Vad är Microsoft Defender för molnet?

Microsoft Defender för molnet är en CSPM(Cloud Security Posture Management) och Cloud Workload Protection Platform (CWPP) för alla dina Azure-resurser, lokala resurser och multimolnresurser (Amazon AWS och Google GCP). Defender för molnet fyller tre viktiga behov när du hanterar säkerheten för dina resurser och arbetsbelastningar i molnet och lokalt:

Förstå kärnfunktionerna i Microsoft Defender för molnet.

En stegvis genomgång av Defender för molnet finns i den här interaktiva självstudien.

Du kan lära dig mer om Defender för molnet från en cybersäkerhetsexpert genom att titta på Lärdomar från fältet.

Skydda dina resurser och spåra din säkerhetsstatus

Funktionerna i Microsoft Defender för molnet omfattar de två breda grundpelarna för molnsäkerhet: CWPP (Cloud Workload Protection Platform) och CSPM (Cloud Security Posture Management).

CSPM – Åtgärda säkerhetsproblem och se hur din säkerhetsstatus förbättras

I Defender för molnet tillhandahåller funktionerna för hållningshantering:

  • Härdningsvägledning – för att hjälpa dig att effektivt förbättra din säkerhet
  • Synlighet – för att hjälpa dig att förstå din aktuella säkerhetssituation

Defender för molnet utvärderar kontinuerligt dina resurser, prenumerationer och organisation för säkerhetsproblem och visar din säkerhetsstatus i säkerhetspoäng, en sammanställd poäng av säkerhetsresultaten som snabbt visar din aktuella säkerhetssituation: ju högre poäng, desto lägre identifierad risknivå.

Så snart du öppnar Defender för molnet för första gången, defender för molnet:

  • Genererar en säker poäng för dina prenumerationer baserat på en utvärdering av dina anslutna resurser jämfört med vägledningen i Azure Security Benchmark. Använd poängen för att förstå din säkerhetsstatus och instrumentpanelen för efterlevnad för att granska din efterlevnad med det inbyggda riktmärket. När du har aktiverat de förbättrade säkerhetsfunktionerna kan du anpassa de standarder som används för att utvärdera din efterlevnad och lägga till andra regler (till exempel NIST och Azure CIS) eller organisationsspecifika säkerhetskrav. Du kan också tillämpa rekommendationer och poängsätta baserat på AWS Foundational Security Best practices-standarder.

  • Ger härdningsrekommendationer baserat på eventuella identifierade felkonfigurationer och svagheter i säkerheten. Använd dessa säkerhetsrekommendationer för att stärka säkerhetsstatusen för organisationens Azure-, hybrid- och multimolnresurser.

Läs mer om säkerhetspoäng.

CWP – Identifiera unika säkerhetskrav för arbetsbelastningar

Defender for Cloud erbjuder säkerhetsaviseringar som drivs av Microsoft Threat Intelligence. Den innehåller också en rad avancerade, intelligenta skydd för dina arbetsbelastningar. Arbetsbelastningsskydd tillhandahålls via Microsoft Defender-planer som är specifika för de typer av resurser i dina prenumerationer. Du kan till exempel aktivera Microsoft Defender för Storage för att få aviseringar om misstänkta aktiviteter som är relaterade till dina lagringsresurser.

Skydda alla dina resurser under ett och samma tak

Eftersom Defender för molnet är en Azure-intern tjänst övervakas och skyddas många Azure-tjänster utan att behöva någon distribution, men du kan också lägga till resurser som finns lokalt eller i andra offentliga moln.

Vid behov kan Defender för molnet automatiskt distribuera en Log Analytics-agent för att samla in säkerhetsrelaterade data. För Azure-datorer hanteras distributionen direkt. För hybridmiljöer och miljöer med flera moln utökas Microsoft Defender-planer till datorer som inte är Azure-datorer med hjälp av Azure Arc. CSPM-funktioner utökas till datorer med flera moln utan behov av agenter (se Försvara resurser som körs i andra moln).

Försvara dina Azure-interna resurser

Defender för molnet hjälper dig att identifiera hot över:

  • Azure PaaS-tjänster – Identifiera hot mot Azure-tjänster, inklusive Azure App Service, Azure SQL, Azure Storage-konto och fler datatjänster. Du kan också utföra avvikelseidentifiering i dina Azure-aktivitetsloggar med hjälp av den interna integreringen med Microsoft Defender for Cloud Apps (kallades tidigare Microsoft Cloud App Security).

  • Azure-datatjänster – Defender för molnet innehåller funktioner som hjälper dig att automatiskt klassificera dina data i Azure SQL. Du kan också få utvärderingar avseende potentiella säkerhetsrisker för Azure SQL- och lagringstjänster och rekommendationer för hur du löser dem.

  • Nätverk – Defender för molnet hjälper dig att begränsa exponeringen för råstyrkeattacker. Genom att minska åtkomsten till VM-portar med hjälp av just-in-time-VM-åtkomst kan du skydda ditt nätverk genom att förhindra onödig åtkomst. Du kan ange principer för säker åtkomst på valda portar enbart för behöriga användare, tillåtna käll-IP-adressintervall eller IP-adresser under en begränsad tidsperiod.

Försvara dina lokala resurser

Förutom att försvara din Azure-miljö kan du lägga till Defender for Cloud-funktioner i din hybridmolnmiljö för att skydda dina servrar som inte är Azure-servrar. För att hjälpa dig att fokusera på det viktigaste får du anpassad hotinformation och prioriterade aviseringar enligt din specifika miljö.

Om du vill utöka skyddet till lokala datorer distribuerar du Azure Arc och aktiverar Defender for Clouds förbättrade säkerhetsfunktioner. Läs mer i Lägga till datorer som inte är Azure-datorer med Azure Arc.

Försvara resurser som körs i andra moln

Defender för molnet kan skydda resurser i andra moln (till exempel AWS och GCP).

Om du till exempel har anslutit ett AWS-konto (Amazon Web Services) till en Azure-prenumeration kan du aktivera något av följande skydd:

  • CsPM-funktionerna i Defender för molnet utökas till dina AWS-resurser. Den här agentlösa planen utvärderar dina AWS-resurser enligt AWS-specifika säkerhetsrekommendationer och dessa ingår i din säkerhetspoäng. Resurserna kommer också att utvärderas för efterlevnad av inbyggda standarder som är specifika för AWS (AWS CIS, AWS PCI DSS och AWS Foundational Security Best Practices). Defender for Clouds tillgångsinventeringssida är en funktion med flera moln som hjälper dig att hantera dina AWS-resurser tillsammans med dina Azure-resurser.
  • Microsoft Defender för Kubernetes utökar sin identifiering av containerhot och avancerade skydd till dina Amazon EKS Linux-kluster.
  • Microsoft Defender för servrar ger hotidentifiering och avancerat skydd till dina Windows- och Linux EC2-instanser. Den här planen innehåller den integrerade licensen för Microsoft Defender för Endpoint, säkerhetsbaslinjer och utvärderingar på operativsystemnivå, genomsökning av sårbarhetsbedömningar, anpassningsbara programkontroller (AAC), övervakning av filintegritet (FIM) med mera.

Läs mer om att ansluta dina AWS - och GCP-konton till Microsoft Defender för molnet.

Stäng säkerhetsrisker innan de utnyttjas

Fokusera på utvärderingsfunktionerna i Microsoft Defender för molnet.

Defender för molnet innehåller lösningar för sårbarhetsbedömning för dina virtuella datorer, containerregister och SQL-servrar som en del av de förbättrade säkerhetsfunktionerna. Några av skannrarna drivs av Qualys. Men du behöver ingen Qualys-licens, eller ens ett Qualys-konto – allt hanteras sömlöst i Defender för molnet.

Microsoft Defender för servrar innehåller automatisk, intern integrering med Microsoft Defender för Endpoint. Läs mer: Skydda dina slutpunkter med Defender for Clouds integrerade EDR-lösning: Microsoft Defender för Endpoint. Med den här integreringen aktiverad har du åtkomst till sårbarhetsresultaten från Microsoft Hantering av hot och säkerhetsrisker. Läs mer i Undersöka svagheter med Microsoft Defender för Endpoint Hantering av hot och säkerhetsrisker.

Granska resultaten från dessa sårbarhetsskannrar och svara på dem alla inifrån Defender för molnet. Den här breda metoden för Defender för molnet närmare att vara den enda fönsterrutan för alla dina molnsäkerhetsinsatser.

Läs mer på följande sidor:

Framtvinga din säkerhetsprincip uppifrån och ned

Fokusera på de

Det tillhör grunderna i säkerhetsarbetet att känna till och skydda sina arbetsbelastningar, och utgångspunkten är att ha skräddarsydda säkerhetsprinciper på plats. Eftersom principer i Defender för molnet bygger på Azure Policy kontroller får du hela sortimentet och flexibiliteten i en principlösning i världsklass. I Defender för molnet kan du ange att dina principer ska köras på hanteringsgrupper, mellan prenumerationer och även för en hel klientorganisation.

Defender för molnet identifierar kontinuerligt nya resurser som distribueras i dina arbetsbelastningar och utvärderar om de har konfigurerats enligt bästa praxis för säkerhet. Annars flaggas de och du får en prioriterad lista med rekommendationer för det du behöver åtgärda. Rekommendationer hjälper dig att minska attackytan för var och en av dina resurser.

Listan över rekommendationer är aktiverad och stöds av Azure Security Benchmark. Det här Microsoft-skapade, Azure-specifika riktmärket innehåller en uppsättning riktlinjer för bästa praxis för säkerhet och efterlevnad baserat på vanliga efterlevnadsramverk. Läs mer i Introduktion till Azure Security Benchmark.

På så sätt kan du med Defender för molnet inte bara ange säkerhetsprinciper, utan även tillämpa säkra konfigurationsstandarder för dina resurser.

Rekommendationsexempel för Defender för molnet.

För att hjälpa dig att förstå hur viktig varje rekommendation är för din övergripande säkerhetsstatus grupperar Defender för molnet rekommendationerna i säkerhetskontroller och lägger till ett värde för säker poäng för varje kontroll. Detta är avgörande för att du ska kunna prioritera ditt säkerhetsarbete.

Säkerhetspoäng för Defender för molnet.

Utöka Defender för molnet med Defender-planer och extern övervakning

Fokusera på funktionerna

Du kan utöka Defender for Cloud-skyddet med:

  • Avancerade hotskyddsfunktioner för virtuella datorer, SQL-databaser, containrar, webbprogram, ditt nätverk med mera – Skydd omfattar skydd av hanteringsportarna för dina virtuella datorer med just-in-time-åtkomst och anpassningsbara programkontroller för att skapa tillåtna listor för vad appar ska och inte ska köras på dina datorer.

Defender-planerna för Microsoft Defender för molnet erbjuder omfattande skydd för beräknings-, data- och tjänstskikten i din miljö:

Använd de avancerade skyddspanelerna på instrumentpanelen för arbetsbelastningsskydd för att övervaka och konfigurera vart och ett av dessa skydd.

Tips

Microsoft Defender för IoT är en separat produkt. Du hittar all information i Introduktion till Microsoft Defender för IoT.

  • Säkerhetsaviseringar – När Defender för molnet identifierar ett hot i något område i din miljö genereras en säkerhetsavisering. Dessa aviseringar beskriver information om de berörda resurserna, föreslagna reparationssteg och i vissa fall ett alternativ för att utlösa en logikapp som svar. Oavsett om en avisering genereras av Defender för molnet eller tas emot av Defender för molnet från en integrerad säkerhetsprodukt kan du exportera den. Om du vill exportera dina aviseringar till Microsoft Sentinel, siem från tredje part eller något annat externt verktyg följer du anvisningarna i Stream-aviseringar till en SIEM-, SOAR- eller IT-tjänsthanteringslösning. Defender for Clouds hotskydd omfattar fusionsanalyser med döda kedja, som automatiskt korrelerar aviseringar i din miljö baserat på analys av cyberhotkedjan, för att hjälpa dig att bättre förstå hela historien om en attackkampanj, var den startade och vilken typ av påverkan den hade på dina resurser. Avsikterna för Kill Chain som stöds i Defender för molnet baseras på version 9 av MITRE ATT& CK-matris.

Läs mer

Du kan också kolla in följande bloggar:

Nästa steg

  • För att komma igång med Defender för molnet behöver du en prenumeration på Microsoft Azure. Om du inte har någon prenumeration kan du registrera dig för en kostnadsfri utvärderingsversion.

  • Defender for Clouds kostnadsfria plan är aktiverad för alla dina aktuella Azure-prenumerationer när du besöker Defender för molnet-sidorna i Azure Portal för första gången, eller om det aktiveras programmatiskt via REST-API:et. Om du vill dra nytta av avancerade funktioner för säkerhetshantering och hotidentifiering måste du aktivera de förbättrade säkerhetsfunktionerna. Dessa funktioner är kostnadsfria under de första 30 dagarna. Läs mer om prissättningen.

  • Om du är redo att aktivera förbättrade säkerhetsfunktioner nu går Snabbstart: Aktivera förbättrade säkerhetsfunktioner igenom stegen.