在 Microsoft Defender for Cloud 中启用工作负载保护服务
Defender for Cloud 提供由 Microsoft 威胁情报 提供支持的安全警报。 它还包括一系列针对工作负载的高级智能保护。 工作负载保护是通过特定于订阅中的资源类型的 Microsoft Defender 计划提供的。 例如,你可以启用 Microsoft Defender for Storage 以获取有关与存储资源相关的可疑活动的警报。
云工作负载仪表板包含以下部分:
- Microsoft Defender for Cloud 覆盖范围 - 在这里,你可以查看订阅中有资格受 Defender for Cloud 保护的资源类型。 只要相关,也可以在此处升级。 如果要升级所有可能的符合条件的资源,请选择“升级全部”。
- 安全警报 - Defender for Cloud 在你的环境的任何区域中检测到威胁时会生成警报。 这些警报描述了受影响资源的详细信息、建议的修正步骤,在某些情况下,还会提供触发逻辑应用作为响应的选项。 在该图中选择任意位置将打开“安全警报”页面。
- 高级保护 - Defender for Cloud 包含许多高级威胁防护功能,这些功能适用于虚拟机、结构化查询语言 (SQL) 数据库、容器、Web 应用程序、网络,等等。 在此高级保护部分中,可以查看所选订阅中每种保护的资源状态。 选择其中任何一个可直接转到该保护类型的配置区域。
- 见解 - 此滚动窗格包含新闻、建议阅读内容和高优先级警报,可以让 Defender for Cloud 了解与你和你的订阅相关的严重安全问题。 不管是通过漏洞分析工具在 VM 上发现的高严重性通用漏洞和披露 (CVE) 列表,还是 Defender for Cloud 团队成员提供的新博客文章,都可以在此处的“见解”面板中找到。
保护云工作负载
主动安全原则要求你实施安全做法来保护工作负载免受威胁。 云工作负载保护 (CWP) 提供特定于工作负载的建议,可引导你使用正确的安全控制来保护工作负载。
当环境受到威胁时,安全警报会立即指示威胁的性质和严重性,以便你可以规划响应。 在确定环境中的威胁后,你需要快速响应,以限制资源的风险。
| 功能 | 它解决了什么问题? | 入门 | Defender 计划 |
|---|---|---|---|
| 保护云服务器 | 通过 Microsoft Defender for Endpoint 或涵盖实时网络访问、文件完整性监视、漏洞评估等的扩展保护提供服务器保护。 | 保护多云和本地服务器 | 适用于服务器的 Defender |
| 识别对存储资源的威胁 | 使用高级威胁检测功能和 Microsoft 威胁情报数据来检测访问或利用存储帐户的异常和潜在有害尝试,以提供上下文安全警报。 | 保护云存储资源 | Defender for Storage |
| 保护云数据库 | 通过针对 Azure 中最常用的数据库类型的攻击检测和威胁响应来保护整个数据库资产,以根据其攻击面和安全风险来保护数据库引擎和数据类型。 | 为云和本地数据库部署专用保护 | - 适用于 Azure SQL 数据库的 Defender - 适用于计算机上的 SQL Server 的 Defender - 适用于开源关系数据库的 Defender - Defender for Azure Cosmos DB |
| 保护容器 | 保护容器,以便通过环境强化、漏洞评估和运行时保护来改进、监视和维护群集、容器及其应用程序的安全性。 | 查找容器中的安全风险 | Defender for Containers |
| 基础结构服务见解 | 诊断应用程序基础结构中可能使环境容易受到攻击的弱点。 | 识别针对在应用服务上运行的应用程序的攻击 检测攻击 Key Vault 帐户的尝试 获取可疑资源管理器操作的警报 公开异常 DNS 活动 |
- 适用于应用服务的 Defender - Defender for Key Vault - 适用于资源管理器的 Defender - Defender for DNS |
| 安全警报 | 了解威胁环境安全的实时事件。 警报经过分类并分配有严重性级别,以指示正确的响应。 | 管理安全警报 | 任何工作负载保护 Defender 计划 |
| 安全事件 | 关联警报以识别攻击模式,并与安全信息和事件管理 (SIEM)、安全业务流程自动响应 (SOAR) 以及 IT 服务管理 (ITSM) 解决方案集成,以响应威胁并限制资源的风险。 | 将警报导出到 SIEM、SOAR 或 ITSM 系统 | 任何工作负载保护 Defender 计划 |