אלי שלמה

אינטגרציות והתממשקות Defender For Endpoint

by · 20/05/2023

כמה כלי אבטחה יש בסביבה הארגונית ממוצעת? 40 כלי אבטחה או יותר? ברוב הארגונים הבינוניים יש בממוצע 50 כלי אבטחה, ובארגונים הגדולים מספר הכלים מגיע למעל 70 כלי אבטחה שונים. בגלל שישנם תריסרי כלים בכל סביבה, הכלים האלה לא תמיד מחוברים אחד לשני, לא מספקים אפשרויות של קורלציה בין המידע, אינם נותנים חיווי אחיד וועוד שלל חסרונות. בנוסף לכך, ריבוי כלים בתורו גורם לחוסר נראות, קושי באוטומציה וחמור מכך גורם לאיטיות בחקירה של תקריות ואירועים אבטחה.    

המאמר הבא הוא חלק מקטגוריית מאמרים שמתמקדת באבטחה סביב Azure Security + Mirosoft 365 Security והכלים הנלווים אליהם – המאמר הנוכחי מתייחס אך ורק לאינטגרציות ספציפיות של Defender for Endpoint טיפים.

למרות שהמאמר מביא רק את חלקו הבסיסי של האינטגרציה מול Defender For Endpoint, עדיין, השטח מלמד כי הבסיס הזה אינו קיים במרבית הארגונים, קטנים וגדולים כאחד – לזה בתורו יש משמעויות רבות, החל מחוסר בזיהוי, התחמקות מכלי ההגנה ועד תחקור עם מידע לקוי. 

אחד הדברים החשובים בכלי אבטחה ובשילובם הוא הטרוגניות, הלימה בין אירועים, קורלציה של נתונים, התממשקות טבעית, ממשק אחד והחיבוריות בין שלל כלים – המטרה הכללית באינטגרציה היא לאפשר את כל מה שאנו צריכים בהגנה והבנת נוף האבטחה על הנכסים בארגון.

השילוב של הכלים במשפחת Microsoft Defender מביא את כל הנקודות שהוזכרו ועוד רבים ואחרים, החל מהתממשקות בין הכלים, דרך הנגשה של ממשק אחד ואפשרויות חקירה שיכולים לעיתים לעמוד בקו אחד עם הכלי חקירה מהשורה הראשונה. 

כאשר מחברים כלי אבטחה זה מגיע מתוך היבט מסוים שמוביל אותנו, ולאחר מכן לוקח אותנו מול יתר הכלים והאינטגרציה שאנו נדרשים ליצור בין הכלים, כמו גם, כאשר מחברים כלי מתוך Microsoft Defender. בכל דפנדר באשר הוא, ישנה נקודת מבט מסויימת, בין אם מגיעים מתוך Defender for Identity, או מגיעים מתוך Defender for Endpoint – לכל אחד מהם יש משמעויות רבות. כמו תמיד אנו חייבים שיהיו היבטי אבטחה שמובילים אותנו, אפשר להתחיל מהנפוצים והחשובים שבהם – זהויות, נקודות קצה והענן. 

במקרה של המאמר הזה, היבט האבטחה שמוביל את המאמר הוא דפנדר לנקודות קצה (Defender for Endpoint, או בשמו הקצר MDE) למשל, ניתן להשתמש בכלי Microsoft Defender for Endpoint עם כלים אחרים שהם חלק ממשפחת הדפנדרים וכלים צד שלישי. למשל, אפשר לעבוד עם כלים אחרים כמו, כלי הסימולציה של Cymulate, או כלים כמו Thor, או, ניתן לשלב את דפנדר לנקודות קצה, כחלק ממנגנון XDR + SOAR עם Microsoft Sentinel ורשימה ארוכה של כלים. 

e1600

הקטע העוצמתי מתחיל כאשר דפנדר משולב באופן מלא עם כל הרכיבים במשפחת הדפדנדרים של Microsoft ולזה, כאמור מוספים כלים צד שלישי. האינטגרציה וחיבור של כלי האבטחה הנוספים של דפנדר מספקים זיהוי חזק יותר, וממשק אחיד – Microsoft 365 Defender ולכן הנראות, התחקור והבנה של מכלול הדרישות והכלים נמצאים במקום אחד. 

