你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Defender for Cloud 集成

Azure 机密虚拟机(机密 VM)与 Microsoft Defender for Cloud 集成。 Defender for Cloud 会持续检查机密 VM 是否已正确设置,并提供相关建议和警报。

若要将 Defender for Cloud 与机密 VM 配合使用,必须在 VM 上安装来宾证明功能。 有关详细信息,请参阅来宾证明的示例应用程序以了解如何安装功能扩展。

建议

如果机密 VM 存在配置问题,Defender for Cloud 会建议更改。

启用安全启动

应在受支持的 Windows/Linux 虚拟机上启用安全启动

此低严重性建议意味着机密 VM 支持安全启动,但此功能当前已禁用。

此建议仅适用于机密 VM。

安装来宾证明扩展

应在受支持的 Windows/Linux 虚拟机上安装来宾证明扩展

此低严重性建议表明机密 VM 未安装来宾证明扩展。 但是,已启用安全启动和 vTPM。 安装此扩展时,Defender for Cloud 可以主动证明和监视 VM 的启动完整性。 启动完整性通过远程证明进行验证。

启用启动完整性监视时,Defender for Cloud 会发出包含远程证明状态的评估。

此功能适用于 Windows 和 Linux 单个 VM 以及统一规模集。

警报

Defender for Cloud 还会检测 VM 运行状况问题并发出警报。

VM 证明失败

证明虚拟机失败

此中等严重性警报表示 VM 的证明失败。 Defender for Cloud 会定期对 VM 执行证明,并在 VM 启动后执行证明。

注意

此警报仅适用于已启用 vTPM 并已安装来宾证明扩展的 VM。 还必须启用安全启动,这样证明才能成功。 如果需要禁用安全启动,可以选择禁止显示此警报以避免误报。

证明失败的原因包括:

  • 证明的信息(包括启动日志)与受信任基线相背离。 此问题可能表示加载了不受信任的模块,并且 OS 可能已遭入侵。
  • 无法验证证明引述是否源自被证明 VM 的 vTPM。 此问题可能表示存在恶意软件,这可能指示正在截获到 vTPM 的流量。

后续步骤