Vad är Microsoft Defender for Cloud?

Anteckning

Azure Security Center och Azure Defender nu Microsoft Defender för molnet. Vi har också bytt namn Azure Defender tillMicrosoft Defender-planer. Till exempel är Azure Defender för Storage nu Microsoft Defender för Storage.

Läs mer om det senaste namnet på Microsofts säkerhetstjänster.

Defender for Cloud är ett verktyg för hantering av säkerhetsstatus och skydd mot hot. Det förstärker säkerhetsstatusen för dina molnresurser och med dess integrerade Microsoft Defender-planer skyddar Defender for Cloud arbetsbelastningar som körs i Azure, hybridplattformar och andra molnplattformar.

Defender for Cloud tillhandahåller de verktyg som behövs för att härda dina resurser, spåra din säkerhetsstatus, skydda dig mot cyberattacker och effektivisera säkerhetshanteringen. Eftersom det är inbyggt är det enkelt att distribuera Defender for Cloud, vilket ger dig enkel automatisk etablering för att skydda dina resurser som standard.

Defender for Cloud fyller tre viktiga behov när du hanterar säkerheten för dina resurser och arbetsbelastningar i molnet och lokalt:

Förstå huvudfunktionerna i Microsoft Defender for Cloud.

Säkerhetskrav Defender för molnlösning
Kontinuerlig utvärdering – Förstå din aktuella säkerhetsstatus. Säkerhetspoäng – En enskild poäng så att du snabbt kan se din aktuella säkerhetssituation: ju högre poäng, desto lägre risknivå.
Skydda – Härda alla anslutna resurser och tjänster. Säkerhetsrekommendationer – Anpassade och prioriterade härdningsuppgifter för att förbättra din position. Du implementerar en rekommendation genom att följa de detaljerade reparationsstegen i rekommendationen. För många rekommendationer erbjuder Defender for Cloud knappen "Åtgärda" för automatiserad implementering!
Skydda – Identifiera och åtgärda hot mot dessa resurser och tjänster. Säkerhetsaviseringar – Med de förbättrade säkerhetsfunktionerna aktiverade identifierar Defender for Cloud hot mot dina resurser och arbetsbelastningar. Dessa aviseringar visas i Azure Portal och Defender for Cloud kan också skicka dem via e-post till relevant personal i din organisation. Aviseringar kan också strömmas till SIEM-, SOAR- eller IT Service Management-lösningar efter behov.

Hantering av och skydd av arbetsbelastningar

Funktionerna i Microsoft Defender för molnet omfattar de två breda grundpelarna för molnsäkerhet: hantering av molnsäkerhetsstatus och skydd av molnarbetsbelastningar.

Hantering av molnsäkerhetsstatus (CSPM)

I Defender for Cloud tillhandahåller hanteringsfunktionerna för hållning:

  • Synlighet – för att hjälpa dig att förstå din aktuella säkerhetssituation
  • Härdningsvägledning – för att hjälpa dig att effektivt förbättra din säkerhet

Den centrala funktionen i Defender for Cloud som gör att du kan uppnå dessa mål är säkerhetspoäng. Defender för molnet utvärderar kontinuerligt dina resurser, prenumerationer och organisationen och letar efter säkerhetsproblem. Sedan aggregeras alla resultat i en enda poäng så att du snabbt kan se din aktuella säkerhetssituation: ju högre poäng, desto lägre risknivå.

När du öppnar Defender for Cloud för första gången uppfyller den synligheten och de mål som följer:

  1. Generera en säkerhetspoäng för dina prenumerationer baserat på en utvärdering av dina anslutna resurser jämfört med vägledningen i Azure Security Benchmark. Använd poängen för att förstå din säkerhetsstatus och instrumentpanelen för efterlevnad för att granska din efterlevnad med det inbyggda prestandatestet. När du har aktiverat de förbättrade säkerhetsfunktionerna kan du anpassa de standarder som används för att utvärdera din efterlevnad och lägga till andra föreskrifter (till exempel NIST och Azure CIS) eller organisationsspecifika säkerhetskrav.

  2. Ge härdningsrekommendationer baserat på identifierade säkerhetsfelkonfigurationer och svagheter. Använd dessa säkerhetsrekommendationer för att förbättra säkerhetsstatusen för organisationens Azure-, hybrid- och multimolnresurser.

Läs mer om säkerhetspoäng.

Molnarbetsbelastningsskydd (CWP)

Defender for Cloud erbjuder säkerhetsaviseringar som drivs av Microsoft Threat Intelligence. Den innehåller också en mängd avancerade, intelligenta skydd för dina arbetsbelastningar. Arbetsbelastningsskydd tillhandahålls via Microsoft Defender-planer som är specifika för de olika typerna av resurser i dina prenumerationer. Du kan till exempel aktivera Microsoft Defender för Storage få aviseringar om misstänkta aktiviteter relaterade till dina Azure Storage konton.

Azure-, hybrid- och multimolnskydd

Eftersom Defender for Cloud är en azure-inbyggd tjänst övervakas och skyddas många Azure-tjänster utan att du behöver någon distribution.

Vid behov kan Defender for Cloud automatiskt distribuera en Log Analytics-agent för att samla in säkerhetsrelaterade data. För Azure-datorer hanteras distributionen direkt. För hybridmiljöer och miljöer med flera moln utökas Microsoft Defender-planer till datorer som inte är Azure-datorer med hjälp av Azure Arc. CSPM-funktioner utökas till datorer med flera moln utan att några agenter behövs (se Skydda resurser som körs i andra moln).

Azure-inbyggt skydd

Defender for Cloud hjälper dig att identifiera hot i:

  • Azure PaaS-tjänster – Identifiera hot mot Azure-tjänster som Azure App Service, Azure SQL, Azure Storage-konto och fler datatjänster. Du kan också utföra avvikelseidentifiering på dina Azure-aktivitetsloggar med hjälp av den inbyggda integreringen med Microsoft Defender för Molnappar (kallades tidigare för Microsoft Cloud App Security).

  • Azure-datatjänster – Defender for Cloud innehåller funktioner som hjälper dig att automatiskt klassificera dina data i Azure SQL. Du kan också få utvärderingar avseende potentiella säkerhetsrisker för Azure SQL- och lagringstjänster och rekommendationer för hur du löser dem.

  • Nätverk – Defender for Cloud hjälper dig att begränsa exponeringen för råstyrkattacker. Genom att minska åtkomsten till VM-portar med hjälp av just-in-time-VM-åtkomst kan du skydda ditt nätverk genom att förhindra onödig åtkomst. Du kan ange principer för säker åtkomst på valda portar enbart för behöriga användare, tillåtna käll-IP-adressintervall eller IP-adresser under en begränsad tidsperiod.

Skydda dina hybridresurser

Förutom att skydda din Azure-miljö kan du lägga till Defender for Cloud-funktioner i din hybridmolnmiljö för att skydda icke-Azure-servrar. För att hjälpa dig att fokusera på det viktigaste får du anpassad hotinformation och prioriterade aviseringar enligt din specifika miljö.

Om du vill utöka skyddet till lokala datorer distribuerar Azure Arc aktivera Defender för molnets förbättrade säkerhetsfunktioner. Läs mer i Lägga till icke-Azure-datorer med Azure Arc.

Skydda resurser som körs i andra moln

Defender for Cloud kan skydda resurser i andra moln (till exempel AWS och GCP).

Om du till exempel har anslutit ett Amazon Web Services (AWS)-konto till en Azure-prenumeration kan du aktivera något av följande skydd:

  • Defender for Clouds CSPM-funktioner utökar till dina AWS-resurser. Den här agentlösa planen utvärderar dina AWS-resurser enligt AWS-specifika säkerhetsrekommendationer och dessa ingår i dina säkerhetspoäng. Resurserna kommer också att utvärderas för kompatibilitet med inbyggda standarder som är specifika för AWS (AWS CIS, AWS PCI DSS och AWS Foundational Security Best Practices). Defender for Clouds tillgångsinventeringssida är en funktion med flera moln som hjälper dig att hantera dina AWS-resurser tillsammans med dina Azure-resurser.
  • Microsoft Defender för Kubernetes utökar sin identifiering av containerhot och avancerade försvar till dina Amazon EKS Linux-kluster.
  • Microsoft Defender för servrar ger hotidentifiering och avancerat skydd till dina Windows- och Linux EC2-instanser. Den här planen omfattar den integrerade licensen för Microsoft Defender för slutpunkt, säkerhetsbaslinjer och utvärderingar på operativsystemnivå, genomsökning av sårbarhetsbedömningar, anpassningsbara programkontroller (AAC), övervakning av filintegritet (FIM) med mera.

Läs mer om hur du ansluter dina AWS- och GCP-konton till Microsoft Defender for Cloud.

Sårbarhetsbedömning och hantering

Fokusera på utvärderingsfunktionerna i Microsoft Defender for Cloud.

Defender for Cloud innehåller lösningar för sårbarhetsbedömning för dina virtuella datorer, containerregister och SQL servrar som en del av de förbättrade säkerhetsfunktionerna. Några av skannrarna drivs av Qualys. Men du behöver ingen Qualys-licens eller ens ett Qualys-konto – allt hanteras sömlöst i Defender for Cloud.

Microsoft Defender för servrar innehåller automatisk, inbyggd integrering med Microsoft Defender för slutpunkt. Läs mer i Skydda dina slutpunkter med Defender for Clouds integrerade Identifiering och åtgärd på slutpunkt: Microsoft Defender för slutpunkt. När den här integreringen är aktiverad har du åtkomst till sårbarhetsresultaten från Microsoft Hantering av hot och säkerhetsrisker. Läs mer i Undersöka svagheter med Microsoft Defender för slutpunktens Hantering av hot och säkerhetsrisker.

Granska resultaten från dessa sårbarhetsskannrar och svara på dem alla från Defender for Cloud. Den här breda metoden för Defender for Cloud närmare att vara den enda fönsterrutan för alla dina molnsäkerhetsarbete.

Läs mer på följande sidor:

Fokusera på

Det tillhör grunderna i säkerhetsarbetet att känna till och skydda sina arbetsbelastningar, och utgångspunkten är att ha skräddarsydda säkerhetsprinciper på plats. Eftersom principer i Defender for Cloud bygger på Azure Policy-kontroller får du tillgång till hela omfånget och flexibiliteten i en principlösning i världsklass. I Defender for Cloud kan du ange att dina principer ska köras på hanteringsgrupper, mellan prenumerationer och till och med för en hel klientorganisation.

Defender for Cloud identifierar kontinuerligt nya resurser som distribueras i dina arbetsbelastningar och utvärderar om de är konfigurerade enligt bästa praxis för säkerhet. Annars flaggas de och du får en prioriterad lista med rekommendationer för vad du behöver åtgärda. Rekommendationer hjälper dig att minska angreppsytan för var och en av dina resurser.

Listan över rekommendationer är aktiverad och stöds av Azure Security Benchmark. Den här Microsoft-skribenterade, Azure-specifika benchmark-standarden innehåller en uppsättning riktlinjer för bästa praxis för säkerhet och efterlevnad baserat på vanliga ramverk för efterlevnad. Läs mer i Introduktion till Azure Security Benchmark.

På så sätt kan du med Defender for Cloud inte bara ange säkerhetsprinciper, utan även tillämpa säkra konfigurationsstandarder för dina resurser.

Defender for Cloud-rekommendationsexempel.

För att hjälpa dig att förstå hur viktigt varje rekommendation är för din övergripande säkerhetsstatus grupperar Defender for Cloud rekommendationerna i säkerhetskontroller och lägger till ett värde för säkerhetspoäng för varje kontroll. Detta är viktigt för att du ska kunna prioritera ditt säkerhetsarbete.

Defender for Cloud-säkerhetspoäng.

Skydda dig mot hot

Fokusera på

Defender for Cloud tillhandahåller:

  • Säkerhetsaviseringar – När Defender for Cloud identifierar ett hot i någon del av din miljö genereras en säkerhetsavisering. De här aviseringarna beskriver information om de berörda resurserna, föreslagna åtgärdssteg och i vissa fall ett alternativ för att utlösa en logikapp som svar. Oavsett om en avisering genereras av Defender for Cloud eller tas emot av Defender for Cloud från en integrerad säkerhetsprodukt kan du exportera den. Om du vill exportera dina aviseringar till Microsoft Sentinel, siem från tredje part eller något annat externt verktyg följer du anvisningarna i Stream-aviseringar till en SIEM-, SOAR- eller IT Service Management-lösning. Defender for Clouds hotskydd innehåller fusionsanalys av händelsekedjan, som automatiskt korrelerar aviseringar i din miljö baserat på cyberattackkedjeanalys, för att hjälpa dig att bättre förstå hela berättelsen om en attackkampanj, var den startade och vilken typ av påverkan den hade på dina resurser. Defender for Clouds avsikter för händelsekedjan som stöds baseras på version 7 av MITRE ATT CK-matris.

  • Avancerade funktioner för skydd mot hot för virtuella datorer, SQL-databaser, containrar, webbprogram, ditt nätverk med mera – Skydd omfattar skydd av hanteringsportar för dina virtuella datorer med just-in-time-åtkomstoch anpassningsbara programkontroller för att skapa tillåtna listor över vad appar ska och inte ska köras på dina datorer.

sidan Defender-planer i Microsoft Defender for Cloud finns följande planer för omfattande försvar för beräknings-, data- och tjänstlager i din miljö:

Använd panelerna för avancerat skydd på instrumentpanelen för arbetsbelastningsskydd för att övervaka och konfigurera vart och ett av dessa skydd.

Tips

Microsoft Defender for IoT är en separat produkt. All information finns i Introduktion till Microsoft Defender för IoT.

Nästa steg

  • För att komma igång med Defender for Cloud behöver du en prenumeration på Microsoft Azure. Om du inte har en prenumeration kan du registrera dig för en kostnadsfri utvärderingsversion.

  • Defender for Clouds kostnadsfria plan aktiveras för alla dina aktuella Azure-prenumerationer när du besöker sidorna Defender for Cloud i Azure Portal för första gången, eller om den aktiveras programmässigt via REST API. Om du vill dra nytta av avancerade funktioner för säkerhetshantering och hotidentifiering måste du aktivera de förbättrade säkerhetsfunktionerna. Dessa funktioner är kostnadsfria under de första 30 dagarna. Läs mer om prissättningen.

  • Om du är redo att aktivera förbättrade säkerhetsfunktioner nu kan du gå igenom stegen i Snabbstart: Aktivera förbättrade säkerhetsfunktioner.