Вопросы и ответы — общие вопросы о Microsoft Defender для облака

Что такое Microsoft Defender для облака?

Microsoft Defender для облака помогает предотвращать и обнаруживать угрозы, а также реагировать на них, одновременно повышая отслеживаемость и безопасность ресурсов. Он включает встроенные функции мониторинга безопасности и управления политиками для подписок, помогает выявлять угрозы, которые в противном случае могли бы оказаться незамеченными, и взаимодействует с широким комплексом решений по обеспечению безопасности.

Defender для облака использует агент Log Analytics для получения и хранения данных. Подробные сведения см. в разделе Сбор данных в Microsoft Defender для облака.

Как получить Microsoft Defender для облака?

Microsoft Defender для облака включается в составе подписки Microsoft Azure и доступен на портале Azure. Чтобы получить к нему доступ, войдите на портал, выберите Обзор и прокрутите экран до пункта Defender для облака.

Какие ресурсы Azure отслеживает Microsoft Defender для облака?

Microsoft Defender для облака наблюдает за следующими ресурсами Azure:

Как увидеть текущее состояние безопасности ресурсов Azure?

На странице Обзор Defender для облака показан общий уровень защищенности вашей среды с детализацией по вычислительным ресурсам, сетевым ресурсам, хранилищам & данным и приложениям. Каждый тип ресурсов имеет индикатор, указывающий на обнаруженные уязвимости. При выборе любой из плиток отображается список проблем безопасности, обнаруженных приложением Defender для облака, а также перечень ресурсов в вашей подписке.

Что такое инициатива безопасности?

Инициатива по безопасности определяет набор элементов управления (политик), которые рекомендуются для ресурсов в указанной подписке. В Microsoft Defender для облака вы можете назначать инициативы для подписок Azure в соответствии с требованиями безопасности вашей организации, типом приложений и конфиденциальностью данных в каждой подписке.

Политики безопасности, включенные в Microsoft Defender для облака, позволяют получать рекомендации по обеспечению безопасности и осуществлять мониторинг. Дополнительные сведения см. в разделе Что такое политики безопасности, инициативы и рекомендации?.

Кто может изменять политику безопасности?

Изменить политику безопасности может пользователь с правами администратора безопасности или владельца этой подписки.

Дополнительные сведения о настройке политики безопасности см. в разделе Настройка политик безопасности в Microsoft Defender для облака.

Что такое рекомендация по безопасности?

Microsoft Defender для облака анализирует состояние безопасности ресурсов Azure. При обнаружении потенциальной уязвимости системы безопасности создаются рекомендации. Рекомендации помогают выполнить процедуру настройки необходимого средства контроля. Ниже приведены некоторые примеры.

  • Подготовка антивредоносного ПО помогает обнаруживать и устранять вредоносные программы.
  • Группы безопасности сети и правила для управления трафиком виртуальных машин.
  • Подготовка брандмауэра веб-приложения для защиты от атак на веб-приложения
  • Развертывание отсутствующих обновлений системы
  • Обращение к конфигурациям операционной системы, не соответствующих рекомендуемым базовым показателям

Здесь отображаются только рекомендации, включенные в политиках безопасности.

Что инициирует оповещение системы безопасности?

Microsoft Defender для облака автоматически собирает, анализирует и объединяет данные журнала из ресурсов Azure, сети и решений партнеров, таких как программы защиты от вредоносных программ и брандмауэры. При обнаружении угроз создается оповещение системы безопасности. Например, определяется следующее.

  • Обращение взломанных виртуальных машин к опасному IP-адресу
  • Обнаружение сложных вредоносных программ с использованием отчетов об ошибках Windows
  • Грубые атаки на виртуальные машины
  • Оповещения системы безопасности, отправленные встроенными партнерскими решениями обеспечения безопасности, такими как защита от вредоносных программ или брандмауэры веб-приложений

Какова разница между угрозами, которые обнаруживаются и о которых сообщают Microsoft Security Response Center и Microsoft Defender для облака?

Microsoft Security Response Center (MSRC) проводит выборочный мониторинг безопасности сети и инфраструктуры Azure и получает аналитические данные об угрозах и жалобы о нарушениях от третьих лиц. Когда MSRC узнает о том, что к данным клиента обращались незаконно или без соответствующих разрешений или что использование клиентом Azure не соответствует условиям допустимого использования, диспетчер инцидентов безопасности уведомляет об этом клиента. Уведомление обычно происходит путем отправки электронного сообщения контактным лицам по вопросам безопасности, указанным в Microsoft Defender для облака, или владельцу подписки Azure, если контактное лицо по вопросам безопасности не указано.

Defender для облака — это служба Azure, которая постоянно следит за средой Azure клиента и использует средства аналитики для автоматического обнаружения широкого спектра потенциально вредоносных действий. Такие обнаружения регистрируются как оповещения системы безопасности на панели мониторинга защиты рабочих нагрузок.