службы безопасности Microsoft

В этой статье описываются службы безопасности Microsoft и то, как они работают вместе как единая система, обеспечивая защиту во всех технологических направлениях, включая идентификационные данные, устройства, приложения, данные, ИИ и инфраструктуру.

Современная корпоративная безопасность перемещена с защиты на основе периметра в удостоверяемую облачную интегрированную модель. Организации должны обеспечить безопасность пользователей, устройств, приложений и данных в гибридных и многооблачных средах, постоянно адаптируясь к изменяющимся угрозам.

Microsoft предоставляет интегрированный набор облачных служб, которые работают вместе, обмениваясь сигналами, применяя единые политики, обеспечивая соблюдение механизмов контроля и координируя обнаружение и реагирование во всей среде.

Результаты безопасности

Встроенная Microsoft безопасность обеспечивает следующие результаты:

  • Единая видимость сигналов: данные телеметрии непрерывно собираются и централизуются по идентификационным данным, устройствам, приложениям, данным и инфраструктуре, а затем преобразуются в централизованные, пригодные для практического использования сигналы.
  • Принятие решений на основе идентификационных данных: решения о доступе и применении политик основываются на идентификационных данных, состоянии устройства, сигналах риска и контексте сеанса.
  • Последовательное применение политик: средства контроля "Никому не доверяй" применяются к конечным точкам, облачным службам и приложениям в момент доступа и в процессе использования.
  • Интегрированное обнаружение и реагирование: сигналы и оповещения коррелируются между доменами для обнаружения и реагирования на угрозы в виде унифицированных операций.
  • Непрерывная проверка и улучшение: обнаружение и сигналы риска возвращаются в решения о политике по укреплению защиты с течением времени.

Основные службы безопасности

Основные службы безопасности охватывают несколько технологических направлений, каждое из которых предоставляет сигналы и контекст, а также обеспечивает применение политик по всей платформе.

Столб
Основная служба
Protection Первичный портал
Удостоверение и доступ

Microsoft Entra

Microsoft Defender для идентификации.
Microsoft Entra управляет доступом для пользователей, рабочих нагрузок и приложений. Оценивает сигналы идентификации, устройства и сеанса при принятии решений о предоставлении доступа.

Defender for Identity отслеживает гибридную инфраструктуру идентификации для обнаружения атак.
Центр администрирования Microsoft Entra

Портал Microsoft Defender
Устройства и конечные точки

Microsoft Defender для конечной точки (средство защиты для конечных точек)

Microsoft Intune
Defender для конечных точек собирает телеметрию конечных точек и обнаруживает угрозы.
Microsoft Intune оценивает соответствие устройств и применяет политику.
Портал Microsoft Defender

Центр администрирования Microsoft Intune
Электронная почта и совместная работа

Defender для Office 365
Защищает службы Exchange и совместной работы (Microsoft Teams, SharePoint, OneDrive) от вредоносных программ, вредоносных ссылок и вложений и компрометации бизнес-сообщений электронной почты. Портал Microsoft Defender
Данные

Microsoft Purview.
Применяет политики защиты данных и защиты от потери данных (DLP) в конечных точках и облачных службах. Портал Microsoft Purview
Рабочие нагрузки инфраструктуры и облака

Microsoft Defender для облака
Улучшает уровень безопасности и обеспечивает обнаружение угроз в облачных и гибридных рабочих нагрузках. Портал Microsoft Azure
Портал Microsoft Defender
Networks

Сетевые службы Azure
Сегментирование и защита сетей. Портал Microsoft Azure
Приложения SaaS/cloud

Microsoft Defender для облачных приложений
Обеспечивает видимость использования облачных приложений и отслеживает действия пользователей для обнаружения рискованного поведения. Портал Microsoft Defender
Состояние и риск

Управление уязвимостями безопасности Microsoft
Выявляет, определяет приоритеты и снижает подверженность рискам в учетных записях, на устройствах, в облачных ресурсах и приложениях. Портал Microsoft Defender
Обнаружение угроз и ответ

Microsoft Defender XDR
Сопоставляет сигналы между службами Defender и создает унифицированные инциденты для расследования и реагирования. Портал Microsoft Defender.
Операции безопасности

Microsoft Sentinel
Агрегирует данные телеметрии из Microsoft и сторонних источников для централизованного анализа, исследования и реагирования. Портал Microsoft Azure
Портал Microsoft Defender
Безопасность разработчиков и приложений

Defender для DevOps (в Defender для облака)
Расширенная безопасность GitHub
Защищает код, зависимости и конвейеры сборки и обеспечивает управление безопасностью в рабочих процессах DevOps. Портал Microsoft Defender
интерфейс GitHub

Службы защиты сети

В таблице перечислены Azure сетевые возможности и то, как они напрямую интегрируются с другими службами безопасности. Службы настраиваются в портал Microsoft Azure.

Service Protection Интеграция
Брандмауэр Azure Применяет правила IP-адресов, портов и приложений для управления входящим и исходящим трафиком между подсетями, Интернетом и локальными сетями. Использует Microsoft аналитику угроз для блокировки известного вредоносного трафика. Defender для облака оценивает состояние конфигурации.

Журналы диагностики обрабатываются в Azure Monitor/Log Analytics и анализируются Microsoft Sentinel для обнаружения и корреляции.
Защита от атак DDoS Azure Смягчает объемные, протокольные и прикладные атаки. Защищает ресурсы, подключенные к Интернету, в виртуальных сетях (виртуальных сетях) от крупномасштабных атак на наводнение. Метрики и данные телеметрии атак обрабатываются в Azure Monitor/Log Analytics и могут быть проанализированы в Microsoft Sentinel.

Defender для облака предоставляет рекомендации по позы.
Azure виртуальная сеть Предоставляет сетевую изоляцию, сегментацию и частные IP-адреса для Azure ресурсов. Включает управляемое подключение между службами. Defender для облака оценивает состояние конфигурации, в том числе риски доступности, такие как наличие путей публичного доступа.
Группы безопасности сети (группы безопасности сети) Фильтрует трафик на уровне подсети и сетевого интерфейса с помощью правил allow/deny. Ограничивает нежелательный трафик к ресурсам. Журналы потоков NSG (с помощью Azure Monitor) можно анализировать в Microsoft Sentinel для видимости и обнаружения трафика.

Defender для облака оценивает конфигурацию правила NSG.
Azure Брандмауэр веб-приложений (WAF) Защищает приложения HTTP/HTTPS с помощью наборов правил OWASP. Помогает предотвратить распространенные веб-атаки, такие как внедрение SQL и межсайтовые скрипты (XSS). Журналы WAF обрабатываются в Azure Monitor/Log Analytics и анализируются Microsoft Sentinel.

Defender для облака оценивает состояние конфигурации WAF.
Azure Front Door Предоставляет глобальную точку входа для веб-приложений с возможностями маршрутизации, ускорения и пограничной безопасности. Интегрируется с WAF для защиты приложений. Журналы диагностики (Front Door/WAF) обрабатываются в Log Analytics и анализируются Microsoft Sentinel.

Defender для облака оценивает состояние конфигурации.
Шлюз приложений Azure Обеспечивает региональную балансировку нагрузки со встроенными возможностями брандмауэра веб-приложения для защиты и маршрутизации трафика приложения. Журналы доступа и журналы WAF поступают в Log Analytics и анализируются Microsoft Sentinel.

Defender для облака оценивает состояние конфигурации и параметры экспозиции.
VPN-шлюз Azure Обеспечивает зашифрованное подключение IPsec/IKE между локальными средами и виртуальными сетями Azure. Защищает данные при передаче через общедоступные сети. Журналы подключений и туннелей загружаются в Log Analytics, и их можно анализировать в Microsoft Sentinel.

Defender для облака оценивает состояние конфигурации, включая параметры шифрования.
Azure ExpressRoute Обеспечивает частное, выделенное подключение между локальными средами и Azure через магистраль Microsoft, избегая общедоступного Интернета. Операционная телеметрия (например, BGP, состояние канала) доступна через Azure Monitor и может быть проанализирована в Microsoft Sentinel.

Defender для облака оценивает общее состояние конфигурации.
Бастион Azure Обеспечивает безопасный доступ к виртуальным машинам RDP и SSH через браузер, устраняя необходимость использования общедоступного IP-адреса. Журналы диагностики обрабатываются в Log Analytics и анализируются Microsoft Sentinel.

Defender для облака оценивает сокращённую виртуальную машину, но не оценивает конфигурацию Бастион Azure напрямую.
Приватный канал Azure Обеспечивает частное подключение к Azure службам PaaS и службам клиентов с помощью частных IP-адресов, устраняя общедоступную уязвимость. Журналы уровня обслуживания (для служб, доступ к которым осуществляется через Приватный канал, такие как хранилище, SQL, Key Vault), передаются в Log Analytics и анализируются Microsoft Sentinel.

Defender для облака оценивает, используются ли частные каналы для уменьшения воздействия.
Наблюдатель за сетями Azure Обеспечивает диагностику сети, мониторинг и видимость на уровне потоков для ресурсов Azure. Журналы потоков и диагностики NSG обрабатываются в Log Analytics и могут быть проанализированы в Microsoft Sentinel.

Defender для облака оценивает базовую конфигурацию ресурсов, например параметры NSG, а не сам Наблюдатель за сетями напрямую.

Рабочий процесс безопасности

Службы безопасности работают как непрерывный конвейер. Сигналы непрерывно собираются, оцениваются, принудительно применяются и используются для обнаружения и реагирования.

Трубопровод Действие Ключевое действие
Этап 1. Сбор сигналов Службы безопасности генерируют телеметрические данные по идентификационным данным, устройствам, приложениям и инфраструктуре. — Defender for Endpoint собирает телеметрию устройства.
— Microsoft Intune оценивает соответствие устройств.
— Defender for Identity отслеживает действия, связанные с удостоверениями, в локальной среде.
— Defender for Cloud Apps отслеживает активность SaaS.
— Defender для облака отслеживает конфигурацию и действие инфраструктуры, рабочей нагрузки.
Этап 2. Решения политики Сигналы оцениваются для определения условий доступа и действий управления. Условный доступ Microsoft Entra оценивает риск идентификации, доверие устройств, расположение и контекст сеанса.
Этап 3: Обеспечение соблюдения мер контроля Меры безопасности применяются на уровнях идентификационных данных, устройств, сеансов, данных и сети. К числу точек контроля относятся:
— условный доступ (MFA/ограничения)
— Intune (соответствие устройств)
-Defender for Cloud Apps (управление сеансом)
- Microsoft Purview (DLP)
— Azure сети (ограничения подключения).
Этап 4. Обнаружение и ответ Сигналы и оповещения коррелируются с обнаружением, исследованием и исправлением угроз. Microsoft Defender XDR сопоставляет сигналы от всех продуктов Defender в унифицированные инциденты.

Microsoft Sentinel централизует журналы, инциденты, проактивный поиск угроз, а также оркестрацию, автоматизацию и реагирование в сфере безопасности (SOAR) во всей среде, включая сторонние источники.
Цикл обратной связи Результаты выявления используются при принятии решений в рамках политик, чтобы непрерывно повышать уровень защиты. Сигналы о рисках и угрозах сообщают обновления политики в режиме реального времени, обеспечивая адаптивную и автоматическую защиту.

Интеграция службы безопасности

Службы безопасности Microsoft интегрируются через несколько процессов, работающих как единый конвейер и образующих непрерывную систему защиты.

  • Сигналы (телеметрия) фиксируют активность, связанную с учетными записями, устройствами, приложениями и другими ресурсами.
  • Контекст (идентификация, положение устройства и классификация данных) расширяет сигналы для повышения точности и принятия решений.
  • Политика определяет, какой доступ разрешен или заблокирован на основе вычисляемых условий.
  • Действия обеспечивают выполнение решений с помощью автоматизированных средств контроля и мер реагирования.

По мере прохождения сигналов через платформу они обогащаются, проверяются на соответствие политикам и по ним принимаются меры, создавая непрерывный цикл защиты и реагирования.

Интеграция служб

В таблице показано, как службы безопасности используют сигналы и контекст из каждого выходного компонента, а также какие выходные данные они формируют и какие действия выполняют.

Service Потребляет Outputs
Microsoft Entra ID Сигналы: действие проверки подлинности (входы, события риска). Состояние соответствия устройств в Microsoft Intune.

Context: контекст устройства для принятия решений о доступе из Defender для конечной точки. Контекст сеанса для принятия решений об управлении доступом из приложения Defender for Cloud Apps.
Действия: решения условного доступа (разрешить, блокировать, ограничивать, требовать элементы управления).
Microsoft Intune Сигналы: инвентаризация управляемых устройств, работоспособности, состояния соответствия требованиям.

Context: сопоставление удостоверений из Microsoft Entra ID.
Выходные данные: статус соответствия устройств требованиям Microsoft Entra ID. Журналы аудита устройств в Microsoft Sentinel.
Майкрософт Purview Signals: корпоративные данные в Microsoft 365, приложениях SaaS и локальных системах.

Контекст: классификация данных (метки конфиденциальности, проверка содержимого, действие пользователя).
Выходные данные: оповещения о рисках, связанных с внутренними пользователями, и о защите от потери данных (DLP) для Defender XDR. Журналы соответствия и аудита для Microsoft Sentinel.

Actions: применение политик DLP на конечных точках (Defender for Endpoint) и в сеансах (Defender for Cloud Apps).
Защитник для конечных точек Сигналы: телеметрия конечной точки (процесс, файл, сетевое действие).

Context: Microsoft Entra ID (контекст идентификации). Microsoft Intune (состояние устройства). Microsoft Purview (политики защиты от потери данных).
Выходные данные: оповещения конечных точек и телеметрия для Defender XDR и Microsoft Sentinel.

Действия: меры реагирования на конечных устройствах (изоляция устройства, блокировка, устранение).
Microsoft Defender for Identity Сигналы: сигналы идентификации Active Directory. Output: оповещения об угрозах идентификации для Defender XDR и Microsoft Sentinel.
Defender для облачных приложений Сигналы: действие приложения SaaS (использование облака). Сетевая телеметрия и телеметрия теневого ИТ из Defender for Endpoint.

Context: контекст сеанса и проверки подлинности из Microsoft Entra ID. Политики защиты от потери данных из Microsoft Purview.
Outputs: оповещения облачного приложения для Defender XDR и Microsoft Sentinel.

Действия: контроль сеанса (блокировка, мониторинг, ограничение доступа).
Defender для облака Signals: сведения о операции ресурсов из Azure. Телеметрия сервера/рабочей нагрузки из Defender for Endpoint.

Контекст: конфигурация ресурсов и состояние.
Выходные данные: оповещения системы безопасности и аналитические сведения о состоянии безопасности в Defender XDR и Microsoft Sentinel.
Управление воздействием безопасности Майкрософт Signals: оценки риска устройств из Defender для конечной точки. Результаты инвентаризации облачных ресурсов, оценки состояния безопасности, подверженности угрозам и поверхности атаки из Defender для облака. Инвентаризация удостоверений и сигналы риска от Microsoft Entra. Инвентаризация, риск и контекст использования приложений SaaS из Defender for Cloud Apps.

Контекст: единая корреляция воздействия и риска.
Выходные данные: аналитика по подверженности и корреляции рисков для Microsoft XDR и Microsoft Sentinel.
Defender XDR Сигналы: оповещения от Defender for Endpoint (устройства), Defender for Identity (сигналы, связанные с удостоверениями), Defender для Office 365 (электронная почта и средства совместной работы), Defender for Cloud Apps (активность в SaaS-приложениях). Дополнительные сигналы от Microsoft Purview (DLP, внутренний риск, классификация данных), Защита Microsoft Entra ID (сигналы риска идентификации) и Defender для облака (рабочая нагрузка или облачное состояние). Выходные данные: коррелированные оповещения и инциденты, передаваемые в Microsoft Sentinel.

Действия: автоматизированный междоменный ответ.
Microsoft Sentinel Сигналы: оповещения, журналы и данные телеметрии из Defender XDR, Microsoft Purview, облачных служб, а также других собственных и сторонних источников. Выходные данные: аналитика, исследования и инциденты.

Действия: автоматизированный ответ с помощью сборников схем.
Microsoft Security Copilot Signals: инциденты и оповещения от Microsoft Sentinel и Defender XDR.

Context: конфиденциальные данные и контекст рисков, связанных с внутренними пользователями, из Microsoft Purview. Контекст экспозиции из Microsoft Security Exposure Management.
Выходные данные: сводки исследования, рекомендации, аналитические сведения на основе искусственного интеллекта.

Actions: действия по реагированию с пошаговыми инструкциями, направляемые через Microsoft Sentinel и рабочие процессы Defender XDR.

Дальнейшие действия