Cloud Security Posture Management (CSPM)
Uno dei principali pilastri di Microsoft Defender per il cloud è la gestione del comportamento di sicurezza cloud (CSPM). CSPM offre visibilità dettagliata sullo stato di sicurezza degli asset e dei carichi di lavoro e fornisce indicazioni sulla protezione avanzata per migliorare in modo efficiente ed efficace il comportamento di sicurezza.
Defender per il cloud valuta continuamente le risorse rispetto agli standard di sicurezza definiti per le sottoscrizioni di Azure, gli account AWS e i progetti GCP. Defender per il cloud genera raccomandazioni sulla sicurezza in base a queste valutazioni.
Per impostazione predefinita, quando si abilita Defender per il cloud in una sottoscrizione di Azure, lo standard di conformità Microsoft Cloud Security Benchmark (MCSB) è attivato. Fornisce raccomandazioni. Defender per il cloud fornisce un punteggio di sicurezza aggregato in base ad alcune raccomandazioni mcsb. Più alto è il punteggio, più basso è il livello di rischio identificato.
Funzionalità di CSPM
Defender per il cloud offre le offerte CSPM seguenti:
CSPM di base: Defender per il cloud offre gratuitamente funzionalità CSPM multicloud di base. Queste funzionalità vengono abilitate automaticamente per impostazione predefinita per le sottoscrizioni e gli account che eseguono l'onboarding in Defender per il cloud.
Piano cspm (Defender Cloud Security Posture Management): il piano facoltativo a pagamento Defender per il cloud Secure Posture Management offre funzionalità più avanzate per il comportamento di sicurezza.
Disponibilità del piano
Altre informazioni sui prezzi di Defender CSPM.
La tabella seguente riepiloga ogni piano e la relativa disponibilità nel cloud.
| Funzionalità | CSPM di base | CSPM Defender | Disponibilità del cloud |
|---|---|---|---|
| Raccomandazioni sulla sicurezza | 
|
|
Azure, AWS, GCP, locale |
| Inventario degli asset |
|
|
Azure, AWS, GCP, locale |
| Punteggio di sicurezza |
|
|
Azure, AWS, GCP, locale |
| Visualizzazione e creazione di report dei dati con cartelle di lavoro di Azure |
|
|
Azure, AWS, GCP, locale |
| Esportazione dei dati |
|
|
Azure, AWS, GCP, locale |
| Automazione del flusso di lavoro |
|
|
Azure, AWS, GCP, locale |
| Strumenti per la correzione |
|
|
Azure, AWS, GCP, locale |
| Microsoft Cloud Security Benchmark |
|
|
Azure, AWS, GCP |
| Governance della sicurezza | - |
|
Azure, AWS, GCP, locale |
| Standard di conformità alle normative | - |
|
Azure, AWS, GCP, locale |
| Cloud Security Explorer | - |
|
Azure, AWS, GCP |
| Analisi del percorso di attacco | - |
|
Azure, AWS, GCP |
| Analisi senza agente per i computer | - |
|
Azure, AWS, GCP |
| Comportamento di sicurezza dei contenitori senza agente | - |
|
Azure, AWS, GCP |
| Valutazione della vulnerabilità dei registri contenitori, inclusa l'analisi del Registro di sistema | - |
|
Azure, AWS, GCP |
| Comportamento di sicurezza compatibile con i dati | - |
|
Azure, AWS, GCP |
| Informazioni dettagliate di EASM nell'esposizione di rete | - |
|
Azure, AWS, GCP |
| Gestione delle autorizzazioni (anteprima) | - |
|
Azure, AWS, GCP |
Nota
A partire dal 7 marzo 2024, Defender CSPM deve essere abilitato per avere funzionalità di sicurezza DevOps Premium che includono funzionalità di contestualizzazione da codice a cloud che alimentano Esplora sicurezza e percorsi di attacco e annotazioni delle richieste pull per i risultati della sicurezza infrastruttura come codice. Per altre informazioni, vedere Supporto e prerequisiti per la sicurezza di DevOps.
