你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

可帮助你保护、检测和做出响应的 Azure 功能和资源

项目
10/20/2023

Microsoft 斥资深入研究了 Azure 本机安全功能，组织可以利用这些功能来抵御在大量日常攻击和复杂的针对性攻击中发现的勒索软件攻击技术。

关键功能包括：

本机威胁检测：Microsoft Defender for Cloud 提供高质量的威胁检测和响应功能（也称为扩展检测和响应 (XDR)）。这有助于：
- 避免浪费时间和稀缺安全资源人才来使用原始活动日志生成自定义警报。
- 确保有效的安全监视，这通常使安全团队能够快速批准使用 Azure 服务。
无密码和多重身份验证：Microsoft Entra 多重身份验证、Microsoft Entra Authenticator 应用和 Windows Hello 提供这些功能。这有助于保护帐户免受常见密码攻击（占我们在 Microsoft Entra ID 中看到的标识攻击量的 99.9%）。虽然安全性并不完美，但消除了仅使用密码的攻击媒介，这可显著降低 Azure 资源的勒索软件攻击风险。
本机防火墙和网络安全：Microsoft 在 Azure 中构建了本机 DDoS 攻击缓解措施、防火墙、Web 应用程序防火墙和许多其他控件。这种“安全即服务”有助于简化安全控制的配置和实施。这使组织可以选择使用本机服务或虚拟设备版本的熟悉供应商功能来简化其 Azure 安全性。

Microsoft Defender for Cloud

Microsoft Defender for Cloud 是一个内置工具，可为在 Azure、本地和其他云中运行的工作负载提供威胁防护能力。该工具可以保护你的混合数据，云原生服务和服务器免受勒索软件和其他威胁的侵害；并且与现有的安全工作流（如 SIEM 解决方案和 Microsoft 的大量威胁情报）集成，以简化威胁缓解。

Microsoft Defender for Cloud 直接从 Azure 体验中为所有资源提供保护，并使用 Azure Arc 将保护扩展到本地和多云虚拟机以及 SQL 数据库：

保护 Azure 服务
保护混合工作负载
使用 AI 和自动化优化安全性
检测并阻止任何云上 Linux 和 Windows 服务器的高级恶意软件和威胁
保护云本机服务免受威胁
保护数据服务免受勒索软件攻击
通过持续的资产发现、漏洞管理和威胁监控，保护你的托管和非托管 IoT 和 OT 设备

Microsoft Defender for Cloud 为你提供了检测和阻止资源的勒索软件、高级恶意软件和威胁的工具

保护资源安全是你的云提供商 Azure 和作为客户的你之间共同的努力。在移动到云时必须确保工作负荷是安全的，同时，当移动到 IaaS（基础结构即服务）时，需要承担的客户责任比使用 PaaS（平台即服务）和 SaaS（软件即服务）时要更多。 Microsoft Defender for Cloud 提供强化网络、保护服务安全以及确保你掌控安全态势所需的工具。

Microsoft Defender for Cloud 是一个统一的基础结构安全管理系统，可以增强数据中心的安全态势，以及为云中（无论是否在 Azure 中）和本地的混合工作负载提供高级威胁防护。

通过 Defender for Cloud 的威胁防护，可以在基础结构即服务 (IaaS) 层、非 Azure 服务器以及针对 Azure 中的平台即服务 (PaaS) 进行检测和防范威胁。

Defender for Cloud 的威胁防护包括融合杀伤链分析，它可以基于网络杀伤链分析自动关联环境中的警报，有助于更好地了解攻击活动的完整情况，例如它的起始位置以及它对资源造成的影响。

关键功能：

持续安全评估：识别缺少安全更新或操作系统设置不安全以及易受攻击的 Azure 配置的 Windows 和 Linux 计算机。添加要监视的可选监视列表或事件。
可操作的建议：通过按优先级排列的、可操作的安全建议，快速修复安全漏洞。
集中式策略管理：通过集中管理所有混合云工作负荷中的安全策略，确保符合公司或法规安全要求。
行业内最全面的威胁情报：利用 Microsoft Intelligent Security Graph，通过全球各地的 Microsoft 服务和系统发送的数万亿信号识别新的及不断演变的威胁。
高级分析和机器学习：使用内置的行为分析和机器学习来识别已知的攻击模式和违规后活动。
自适应应用程序控件 - 通过应用适合特定工作负载且由机器学习提供支持的允许列表建议，阻止恶意软件和其他不需要的应用程序。
按优先级排列的警报和攻击时间线：首先关注最关键的威胁，将优先级警报和事件映射到单个攻击活动中。
简化调查：通过可视化的交互式体验快速调查攻击的范围和影响。使用即席查询深入探索安全数据。
自动化和编排：通过与 Azure 逻辑应用的内置集成，自动执行常见安全工作流，以解决威胁。创建安全 playbook，用于将警报路由到现有票证系统或触发事件响应操作。

Microsoft Sentinel

微软哨兵帮助创建杀伤链的完整视图

借助 Sentinel，你可以使用内置连接器和行业标准连接到任何安全源，然后利用人工智能关联跨越多个源的多个低保真信号，以创建勒索软件杀伤链的完整视图和优先级警报，以便防御者可以加快驱逐对手的时间。

Microsoft Sentinel 是整个企业的鸟瞰视图，可以缓解日益复杂的攻击、不断增加的警报数量以及长时间解决时间帧带来的压力。

跨所有用户、设备、应用程序和基础结构（包括本地和多个云）以云规模收集数据。

使用 Microsoft 的分析和出色的威胁情报检测以前未检测到的威胁，并最大限度地减少误报。

借助人工智能调查威胁，结合 Microsoft 多年以来的网络安全工作经验大规模搜寻可疑活动。

通过内置的业务流程和常见任务自动化快速响应事件。

使用 Microsoft Defender for Cloud 进行本机威胁预防

Microsoft Defender for Cloud 扫描 Azure 订阅中的虚拟机，并建议在未检测到现有解决方案时部署终结点保护。可通过“建议”部分访问此建议：

Screenshot of Microsoft Defender for Cloud overview

Microsoft Defender for Cloud 为虚拟机、SQL 数据库、容器、Web 应用程序、网络等提供安全警报和高级威胁防护。当 Microsoft Defender for Cloud 在环境的任何区域中检测到威胁时，会生成安全警报。这些警报会描述受影响资源的详细信息、建议的修正步骤，在某些情况下还会提供触发逻辑应用作为响应的选项。

此警报是检测到的 Petya 勒索软件警报的一个示例：

Example of a detected Petya ransomware alert

Azure 本机备份解决方案可保护你的数据

组织可以帮助防止勒索软件攻击中丢失的一个重要方法是备份业务关键型信息，以防其他防御失败。由于勒索软件攻击者在无效化备份应用程序和操作系统功能（如卷影复制）方面大力投入，因此拥有恶意攻击者无法访问的备份至关重要。借助灵活的业务连续性和灾难恢复解决方案、行业领先的数据保护和安全工具，Azure 云提供安全服务来保护你的数据：

Azure 备份：Azure 备份服务提供简单、安全且经济高效的解决方案来备份 Azure VM。目前，Azure 备份支持使用 Azure 虚拟机的备份解决方案备份 VM 中的所有磁盘（OS 和数据磁盘）。
Azure 灾难恢复：通过从本地到云或从一个云到另一个云的灾难恢复，可以避免停机并保持应用程序正常运行。
Azure 中的内置安全性和管理：要在云时代取得成功，企业必须对每个组件具有可见性/指标和控制，以便有效地查明问题、进行有效优化和扩展，同时确保安全性、合规性和策略到位，以确保速度。

有保证且以受保护的方式访问你的数据

Azure 在管理全球数据中心方面拥有很长一段时间的经验，这些数据中心得到了微软 150 亿美元的基础设施投资的支持，该投资正在不断进行评估和改进 - 当然还有持续的投资和改进。

关键功能：

Azure 附带本地冗余存储 (LRS)，其中数据存储在本地，以及异地冗余存储 (GRS) 在第二个区域中
存储在 Azure 上的所有数据都受到高级加密过程的保护，并且所有 Microsoft 的数据中心都具有双层身份验证、代理卡访问读卡器和生物识别扫描仪
Azure 获得的认证比市场上任何其他公共云提供商都多，包括 ISO 27001、HIPAA、FedRAMP、SOC 1、SOC 2 和许多国际规范

其他资源

结论

Microsoft 非常注重我们云的安全性，并为你提供保护云工作负载所需的安全控件。作为网络安全领域的领导者，我们肩负着让世界变得更安全的责任。我们的安全框架、设计、产品、法律工作、行业合作伙伴关系和服务中全面的勒索软件预防和检测方法都反映了这一点。

我们期待与你合作，以整体方式解决勒索软件保护，检测和预防问题。

联系我们：

有关 Microsoft 如何保护我们的云的详细信息，请访问服务信任门户。

后续步骤

参阅白皮书：Azure 针对勒索软件攻击的防御措施白皮书。

本系列中的其他文章：