Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Sentinel
Azure Monitor
Microsoft Defender für Cloud
Azure Log Analytics
Azure Network Watcher
Lösungsmöglichkeiten
In diesem Artikel ist ein Lösungsvorschlag beschrieben. Ihr Cloudarchitekt kann diesen Leitfaden verwenden, um die Hauptkomponenten einer typischen Implementierung dieser Architektur zu visualisieren. Verwenden Sie diesen Artikel als Ausgangspunkt, um eine gut durchdachte Lösung zu entwerfen, die den spezifischen Anforderungen Ihrer Workload entspricht.
Sie können den IT-Sicherheitsstatus Ihrer Organisation stärken, indem Sie die in Microsoft 365 und Azure verfügbaren Sicherheitsfeatures verwenden. In diesem fünften und letzten Artikel in der Reihe wird erläutert, wie diese Sicherheitsfunktionen mithilfe von Microsoft Defender XDR und Azure Überwachungsdiensten integriert werden.
Dieser Artikel baut auf den vorherigen Artikeln in der Reihe auf:
Zuordnen von Bedrohungen zu Ihrer IT-Umgebung beschreibt Methoden, um Beispiele allgemeiner Bedrohungen, Taktiken und Techniken für ein Beispiel für eine Hybrid-IT-Umgebung zuzuordnen, die sowohl lokale als auch Microsoft-Clouddienste verwendet.
Bauen Sie die erste Verteidigungsschicht mit Azure-Sicherheitsdiensten auf. Dies zeigt beispielhaft einige Azure-Sicherheitsdienste, die die erste Verteidigungsschicht schaffen, um Ihre Azure-Umgebung gemäß Azure Security Benchmark Version 3 zu schützen.
"Erstellen Sie die zweite Verteidigungsschicht mit Microsoft Defender XDR Security Services" beschreibt ein Beispiel für eine Reihe von Angriffen auf Ihre IT-Umgebung und wie Sie durch die Verwendung von Microsoft Defender XDR eine weitere Schutzschicht hinzufügen können.
Aufbau
Laden Sie eine Visio-Datei dieser Architektur herunter.
©2021 Die MITRE Corporation. Diese Arbeit wird reproduziert und mit der Erlaubnis der MITRE Corporation verteilt.
Dieses Diagramm zeigt einen vollständigen Architekturverweis. Es enthält ein Beispiel für eine IT-Umgebung, eine Reihe von Beispielbedrohungen, die nach ihren Taktiken (in blau) und ihren Techniken (im Textfeld) gemäß der MITRE ATT&CK-Matrix beschrieben werden. Die MITRE ATT&CK-Matrix wird in Zuordnen von Bedrohungen zu Ihrer IT-Umgebung behandelt.
Das Diagramm hebt mehrere wichtige Dienste hervor. Einige, z. B. Azure Network Watcher und Application Insights, konzentrieren sich auf das Erfassen von Daten aus bestimmten Diensten. Andere, wie Log Analytics (auch bekannt als Azure Monitor Protokolle) und Microsoft Sentinel, dienen als Kerndienste, da sie Daten aus einer breiten Palette von Diensten sammeln, speichern und analysieren können, unabhängig davon, ob sie sich auf Netzwerke, Compute oder Anwendungen beziehen.
In der Mitte des Diagramms befinden sich zwei Ebenen von Sicherheitsdiensten und eine Ebene, die bestimmten Azure Überwachungsdiensten gewidmet ist, die alle über Azure Monitor integriert sind (auf der linken Seite des Diagramms dargestellt). Die wichtigste Komponente dieser Integration ist Microsoft Sentinel.
Das Diagramm zeigt die folgenden Dienste in Core Monitoring Services und auf der Monitorebene:
- Azure Monitor
- Protokollanalyse
- Microsoft Defender for Cloud
- Microsoft Sentinel
- Netzwerküberwacher
- Traffic Analytics (Teil von Network Watcher)
- Application Insights
- Storage Analytics
Arbeitsablauf
Azure Monitor ist der Dachschirm für viele Azure Überwachungsdienste. Es enthält unter anderem Protokollverwaltung, Metriken und Application Insights. Darüber hinaus bietet es eine Sammlung von Dashboards, die für die Verwendung und Verwaltung von Warnungen bereit sind. Weitere Informationen finden Sie unter Azure Monitor Overview.
