什麼是適用於雲端的 Microsoft Defender?

適用於雲端的 Defender是安全性狀態管理和威脅防護的工具。 這能增強雲端資源的安全性態勢,並透過其整合的 Microsoft Defender 方案,使用適用於雲端的 Defender 來保護在 Azure、混合式和其他雲端平台中執行的工作負載。

適用於雲端的 Defender提供強化資源、追蹤安全性狀態、防範網路攻擊,以及簡化安全性管理所需的工具。 由於它是原生整合的,因此部署適用於雲端的 Defender很簡單,因此可讓您使用簡單的自動布建來保護預設的資源。

當您管理雲端和內部部署中資源和工作負載的安全性時,適用於雲端的 Defender會填入三個重要需求:

Understanding the core functionality of Microsoft Defender for Cloud.

安全性需求 適用於雲端的 Defender解決方案
持續評量 - 瞭解您目前的安全性狀態。 安全分數 - 單一分數,可讓您一目了然地瞭解您目前的安全性情況:分數越高,識別的風險層級就越低。
安全 - 強化所有已連線的資源和服務。 安全性建議 - 自訂和排定優先順序的強化工作,以改善您的狀態。 您可以遵循建議中提供的詳細補救步驟來實作建議。 針對許多建議,適用於雲端的 Defender提供自動化實作的 [修正] 按鈕!
防禦 - 偵測並解決這些資源和服務的威脅。 安全性警示- 啟用增強式安全性功能後,適用於雲端的 Defender偵測資源與工作負載的威脅。 這些警示會出現在Azure 入口網站中,適用於雲端的 Defender也可以透過電子郵件傳送給組織中的相關人員。 警示也可以視需要串流至 SIEM、SOAR 或 IT 服務管理解決方案。

狀態管理和工作負載保護

適用於雲端的 Microsoft Defender的功能涵蓋雲端安全性的兩大要素:雲端安全性狀態管理和雲端工作負載保護。

雲端安全性態勢管理 (CSPM)

在適用於雲端的 Defender中,狀態管理功能提供:

  • 可見度 - 協助您瞭解目前的安全性情況
  • 強化指引 - 協助您有效率且有效地改善安全性

適用於雲端的 Defender中可讓您達成這些目標的中央功能是安全分數。 適用於雲端的 Defender 會持續評估資源、訂用帳戶、組織的安全性問題。 然後將所有的發現彙總成一個分數,讓您可以立即得知目前的安全性情況:分數越高,風險層級越低。

當您第一次開啟適用於雲端的 Defender時,它將符合可見度和強化目標,如下所示:

  1. 根據已連線資源的評量,產生訂用帳戶的安全分數,相較于Azure 安全性效能評定中的指引。 使用分數來瞭解您的安全性狀態,以及合規性儀表板,以檢閱符合內建基準的合規性。 當您啟用增強的安全性功能時,您可以自訂用來評估合規性的標準,並新增其他法規 (,例如 NIST 和 Azure CIS) 或組織特定的安全性需求。 您也可以根據 AWS 基礎安全性最佳做法標準來套用建議和評分。

  2. 根據任何識別的安全性設定錯誤和弱點,提供強化建議。 使用這些安全性建議來強化組織 Azure、混合式和多雲端資源的安全性狀態。

深入了解安全分數

雲端工作負載保護 (CWP)

適用於雲端的 Defender提供由 Microsoft 威脅情報提供的安全性警示。 它也包含一系列進階、智慧型、適用于您工作負載的保護。 Microsoft Defender 方案提供工作負載保護,並根據您的訂閱包含特定類型的資源。 例如,您可以啟用適用于 儲存體 的 Microsoft Defender,以收到與Azure 儲存體帳戶相關之可疑活動的警示。

Azure、混合式和多重雲端保護

因為適用於雲端的 Defender是 Azure 原生服務,所以許多 Azure 服務都會受到監視和保護,而不需要任何部署。

如有必要,適用於雲端的 Defender可以自動部署 Log Analytics 代理程式來收集安全性相關資料。 針對 Azure 機器,會直接處理部署。 針對混合式和多雲端環境,Microsoft Defender 方案會透過 Azure Arc的協助延伸至非 Azure 機器。CSPM 功能會延伸至多雲端電腦,而不需要任何代理程式 (請參閱 保護在其他雲端上執行的資源) 。

Azure 原生保護

適用於雲端的 Defender可協助您偵測下列威脅:

  • Azure PaaS 服務- 偵測以 Azure 服務為目標的威脅,包括Azure App 服務、Azure SQL、Azure 儲存體帳戶等資料服務。 您也可以使用與先前稱為Microsoft Cloud App Security) Microsoft Defender for Cloud Apps (的原生整合,對 Azure 活動記錄執行異常偵測。

  • Azure 資料服務- 適用於雲端的 Defender包含可協助您在Azure SQL中自動分類資料的功能。 您也可以取得所有 Azure SQL 和儲存體服務的潛在弱點評量,以及如何緩解的建議。

  • 網路- 適用於雲端的 Defender可協助您限制遭受暴力密碼破解攻擊的風險。 藉由減少存取虛擬機器連接埠,使用 Just-In-Time VM 存取權,可以透過防止不必要的存取來強化您的網路。 您可以針對選取的連接埠設定安全存取原則,只限授權的使用者,允許的來源 IP 位址範圍或 IP 位址,在有限的時間內使用。

保護您的混合式資源

除了防禦 Azure 環境之外,您還可以將適用於雲端的 Defender功能新增至混合式雲端環境,以保護非 Azure 伺服器。 為了協助您專注于最重要的事項,您將根據您的特定環境取得自訂的威脅情報和優先順序警示。

若要將保護延伸至內部部署機器,請部署Azure Arc並啟用適用於雲端的 Defender增強的安全性功能。 若要深入了解,請參閱新增具有 Azure Arc 的非 Azure 機器

保護在其他雲端上執行的資源

適用於雲端的 Defender可以保護其他雲端中的資源 (,例如 AWS 和 GCP) 。

例如,如果您已 將 Amazon Web Services (AWS) 帳戶連線 到 Azure 訂用帳戶,您可以啟用下列任何保護:

  • 適用於雲端的 Defender的 CSPM 功能延伸至 AWS 資源。 此無代理程式計畫會根據 AWS 特定的安全性建議來評估 AWS 資源,這些建議會包含在您的安全分數中。 也會評估資源是否符合 AWS (AWS CIS、AWS PCI DSS 和 AWS 基礎安全性最佳做法) 專屬的內建標準。 適用於雲端的 Defender的資產清查頁面是一項多重雲端功能,可協助您在 Azure 資源旁邊管理 AWS 資源。
  • 適用于 Kubernetes 的 Microsoft Defender 會將其容器威脅偵測和進階防禦延伸至 Amazon EKS Linux 叢集
  • 適用于伺服器的 Microsoft Defender會將威脅偵測和進階防禦帶入您的Windows和 Linux EC2 實例。 此方案包含適用於端點的 Microsoft Defender、安全性基準和作業系統層級評定、弱點評估掃描、AAC) 調適型應用程式控制 (、檔案完整性監視 (FIM) 等等的整合式授權。

深入瞭解如何將AWSGCP帳戶連線到 適用於雲端的 Microsoft Defender。

弱點評量和管理

Focus on the assessment features of Microsoft Defender for Cloud.

適用於雲端的 Defender包含虛擬機器、容器登錄和SQL伺服器的弱點評估解決方案,作為增強式安全性功能的一部分。 某些掃描器是由 Qualys 提供電源。 但您不需要 Qualys 授權,或甚至 Qualys 帳戶 - 所有專案在適用於雲端的 Defender內順暢地處理。

適用于伺服器的 Microsoft Defender 包含自動、原生與適用於端點的 Microsoft Defender整合。 深入瞭解:使用適用於雲端的 Defender整合式EDR解決方案保護您的端點:適用於端點的 Microsoft Defender。 啟用此整合後,您將能夠存取Microsoft 威脅與弱點管理的弱點結果。 如需深入了解,請參閱調查適用於端點的 Microsoft Defender 威脅與弱點管理中的弱點

檢閱這些弱點掃描器的結果,並從適用於雲端的 Defender回應它們。 這種廣泛的方法讓適用於雲端的 Defender更接近您所有雲端安全性工作的單一窗格。

深入了解下列頁面的資訊:

Focus on the 'secure' features of Microsoft Defender for Cloud.

其為安全性基本須知,並可確保工作負載安全無虞,而且一開始會備妥量身打造的安全性原則。 因為適用於雲端的 Defender中的原則是以Azure 原則控制項為基礎,所以您會獲得世界級原則解決方案的完整範圍和彈性。 在適用於雲端的 Defender中,您可以將原則設定為在管理群組上、跨訂用帳戶執行,甚至針對整個租使用者執行。

適用於雲端的 Defender會持續探索跨工作負載部署的新資源,並評估是否根據安全性最佳做法進行設定。 如果沒有,系統會標示它們,並取得所需修正專案的建議優先順序清單。 建議協助您減少每個資源的攻擊面。

Azure 安全性效能評定會啟用及支援建議清單。 此 Microsoft 撰寫的 Azure 特定基準測試會根據常見的合規性架構,提供一組安全性與合規性最佳做法的指導方針。 深入瞭解 Azure 安全性效能評定簡介

如此一來,適用於雲端的 Defender不僅可讓您設定安全性原則,還能跨資源套用安全設定標準

Defender for Cloud recommendation example.

為了協助您瞭解每個建議對於整體安全性狀態的重要性,適用於雲端的 Defender將建議分組為安全性控制項,並將安全分數值新增至每個控制項。 這對於讓您排定安全性工作的順位十分重要。

Defender for Cloud secure score.

防禦威脅

Focus on the 'defend'' features of Microsoft Defender for Cloud.

適用於雲端的 Defender提供:

  • 安全性警示- 當適用於雲端的 Defender偵測到環境中任何區域中的威脅時,它會產生安全性警示。 這些警示會說明受影響資源的詳細資料、建議的補救步驟,以及在某些情況下會說明觸發邏輯應用程式以進行回應的選項。 不論警示是由適用於雲端的 Defender所產生,還是由適用於雲端的 Defender從整合式安全性產品接收,您都可以匯出警示。 若要將您的警示匯出至 Microsoft Sentinel、任何協力廠商 SIEM 或任何其他外部工具,請遵循將 警示串流至 SIEM、SOAR 或 IT 服務管理解決方案中的指示。 適用於雲端的 Defender的威脅防護包括融合終止鏈分析,其會自動根據網路終止鏈分析將環境中的警示相互關聯,以協助您進一步瞭解攻擊活動的完整案例、其開始位置,以及對資源的影響種類。 適用於雲端的 Defender支援的終止鏈結意圖是以 MITRE ATTCK & 矩陣的第 9 版為基礎

  • 虛擬機器、SQL資料庫、容器、Web 應用程式、網路等的進階威脅防護功能- 保護包含使用Just-In-Time 存取保護 VM 的管理埠,以及彈性應用程式控制,以建立應用程式應該和不應該在機器上執行之應用程式的允許清單。

適用於雲端的 Microsoft Defender的Defender 方案頁面提供下列方案,可針對您環境的計算、資料和服務層級提供完整的防禦:

使用 工作負載保護儀表板 中的進階保護圖格來監視和設定這些保護。

提示

適用于 IoT 的 Microsoft Defender 是個別的產品。 您可以在 介紹適用于 IoT 的 Microsoft Defender中找到所有詳細資料。

下一步

  • 若要開始使用適用於雲端的 Defender,您需要訂用帳戶才能Microsoft Azure。 如果您沒有訂用帳戶, 請註冊免費試用

  • 當您第一次流覽Azure 入口網站中的適用於雲端的 Defender頁面,或透過 REST API 以程式設計方式啟用時,適用於雲端的 Defender的免費方案會在您目前的 Azure 訂用帳戶上啟用。 若要利用進階安全性管理和威脅偵測功能,您必須啟用增強的安全性功能。 這些功能在前 30 天內是免費的。 深入瞭解定價

  • 如果您已準備好立即啟用增強式安全性功能, 快速入門:啟用增強的安全性功能 會逐步引導您完成步驟。