你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

什么是 Microsoft Defender for Cloud?

Microsoft Defender for Cloud 是云安全状况管理 (CSPM) 和云工作负载保护平台 (CWPP) ,适用于所有 Azure、本地和多云 (Amazon AWS 和 Google GCP) 资源。 Defender for Cloud 满足在云和本地管理资源和工作负载的安全性时的三个重要需求:

了解 Microsoft Defender for Cloud 的核心功能。

有关 Defender for Cloud 的分步演练,请查看此交互式教程

你可以通过观看从现场吸取的教训,从网络安全专家那里详细了解 Defender for Cloud。

保护资源并跟踪安全进度

Microsoft Defenders for Cloud 的功能涵盖了云安全的两大重要领域:云工作负载保护平台 (CWPP) 和云安全态势管理 (CSPM)。

CSPM - 修正安全问题并观察安全状况改进

在 Defender for Cloud 中,态势管理功能提供:

  • 强化指南 - 帮助你有效提高安全性
  • 可见性 - 帮助你了解当前的安全状况

Defender for Cloud 持续评估资源、订阅和组织存在安全问题,并在安全评分中显示安全状况,这是一个安全发现结果的聚合分数,可让你一目了然地了解当前安全情况:分数越高,识别的风险级别就越低。

首次打开 Defender for Cloud 后,Defender for Cloud:

  • 根据对连接资源的评估与 Azure 安全基准中的指南进行比较,为订阅生成安全功能分数。 使用该分数了解你的安全态势,并使用合规性仪表板检查你对内置基准的合规情况。 启用增强的安全性功能后,可以自定义用于评估合规性的标准,并添加其他法规(例如 NIST 和 Azure CIS)或特定于组织的安全要求。 你还可以根据 AWS 基础安全最佳做法标准来应用建议和评分。

  • 根据任何已识别的安全配置错误和弱点提供强化建议。 使用这些安全建议来增强组织的 Azure、混合和多云资源的安全态势。

详细了解安全功能分数

CWP - 确定唯一的工作负载安全要求

Defender for Cloud 提供由 Microsoft 威胁情报 提供支持的安全警报。 它还包括一系列针对工作负载的高级智能保护。 工作负载保护是通过特定于订阅中的资源类型的 Microsoft Defender 计划提供的。 例如,你可以启用 Microsoft Defender for Storage 以获取有关与 Azure 存储帐户相关的可疑活动的警报。

将所有资源保护在一个地方

由于 Defender for Cloud 是 Azure 本机服务,因此许多 Azure 服务都会受到监视和保护,无需任何部署,但也可以添加本地或其他公有云中的资源。

必要时,Defender for Cloud 可以自动部署 Log Analytics 代理来收集与安全相关的数据。 对于 Azure 计算机,可直接处理部署。 对于混合环境和多云环境,Microsoft Defender 计划会在 Azure Arc 的帮助下扩展到非 Azure 计算机。CSPM 功能扩展到多云计算机,无需任何代理(请参阅保护在其他云上运行的资源)。

保护 Azure 本机资源

Defender for Cloud 可帮助检测以下范围内的威胁:

  • Azure PaaS 服务 - 检测针对 Azure 服务的威胁,包括 Azure 应用服务、Azure SQL、Azure 存储帐户和更多数据服务。 你还可以使用与 Microsoft Defender for Cloud Apps(以前称为 Microsoft Cloud App Security)的本机集成对 Azure 活动日志执行异常情况检测。

  • Azure 数据服务 - Defender for Cloud 包含有助于自动分类 Azure SQL 中数据的功能。 还可以获取跨 Azure SQL 和存储服务对潜在漏洞进行的评估,以及有关如何缓解这些问题的建议。

  • 网络 - Defender for Cloud 可帮助限制遭受暴力攻击的风险。 通过减少对虚拟机端口的访问,使用实时 VM 访问,可以通过阻止不必要的访问来强化网络。 可以在所选端口上设置安全访问策略,仅限授权用户、允许的源 IP 地址范围或 IP 地址,以及仅在有限的时间内。

保护本地资源

除了保护 Azure 环境之外,还可以将 Defender for Cloud 功能添加到混合云环境中,以保护非 Azure 服务器。 为了帮助你专注于最重要的事情,你可以根据特定环境获取自定义威胁情报和设置了优先级的警报。

若要将保护扩展到本地计算机,请部署 Azure Arc 并启用 Defender for Cloud 的增强安全性功能。 详细了解使用 Azure Arc 添加非 Azure 计算机

保护在其他云上运行的资源

Defender for Cloud 可以保护其他云(例如 AWS 和 GCP)中的资源。

例如,如果已将 Amazon Web Services (AWS) 帐户连接到 Azure 订阅,可启用以下任何保护:

  • Defender for Cloud 的 CSPM 功能扩展到 AWS 资源。 此无代理计划根据特定于 AWS 的安全建议来评估 AWS 资源,这些建议包含在安全功能分数中。 还将评估这些资源是否符合特定于 AWS 的内置标准(AWS CIS、AWS PCI DSS 和 AWS 基础安全最佳做法)。 Defender for Cloud 的资产清单页是一个支持多云的功能,有助于同时管理 AWS 资源和 Azure 资源。
  • Microsoft Defender For Kubernetes 将其容器威胁检测和高级防护功能扩展到 Amazon EKS Linux 群集 。
  • Microsoft Defender for Servers 向 Windows 和 Linux EC2 实例提供威胁检测和高级防护功能。 此计划包括用于 Microsoft Defender for Endpoint、安全基线和 OS 级别评估、漏洞评估扫描、自适应应用程序控制 (AAC)、文件完整性监视 (FIM) 等的集成许可证。

