使用 Defender for Cloud 管理基础结构安全性
贵公司是一家金融组织,因此需要满足最高的安全性标准。 每笔客户或合作伙伴交易都必须完全免受威胁,同时还必须有效应对潜在威胁。 例如,如果虚拟机 (VM) 遭到入侵,则必须快速处理以解决问题。
本单元介绍如何使用 Microsoft Defender for Cloud 保护资源并应对威胁。 Defender for Cloud 可帮助你确保基础结构的安全配置尽可能安全。
你可以使用 Defender for Cloud 以:
- 了解体系结构的安全状况。
- 确定和处理基础结构的风险和威胁。
- 通过使用传统内部技能和资金确保复杂基础结构安全。
- 保护包含本地资源和云资源的基础结构。
了解安全态势
必须了解体系结构的安全状况,以帮助构建和维护更好的基础结构。 Defender for Cloud 通过提供对环境的各种组件的详细分析,帮助你了解体系结构的安全性,包括:
- 数据安全性
- 网络安全性
- 身份验证和访问控制
- 应用程序安全性
Defender for Cloud 使用 Azure Monitor 日志从 VM 收集数据,以监视安全漏洞和威胁。 代理从 VM 中读取各种与安全相关的配置和事件日志,然后将数据复制到 Log Analytics 工作区进行分析。
Defender for Cloud 建议了各种方法来解决发现的问题和风险。 可以使用这些建议来提高体系结构的安全性和合规性。
防范威胁
可以使用 Defender for Cloud 实时 (JIT) VM 访问功能和自适应应用程序控制功能来帮助阻止可疑活动和保护资源。 若要访问这些控制功能,请在 Defender for Cloud 左侧导航的“云安全性”部分选择“工作负载保护”。
JIT VM 访问
可以通过使用实时 (JIT) VM 访问功能阻止持久 VM 访问来保护 VM。 只能根据配置的核准访问来访问 VM。
若要启用 JIT,请在“工作负载保护”屏幕的“高级保护”下,选择“实时 VM 访问”。 在“实时 VM 访问”页上,选中“未配置”列表中的一个或多个 VM 旁边的复选框,然后选择“在 (数字) 个 VM 上启用 JIT”,为 VM 配置 JIT。
Defender for Cloud 显示 JIT 设为目标的默认端口列表,你也可以配置自己的端口。
自适应应用程序控制
可以使用自适应应用程序控制来控制允许哪些应用程序在 VM 上运行。 Defender for Cloud 使用机器学习来研究 VM 上运行的进程,为每个保存 VM 的资源组创建例外规则,并提供建议。
若要配置自适应控制,请在“工作负载保护”屏幕的“高级保护”下,选择“自适应应用程序控制”。 “自适应应用程序控制”屏幕显示包含 VM 的资源组列表。 “建议”选项卡列出了 Defender for Cloud 建议用于自适应应用程序控制的资源组。
选择资源组并使用“配置应用程序控制规则”屏幕将应该应用控制规则的 VM 和应用程序定为目标。
应对威胁
Defender for Cloud 提供所有安全警报的集中视图,其中的安全警报按其严重性排名。 可以通过在 Defender for Cloud 左侧导航中选择“安全警报”来查看安全警报。
Defender for Cloud 会尽可能多地将相关警报合并为单个安全事件。 选择事件以查看该事件保留的特定安全警报。
通过选择某个警报,然后选择“查看完整详细信息”来向下钻取该警报。
Defender for Cloud 可通过采取行动来帮助你以自动方式更快地应对威胁。 选择“下一页:执行操作”以对警报执行操作。
展开以下任何部分以对警报执行操作:
- 展开“检查资源上下文”可检查警报时间前后的资源日志。
- 展开“缓解威胁”可查看用于最大程度减轻威胁或修正威胁的建议。
- 展开“防止将来的攻击”可实施安全建议。
- 展开“触发自动响应”可触发逻辑应用作为对此安全警报的自动响应。
- 通过预定义的条件创建抑制规则,抑制相似警报。
- 展开“配置电子邮件通知设置”可选择谁在哪些情况下通知警报。
在警报详细信息中,如果不需要任何操作(例如,存在误报),则应消除警报。 应采取行动解决已知攻击,例如阻止已知的恶意 IP 地址,并应决定哪些警报需要进行更多调查。
