描述 Azure 安全中心
若要解决混合环境中特有的安全挑战(例如快速变化的服务、复杂的攻击和增加的工作负载),Contoso IT 员工需使用工具来帮助评估其安全状况并确定风险。 理想情况下,建议以最小的工作量部署这些工具。 Azure 安全中心可帮助满足所有要求。
什么是 Azure 安全中心
安全中心是一项基于云的服务,用于管理云和本地基础结构的安全性。 利用安全中心功能,你可以:
- 提高安全性。 使用安全中心在 IaaS、平台即服务 (PaaS)、数据和本地资源中实现安全性最佳做法。 除安全性最佳做法以外,你还可以跟踪针对法规标准的合规性。
- 保护环境。 监视对云和本地服务器的安全威胁,包括识别错误配置以及为服务器终结点检测和响应 (EDR) 提供 Microsoft Defender 高级威胁防护 (ATP)。
- 保护数据。 识别可疑活动,例如服务器、文件、数据库、数据仓库和存储帐户中潜在的数据泄露。 安全中心还可以在 Azure SQL 数据库中执行自动数据分类。
安全中心在混合环境中的工作方式
除了用于监视和保护 Azure IaaS、PaaS 和数据资源的安全中心功能之外,安全中心还有助于保护 Azure 外的服务器。 从 Azure 门户,你可以在本地 Windows Server 和 Linux 服务器 VM 以及非 Azure 云 VM 上安装 Log Analytics 代理。 然后,代理会收集安全中心监视和管理那些资源所需的数据。
安全中心从代理收集事件日志事件和 Windows 事件跟踪事件。 然后,它扫描与安全相关的配置以及 Azure 中的本机事件。 应用程序失败时,Log Analytics 代理还会收集故障转储,并启用命令行审核。 它分析这些数据源并生成推荐执行的强化任务的自定义列表,然后生成可发送到 SIEM 解决方案的安全警报。
备注
除 Log Analytics 代理外,安全中心中加入的 Windows Server 计算机还会自动启用 Microsoft Defender ATP 传感器。
通知
加入安全中心时首先要做的其中一件事就是提供联系人信息,确保安全中心在检测到受威胁资源时可以通知你。 在“安全中心”的“定价和设置”页上,选择“电子邮件通知”,然后提供电子邮件地址和电话号码。 选择是否接收高严重性事件的警报,以及订阅中具有“所有者”角色的所有用户是否都应收到通知。
VM 的安全中心功能范围
安全中心提供了各种功能,其中一些功能属于免费服务层,可用于 Azure VM 和 PaaS 服务,而一些功能则仅属于标准层。
备注
仅部分功能适用于本地服务器和 VM,且需要标准层。
下表是一些常见的安全中心功能:
- Microsoft Intune Endpoint Protection 评估
- 丢失的操作系统修补程序评估
- 安全配置错误评估
- 磁盘加密评估
- 网络安全评估
- 第三方漏洞评估
- VM 行为分析和安全警报
- 自适应应用程序控制
- 文件完整性监视
- 无文件安全警报
- Defender ATP
- 合规性仪表板和报表
- 自适应网络控制
- 自适应网络强化
- 实时 (JIT) VM 访问
- 本机漏洞评估
- 网络映射
- 基于网络的安全警报
可以查看计算机的功能范围来了解哪些安全中心功能包含在哪个定价层中,并了解这些功能的作用。