Microsoft Defender for Cloud liefert Empfehlungen für virtuelle Maschinen (VMs), Speicher, Anwendungen und andere Ressourcen, die einer IT-Umgebung helfen, mit verschiedenen gesetzlichen Standards wie ISO und PCI konform zu sein. Gleichzeitig bietet Defender für Cloud eine Bewertung für die Sicherheitslage von Systemen, die Ihnen helfen können, die Sicherheit Ihrer Umgebung nachzuverfolgen. Defender für Cloud bietet auch automatische Warnungen, die auf den Protokollen basieren, die es sammelt und analysiert. Defender für Cloud wurde früher als Azure Security Center bezeichnet. Weitere Informationen finden Sie unter Microsoft Defender for Cloud.
Log Analytics ist einer der wichtigsten Dienste. Er ist dafür verantwortlich, alle Protokolle und Warnungen zu speichern, die zum Erstellen von Warnungen, Erkenntnissen und Vorfällen verwendet werden. Microsoft Sentinel basiert auf Log Analytics. Grundsätzlich sind alle von Log Analytics erfassten Daten automatisch für Microsoft Sentinel verfügbar. Log Analytics wird auch als Azure Monitor Logs bezeichnet. Weitere Informationen finden Sie unter Overview von Log Analytics in Azure Monitor.
Microsoft Sentinel funktioniert wie eine Fassade für Log Analytics. Während Log Analytics Protokolle und Warnungen aus verschiedenen Quellen speichert, bietet Microsoft Sentinel APIs, die bei der Erfassung von Protokollen aus verschiedenen Quellen helfen. Diese Quellen umfassen lokale VMs, Azure VMs, Warnungen von Microsoft Defender XDR und anderen Diensten. Microsoft Sentinel korreliert die Protokolle, um Erkenntnisse darüber zu liefern, was in Ihrer IT-Umgebung passiert, und vermeiden falsch positive Ergebnisse. Microsoft Sentinel ist der Kern der Sicherheit und Überwachung für Microsoft-Clouddienste. Weitere Informationen zu Microsoft Sentinel finden Sie unter What is Microsoft Sentinel?.
Die vorstehenden Dienste in dieser Liste sind Kerndienste, die in Azure, Microsoft 365 und lokalen Umgebungen funktionieren. Die folgenden Dienste konzentrieren sich auf bestimmte Ressourcen:
Network Watcher bietet Tools zum Überwachen, Diagnostizieren, Anzeigen von Metriken und Aktivieren oder Deaktivieren von Protokollen für Ressourcen in einem Azure virtuellen Netzwerk. Weitere Informationen finden Sie unter What is Azure Network Watcher?.
Traffic Analytics ist Teil von Network Watcher und funktioniert auf Basis von Protokollen der Netzwerksicherheitsgruppen (NSGs). Traffic Analytics bietet viele Dashboards, die Metriken aus ausgehender und eingehender Verbindung in Azure Virtual Network aggregieren können. Weitere Informationen finden Sie unter Traffic Analytics.
Application Insights konzentriert sich auf Anwendungen und bietet erweiterbare Leistungsverwaltung und -überwachung für Live-Web-Apps, einschließlich Unterstützung für eine vielzahl von Plattformen wie .NET, Node.js, Java und Python. Application Insights ist ein Feature von Azure Monitor. Weitere Informationen finden Sie unter Übersicht über Application Insights.
Azure Storage Analytics führt Protokollierung durch und stellt Metriken für ein Speicherkonto bereit. Mit diesen Daten können Sie Anforderungen verfolgen, Verwendungstrends analysieren und Probleme mit dem Speicherkonto diagnostizieren. Weitere Informationen finden Sie unter Use Azure Storage Analytics to collect logs and metrics data.
Da diese Architekturreferenz auf Microsoft Zero Trust basiert, verfügen die Dienste und Komponenten unter Infrastructure und Endpoint nicht über bestimmte Überwachungsdienste. Azure Monitor Protokolle und Defender für Cloud sind die wichtigsten Dienste, die Protokolle von VMs und anderen Computediensten sammeln, speichern und analysieren.
