什麼是適用於雲端的 Microsoft Defender?
適用於雲端的 Microsoft Defender 可協助您預防、偵測及回應威脅,並提升對資源安全性的可見度和控制。 它提供訂用帳戶之間的整合式安全性監視和原則管理、協助偵測可能未注意到的威脅,並搭配廣泛的安全性解決方案生態系統使用。
適用於雲端的 Defender 使用監視元件來收集和儲存數據。 如需深入的詳細數據,請參閱 適用於雲端的 Microsoft Defender 中的數據收集。
如何? 適用於雲端的 Microsoft Defender?
您的 Microsoft Azure 訂用帳戶已啟用 適用於雲端的 Microsoft Defender,並從 Azure 入口網站 存取。 若要存取它,請登入入口網站,選取 [流覽],然後捲動至 [適用於雲端的 Defender]。
是否有試用版 適用於雲端的 Defender?
前 30 天,適用於雲端的 Defender 是免費的。 超過 30 天的使用量都會根據定價配置自動收費。 深入了解。 請注意,適用於 儲存體的Defender中的惡意代碼掃描在前30天試用版中不包含免費,且將從第一天起收費。
適用於雲端的 Microsoft Defender 會監視哪些 Azure 資源?
適用於雲端的 Microsoft Defender 監視下列 Azure 資源:
- 虛擬機器 (VM) (包括 雲端服務)
- 虛擬機器擴展集
- 產品概觀中列出的許多 Azure PaaS 服務
適用於雲端的 Defender 也會保護內部部署資源和多重雲端資源,包括 Amazon AWS 和 Google Cloud。
如何查看 Azure、多重雲端和內部部署資源的目前安全性狀態?
[適用於雲端的 Defender 概觀] 頁面會顯示依計算、網路、儲存體 和數據及應用程式細分環境的整體安全性狀態。 每個資源類型都有一個指標,其中顯示已識別的安全性弱點。 選取每個圖格會顯示 適用於雲端的 Defender 所識別的安全性問題清單,以及訂用帳戶中的資源清查。
什麼是安全性方案?
安全性計劃會定義針對指定訂用帳戶內資源建議的一組控件(原則)。 在 適用於雲端的 Microsoft Defender 中,您會根據公司的安全性需求,以及每個訂用帳戶中數據的應用程式類型或敏感度,為您的 Azure 訂用帳戶、AWS 帳戶和 GCP 專案指派計劃。
適用於雲端的 Microsoft Defender 啟用的安全策略會推動安全性建議和監視。 深入了解 什麼是安全策略、計劃和建議?。
神秘 可以修改安全策略嗎?
若要修改安全策略,您必須是安全性 管理員 istrator 或該訂用帳戶的擁有者。
若要瞭解如何設定安全策略,請參閱在 適用於雲端的 Microsoft Defender 中設定安全策略。
什麼是安全性建議?
適用於雲端的 Microsoft Defender 分析 Azure、多重雲端和內部部署資源的安全性狀態。 識別潛在的安全性弱點時,會建立建議。 建議會引導您完成設定所需控制件的程式。 範例包括:
- 布建反惡意代碼以協助識別和移除惡意軟體
- 控制虛擬機流量的網路安全組 和規則
- 布建 Web 應用程式防火牆,以協助防範以 Web 應用程式為目標的攻擊
- 部署遺漏的系統更新
- 解決不符合建議基準的OS組態
此處只會顯示安全策略中啟用的建議。
哪些觸發安全性警示?
適用於雲端的 Microsoft Defender 會自動收集、分析和融合來自 Azure、多重雲端和內部部署資源的記錄數據、網路和合作夥伴解決方案,例如反惡意代碼和防火牆。 偵測到威脅時,會建立安全性警示。 範例包括偵測:
- 與已知惡意IP位址通訊的遭入侵虛擬機
- 使用 Windows 錯誤報告偵測到的進階惡意代碼
- 針對虛擬機的暴力密碼破解攻擊
- 來自整合式合作夥伴安全性解決方案的安全性警示,例如反惡意代碼或 Web 應用程式防火牆
Microsoft 資訊安全回應中心偵測到的威脅和警示與 適用於雲端的 Microsoft Defender 有何差異?
Microsoft 安全性回應中心 (MSRC) 會執行 Azure 網路和基礎結構的選取安全性監視,並接收來自第三方的威脅情報和濫用投訴。 當 MSRC 意識到客戶資料是由非法或未經授權的合作物件存取,或客戶使用 Azure 不符合可接受的使用條款時,安全性事件管理員會通知客戶。 如果未指定安全性聯繫人,通常會將電子郵件傳送至 適用於雲端的 Microsoft Defender 中指定的安全性聯繫人或 Azure 訂用帳戶擁有者。
適用於雲端的 Defender 是一項 Azure 服務,會持續監視客戶的 Azure、多重雲端和內部部署環境,並套用分析來自動偵測各種潛在的惡意活動。 這些偵測會在工作負載保護儀錶板中顯示為安全性警示。
如何在 適用於雲端的 Defender 中追蹤組織中已啟用 Microsoft Defender 方案的人員?
