你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

常见问题 - 一般问题

什么是 Microsoft Defender for Cloud?

Microsoft Defender for Cloud 可帮助你预防、检测和响应威胁,同时增强资源的可见性和安全可控性。 该服务提供订阅之间的集成安全监视和策略管理,帮助检测可能被忽略的威胁,且适用于广泛的安全解决方案生态系统。

Defender for Cloud 使用监视组件来收集和存储数据。 有关深入的详细信息,请参阅 Microsoft Defender for Cloud 中的数据收集

如何获取 Microsoft Defender for Cloud?

Microsoft Defender for Cloud 通过 Microsoft Azure 订阅启用,可从 Azure 门户访问。 若要访问它,请登录到门户,选择“浏览”,然后滚动到“Defender for Cloud”。

是否有 Defender for Cloud 试用版?

Defender for Cloud 前 30 天免费。 超过 30 天的任何使用都自动根据定价方案进行收费。 了解详细信息。 请注意,Defender for Storage 中的恶意软件扫描功能在前 30 天试用版中不免费,将从第一天开始收费。

Microsoft Defender for Cloud 监视哪些 Azure 资源?

Microsoft Defender for Cloud 监视以下 Azure 资源:

Defender for Cloud 还保护本地资源和多云资源,包括 Amazon AWS 和 Google Cloud。

如何查看我的 Azure、多云和本地资源的当前安全状态?

“Defender for Cloud 概述”页按“计算”、“网络”、“存储和数据”以及“应用程序”显示环境的总体安全态势。 每种资源类型都有一个指示符,该指示符显示已识别的安全漏洞。 选择每个磁贴可显示 Defender for Cloud 识别到的安全问题列表和订阅中的资源清单。

什么是安全计划?

安全计划定义了为指定订阅中的资源建议的一组控制措施(策略)。 在 Microsoft Defender for Cloud 中,需要根据公司安全要求和应用程序类型或每个订阅中数据的敏感性,为 Azure 订阅、AWS 帐户和 GCP 项目分配计划。

Microsoft Defender for Cloud 中启用的安全策略有助于生成安全建议和进行监视。 在什么是安全策略、计划和建议?一文中了解详细信息。

哪些用户可以修改安全策略?

若要修改安全策略,必须是安全管理员或是该订阅的所有者 。

若要了解如何配置安全策略,请参阅在 Microsoft Defender for Cloud 中设置安全策略

什么是安全建议?

Microsoft Defender for Cloud 分析 Azure、多云和本地资源的安全状态。 发现潜在的安全漏洞后会生成建议。 建议会对所需控件的整个配置过程提供指导。 示例如下:

  • 预配反恶意软件可帮助识别和删除恶意软件
  • 配置网络安全组和规则来控制发送到虚拟机的流量
  • 设置 web 应用程序防火墙,帮助抵御针对 web 应用程序的攻击
  • 部署缺少的系统更新
  • 修正与建议的基线不匹配的 OS 配置

安全策略中仅已启用的推荐操作会显示在此处。

什么会触发安全警报?

Microsoft Defender for Cloud 自动从 Azure、多云和本地资源、网络以及合作伙伴解决方案(例如恶意软件和防火墙)收集、分析和整合日志数据。 检测到威胁时会创建安全警报。 示例中包括的检测项:

  • 与已知的恶意 IP 地址通信的不符合安全性的虚拟机
  • 使用 Windows 错误报告检测到的高级恶意软件
  • 对虚拟机的暴力破解攻击
  • 来自集成合作伙伴解决方案(例如反恶意软件或 Web 应用程序防火墙)的安全警报

Microsoft 安全响应中心与 Microsoft Defender for Cloud 检测和警示的威胁之间有何区别?

Microsoft 安全响应中心 (MSRC) 会执行 Azure 网络和基础结构的选择安全监视,并接收来自第三方的威胁情报和恶意投诉。 MSRC 发现不合法或未经授权的某一方访问客户数据或客户使用 Azure 不符合可接受的使用条款时,安全事件管理器会通知客户。 通常会以电子邮件方式向 Microsoft Defender for Cloud 中指定的安全联系人或 Azure 订阅所有者(如果未指定安全联系人)发送通知。

Defender for Cloud 是一项 Azure 服务,可持续监视客户的 Azure、多云和本地环境,并应用分析来广泛地自动检测潜在的恶意活动。 这些检测结果会作为安全警报显示在工作负载保护仪表板中。

如何跟踪组织中的哪个成员在 Defender for Cloud 中启用了 Microsoft Defender 计划?

Azure 订阅可能具有多个管理员,这些管理员有权更改定价设置。 若要找到做出更改的用户,请使用 Azure 活动日志。

Azure 活动日志的屏幕截图,显示定价更改事件。

如果“事件发起者”列中未列出用户信息,请查看事件的 JSON 了解相关详细信息。

Azure 活动日志 JSON 资源管理器的屏幕截图。

如果一项建议属于多个策略计划,会发生什么情况?

有时,一项安全建议会出现在多个策略计划中。 如果将同一建议的多个实例分配给同一订阅,并为该建议创建免除,这会影响你可编辑的所有计划。

如果尝试为此建议创建免除,你会看到以下两条消息之一:

  • 如果你有编辑这两个计划的必需权限,你会看到:

    此建议包含在若干策略计划中:[以逗号分隔的计划名称]。 将在所有这些项上创建豁免。

  • 如果你对两个计划都没有足够权限,则会看到此消息:

    你的权限有限,无法在所有策略计划中应用免除,仅具有足够权限的计划中将创建免除。

是否有不支持豁免的建议?

这些正式发布的建议不支持豁免:

  • 应在 SQL 托管实例的高级数据安全设置中启用所有高级威胁防护类型
  • 应在 SQL Server 的高级数据安全设置中启用所有高级威胁防护类型
  • 应强制执行容器 CPU 和内存限制
  • 应只从受信任的注册表中部署容器映像
  • 应避免使用特权提升的容器
  • 应避免使用共享敏感主机命名空间的容器
  • 容器应只侦听允许的端口
  • 默认 IP 筛选策略应为“拒绝”
  • 应在计算机上启用文件完整性监视
  • 应强制对容器使用不可变(只读)根文件系统
  • IoT 设备 - 打开设备上的端口
  • IoT 设备 - 在其中一个链中找到了宽容防火墙策略
  • IoT 设备 - 在输入链中找到了宽容防火墙规则
  • IoT 设备 - 在输出链中找到了宽容防火墙规则
  • IP 筛选器规则的 IP 范围大
  • 应强制对容器使用最低权限 Linux 功能
  • 应限制替代或禁用容器 AppArmor 配置文件
  • 应避免特权容器
  • 应避免以根用户身份运行容器
  • 服务应只侦听允许的端口
  • SQL Server 应预配 Microsoft Entra 管理员
  • 应限制对主机网络和端口的使用
  • 应限制为只有已知列表才能使用 Pod HostPath 卷装载,以限制来自遭入侵容器的节点访问

我们已使用条件访问 (CA) 策略来强制实施 MFA。 为什么我们仍获得 Defender for Cloud 建议?

若要调查为何仍在生成建议,请验证 MFA CA 策略中的以下配置选项:

  • 已将帐户包含在 MFA CA 策略的“用户”部分(或“组”部分中的一个组)中
  • MFA CA 策略的“应用”部分包含 Azure 管理应用 ID (797f4846-ba00-4fd7-ba43-dac1f8f63013) 或所有应用
  • MFA CA 策略的“应用”部分未排除 Azure 管理应用 ID
  • OR 条件只用于 MFA,或者 AND 条件与 MFA 结合使用
  • 我们的评估目前不支持通过身份验证强度强制实施 MFA 的条件访问策略。

我们正在使用第三方 MFA 工具强制执行 MFA。 为什么我们仍获得 Defender for Cloud 建议?

Defender for Cloud 的 MFA 建议不支持第三方 MFA 工具(例如 DUO)。

如果这些建议与你的组织无关,请考虑将它们标记为“已缓解”,如从安全功能评分中免除资源和建议中所述。 还可以禁用建议

为什么 Defender for Cloud 将没有订阅权限的用户帐户显示为“需要 MFA”?

Defender for Cloud 的 MFA 建议指的是 Azure RBAC 角色Azure 经典订阅管理员角色。 验证是否所有帐户都没有此类角色。

我们正在通过 PIM 强制执行 MFA。 为什么 PIM 帐户显示为不合规?

Defender for Cloud 的 MFA 建议目前不支持 PIM 帐户。 可以将这些帐户添加到 CA 策略的“用户/组”部分。

是否可以免除或关闭某些帐户?

预览版中的新建议提供了豁免某些不使用 MFA 的帐户的功能:

  • 对 Azure 资源拥有所有者权限的帐户应启用 MFA
  • 对 Azure 资源拥有写入权限的帐户应启用 MFA
  • 对 Azure 资源拥有读取权限的帐户应启用 MFA

若要豁免帐户,请执行以下步骤:

  1. 选择与不正常帐户关联的 MFA 建议。
  2. 在“帐户”选项卡中,选择要免除的帐户。
  3. 选择三点按钮,然后选择“豁免帐户”。
  4. 选择范围和豁免原因。

如果你想查看哪些帐户是豁免的,请导航到每个建议的豁免帐户。

提示

豁免某个帐户时,它不会显示为运行不正常,也不会导致订阅看起来不正常。

Defender for Cloud 的标识和访问保护是否有任何限制?

