什麼是適用于雲端的 Microsoft Defender?

注意

Azure 資訊安全中心和 Azure Defender 現在稱為「 適用于雲端的 Microsoft Defender」。 我們也已將 Azure defender 方案重新命名為 Microsoft defender 方案。 例如,適用于儲存體的 Azure Defender 現在是適用于儲存體的 Microsoft Defender。 深入瞭解 Microsoft 安全性服務最近的重新命名。

Defender for Cloud 是一種安全性狀態管理和威脅防護的工具。 它能增強雲端資源的安全性狀態,並透過其整合的 Microsoft Defender 方案,使用 Defender for Cloud 來保護在 Azure、混合式和其他雲端平臺中執行的工作負載。

Defender for Cloud 提供強化資源所需的工具、追蹤您的安全性狀態、抵禦網路攻擊,以及簡化安全性管理。 因為它是原生整合的,所以部署適用于雲端的 Defender 很容易,提供您簡單的自動布建,以根據預設保護您的資源。

當您在雲端和內部部署中管理資源和工作負載的安全性時,適用于雲端的 Defender 會填滿三項重要需求:

Understanding the core functionality of Microsoft Defender for Cloud.

安全性需求 適用于雲端解決方案的 Defender
持續評 量-瞭解您目前的安全性狀況。 安全分數 -單一分數,讓您可以一目了然目前的安全性狀況:分數愈高,識別的風險層級愈低。
安全 地強化所有連接的資源與服務。 安全性建議 -自訂和優先的強化工作,以改善您的狀態。 您可以遵循建議中提供的詳細補救步驟來執行建議。 針對許多建議,適用于雲端的 Defender 提供「修正」按鈕來進行自動化的執行!
保護 -偵測和解決這些資源和服務的威脅。 安全性警示 -啟用增強式安全性功能之後,Defender for Cloud 會偵測對您資源和工作負載的威脅。 這些警示會顯示在 Azure 入口網站中,而 Defender for Cloud 也可以透過電子郵件傳送給組織中的相關人員來傳送這些警示。 警示也可以視需要串流至 SIEM、SOAR 或 IT 服務管理解決方案。

狀態管理和工作負載保護

適用于雲端的 Microsoft Defender 功能涵蓋兩個廣泛的雲端安全性要素:雲端安全性狀態管理和雲端工作負載保護。

雲端安全性態勢管理 (CSPM)

在適用于雲端的 Defender 中,狀況管理功能提供:

  • 可見度 -協助您瞭解目前的安全性狀況
  • 強化指引 -協助您有效率且有效地改善安全性

Defender for Cloud 中的主要功能,可讓您達成這些目標的 安全分數。 適用於雲端的 Defender 會持續評估資源、訂用帳戶、組織的安全性問題。 然後將所有的發現彙總成一個分數,讓您可以立即得知目前的安全性情況:分數越高,風險層級越低。

當您第一次開啟 Defender for Cloud 時,它會符合可見度和強化的目標,如下所示:

  1. 根據Azure 安全性基準測試中的指導方針,針對您的訂用帳戶評量來產生安全分數。 使用分數以瞭解您的安全性狀態,並使用合規性儀表板來檢查您是否符合內建基準測試。 當您啟用增強的安全性功能時,您可以自訂用來評估合規性的標準,並新增其他法規 (例如 NIST 和 Azure CIS) 或組織特定的安全性需求。

  2. 根據任何已識別的安全性錯誤和缺點來提供強化建議。 使用這些安全性建議來加強組織的 Azure、混合式和多重雲端資源的安全性狀態。

深入了解安全分數

雲端工作負載保護 (CWP)

適用于雲端的 Defender 提供由 Microsoft 威脅情報提供技術支援的安全性警示。 它也包含您工作負載的一系列先進、智慧型、保護。 工作負載保護是透過訂用帳戶中的資源類型專屬的 Microsoft Defender 方案提供。 例如,您可以啟用Microsoft Defender for 儲存體,以取得與您的 Azure 儲存體帳戶相關的可疑活動警示。

Azure、混合式和多重雲端保護

因為適用于雲端的 Defender 是 Azure 原生服務,所以許多 Azure 服務都會受到監視和保護,而不需要進行任何部署。

必要時,適用于雲端的 Defender 可以自動部署 Log Analytics 代理程式,以收集安全性相關資料。 若為 Azure 機器,則會直接處理部署。 針對混合式和多重雲端環境,Microsoft Defender 方案會透過 Azure Arc的協助延伸至非 Azure 電腦。CSPM 功能會擴充至多雲端電腦,而不需要任何代理程式 (請參閱 保護在其他雲端上執行的資源) 。

Azure-原生保護

適用于雲端的 Defender 可協助您偵測到的威脅:

  • azure PaaS 服務-針對 azure 服務(包括 Azure App Service、Azure SQL、Azure 儲存體帳戶和更多資料服務)偵測到威脅。 您也可以使用適用于雲端應用程式的 Microsoft Defender 原生整合,在 Azure 活動記錄中執行異常偵測 (先前稱為 Microsoft Cloud App Security) 。

  • Azure 資料服務-適用于雲端的 Defender 包含可協助您在 Azure SQL 中自動分類資料的功能。 您也可以取得所有 Azure SQL 和儲存體服務的潛在弱點評量,以及如何緩解的建議。

  • 網路 -Defender for Cloud 可協助您限制遭受暴力密碼破解攻擊。 藉由減少存取虛擬機器連接埠,使用 Just-In-Time VM 存取權,可以透過防止不必要的存取來強化您的網路。 您可以針對選取的連接埠設定安全存取原則,只限授權的使用者,允許的來源 IP 位址範圍或 IP 位址,在有限的時間內使用。

保護您的混合式資源

除了保護您的 Azure 環境,您還可以將適用于雲端功能的 Defender 新增至混合式雲端環境,以保護您的非 Azure 伺服器。 為了協助您專注于最重要的內容,您將會根據您的特定環境,取得自訂的威脅情報和優先的警示。

若要將保護擴充至內部部署機器,請部署 Azure Arc ,並為雲端的增強式安全性功能啟用 Defender。 若要深入了解,請參閱新增具有 Azure Arc 的非 Azure 機器

保護其他雲端上執行的資源

適用于雲端的 Defender 可以保護其他雲端中的資源 (例如 AWS 和 GCP) 。

例如,如果您已將 Amazon Web Services (AWS) 帳戶連線 至 Azure 訂用帳戶,您可以啟用下列任何一項保護:

  • 適用于雲端 CSPM 功能的 Defender 會延伸至您的 AWS 資源。 此無代理程式計畫會根據 AWS 特定的安全性建議來評估您的 AWS 資源,這些建議會包含在您的安全分數中。 此外,也會根據 AWS (AWS CIS、AWS PCI DSS 和 AWS 基礎安全性最佳作法) 的內建標準,評估這些資源是否符合規範。 適用于雲端的 資產清查頁面 的 Defender 是啟用多雲端的功能,可協助您與 Azure 資源一起管理您的 AWS 資源。
  • 適用于 Kubernetes 的 Microsoft Defender 會將其容器威脅偵測和 advanced 防禦擴充到 Amazon EKS Linux叢集。
  • 適用于伺服器的 Microsoft Defender 針對您的 Windows 和 Linux EC2 實例帶來威脅偵測和先進的防禦。 此方案包含適用于端點的 Microsoft Defender 整合式授權、安全性基準和 OS 層級評量、弱點評定掃描、適應性應用程式控制 (AAC) 、檔案完整性監視 (FIM) 等。

深入瞭解如何將 AWSGCP 帳戶連接至適用于雲端的 Microsoft Defender。

弱點評量和管理

Focus on the assessment features of Microsoft Defender for Cloud.

適用于雲端的 Defender 包含虛擬機器、容器登錄和 SQL 伺服器的弱點評定解決方案,作為增強式安全性功能的一部分。 某些掃描程式是由 Qualys 提供技術支援。 但您不需要 Qualys 授權,或甚至是 Qualys 帳戶-所有專案都是在適用于雲端的 Defender 內無縫處理。

適用于伺服器的 microsoft Defender 包含自動與 Microsoft Defender for Endpoint 的原生整合。 深入瞭解如何使用 Defender 針對雲端的整合式 EDR 解決方案來保護您的端點: Microsoft defender for Endpoint。 啟用此整合之後,您就可以存取Microsoft 威脅與弱點管理的弱點結果。 深入瞭解Microsoft Defender for Endpoint 威脅與弱點管理的弱點

查看這些弱點掃描程式的結果,並從適用于雲端的 Defender 內全部回應。 這種廣泛的方法讓 Defender for Cloud 更接近您所有雲端安全性工作的單一窗格。

深入了解下列頁面的資訊:

Focus on the 'secure' features of Microsoft Defender for Cloud.

其為安全性基本須知,並可確保工作負載安全無虞,而且一開始會備妥量身打造的安全性原則。 由於 Defender for Cloud 中的原則建置於 Azure 原則控制項之上,因此您將獲得 世界級原則解決方案的完整範圍和彈性。 在「適用于雲端的 Defender」中,您可以將原則設定為在管理群組上、跨訂用帳戶,甚至是針對整個租使用者執行。

適用于雲端的 Defender 會持續探索在您的工作負載中部署的新資源,並評估是否根據安全性最佳作法進行設定。 如果不是,則會將它們加上旗標,並針對您需要修正的內容取得優先的建議清單。 建議可協助您減少每個資源之間的受攻擊面。

建議清單會由 Azure 安全性基準測試啟用和支援。 這份 Microsoft 所撰寫的 Azure 專屬基準測試,提供一組以通用合規性架構為基礎的安全性和合規性最佳作法指導方針。 深入瞭解 Azure 安全性基準測試

如此一來,適用于雲端的 Defender 可讓您不只是設定安全性原則,還可以在 資源之間套用安全的設定標準。

Defender for Cloud recommendation example.

為了協助您瞭解每個建議對整體安全性狀態的重要性,Defender for Cloud 將建議納入安全性控制,並將 安全分數 值新增至每個控制項。 這對於讓您排定安全性工作的順位十分重要。

Defender for Cloud secure score.

抵禦威脅

Focus on the 'defend'' features of Microsoft Defender for Cloud.

適用于雲端的 Defender 提供:

  • 安全性警示 -當 Defender for Cloud 偵測到環境中任何區域的威脅時,它會產生安全性警示。 這些警示會說明受影響資源的詳細資料、建議的補救步驟,以及在某些情況下會說明觸發邏輯應用程式以進行回應的選項。 無論是由 Defender 針對雲端產生警示,或是由適用于雲端的 Defender 從整合式安全性產品所接收,您都可以匯出警示。 若要將警示匯出至 Microsoft Sentinel、任何協力廠商 SIEM 或任何其他外部工具,請依照將 警示串流至 SIEM、SOAR 或 IT 服務管理解決方案中的指示進行。 Defender for Cloud 的威脅防護包括融合的終止鏈分析,它會根據網路終止鏈分析自動將您環境中的警示相互關聯,以協助您進一步瞭解攻擊活動的完整故事、其開始位置,以及對您的資源有何影響。 適用于雲端支援之終止鏈意圖的 Defender 是以 MITRE 的第7版為基礎 ATT CK 矩陣。

  • 適用于虛擬機器、SQL 資料庫、容器、web 應用程式、您的網路及更多保護的Advanced 威脅防護功能包括使用即時存取保護您 vm 的管理埠,以及針對您的電腦上應該執行的應用程式建立 allowlists。

適用于雲端的 Microsoft Defender [ defender 方案 ] 頁面提供下列計畫,適用于您環境的計算、資料和服務層級的完整防禦機制:

使用 工作負載保護儀表板 中的 [advanced protection] 磚來監視和設定這些保護。

提示

適用于 IoT 的 Microsoft Defender 是不同的產品。 您可以在 介紹適用于 IoT 的 Microsoft Defender 簡介中找到所有詳細資料。

下一步

  • 若要開始使用 Defender for Cloud,您需要訂用帳戶才能 Microsoft Azure。 如果您沒有訂用帳戶,請 註冊免費試用版

  • 當您第一次造訪 Azure 入口網站中的 Defender for Cloud 頁面,或透過 REST API 以程式設計方式啟用時,您目前所有 Azure 訂用帳戶都會啟用 defender for Cloud 的免費方案。 若要利用先進的安全性管理和威脅偵測功能,您必須啟用增強的安全性功能。 這些功能在前30天免費。 深入瞭解定價

  • 如果您已準備好啟用增強式安全性功能, 快速入門:啟用增強式安全性功能 會逐步引導您完成這些步驟。