Azure 訂用帳戶可能會有多個具有變更定價設定許可權的系統管理員。 若要找出哪些用戶進行了變更,請使用 Azure 活動記錄。
如果使用者的資訊未列在 [事件起始者] 資料行中,請流覽事件的 JSON 以取得相關詳細數據。
當一項建議處於多個原則計劃時,會發生什麼事?
有時候,安全性建議會出現在多個原則計劃中。 如果您有多個相同建議的實例指派給相同的訂用帳戶,而且您為建議建立豁免,它會影響您有權編輯的所有計劃。
如果您嘗試為此建議建立豁免,您會看到下列兩則訊息之一:
如果您有編輯這兩個計劃的必要許可權,您會看到:
這項建議包含在數個原則計劃中:[方案名稱以逗號分隔]。 所有豁免都會建立。
如果您 在這兩個計劃上沒有足夠的 許可權,您將改為看到此訊息:
您對於所有原則計劃套用豁免的許可權有限,只有在具有足夠許可權的計劃上才會建立豁免。
是否有任何不支援豁免的建議?
這些正式推出的建議不支援豁免:
- 所有進階威脅防護類型都應該在 SQL 受控實例進階數據安全性設定中啟用
- 所有進階威脅防護類型均應於 SQL 伺服器進階資料安全性設定中啟用
- 應強制執行容器 CPU 和記憶體限制
- 容器映像只能從信任的登錄部署
- 應避免許可權提升的容器
- 應避免共用敏感性主機命名空間的容器
- 容器應該只接聽允許的埠
- 預設IP篩選原則應該是拒絕
- 應在虛擬機上解決 EDR 設定問題
- EDR 解決方案應該安裝在 虛擬機器
- 應該在機器上啟用檔案完整性監視
- 容器應強制執行不可變 (只讀) 根檔系統
- IoT 裝置 - 在裝置上開啟埠
- IoT 裝置 - 找到其中一個鏈結中的寬鬆防火牆原則
- IoT 裝置 - 找到輸入鏈結中的寬鬆防火牆規則
- IoT 裝置 - 找到輸出鏈結中的寬鬆防火牆規則
- IP 篩選規則大型IP範圍
- 應針對容器強制執行最低許可權 Linux 功能
- 應限制覆寫或停用容器 AppArmor 配置檔
- 應避免特殊許可權容器
- 應避免以根使用者身分執行容器
- 服務應該只接聽允許的埠
- SQL Server 應該已布建 Microsoft Entra 系統管理員
- 應限制主機網路和埠的使用
- Pod HostPath 磁碟區掛接的使用應限制為已知清單,以限制來自遭入侵容器的節點存取
我們已經使用條件式存取 (CA) 原則來強制執行 MFA。 為什麼我們仍然會收到 適用於雲端的 Defender 建議?
若要調查為何仍產生建議,請在 MFA CA 原則中確認下列組態選項:
- 您已將帳戶包含在 MFA CA 原則的 [使用者] 區段中(或 [群組] 區段中的其中一個群組)
- Azure 管理應用程式識別符 (797f4846-ba00-4fd7-ba43-dac1f8f63013), 或所有應用程式都包含在 MFA CA 原則的 [應用程式 ] 區段中
- MFA CA 原則的 [應用程式 ] 區段中未排除 Azure 管理應用程式識別碼
- OR 條件僅搭配 MFA 使用,或 AND 條件與 MFA 搭配使用
- 評估目前不支援透過 驗證強度 強制執行 MFA 的條件式存取原則。
我們使用第三方 MFA 工具來強制執行 MFA。 為什麼我們仍然會收到 適用於雲端的 Defender 建議?
適用於雲端的 Defender 的 MFA 建議不支援第三方 MFA 工具(例如 DUO)。
如果建議與貴組織無關,請考慮將其標示為「緩和」,如豁免安全分數中的資源和建議中所述。 您也可以 停用建議。
為什麼 適用於雲端的 Defender 在訂用帳戶上沒有許可權的用戶帳戶顯示為「需要 MFA」?
適用於雲端的 Defender 的 MFA 建議是指Azure RBAC 角色和 Azure 傳統訂用帳戶管理員角色。 確認沒有任何帳戶具有這類角色。
我們會使用 PIM 強制執行 MFA。 為什麼 PIM 帳戶顯示為不符合規範?
