什麼是適用於雲端的 Microsoft Defender?
適用於雲端的 Defender是安全性狀態管理和威脅防護的工具。 這能增強雲端資源的安全性態勢,並透過其整合的 Microsoft Defender 方案,使用適用於雲端的 Defender 來保護在 Azure、混合式和其他雲端平台中執行的工作負載。
適用於雲端的 Defender提供強化資源、追蹤安全性狀態、防範網路攻擊,以及簡化安全性管理所需的工具。 由於它是原生整合的,因此部署適用於雲端的 Defender很簡單,因此可讓您使用簡單的自動布建來保護預設的資源。
當您管理雲端和內部部署中資源和工作負載的安全性時,適用於雲端的 Defender會填入三個重要需求:
| 安全性需求 | 適用於雲端的 Defender解決方案 |
|---|---|
| 持續評量 - 瞭解您目前的安全性狀態。 | 安全分數 - 單一分數,可讓您一目了然地瞭解您目前的安全性情況:分數越高,識別的風險層級就越低。 |
| 安全 - 強化所有已連線的資源和服務。 | 安全性建議 - 自訂和排定優先順序的強化工作,以改善您的狀態。 您可以遵循建議中提供的詳細補救步驟來實作建議。 針對許多建議,適用於雲端的 Defender提供自動化實作的 [修正] 按鈕! |
| 防禦 - 偵測並解決這些資源和服務的威脅。 | 安全性警示- 啟用增強式安全性功能後,適用於雲端的 Defender偵測資源與工作負載的威脅。 這些警示會出現在Azure 入口網站中,適用於雲端的 Defender也可以透過電子郵件傳送給組織中的相關人員。 警示也可以視需要串流至 SIEM、SOAR 或 IT 服務管理解決方案。 |
狀態管理和工作負載保護
適用於雲端的 Microsoft Defender的功能涵蓋雲端安全性的兩大要素:雲端安全性狀態管理和雲端工作負載保護。
雲端安全性態勢管理 (CSPM)
在適用於雲端的 Defender中,狀態管理功能提供:
- 可見度 - 協助您瞭解目前的安全性情況
- 強化指引 - 協助您有效率且有效地改善安全性
適用於雲端的 Defender中可讓您達成這些目標的中央功能是安全分數。 適用於雲端的 Defender 會持續評估資源、訂用帳戶、組織的安全性問題。 然後將所有的發現彙總成一個分數,讓您可以立即得知目前的安全性情況:分數越高,風險層級越低。
當您第一次開啟適用於雲端的 Defender時,它將符合可見度和強化目標,如下所示:
根據已連線資源的評量,產生訂用帳戶的安全分數,相較于Azure 安全性效能評定中的指引。 使用分數來瞭解您的安全性狀態,以及合規性儀表板,以檢閱符合內建基準的合規性。 當您啟用增強的安全性功能時,您可以自訂用來評估合規性的標準,並新增其他法規 (,例如 NIST 和 Azure CIS) 或組織特定的安全性需求。 您也可以根據 AWS 基礎安全性最佳做法標準來套用建議和評分。
根據任何識別的安全性設定錯誤和弱點,提供強化建議。 使用這些安全性建議來強化組織 Azure、混合式和多雲端資源的安全性狀態。
雲端工作負載保護 (CWP)
適用於雲端的 Defender提供由 Microsoft 威脅情報提供的安全性警示。 它也包含一系列進階、智慧型、適用于您工作負載的保護。 Microsoft Defender 方案提供工作負載保護,並根據您的訂閱包含特定類型的資源。 例如,您可以啟用適用于 儲存體 的 Microsoft Defender,以收到與Azure 儲存體帳戶相關之可疑活動的警示。
Azure、混合式和多重雲端保護
因為適用於雲端的 Defender是 Azure 原生服務,所以許多 Azure 服務都會受到監視和保護,而不需要任何部署。
如有必要,適用於雲端的 Defender可以自動部署 Log Analytics 代理程式來收集安全性相關資料。 針對 Azure 機器,會直接處理部署。 針對混合式和多雲端環境,Microsoft Defender 方案會透過 Azure Arc的協助延伸至非 Azure 機器。CSPM 功能會延伸至多雲端電腦,而不需要任何代理程式 (請參閱 保護在其他雲端上執行的資源) 。
Azure 原生保護
適用於雲端的 Defender可協助您偵測下列威脅:
Azure PaaS 服務- 偵測以 Azure 服務為目標的威脅,包括Azure App 服務、Azure SQL、Azure 儲存體帳戶等資料服務。 您也可以使用與先前稱為Microsoft Cloud App Security) Microsoft Defender for Cloud Apps (的原生整合,對 Azure 活動記錄執行異常偵測。
Azure 資料服務- 適用於雲端的 Defender包含可協助您在Azure SQL中自動分類資料的功能。 您也可以取得所有 Azure SQL 和儲存體服務的潛在弱點評量,以及如何緩解的建議。
網路- 適用於雲端的 Defender可協助您限制遭受暴力密碼破解攻擊的風險。 藉由減少存取虛擬機器連接埠,使用 Just-In-Time VM 存取權,可以透過防止不必要的存取來強化您的網路。 您可以針對選取的連接埠設定安全存取原則,只限授權的使用者,允許的來源 IP 位址範圍或 IP 位址,在有限的時間內使用。
保護您的混合式資源
除了防禦 Azure 環境之外,您還可以將適用於雲端的 Defender功能新增至混合式雲端環境,以保護非 Azure 伺服器。 為了協助您專注于最重要的事項,您將根據您的特定環境取得自訂的威脅情報和優先順序警示。
若要將保護延伸至內部部署機器,請部署Azure Arc並啟用適用於雲端的 Defender增強的安全性功能。 若要深入了解,請參閱新增具有 Azure Arc 的非 Azure 機器。
保護在其他雲端上執行的資源
適用於雲端的 Defender可以保護其他雲端中的資源 (,例如 AWS 和 GCP) 。
例如,如果您已 將 Amazon Web Services (AWS) 帳戶連線 到 Azure 訂用帳戶,您可以啟用下列任何保護:
- 適用於雲端的 Defender的 CSPM 功能延伸至 AWS 資源。 此無代理程式計畫會根據 AWS 特定的安全性建議來評估 AWS 資源,這些建議會包含在您的安全分數中。 也會評估資源是否符合 AWS (AWS CIS、AWS PCI DSS 和 AWS 基礎安全性最佳做法) 專屬的內建標準。 適用於雲端的 Defender的資產清查頁面是一項多重雲端功能,可協助您在 Azure 資源旁邊管理 AWS 資源。
- 適用于 Kubernetes 的 Microsoft Defender 會將其容器威脅偵測和進階防禦延伸至 Amazon EKS Linux 叢集。
- 適用于伺服器的 Microsoft Defender會將威脅偵測和進階防禦帶入您的Windows和 Linux EC2 實例。 此方案包含適用於端點的 Microsoft Defender、安全性基準和作業系統層級評定、弱點評估掃描、AAC) 調適型應用程式控制 (、檔案完整性監視 (FIM) 等等的整合式授權。
深入瞭解如何將AWS和GCP帳戶連線到 適用於雲端的 Microsoft Defender。
弱點評量和管理
適用於雲端的 Defender包含虛擬機器、容器登錄和SQL伺服器的弱點評估解決方案,作為增強式安全性功能的一部分。 某些掃描器是由 Qualys 提供電源。 但您不需要 Qualys 授權,或甚至 Qualys 帳戶 - 所有專案在適用於雲端的 Defender內順暢地處理。
適用于伺服器的 Microsoft Defender 包含自動、原生與適用於端點的 Microsoft Defender整合。 深入瞭解:使用適用於雲端的 Defender整合式EDR解決方案保護您的端點:適用於端點的 Microsoft Defender。 啟用此整合後,您將能夠存取Microsoft 威脅與弱點管理的弱點結果。 如需深入了解,請參閱調查適用於端點的 Microsoft Defender 威脅與弱點管理中的弱點。
檢閱這些弱點掃描器的結果,並從適用於雲端的 Defender回應它們。 這種廣泛的方法讓適用於雲端的 Defender更接近您所有雲端安全性工作的單一窗格。
深入了解下列頁面的資訊:
透過設定建議的控制項來最佳化和改善安全性
其為安全性基本須知,並可確保工作負載安全無虞,而且一開始會備妥量身打造的安全性原則。 因為適用於雲端的 Defender中的原則是以Azure 原則控制項為基礎,所以您會獲得世界級原則解決方案的完整範圍和彈性。 在適用於雲端的 Defender中,您可以將原則設定為在管理群組上、跨訂用帳戶執行,甚至針對整個租使用者執行。
適用於雲端的 Defender會持續探索跨工作負載部署的新資源,並評估是否根據安全性最佳做法進行設定。 如果沒有,系統會標示它們,並取得所需修正專案的建議優先順序清單。 建議協助您減少每個資源的攻擊面。
Azure 安全性效能評定會啟用及支援建議清單。 此 Microsoft 撰寫的 Azure 特定基準測試會根據常見的合規性架構,提供一組安全性與合規性最佳做法的指導方針。 深入瞭解 Azure 安全性效能評定簡介。
如此一來,適用於雲端的 Defender不僅可讓您設定安全性原則,還能跨資源套用安全設定標準。
為了協助您瞭解每個建議對於整體安全性狀態的重要性,適用於雲端的 Defender將建議分組為安全性控制項,並將安全分數值新增至每個控制項。 這對於讓您排定安全性工作的順位十分重要。
防禦威脅
適用於雲端的 Defender提供:
安全性警示- 當適用於雲端的 Defender偵測到環境中任何區域中的威脅時,它會產生安全性警示。 這些警示會說明受影響資源的詳細資料、建議的補救步驟,以及在某些情況下會說明觸發邏輯應用程式以進行回應的選項。 不論警示是由適用於雲端的 Defender所產生,還是由適用於雲端的 Defender從整合式安全性產品接收,您都可以匯出警示。 若要將您的警示匯出至 Microsoft Sentinel、任何協力廠商 SIEM 或任何其他外部工具,請遵循將 警示串流至 SIEM、SOAR 或 IT 服務管理解決方案中的指示。 適用於雲端的 Defender的威脅防護包括融合終止鏈分析,其會自動根據網路終止鏈分析將環境中的警示相互關聯,以協助您進一步瞭解攻擊活動的完整案例、其開始位置,以及對資源的影響種類。 適用於雲端的 Defender支援的終止鏈結意圖是以 MITRE ATTCK & 矩陣的第 9 版為基礎。
虛擬機器、SQL資料庫、容器、Web 應用程式、網路等的進階威脅防護功能- 保護包含使用Just-In-Time 存取保護 VM 的管理埠,以及彈性應用程式控制,以建立應用程式應該和不應該在機器上執行之應用程式的允許清單。
適用於雲端的 Microsoft Defender的Defender 方案頁面提供下列方案,可針對您環境的計算、資料和服務層級提供完整的防禦:
- 適用于伺服器的 Microsoft Defender
- 適用於儲存體的 Microsoft Defender
- 適用於 SQL 的 Microsoft Defender
- 適用於容器的 Microsoft Defender
- 適用於 App Service 的 Microsoft Defender
- 適用於 Key Vault 的 Microsoft Defender
- 適用於 Resource Manager 的 Microsoft Defender
- 適用於 DNS 的 Microsoft Defender
- 適用於開放原始碼關聯式資料庫的 Microsoft Defender
- 適用于 Azure 的 Microsoft Defender Cosmos DB (Preview)
使用 工作負載保護儀表板 中的進階保護圖格來監視和設定這些保護。
提示
適用于 IoT 的 Microsoft Defender 是個別的產品。 您可以在 介紹適用于 IoT 的 Microsoft Defender中找到所有詳細資料。
下一步
若要開始使用適用於雲端的 Defender,您需要訂用帳戶才能Microsoft Azure。 如果您沒有訂用帳戶, 請註冊免費試用。
當您第一次流覽Azure 入口網站中的適用於雲端的 Defender頁面,或透過 REST API 以程式設計方式啟用時,適用於雲端的 Defender的免費方案會在您目前的 Azure 訂用帳戶上啟用。 若要利用進階安全性管理和威脅偵測功能,您必須啟用增強的安全性功能。 這些功能在前 30 天內是免費的。 深入瞭解定價。
如果您已準備好立即啟用增強式安全性功能, 快速入門:啟用增強的安全性功能 會逐步引導您完成步驟。