Sdílet prostřednictvím


Správa stavu zabezpečení cloudu (CSPM)

Jedním z hlavních pilířů Programu Microsoft Defender for Cloud je správa stavu zabezpečení cloudu (CSPM). CSPM poskytuje podrobný přehled o stavu zabezpečení vašich prostředků a úloh a poskytuje pokyny k posílení zabezpečení, které vám pomůžou efektivně a efektivně zlepšit stav zabezpečení.

Defender for Cloud průběžně vyhodnocuje vaše prostředky proti standardům zabezpečení definovaným pro vaše předplatná Azure, účty AWS a projekty GCP. Na základě těchto posouzení doporučení zabezpečení pro Defender for Cloud

Když ve výchozím nastavení povolíte Defender for Cloud v předplatném Azure, zapne se standard dodržování předpisů Microsoft Cloud Security Benchmark (MCSB ). Poskytuje doporučení. Defender for Cloud poskytuje agregované skóre zabezpečení na základě některých doporučení MCSB. Čím vyšší je skóre, tím nižší je zjištěná úroveň rizika.

Funkce CSPM

Defender for Cloud nabízí následující nabídky CSPM:

  • Základní CSPM – Defender for Cloud nabízí zdarma základní multicloudové funkce CSPM. Tyto funkce jsou ve výchozím nastavení povolené pro předplatná a účty, které se připojují k Defenderu pro cloud.

  • Plán Správy stavu cloudového zabezpečení v defenderu (CSPM) – Volitelný, placený plán Správy stavu zabezpečení cloudu v defenderu pro cloud poskytuje pokročilejší funkce stavu zabezpečení.

Dostupnost plánu

Přečtěte si další informace o cenách CSPM defenderu.

Následující tabulka shrnuje jednotlivé plány a jejich dostupnost v cloudu.

Funkce Základní CSPM Defender CSPM Dostupnost cloudu
Doporučení zabezpečení Azure, AWS, GCP, místní
Inventář prostředků Azure, AWS, GCP, místní
Bezpečnostní skóre Azure, AWS, GCP, místní
Vizualizace a vytváření sestav dat pomocí Azure Workbooks Azure, AWS, GCP, místní
Export dat Azure, AWS, GCP, místní
Automatizace pracovních postupů Azure, AWS, GCP, místní
Nástroje pro nápravu Azure, AWS, GCP, místní
Srovnávací test microsoft cloudových zabezpečení Azure, AWS, GCP
Správa stavu zabezpečení AI - Azure, AWS
Kontrola ohrožení zabezpečení virtuálního počítače bez agentů - Azure, AWS, GCP
Kontrola tajných kódů virtuálních počítačů bez agentů - Azure, AWS, GCP
Analýza cesty útoku - Azure, AWS, GCP
Stanovení priorit rizik - Azure, AWS, GCP
Proaktivní vyhledávání rizik pomocí Průzkumníka zabezpečení - Azure, AWS, GCP
Mapování kódu na cloud pro kontejnery - GitHub, Azure DevOps
Mapování kódu na cloud pro IaC - Azure DevOps
Poznámky k žádostem o přijetí změn - GitHub, Azure DevOps
Analýza vystavení internetu - Azure, AWS, GCP
Správa prostorů pro vnější útoky - Azure, AWS, GCP
Správa oprávnění (CIEM) - Azure, AWS, GCP
Posouzení dodržování právních předpisů - Azure, AWS, GCP
Integrace ServiceNow - Azure, AWS, GCP
Ochrana důležitých prostředků - Azure, AWS, GCP
Zásady správného řízení pro řízení nápravy ve velkém měřítku - Azure, AWS, GCP
Správa stavu zabezpečení dat (DSPM), kontrola citlivých dat - Azure, AWS, GCP1
Zjišťování bez agentů pro Kubernetes - Azure, AWS, GCP
Posouzení ohrožení zabezpečení kontejnerů bez agentů bez kódu do cloudu - Azure, AWS, GCP

1: Zjišťování citlivých dat GCP podporuje pouze cloudové úložiště.