適用於雲端的 Defender 的 MFA 建議目前不支援 PIM 帳戶。 您可以在 [使用者/群組] 區段中將這些帳戶新增至 CA 原則。
我可以豁免或關閉部分帳戶嗎?
預覽版中的新建議提供一些未使用 MFA 的帳戶的功能:
- 具有 Azure 資源擁有者權限的帳戶應啟用 MFA
- 具有 Azure 資源寫入權限的帳戶應啟用 MFA
- 具有 Azure 資源讀取權限的帳戶應啟用 MFA
若要豁免帳戶,請遵循下列步驟:
- 選取與狀況不良帳戶相關聯的 MFA 建議。
- 在 [帳戶] 索引卷標中,選取要豁免的帳戶。
- 選取三個點按鈕,然後選取 [ 豁免帳戶]。
- 選取範圍和豁免原因。
如果您想要查看哪些帳戶是豁免的,請流覽至 每個建議的豁免帳戶 。
提示
當您豁免帳戶時,它不會顯示為狀況不良,也不會造成訂用帳戶顯示為狀況不良。
適用於雲端的 Defender 身分識別和存取保護是否有任何限制?
適用於雲端的 Defender 身分識別和存取保護有一些限制:
- 具有超過 6,000 個帳戶的訂用帳戶無法使用身分識別建議。 在這些情況下,這些類型的訂用帳戶會列在 [不適用] 索引標籤底下。
- 身分識別建議不適用於 雲端解決方案提供者 (CSP) 合作夥伴的管理代理程式。
- 身分識別建議不會識別以特殊許可權身分識別管理 (PIM) 系統管理的帳戶。 如果您使用 PIM 工具,您可能會在管理存取權和許可權控制中看到不正確的結果。
- 身分識別建議不支援包含目錄角色的 Microsoft Entra 條件式存取原則,而不是使用者和群組。
支援哪些 EC2 實例的作業系統?
如需預安裝 SSM 代理程式的 AMIS 清單,請參閱 AWS 檔中的此頁面。
針對其他作業系統,應該使用下列指示手動安裝 SSM 代理程式:
針對 CSPM 方案,探索 AWS 資源需要哪些 IAM 許可權?
探索 AWS 資源需要下列 IAM 許可權:
| DataCollector | AWS 許可權 |
|---|---|
| API 閘道 | apigateway:GET |
| 應用程式自動調整 | application-autoscaling:Describe* |
| 自動調整 | autoscaling-plans:Describe* autoscaling:Describe* |
| 憑證管理員 | acm-pca:Describe* acm-pca:List* acm:Describe* acm:List* |
| CloudFormation | cloudformation:Describe* cloudformation:List* |
| CloudFront | cloudfront:DescribeFunction cloudfront:GetDistribution cloudfront:GetDistributionConfig cloudfront:List* |
| CloudTrail | cloudtrail:Describe* cloudtrail:GetEventSelectors cloudtrail:List* cloudtrail:LookupEvents |
| CloudWatch | cloudwatch:Describe* cloudwatch:List* |
| CloudWatch 記錄 | logs:DescribeLogGroups logs:DescribeMetricFilters |
| CodeBuild | codebuild:DescribeCodeCoverages codebuild:DescribeTestCases codebuild:List* |
| 設定服務 | config:Describe* config:List* |
| DMS - 資料庫移轉服務 | dms:Describe* dms:List* |
| DAX | dax:Describe* |
| DynamoDB | dynamodb:Describe* dynamodb:List* |
| Ec2 | ec2:Describe* ec2:GetEbsEncryptionByDefault |
| Ecr | ecr:Describe* ecr:List* |
| Ecs | ecs:Describe* ecs:List* |
| EFS | elasticfilesystem:Describe* |
| EKS | eks:Describe* eks:List* |
| Elastic Beanstalk | elasticbeanstalk:Describe* elasticbeanstalk:List* |
| ELB - 彈性負載平衡 (v1/2) | elasticloadbalancing:Describe* |
| 彈性搜尋 | es:Describe* es:List* |
| EMR - 彈性地圖縮減 | elasticmapreduce:Describe* elasticmapreduce:GetBlockPublicAccessConfiguration elasticmapreduce:List* elasticmapreduce:View* |
| GuardDuty | guardduty:DescribeOrganizationConfiguration guardduty:DescribePublishingDestination guardduty:List* |
| IAM | iam:Generate* iam:Get* iam:List* iam:Simulate* |
| KMS | kms:Describe* kms:List* |
| Lambda | lambda:GetPolicy lambda:List* |
