Az - Defender

Reading time: 6 minutes

tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

Microsoft Defender for Cloud

Microsoft Defender for Cloud je sveobuhvatno rešenje za upravljanje bezbednošću koje obuhvata Azure, lokalne i multi-cloud okruženja. Kategorizuje se kao Cloud-Native Application Protection Platform (CNAPP), kombinujući Cloud Security Posture Management (CSPM) i Cloud Workload Protection (CWPP) mogućnosti​. Njegova svrha je da pomogne organizacijama da pronađu nepravilnosti i slabe tačke u cloud resursima, ojačaju ukupnu bezbednosnu poziciju i zaštite radne opterećenja od evolutivnih pretnji širom Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP), hibridnih lokalnih postavki​ i još mnogo toga.

U praktičnom smislu, Defender for Cloud neprekidno procenjuje vaše resurse u odnosu na najbolje bezbednosne prakse i standarde, pruža jedinstveni kontrolni panel za vidljivost i koristi naprednu detekciju pretnji da vas obavesti o napadima. Ključne prednosti uključuju ujedinjeni pregled bezbednosti širom cloud-a, akcione preporuke za sprečavanje provale i integrisanu zaštitu od pretnji koja može smanjiti rizik od bezbednosnih incidenata​. Podržavajući AWS i GCP i druge SaaS platforme nativno i koristeći Azure Arc za lokalne servere, osigurava da možete upravljati bezbednošću na jednom mestu za sva okruženja​.

Ključne karakteristike

  • Preporuke: Ovaj odeljak predstavlja listu akcionih bezbednosnih preporuka zasnovanih na kontinuiranim procenama. Svaka preporuka objašnjava identifikovane nepravilnosti ili ranjivosti i pruža korake za otklanjanje, tako da tačno znate šta treba da popravite da biste poboljšali svoj bezbednosni rezultat.
  • Analiza napadnih puteva: Analiza napadnih puteva vizuelno mapira potencijalne rute napada širom vaših cloud resursa. Pokazujući kako se ranjivosti povezuju i mogu biti iskorišćene, pomaže vam da razumete i prekinete ove puteve kako biste sprečili provale.
  • Bezbednosna upozorenja: Stranica sa bezbednosnim upozorenjima obaveštava vas o pretnjama u realnom vremenu i sumnjivim aktivnostima. Svako upozorenje uključuje detalje kao što su ozbiljnost, pogođeni resursi i preporučene akcije, osiguravajući da možete brzo reagovati na nove probleme.
  • Tehnike detekcije zasnovane su na obaveštajnim podacima o pretnjama, analitici ponašanja i detekciji anomalija.
  • Moguće je pronaći sve moguće alerte na https://learn.microsoft.com/en-us/azure/defender-for-cloud/alerts-reference. Na osnovu imena i opisa moguće je znati šta alert traži (da bi se zaobišao).
  • Inventar: U odeljku Inventar, nalazite sveobuhvatnu listu svih praćenih sredstava širom vaših okruženja. Pruža pregled bezbednosnog statusa svakog resursa, pomažući vam da brzo uočite nezaštićena ili rizična sredstva koja zahtevaju otklanjanje.
  • Cloud Security Explorer: Cloud Security Explorer nudi interfejs zasnovan na upitima za pretragu i analizu vašeg cloud okruženja. Omogućava vam da otkrijete skrivene bezbednosne rizike i istražite složene odnose između resursa, poboljšavajući vaše ukupne sposobnosti u potrazi za pretnjama.
  • Radne sveske: Radne sveske su interaktivni izveštaji koji vizualizuju vaše bezbednosne podatke. Koristeći unapred pripremljene ili prilagođene šablone, pomažu vam da pratite trendove, pratite usklađenost i pregledate promene u vašem bezbednosnom rezultatu tokom vremena, olakšavajući donošenje odluka zasnovanih na podacima.
  • Zajednica: Odeljak Zajednica povezuje vas sa kolegama, stručnim forumima i vodičima za najbolje prakse. To je dragocen resurs za učenje iz iskustava drugih, pronalaženje saveta za rešavanje problema i praćenje najnovijih dešavanja u vezi sa Defender for Cloud.
  • Dijagnostikovanje i rešavanje problema: Ovaj centar za rešavanje problema pomaže vam da brzo identifikujete i rešite probleme vezane za konfiguraciju ili prikupljanje podataka Defender for Cloud. Pruža vođene dijagnostike i rešenja kako bi osigurao da platforma efikasno funkcioniše.
  • Bezbednosna pozicija: Stranica sa bezbednosnom pozicijom agregira vaš ukupni bezbednosni status u jedan bezbednosni rezultat. Pruža uvide u to koji su delovi vašeg clouda jaki i gde su potrebna poboljšanja, služeći kao brza provera zdravlja vašeg okruženja.
  • Regulatorna usklađenost: Ovaj kontrolni panel procenjuje koliko dobro vaši resursi ispunjavaju industrijske standarde i regulatorne zahteve. Prikazuje rezultate usklađenosti u odnosu na standarde kao što su PCI DSS ili ISO 27001, pomažući vam da identifikujete praznine i pratite otklanjanje za revizije.
  • Zaštita radnog opterećenja: Zaštita radnog opterećenja fokusira se na osiguranje specifičnih tipova resursa (kao što su serveri, baze podataka i kontejneri). Ukazuje na to koji su Defender planovi aktivni i pruža prilagođena upozorenja i preporuke za svako radno opterećenje kako bi poboljšala njihovu zaštitu. Sposobna je da pronađe zlonamerna ponašanja u specifičnim resursima.
  • Ovo je takođe opcija Enable Microsoft Defender for X koju možete pronaći u određenim uslugama.
  • Bezbednost podataka i AI (Preview): U ovom preview odeljku, Defender for Cloud proširuje svoju zaštitu na skladišta podataka i AI usluge. Ističe bezbednosne praznine i prati osetljive podatke, osiguravajući da su i vaši podaci i AI platforme zaštićeni od pretnji.
  • Menadžer vatrozida: Menadžer vatrozida integriše se sa Azure Firewall-om kako bi vam pružio centralizovani pregled vaših mrežnih bezbednosnih politika. Pojednostavljuje upravljanje i praćenje implementacija vatrozida, osiguravajući doslednu primenu bezbednosnih pravila širom vaših virtuelnih mreža.
  • DevOps bezbednost: DevOps bezbednost integriše se sa vašim razvojnim cevovodima i repozitorijumima koda kako bi ugradila bezbednost rano u životnom ciklusu softvera. Pomaže u identifikaciji ranjivosti u kodu i konfiguracijama, osiguravajući da je bezbednost ugrađena u proces razvoja.