Die zentrale Komponente dieser Architektur ist Microsoft Sentinel. Es konsolidiert alle Protokolle und Warnungen, die von Azure Sicherheitsdiensten, Microsoft Defender XDR und Azure Monitor generiert werden. Nachdem Microsoft Sentinel implementiert wurde und Protokolle sowie Warnungen aus den in diesem Artikel beschriebenen Quellen empfängt, müssen Sie die Abfragen den Protokollen zuordnen, um Erkenntnisse zu sammeln und Indikatoren für Kompromittierung (IOCs) zu erkennen. Wenn Microsoft Sentinel diese Informationen erfasst, können Sie sie entweder manuell untersuchen oder automatisierte Antworten auslösen, die Sie zum Mindern oder Lösen von Vorfällen konfigurieren. Automatisierte Aktionen können das Blockieren eines Benutzers in Microsoft Entra ID oder das Blockieren einer IP-Adresse mithilfe der Firewall umfassen.
Weitere Informationen zu Microsoft Sentinel finden Sie in der Dokumentation Microsoft Sentinel.
So greifen Sie auf Sicherheits- und Überwachungsdienste zu
Die folgende Liste enthält Informationen dazu, wie Sie auf jeden der Dienste zugreifen können, die in diesem Artikel dargestellt werden:
Azure Sicherheitsdienste. Sie können über Azure Portal auf alle Azure Sicherheitsdienste zugreifen, die in den Diagrammen dieser Artikelreihe erwähnt werden. Verwenden Sie im Portal die Suchfunktion, um die Dienste zu suchen, an denen Sie interessiert sind, und greifen Sie darauf zu.
Azure Monitor. Azure Monitor ist in allen Azure Abonnements verfügbar. Sie können über eine Suche nach monitor im Azure Portal darauf zugreifen.
Defender für Cloud. Defender for Cloud ist für alle Personen verfügbar, die auf das portal Azure zugreifen. Suchen Sie im Portal nach Defender für Cloud.
Log Analytics. Um auf Log Analytics zuzugreifen, müssen Sie zuerst den Dienst im Portal erstellen, da er standardmäßig nicht vorhanden ist. Suchen Sie im Azure-Portal nach Log Analytics Arbeitsbereich, und wählen Sie dann Create aus. Nach dem Erstellen können Sie auf den Dienst zugreifen.
Microsoft Sentinel. Da Microsoft Sentinel über Log Analytics funktioniert, müssen Sie zuerst einen Log Analytics Arbeitsbereich erstellen. Suchen Sie als Nächstes im Azure-Portal nach sentinel. Erstellen Sie dann den Dienst, indem Sie den Arbeitsbereich auswählen, den Sie hinter Microsoft Sentinel haben möchten.
Microsoft Defender for Endpoint. Defender für Endpunkt ist Teil von Microsoft Defender XDR. Greifen Sie über https://security.microsoft.com auf den Dienst zu. Dies ist eine Änderung gegenüber der vorherigen URL,
securitycenter.windows.com.Microsoft Defender for Cloud Apps. Defender für Cloud-Apps ist Teil von Microsoft 365. Greifen Sie über https://portal.cloudappsecurity.com auf den Dienst zu.
Microsoft Defender for Office 365. Defender for Office 365 ist Teil von Microsoft 365. Greifen Sie über https://security.microsoft.com auf den Dienst zu, dasselbe Portal, das für Defender für Endpunkt verwendet wird. (Dies ist eine Änderung gegenüber der vorherigen URL,
protection.office.com.)Microsoft Defender for Identity. Defender for Identity ist Teil von Microsoft 365. Greifen Sie über https://portal.atp.azure.com auf den Dienst zu. Obwohl es sich um einen Clouddienst handelt, ist Defender for Identity verantwortlich für den Schutz der Identität auf lokalen Systemen.
Microsoft Endpoint Manager. Endpoint Manager ist der neue Name für Intune, Configuration Manager und andere Dienste. Greifen Sie über https://endpoint.microsoft.com darauf zu. Weitere Informationen zum Zugriff auf die dienste, die von Microsoft Defender XDR bereitgestellt werden und wie jedes Portal verknüpft ist, finden Sie unter Build the second layer of defense with Microsoft Defender XDR Security Services.
Azure Network Watcher. Um auf Azure Network Watcher zuzugreifen, suchen Sie im Azure-Portal nach Watcher.
