Vad är Microsoft Defender för molnet?
Microsoft Defender för molnet hjälper dig att förhindra, identifiera och svara på hot med ökad insyn i och kontroll över säkerheten för dina resurser. Härifrån kan du övervaka och hantera principer för alla prenumerationer på en gång och upptäcka hot som annars kanske skulle förbli oupptäckta. Azure Security Center fungerar tillsammans med ett vittomfattande ekosystem med säkerhetslösningar.
Defender för molnet använder övervakningskomponenter för att samla in och lagra data. Mer detaljerad information finns i Datainsamling i Microsoft Defender för molnet.
Hur skaffar jag Microsoft Defender för molnet?
Microsoft Defender för molnet är aktiverat med din Microsoft Azure-prenumeration och nås från Azure-portalen. Om du vill komma åt den loggar du in på portalen, väljer Bläddra och bläddrar till Defender för molnet.
Finns det en utvärderingsversion av Defender för molnet?
Defender for Cloud är kostnadsfritt under de första 30 dagarna. All användning utöver 30 dagar debiteras automatiskt enligt prissättningsschemat. Läs mer. Observera att genomsökning av skadlig kod i Defender for Storage inte ingår kostnadsfritt under den första 30-dagars utvärderingsversionen och debiteras från och med den första dagen.
Vilka Azure-resurser övervakas av Microsoft Defender för molnet?
Microsoft Defender för molnet övervakar följande Azure-resurser:
- Virtuella datorer (vm) (inklusive Cloud Services)
- Virtual Machine Scale Sets
- De många Azure PaaS-tjänster som anges i produktöversikten
Defender for Cloud skyddar även lokala resurser och resurser med flera moln, inklusive Amazon AWS och Google Cloud.
Hur kan jag se det aktuella säkerhetstillståndet för mina Azure-, multimolns- och lokala resurser?
Sidan Översikt över Defender för molnet visar den övergripande säkerhetsstatusen för din miljö uppdelad efter beräkning, nätverk, lagring och data och program. Varje resurstyp har en indikator som visar identifierade säkerhetsrisker. Om du väljer varje panel visas en lista över säkerhetsproblem som identifierats av Defender för molnet, tillsammans med en inventering av resurserna i din prenumeration.
Vad är ett säkerhetsinitiativ?
Ett säkerhetsinitiativ definierar den uppsättning kontroller (principer) som rekommenderas för resurser i den angivna prenumerationen. I Microsoft Defender för molnet tilldelar du initiativ för dina Azure-prenumerationer, AWS-konton och GCP-projekt enligt företagets säkerhetskrav och typen av program eller känslighet för data i varje prenumeration.
Säkerhetsprinciperna som är aktiverade i Microsoft Defender för molnet styr säkerhetsrekommendationer och övervakning. Läs mer i Vad är säkerhetsprinciper, initiativ och rekommendationer?.
Vem kan ändra en säkerhetsprincip?
Om du vill ändra en säkerhetsprincip måste du vara säkerhetsadministratör eller ägare till den prenumerationen.
Information om hur du konfigurerar en säkerhetsprincip finns i Ange säkerhetsprinciper i Microsoft Defender för molnet.
Vad är en säkerhetsrekommendations?
Microsoft Defender för molnet analyserar säkerhetstillståndet för dina Azure-, multimolns- och lokala resurser. När potentiella säkerhetsrisker identifieras skapas rekommendationer. Rekommendationerna vägleder dig genom processen att konfigurera den kontroll som behövs. Några exempel:
- Etablering av skadlig kod som hjälper dig att identifiera och ta bort skadlig programvara
- Nätverkssäkerhetsgrupper och regler för att styra trafik till virtuella datorer
- Etablering av en brandvägg för webbprogram för att skydda mot attacker som riktas mot dina webbprogram
- genomföra alla systemuppdateringar som fattas
- Hantera OS-konfigurationer som inte matchar de rekommenderade baslinjerna
Här visas endast rekommendationer som är aktiverade i säkerhetsprinciper.
