Cloud Security Posture Management (CSPM)
Eine der wichtigsten Komponenten von Microsoft Defender for Cloud ist Cloud Security Posture Management (CSPM). CSPM bietet detaillierte Einblicke in den Sicherheitsstatus Ihrer Ressourcen und Workloads und bietet Härtungsleitfäden, die Ihnen helfen, Ihren Sicherheitsstatus effizient und effektiv zu verbessern.
Defender for Cloud bewertet Ihre Ressourcen kontinuierlich anhand von Sicherheitsstandards, die für Ihre Azure-Abonnements, AWS-Konten und GCP-Projekte definiert sind. Defender for Cloud gibt Sicherheitsempfehlungen basierend auf diesen Bewertungen aus.
Wenn Sie Defender for Cloud in einem Azure-Abonnement aktivieren, ist standardmäßig der Microsoft Cloud Security Benchmark (MCSB)-Compliancestandard aktiviert. Sie erhalten dadurch Empfehlungen. Defender for Cloud bietet eine aggregierte Sicherheitsbewertung basierend auf einigen der MCSB-Empfehlungen. Je höher die Bewertung, desto niedriger ist die identifizierte Risikostufe.
CSPM-Features
Defender for Cloud bietet die folgenden CSPM-Angebote:
Grundlegende CSPM-Features – Defender for Cloud bietet kostenlos grundlegende CSPM-Funktionen für mehrere Clouds. Diese Funktionen werden standardmäßig für Abonnements und Konten aktiviert, die in Defender for Cloud integriert sind.
Defender CSPM-Plan (Cloud Security Posture Management) – Der optionale kostenpflichtige Defender for Cloud Security Posture Management-Plan bietet zusätzliche, erweiterte Sicherheitsstatusfeatures.
Verfügbarkeit des Plans
Informieren Sie sich ausführlicher über die Defender CSPM-Preise.
Die folgende Tabelle enthält eine Zusammenfassung des jeweiligen Plans sowie der jeweiligen Cloudverfügbarkeit.
| Funktion | Grundlegende CSPM-Features | Defender CSPM | Cloudverfügbarkeit |
|---|---|---|---|
| Sicherheitsempfehlungen | 
|
|
Azure, AWS, GCP, lokal |
| Ressourcenbestand |
|
|
Azure, AWS, GCP, lokal |
| Sicherheitsbewertung |
|
|
Azure, AWS, GCP, lokal |
| Datenvisualisierung und Berichterstellung mit Azure-Arbeitsmappen |
|
|
Azure, AWS, GCP, lokal |
| Exportieren von Daten |
|
|
Azure, AWS, GCP, lokal |
| Workflowautomatisierung (Vorschauversion) |
|
|
Azure, AWS, GCP, lokal |
| Tools für die Wartung |
|
|
Azure, AWS, GCP, lokal |
| Microsoft Cloud Security Benchmark (Microsoft-Benchmark für Cloudsicherheit) |
|
|
Azure, AWS, GCP |
| Sicherheitsgovernance | - |
|
Azure, AWS, GCP, lokal |
| Standards für die Einhaltung gesetzlicher Bestimmungen | - |
|
Azure, AWS, GCP, lokal |
| Cloudsicherheits-Explorer | - |
|
Azure, AWS, GCP |
| Angriffspfadanalyse | - |
|
Azure, AWS, GCP |
| Überprüfung ohne Agent für Computer | - |
|
Azure, AWS, GCP |
| Containersicherheitsstatus ohne Agent | - |
|
Azure, AWS, GCP |
| Sicherheitsrisikobewertung für Containerregistrierungen, einschließlich Registrierungsüberprüfung | - |
|
Azure, AWS, GCP |
| Datenfähiger Sicherheitsstatus | - |
|
Azure, AWS, GCP |
| EASM-Erkenntnisse zur Netzwerkgefährdung | - |
|
Azure, AWS, GCP |
| Berechtigungsverwaltung (Vorschau) | - |
|
Azure, AWS, GCP |
Hinweis
Ab dem 7. März 2024 muss Defender CSPM aktiviert sein, um Premiumfunktionen für DevOps-Sicherheit zu erhalten. Dazu gehören die Code-zu-Cloud-Kontextualisierung, die den Sicherheits-Explorer und Angriffspfade sowie Pull-Request-Anmerkungen für Infrastructure-as-Code-Sicherheitsergebnisse unterstützt. Weitere Informationen finden Sie unter Unterstützung und Voraussetzungen für die DevOps-Sicherheit.