Datenverkehrsanalyse. Traffic Analytics ist Teil von Network Watcher. Sie können über das Menü auf der linken Seite in Network Watcher darauf zugreifen. Es ist ein leistungsstarker Netzwerkmonitor, der auf Ihren NSGs basiert, die auf Ihren einzelnen Netzwerkschnittstellen und Subnetzen implementiert werden. Network Watcher erfordert eine Sammlung von Informationen aus den NSGs. Anweisungen zum Sammeln dieser Informationen finden Sie unter Tutorial: Protokollieren von Netzwerkdatenverkehr an und von einem virtuellen Computer mithilfe des Azure Portals.
Application Insight. Application Insight ist Teil von Azure Monitor. Sie müssen es jedoch zuerst für die Anwendung erstellen, die Sie überwachen möchten. Bei einigen Anwendungen, die auf Azure basieren, z. B. Web Apps, können Sie Application Insight direkt aus der Bereitstellung von Web Apps erstellen. Um darauf zuzugreifen, suchen Sie im Azure-Portal nach Monitor. Wählen Sie auf der Seite Monitor die Option Anwendungen im Menü auf der linken Seite aus.
Storage Analytics. Azure Storage bietet verschiedene Arten von Speicher unter derselben Speicherkontotechnologie. Sie können Blobs, Dateien, Tabellen und Warteschlangen oben in Speicherkonten finden. Storage Analytics bietet eine breite Palette von Metriken für die Verwendung mit diesen Speicherdiensten. Greifen Sie über Ihr Speicherkonto im Azure Portal auf Storage Analytics zu und wählen Sie dann im Menü auf der linken Seite Diagnostische Einstellungen aus. Wählen Sie einen Log Analytics-Arbeitsbereich aus, um diese Informationen zu senden. Anschließend können Sie über Insights auf ein Dashboard zugreifen. Alles in Ihrem Speicherkonto, das überwacht wird, wird im Menü dargestellt.
Komponenten
Die Beispielarchitektur in diesem Artikel verwendet die folgenden Azure Komponenten:
Microsoft Entra ID ist ein cloudbasierter Identitäts- und Zugriffsverwaltungsdienst, der Benutzern den Zugriff auf externe und interne Ressourcen erleichtert. In dieser Architektur authentifiziert es Benutzer, die auf Microsoft 365-, Azure- und Software as a Service-Anwendungen (SaaS) zugreifen und identitätsbasierte Bedrohungserkennung und -reaktion unterstützen.
Azure Virtual Network ist ein Netzwerkdienst in Azure, der eine sichere Kommunikation zwischen Azure Ressourcen, dem Internet und lokalen Netzwerken ermöglicht. In dieser Architektur stellt sie die private Netzwerkinfrastruktur für das Hosten von Workloads und das Sammeln von Telemetrie auf Netzwerkebene bereit.
Azure Load Balancer ist ein leistungsstarker Layer-4-Lastenausgleichsdienst für TCP(Transmission Control Protocol) und UDP-Datenverkehr (User Datagram Protocol). In dieser Architektur verteilt sie Datenverkehr über VMs und Dienste, um hohe Verfügbarkeit und Resilienz sicherzustellen.
Azure Virtual Machines ist eine Infrastruktur als Dienst (IaaS), die skalierbare Computeressourcen bereitstellt. In dieser Architektur führen VMs Workloads und Anwendungen aus, die die vollständige Kontrolle über das Betriebssystem und die Umgebung erfordern.
Azure Kubernetes Service (AKS) ist ein verwalteter Kubernetes-Dienst zum Bereitstellen und Verwalten von containerisierten Anwendungen. In dieser Architektur koordiniert AKS die Bereitstellung und Skalierung von Containern und unterstützt dabei Microservices sowie kontinuierliche Integrations- und kontinuierliche Bereitstellungs-Pipelines (CI/CD).
Azure Virtual Desktop ist ein Desktop- und App-Virtualisierungsdienst. In dieser Architektur bietet sie sicheren Remotezugriff auf Desktops und Anwendungen für verteilte Benutzer.
Das feature Web Apps von Azure App Service hosten Webanwendungen, REST-APIs und mobile Back-Ends. Sie können sich in Ihrer gewählten Sprache entwickeln. Anwendungen werden sowohl in Windows als auch in Linux-basierten Umgebungen problemlos ausgeführt und skaliert. In dieser Architektur ermöglicht Web Apps die skalierbare und sprachflexible Bereitstellung webbasierter Dienste.