Poznámka:

Počínaje 7. březnem 2024 musí být v programu Defender CSPM povolené prémiové funkce zabezpečení DevOps, které zahrnují kontextování kódu do cloudu, které podporují průzkumníka zabezpečení a cesty útoku a poznámky žádostí o přijetí změn pro zjištění zabezpečení infrastruktury jako kódu. Další informace najdete v podpoře zabezpečení DevOps a požadavcích .

Integrace

Microsoft Defender pro cloud teď obsahuje integrované integrace, které vám pomůžou používat systémy třetích stran k bezproblémové správě a sledování lístků, událostí a interakcí zákazníků. Doporučení můžete odeslat do nástroje pro vytváření lístků třetí strany a přiřadit odpovědnost týmu za nápravu.

Integrace zjednodušuje proces reakce na incidenty a zlepšuje schopnost spravovat incidenty zabezpečení. Incidenty zabezpečení můžete efektivněji sledovat, určovat jejich prioritu a řešit je.

Můžete zvolit, který systém lístků se má integrovat. Ve verzi Preview se podporuje pouze integrace ServiceNow. Další informace o tom, jak nakonfigurovat integraci ServiceNow, najdete v tématu Integrace ServiceNow s Microsoft Defenderem pro cloud (Preview).

Ceny plánů

  • Projděte si stránku s cenami Defenderu pro cloud a seznamte se s cenami CSPM Defenderu.

  • Od 7. března 2024 budou pokročilé možnosti stavu zabezpečení DevOps k dispozici pouze prostřednictvím placeného plánu CSPM v programu Defender. Bezplatná základní správa stavu zabezpečení v Defenderu pro cloud bude i nadále poskytovat řadu doporučení Azure DevOps. Přečtěte si další informace o funkcích zabezpečení DevOps.

  • U předplatných, která používají plány CSPM v programu Defender a Defender for Containers, se posouzení ohrožení zabezpečení počítá na základě bezplatných kontrol obrázků poskytovaných prostřednictvím plánu Defender for Containers, jak je shrnuto na stránce s cenami za Microsoft Defender for Cloud.

  • CSPM v programu Defender chrání všechny úlohy ve vícecloudovém prostředí, ale fakturace se uplatňuje jenom na konkrétní prostředky. Následující tabulky uvádějí fakturovatelné prostředky, pokud je u předplatných Azure, účtů AWS nebo projektů GCP povolen program CSPM defenderu.

    Služba Azure Typy zdrojů Vyloučení
    Compute Microsoft.Compute/virtualMachines
    Microsoft.Compute/virtualMachineScaleSets/virtualMachines
    Microsoft.ClassicCompute/virtualMachines
    – Uvolněné virtuální počítače
    – Virtuální počítače Databricks
    Úložiště Microsoft.Storage/storageAccounts Účty úložiště bez kontejnerů objektů blob nebo sdílených složek
    Databáze Microsoft.Sql/servers
    Microsoft.DBforPostgreSQL/servery
    Microsoft.DBforMySQL/servery
    Microsoft.Sql/managedInstances
    Microsoft.DBforMariaDB/servery
    Microsoft.Synapse/workspaces
    ---
    Služba AWS Typy zdrojů Vyloučení
    Compute Instance EC2 Uvolněné virtuální počítače
    Úložiště Kontejnery S3 ---
    Databáze Instance RDS ---
    Služba GCP Typy zdrojů Vyloučení
    Compute 1. Instance Google Compute
    2. Skupina instancí Google
    Instance s nespuscenými stavy
    Úložiště Kontejnery úložiště – Kontejnery z tříd: nearline, coldline, archive
    - Kbelíky z jiných oblastí než evropa-západ1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-severovýchod1
    Databáze Cloudové instance SQL ---

Podpora cloudu Azure

V případě pokrytí komerčním a národním cloudem si projděte funkce podporované v cloudových prostředích Azure.

Podpora typu prostředku v AWS a GCP

Informace o podpoře typů prostředků (nebo služeb) v naší základní multicloudové úrovni CSPM najdete v tabulce vícecloudových prostředků a typů služeb pro AWS a GCP.

Další kroky