详细了解如何将 AWSGCP 帐户连接到 Microsoft Defender for Cloud。

在被利用之前关闭漏洞

关注 Microsoft Defender for Cloud 的评估功能。

Defender for Cloud 包含针对虚拟机、容器注册表和 SQL 服务器的漏洞评估解决方案,作为增强的安全性功能的一部分。 一些扫描程序由 Qualys 提供支持。 但你无需具备 Qualys 许可证,甚至还不需要 Qualys 帐户 - 所有操作都在 Defender for Cloud 内无缝执行。

适用于服务器的 Microsoft Defender 提供与 Microsoft Defender for Endpoint 的自动本机集成。 若要了解详细信息,请参阅通过 Defender for Cloud 的集成式 EDR 解决方案 Microsoft Defender for Endpoint 来保护终结点。 启用此集成后,将可以从 Microsoft 威胁和漏洞管理访问漏洞发现结果。 若要了解详细信息,请参阅通过 Microsoft Defender for Endpoint 的威胁和漏洞管理调查弱点

查看这些漏洞扫描程序中的发现结果,并相应地从 Defender for Cloud 内部作出全部响应。 这种广泛的方法使 Defender for Cloud 更接近于用于集中了解所有云安全工作情况的统一视窗。

通过以下页面了解详细信息:

从上到下强制实施安全策略

关注 Microsoft Defender for Cloud 的“安全”功能。

了解并确保工作负荷的安全性是保障安全的基础,并且要从拥有量身定制的适当安全策略开始。 由于 Defender for Cloud 中的策略都是基于 Azure Policy 控制构建的,因此你将获得世界级策略解决方案的全方位服务和灵活性。 在 Defender for Cloud 中,可以将策略设置为在管理组上、订阅中以及甚至为整个租户运行。

Defender for Cloud 会持续发现部署在工作负载中的新资源,并评估它们是否已根据安全最佳做法进行了配置。 如果没有,则会将它们标记出来,并且你将获得一个按优先级排列的建议列表,便于你进行修复。 这些建议有助于降低每个资源的攻击面。

建议列表由 Azure 安全基准启用和支持。 此基准是 Microsoft 制定的 Azure 专属准则,提供一组基于常见合规框架的安全性与合规性最佳做法指南。 有关详细信息,请参阅 Azure 安全基准简介

通过这种方式,Defender for Cloud 不仅使你能够设置安全策略,还使你能够在整个资源中应用安全配置标准。

Defender for Cloud 建议示例。

为了帮助你了解每个建议对整体安全状况的重要程度,Defender for Cloud 将建议分组到安全控件中,并向每个控件添加“安全功能分数”值。 这一点在你设置安全工作的优先级时至关重要。

Defender for Cloud 安全功能分数。

使用 Defender 计划和外部监视扩展 Defender for Cloud

关注 Microsoft Defender for Cloud 的“防御”功能。

可以使用以下方法扩展 Defender for Cloud 保护:

  • 针对虚拟机、SQL 数据库、容器、Web 应用程序、网络等的高级威胁防护功能 - 保护措施包括使用实时访问自适应应用程序控件保护 VM 的管理端口,创建允许列表来确定在计算机上应或不应运行哪些应用。

Microsoft Defender for Cloud 的“Defender 计划”为环境的计算、数据和服务层提供了全面防御计划:

使用工作负载保护仪表板中的高级保护磁贴来监视和配置每种保护措施。

提示

Microsoft Defender for IoT 是一个单独的产品。 可在 Microsoft Defender for IoT 简介中找到所有详细信息。

  • 安全警报 - 当 Defender for Cloud 在环境的任何区域中检测到威胁时,会生成安全警报。 这些警报会描述受影响资源的详细信息、建议的修正步骤,在某些情况下还会提供触发逻辑应用作为响应的选项。 无论警报是由 Defender for Cloud 生成,还是由 Defender for Cloud 从集成安全产品接收,你都可以导出该警报。 若要将警报导出到 Microsoft Sentinel、任何第三方 SIEM 或任何其他外部工具,请按照将警报流式传输到 SIEM、SOAR,或 IT 服务管理解决方案中的说明操作。 Defender for Cloud 的威胁防护包括融合杀伤链分析,它可以基于网络杀伤链分析自动关联环境中的警报,有助于更好地了解攻击活动的完整情况,例如它的起始位置以及它对资源造成的影响。 Defender for Cloud 支持的攻击链意图基于 MITRE ATT&CK 矩阵的版本 9。

了解更多

还可查看以下博客:

后续步骤

  • 若要开始使用 Defender for Cloud,需要具有 Microsoft Azure 订阅。 如果没有订阅,可以注册免费试用版

  • 首次在 Azure 门户中访问 Defender for Cloud 页面时,或通过 REST API 以编程方式启用后,会在你当前的所有 Azure 订阅上启用 Defender for Cloud 的免费计划。 若要利用高级安全管理和威胁检测功能,必须启用增强的安全性功能。 这些功能在前 30 天内免费。 详细了解定价

  • 如果现在已准备好启用增强的安全功能,快速入门:启用增强的安全性功能会引导你完成这些步骤。