Azure Storage ist skalierbarer und sicherer Speicher für verschiedene Datenobjekte in der Cloud, einschließlich Objekt, Blob, Datei, Datenträger, Warteschlange und Tabellenspeicher. In dieser Architektur werden Anwendungsdaten, Protokolle und Sicherungen mit Verschlüsselung und Zugriffssteuerung gespeichert.
Azure SQL Database ist ein verwaltetes relationales Datenbankmodul, das das Aktualisieren, Patchen, Sichern und Überwachen automatisiert. In dieser Architektur bietet sie sichere, skalierbare und kompatible Datenspeicher für strukturierte Anwendungsdaten.
Details zur Lösung
Überwachungslösungen auf Azure scheinen zunächst verwirrend zu sein, da Azure mehrere Überwachungsdienste bietet. Jeder Azure Überwachungsdienst ist jedoch in der in dieser Reihe beschriebenen Sicherheits- und Überwachungsstrategie wichtig. Die Artikel in dieser Reihe beschreiben die verschiedenen Dienste und das Planen effektiver Sicherheit für Ihre IT-Umgebung.
- Zuordnen von Bedrohungen zu Ihrer IT-Umgebung
- Erstellen Sie die erste Verteidigungsschicht mit Azure Security Services
- Build the second layer of defense with Microsoft Defender XDR Security Services
Mögliche Anwendungsfälle
Diese Referenzarchitektur bietet eine umfassende Übersicht über Microsoft Cloud-Sicherheitsdienste und veranschaulicht, wie sie integriert werden können, um eine optimale Sicherheitslage zu erzielen.
Obwohl Sie nicht jeden gezeigten Sicherheitsdienst implementieren müssen, kann dieses Beispiel und die im Architekturdiagramm dargestellte Bedrohungszuordnung Ihnen helfen, Ihre eigene Bedrohungszuordnung zu erstellen und Ihre Sicherheitsstrategie zu planen. Wählen Sie die Azure Sicherheitsdienste und Microsoft Defender XDR Dienste aus, die Ihren Anforderungen am besten entsprechen.
Kostenoptimierung
Die Preise für die Azure Dienste, die in dieser Artikelreihe präsentiert werden, werden auf verschiedene Weise berechnet. Einige Dienste sind kostenlos, einige verfügen über eine Gebühr für jede Nutzung und einige haben eine Gebühr, die auf der Lizenzierung basiert. Die beste Möglichkeit, die Preise für einen der Azure Sicherheitsdienste zu schätzen, besteht darin, den rechner Pricing zu verwenden. Suchen Sie im Rechner nach einem Dienst, an dem Sie interessiert sind, und wählen Sie es dann aus, um alle Variablen abzurufen, die den Preis für den Dienst bestimmen.
Microsoft Defender XDR Sicherheitsdienste funktionieren mit Lizenzen. Informationen zu den Lizenzierungsanforderungen finden Sie unter Microsoft Defender XDR prerequisites.
Beitragende
Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:
Hauptautor:
- Rudnei Oliveira | Senior Azure Security Engineer
Andere Mitwirkende:
- Gary Moore | Programmierer/Autor
- Andrew Nathan | Senior Customer Engineering Manager
Nächste Schritte
- Defend gegen Bedrohungen mit Microsoft 365
- Erkennen und reagieren Sie auf Cyberangriffe mit Microsoft Defender XDR
- Get started with Microsoft Defender XDR
- Verwalten Sie die Sicherheit mit Microsoft 365
- Schutz vor böswilligen Bedrohungen mit Microsoft Defender for Office 365
- Schutz für lokale Identitäten mit Microsoft Defender for Cloud for Identity
Zugehörige Ressourcen
Weitere Informationen zu dieser Referenzarchitektur finden Sie in den anderen Artikeln dieser Reihe:
- Teil 1: Zuordnen von Bedrohungen zu Ihrer IT-Umgebung
- Teil 2: Erstellen der ersten Verteidigungsschicht mit dem Azure-Sicherheitsdienst
- Teil 3: Erstellen der zweiten Verteidigungsebene mit Microsoft Defender XDR Sicherheitsdiensten
Verwandte Architekturen im Azure Architecture Center finden Sie im folgenden Artikel: