使用 Defender CSPM 保護您的資源
在適用於雲端的 Microsoft Defender 中,Defender 雲端安全性態勢管理 (CSPM) 提供強化指引,協助您有效率地改善安全性。 CSPM 也可讓您瞭解目前的安全性情況。
適用於雲端的 Defender 會持續評估資源、訂用帳戶、組織的安全性問題。 適用於雲端的 Defender 會以安全分數顯示您的安全性態勢。 安全分數是安全性結果的彙總分數,可告訴您目前的安全性狀況。 分數越高,識別到的風險層級就越低。
當您啟用適用於雲端的 Defender 時,您會自動啟用基礎 CSPM 功能。 這些功能屬於適用於雲端的 Defender 所提供的免費服務。
您可以啟用 Defender CSPM 方案,該方案可為您的環境提供額外的保護,例如治理、法規合規性、雲端安全性總管、攻擊路徑分析,以及機器的無代理程式掃描。
注意
無代理程式掃描需要訂用帳戶擁有者來啟用 Defender CSPM 方案。 具有較低授權層級的任何人都可以啟用 Defender CSPM 方案,但預設不會啟用無代理程式掃描器,因為缺少僅供訂用帳戶擁有者使用的必要權限。 此外,攻擊路徑分析和安全性總管不會填入弱點,因為無代理程式掃描器已停用。
關於可用性及深入了解每個方案所提供的功能,請參閱 Defender CSPM 方案選項。
您可以在價格頁面深入了 解Defender CSPM 的價格。
必要條件
您需要 Microsoft Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,您可以註冊免費訂用帳戶。
您必須在 Azure 訂用帳戶上啟用適用於雲端的 Microsoft Defender。
連線非 Azure 機器、AWS 帳戶或 GCP 專案。
若要存取 CSPM 方案提供的所有功能,該方案必須由訂用帳戶擁有者啟用。
啟用 Defender CSPM 方案
當您啟用適用於雲端的 Defender 時,您會自動收到基礎 CSPM 功能所提供的保護。 若要存取 Defender CSPM 所提供的其他功能,您必須在訂用帳戶上啟用 Defender CSPM 方案。
若要在您的訂用帳戶上啟用Defender CSPM方案:
登入 Azure 入口網站。
搜尋並選取 [適用於雲端的 Microsoft Defender]。
在適用於雲端的 Microsoft Defender 功能表,選取 [環境設定]。
選取相關的 Azure 訂用帳戶、AWS 帳戶或 GCP 專案。
在 Defender 方案頁面上,將 Defender CSPM 方案切換為 [開啟]。
選取 [儲存]。
啟用 Defender CSPM 方案的元件
在訂用帳戶上啟用 Defender CSPM 方案之後,您就能夠啟用 Defender CSPM 方案的個別元件:
機器的無代理程式掃描:掃描中已安裝的軟體和弱點,而不需要依賴代理程式,也不會影響電腦的效能。 您可以停用無代理程式掃描器,或將排除標籤新增至您的訂用帳戶。
Kubernetes 的無代理程式探索:以 API 為基礎探索 Kubernetes 叢集架構、工作負載對象和設定的相關資訊。 用於 Kubernetes 清查、身分識別和網路暴露偵測的必要功能,可在雲端安全性總管中搜捕風險。 攻擊路徑分析需要此延伸模組 (僅限 Defender CSPM)。
無代理程式容器弱點評量:提供容器登錄中所儲存映像的弱點管理。
敏感資料探索:敏感資料探索會自動且大規模地探索包含敏感資料的受控雲端資料資源。 此功能會存取您的資料 (無代理程式)、使用智慧取樣掃描,並與 Microsoft Purview 敏感性資訊類型和標籤整合。
權限管理 - 雲端基礎結構權利管理 (CIEM) 的深入解析。 CIEM 可確保雲端環境中適當且安全的身分識別和存取權限。 可協助了解雲端資源的存取權限和相關聯的風險。 設定和資料收集最多可能需要 24 小時的時間。
若要啟用 Defender CSPM 方案的元件:
在 [Defender 方案] 頁面上,選取 [設定]。
針對每個元件選取 [開啟] 來加以啟用。
(選擇性) 針對無代理程式掃描,選取 [編輯設定]。
針對要從掃描中排除的任何電腦,輸入標籤名稱和標籤值。
選取套用。
選取繼續。
如需雲端內容化功能和自動化開發人員補救工作流程的程式碼 (其隨附於您的 Defender CSPM 方案且不需額外費用),請將 DevOps 環境連線至適用於雲端的 Defender。