החיבורים והאינטגרציות הבאות זמינות, ישירות מול Defender for Endpoint כחלק ממכלול אבטחה שלם: 

  • Defender for Office
  • Defender for Cloud Apps
  • Defender for Cloud
  • Defender for Identity
  • Microsoft Sentinel
  • Azure Security
  • Azure AD
  • Azure AD Security
  • Defender EASM
  •  

מכלול האבטחה שמוביל במקרים רבים מתבסס על Kill Chain או MITRE בהיבטי תקיפה, חקירה והגנה. למשל, הדיאגרמה הבאה מכילה טקטיקות של MITRE מול כלים ספציפיים של Microsoft 365 Defender והלימה מול XDR. 

32ac0 mitre m5.drawio 

דפנדר לנקודות קצה – Defender for Endpoint

הממשק הגדרות כלליות (או כמו שאני קורא לו – ה Settings המרכזי) בקטגוריה של MDE הוא המקום הראשוני שאנו מתחילים ממנו ושם יש מספר הגדרות שנותנות חיווי, זיהוי ואינדיקציות בין הכלים. 

טיפ: בסביבות שונות חלק מההגדרות כבר מובנות ולכן המאמר נוגע בהגדרות שעדיין קיימות ולא הגדרות שנעשות מאחורי הקלעים, או הגדרות שהיו בעבר ושאינן מצריכות התייחסות כלשהיא. 

Office 365 Threat Intelligence connection – דפנדר לנקודות קצה מתחבר לרכיבי Office 365 Threat Intelligence כדי לאפשר הזנה והזרמת נתונים. נתונים אלה מאפשרים לבצע חקירות אבטחה בתיבות הדואר של Office 365 ונקודות קצה מבוססות Windows.

מה הערך? החקירה מתוך Explorer מאפשרת לנתחו איומים, לראות את נפח ההתקפות לאורך זמן ולנתח נתונים לפי משפחות איומים, תשתית תוקפים ועוד. הממשק הראשוני של חקירות ברמת דואר של כל אנליסט אבטחה.

020d9 monosnap advanced features microsoft 365 security 2023 05 20 08 48 44

Microsoft Defender for Cloud Apps – מעביר סיגנלים של Microsoft Defender for Endpoint אל Defender for Cloud Apps, ומאפשר למנהלי מערכת נראות מעמיקה יותר הן ברמת אפליקציות ענניות (API/SaaS/OAuth) וברמת Shadow IT. 

מה הערך? אפשרויות תחקור ואוטומציה מהירות ברמה האפליקטיבית, או לפי מכונה, או זהות.  

Share endpoint alerts with Microsoft Compliance Center – מעביר התראות אבטחה של נקודות קצה וסטטוס חיווי אל Microsoft Compliance Center, ומאפשר שיפור מדיניות ניהול סיכונים פנימיים עם התראות ואכיפה בררנית, וכן האפשרויות של תיקון שויפור סיכונים פנימיים לפני שהם גורמים לדליפת מידע.
 
טיפ: Authenticated telemetry – יחסית חדש בממשק ודואד שהטלמטריה תהיה מאומתת בכדי למנוע זיוף של טלמטריה ברמת ממשקי הניהול ובפרט – Microsoft 365 Defender.  

Microsoft Intune connection – למי שעובד עם Intune ורוצה לקבל יכולות SecOps בין הכלים אז יכול להפעיל את ההגדרה בכדי לאפשר שיתוף מידע על נקודות הקצה ואכיפת מדיניות אבטחה משופרת ויצירה אוטומציה. ניתן להשתמש במידע על סיכונים כדי לאכוף גישה מותנית ומדיניות אבטחה בררנית.

16788 monosnap advanced features microsoft 365 security 2023 05 20 08 49 07

הערה: בעבר היו בממשק ההגדרות אפשרויות אינטרציה נוספות אבל הן הפכו לאוטומטיות ולכן אינן נמצאות וזמינות בממשק Setting. 

בצד של Intune ישנה הגדרה שמחברת את דפנדר לנקודות קצה וברגע שישנה קישוריות היא מאפשרת לקבל אינדיקציות ספציפיות ולאמץ יכולות וגישת SecOps ברמת פעולות ותהליך.

7b0d2 monosnap endpoint security microsoft intune admin center 2023 05 20 10 57 17

דפנדר לאופיס – Defender for Office

שילוב דפנדר לאופיס (Defender for Office) מאפשר יכולות הגנה וניטור מירביות על רכיבי אופיס השונים: Exchange Online + SharePoint Online + OneDrive for Business. האינטגרציה בין הכלים מגיעה מתוך הבטן ואינה דורשת פעולות אינטגרציה כמו שהיה צריך בעבר. עדיין נותרו מספר הגדרות קצרות בין הכלים בשביל לאפשר יכולות ניטור ותחקור.

