区别:ATP和Sentinel,ATP是收集日志进行检测。Sentinel是SIEM和SOAR平台。
如下是Azure的安全体系结构:
该体系结构包括以下组件:
- Azure 安全中心。 这是 Microsoft 提供给所有 Azure 订户的高级统一安全管理平台。 安全中心划分为云安全状况管理 (CSPM) 和云工作负荷保护平台 (CWPP) 。 CWPP 是由以工作负荷为中心的安全保护解决方案(通常基于代理)定义的。 Azure 安全中心可为本地和其他云中的 Azure 工作负荷(包括 Windows 和 Linux 虚拟机 (Vm) 、容器、数据库和物联网 (IoT) )提供威胁保护。 激活时,Log Analytics 代理会自动部署到 Azure 虚拟机中。 对于本地 Windows 和 Linux 服务器和 Vm,你可以手动部署代理,使用组织的部署工具(如 Microsoft Endpoint Protection 管理员)或使用脚本化部署方法。 安全中心开始评估所有 Vm、网络、应用程序和数据的安全状态。
- Azure Sentinel。 是一种云本机安全信息和事件管理 (SIEM) 和安全业务流程自动响应 (之忠诚度) 解决方案,该解决方案使用高级 AI 和安全分析来帮助检测、查寻、阻止和应对企业内的威胁。
- Azure Stack。 是一系列产品,可将 Azure 服务和功能从数据中心扩展到边缘位置和远程办公室。 与 Azure Stack 集成的系统通常使用由受信任的硬件合作伙伴构建并直接传递到你的数据中心的四到十六个服务器。
- Azure Monitor。 从各种本地和 Azure 源收集监视遥测数据。 管理工具(例如 Azure 安全中心和 Azure 自动化中的工具)也将日志数据推送到 Azure Monitor。
- Log Analytics 工作区。 Azure Monitor 将日志数据存储在 Log Analytics 工作区,该工作区是包含数据和配置信息的容器。
- Log Analytics 代理。 Log Analytics 代理从 Azure、其他云提供程序和本地中的来宾操作系统和 VM 工作负载收集监视数据。 Log Analytics 代理支持代理配置,通常在这种情况下,Microsoft Operations Management Suite (OMS) 网关充当代理。Log Analytics 代理服务收集事件和性能数据、执行任务以及管理包中定义的其他工作流。 安全中心通过集成 服务器 的 Microsoft Defender 高级威胁防护 (ATP) 来扩展其云工作负荷保护平台。 两者共同提供全面的终结点检测和响应 (EDR) 功能。
- 本地网络。 此防火墙配置为支持来自定义的系统的 HTTPS 出口。
- 本地 Windows 和 Linux 系统。 安装了 Log Analytics 代理的系统。
- Azure Windows 和 Linux vm。 安装 Azure 安全中心监视代理的系统。
Azure 解决方案:ATP保护你的企业信息安全,无懈可击
51CTO 博客地址:https://blog.51cto.com/14669127
博客园博客地址:https://www.cnblogs.com/Nancy1983
随着云计算的快速发展,智能时代也孕育而生,很多企业都通过数字化转型来迎接市场给带来的冲击和挑战,同时员工之间的沟通也发生了重大变革,逐渐遗弃了传统的纸质化办公,取而代之的是基于云为基础构建的新办公模式,虽然有效地提高了工作效率,但也衍生了更多安全隐患和威胁,比如用户凭据盗取,服务攻击等等。
目前,大多数企业,员工受众文化不同,年龄结构不同,导致大部分员工对威胁隐患意识非常浅薄,那么IT Admin就需要未雨绸缪地完善企业内部硬件、软件等办公整体环境的安全防护机制以降低因安全保证不足引发不可估量的损失,主要体现在:
- 用户凭据访问和管理
- 信息保护
- 威胁防护
- 安全管理
众多现代化办公软件和平台中,微软的信息安全是一个整体的、端到端的,围绕用户、设备、应用程序的安全等等这一切定制的解决方案,为企业带来清晰的信息安全视野。
参照下图:
- Office 365 ATP:侦测并防范各种形态的恶意邮件、扫描信件中包含的恶意链接、针对恶意附件进行隔离处理等等,提供企业的预警能力。
- Azure AD 身份保护:多重身份验证,加强对用户的安全管理。
- Microsoft Defender ATP:支持跨Windows, Mac,iOS等平台的终端行为侦测力,针对异常行为可借助人工智能分析,更全面的防护企业潜在的威胁。
- Azure ATP,针对检测的基于身份的异常行为,通过智能分析,将侵袭行为进行防范
- 微软云应用安全:在多个云上运行的云访问安全代理(CASB),它提供了丰富的显示效果,数据控制和分析,用于跨所有云服务发现和防范网络威胁。
所以,Microsoft 威胁防护解决方案的每一部分都紧密相连,是不可替代的全方位安全解决方案。
更多细节: