Defender for Cloud应用如何帮助保护 Azure 环境
注意
我们重命名了Microsoft Cloud App Security。 现在称为Microsoft Defender for Cloud Apps。 在接下来的几周内,我们将更新此处和相关页面中的屏幕截图和说明。 有关更改的详细信息,请参阅 此公告。 若要了解有关 Microsoft 安全服务最近重命名的详细信息,请参阅 Microsoft Ignite Security 博客。
Microsoft Defender for Cloud Apps现在是Microsoft 365 Defender的一部分。 Microsoft 365 Defender门户允许安全管理员在一个位置执行其安全任务。 这将简化工作流,并添加其他Microsoft 365 Defender服务的功能。 Microsoft 365 Defender是监视和管理 Microsoft 标识、数据、设备、应用和基础结构安全性的家。 有关这些更改的详细信息,请参阅Microsoft 365 Defender中的Microsoft Defender for Cloud Apps。
Azure 是一个 IaaS 提供商,使组织能够在云中托管和管理其整个工作负荷。 除了利用云中的基础结构的好处外,组织最关键的资产也可能暴露在威胁中。 公开的资产包括具有潜在敏感信息的存储实例、运行某些最关键应用程序、端口和虚拟专用网络的计算资源,这些实例支持访问组织。
将 Azure 连接到 Defender for Cloud 应用有助于保护资产,并通过监视管理和登录活动、通知可能的暴力攻击、恶意使用特权用户帐户和异常删除 VM 来检测潜在威胁。
主要威胁
- 滥用云资源
- 已泄露的帐户和内部威胁
- 数据泄露
- 资源配置错误和访问控制不足
Defender for Cloud应用如何帮助保护环境
使用内置策略和策略模板控制 Azure
可以使用以下内置策略模板来检测和通知潜在威胁:
| 类型 | 名称 |
|---|---|
| 内置异常情况检测策略 | 来自匿名 IP 地址的活动 来自不常用国家/地区的活动 来自可疑 IP 地址的活动 由终止的用户 (执行的活动需要 idP) Azure Active Directory 多次失败的登录尝试 异常管理活动 (预览版) 的异常多个存储删除活动 多个删除 VM 活动 (预览版) 的异常多个 VM 创建活动 |
有关创建策略的详细信息,请参阅 创建策略。
安全建议
Defender for Cloud应用提供了 Azure 平台的租户级视图,其中列出了租户中所有 Azure 订阅的安全建议。 可以根据 Azure 安全基准对 100 多个 Azure 资源使用现成的 Azure 安全建议,以及 自定义建议。 现成的建议包括以下资源类型:虚拟机、标识和访问、数据和存储、计算和应用、网络、容器和应用服务。
应持续查看安全建议,以评估和评估平台安全状况的当前状态,并确定重要的配置差距。 然后,应创建一个计划来缓解 Azure 平台中的问题。
有关详细信息,请参阅 Azure 建议指南 和 Azure 安全建议。
自动执行治理控制
除了监视潜在威胁之外,还可以应用并自动执行以下 Azure 治理操作来修正检测到的威胁:
| 类型 | 操作 |
|---|---|
| 用户管理 | - 通过 Azure AD) 通知用户警报 ( - 要求用户通过 Azure AD) 再次登录 ( - 通过 Azure AD) 暂停用户 ( |
有关从应用修正威胁的详细信息,请参阅 管理连接的应用。
实时保护 Azure
查看有关 保护外部用户并与外部用户协作 的最佳做法, 并阻止和保护将敏感数据下载到非托管或有风险的设备。