Delen via


Beheer van cloudbeveiligingspostuur (CSPM)

Een van de belangrijkste pijlers van Microsoft Defender voor Cloud is cloudbeveiligingspostuurbeheer (CSPM). CSPM biedt gedetailleerde inzicht in de beveiligingsstatus van uw assets en workloads en biedt beveiligingsrichtlijnen om u te helpen uw beveiligingspostuur efficiënt en effectief te verbeteren.

Defender voor Cloud voortdurend uw resources beoordeelt op basis van beveiligingsstandaarden die zijn gedefinieerd voor uw Azure-abonnementen, AWS-accounts en GCP-projecten. Defender voor Cloud beveiligingsaankopen op basis van deze evaluaties.

Wanneer u Defender voor Cloud inschakelt voor een Azure-abonnement, is de nalevingsstandaard microsoft Cloud Security Benchmark (MCSB) standaard ingeschakeld. Het biedt aanbevelingen. Defender voor Cloud biedt een geaggregeerde beveiligingsscore op basis van enkele van de MCSB-aanbevelingen. Hoe hoger de score, hoe lager het geïdentificeerde risiconiveau.

CSPM-functies

Defender voor Cloud biedt de volgende CSPM-aanbiedingen:

  • Foundational CSPM - Defender voor Cloud biedt gratis cspm-mogelijkheden met meerdere clouds. Deze mogelijkheden worden standaard automatisch ingeschakeld voor abonnementen en accounts die onboarden naar Defender voor Cloud.

  • CsPM-abonnement (Defender Cloud Security Posture Management): het optionele, betaalde Defender voor Cloud Secure Posture Management-plan biedt meer geavanceerde functies voor beveiligingspostuur.

Beschikbaarheid van het plan

Meer informatie over prijzen van Defender CSPM.

De volgende tabel bevat een overzicht van elk abonnement en hun beschikbaarheid in de cloud.

Functie Foundational CSPM Defender CSPM Beschikbaarheid van de cloud
Aanbevelingen voor beveiliging Azure, AWS, GCP, on-premises
Inventarisatie van assets Azure, AWS, GCP, on-premises
Beveiligingsscore Azure, AWS, GCP, on-premises
Gegevensvisualisatie en -rapportage met Azure Workbooks Azure, AWS, GCP, on-premises
Gegevens exporteren Azure, AWS, GCP, on-premises
Werkstroomautomatisering Azure, AWS, GCP, on-premises
Hulpprogramma's voor herstel Azure, AWS, GCP, on-premises
Microsoft Cloud Security Benchmark Azure, AWS, GCP
Beheer van AI-beveiligingspostuur - Azure, AWS
Scannen van beveiligingsproblemen zonder agent - Azure, AWS, GCP
Scannen van VM-geheimen zonder agent - Azure, AWS, GCP
Analyse van aanvalspad - Azure, AWS, GCP
Prioriteitstelling van risico's - Azure, AWS, GCP
Opsporing van risico's met beveiligingsverkenner - Azure, AWS, GCP
Code-naar-cloudtoewijzing voor containers - GitHub, Azure DevOps
Code-naar-cloudtoewijzing voor IaC - Azure DevOps
PR-aantekeningen - GitHub, Azure DevOps
Analyse van internetblootstelling - Azure, AWS, GCP
Beheer van kwetsbaarheid voor externe aanvallen - Azure, AWS, GCP
Machtigingenbeheer (CIEM) - Azure, AWS, GCP
Evaluaties van naleving van regelgeving - Azure, AWS, GCP
ServiceNow-integratie - Azure, AWS, GCP
Bescherming van kritieke assets - Azure, AWS, GCP
Governance om herstel op schaal te stimuleren - Azure, AWS, GCP
Beheer van gegevensbeveiligingspostuur (DSPM), scannen van gevoelige gegevens - Azure, AWS, GCP1
Detectie zonder agent voor Kubernetes - Azure, AWS, GCP
Evaluatie van beveiligingsproblemen in code-naar-cloudcontainers zonder agent - Azure, AWS, GCP

1: Detectie van gevoelige GCP-gegevens ondersteunt alleen Cloud Storage.

Notitie

Vanaf 7 maart 2024 moet Defender CSPM zijn ingeschakeld voor premium DevOps-beveiligingsmogelijkheden met contextuele code-naar-cloud- en aanvalspaden voor security explorer en aanvalspaden en pull-aanvraagaantekeningen voor beveiligingsbevindingen voor infrastructuur als code. Zie devOps-beveiligingsondersteuning en -vereisten voor meer informatie.

Integraties

Microsoft Defender voor Cloud beschikt nu over ingebouwde integraties om u te helpen bij het gebruik van systemen van derden om tickets, gebeurtenissen en interacties van klanten naadloos te beheren en bij te houden. U kunt aanbevelingen pushen naar een ticketprogramma van derden en verantwoordelijkheid toewijzen aan een team voor herstel.

Integratie stroomlijnt uw incidentresponsproces en verbetert uw vermogen om beveiligingsincidenten te beheren. U kunt beveiligingsincidenten effectiever bijhouden, prioriteren en oplossen.

U kunt kiezen welk ticketsysteem u wilt integreren. Voor preview wordt alleen ServiceNow-integratie ondersteund. Zie ServiceNow integreren met Microsoft Defender voor Cloud (preview) voor meer informatie over het configureren van ServiceNow-integratie.

Abonnementsprijzen

  • Bekijk de pagina met Defender voor Cloud prijzen voor meer informatie over prijzen van Defender CSPM.

  • Vanaf 7 maart 2024 zijn geavanceerde Mogelijkheden voor DevOps-beveiligingspostuur alleen beschikbaar via het betaalde Defender CSPM-abonnement. Gratis basisbeveiligingspostuurbeheer in Defender voor Cloud blijft een aantal Azure DevOps-aanbevelingen bieden. Meer informatie over DevOps-beveiligingsfuncties.

  • Voor abonnementen die gebruikmaken van zowel Defender CSPM- als Defender for Containers-abonnementen, wordt de gratis evaluatie van beveiligingsproblemen berekend op basis van gratis installatiekopieën die worden geleverd via het Defender for Containers-abonnement, zoals samengevat op de pagina met prijzen van Microsoft Defender voor Cloud.

  • Defender CSPM beveiligt alle workloads met meerdere clouds, maar facturering wordt alleen toegepast op specifieke resources. De volgende tabellen bevatten de factureerbare resources wanneer Defender CSPM is ingeschakeld voor Azure-abonnementen, AWS-accounts of GCP-projecten.

    Azure-service Resourcetypen Uitsluitingen
    Compute Microsoft.Compute/virtualMachines
    Microsoft.Compute/virtualMachineScaleSets/virtualMachines
    Microsoft.ClassicCompute/virtualMachines
    - Toewijzing van vm's ongedaan gemaakt
    - Databricks-VM's
    Storage Microsoft.Storage/storageAccounts Opslagaccounts zonder blobcontainers of bestandsshares
    DB's Microsoft.Sql/servers
    Microsoft.DBforPostgreSQL/servers
    Microsoft.DBforMySQL/servers
    Microsoft.Sql/managedInstances
    Microsoft.DBforMariaDB/servers
    Microsoft.Synapse/workspaces
    ---
    AWS-service Resourcetypen Uitsluitingen
    Compute EC2-exemplaren Toewijzing van virtuele machines ongedaan gemaakt
    Storage S3-buckets ---
    DB's RDS-exemplaren ---
    GCP-service Resourcetypen Uitsluitingen
    Compute 1. Google Compute-exemplaren
    2. Google Instance Group
    Exemplaren met niet-actieve statussen
    Storage Opslagbuckets - Buckets uit klassen: 'nearline', 'coldline', 'archive'
    - Buckets uit andere regio's dan: europa-west1, us-oost1, us-west1, us-centraal1, us-east4, asia-south1, northamerica-northeast1
    DB's Cloud SQL Instances ---

Azure-cloudondersteuning

Bekijk de functies die worden ondersteund in Azure-cloudomgevingen voor commerciële en nationale clouddekking.

Ondersteuning voor resourcetype in AWS en GCP

Zie de tabel met resource- en servicetypen voor AWS en GCP voor ondersteuning met meerdere clouds voor resourcetypen (of services) in onze cspm-laag met meerdere clouds.

Volgende stappen