適用於雲端的 Microsoft Defender 中的其他威脅防護
除了其內建進階保護方案之外,適用於雲端的 Microsoft Defender 也提供下列威脅防護功能。
提示
若要啟用適用於雲端的 Defender 威脅防護功能,您必須在包含適用工作負載的訂用帳戶上啟用增強型安全性功能。
Azure 網路層的威脅防護
適用於雲端的 Defender 網路層分析是以範例 IPFIX 資料 為基礎,而此資料是 Azure 核心路由器所收集到的封包標頭。 根據此資料摘要,適用於雲端的 Defender 會使用機器學習模型來識別並標示惡意的流量活動。 適用於雲端的 Defender 亦會使用 Microsoft 威脅情報資料庫來擴充 IP 位址。
某些網路設定會限制適用於雲端的 Defender,使其無法針對可疑的網路活動產生警示。 若要讓適用於雲端的 Defender 產生網路警示,請確定:
- 您的虛擬機器具有公用 IP 位址 (或位於具有公用 IP 位址的負載平衡器上)。
- 虛擬機器的網路輸出流量不會遭到外部 IDS 解決方案封鎖。
如需 Azure 網路層警示的清單,請參閱警示的參考資料表。
串流來自其他 Microsoft 服務的安全性警示
在適用於雲端的 Defender 中顯示 Azure WAF 警示
重要
此功能將於 2024 年 9 月 25 日淘汰。 針對 Sentinel 客戶,您可以設定 Azure Web 應用程式防火牆 連接器。
Azure 應用程式閘道提供了 Web 應用程式防火牆 (WAF),可為 Web 應用程式提供集中式保護,免於遭遇常見的攻擊和弱點。
Web 應用程式已逐漸成為利用常見已知弱點進行惡意攻擊的目標。 應用程式閘道 WAF 會以 Open Web Application Security Project 中的核心規則集 3.2 或更高版本為基礎。 系統會自動更新 WAF 以防護新的弱點。
如果您已建立 WAF 安全性解決方案,則不需要其他設定即可串流您的 WAF 警示至適用於雲端的 Defender。 若要進一步了解 WAF 所產生的警示,請參閱 Web 應用程式防火牆 CRS 規則群組與規則。
注意
僅支援 WAF v1,且會與適用於雲端的 Microsoft Defender 搭配使用。
若要部署 Azure 的應用程式閘道 WAF,請執行下列步驟:
從 Azure 入口網站 開啟 [適用於雲端的 Defender]。
從適用於雲端的 Defender 功能表,選取 [安全性解決方案]。
在 [新增資料來源] 區段中,為 Azure 應用程式閘道 WAF 選取 [新增]。
在適用於雲端的 Defender 中顯示 Azure DDoS 保護警示
目前已知分散式阻斷服務 (DDoS) 攻擊是很容易執行的。 這類攻擊已成為很大的安全顧慮,特別是當您將應用程式移轉至雲端時。 DDoS 攻擊會嘗試耗盡應用程式的資源,讓合法使用者無法使用該應用程式。 DDoS 攻擊可以鎖定任何可透過網際網路連線的任何端點。
若要防範 DDoS 攻擊,請購買 Azure DDoS 保護的授權,並確實遵循應用程式設計的最佳做法。 DDoS 保護提供不同的服務層級。 如需詳細資訊,請參閱 Azure DDoS 保護概觀。
如果您已啟用 Azure DDoS 保護,則不需要其他設定,就會將您的 DDoS 警示串流至適用於雲端的 Defender。 如需 DDoS 保護所產生警示的詳細資訊,請參閱警示的參考資料表。
Microsoft Entra 權限管理 (舊稱 Cloudknox)
Microsoft Entra 權限管理是雲端基礎結構權利管理 (CIEM) 解決方案。 Microsoft Entra 權限管理可對 Azure、AWS 和 GCP 的任何身分識別和任何資源提供完整的可見度和權限控制。
在整合過程中,每個上線的 Azure 訂閱、AWS 帳戶和 GCP 專案都可供您了解權限蔓延指標 (PCI)。 PCI 是彙總的計量,其會定期評估與整個身分識別和資源中未使用或過多權限數目相關聯的風險層級。 PCI 會根據身分識別潛的可用權限,估算身分識別的潛在風險。
下一步
若要深入了解這些威脅防護功能的安全性警示,請參閱下列文章: