Blogg

Säkerhet i Microsoft Azure och Office 365

För att en organisations data ska hållas säkrad så behövs en säkerhetslösning. Det går inte att komma ifrån. Inom Microsofts ekosystem så finns två huvudsakliga alternativ: Defender 365 för att skydda Microsoft Office 365 och Azure Security Center för att skydda Microsoft Azure.

Microsoft 365 Defender skyddar i stort e-post, samarbetsverktyg och fillagring. Om större delar av it-infrastrukturen hanteras av Microsoft så är det ofta med hjälp av Azure. Därför finns Azure Security Center och en mängd Azure Defender-tjänster. Azure Security Center blir framför allt viktigt om exempelvis servrar och applikationer baseras i Microsoft Azure.

Microsoft 365 Defender

Standardlösningen för säkerhet som Microsoft tillhandahåller heter Microsoft 365 Defender. Det är samlingsnamnet, och under 365 Defender finns det fyra stycken undergrupper. Information från alla undergrupper sammanställs i Administrationscentret för Säkerhet i Microsoft 365. De fyra undergrupperna presenteras i tur och ordning nedan. Besök Microsofts samlingssida för Microsoft 365 Defender här.

Microsoft Defender for Endpoint

Defender for Endpoint är en plattform för klientsäkerhet. Defender for Endpoint hanterar skyddet av de ändpunkter som finns i nätverk, alltså enheter som används bland slutanvändare. Det gäller exempelvis telefoner, datorer och andra enheter som hanterar organisationsdata, men inte servrar.

Varför just ändpunkter är attraktiva mål för anfall och intrång är för att de generellt sett är sämre skyddade. Servrar har ofta mer avancerade säkerhetsprotokoll och är bättre rustade för att upptäcka intrång, framför allt jämfört med datorer och mobiltelefoner. Ett lyckat intrång vid en sådan enhet kan därför i förlängningen resultera i ett serverintrång, via ändpunktens anslutning till servern.

Microsoft Defender for Endpoint är Microsofts svar på svagheterna som annars finns i ändpunkter. Det är en plattform som

Under Microsofts Ignite-konferens hösten 2020 så tillkännagavs att det som då kallades Microsoft Defender Advanced Threat Protection skulle byta namn till Microsoft Defender for Endpoint.

Microsoft Defender for Office 365

I Microsofts plattform Defender for Office 365 så ingår huvudsakligen skydd för samarbetsverktyg. Det är Defender for Office 365 som skyddar användare från skadliga e-postmeddelanden, osäkra länkar och bifogade filer, med mera. I Defender for Office 365 följer också möjlighet att kunna analysera, simulera och förebygga hot.

Microsoft Defender for Office 365 är uppdelat i två delar: plan 1 och plan 2. Både plan 1 och 2 ingår inte i alla licenser. Plan 2 är en utökad version av plan 1 och ingår i licenser som riktas till storföretag. Jämför tjänsteutbudet mellan planerna här.

I plan 1 av Microsoft Defender for Office 365 ingår: Säkra bifogade filer, säkra länkar, säkra filer i SharePoint, OneDrive och Microsoft Team, anti-phising-skydd och realtidsskydd.

I plan 2 av Microsoft Defender for Office 365 ingår: Allt från plan 1, samt möjligheter för att automatisera, undersöka, sammanställa och återställa. Mer specifikt ingår verktyg för att spåra hot, utforska hot, automatisera analyser och åtgärder, utfärda simuleringar och få ingående rapporter.

Vid uppstartskonfigurationen så rekommenderar Microsoft att dela upp det i logiska buntar. Till exempel att börja med allt som gäller ”anti” (anti-malware, -nätfiske/-phising, -spam),  och fortsätta med ”säkra” (säkra länkar, filer, rutiner).

Defender for Office 365 kallades innan oktober 2020 för Office 365 Advanced Threat Protection.

Microsoft Defender for Identity

Defender for Identity är en en säkerhetslösning med fokus på identiteter och identitetshantering. Det innebär i praktiken huvudsakligen att organisationens identitetskatalog Active Directory (AD) skyddas. Defender for Identity gäller för on-premise-baserade lösningars AD.

Det som Defender for Identity gör är att hålla koll på är användaraktivitet, notera potentiellt missbruk och att flagga detta för administratörer. Defender for Identity använder maskininlärning för att notera avvikelser i användarbeteenden för att lättare identifiera och åtgärda hot.

I oktober 2020 bytte även Defender for Identity namn. Innan dess kallades lösningen för Azure Advanced Threat Protection.

Microsoft Cloud App Security

Cloud App Security från Microsoft är en så kallad Cloud Access Security Broker (CASB). En CASB är en slags övervakningsfunktion som ser över it-användningen i en organisation. Främst gäller det hur och var data skickas till och från olika applikationer. Men det appliceras även på applikationsanvändning – så som att data till tredje part delas på korrekt sätt, eller visar skugg-it och otillåten applikationsanvändning i organisationen.

Cloud App Security gör det enklare att skapa central styrning över vilka verktyg och applikationer som tillåts inom organisationen. Alla molntjänster som organisationen ansluter till blir synliga och kan rangordnas, den data som skickas kan klassificeras utifrån känslighet och mer.

Azure Security Center

I Azure finns ett centralt säkerhetscenter i Azure Security Center.

Det som tidigare hette Microsoft Secure Score finns nu i Azure Security Center och heter Azure Secure Score. Det är en enkel poängsättning av hur säker it-miljön är, för att enkelt visa om det finns förbättringsområden.

