Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описываются службы безопасности Microsoft и то, как они работают вместе как единая система, обеспечивая защиту во всех технологических направлениях, включая идентификационные данные, устройства, приложения, данные, ИИ и инфраструктуру.
Современная корпоративная безопасность перемещена с защиты на основе периметра в удостоверяемую облачную интегрированную модель. Организации должны обеспечить безопасность пользователей, устройств, приложений и данных в гибридных и многооблачных средах, постоянно адаптируясь к изменяющимся угрозам.
Microsoft предоставляет интегрированный набор облачных служб, которые работают вместе, обмениваясь сигналами, применяя единые политики, обеспечивая соблюдение механизмов контроля и координируя обнаружение и реагирование во всей среде.
Результаты безопасности
Встроенная Microsoft безопасность обеспечивает следующие результаты:
- Единая видимость сигналов: данные телеметрии непрерывно собираются и централизуются по идентификационным данным, устройствам, приложениям, данным и инфраструктуре, а затем преобразуются в централизованные, пригодные для практического использования сигналы.
- Принятие решений на основе идентификационных данных: решения о доступе и применении политик основываются на идентификационных данных, состоянии устройства, сигналах риска и контексте сеанса.
- Последовательное применение политик: средства контроля "Никому не доверяй" применяются к конечным точкам, облачным службам и приложениям в момент доступа и в процессе использования.
- Интегрированное обнаружение и реагирование: сигналы и оповещения коррелируются между доменами для обнаружения и реагирования на угрозы в виде унифицированных операций.
- Непрерывная проверка и улучшение: обнаружение и сигналы риска возвращаются в решения о политике по укреплению защиты с течением времени.
Основные службы безопасности
Основные службы безопасности охватывают несколько технологических направлений, каждое из которых предоставляет сигналы и контекст, а также обеспечивает применение политик по всей платформе.
|
Столб Основная служба |
Protection | Первичный портал |
|---|---|---|
|
Удостоверение и доступ Microsoft Entra Microsoft Defender для идентификации. |
Microsoft Entra управляет доступом для пользователей, рабочих нагрузок и приложений. Оценивает сигналы идентификации, устройства и сеанса при принятии решений о предоставлении доступа. Defender for Identity отслеживает гибридную инфраструктуру идентификации для обнаружения атак. |
Центр администрирования Microsoft Entra Портал Microsoft Defender |
|
Устройства и конечные точки Microsoft Defender для конечной точки (средство защиты для конечных точек) Microsoft Intune |
Defender для конечных точек собирает телеметрию конечных точек и обнаруживает угрозы. Microsoft Intune оценивает соответствие устройств и применяет политику. |
Портал Microsoft Defender Центр администрирования Microsoft Intune |
|
Электронная почта и совместная работа Defender для Office 365 |
Защищает службы Exchange и совместной работы (Microsoft Teams, SharePoint, OneDrive) от вредоносных программ, вредоносных ссылок и вложений и компрометации бизнес-сообщений электронной почты. | Портал Microsoft Defender |
|
Данные Microsoft Purview. |
Применяет политики защиты данных и защиты от потери данных (DLP) в конечных точках и облачных службах. | Портал Microsoft Purview |
|
Рабочие нагрузки инфраструктуры и облака Microsoft Defender для облака |
Улучшает уровень безопасности и обеспечивает обнаружение угроз в облачных и гибридных рабочих нагрузках. |
Портал Microsoft Azure Портал Microsoft Defender |
|
Networks Сетевые службы Azure |
Сегментирование и защита сетей. | Портал Microsoft Azure |
|
Приложения SaaS/cloud Microsoft Defender для облачных приложений |
Обеспечивает видимость использования облачных приложений и отслеживает действия пользователей для обнаружения рискованного поведения. | Портал Microsoft Defender |
|
Состояние и риск Управление уязвимостями безопасности Microsoft |
Выявляет, определяет приоритеты и снижает подверженность рискам в учетных записях, на устройствах, в облачных ресурсах и приложениях. | Портал Microsoft Defender |
|
Обнаружение угроз и ответ Microsoft Defender XDR |
Сопоставляет сигналы между службами Defender и создает унифицированные инциденты для расследования и реагирования. | Портал Microsoft Defender. |
|
Операции безопасности Microsoft Sentinel |
Агрегирует данные телеметрии из Microsoft и сторонних источников для централизованного анализа, исследования и реагирования. |
Портал Microsoft Azure Портал Microsoft Defender |
|
Безопасность разработчиков и приложений Defender для DevOps (в Defender для облака) Расширенная безопасность GitHub |
Защищает код, зависимости и конвейеры сборки и обеспечивает управление безопасностью в рабочих процессах DevOps. |
Портал Microsoft Defender интерфейс GitHub |
Службы защиты сети
В таблице перечислены Azure сетевые возможности и то, как они напрямую интегрируются с другими службами безопасности. Службы настраиваются в портал Microsoft Azure.
| Service | Protection | Интеграция |
|---|---|---|
| Брандмауэр Azure | Применяет правила IP-адресов, портов и приложений для управления входящим и исходящим трафиком между подсетями, Интернетом и локальными сетями. Использует Microsoft аналитику угроз для блокировки известного вредоносного трафика. | Defender для облака оценивает состояние конфигурации. Журналы диагностики обрабатываются в Azure Monitor/Log Analytics и анализируются Microsoft Sentinel для обнаружения и корреляции. |
| Защита от атак DDoS Azure | Смягчает объемные, протокольные и прикладные атаки. Защищает ресурсы, подключенные к Интернету, в виртуальных сетях (виртуальных сетях) от крупномасштабных атак на наводнение. | Метрики и данные телеметрии атак обрабатываются в Azure Monitor/Log Analytics и могут быть проанализированы в Microsoft Sentinel. Defender для облака предоставляет рекомендации по позы. |
| Azure виртуальная сеть | Предоставляет сетевую изоляцию, сегментацию и частные IP-адреса для Azure ресурсов. Включает управляемое подключение между службами. | Defender для облака оценивает состояние конфигурации, в том числе риски доступности, такие как наличие путей публичного доступа. |
| Группы безопасности сети (группы безопасности сети) | Фильтрует трафик на уровне подсети и сетевого интерфейса с помощью правил allow/deny. Ограничивает нежелательный трафик к ресурсам. | Журналы потоков NSG (с помощью Azure Monitor) можно анализировать в Microsoft Sentinel для видимости и обнаружения трафика. Defender для облака оценивает конфигурацию правила NSG. |
| Azure Брандмауэр веб-приложений (WAF) | Защищает приложения HTTP/HTTPS с помощью наборов правил OWASP. Помогает предотвратить распространенные веб-атаки, такие как внедрение SQL и межсайтовые скрипты (XSS). | Журналы WAF обрабатываются в Azure Monitor/Log Analytics и анализируются Microsoft Sentinel. Defender для облака оценивает состояние конфигурации WAF. |
| Azure Front Door | Предоставляет глобальную точку входа для веб-приложений с возможностями маршрутизации, ускорения и пограничной безопасности. Интегрируется с WAF для защиты приложений. | Журналы диагностики (Front Door/WAF) обрабатываются в Log Analytics и анализируются Microsoft Sentinel. Defender для облака оценивает состояние конфигурации. |
| Шлюз приложений Azure | Обеспечивает региональную балансировку нагрузки со встроенными возможностями брандмауэра веб-приложения для защиты и маршрутизации трафика приложения. | Журналы доступа и журналы WAF поступают в Log Analytics и анализируются Microsoft Sentinel. Defender для облака оценивает состояние конфигурации и параметры экспозиции. |
| VPN-шлюз Azure | Обеспечивает зашифрованное подключение IPsec/IKE между локальными средами и виртуальными сетями Azure. Защищает данные при передаче через общедоступные сети. | Журналы подключений и туннелей загружаются в Log Analytics, и их можно анализировать в Microsoft Sentinel. Defender для облака оценивает состояние конфигурации, включая параметры шифрования. |
| Azure ExpressRoute | Обеспечивает частное, выделенное подключение между локальными средами и Azure через магистраль Microsoft, избегая общедоступного Интернета. | Операционная телеметрия (например, BGP, состояние канала) доступна через Azure Monitor и может быть проанализирована в Microsoft Sentinel. Defender для облака оценивает общее состояние конфигурации. |
| Бастион Azure | Обеспечивает безопасный доступ к виртуальным машинам RDP и SSH через браузер, устраняя необходимость использования общедоступного IP-адреса. | Журналы диагностики обрабатываются в Log Analytics и анализируются Microsoft Sentinel. Defender для облака оценивает сокращённую виртуальную машину, но не оценивает конфигурацию Бастион Azure напрямую. |
| Приватный канал Azure | Обеспечивает частное подключение к Azure службам PaaS и службам клиентов с помощью частных IP-адресов, устраняя общедоступную уязвимость. | Журналы уровня обслуживания (для служб, доступ к которым осуществляется через Приватный канал, такие как хранилище, SQL, Key Vault), передаются в Log Analytics и анализируются Microsoft Sentinel. Defender для облака оценивает, используются ли частные каналы для уменьшения воздействия. |
| Наблюдатель за сетями Azure | Обеспечивает диагностику сети, мониторинг и видимость на уровне потоков для ресурсов Azure. | Журналы потоков и диагностики NSG обрабатываются в Log Analytics и могут быть проанализированы в Microsoft Sentinel. Defender для облака оценивает базовую конфигурацию ресурсов, например параметры NSG, а не сам Наблюдатель за сетями напрямую. |
Рабочий процесс безопасности
Службы безопасности работают как непрерывный конвейер. Сигналы непрерывно собираются, оцениваются, принудительно применяются и используются для обнаружения и реагирования.
| Трубопровод | Действие | Ключевое действие |
|---|---|---|
| Этап 1. Сбор сигналов | Службы безопасности генерируют телеметрические данные по идентификационным данным, устройствам, приложениям и инфраструктуре. | — Defender for Endpoint собирает телеметрию устройства. — Microsoft Intune оценивает соответствие устройств. — Defender for Identity отслеживает действия, связанные с удостоверениями, в локальной среде. — Defender for Cloud Apps отслеживает активность SaaS. — Defender для облака отслеживает конфигурацию и действие инфраструктуры, рабочей нагрузки. |
| Этап 2. Решения политики | Сигналы оцениваются для определения условий доступа и действий управления. | Условный доступ Microsoft Entra оценивает риск идентификации, доверие устройств, расположение и контекст сеанса. |
| Этап 3: Обеспечение соблюдения мер контроля | Меры безопасности применяются на уровнях идентификационных данных, устройств, сеансов, данных и сети. | К числу точек контроля относятся: — условный доступ (MFA/ограничения) — Intune (соответствие устройств) -Defender for Cloud Apps (управление сеансом) - Microsoft Purview (DLP) — Azure сети (ограничения подключения). |
| Этап 4. Обнаружение и ответ | Сигналы и оповещения коррелируются с обнаружением, исследованием и исправлением угроз. | Microsoft Defender XDR сопоставляет сигналы от всех продуктов Defender в унифицированные инциденты. Microsoft Sentinel централизует журналы, инциденты, проактивный поиск угроз, а также оркестрацию, автоматизацию и реагирование в сфере безопасности (SOAR) во всей среде, включая сторонние источники. |
| Цикл обратной связи | Результаты выявления используются при принятии решений в рамках политик, чтобы непрерывно повышать уровень защиты. | Сигналы о рисках и угрозах сообщают обновления политики в режиме реального времени, обеспечивая адаптивную и автоматическую защиту. |
Интеграция службы безопасности
Службы безопасности Microsoft интегрируются через несколько процессов, работающих как единый конвейер и образующих непрерывную систему защиты.
- Сигналы (телеметрия) фиксируют активность, связанную с учетными записями, устройствами, приложениями и другими ресурсами.
- Контекст (идентификация, положение устройства и классификация данных) расширяет сигналы для повышения точности и принятия решений.
- Политика определяет, какой доступ разрешен или заблокирован на основе вычисляемых условий.
- Действия обеспечивают выполнение решений с помощью автоматизированных средств контроля и мер реагирования.
По мере прохождения сигналов через платформу они обогащаются, проверяются на соответствие политикам и по ним принимаются меры, создавая непрерывный цикл защиты и реагирования.
Интеграция служб
В таблице показано, как службы безопасности используют сигналы и контекст из каждого выходного компонента, а также какие выходные данные они формируют и какие действия выполняют.