Integrationen (Vorschau)
Microsoft Defender for Cloud verfügt jetzt über Integrationen als Bestandteil des Pakets, mit denen Sie Systeme von Drittanbietern verwenden können, um Tickets, Ereignisse und Kundeninteraktionen nahtlos zu verwalten und nachzuverfolgen. Sie können Empfehlungen an ein Ticketingtool eines Drittanbieters übertragen und einem Team die Verantwortung für die Behebung zuweisen.
Die Integration optimiert Ihren Vorfallreaktionsprozess und verbessert ihre Fähigkeit, Sicherheitsvorfälle zu verwalten. Sie können Sicherheitsvorfälle effektiver nachverfolgen, priorisieren und beheben.
Sie können auswählen, welches Ticketingsystem integriert werden soll. Für die Vorschau wird nur die ServiceNow-Integration unterstützt. Weitere Informationen zum Konfigurieren der ServiceNow-Integration finden Sie unter Integrieren von ServiceNow in Microsoft Defender for Cloud (Vorschau).
Preise für den Plan
Lesen Sie die Tarifseite zum Defender for Cloud, um mehr über die Preise von Defender CSPM zu erfahren.
Ab dem 7. März 2024 stehen erweiterte DevOps-Sicherheitsstatusfunktionen nur über den kostenpflichtigen Defender CSPM-Plan zur Verfügung. Die kostenlose grundlegende Sicherheitsstatusverwaltung in Defender for Cloud stellt weiterhin eine Reihe von Azure DevOps-Empfehlungen bereit. Weitere Informationen zu DevOps-Sicherheitsfeatures finden Sie hier.
Für Abonnements die Defender CSPM- und Defender for Container-Plänen gleichzeitig verwenden wird die kostenlose Sicherheitsrisikobewertung basierend auf kostenlosen Bildprüfungen berechnet, die über den Defender for Containers-Plan bereitgestellt werden, wie auf der Preisseite für Microsoft Defender for Cloud zusammengefasst.
Defender CSPM schützt alle Multicloud-Workloads. Die Abrechnung wird jedoch nur auf bestimmte Ressourcen angewendet. In den folgenden Tabellen sind die abrechenbaren Ressourcen aufgeführt, wenn Defender CSPM für Azure-Abonnements, AWS-Konten oder GCP-Projekte aktiviert ist:
Azure-Dienst Ressourcentypen Ausschlüsse Compute Microsoft.Compute/virtualMachines
Microsoft.Compute/virtualMachineScaleSets/virtualMachines
Microsoft.ClassicCompute/virtualMachines- Virtuelle Computer mit aufgehobener Zuordnung
- Virtuelle Databricks-ComputerStorage Microsoft.Storage/storageAccounts Speicherkonten ohne Blobcontainer oder Dateifreigaben DBs Microsoft.Sql/servers
Microsoft.DBforPostgreSQL/servers
Microsoft.DBforMySQL/servers
Microsoft.Sql/managedInstances
Microsoft.DBforMariaDB/servers
Microsoft.Synapse/workspaces--- AWS-Dienst Ressourcentypen Ausschlüsse Compute EC2-Instanzen Virtuelle Computer mit aufgehobener Zuordnung Storage S3-Buckets --- DBs RDS-Instanzen --- GCP-Dienst Ressourcentypen Ausschlüsse Compute 1. Compute-Instanzen von Google
2. Gruppe von Google-InstanzenNicht aktive Instanzen Storage Speicherbuckets - Buckets aus folgenden Klassen: „nearline“, „coldline“, „archive“
- Buckets aus anderen Regionen als „europe-west1“, „us-east1“, „us-west1“, „us-central1“, „us-east4“, „asia-south1“, „northamerica-northeast1“DBs SQL-Cloudinstanzen ---
Azure-Cloudsupport
Informationen zur kommerziellen und nationalen Cloudabdeckung finden Sie unter In Azure-Cloudumgebungen unterstützte Features.
Unterstützung für ressourcentyp in AWS und GCP
Informationen zur Multicloud-Unterstützung von Ressourcentypen (oder Diensten) in unserer grundlegenden Mehrcloud-CSPM-Ebene finden Sie in der Tabelle der Multicloud-Ressourcen- und Servicetypen für AWS und GCP.
Nächste Schritte
- Schauen Sie sich Folgendes an: Zukünftige Sicherheitsvorfälle vorhersagen! Cloud Security Posture Management mit Microsoft Defender.
- Weitere Informationen über Sicherheitsstandards und Empfehlungen.
- Weitere Informationen über die Sicherheitsbewertung.