Azure Defender

I Azure Security Center så finns en mängd olika Azure Defender-alternativ. Alternativen till Azure Defender är valfria och kan vid behov slås på.

Förutom de som listas nedan så finns bland andra Azure Defender for SQL on/outside Azure, for ARM, for DNS, for MariaDB, och fler. Därför kan den avancerade säkerhetsfunktionaliteten i Azure användas i Azure-baserade servrar, plattformar och databaser. Se prissättningen här för de olika alternativen av Azure Defender.

Azure Defender for Servers

Azure Defender for Servers är en säkerhetslösning för Windows- och Linux-servrar.

Det ingår en lång lista av säkerhetsfunktioner i Defender for Servers. Yttersta målet är förstås att ge skydda servrar från intrång, analysera förändringar och logga misstänkt aktivitet. Qualys är ett kraftfullt vertyg för realtidsövervakning, som ingår med Defender for Servers. Läs mer om de skyddet som möjliggörs i introduktionsartikeln till Defender for Servers här.

Azure Defender for Servers har dessutom en integrerad licens till Microsoft Defender for Endpoint (se ovan). Det innebär att de aktiverar Azure Defender for Servers också kan nyttja allt från Microsoft Defender for Endpoint. Microsoft motiverar de sammanslagna licenserna med att de kompletterar varandra och skapar omfattande klientsäkerhet.

Azure Defender for App Service

Azure App Service är en Azure-tjänst som gör det möjligt att bygga och hysa webbapplikationer och programmeringsgränssnitt (API).

Den främsta fördelen med att använda Defender for App Service är att applikationerna i App Service skyddas. I egenskap av att hysas av Azure så är det svårt att göra intrång till att börja med. Och med Defender for App Service så loggas informationen och gör den möjlig att analysera närmare. Läs mer om Azure App Service här. Läs mer om Defender for App Service här.

Azure Defender for Storage

Som med de andra Azure Defender-applikationerna så är syftet med Defender for Storage att skydda från intrång och avisera om hot. Defender for Storage skyddar data som lagras i Azure.

Med en knapptryckning så aktiveras skyddet, som då gäller för uppladdade filer, förändrade behörigheter, misstänkt informationsinhämtning och mer. Läs här om möjligheterna och vad som erbjuds i Defender for Storage.

Azure Sentinel

Azure Sentinel är en fristående lösning för att hantera säkerhetshändelser. Det är en så kallad SIEM-lösning (Security Information Event Management) som samordnar flöden och säkerhetsinformation. Azure Sentinel kan användas i kombination med Azure Security Center och/eller Microsoft Defender.

Azure Sentinel är en tilläggstjänst som utvecklats med motiveringen att hjälpa säkerhetsteam att fokusera på organisationens säkerhet i stället för underhållsarbete. Vilket möjliggörs med hjälp av översiktsvyn som Sentinel erbjuder. Azure Sentinel sammanställer information från hela organisationen för att kunna avlasta på andra håll.

Azure Sentinel beskrivs av Microsoft ge ett fågelperspektiv som sållar informationen från alla plattformar som anslutits. Aviseringar kommer när incidenter sker eller när brister upptäcks. Styrkan är att Azure Sentinel drivs av avancerad artificiell intelligens i kombination med maskininlärning för att identifiera även de mest komplexa försöken till intrång.

Eftersom Azure Sentinel tar emot information från många olika källor så kan komplexa intrångsförsök kartläggas bättre än via säkerhetsverktyg som enbart håller koll på en enda plattform eller på en viss typ av data. Via Sentinel så blir det också enkelt att se de största riskområdena och att utvärdera säkerheten för hela organisationen, i en enda vy. Läs mer om Azure Sentinel här.

Sammanfattning

Microsoft 365 Defender och Azure Secure Center är båda säkerhetslösningar som skyddar från angrepp och intrång.

Microsoft 365 Defender är en lösning som snarare hanterar och skyddar mer användarnära tjänster – exempelvis e-post, delade filer, osäkra länkar samt ändpunktsenheter. Defender presenterar och sammanställer säkerhetsinformationen i huvudgränssnittet för Microsoft 365 Defender, som nås via administrationscentret för säkerhet.

Azure Security Center är en säkerhetstjänst som fokuserar mer på Azure-funktionalitet. Exempelvis servrar och applikationer som hyses i Microsoft Azure, eller data som lagras i Azure. Azure Security Center är lämpligt för att säkra API:er och tredjepartsapplikationer. Azure ligger även i framkant av AI-användningen och möjligheterna med automation.

Syftet med Azure Sentinel är att övervaka och överblicka säkerhetsorganisationen – att göra det enkelt att se var, när och hur incidenter sker. Det gör att mängden säkerhetscenter och gränssnitt kan minskas och i viss mån ersättas med Azure Sentinel. Eftersom Sentinel är en tilläggslösning så kan det valfritt användas i kombination med Azure Security Center och/eller Microsoft 365 Defender.

Vidare läsning

Ta även en titt på någon av de rekommenderade artiklarna här under.

Läs vår artikel om Microsofts mejllösning Exchange här.

Här är vår uppskattade artikel om licenser och licenshantering i Office 365.

Se vårt inlägg om administratörsroller i Office 365 här.

Se alla våra artiklar här.

Magnus Roos

Magnus ansvarar för marknadsföringen och innehållet på EdgeGuide. Har du frågor eller kommentarer om något du läst? Skicka gärna ett mejl eller kontakta via LinkedIn.