Microsoft Defender EASM

Microsoft Defender External Attack Surface Management (EASM) neprekidno skanira i mapira internet-izložena sredstva vaše organizacije—uključujući domene, poddomene, IP adrese i web aplikacije—kako bi pružio sveobuhvatan, real-time pregled vašeg spoljnog digitalnog otiska. Koristi napredne tehnike pretraživanja, počinjući od poznatih semena otkrivanja, kako bi automatski otkrio i upravljana i shadow IT sredstva koja bi inače ostala skrivena. EASM identifikuje rizične konfiguracije kao što su izloženi administrativni interfejsi, javno dostupni skladišni bačvi i usluge ranjive na različite CVE, omogućavajući vašem bezbednosnom timu da reši ove probleme pre nego što budu iskorišćeni. Štaviše, kontinuirano praćenje može takođe pokazati promene u izloženoj infrastrukturi upoređujući različite rezultate skeniranja kako bi administrator bio svestan svake promene koja je izvršena. Pružajući uvide u realnom vremenu i detaljne inventare sredstava, Defender EASM osnažuje organizacije da neprekidno prate i prate promene u svojoj spoljašnjoj izloženosti. Koristi analizu zasnovanu na riziku kako bi prioritizovao nalaze na osnovu ozbiljnosti i kontekstualnih faktora, osiguravajući da su napori za otklanjanje fokusirani tamo gde su najvažniji. Ovaj proaktivan pristup ne samo da pomaže u otkrivanju skrivenih ranjivosti, već takođe podržava kontinuirano poboljšanje vaše ukupne bezbednosne pozicije obaveštavajući vas o svim novim izloženostima kako se pojavljuju.

tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks