Azure Defender – som inngår i Security Center – sikrer, overvåker og beskytter hybridmiljøer og skyressurser. Defender for Servers støtter lokale installasjoner, med Azure Arc også instanser i Google Cloud Platform (GCP) og Amazon Web Services (AWS). Tjenestene omfatter beskyttelse av lagringskontoer og SQL-databaser i Azure, containerregistre og Kubernetes-klynger, nettapper og DNS, Key Vault og Resource Manager. Secure Score gir anbefalinger om hvordan du kan styrke sikkerheten, og kontrollerer samsvar med retningslinjer som ISO 27001. Du ser raskt om noen sikkerhetsinnstillinger i miljøet ditt er feilkonfigurert, og du varsles ved angrep.
Dashbordet for Azure Defender
Skymiljøer endrer seg lynraskt. Vi har ikke tid til å gå inn i hver enkelt ressurs for å kontrollere om den er konfigurert etter alle kunstens regler. Vi trenger enkle oversikter med god grafisk visualisering og analyser i bakgrunnen som forholder seg til beste praksis, og som benytter maskinintelligens. Instrumentbordet gir nettopp dette. Da skader det heller ikke med en dash estetikk i grensesnittet.
Sikkerhetsvurdering og samsvar
Det første du bør gjøre er å gå inn i Secure Score. Den viser hvordan det ligger an med sikkerheten din. 33 prosent er lite oppløftende. Klikk på View recommendations.
Her vises alle sikkerhetsanbefalinger. En virtuell maskin har ingen nettverkssikkerhetsgruppe (NSG). Ved å klikke på anbefalingen får du instruksjoner om hvordan du utbedrer sikkerhetshullet. Svake konfigurasjoner og manglende oppdateringer inngår også i analysen. For enkelt råd behøver du ikke gjøre mer enn klikke på Quick Fix.
Aktivere Azure Defender
Først må vi konsentrere oss om proaktiv sikkerhet ved å fjerne kjente sårbarheter og redusere angrepsflaten. Det kan vi gjøre uten å oppgradere. Men for å ta i bruk beskyttelsen må vi gå fra Azure Security Center til Azure Defender.
Gratis Azure Security Center og aktivert Azure Defender
Navngivningen kan virke noe forvirrende og ikke helt gjennomtenkt. Tidligere het tilbudene Azure Security Center Free Tier og Standard Tier. Nå skjelnes det mellom gratis Azure Security Center og aktivert Azure Defender. Azure Defender Off er tilgjengelig uten omkostninger for alle Azure-abonnementer og leverer sikkerhetspolicyer, kontinuerlige sikkerhetsvurderinger og praktiske sikkerhetsanbefalinger. Azure Defender ON er en betaltjeneste og gir deg blant annet:
- Microsoft Defender for Endpoint er inkludert i Azure Defender for Servers og sørger for omfattende endepunktsdeteksjon og -respons (EDR).
- Sårbarhetsskanning for virtuelle maskiner og containerregistre bidrar til å gjøre dem mindre utsatt for angrep.
- Hybrid sikkerhet gir en helhetsoversikt over beskyttelsen av ressurser på tvers av lokal infrastruktur og skymiljøer.
- Trusselbeskyttelse med varsling benytter atferdsanalyse og Microsoft Intelligent Security Graph. Den kan identifisere cyberangrep og nulldagstrusler og effektivisere etterforskningen med interaktive verktøy og trusselintelligens.
- Security Center sporer samsvar med en rekke standarder og forskrifter. Sentret vurderer kontinuerlig ditt hybride skymiljø for å analysere risikofaktorer og anbefaler forbedringer.
- Just-in-time-tilgang beskytter servere i skyen. Du kan begrense hvilke applikasjoner som har lov til å kjøre – en form for hvitelisting.
Antivirus og intelligente analyser
Trussellandskapet har endret seg i løpet av de siste 20 årene. Tidligere var aktører ute etter å se hva de kunne få til, hvor langt virus kunne spre seg, og hva de klarte ødelegge. Dagens angripere er mer sofistikerte og har ofte spesifikke økonomiske og strategiske mål. De har også langt flere ressurser, ettersom de kan være finansiert av nasjonalstater eller organisert kriminalitet. Antivirusløsninger som ser etter signaturer, gir ikke samme beskyttelse som før. Profesjonelle cyberkriminelle har for lengst utviklet metoder som trenger gjennom et signaturbasert forsvar.
Det har gjort at Microsoft har tatt i bruk andre teknologier. De tar utgangspunkt i cyberdrapskjeden som opprinnelig ble utviklet av forskere ved Lockheed Martin. Den har gjennomgått flere endringer og utvidelser og beskriver den typiske arbeidsflyten som brukes av angripere for å infiltrere en organisasjons nettverk og systemer. Selskapet benytter seg også av MITRE ATT&CK-rammeverket, en globalt tilgjengelig kunnskapsbase for teknikker, taktikker og prosedyrer som inngår i angrep.
Azure Defender bruker avanserte sikkerhetsanalyser som går langt utover tradisjonelle tilnærminger. Gjennombrudd innen stordata og maskinlæringsteknologi benyttes til å evaluere hendelser på tvers av hele sky-infrastrukturen. Sånn oppdages trusler det er umulig å identifisere ved hjelp av vanlige metoder, og til å forutsi utviklingen av angrep. Disse analysene omfatter:
- Integrert trusselintelligens har Microsoft mengdevis av. Telemetri strømmer inn fra flere kilder, som Azure, Microsoft 365 og Outlook.com. Microsoft Digital Crimes Unit (DCU) og Microsoft Security Response Center (MSRC) samler inn opplysninger. Sikkerhetseksperter i selskapet mottar trusselinformasjon som deles mellom store skytjenesteleverandører, og feeder fra andre tredjeparter.
- Atferdsanalyser er en teknikk som analyserer og sammenligner data med en samling kjente mønstre. De bestemmes ved komplekse maskinlæringsalgoritmer som kjøres på massive datasett, og nøye etterforskning av ondsinnet atferd, utført av ekspertanalytikere.
- Avviksdeteksjon benyttes for å identifisere trusler. Til forskjell fra atferdsanalyser er denne mer «personlig tilpasset» og retter søkelyset mot grunnlinjer som er spesifikke for ditt miljø. Maskinlæring brukes for å bestemme normal aktivitet; så skapes det regler for å definere ytterligere forhold som kan representere en sikkerhetshendelse.
Azure Defender for Servers
Defender for Endpoint, som er integrert med Azure Defender, er eneste produkt her som har en antivirusmotor, med flere daglige sikkerhetsinnsiktoppdateringer for Microsoft Defender Antivirus. Men funksjonaliteten utvides i betydelig grad ved atferdsbasert maskinlæring som identifiserer mistenkelige prosess-sekvenser og avanserte angrepsteknikker observert på klienten. Disse benyttes som triggere for å analysere prosesstreet ved hjelp av sanntids maskinlæringsmodeller i skyen. AMSI-paret maskinlæring bruker klient- og skymodeller som er integrert i Antimalware Scan Interface (AMSI) for å utføre avanserte analyser av skriptatferd før og etter utføring for å fange opp avanserte trusler som filløse angrep og minne-angrep. Det er noe signaturbasert beskyttelse ikke ser.
Azure Defender for App Service
Azure App Service er en tjeneste for hosting av webapplikasjoner, REST APIer og mobile back-ender. Det er støtte for.NET, .NET Core, Java, Ruby, Node.js, PHP og Python. Appene kjører og skaleres på både Windows og Linux. Her er det aktivert eksempelvarsler for å vise hvordan Azure Defender melder om farlige sikkerhetshendelser. Aktivitetsloggen tyder på mulig kodeinjeksjonsaktivitet for å kjøre programkode på serversiden. Andre varsler er blant annet skanning for sårbarheter.
Du kan klikke på View full details, herfra på Take Action. Da vil du få anbefalinger om hvordan du kan gardere deg mot fremtidige angrep ved å redusere angrepsoverflaten. Du kan utløse en automatisk respons med Azure Logic Apps og Playbooks. Og du kan undertrykke lignende varsler om det er falske positiver. Disse alternativene er tilgjengelige for samtlige alarmer.
Azure Defender for Storage
Defender for Storage kan aktiveres for data som er lagret i Azure Blob, Azure Files og Azure Data Lake Storage (ADLS) Gen2. Du kan aktivere Defender for Storage på abonnementsnivå, akkurat som alle andre abonnementer, men du kan også aktivere det bare på lagringskontoene du vil beskytte. Varsler kan oppstå ved mistenkelige tilgangsmønstre, merkelige endringer av tillatelser eller kopiering av unormalt store datamengder.
For å legge til et ekstra lag med sikkerhet, analyserer Defender for Storage filer som lastes opp ved hjelp av hash-omdømme, som utnytter Microsoft Trusselintelligens. Dette er ikke skanning for skadelig programvare som ved antivirusløsninger. I stedet inspiserer funksjonen lagringsloggene og sammenligner hashen til nylig opplastede filer med informasjon om kjente virus, trojanere, spionvare og løsepengevirus.
Azure Defender for SQL
Defender for SQL hjelper deg med å redusere potensielle sårbarheter i databaser og oppdage mulige unormale aktiviteter som kan tyde på trusler. Det er støtte for alle varianter av SQL Server: Azure SQL Database, Azure SQL administrert instans og Dedikert SQL pool i Azure Synapse, samt SQL Server som kjører i dine egne virtuelle maskiner (IaaS).
Azure Defender for Open-Source Databases
Defender oppdager unormale aktiviteter som tyder på mulig skadelige forsøk på å få tilgang til eller utnytte databaser. Beskyttelsen omfatter disse relasjonsdatabasene med åpen kildekode: Azure Database for PostgreSQL, Azure Database for MySQL og Azure Database for MariaDB.
Azure Defender for Key Vault
Key Vault beskytter krypteringsnøkler og hemmeligheter som sertifikater, tilkoblingsstrenger og passord i Azure. Defender oppdager uvanlige og mulig skadelige forsøk på å få tilgang til eller utnytte Key Vault-kontoer. Med dette beskyttelseslaget kan du hamle opp med trusler uten å være en sikkerhetsekspert og uten å måtte administrere tredjeparts sikkerhetsovervåkingssystemer.
Azure Defender for Resource Manager
Azure Resource Manager (ARM) benyttes for å administrere Azure og lar deg opprette, oppdatere og slette ressurser. Du sikrer og organiserer dem med tilgangskontroll, låser og tagger. Defender overvåker alle aktiviteter og varsler om mistenkelige aktiviteter.
Azure Defender for DNS
Azure DNS er en vertstjeneste for DNS-domener. Defender for DNS gir et ekstra lag med beskyttelse for skyressurser ved kontinuerlig å overvåke alle DNS-spørringer fra Azure-ressursene dine og kjøre sikkerhetsanalyser for å varsle deg om mistenkelig aktivitet. Defender for DNS beskytter mot data-eksfiltrering fra Azure ved hjelp av DNS-tunneling, skadelig programvare som kommuniserer med en kommando- og kontroll-server (C&C), og DNS-angrep.
Azure Defender for Kubernetes
Azure Kubernetes Service (AKS) er Microsofts administrerte tjeneste for utvikling, distribusjon og administrasjon av container-baserte applikasjoner, neste generasjons virtualisering. Defender for Kubernetes herder miljøet, sikrer nyttelaster og gir kjøretidsbeskyttelse. For trusseldeteksjon på Kubernetes-klyngene dine bør du også aktivere beskyttelsen på vertsnivå for Linux AKS-noder.
Azure Defender for Container Registries
Azure Container Registry (ACR) er en administrert privat Docker-registertjeneste som lagrer og administrerer container-imagene dine for Azure-distribusjoner. Defender for Container Registries skanner imager som blir sendt til registret, importert til registret eller som er trukket i løpet av de siste 30 dagene.
Avsluttende ord
Azure Defender kan minne om et skybasert System Center Operations Manager med vekt på sikkerhet. Det sikrer og beskytter nyttelaster i Azure og hybride skymiljøer. Azure Defender er et must for alle Azure-kunder med ressurser i produksjon. Selvfølgelig skal du ikke henge over instrumentbordet i Azure Security Center. Du bør sette opp meldingsbasert varsling og arbeidsflyter med Logic Apps og Playbooks. Triggerne blir ved varsel og sårbarhet. Azure Defender inngår i Azure Security Center (ASC), som dekker to brede områder:
Administrasjon av status for skysikkerhet(Cloud Security Posture Management – CSPM) er en gratis tjeneste for alle brukere av Azure. Den inkluderer funksjoner som sikker score, oversikt over tjenester og ressurser, samt påvisning av feilkonfigurerte sikkerhetsinnstillinger. Det bidrar til å styrke din hybride sikkerhetsstatus og lar deg spore samsvar med innebygde retningslinjer.
Plattform for beskyttelse av nyttelaster i skyen(Cloud Workload Protection Platform – CWPP) gir avansert intelligent beskyttelse til Azure- og hybridressurser og nyttelaster. Ved å aktivere Azure Defender – tidligere kjent som Azure Security Center Standard – får du en rekke ekstra funksjoner, som integrert trusselintelligens, atferdsanalyser og avviksdeteksjon. Det gir deg også én av de beste antivirusløsninger for servere.
