Что такое Microsoft Defender для облака?

Microsoft Defender для облака — это Управление состоянием безопасности облака (CSPM) и Платформа для защиты рабочей нагрузки в облаке (CWPP) для всех ресурсов Azure, локальных и многооблачных (Amazon AWS и Google GCP). Defender для облака удовлетворяет три важные потребности в управлении безопасностью ресурсов и рабочих нагрузок в облачной и локальной среде:

Основные функции Microsoft Defender для облака.

  • Оценка безопасности Defender для облакапостоянно оценивает состояние безопасности, чтобы вы могли отслеживать новые возможности безопасности и точно сообщать о ходе ваших действий по обеспечению безопасности.
  • Рекомендации для Defender для облака защищают рабочие нагрузки с помощью пошаговых действий, которые защищают рабочие нагрузки от известных рисков безопасности.
  • Оповещение Defender для облаказащищают рабочие нагрузки в режиме реального времени, чтобы вы могли немедленно реагировать и предотвращать развитие событий безопасности.

Пошаговые инструкции по Defender для облака см. в этом интерактивном руководстве.

Вы можете узнать больше о Defender для облака от эксперта по кибербезопасности, просмотрев видео Уроки, выученные на практике.

Защитите свои ресурсы и отслеживайте прогресс в обеспечении безопасности

Функции Microsoft Defender для облака охватывают два основных аспекта безопасности в облаке: Платформа для защиты рабочей нагрузки в облаке (CWPP) и Управление состоянием безопасности облака (CSPM).

CSPM — устранение проблем с безопасностью и отслеживание улучшения состояния безопасности

В Defender для облака функции управления состоянием безопасности обеспечивают следующее:

  • Рекомендации по усилению защиты — помогают вам эффективно и результативно повысить уровень безопасности.
  • Видимость — помогает вам разобраться в текущей ситуации с безопасностью.

Defender для облака постоянно оценивает ресурсы, подписки и организацию на предмет проблем с безопасностью и показывает состояние безопасности в оценке безопасности, агрегированную оценку результатов безопасности, которая позволяет быстро оценить текущую ситуацию безопасности: чем выше оценка, тем ниже уровень выявленных рисков.

Как только вы откроете Defender для облака в первый раз, Defender для облака:

  • Создается оценка безопасности для ваших подписок на основе результатов оценки подключенных ресурсов, сравниваемых с рекомендациями в Azure Security Benchmark. Используйте эту оценку для понимания состояния безопасности, а панель мониторинга соответствия — для проверки соответствия встроенным стандартам безопасности. Если расширенные функции безопасности включены, вы можете настроить стандарты для оценки соответствия требованиям и добавить другие нормативные требования (например, NIST или Azure CIS) или требования вашей организации к безопасности. Вы также можете применять рекомендации и выполнять оценку на основе стандартов AWS Foundational Security Best Practices.

  • Предоставляются рекомендации по усилению защиты на основе любых выявленных ошибок и уязвимостей в конфигурации. Используйте эти рекомендации по обеспечению безопасности, чтобы усилить защиту ресурсов организации в Azure, гибридной среде и нескольких облаках.

См. сведения об оценке безопасности.

CWP — определение уникальных требований к безопасности рабочей нагрузки

В Defender для облака предлагаются оповещения системы безопасности, созданные с помощью Microsoft Threat Intelligence. В нем также обеспечивается расширенная интеллектуальная защита для рабочих нагрузок. Защита рабочих нагрузок предоставляется в рамках планов Microsoft Defender, предназначенных для конкретных типов ресурсов в подписках. Например, можно включить Microsoft Defender для хранилища, чтобы получать оповещения о подозрительных действиях, связанных с учетными записями службы хранилища.

Защита всех ресурсов под одной крышей

Так как Defender для облака является собственной службой Azure, многие службы Azure отслеживаются и защищаются без необходимости развертывания, но вы также можете добавить ресурсы, которые находятся в локальной среде или в других общедоступных облаках.

Если будет необходимо, Defender для облака может автоматически развернуть агент Log Analytics для сбора данных о безопасности. Для компьютеров, подключенных к Azure, развертывание выполняется напрямую. Для гибридных и многооблачных сред планы Microsoft Defender можно расширить на компьютеры, не являющиеся компьютерами Azure, с помощью Azure Arc. Функции CSPM расширяются на многооблачные компьютеры без необходимости использования агентов (см. раздел Защита ресурсов, выполняющихся в других облаках).

Защита собственных ресурсов Azure

Defender для облака помогает выявлять угрозы в таких расположениях:

  • Службы Azure PaaS. Вы можете обнаружить угрозы для служб Azure, включая службу приложений Azure, Azure SQL, учетную запись хранения Azure и другие службы данных. Вы также можете выполнять обнаружение аномалий в журналах действий Azure с помощью нативной интеграции с Microsoft Defender for Cloud Apps (прежнее название — Microsoft Cloud App Security).

  • Службы данных Azure — Defender для облака включает возможности, которые помогут вам автоматизировать классификацию данных в Azure SQL. Вы также можете получить оценки потенциальных уязвимостей в Azure SQL и службе хранилища, а также рекомендации по их устранению.

  • Сети — Defender для облака позволяет снизить уязвимость к атакам методом подбора. За счет сокращения доступа к портам виртуальной машины можно усилить свою сеть, предотвращая ненужный доступ с применением JIT-доступа к виртуальной машине. Вы можете установить политики безопасного доступа на выбранных портах только для авторизованных пользователей, допустимых диапазонов IP-адресов источника или IP-адресов и на ограниченный период времени.

Защита локальных ресурсов

Помимо защиты среды Azure, вы можете добавить возможности защиты Defender для облака в гибридную облачную среду для защиты серверов, неподключенных к Azure. Вам предлагаются настраиваемые средства аналитики угроз и упорядоченные по приоритету оповещения с учетом особенностей вашей среды, чтобы вы могли сосредоточиться на самом важном.

Если нужно расширить защиту на локальные компьютеры, разверните Azure Arc и включите расширенные функции безопасности Defender для облака. Сведения см. в статье Добавление компьютеров, не связанных с Azure.

Защита ресурсов, выполняющихся в других облаках

Defender для облака может обеспечить защиту ресурсов в других облаках (например, AWS и GCP).

Например, если вы подключили учетную запись Amazon Web Services (AWS) к подписке Azure, вы можете включить любую из приведенных ниже функций защиты.

  • Функции CSPM в Defender для облака теперь можно использовать для ресурсов AWS. Этот безагентный план оценивает ресурсы AWS в соответствии со специально разработанными для AWS рекомендациями по безопасности, и эти рекомендации учитываются в вашей оценке безопасности. Ресурсы также будут оцениваться на соответствие встроенным стандартам AWS (AWS CIS, AWS PCI DSS и AWS Foundational Security Best Practices). Страница Инвентаризация ресурсов службы "Defender для облака" — это функция с поддержкой нескольких облаков, которая позволяет управлять ресурсами AWS вместе с ресурсами Azure.
  • Обнаружение угроз для контейнеров и расширенные средства защиты Microsoft Defender для Kubernetes теперь можно использовать в кластерах Amazon EKS под управлением Linux.
  • Microsoft Defender для серверов предоставляет функции обнаружения угроз и расширенной защиты на экземплярах Windows и Linux EC2. Этот план включает в себя встроенную лицензию на Microsoft Defender для конечной точки, базовые конфигурации безопасности и оценки уровня ОС, сканирование с оценкой уязвимостей, адаптивные элементы управления приложениями (AAC), мониторинг целостности файлов (FIM) и другие возможности.

Узнайте больше о подключении учетных записей AWS и GCP к Microsoft Defender для облака.

Устранение уязвимостей до того, как они будут использованы

Выделены функции оценки Microsoft Defender для облака.

В качестве расширенных функций безопасности Defender для облака предоставляет решения проверки уязвимостей для виртуальных машин, реестров контейнеров и серверов SQL. Некоторые средства защиты работают на базе Qualys. Но вам не потребуется лицензия или учетная запись Qualys: вся обработка выполняется в Defender для облака.

Microsoft Defender для серверов предусматривает автоматическую интеграцию платформенной функциональности с Microsoft Defender для конечной точки. Дополнительные сведения см. в статье Защита конечных точек с помощью интегрированного решения EDR в Defender для облака: Microsoft Defender для конечной точки. Если эта интеграция включена, вы получите доступ к сведениям об обнаруженных уязвимостях, предоставляемым модулем Майкрософт для контроля угроз и уязвимостей. Дополнительные сведения см. в статье Исследование уязвимостей с помощью модуля контроля угроз и уязвимостей Microsoft Defender для конечной точки.

В Defender для облака можно как изучать результаты, поступившие из таких средств проверки на наличие уязвимостей, так и принимать меры на основе этих сведений. Благодаря такому широкому подходу Defender для облака вскоре станет единым расположением для всей деятельности по обеспечению безопасности в облаке.

Дополнительные сведения см. на следующих страницах:

Принудительное применение политики безопасности сверху вниз

Выделены функции обеспечения безопасности Microsoft Defender для облака.

Для обеспечения безопасности в первую очередь нужно убедиться, что ваши рабочие нагрузки в безопасности, и начать с внедрения настроенных политик безопасности. Так как политики в Defender для облака создаются на основе элементов управления службы "Политика Azure", в вашем распоряжении полнофункциональное и гибкое решение политики мирового класса. В Defender для облака можно задать политики, применяемые в группах управления, между подписками и даже для всего арендатора.

Defender для облака постоянно обнаруживает новые ресурсы, развертываемые в рабочих нагрузках, и оценивает, настроены ли они в соответствии с рекомендациями по безопасности. Если нет, они помечаются и вы получаете список приоритетных рекомендаций относительно того, что необходимо исправить. Рекомендации помогают снизить вероятность атак для каждого из ваших ресурсов.

Список рекомендаций реализуется и поддерживается Azure Security Benchmark. Стандарт безопасности предусматривает руководства с рекомендациями по обеспечению безопасности и соответствия требованиям для Azure, подготовленные корпорацией Майкрософт на основе распространенных платформ соответствия. Дополнительные сведения см. в статье Вводные сведения об Azure Security Benchmark.

Таким образом, Defender для облака позволяет не только настраивать политики безопасности, но и применять стандарты безопасной конфигурации в ваших ресурсах.

Пример рекомендации в Defender для облака.

Чтобы помочь вам понять, насколько важна каждая рекомендация для общего состояния безопасности, в Defender для облака рекомендации сгруппированы по элементам управления безопасностью, для которых указывается значение оценки безопасности. Очень важно приоритизировать работу системы безопасности.

Оценка безопасности в Defender для облака.

Расширение Defender для облака с помощью планов Defender и внешнего мониторинга

Выделены функции защиты Microsoft Defender для облака.

Вы можете расширить защиту Defender для облака с помощью следующих возможностей:

  • Расширенные функции защиты от угроз для виртуальных машин, баз данных SQL, контейнеров, веб-приложений, сети и других ресурсов. Защита распространяется на порты управления виртуальных машин с помощью JIT-доступа и адаптивных элементов управления приложениями. При этом создаются списки разрешений, определяющих, какие приложения могут работать на ваших компьютерах.

Планы Defender Microsoft Defender для облака предлагают комплексную защиту слоев вычислений, данных и служб в вашей среде:

С помощью плиток расширенной защиты на панели мониторинга защиты рабочих нагрузок можно отслеживать и настраивать все эти средства обеспечения безопасности.

Совет

Microsoft Defender для Интернета вещей — это отдельный продукт. Подробные сведения см. в статье Знакомство с Microsoft Defender для Интернета вещей.

  • Оповещения системы безопасности. Когда средство "Defender для облака" обнаруживает угрозу в любой области вашего окружения, оно создает оповещение системы безопасности. В этих оповещениях содержатся сведения об оказавшихся под угрозой ресурсах и предлагаемые действия по исправлению. В некоторых случаях предоставляется также возможность запуска приложения логики в ответ на угрозу. Вы можете экспортировать оповещение, созданное средством "Defender для облака" или полученное им от интегрированного продукта для обеспечения безопасности. Чтобы экспортировать оповещения в Microsoft Sentinel, любое стороннее средство SIEM или другие внешние средства, следуйте инструкциям в статье Потоковая передача оповещений в решения SIEM, SOAR или решения для управления ИТ-услугами. В средстве "Defender для облака" защита от угроз включает комплексный анализ цепочки кибератак, при которой средство автоматически сопоставляет оповещения в среде на основе анализа цепочки кибератак, чтобы помочь лучше понять полную историю кампании атаки, откуда она была запущена и какое влияние имела на ваши ресурсы. Поддерживаемые намерения цепочки кибератак в Defender для облака основаны на версии 9 матрицы MITRE ATT&CK.

Подробнее

Вы также можете ознакомиться со следующими блогами:

Дальнейшие действия

  • Чтобы начать работу с Defender для облака, вам нужна подписка на Microsoft Azure. Если у вас нет ее, вы можете зарегистрироваться для получения бесплатной пробной версии.

  • Если вы впервые переходите на страницы Defender для облака на портале Azure или включаете это средство программным способом через REST API, ценовая категория "Бесплатный" Defender для облака будет включена во всех текущих подписках Azure. Чтобы воспользоваться преимуществами расширенного управления безопасностью и возможностями обнаружения угроз, нужно включить расширенные функции безопасности. Первые 30 дней эти функции предоставляется бесплатно. Узнайте больше о ценах.

  • Если вы готовы включить расширенные функции безопасности сейчас, ознакомьтесь со статьей Краткое руководство. Включение расширенных функций безопасности, где приведены пошаговые инструкции.