你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Defender CSPM 保护资源
Microsoft Defender for Cloud 中的 Defender Cloud 安全态势管理 (CSPM) 提供了强化指导,可帮助你高效、有效地提高安全性。 CSPM 还可以让你了解当前的安全情况。
Defender for Cloud 会持续评估资源、订阅和组织的安全问题。 Defender for Cloud 通过安全分数显示安全态势。 安全分数是安全发现结果的聚合分数,用于指示当前安全状况。 分数越高,识别的风险级别越低。
启用 Defender for Cloud 后,将会自动启用基础 CSPM 功能。 这些功能是 Defender for Cloud 提供的免费服务的一部分。
你可以启用 Defender CSPM 计划,该计划为环境提供了额外的保护,例如治理、法规合规性、云安全资源管理器、攻击路径分析和计算机无代理扫描。
注意
无代理扫描需要订阅所有者来启用 Defender CSPM 计划。 授权级别较低的任何人都可以启用 Defender CSPM 计划,但由于缺少仅适用于订阅所有者的必需权限,默认情况下不会启用无代理扫描程序。 此外,由于禁用了无代理扫描程序,攻击路径分析和安全资源管理器不会填充漏洞。
有关可用性和每个计划提供的功能的详细信息,请参阅 Defender CSPM 计划选项。
你可以在定价页上了解有关 Defender CSPM 定价的详细信息。
先决条件
需要 Microsoft Azure 订阅。 如果你没有 Azure 订阅,可以注册免费订阅。
必须在 Azure 订阅上启用 Microsoft Defender for Cloud。
连接 非 Azure 计算机、AWS 帐户或 GCP 项目。
如果要访问 CSPM 计划提供的所有功能,订阅所有者必须启用该计划。
启用 Defender for CSPM 计划
启用 Defender for Cloud 后,将会自动收到基础 CSPM 功能提供的保护。 如果要访问 Defender CSPM 提供的其他功能,需要在订阅上启用 Defender CSPM 计划。
要在订阅上启用 Defender CSPM 计划,请执行以下操作:
登录 Azure 门户。
搜索并选择“Microsoft Defender for Cloud”。
在 Defender for Cloud 菜单中,选择“环境设置”。
选择相关的 Azure 订阅、AWS 帐户或 GCP 项目。
在“Defender 计划”页上,将“Defender CSPM 计划”切换为“开”。
选择“保存”。
启用 Defender CSPM 计划的组件
在订阅上启用 Defender CSPM 计划后,便可以启用 Defender CSPM 计划的各个组件:
对计算机进行无代理扫描:扫描计算机中已安装的软件和漏洞,而不会依赖代理或影响计算机性能。 可以禁用无代理扫描程序或将排除标记添加到订阅。
Kubernetes 的无代理发现:以基于 API 的方式发现有关 Kubernetes 群集体系结构、工作负载对象和设置的信息。 作为云安全资源管理器的一部分,此组件对于 Kubernetes 清点、标识和网络泄露检测、风险搜寻而言是必需的。 此扩展对于攻击路径分析是必需的(仅限 Defender CSPM)。
无代理容器漏洞评估:为容器注册表中存储的映像提供漏洞管理。
敏感数据发现:敏感数据发现可以大规模自动发现包含敏感数据的托管云数据资源。 此功能将访问你的数据,采用无代理设计,使用智能采样扫描,并与 Microsoft Purview 敏感信息类型和标签集成。
权限管理(预览版)- 了解云基础结构权利管理 (CIEM)。 CIEM 可确保在云环境中提供适当且安全的标识和访问权限。 它有助于了解对云资源的访问权限和关联的风险。 设置和数据收集最多可能需要 24 小时。
若要启用 Defender CSPM 计划的组件,请执行以下操作:
在“Defender 计划”页中,选择“设置”。
选择每个组件对应的“打开”即可启用它。
(可选)对于无代理扫描,请选择“编辑配置”。
输入要从扫描中排除的任何计算机的标记名称和标记值。
选择“应用”。
选择“继续”。
要想免费获得你的 Defender CSPM 计划附带的一系列功能(从代码编写到云情境化功能,再到自动化开发人员修正工作流),请将 DevOps 环境连接到 Defender for Cloud。