העדכון האחרון שהיה בתאריך בתחילת 2021 אינו מצריך שילוב ידני, יחד עם זאת עדיין אפשר לראות במקרים רבים מיסקונפיגורציה בגלל שישנם סביבות שהגדרות אלה אינן קיימות או הגדרות שאינם נמצאות בסביבות ישנות וכאלה שלא הוגדרו בעבר. התצורות המוכרות מתבססות על תכונות ספציפיות, ולכן, אפשרויות בממשק ניהול של Explorer אינן נחוצות במקרים מסויימים (לפי הכתובים). השילוב זמין תמיד ומהווה חלק בלתי נפרד מתוך Microsoft Defender 365.

בסביבות שהגדרות אלה אינן קיימות יש להגדיר את האינטגרציה הבאה.

00066 monosnap explorer microsoft 365 security 2023 05 20 08 38 44

דפנדר לזהויות – Defender for Identity

אחד החלקים החשובים במשפחת הדפדנרים, הוא Defender for Identity שמביא ערך בזיהוי וחיווי וגם אוטומציה מול סביבת Active Directory מקומית – כיום כבר משולב בפורטל Microsoft 365 Defender. מאז נובמבר 2022, הגדרת האינטגרציה עם דפנדר לנקודות קצה אינה קיימת כי היא מובנית ונעשית מאחורי הקלעים. ממשק Microsoft 365 Defender מכיל שילוב מוכלל המוגדר כברירת מחדל עבור שני הכלים ולכן אין צורך בהגדרות ותצורה נוספת.

דיאגרמה כללית של שרתי DC’s המזרימים נתונים אל השירות בענן ומוצגים בין היתר בממשק Microsoft 365 Defender (במקרה הזה של הארכיקטורה ישנה גם הכללה מאוד ספציפית מול Azure AD).  

76436 m365 defender identity architecture

מה הערך? אפשרויות תחקור משולבות, נראות אחידה על תקריות והתראות, אוטומציה משולבת ברמת זהות מבוססת Active Directory ונקודות קצה והלימה בין אירועים ברמת Timeline.

דפנדר ליישומי ענן – Defender for Cloud Apps

הכלי של דפנדר ליישומי ענן מאפשר שילוב מול דפנדר לנקודות קצה במטרה לאפשר תכונות רבות יותר ולשתף נתונים באופן מקורי כחלק מהסנסורים של דפנדר לנקודות קצה והעברת המידע.

דפדנר ליישומי ענן מספק הרבה מעבר ליכולות CASB המוכרות ונועג ביכולות SaaS ורוחביות מול אפליקציות צד שלישי וכן כים נוספים מתוך משפחת הדפנדר.  

דפנדר ליישומי ענן משתמש בנתונים מתוך דפנדר לנקודות קצה אודות גישה ליישומי ענן, וכן לנתונים מתוך כל מכונה והסיגנלים שהיא מעבירה. כאשר יומני הרישום מופעלים, הם יישלחו ישירות אל דפנדר ליישומי ענן לקבלת תובנות מתקדמות.

כאמור, ישנה העברה של סיגנלים של דפנדר לנקודות קצה אל דפנדר ליישומי ענן, וזה בתורו, מאפשר למנהלי מערכת נראות מעמיקה יותר הן ברמת אפליקציות ענניות (API/SaaS/OAuth) וברמת Shadow IT. כמו גם, נותן אפשרויות חסימה של יישומים לא מורשים כאשר הגדרת סיגנלים וחיווי רשת מופעלת – מוכר גם כפתרון CASB Ednpoint.

הנתונים שמועברים, מאוחסנים ומעובדים באותו מיקום כמו נתוני האבטחה של Cloud App וניתן לראותם מתוך הממשק הראשי Microsoft 365 Defender.

020d9 monosnap advanced features microsoft 365 security 2023 05 20 08 48 44

מה הערך? המטרה היא לאפשר תצורת CASB Ednpoint שתאפשר אפשרויות תחקור ואוטומציה מהירות ברמה האפליקטיבית, או לפי מכונה, או זהות.

aed86 casbendpoint.drawio

במקרה הזה ישנה הגדרה של דפנדר ליישומי ענן עבור דפנדר לנקודות קצה שמטרתו לבצע חסימת יישומים לא מורשים. לאחר הפעלת האינטגרציה, כל היישומים שאינם מאושרים יתווספו לרשימת החיווי של דפנדר לנקודות קצה, עם התוצאה הברורה של – האפליקציה תיחסם באופן אוטומטי בהתבסס על הגנת רשת.