Vad utlöser en säkerhetsavisering?
Microsoft Defender för molnet samlar automatiskt in, analyserar och säkringar loggdata från dina Azure-, multimolns- och lokala resurser, nätverket och partnerlösningar som program mot skadlig kod och brandväggar. Om hot upptäcks skapas en säkerhetsavisering. Exempel på hot:
- angripna virtuella datorer som kommunicerar med IP-adresser som man vet är skadliga
- Avancerad skadlig kod har identifierats med hjälp av Felrapportering i Windows
- nyckelsökningsangrepp mot virtuella datorer
- Säkerhetsaviseringar från integrerade partnersäkerhetslösningar som skydd mot skadlig kod eller brandväggar för webbprogram
Vad är skillnaden mellan hot som identifieras och varnas av Microsoft Security Response Center jämfört med Microsoft Defender för molnet?
Microsoft Security Response Center (MSRC) utför välj säkerhetsövervakning av Azure-nätverket och infrastrukturen och tar emot klagomål om hotinformation och missbruk från tredje part. När MSRC får kännedom om att kunddata har använts av en olaglig eller obehörig part eller att kundens användning av Azure inte uppfyller villkoren för godtagbar användning meddelar en säkerhetsincidenthanterare kunden. Meddelandet sker vanligtvis genom att skicka ett e-postmeddelande till de säkerhetskontakter som anges i Microsoft Defender för molnet eller Till Azure-prenumerationsägaren om ingen säkerhetskontakt har angetts.
Defender for Cloud är en Azure-tjänst som kontinuerligt övervakar kundens Azure-, multimolns- och lokala miljö och tillämpar analys för att automatiskt identifiera en mängd potentiellt skadliga aktiviteter. Dessa identifieringar visas som säkerhetsaviseringar på instrumentpanelen för arbetsbelastningsskydd.
Hur kan jag spåra vem i min organisation som har aktiverat en Microsoft Defender-plan i Defender för molnet?
Azure-prenumerationer kan ha flera administratörer med behörighet att ändra prisinställningarna. Om du vill ta reda på vilken användare som gjorde en ändring använder du Azure-aktivitetsloggen.
Om användarens information inte visas i den händelse som initieras av kolumnen kan du utforska händelsens JSON för relevant information.
Vad händer när en rekommendation finns i flera principinitiativ?
Ibland visas en säkerhetsrekommendations i mer än ett principinitiativ. Om du har flera instanser av samma rekommendation tilldelade till samma prenumeration och du skapar ett undantag för rekommendationen påverkar det alla initiativ som du har behörighet att redigera.
Om du försöker skapa ett undantag för den här rekommendationen visas något av följande två meddelanden:
Om du har de behörigheter som krävs för att redigera båda initiativen ser du:
Den här rekommendationen ingår i flera principinitiativ: [initiativnamn avgränsade med kommatecken]. Undantag skapas på alla.
Om du inte har tillräcklig behörighet för båda initiativen visas det här meddelandet i stället:
Du har begränsad behörighet att tillämpa undantaget på alla principinitiativ. Undantagen skapas endast på initiativ med tillräcklig behörighet.
Finns det några rekommendationer som inte stöder undantag?
Dessa allmänt tillgängliga rekommendationer stöder inte undantag:
- Alla avancerade hotskyddstyper ska vara aktiverade i avancerade datasäkerhetsinställningar för SQL-hanterade instanser
- Alla typer av avancerat hotskydd bör aktiveras i de avancerade inställningarna för datasäkerhet på SQL-servern
- Cpu- och minnesgränser för containrar ska tillämpas
- Containeravbildningar ska endast distribueras från betrodda register
- Container med behörighetseskalering bör undvikas
- Containrar som delar känsliga värdnamnområden bör undvikas
- Containrar ska endast lyssna på tillåtna portar
- Standardprincipen för IP-filter ska nekas
- Övervakning av filintegritet ska aktiveras på datorer
- Oföränderligt (skrivskyddat) rotfilsystem ska tillämpas för containrar
- IoT-enheter – Öppna portar på enheten
- IoT-enheter – Tillåtande brandväggsprincip i en av kedjorna hittades
- IoT-enheter – Tillåten brandväggsregel i indatakedjan hittades
- IoT-enheter – Tillåten brandväggsregel i utdatakedjan hittades
- STORT IP-intervall för IP-filterregel
- Minst privilegierade Linux-funktioner ska tillämpas för containrar
- Åsidosätta eller inaktivera containrar AppArmor-profilen bör begränsas
- Privilegierade containrar bör undvikas
- Du bör undvika att köra containrar som rotanvändare
- Tjänster bör endast lyssna på tillåtna portar
- SQL-servrar bör ha en Microsoft Entra-administratör etablerad
- Användningen av värdnätverk och portar bör begränsas
- Användning av poddars HostPath-volymmonteringar bör begränsas till en känd lista för att begränsa nodåtkomsten från komprometterade containrar
Vi använder redan principen för villkorlig åtkomst (CA) för att framtvinga MFA. Varför får vi fortfarande rekommendationer för Defender för molnet?
Om du vill undersöka varför rekommendationerna fortfarande genereras kontrollerar du följande konfigurationsalternativ i din MFA CA-princip:
- Du inkluderade kontona i avsnittet Användare i din MFA CA-princip (eller någon av grupperna i avsnittet Grupper)
- Azure Management-app-ID (797f4846-ba00-4fd7-ba43-dac1f8f63013) eller alla appar ingår i avsnittet Appar i din MFA CA-princip
- Azure Management-app-ID utesluts inte i avsnittet Appar i din MFA CA-princip
- OR-villkoret används endast med MFA, eller SÅ används AND-villkoret med MFA
- En princip för villkorsstyrd åtkomst som framtvingar MFA via autentiseringsstyrkor stöds för närvarande inte i vår utvärdering.
Vi använder ett MFA-verktyg från tredje part för att framtvinga MFA. Varför får vi fortfarande rekommendationer för Defender för molnet?
Defender for Clouds MFA-rekommendationer stöder inte MFA-verktyg från tredje part (till exempel DUO).
Om rekommendationerna är irrelevanta för din organisation kan du överväga att markera dem som "minimerade" enligt beskrivningen i Undanta resurser och rekommendationer från din säkerhetspoäng. Du kan också inaktivera en rekommendation.
Varför visar Defender för molnet användarkonton utan behörighet för prenumerationen som "kräver MFA"?
Defender for Clouds MFA-rekommendationer avser Azure RBAC-roller och rollen klassiska Azure-prenumerationsadministratörer . Kontrollera att inga av kontona har sådana roller.
Vi tillämpar MFA med PIM. Varför visas PIM-konton som inkompatibla?
Defender for Clouds MFA-rekommendationer stöder för närvarande inte PIM-konton. Du kan lägga till dessa konton i en CA-princip i avsnittet Användare/Grupper.
Kan jag undanta eller avvisa några av kontona?
Möjligheten att undanta vissa konton som inte använder MFA är tillgänglig för de nya rekommendationerna i förhandsversionen:
- Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade
- Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade
- Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade
Följ dessa steg för att undanta konton:
- Välj en MFA-rekommendation som är associerad med ett konto med feltillstånd.
- På fliken Konton väljer du ett konto som ska undantas.
- Välj knappen tre punkter och välj sedan Undanta konto.
- Välj en omfångs- och undantagsorsak.
Om du vill se vilka konton som är undantagna går du till Undantagna konton för varje rekommendation.
Dricks
När du undantar ett konto visas det inte som felfritt och gör inte att en prenumeration visas som felfri.
Finns det några begränsningar för Defender för molnets identitets- och åtkomstskydd?
