Az - Defender

Reading time: 6 minutes

Microsoft Defender for Cloud

Microsoft Defender for Cloud - це комплексне рішення для управління безпекою, яке охоплює Azure, локальні та багатохмарні середовища. Воно класифікується як Платформа Захисту Додатків Хмари (CNAPP), поєднуючи можливості Управління Безпекою Хмари (CSPM) та Захисту Робочих Навантажень Хмари (CWPP). Його мета - допомогти організаціям виявити неправильні налаштування та слабкі місця в ресурсах хмари, зміцнити загальну безпеку та захистити робочі навантаження від еволюціонуючих загроз в Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP), гібридних локальних налаштуваннях та інших.

На практиці Defender for Cloud безперервно оцінює ваші ресурси відповідно до найкращих практик та стандартів безпеки, надає єдину панель для видимості та використовує розширене виявлення загроз, щоб сповіщати вас про атаки. Основні переваги включають єдиний погляд на безпеку в різних хмарах, дієві рекомендації для запобігання витокам та інтегрований захист від загроз, який може зменшити ризик інцидентів безпеки. Підтримуючи AWS та GCP, а також інші платформи SaaS нативно та використовуючи Azure Arc для локальних серверів, він забезпечує можливість управляти безпекою в одному місці для всіх середовищ.

Key Features

• Рекомендації: Цей розділ представляє список дієвих рекомендацій з безпеки на основі безперервних оцінок. Кожна рекомендація пояснює виявлені неправильні налаштування або вразливості та надає кроки для виправлення, щоб ви знали, що саме потрібно виправити для покращення вашого безпечного балу.
• Аналіз Шляхів Атак: Аналіз Шляхів Атак візуально відображає потенційні маршрути атак через ваші ресурси хмари. Показуючи, як вразливості пов'язані та можуть бути використані, він допомагає вам зрозуміти та зламати ці шляхи, щоб запобігти витокам.
• Сповіщення про Загрози: Сторінка Сповіщень про Загрози сповіщає вас про загрози в реальному часі та підозрілі дії. Кожне сповіщення містить деталі, такі як серйозність, уражені ресурси та рекомендовані дії, що забезпечує швидку реакцію на нові проблеми.
• Техніки виявлення базуються на інформації про загрози, поведінковій аналітиці та виявленні аномалій.
• Можна знайти всі можливі сповіщення на https://learn.microsoft.com/en-us/azure/defender-for-cloud/alerts-reference. На основі назви та опису можна дізнатися, що шукає сповіщення (щоб обійти його).
• Інвентаризація: У розділі Інвентаризації ви знайдете всебічний список усіх моніторингових активів у ваших середовищах. Він надає огляд статусу безпеки кожного ресурсу, допомагаючи швидко виявити незахищені або ризиковані активи, які потребують виправлення.
• Cloud Security Explorer: Cloud Security Explorer пропонує інтерфейс на основі запитів для пошуку та аналізу вашого хмарного середовища. Він дозволяє виявляти приховані ризики безпеки та досліджувати складні взаємозв'язки між ресурсами, покращуючи ваші загальні можливості виявлення загроз.
• Робочі книги: Робочі книги - це інтерактивні звіти, які візуалізують ваші дані безпеки. Використовуючи попередньо створені або користувацькі шаблони, вони допомагають вам моніторити тенденції, відстежувати відповідність та переглядати зміни у вашому безпечному балі з часом, спрощуючи прийняття рішень на основі даних.
• Спільнота: Розділ Спільнота з'єднує вас з колегами, експертними форумами та посібниками з найкращих практик. Це цінний ресурс для навчання на досвіді інших, знаходження порад з усунення неполадок та отримання останніх новин про розвиток Defender for Cloud.
• Діагностика та Вирішення Проблем: Цей центр усунення неполадок допомагає швидко виявити та вирішити проблеми, пов'язані з конфігурацією або збором даних Defender for Cloud. Він надає керовану діагностику та рішення, щоб забезпечити ефективну роботу платформи.
• Безпекова Позиція: Сторінка Безпекової Позиції агрегує ваш загальний статус безпеки в один безпечний бал. Вона надає інформацію про те, які області вашої хмари сильні, а де потрібні покращення, слугуючи швидкою перевіркою здоров'я вашого середовища.
• Регуляторна Відповідність: Ця панель оцінює, наскільки добре ваші ресурси відповідають галузевим стандартам та регуляторним вимогам. Вона показує бали відповідності за такими стандартами, як PCI DSS або ISO 27001, допомагаючи вам виявити прогалини та відстежувати виправлення для аудитів.
• Захист Робочих Навантажень: Захист Робочих Навантажень зосереджується на забезпеченні безпеки конкретних типів ресурсів (таких як сервери, бази даних та контейнери). Він вказує, які плани Defender активні, та надає спеціалізовані сповіщення та рекомендації для кожного робочого навантаження для покращення їх захисту. Він здатний виявляти шкідливу поведінку в конкретних ресурсах.
• Це також опція Enable Microsoft Defender for X, яку ви можете знайти в певних службах.
• Безпека Даних та ШІ (Попередній перегляд): У цьому попередньому перегляді Defender for Cloud розширює свій захист на сховища даних та служби ШІ. Він підкреслює прогалини в безпеці та моніторить чутливі дані, забезпечуючи захист як ваших репозиторіїв даних, так і платформ ШІ від загроз.
• Менеджер Брандмауера: Менеджер Брандмауера інтегрується з Azure Firewall, щоб надати вам централізований огляд ваших політик безпеки мережі. Він спрощує управління та моніторинг розгортань брандмауера, забезпечуючи послідовне застосування правил безпеки в усіх ваших віртуальних мережах.
• Безпека DevOps: Безпека DevOps інтегрується з вашими розробницькими конвеєрами та репозиторіями коду, щоб вбудувати безпеку на ранніх етапах життєвого циклу програмного забезпечення. Вона допомагає виявляти вразливості в коді та конфігураціях, забезпечуючи, щоб безпека була вбудована в процес розробки.

Microsoft Defender EASM

Microsoft Defender External Attack Surface Management (EASM) безперервно сканує та картографує інтернет-активи вашої організації — включаючи домени, піддомени, IP-адреси та веб-додатки — щоб надати всебічний, реальний огляд вашого зовнішнього цифрового сліду. Він використовує розширені техніки краулінгу, починаючи з відомих насіннєвих точок, щоб автоматично виявляти як керовані, так і тіньові ІТ-активи, які інакше могли б залишитися прихованими. EASM виявляє ризиковані конфігурації, такі як відкриті адміністративні інтерфейси, публічно доступні сховища та служби, вразливі до різних CVE, що дозволяє вашій команді безпеки вирішувати ці проблеми до того, як вони будуть використані. Більше того, безперервний моніторинг також може показувати зміни в відкритій інфраструктурі, порівнюючи різні результати сканування, щоб адміністратор міг бути в курсі кожної зміни. Надаючи реальні інсайти та детальні інвентаризації активів, Defender EASM надає організаціям можливість безперервно моніторити та відстежувати зміни у своїй зовнішній експозиції. Він використовує аналіз на основі ризиків для пріоритизації виявлень на основі серйозності та контекстуальних факторів, забезпечуючи, щоб зусилля з виправлення були зосереджені там, де це найбільш важливо. Цей проактивний підхід не лише допомагає виявляти приховані вразливості, але й підтримує безперервне покращення вашої загальної безпекової позиції, сповіщаючи вас про будь-які нові експозиції, коли вони з'являються.