| 網路防火牆 | network-firewall:DescribeFirewall network-firewall:DescribeFirewallPolicy network-firewall:DescribeLoggingConfiguration network-firewall:DescribeResourcePolicy network-firewall:DescribeRuleGroup network-firewall:DescribeRuleGroupMetadata network-firewall:ListFirewallPolicies network-firewall:ListFirewalls network-firewall:ListRuleGroups network-firewall:ListTagsForResource |
| RDS | rds:Describe* rds:List* |
| RedShift | redshift:Describe* |
| S3 和 S3Control | s3:DescribeJob s3:GetEncryptionConfiguration s3:GetBucketPublicAccessBlock s3:GetBucketTagging s3:GetBucketLogging s3:GetBucketAcl s3:GetBucketLocation s3:GetBucketPolicy s3:GetReplicationConfiguration s3:GetAccountPublicAccessBlock s3:GetObjectAcl s3:GetObjectTagging s3:List* |
| SageMaker | sagemaker:Describe* sagemaker:GetSearchSuggestions sagemaker:List* sagemaker:Search |
| 秘密管理員 | secretsmanager:Describe* secretsmanager:List* |
| 簡單通知服務 SNS | sns:Check* sns:List* |
| SSM | ssm:Describe* ssm:List* |
| SQS | sqs:List* sqs:Receive* |
| Sts | sts:GetCallerIdentity |
| WAF | waf-regional:Get* waf-regional:List* waf:List* wafv2:CheckCapacity wafv2:Describe* wafv2:List* |
是否有 API 可將 GCP 資源連線至 適用於雲端的 Defender?
是。 若要使用 REST API 建立、編輯或刪除 適用於雲端的 Defender 雲端連接器,請參閱 連線 ors API 的詳細數據。
適用於雲端的 Defender 支援哪些 GCP 區域?
適用於雲端的 Defender 支援並掃描 GCP 公用雲端上所有可用的區域。
工作流程自動化是否支援任何商務持續性或災害復原 (BCDR) 案例?
針對BCDR案例準備環境時,目標資源發生中斷或其他災害時,組織有責任根據 Azure 事件中樞、Log Analytics工作區和Logic Apps的指導方針建立備份,以防止數據遺失。
針對每個作用中的自動化,建議您建立相同的(已停用)自動化,並將其儲存在不同的位置。 發生中斷時,您可以啟用這些備份自動化並維護一般作業。
深入瞭解 Azure Logic Apps 的商務持續性和災害復原。
匯出數據的成本為何?
啟用連續匯出不需要任何成本。 根據您在Log Analytics工作區中的設定而定,擷取和保留數據可能會產生成本。
只有在您為資源啟用 Defender 方案時,才會提供許多警示。 預覽您在匯出數據中取得之警示的好方法是查看 適用於雲端的 Defender 頁面在 Azure 入口網站 中顯示的警示。
深入了解 Log Analytics 工作區定價。
深入瞭解 Azure 事件中樞 定價。
如需 適用於雲端的 Defender 定價的一般資訊,請參閱定價頁面。
連續匯出是否包含所有資源目前狀態的相關數據?
否。 連續匯出是針對事件串流而建置的:
- 啟用匯出之前收到的警示 不會匯出。
- 每當資源的合規性狀態變更時,就會傳送 建議。 例如,當資源從狀況良好變成狀況不良時。 因此,如同警示一樣,您啟用匯出后未變更狀態的資源建議將不會匯出。
- 當安全性控件的分數變更為 0.01 或更多時,會傳送每個安全性控件或訂用帳戶的安全分數 。
- 當資源的合規性狀態變更時,會傳送法規合規性狀態 。
為何會以不同的間隔傳送建議?
不同的建議有不同的合規性評估間隔,範圍可以從每幾分鐘到每隔幾天。 因此,建議出現在匯出中所需的時間會有所不同。
如何取得建議的範例查詢?
若要取得建議的範例查詢,請在 適用於雲端的 Defender 中開啟建議,選取 [開啟查詢],然後選取 [查詢傳回安全性結果的查詢]。
連續導出是否支援任何商務持續性或災害復原 (BCDR) 案例?
連續導出有助於為目標資源發生中斷或其他災害的 BCDR 案例做好準備。 不過,組織有責任根據 Azure 事件中樞、Log Analytics 工作區和邏輯應用程式的指導方針建立備份,以防止數據遺失。
深入瞭解 Azure 事件中樞 - 異地災害復原。
是否可以同時在單一訂用帳戶上以程序設計方式更新多個方案?
我們不建議同時在單一訂用帳戶上以程序設計方式更新多個方案(透過 REST API、ARM 範本、腳本等)。 使用 Microsoft.Security/pricings API 或任何其他程式設計解決方案時,您應該在每個要求之間插入延遲 10-15 秒。