Co to jest usługa Microsoft Defender dla Chmury?

Usługa Microsoft Defender for Cloud to usługa Cloud Security Posture Management (CSPM) i platforma ochrony obciążeń w chmurze (CWPP) dla wszystkich zasobów platformy Azure, lokalnych i wielochmurowych (Amazon AWS i Google GCP). Usługa Defender for Cloud wypełnia trzy istotne potrzeby, ponieważ zarządzasz zabezpieczeniami zasobów i obciążeń w chmurze i lokalnie:

Omówienie podstawowych funkcji usługi Microsoft Defender for Cloud.

Aby zapoznać się z przewodnikiem krok po kroku dotyczącym usługi Defender for Cloud, zapoznaj się z tym interaktywnym samouczkiem.

Aby dowiedzieć się więcej na temat usługi Defender for Cloud, zapoznaj się z informacjami na temat usługi Defender for Cloud od eksperta ds. cyberbezpieczeństwa.

Ochrona zasobów i śledzenie postępu zabezpieczeń

Funkcje usługi Microsoft Defender for Cloud obejmują dwa szerokie filary zabezpieczeń w chmurze: Cloud Workload Protection Platform (CWPP) i Cloud Security Posture Management (CSPM).

CSPM — Korygowanie problemów z zabezpieczeniami i obserwowanie poprawy stanu zabezpieczeń

W usłudze Defender for Cloud funkcje zarządzania stanem zapewniają następujące funkcje:

  • Wskazówki dotyczące wzmacniania zabezpieczeń — aby pomóc w wydajnym i efektywnym ulepszaniu zabezpieczeń
  • Widoczność — aby ułatwić zrozumienie bieżącej sytuacji w zabezpieczeniach

Usługa Defender for Cloud stale ocenia zasoby, subskrypcje i organizację pod kątem problemów z zabezpieczeniami oraz pokazuje stan zabezpieczeń w ocenie bezpieczeństwa, zagregowany wynik ustaleń dotyczących zabezpieczeń, który natychmiast informuje o bieżącej sytuacji w zakresie zabezpieczeń: tym wyższa ocena, im niższy jest zidentyfikowany poziom ryzyka.

Po pierwszym otwarciu usługi Defender for Cloud usługa Defender for Cloud:

  • Generuje wskaźnik bezpieczeństwa dla subskrypcji na podstawie oceny połączonych zasobów w porównaniu ze wskazówkami w artykule Test porównawczy zabezpieczeń platformy Azure. Użyj oceny, aby zrozumieć stan zabezpieczeń i pulpit nawigacyjny zgodności, aby przejrzeć zgodność z wbudowanym testem porównawczym. Po włączeniu rozszerzonych funkcji zabezpieczeń można dostosować standardy używane do oceny zgodności i dodać inne przepisy (takie jak NIST i Azure CIS) lub wymagania dotyczące zabezpieczeń specyficzne dla organizacji. Możesz również stosować rekomendacje i oceniać je na podstawie podstawowych standardów najlepszych rozwiązań w zakresie zabezpieczeń platformy AWS.

  • Udostępnia zalecenia dotyczące wzmacniania zabezpieczeń na podstawie zidentyfikowanych błędów konfiguracji zabezpieczeń i słabych stron. Te zalecenia dotyczące zabezpieczeń umożliwiają wzmocnienie poziomu zabezpieczeń platformy Azure, zasobów hybrydowych i wielochmurowych organizacji.

Dowiedz się więcej o wskaźniku bezpieczeństwa.

CWP — identyfikowanie unikatowych wymagań dotyczących zabezpieczeń obciążeń

Usługa Defender for Cloud oferuje alerty zabezpieczeń obsługiwane przez usługę Microsoft Threat Intelligence. Obejmuje ona również szereg zaawansowanych, inteligentnych, ochrony dla obciążeń. Zabezpieczenia obciążeń są udostępniane za pośrednictwem planów usługi Microsoft Defender specyficznych dla typów zasobów w Twoich subskrypcjach. Możesz na przykład włączyć usługę Microsoft Defender dla usługi Storage , aby otrzymywać alerty o podejrzanych działaniach związanych z zasobami magazynu.