Defender for Cloud 的标识和访问保护存在一些限制:

  • 标识建议不适用于拥有超过 6,000 个帐户的订阅。 在这些情况下,这些类型的订阅会在“不适用”选项卡下列出。
  • 标识建议不适用于云解决方案提供商 (CSP) 合作伙伴的管理代理。
  • 标识建议不标识使用 Privileged Identity Management (PIM) 系统管理的帐户。 如果使用的是 PIM 工具,则可能会在“管理访问和权限”控件中看到不准确的结果。
  • 标识建议不支持包含目录角色而不是用户和组的 Microsoft Entra 条件访问策略。

哪些操作系统支持我的 EC2 实例?

有关预安装了 SSM 代理的 AMI 列表,请参阅 AWS 文档中的此页

对于其他操作系统,应使用以下说明手动安装 SSM 代理:

对于 CSPM 计划,需要哪些 IAM 权限才能发现 AWS 资源?

需要以下 IAM 权限才能发现 AWS 资源:

DataCollector AWS 权限
API Gateway apigateway:GET
应用程序自动缩放 application-autoscaling:Describe*
自动缩放 autoscaling-plans:Describe*
autoscaling:Describe*
证书管理器 acm-pca:Describe*
acm-pca:List*
acm:Describe*
acm:List*
CloudFormation cloudformation:Describe*
cloudformation:List*
CloudFront cloudfront:DescribeFunction
cloudfront:GetDistribution
cloudfront:GetDistributionConfig
cloudfront:List*
CloudTrail cloudtrail:Describe*
cloudtrail:GetEventSelectors
cloudtrail:List*
cloudtrail:LookupEvents
CloudWatch cloudwatch:Describe*
cloudwatch:List*
CloudWatch 日志 logs:DescribeLogGroups
logs:DescribeMetricFilters
CodeBuild codebuild:DescribeCodeCoverages
codebuild:DescribeTestCases
codebuild:List*
配置服务 config:Describe*
config:List*
DMS - 数据库迁移服务 dms:Describe*
dms:List*
DAX dax:Describe*
DynamoDB dynamodb:Describe*
dynamodb:List*
Ec2 ec2:Describe*
ec2:GetEbsEncryptionByDefault
ECR ecr:Describe*
ecr:List*
ECS ecs:Describe*
ecs:List*
EFS elasticfilesystem:Describe*
EKS eks:Describe*
eks:List*
Elastic Beanstalk elasticbeanstalk:Describe*
elasticbeanstalk:List*
ELB - 弹性负载均衡 (v1/2) elasticloadbalancing:Describe*
弹性搜索 es:Describe*
es:List*
EMR - 弹性映射减少 elasticmapreduce:Describe*
elasticmapreduce:GetBlockPublicAccessConfiguration
elasticmapreduce:List*
elasticmapreduce:View*
GuardDuty guardduty:DescribeOrganizationConfiguration
guardduty:DescribePublishingDestination
guardduty:List*
IAM iam:Generate*
iam:Get*
iam:List*
iam:Simulate*
KMS kms:Describe*
kms:List*
Lambda lambda:GetPolicy
lambda:List*
网络防火墙 network-firewall:DescribeFirewall
network-firewall:DescribeFirewallPolicy
network-firewall:DescribeLoggingConfiguration
network-firewall:DescribeResourcePolicy
network-firewall:DescribeRuleGroup
network-firewall:DescribeRuleGroupMetadata
network-firewall:ListFirewallPolicies
network-firewall:ListFirewalls
network-firewall:ListRuleGroups
network-firewall:ListTagsForResource
RDS rds:Describe*
rds:List*
RedShift redshift:Describe*
S3 和 S3Control s3:DescribeJob
s3:GetEncryptionConfiguration
s3:GetBucketPublicAccessBlock
s3:GetBucketTagging
s3:GetBucketLogging
s3:GetBucketAcl
s3:GetBucketLocation
s3:GetBucketPolicy
s3:GetReplicationConfiguration
s3:GetAccountPublicAccessBlock
s3:GetObjectAcl
s3:GetObjectTagging
s3:List*
SageMaker sagemaker:Describe*
sagemaker:GetSearchSuggestions
sagemaker:List*
sagemaker:Search
机密管理器 secretsmanager:Describe*
secretsmanager:List*
简单通知服务 SNS sns:Check*
sns:List*
SSM ssm:Describe*
ssm:List*
SQS sqs:List*
sqs:Receive*
STS sts:GetCallerIdentity
WAF waf-regional:Get*
waf-regional:List*
waf:List*
wafv2:CheckCapacity
wafv2:Describe*
wafv2:List*

是否有 API 可用于将我的 GCP 资源连接到 Defender for Cloud?

是的。 若要使用 REST API 创建、编辑或删除 Defender for Cloud 云连接器,请查看连接器 API 的详细信息。

Defender for Cloud 支持哪些 GCP 区域?