| Service | Потребляет | Outputs |
|---|---|---|
| Microsoft Entra ID |
Сигналы: действие проверки подлинности (входы, события риска). Состояние соответствия устройств в Microsoft Intune. Context: контекст устройства для принятия решений о доступе из Defender для конечной точки. Контекст сеанса для принятия решений об управлении доступом из приложения Defender for Cloud Apps. |
Действия: решения условного доступа (разрешить, блокировать, ограничивать, требовать элементы управления). |
| Microsoft Intune |
Сигналы: инвентаризация управляемых устройств, работоспособности, состояния соответствия требованиям. Context: сопоставление удостоверений из Microsoft Entra ID. |
Выходные данные: статус соответствия устройств требованиям Microsoft Entra ID. Журналы аудита устройств в Microsoft Sentinel. |
| Майкрософт Purview |
Signals: корпоративные данные в Microsoft 365, приложениях SaaS и локальных системах. Контекст: классификация данных (метки конфиденциальности, проверка содержимого, действие пользователя). |
Выходные данные: оповещения о рисках, связанных с внутренними пользователями, и о защите от потери данных (DLP) для Defender XDR. Журналы соответствия и аудита для Microsoft Sentinel. Actions: применение политик DLP на конечных точках (Defender for Endpoint) и в сеансах (Defender for Cloud Apps). |
| Защитник для конечных точек |
Сигналы: телеметрия конечной точки (процесс, файл, сетевое действие). Context: Microsoft Entra ID (контекст идентификации). Microsoft Intune (состояние устройства). Microsoft Purview (политики защиты от потери данных). |
Выходные данные: оповещения конечных точек и телеметрия для Defender XDR и Microsoft Sentinel. Действия: меры реагирования на конечных устройствах (изоляция устройства, блокировка, устранение). |
| Microsoft Defender for Identity | Сигналы: сигналы идентификации Active Directory. | Output: оповещения об угрозах идентификации для Defender XDR и Microsoft Sentinel. |
| Defender для облачных приложений |
Сигналы: действие приложения SaaS (использование облака). Сетевая телеметрия и телеметрия теневого ИТ из Defender for Endpoint. Context: контекст сеанса и проверки подлинности из Microsoft Entra ID. Политики защиты от потери данных из Microsoft Purview. |
Outputs: оповещения облачного приложения для Defender XDR и Microsoft Sentinel. Действия: контроль сеанса (блокировка, мониторинг, ограничение доступа). |
| Defender для облака |
Signals: сведения о операции ресурсов из Azure. Телеметрия сервера/рабочей нагрузки из Defender for Endpoint. Контекст: конфигурация ресурсов и состояние. |
Выходные данные: оповещения системы безопасности и аналитические сведения о состоянии безопасности в Defender XDR и Microsoft Sentinel. |
| Управление воздействием безопасности Майкрософт |
Signals: оценки риска устройств из Defender для конечной точки. Результаты инвентаризации облачных ресурсов, оценки состояния безопасности, подверженности угрозам и поверхности атаки из Defender для облака. Инвентаризация удостоверений и сигналы риска от Microsoft Entra. Инвентаризация, риск и контекст использования приложений SaaS из Defender for Cloud Apps. Контекст: единая корреляция воздействия и риска. |
Выходные данные: аналитика по подверженности и корреляции рисков для Microsoft XDR и Microsoft Sentinel. |
| Defender XDR | Сигналы: оповещения от Defender for Endpoint (устройства), Defender for Identity (сигналы, связанные с удостоверениями), Defender для Office 365 (электронная почта и средства совместной работы), Defender for Cloud Apps (активность в SaaS-приложениях). Дополнительные сигналы от Microsoft Purview (DLP, внутренний риск, классификация данных), Защита Microsoft Entra ID (сигналы риска идентификации) и Defender для облака (рабочая нагрузка или облачное состояние). |
Выходные данные: коррелированные оповещения и инциденты, передаваемые в Microsoft Sentinel. Действия: автоматизированный междоменный ответ. |
| Microsoft Sentinel | Сигналы: оповещения, журналы и данные телеметрии из Defender XDR, Microsoft Purview, облачных служб, а также других собственных и сторонних источников. |
Выходные данные: аналитика, исследования и инциденты. Действия: автоматизированный ответ с помощью сборников схем. |
| Microsoft Security Copilot |
Signals: инциденты и оповещения от Microsoft Sentinel и Defender XDR. Context: конфиденциальные данные и контекст рисков, связанных с внутренними пользователями, из Microsoft Purview. Контекст экспозиции из Microsoft Security Exposure Management. |
Выходные данные: сводки исследования, рекомендации, аналитические сведения на основе искусственного интеллекта. Actions: действия по реагированию с пошаговыми инструкциями, направляемые через Microsoft Sentinel и рабочие процессы Defender XDR. |
Дальнейшие действия
- Начать с оценки по модели "Никому не доверяй" текущего уровня безопасности.
- Следуйте нашей структурированной модели adoption, чтобы приступить к внедрению "Никому не доверяй".
- Ознакомьтесь с критическими результатами безопасности для бизнес-лидеров с помощью наших бизнес-сценариев внедрения. Начните среализации технических решений для бизнес-решений и технологий, таких как данные и устройства.