Ochrona wszystkich zasobów pod jednym dachem

Ponieważ usługa Defender for Cloud jest usługą natywną dla platformy Azure, wiele usług platformy Azure jest monitorowanych i chronionych bez konieczności wdrażania, ale możesz również dodać zasoby, które znajdują się lokalnie lub w innych chmurach publicznych.

W razie potrzeby usługa Defender for Cloud może automatycznie wdrożyć agenta usługi Log Analytics w celu zbierania danych związanych z zabezpieczeniami. W przypadku maszyn platformy Azure wdrożenie jest obsługiwane bezpośrednio. W przypadku środowisk hybrydowych i wielochmurowych plany usługi Microsoft Defender są rozszerzane na maszyny spoza platformy Azure za pomocą usługi Azure Arc. Funkcje CSPM są rozszerzane na maszyny z wieloma chmurami bez konieczności jakichkolwiek agentów (zobacz Obrona zasobów działających w innych chmurach).

Obrona zasobów natywnych dla platformy Azure

Usługa Defender for Cloud pomaga wykrywać zagrożenia w:

  • Usługi PaaS platformy Azure — wykrywanie zagrożeń przeznaczonych dla usług platformy Azure, w tym Azure App Service, Azure SQL, konta usługi Azure Storage i innych usług danych. Możesz również przeprowadzić wykrywanie anomalii w dziennikach aktywności platformy Azure przy użyciu natywnej integracji z Microsoft Defender for Cloud Apps (wcześniej znanej jako Microsoft Cloud App Security).

  • Usługi danych platformy Azure — usługa Defender for Cloud oferuje funkcje, które ułatwiają automatyczne klasyfikowanie danych w Azure SQL. Możesz także uzyskać oceny potencjalnych luk w zabezpieczeniach w usługach Azure SQL i Storage oraz zalecenia dotyczące sposobu rozwiązania tych problemów.

  • Sieci — usługa Defender for Cloud pomaga ograniczyć narażenie na ataki siłowe. Ograniczenie dostępu do portów maszyny wirtualnej i korzystanie z dostępu just-in-time do maszyny wirtualnej umożliwia zwiększenie bezpieczeństwa sieci dzięki zapobieganiu niepotrzebnemu dostępowi. Można ustawić zasady bezpiecznego dostępu na wybranych portach tylko dla autoryzowanych użytkowników, dozwolonych zakresów źródłowych adresów IP lub określonych adresów IP oraz przez określony czas.

Obrona zasobów lokalnych

Oprócz obrony środowiska platformy Azure możesz dodać funkcje usługi Defender for Cloud do środowiska chmury hybrydowej, aby chronić serwery spoza platformy Azure. Aby ułatwić skoncentrowanie się na tym, co jest najważniejsze, uzyskasz dostosowaną analizę zagrożeń i priorytetowe alerty zgodnie z określonym środowiskiem.

Aby rozszerzyć ochronę na maszyny lokalne, wdróż usługę Azure Arc i włącz ulepszone funkcje zabezpieczeń usługi Defender for Cloud. Dowiedz się więcej w artykule Dodawanie maszyn spoza platformy Azure za pomocą usługi Azure Arc.

Obrona zasobów działających w innych chmurach

Usługa Defender for Cloud może chronić zasoby w innych chmurach (takich jak AWS i GCP).

Jeśli na przykład połączono konto usług Amazon Web Services (AWS) z subskrypcją platformy Azure, możesz włączyć dowolną z tych zabezpieczeń:

  • Funkcje CSPM usługi Defender for Cloud rozszerzają zasoby platformy AWS. Ten plan bez agenta ocenia zasoby platformy AWS zgodnie z zaleceniami dotyczącymi zabezpieczeń specyficznymi dla platformy AWS i są one uwzględniane w wskaźniku bezpieczeństwa. Zasoby zostaną również ocenione pod kątem zgodności z wbudowanymi standardami specyficznymi dla usług AWS (AWS CIS, AWS PCI DSS i AWS Foundational Security Best Practices). Strona spisu zasobów usługi Defender for Cloud to funkcja z obsługą wielu chmur, która ułatwia zarządzanie zasobami platformy AWS obok zasobów platformy Azure.
  • Usługa Microsoft Defender dla platformy Kubernetes rozszerza wykrywanie zagrożeń kontenerów i zaawansowane zabezpieczenia klastrów amazon EKS Linux.
  • Usługa Microsoft Defender dla serwerów zapewnia wykrywanie zagrożeń i zaawansowaną ochronę wystąpień systemu Windows i Linux EC2. Ten plan obejmuje zintegrowaną licencję dla Ochrona punktu końcowego w usłudze Microsoft Defender, punktów odniesienia zabezpieczeń i ocen na poziomie systemu operacyjnego, skanowania oceny luk w zabezpieczeniach, adaptacyjnego sterowania aplikacjami (AAC), monitorowania integralności plików (FIM) i nie tylko.