Defender for Cloud 支持并扫描 GCP 公有云上的所有可用区域。

工作流自动化是否支持任何业务连续性或灾难恢复 (BCDR) 场景?

在针对目标资源遇到故障或其他灾难的 BCDR 方案准备环境时,组织应负责根据 Azure 事件中心、Log Analytics 工作区和逻辑应用中的指南建立备份以防止数据丢失。

对于处于活动状态的每个自动化,建议创建相同(禁用)的自动化,并将其存储在其他位置。 发生中断时,可以启用这些备份自动化并维护正常操作。

详细了解 Azure 逻辑应用的业务连续性和灾难恢复

导出数据时涉及哪些费用?

启用连续导出不会产生费用。 在 Log Analytics 工作区中引入和保留数据可能会产生费用,具体取决于你的配置。

仅当为资源启用了 Defender 计划时,才会提供许多警报。 预览导出的数据中收到的警报的一种好办法是查看 Azure 门户的 Defender for Cloud 页面中显示的警报。

详细了解 Log Analytics 工作区定价

详细了解 Azure 事件中心定价

有关 Defender for Cloud 定价的一般信息,请参阅定价页

持续导出是否包含有关所有资源当前状态的数据?

错误。 连续导出用于流式传输事件:

  • 不会导出在启用导出之前收到的警报
  • 当资源的合规性状态发生更改时就会发送建议。 例如,当某个资源的状态从正常变为不正常时。 因此,与警报一样,将不会导出针对自启用导出以来未更改状态的资源的建议。
  • 每个安全控制或订阅的安全功能分数在一个安全控制的分数变化 0.01 或更大时发送。
  • 合规性状态在资源的合规性状态更改时发送。

为什么建议以不同的时间间隔发送?

不同的建议有不同的合规性评估时间间隔,从几分钟到几天不等。 因此,建议在导出中显示的时间会有所不同。

如何获取建议的示例查询?

要获取建议的示例查询,请在 Defender for Cloud 中打开建议,选择“打开查询”,然后选择“返回安全结果的查询”。

如何创建建议的示例查询的屏幕截图。

连续导出是否支持所有业务连续性或灾难恢复 (BCDR) 场景?

持续导出有助于为目标资源遇到中断或其他灾难时的 BCDR 方案做好准备。 然而,组织有责任防止数据丢失,方法是根据 Azure 事件中心、Log Analytics 工作区以及 Logic APP 的指南建立备份。

有关详细信息,请参阅 Azure 事件中心 - 异地灾难恢复

是否可以采用编程方式在单个订阅上同时更新多个计划?

建议不要以编程方式在单个订阅上同时更新多个计划(通过 REST API、ARM 模板、脚本等)。 使用 Microsoft.Security/pricings API 或任何其他编程解决方案时,应在每个请求之间插入 10-15 秒的延迟。

启用默认访问后,在哪些情况下需要重新运行 Cloud Formation 模板、Cloud Shell 脚本或 Terraform 模板?

修改 Defender for Cloud 计划或其选项(包括这些计划中的功能)需要运行部署模板。 无论在创建安全连接器时选择了哪种权限类型,这都适用。 如果区域已更改,如此屏幕截图所示,则无需重新运行 Cloud Formation 模板或 Cloud Shell 脚本。

屏幕截图显示区域中的更改。

配置权限类型时,最小权限访问支持在运行模板或脚本时可用的功能。 只有重新运行模板或脚本,才能支持新的资源类型。

屏幕截图显示选择权限类型。

如果更改 AWS 连接器的区域或扫描间隔,是否需要重新运行 CloudFormation 模板或 Cloud Shell 脚本?

不需要,如果区域或扫描间隔已更改,则无需重新运行 CloudFormation 模板或 Cloud Shell 脚本。 更改将自动应用。

将 AWS 组织或管理帐户加入 Microsoft Defender for Cloud 是如何工作的?

将组织或管理帐户加入 Microsoft Defender for Cloud 会启动部署 StackSet 的过程。 StackSet 包括必要的角色和权限。 StackSet 还会跨组织内的所有帐户传播所需的权限。

所含的权限允许 Microsoft Defender for Cloud 通过 Defender for Cloud 中创建的连接器提供所选安全功能。 这些权限还允许 Defender for Cloud 持续监视可能使用自动预配服务添加的所有帐户。

Defender for Cloud 能够识别新管理帐户的创建,并可利用授予的权限为每个成员帐户自动预配等效的成员安全连接器。

此功能仅适用于组织加入,并允许 Defender for Cloud 为新添加的帐户创建连接器。 此功能还允许 Defender for Cloud 在编辑管理帐户时编辑所有成员连接器,在删除管理帐户时删除所有成员帐户,以及在删除相应帐户时删除特定成员帐户。

必须为管理帐户专门部署单独的堆栈。