Integrazioni (anteprima)
Microsoft Defender per il cloud ora include integrazioni predefinite che consentono di usare sistemi di terze parti per gestire e tenere traccia senza problemi di ticket, eventi e interazioni con i clienti. È possibile inviare raccomandazioni a uno strumento di creazione di ticket di terze parti e assegnare la responsabilità a un team per la correzione.
L'integrazione semplifica il processo di risposta agli eventi imprevisti e migliora la possibilità di gestire gli eventi imprevisti di sicurezza. È possibile tenere traccia, classificare in ordine di priorità e risolvere gli eventi imprevisti di sicurezza in modo più efficace.
È possibile scegliere il sistema di creazione di ticket da integrare. Per l'anteprima, è supportata solo l'integrazione di ServiceNow. Per altre informazioni su come configurare l'integrazione di ServiceNow, vedere Integrare ServiceNow con Microsoft Defender per il cloud (anteprima).
Pianificare i prezzi
Vedere la pagina dei prezzi Defender per il cloud per informazioni sui prezzi di Defender CSPM.
Dal 7 marzo 2024, le funzionalità avanzate del comportamento di sicurezza DevOps saranno disponibili solo tramite il piano CSPM di Defender a pagamento. La gestione del comportamento di sicurezza di base gratuita in Defender per il cloud continuerà a fornire una serie di raccomandazioni su Azure DevOps. Altre informazioni sulle funzionalità di sicurezza di DevOps.
Per le sottoscrizioni che usano piani di Defender CSPM e Defender per contenitori, la valutazione della vulnerabilità gratuita viene calcolata in base alle analisi di immagini gratuite fornite tramite il piano Defender per contenitori, come riepilogato nella pagina dei prezzi di Microsoft Defender per il cloud.
Defender CSPM protegge tutti i carichi di lavoro multicloud, ma la fatturazione viene applicata solo a risorse specifiche. Le tabelle seguenti elencano le risorse fatturabili quando Defender CSPM è abilitato nelle sottoscrizioni di Azure, negli account AWS o nei progetti GCP.
Servizio di Azure Tipi di risorsa Esclusioni Calcolo Microsoft.Compute/virtualMachines
Microsoft.Compute/virtualMachineScaleSets/virtualMachines
Microsoft.ClassicCompute/virtualMachines- Deallocazione di macchine virtuali
- Macchine virtuali di DatabricksStorage Microsoft.Storage/storageAccounts Archiviazione account senza contenitori BLOB o condivisioni file DB Microsoft.Sql/servers
Microsoft.DBforPostgreSQL/servers
Microsoft.DBforMySQL/servers
Microsoft.Sql/managedInstances
Microsoft.DBforMariaDB/servers
Microsoft.Synapse/workspaces--- Servizio AWS Tipi di risorsa Esclusioni Calcolo Istanze ec2 Vm deallocate Storage Bucket S3 --- DB Istanze di Servizi Desktop remoto --- Servizio GCP Tipi di risorsa Esclusioni Calcolo 1. Istanze di Google Compute
2. Google Instance GroupIstanze con stati non in esecuzione Storage Archiviazione bucket - Bucket dalle classi: 'nearline', 'coldline', 'archive'
- Bucket provenienti da aree diverse da: europe-west1, us-east1, us-west1, us-central1, us-east4, asia-sud1, nordamerica-nord-est1DB Istanze di SQL cloud ---
Supporto cloud di Azure
Per la copertura del cloud commerciale e nazionale, esaminare le funzionalità supportate negli ambienti cloud di Azure.
Passaggi successivi
- Guarda Stimare gli eventi imprevisti di sicurezza futuri. Gestione del comportamento di sicurezza cloud con Microsoft Defender.
- Informazioni sugli standard di sicurezza e sulle raccomandazioni.
- Informazioni sul punteggio di sicurezza.