Det finns vissa begränsningar för Defender för molnets identitets- och åtkomstskydd:
- Identitetsrekommendationer är inte tillgängliga för prenumerationer med fler än 6 000 konton. I dessa fall visas dessa typer av prenumerationer under fliken Ej tillämpligt.
- Identitetsrekommendationer är inte tillgängliga för Dobavljač rešenja u oblaku (CSP)-partnerns administratörsagenter.
- Identitetsrekommendationer identifierar inte konton som hanteras med ett PIM-system (Privileged Identity Management). Om du använder ett PIM-verktyg kan du se felaktiga resultat i kontrollen Hantera åtkomst och behörigheter .
- Identitetsrekommendationer stöder inte principer för villkorsstyrd åtkomst i Microsoft Entra med inkluderade katalogroller i stället för användare och grupper.
Vilka operativsystem för mina EC2-instanser stöds?
En lista över AMIs med SSM-agenten förinstallerad finns på den här sidan i AWS-dokumenten.
För andra operativsystem bör SSM-agenten installeras manuellt med hjälp av följande instruktioner:
Vilka IAM-behörigheter krävs för CSPM-planen för att identifiera AWS-resurser?
Följande IAM-behörigheter krävs för att identifiera AWS-resurser:
DataCollector | AWS-behörigheter |
---|---|
API-gateway | apigateway:GET |
Automatisk skalning av program | application-autoscaling:Describe* |
Automatisk skalning | autoscaling-plans:Describe* autoscaling:Describe* |
Certifikathanterare | acm-pca:Describe* acm-pca:List* acm:Describe* acm:List* |
CloudFormation | cloudformation:Describe* cloudformation:List* |
CloudFront | cloudfront:DescribeFunction cloudfront:GetDistribution cloudfront:GetDistributionConfig cloudfront:List* |
CloudTrail | cloudtrail:Describe* cloudtrail:GetEventSelectors cloudtrail:List* cloudtrail:LookupEvents |
CloudWatch | cloudwatch:Describe* cloudwatch:List* |
CloudWatch-loggar | logs:DescribeLogGroups logs:DescribeMetricFilters |
CodeBuild | codebuild:DescribeCodeCoverages codebuild:DescribeTestCases codebuild:List* |
Konfigurationstjänst | config:Describe* config:List* |
DMS – databasmigreringstjänst | dms:Describe* dms:List* |
DAX | dax:Describe* |
DynamoDB | dynamodb:Describe* dynamodb:List* |
Ec2 | ec2:Describe* ec2:GetEbsEncryptionByDefault |
ECR | ecr:Describe* ecr:List* |
ECS | ecs:Describe* ecs:List* |
EFS | elasticfilesystem:Describe* |
EKS | eks:Describe* eks:List* |
Elastic Beanstalk | elasticbeanstalk:Describe* elasticbeanstalk:List* |
ELB – elastisk belastningsutjämning (v1/2) | elasticloadbalancing:Describe* |
Elastisk sökning | es:Describe* es:List* |
EMR – elastisk kartreducering | elasticmapreduce:Describe* elasticmapreduce:GetBlockPublicAccessConfiguration elasticmapreduce:List* elasticmapreduce:View* |
GuardDuty | guardduty:DescribeOrganizationConfiguration guardduty:DescribePublishingDestination guardduty:List* |
IAM | iam:Generate* iam:Get* iam:List* iam:Simulate* |
KMS | kms:Describe* kms:List* |
Lambda | lambda:GetPolicy lambda:List* |
Nätverksbrandvägg | network-firewall:DescribeFirewall network-firewall:DescribeFirewallPolicy network-firewall:DescribeLoggingConfiguration network-firewall:DescribeResourcePolicy network-firewall:DescribeRuleGroup network-firewall:DescribeRuleGroupMetadata network-firewall:ListFirewallPolicies network-firewall:ListFirewalls network-firewall:ListRuleGroups network-firewall:ListTagsForResource |
Fjärrskrivbordstjänster | rds:Describe* rds:List* |
Rödförskjutning | redshift:Describe* |
S3 och S3Control | s3:DescribeJob s3:GetEncryptionConfiguration s3:GetBucketPublicAccessBlock s3:GetBucketTagging s3:GetBucketLogging s3:GetBucketAcl s3:GetBucketLocation s3:GetBucketPolicy s3:GetReplicationConfiguration s3:GetAccountPublicAccessBlock s3:GetObjectAcl s3:GetObjectTagging s3:List* |
SageMaker | sagemaker:Describe* sagemaker:GetSearchSuggestions sagemaker:List* sagemaker:Search |
Hemlig chef | secretsmanager:Describe* secretsmanager:List* |
Enkel meddelandetjänst-SNS | sns:Check* sns:List* |
$ 5 mn | ssm:Describe* ssm:List* |
Vanliga frågor och svar | sqs:List* sqs:Receive* |
STS | sts:GetCallerIdentity |
Brandvägg för webbaserade program | waf-regional:Get* waf-regional:List* waf:List* wafv2:CheckCapacity wafv2:Describe* wafv2:List* |
Finns det ett API för att ansluta mina GCP-resurser till Defender for Cloud?
Ja. Om du vill skapa, redigera eller ta bort Defender for Cloud-molnanslutningar med ett REST-API kan du läsa mer om API:et för anslutningsappar.
Vilka GCP-regioner stöds av Defender för molnet?
Defender for Cloud stöder och söker igenom alla tillgängliga regioner i det offentliga GCP-molnet.
Stöder arbetsflödesautomation några scenarier för affärskontinuitet eller haveriberedskap (BCDR) ?
När du förbereder din miljö för BCDR-scenarier, där målresursen drabbas av ett avbrott eller en annan katastrof, är det organisationens ansvar att förhindra dataförlust genom att upprätta säkerhetskopior enligt riktlinjerna från Azure Event Hubs, Log Analytics-arbetsytan och Logic Apps.
För varje aktiv automatisering rekommenderar vi att du skapar en identisk (inaktiverad) automatisering och lagrar den på en annan plats. När det uppstår ett avbrott kan du aktivera dessa automatiseringar för säkerhetskopiering och underhålla normala åtgärder.
Läs mer om affärskontinuitet och haveriberedskap för Azure Logic Apps.
Vilka är kostnaderna för att exportera data?
Det kostar ingenting att aktivera en kontinuerlig export. Kostnader kan uppstå för inmatning och kvarhållning av data på Log Analytics-arbetsytan, beroende på din konfiguration där.
Många aviseringar tillhandahålls bara när du har aktiverat Defender-planer för dina resurser. Ett bra sätt att förhandsgranska aviseringarna du får i dina exporterade data är att se aviseringarna som visas på Defender för molnets sidor i Azure-portalen.
Läs mer om priser för Log Analytics-arbetsytan.
Läs mer om priser för Azure Event Hubs.
Allmän information om priser för Defender för molnet finns på sidan med priser.
Innehåller den kontinuerliga exporten data om det aktuella tillståndet för alla resurser?
Nej. Kontinuerlig export skapas för strömning av händelser:
- Aviseringar som tas emot innan du aktiverade exporten exporteras inte.
- Rekommendationer skickas när en resurss efterlevnadstillstånd ändras. Till exempel när en resurs övergår från felfri till inte felfri. Som med aviseringar exporteras därför inte rekommendationer för resurser som inte har ändrat tillstånd eftersom du har aktiverat export.
- Säkerhetspoäng per säkerhetskontroll eller prenumeration skickas när en säkerhetskontrolls poäng ändras med 0,01 eller mer.
- Status för regelefterlevnad skickas när statusen för resursens efterlevnad ändras.
Varför skickas rekommendationer med olika intervall?
Olika rekommendationer har olika intervall för utvärdering av efterlevnad, som kan variera från några minuter till med några dagars mellanrum. Så hur lång tid det tar för rekommendationer att visas i exporten varierar.
Hur får jag en exempelfråga för en rekommendation?
Om du vill hämta en exempelfråga för en rekommendation öppnar du rekommendationen i Defender för molnet, väljer Öppna fråga och väljer sedan Fråga som returnerar säkerhetsresultat.
Stöder kontinuerlig export några scenarier med affärskontinuitet eller haveriberedskap (BCDR) ?
Kontinuerlig export kan vara till hjälp för att förbereda för BCDR-scenarier där målresursen drabbas av ett avbrott eller en annan katastrof. Det är dock organisationens ansvar att förhindra dataförlust genom att upprätta säkerhetskopior enligt riktlinjerna från Azure Event Hubs, Log Analytics-arbetsytan och Logikappen.
Läs mer i Azure Event Hubs – Geo-haveriberedskap.
Kan jag programmatiskt uppdatera flera planer på en enda prenumeration samtidigt?
Vi rekommenderar inte programmatiskt uppdatering av flera planer för en enskild prenumeration samtidigt (via REST API, ARM-mallar, skript osv.). När du använder API:et Microsoft.Security/pricings eller någon annan programmatisk lösning bör du infoga en fördröjning på 10–15 sekunder mellan varje begäran.
När jag aktiverar standardåtkomst, i vilka situationer behöver jag köra mallen Cloud Formation igen, Cloud Shell-skriptet eller Terraform-mallen?
Ändringar av Defender for Cloud-planer eller deras alternativ, inklusive funktioner i dessa planer, kräver att distributionsmallen körs. Detta gäller oavsett vilken behörighetstyp som valdes när säkerhetsanslutningen skapades. Om regioner har ändrats, som i den här skärmbilden, behöver du inte köra cloud formation-mallen eller Cloud Shell-skriptet igen.
När du konfigurerar behörighetstyper stöder minst behörighetsåtkomst funktioner som är tillgängliga när mallen eller skriptet kördes. Nya resurstyper kan endast stödjas genom att du kör mallen eller skriptet igen.
Om jag ändrar regionen eller genomsökningsintervallet för min AWS-anslutning, behöver jag köra CloudFormation-mallen eller Cloud Shell-skriptet igen?
Nej, om region- eller genomsökningsintervallet ändras behöver du inte köra CloudFormation-mallen eller Cloud Shell-skriptet igen. Ändringarna tillämpas automatiskt.
Hur fungerar registrering av ett AWS-organisations- eller hanteringskonto till Microsoft Defender för molnet?
Registrering av en organisation eller ett hanteringskonto till Microsoft Defender för molnet initierar processen med att distribuera en StackSet. StackSet innehåller nödvändiga roller och behörigheter. StackSet sprider också de behörigheter som krävs för alla konton i organisationen.
Med de inkluderade behörigheterna kan Microsoft Defender för molnet leverera de valda säkerhetsfunktionerna via den skapade anslutningsappen i Defender för molnet. Behörigheterna gör det också möjligt för Defender för molnet att kontinuerligt övervaka alla konton som kan läggas till med hjälp av tjänsten för automatisk etablering.
Defender for Cloud kan identifiera skapandet av nya hanteringskonton och kan utnyttja de beviljade behörigheterna för att automatiskt etablera en motsvarande medlemssäkerhetsanslutning för varje medlemskonto.
Den här funktionen är endast tillgänglig för organisationsregistrering och gör att Defender för molnet kan skapa anslutningsappar för nyligen tillagda konton. Funktionen gör också att Defender för molnet kan redigera alla medlemsanslutningsprogram när hanteringskontot redigeras, ta bort alla medlemskonton när hanteringskontot tas bort och ta bort ett specifikt medlemskonto om motsvarande konto tas bort.
En separat stack måste distribueras specifikt för hanteringskontot.