95ee9 monosnap cloud apps microsoft 365 security 2023 05 20 10 20 23

טיפים

  • חשוב לדעת כי חסימות ייעשו רק כאשר הגנת רשת מוגדרת במצב חסימה, ולכן, מצב ביקורת אינו חוסם כתובות URL.
  • לפני הפעלת האינטגרציה צריך לוודא את הרשימה הנוכחית של אפליקציות שאינן מאושרות, כי, בעת הפעלת החסימה כל הכתובות של אפליקציות שלא אושרו ייחסמו באופן אוטומטי בדפנדר ליישומי ענן.
  • כברירת מחדל, כאשר אפליקציות נחסמות, הטווח הוא כל נקודות הקצה ולכן צריך לאפשר תיוגים בהתאם.

דפנדר לענן – Defender for Cloud 

דפנדר לנקודת קצה מתחבר אל דפנדר לענן (Defender for Cloud) כדי לספק נראות והגנה מקיפה מול נקודת קצה מבוססות שרתים. באמצעות האינטגרציה הזאת, דפנדר לענן יכול להשתמש ביכולות של דפנדר לנקודת קצה ומספק חיווי, זיהוי וניתוח בעיות אבטחה ואיומים עבור שרתים. 

היכולות הבאות כלולות בשילוב זה:

  • הטמעה אוטומטית – סנסור דפנדר לנקודת קצה מופעל באופן אוטומטי בשרתי Windows המשולבים בדפנדר לענן.
  • נראות ותחקור – נקודות קצה בדפנדר לענן מופיעים בממשק האחיד של Microsoft 365 Defender ולכן מאפשר לקבל את כל הסנסורים במקום אחד עם נראות מלאה, קבלת חיווי, התראות ומאפשר בנוסף לבצע חקירה. 
  • אוטומציה – מאפשר לנצל את יכולות האוטומציה של שני הכלים במטרה להגיב לאירועים באופן אוטומטי ועל סמך הסיגנלים שמופיעים בממשק המרכזי.
  • מאפשר פריסת סנסורים במערכוצ הפעלה מבוססות לינוקס + macOS בכל פלטפורמה עננית. 
  • ניהול והערכה מבוססי-סיכונים. 
  • צמצום שטח התקיפה.
  • הגנה מבוססת התנהגות והגנה המופעלת באמצעות הענן.
  • זיהוי ותגובה של נקודות קצה (EDR).
  • חקירה ותיקון אוטומטיים.
  • אפשרויות Threat Hunting מתקדמות.
  • הערכת פגיעות מתוך Microsoft Defender Vulnerability Management.
  • זיהוי מבוסס אנליטיקה, המופעל באמצעות ענן, לאחר הפרה או חדירה.
  • מודיעין איומים.

Microsoft Sentinel

Microsoft Sentinel הוא הפלטפורמה שך Cloud-Native SIEM שמאפשרת אינטגרציה מתקדמת מול דפנדר לנקודות קצה באמצעות קונקטורים מובנים, כולל אינטגרציות ביכולות אוטומציה מובנות ומתקדמות, החל מהזרמת נתונים, אירועים ויצירת התראות.

הקונקטורים הבאים הקשורים אל דפנדר לנקודות קצה הם:

  • Microsoft 365 Defender
  • Defender for Endpoint 

בעת שימוש בקונקטור שלMicrosoft 365 Defender, קיימת חפיפה מסוימת עם הקונקטור של Defender for Endpoint. כל קונקטור הוא נפרד ולכן, Microsoft 365 Defender מבוסס על מופעים שמבוססים על Microsoft 365 Defender, ולכן מביא את כל האירועים מאותן מקורות. היתרון של קונקטור Microsoft 365 Defender הוא היכולת למדוד צריכה.

הקונקטור של Microsoft 365 Defender הוא דו-כיווני, כלומר הוא יכול לסגור את ההתראה/התקרית מול Microsoft Sentinel ובכלי האבטחה של Microsoft. הקונקטורים מאפשרים הזרמה של נתונים בהתאם לאירוע. 

טיפ: ברירת מחדל של שמירת הנתונים עבור נקודת קצה היא 180 יום, ו 30 יום עבור ממשק Advanced Threat Hunting. 

95091 monosnap microsoft defender for endpoint microsoft azure 2023 05 20 15 25 03 ac74d monosnap microsoft sentinel microsoft azure 2023 05 20 15 23 57

לסיום, אינטגרציה בין כלי האבטחה משפרת את היומיום של היבטי אבטחה שונים, בין אם מדובר במגן, תוקף או מתחקר ומורידה חלקים אפורים שאיינו צריכים להתעסק איתם ביומיום. 

מאמרים נוספים של Microsoft Defender

Tags:

You may also like...

השאר תגובה