure layanan PaaS dan layanan pelanggan menggunakan alamat IP privat, menghilangkan paparan publik. Log tingkat layanan (untuk layanan yang diakses melalui Private Link seperti Storage, SQL, Key Vault) diserap ke dalam Log Analytics dan dianalisis oleh Microsoft Sentinel.

Defender untuk Cloud mengevaluasi apakah tautan privat digunakan untuk mengurangi paparan.
Azure Network Watcher Menyediakan diagnostik jaringan, pemantauan, dan visibilitas tingkat alur di seluruh sumber daya Azure. Log aliran NSG dan log diagnostik dimasukkan ke dalam Log Analytics dan dapat dianalisis menggunakan Microsoft Sentinel.

Defender untuk Cloud mengevaluasi status konfigurasi sumber daya yang mendasar seperti pengaturan NSG, bukan Network Watcher secara langsung.

Alur kerja keamanan

Layanan keamanan berfungsi sebagai alur yang berkesinambungan. Sinyal terus dikumpulkan, dievaluasi, diberlakukan, dan digunakan untuk mendorong deteksi dan respons.

Pipeline Action Aktivitas utama
Tahap 1: Pengumpulan sinyal Layanan keamanan menghasilkan telemetri di seluruh identitas, perangkat, aplikasi, dan infrastruktur. - Defender for Endpoint mengumpulkan telemetri perangkat.
- Microsoft Intune mengevaluasi kepatuhan perangkat.
- Defender for Identity memantau aktivitas identitas lokal.
- Defender for Cloud Apps memantau aktivitas SaaS.
- Defender untuk Cloud memantau konfigurasi dan aktivitas infrastruktur/beban kerja.
Tahap 2: Keputusan kebijakan Sinyal dievaluasi untuk menentukan kondisi akses dan tindakan kontrol. Akses Bersyarat Microsoft Entra mengevaluasi risiko identitas, kepercayaan perangkat, lokasi, dan konteks sesi.
Tahap 3: Penegakan kontrol Kontrol keamanan diterapkan di seluruh lapisan identitas, perangkat, sesi, data, dan jaringan. Titik penegakan meliputi:
- Akses Bersyarat (MFA/pembatasan)
- Intune (kepatuhan perangkat)
-Defender for Cloud Apps (kontrol sesi)
- Microsoft Purview (DLP)
- Azure jaringan (pembatasan konektivitas).
Tahap 4: Deteksi dan respons Sinyal dan pemberitahuan berkorelasi untuk mendeteksi, menyelidiki, dan memulihkan ancaman. Microsoft Defender XDR mengkorelasikan sinyal dari semua produk Defender menjadi insiden terpadu.

Microsoft Sentinel memusatkan log, insiden, perburuan, dan orkestrasi keamanan, otomatisasi, dan respons (SOAR) di seluruh lingkungan—termasuk sumber pihak ketiga.
Siklus umpan balik Hasil deteksi mengumpan kembali ke dalam keputusan kebijakan untuk terus meningkatkan perlindungan. Sinyal risiko dan ancaman menginformasikan pembaruan kebijakan real-time, memungkinkan perlindungan adaptif dan otomatis.

Integrasi layanan keamanan

Layanan keamanan Microsoft terintegrasi melalui berbagai alur yang bekerja sebagai satu alur terpadu, membentuk sistem perlindungan yang berkesinambungan.

  • Sinyal (telemetri) menangkap aktivitas di seluruh identitas, perangkat, aplikasi, dan sumber daya lainnya.
  • Konteks (identitas, postur perangkat, dan klasifikasi data) memperkaya sinyal untuk meningkatkan akurasi dan pengambilan keputusan.
  • Kebijakan menentukan akses apa yang diizinkan atau diblokir berdasarkan kondisi yang dievaluasi.
  • Tindakan memberlakukan keputusan melalui kontrol dan respons otomatis.

Saat sinyal bergerak melalui platform, sinyal diperkaya, dievaluasi terhadap kebijakan, dan ditindaklanjuti, menciptakan siklus perlindungan dan respons berkelanjutan.

Bagaimana layanan diintegrasikan

Tabel ini merangkum cara layanan keamanan menggunakan sinyal dan konteks dari masing-masing sumber, serta keluaran dan tindakan yang dihasilkannya.

Layanan Mengonsumsi Outputs
Microsoft Entra ID Sinyal: Aktivitas autentikasi (upaya masuk, kejadian berisiko). Status kepatuhan perangkat dari Microsoft Intune.