Dowiedz się więcej na temat łączenia kont usług AWS i GCP z usługą Microsoft Defender for Cloud.

Zamknij luki w zabezpieczeniach, zanim zostaną wykorzystane

Skup się na funkcjach oceny usługi Microsoft Defender for Cloud.

Usługa Defender for Cloud obejmuje rozwiązania do oceny luk w zabezpieczeniach dla maszyn wirtualnych, rejestrów kontenerów i serwerów SQL w ramach rozszerzonych funkcji zabezpieczeń. Niektóre skanery są obsługiwane przez Qualys. Ale nie potrzebujesz licencji Qualys, a nawet konta Qualys — wszystko jest bezproblemowo obsługiwane w usłudze Defender for Cloud.

Usługa Microsoft Defender dla serwerów obejmuje automatyczną, natywną integrację z Ochrona punktu końcowego w usłudze Microsoft Defender. Dowiedz się więcej, Ochrona punktów końcowych za pomocą zintegrowanego rozwiązania EDR usługi Defender for Cloud: Ochrona punktu końcowego w usłudze Microsoft Defender. Po włączeniu tej integracji będziesz mieć dostęp do wyników luk w zabezpieczeniach firmy Microsoft Zarządzanie zagrożeniami i lukami. Dowiedz się więcej w artykule Badanie słabych stron za pomocą Zarządzanie zagrożeniami i lukami Ochrona punktu końcowego w usłudze Microsoft Defender.

Przejrzyj wyniki tych skanerów luk w zabezpieczeniach i odpowiedz na nie wszystkie z poziomu usługi Defender for Cloud. To szerokie podejście przybliża usługę Defender for Cloud do bycia jednym okienkiem szkła dla wszystkich działań związanych z zabezpieczeniami w chmurze.

Dowiedz się więcej na następujących stronach:

Wymuszanie zasad zabezpieczeń od góry w dół

Skoncentruj się na

Podstawową sprawą jest zapewnienie, że działające obciążenia są bezpieczne. Aby to osiągnąć, trzeba wdrożyć dostosowane zasady zabezpieczeń. Ponieważ zasady w usłudze Defender for Cloud są oparte na Azure Policy kontrolkach, uzyskujesz pełny zakres i elastyczność światowej klasy rozwiązania zasad. W usłudze Defender for Cloud można ustawić zasady tak, aby działały w grupach zarządzania, w różnych subskrypcjach, a nawet dla całej dzierżawy.

Usługa Defender for Cloud stale odnajduje nowe zasoby wdrażane w obciążeniach i ocenia, czy są one skonfigurowane zgodnie z najlepszymi rozwiązaniami w zakresie zabezpieczeń. Jeśli nie, zostaną one oflagowane i uzyskasz priorytetową listę zaleceń dotyczących tego, co należy naprawić. Rekomendacje pomagają zmniejszyć obszar ataków w poszczególnych zasobach.

Lista zaleceń jest włączona i obsługiwana przez test porównawczy zabezpieczeń platformy Azure. Ten utworzony przez firmę Microsoft, specyficzny dla platformy Azure, test porównawczy zawiera zestaw wytycznych dotyczących najlepszych rozwiązań dotyczących zabezpieczeń i zgodności opartych na wspólnych strukturach zgodności. Dowiedz się więcej w artykule Wprowadzenie do testu porównawczego zabezpieczeń platformy Azure.

W ten sposób usługa Defender for Cloud umożliwia nie tylko ustawianie zasad zabezpieczeń, ale stosowanie bezpiecznych standardów konfiguracji w zasobach.

Przykład rekomendacji usługi Defender for Cloud.

Aby lepiej zrozumieć, jak ważne jest, aby każde zalecenie było związane z ogólnym stanem zabezpieczeń, usługa Defender for Cloud grupuje zalecenia w ramach mechanizmów kontroli zabezpieczeń i dodaje wartość wskaźnika bezpieczeństwa do każdej kontrolki. Ma to kluczowe znaczenie dla umożliwienia nadania priorytetów pracy nad zabezpieczeniami.

Wskaźnik bezpieczeństwa usługi Defender for Cloud.

Rozszerzanie usługi Defender dla chmury przy użyciu planów usługi Defender i monitorowania zewnętrznego

Skoncentruj się na funkcjach obrony usługi Microsoft Defender dla Chmury.

Ochronę w usłudze Defender for Cloud można rozszerzyć za pomocą następujących funkcji:

  • Zaawansowane funkcje ochrony przed zagrożeniami dla maszyn wirtualnych, baz danych SQL, kontenerów, aplikacji internetowych, sieci i nie tylko — ochrona obejmuje zabezpieczanie portów zarządzania maszyn wirtualnych przy użyciu dostępu just in time oraz adaptacyjnego sterowania aplikacjami w celu tworzenia list dozwolonych dla aplikacji, które powinny i nie powinny być uruchamiane na maszynach.

Plany usługi Defender dla chmury w usłudze Microsoft Defender oferują kompleksowe zabezpieczenia dla warstw obliczeniowych, danych i usług środowiska:

Użyj kafelków ochrony zaawansowanej na pulpicie nawigacyjnym ochrony obciążeń , aby monitorować i konfigurować każdą z tych ochrony.

Porada

Usługa Microsoft Defender dla IoT to oddzielny produkt. Wszystkie szczegóły znajdziesz w temacie Wprowadzenie do usługi Microsoft Defender dla IoT.

  • Alerty zabezpieczeń — gdy usługa Defender for Cloud wykryje zagrożenie w dowolnym obszarze środowiska, generuje alert zabezpieczeń. Te alerty opisują szczegóły zasobów, których dotyczy problem, sugerowane kroki korygowania, a w niektórych przypadkach możliwość wyzwolenia aplikacji logiki w odpowiedzi. Niezależnie od tego, czy alert jest generowany przez usługę Defender for Cloud, czy odbierany przez usługę Defender for Cloud od zintegrowanego produktu zabezpieczeń, można go wyeksportować. Aby wyeksportować alerty do usługi Microsoft Sentinel, dowolnej innej firmy SIEM lub innego narzędzia zewnętrznego, postępuj zgodnie z instrukcjami w temacie Alerty usługi Stream do rozwiązania SIEM, SOAR lub IT Service Management. Ochrona przed zagrożeniami w usłudze Defender for Cloud obejmuje analizę łańcucha zagrożeń łączenia, która automatycznie koreluje alerty w twoim środowisku na podstawie analizy łańcucha zagrożeń cybernetycznych, aby lepiej zrozumieć pełną historię kampanii ataku, w której rozpoczęła się i jaki wpływ miał na zasoby. Obsługiwane intencje łańcucha zabić w usłudze Defender for Cloud są oparte na wersji 9 usługi MITRE ATT& Macierz CK.

Dowiedz się więcej

Możesz również zapoznać się z następującymi blogami:

Następne kroki

  • Aby rozpocząć pracę z usługą Defender for Cloud, potrzebujesz subskrypcji platformy Microsoft Azure. Jeśli nie masz subskrypcji, utwórz konto bezpłatnej wersji próbnej.

  • Bezpłatny plan usługi Defender for Cloud jest włączony we wszystkich bieżących subskrypcjach platformy Azure podczas odwiedzania stron usługi Defender for Cloud w Azure Portal po raz pierwszy lub jeśli jest włączony programowo za pośrednictwem interfejsu API REST. Aby korzystać z zaawansowanych funkcji zarządzania zabezpieczeniami i wykrywania zagrożeń, należy włączyć rozszerzone funkcje zabezpieczeń. Te funkcje są bezpłatne przez pierwsze 30 dni. Dowiedz się więcej o cenach.

  • Jeśli wszystko będzie gotowe do włączenia rozszerzonych funkcji zabezpieczeń, szybki start: włączanie rozszerzonych funkcji zabezpieczeń przeprowadzi Cię przez kroki.