Zarządzanie stanem zabezpieczeń w chmurze (CSPM)
Jednym z głównych filarów Microsoft Defender dla Chmury jest zarządzanie stanem zabezpieczeń w chmurze (CSPM). CSPM zapewnia szczegółowy wgląd w stan zabezpieczeń zasobów i obciążeń oraz zapewnia wskazówki dotyczące wzmacniania zabezpieczeń, które ułatwiają efektywne i efektywne zwiększanie poziomu zabezpieczeń.
Defender dla Chmury stale ocenia zasoby pod kątem standardów zabezpieczeń zdefiniowanych dla subskrypcji platformy Azure, kont platformy AWS i projektów GCP. Defender dla Chmury wystawia zalecenia dotyczące zabezpieczeń na podstawie tych ocen.
Domyślnie po włączeniu Defender dla Chmury w subskrypcji platformy Azure jest włączony standard zgodności testów porównawczych zabezpieczeń w chmurze firmy Microsoft (MCSB). Zawiera zalecenia. Defender dla Chmury zapewnia zagregowany wskaźnik bezpieczeństwa oparty na niektórych zaleceniach MCSB. Im wyższy wynik, tym niższy zidentyfikowany poziom ryzyka.
Funkcje CSPM
Defender dla Chmury oferuje następujące oferty CSPM:
Foundational CSPM - Defender dla Chmury oferuje podstawowe funkcje CSPM w wielu chmurach bezpłatnie. Te funkcje są domyślnie włączane automatycznie dla subskrypcji i kont dołączonych do Defender dla Chmury.
Plan zarządzania stanem zabezpieczeń w chmurze (CSPM) w usłudze Defender — opcjonalny, płatny plan zarządzania stanem bezpieczeństwa Defender dla Chmury zapewnia bardziej zaawansowane funkcje stanu zabezpieczeń.
Dostępność planu
Dowiedz się więcej o cenach CSPM w usłudze Defender.
W poniższej tabeli podsumowano każdy plan i ich dostępność w chmurze.
| Funkcja | Podstawowy CSPM | Defender CSPM | Dostępność chmury |
|---|---|---|---|
| Zalecenia dotyczące zabezpieczeń | 
|
|
Azure, AWS, GCP, lokalnie |
| Spis zasobów |
|
|
Azure, AWS, GCP, lokalnie |
| Wskaźnik bezpieczeństwa |
|
|
Azure, AWS, GCP, lokalnie |
| Wizualizacja i raportowanie danych za pomocą skoroszytów platformy Azure |
|
|
Azure, AWS, GCP, lokalnie |
| Eksportowanie danych |
|
|
Azure, AWS, GCP, lokalnie |
| Automatyzacja przepływu pracy |
|
|
Azure, AWS, GCP, lokalnie |
| Narzędzia do korygowania |
|
|
Azure, AWS, GCP, lokalnie |
| Test porównawczy zabezpieczeń w chmurze firmy Microsoft |
|
|
Azure, AWS, GCP |
| Nadzór nad zabezpieczeniami | - |
|
Azure, AWS, GCP, lokalnie |
| Standardy zgodności z przepisami | - |
|
Azure, AWS, GCP, lokalnie |
| Eksplorator zabezpieczeń w chmurze | - |
|
Azure, AWS, GCP |
| Analiza ścieżki ataku | - |
|
Azure, AWS, GCP |
| Skanowanie bez agenta dla maszyn | - |
|
Azure, AWS, GCP |
| Stan zabezpieczeń kontenera bez agenta | - |
|
Azure, AWS, GCP |
| Ocena luk w zabezpieczeniach rejestrów kontenerów, w tym skanowanie rejestru | - |
|
Azure, AWS, GCP |
| Stan zabezpieczeń obsługujący dane | - |
|
Azure, AWS, GCP |
| Szczegółowe informacje o programie EASM dotyczące narażenia na sieć | - |
|
Azure, AWS, GCP |
| Zarządzanie uprawnieniami (wersja zapoznawcza) | - |
|
Azure, AWS, GCP |
Uwaga
Od 7 marca 2024 r. należy włączyć CSPM w usłudze Defender mieć możliwości zabezpieczeń Usługi DevOps w warstwie Premium, które obejmują kontekstową obsługę kontekstową kodu do chmury, umożliwiając eksploratora zabezpieczeń i ścieżki ataków oraz adnotacje żądań ściągnięcia na potrzeby ustaleń zabezpieczeń infrastruktury jako kodu. Aby dowiedzieć się więcej, zobacz Obsługa zabezpieczeń i wymagania wstępne metodyki DevOps.
Integracje (wersja zapoznawcza)
Microsoft Defender dla Chmury ma teraz wbudowane integracje, które ułatwiają bezproblemowe zarządzanie biletami, zdarzeniami i interakcjami z klientami za pomocą systemów innych firm. Rekomendacje można wypychać do narzędzia do obsługi biletów innych firm i przypisywać zespołowi odpowiedzialność za korygowanie.
Integracja usprawnia proces reagowania na zdarzenia i zwiększa możliwość zarządzania zdarzeniami zabezpieczeń. Można śledzić, ustalać priorytety i skuteczniej rozwiązywać zdarzenia zabezpieczeń.
Możesz wybrać system biletów do zintegrowania. W przypadku wersji zapoznawczej obsługiwana jest tylko integracja z usługą ServiceNow. Aby uzyskać więcej informacji na temat konfigurowania integracji z usługą ServiceNow, zobacz Integrowanie usługi ServiceNow z Microsoft Defender dla Chmury (wersja zapoznawcza).
Planowanie cennika
Przejrzyj stronę cennika Defender dla Chmury, aby dowiedzieć się więcej o cenach CSPM w usłudze Defender.
Od 7 marca 2024 r. zaawansowane funkcje zabezpieczeń metodyki DevOps będą dostępne tylko za pośrednictwem płatnego planu CSPM w usłudze Defender. Bezpłatne podstawowe zarządzanie stanem zabezpieczeń w Defender dla Chmury będzie nadal dostarczać szereg zaleceń dotyczących usługi Azure DevOps. Dowiedz się więcej o funkcjach zabezpieczeń metodyki DevOps.
W przypadku subskrypcji korzystających zarówno z planów CSPM w usłudze Defender, jak i usługi Defender for Containers bezpłatna ocena luk w zabezpieczeniach jest obliczana na podstawie bezpłatnych skanów obrazów udostępnianych za pośrednictwem planu usługi Defender for Containers, jak podsumowano na stronie cennika Microsoft Defender dla Chmury.
CSPM w usłudze Defender chroni wszystkie obciążenia wielochmurowe, ale rozliczenia są stosowane tylko dla określonych zasobów. W poniższych tabelach wymieniono rozliczane zasoby, gdy CSPM w usłudze Defender jest włączona w subskrypcjach platformy Azure, kontach platformy AWS lub projektach GCP.
Usługa platformy Azure Typy zasobów Wykluczenia Compute Microsoft.Compute/virtualMachines
Microsoft.Compute/virtualMachineScaleSets/virtualMachines
Microsoft.ClassicCompute/virtualMachines- Cofnięto przydział maszyn wirtualnych
— Maszyny wirtualne usługi DatabricksStorage Microsoft.Storage/storageAccounts Konta magazynu bez kontenerów obiektów blob lub udziałów plików Bazy danych Microsoft.Sql/servers
Microsoft.DBforPostgreSQL/servers
Microsoft.DBforMySQL/servers
Microsoft.Sql/managedInstances
Microsoft.DBforMariaDB/servers
Microsoft.Synapse/workspaces--- Usługa AWS Typy zasobów Wykluczenia Compute Wystąpienia usługi EC2 Cofnięto przydział maszyn wirtualnych Storage Zasobniki S3 --- Bazy danych Wystąpienia usług pulpitu zdalnego --- Usługa GCP Typy zasobów Wykluczenia Compute 1. Wystąpienia usługi Google Compute
2. Grupa wystąpień GoogleWystąpienia ze stanami, które nie działają Storage Zasobniki magazynu - Zasobniki z klas: "nearline", "coldline", "archive"
- Zasobniki z regionów innych niż: europa-zachód1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1Bazy danych Wystąpienia SQL w chmurze ---
Obsługa chmury platformy Azure
W przypadku pokrycia chmury komercyjnej i krajowej zapoznaj się z funkcjami obsługiwanymi w środowiskach chmury platformy Azure.
Obsługa typu zasobu w usługach AWS i GCP
Aby uzyskać wielochmurową obsługę typów zasobów (lub usług) w naszej fundamentalnej warstwie CSPM w wielu chmurach, zobacz tabelę wielochmurowych typów zasobów i usług dla platform AWS i GCP.
Następne kroki
- Obejrzyj przewidywanie przyszłych zdarzeń zabezpieczeń! Zarządzanie stanem zabezpieczeń w chmurze za pomocą usługi Microsoft Defender.
- Dowiedz się więcej o standardach i zaleceniach dotyczących zabezpieczeń.
- Dowiedz się więcej o wskaźniku bezpieczeństwa.