Context: Konteks perangkat untuk keputusan akses dari Defender for Endpoint. Konteks sesi untuk keputusan akses dari Defender for Cloud Apps.
Tindakan: Keputusan Akses Bersyarat (izinkan, blokir, batasi, perlu kontrol).
Microsoft Intune Sinyal: Inventori perangkat terkelola, kesehatan, status kepatuhan.

Context: Asosiasi identitas dari Microsoft Entra ID.
Keluaran: Status kepatuhan perangkat di Microsoft Entra ID. Log audit perangkat ke Microsoft Sentinel.
Microsoft Purview Signals: Data perusahaan di seluruh Microsoft 365, aplikasi SaaS, dan sistem lokal.

Konteks: Klasifikasi data (label sensitivitas, inspeksi konten, aktivitas pengguna).
Outputs: Pemberitahuan risiko insider dan perlindungan kehilangan data (DLP) ke Defender XDR. Log kepatuhan dan audit ke Microsoft Sentinel.

Tindakan: Penegakan DLP di seluruh endpoint (Defender for Endpoint), serta sesi (Defender for Cloud Apps).
Defender for Endpoint Sinyal: Telemetri titik akhir (proses, file, aktivitas jaringan).

Context: Microsoft Entra ID (konteks identitas). Microsoft Intune (postur perangkat). Microsoft Purview (kebijakan DLP).
Outputs: Pemberitahuan dan telemetri titik akhir untuk Defender XDR dan Microsoft Sentinel.

Tindakan: Penegakan titik akhir (isolasi perangkat, pemblokiran, remediasi).
Defender for Identity Sinyal: Sinyal identitas Direktori Aktif. Output: Peringatan ancaman identitas untuk Defender XDR dan Microsoft Sentinel.
Defender for Cloud Apps Sinyal: Aktivitas aplikasi SaaS (penggunaan cloud). Telemetri jaringan dan TI bayangan dari Defender for Endpoint.

Context: Konteks sesi dan autentikasi dari Microsoft Entra ID. Kebijakan DLP dari Microsoft Purview.
Outputs: Pemberitahuan aplikasi cloud untuk Defender XDR dan Microsoft Sentinel.

Tindakan: Pemberlakuan sesi (blokir, pantau, batasi akses).
Defender untuk Cloud Signals: Informasi operasi sumber daya dari Azure. Telemetri server/beban kerja dari Defender for Endpoint.

Konteks: Konfigurasi dan postur sumber daya.
Outputs: Pemberitahuan keamanan dan wawasan postur untuk Defender XDR dan Microsoft Sentinel.
Manajemen Paparan Keamanan Microsoft Signals: Skor risiko perangkat dari Defender for Endpoint. Temuan inventaris sumber daya cloud, postur keamanan, paparan, dan permukaan serangan dari Defender untuk Cloud. Inventaris identitas dan sinyal risiko dari Microsoft Entra. Inventarisasi aplikasi SaaS, risiko, dan konteks penggunaan dari Defender for Cloud Apps.

Konteks: Eksposur terpadu dan korelasi risiko.
Outputs: Wawasan paparan dan korelasi risiko untuk Microsoft XDR dan Microsoft Sentinel.
Defender XDR Signals: Pemberitahuan dari Defender untuk Titik Akhir (perangkat), Defender untuk Identitas (sinyal identitas), Defender untuk Office 365 (email dan kolaborasi), Defender for Cloud Apps (Aktivitas SaaS/aplikasi). Sinyal tambahan dari Microsoft Purview (DLP, risiko internal, klasifikasi data), Perlindungan Microsoft Entra ID (sinyal risiko identitas), dan Defender untuk Cloud (postur beban kerja/cloud). Outputs: Pemberitahuan berkorelasi, insiden ke Microsoft Sentinel.

Tindakan: Respons lintas domain otomatis.
Microsoft Sentinel Signals: Pemberitahuan, log, telemetri dari Defender XDR, Microsoft Purview, layanan cloud, dan sumber pihak pertama/pihak ketiga lainnya. Luaran: analitik, investigasi, dan insiden.

Aksi: Respons otomatis dengan menggunakan playbook.
Microsoft Security Copilot (Pendamping Keamanan Microsoft) Signals: Insiden dan pemberitahuan dari Microsoft Sentinel dan Defender XDR.

Context: Data sensitif dan konteks risiko orang dalam dari Microsoft Purview. Konteks paparan dari Microsoft Security Exposure Management.
Output: Ringkasan investigasi, rekomendasi, wawasan berbasis AI.

Actions: Tindakan respons terpandu yang dirutekan melalui alur kerja Microsoft Sentinel dan Defender XDR.

Langkah berikutnya