共用方式為

什麼是雲端安全態勢管理 (CSPM)

Microsoft適用於雲端的 Defender 的主要功能之一是雲端安全性狀態管理 (CSPM)。 CSPM 提供資產和工作負載安全性狀態的詳細可見度,並提供強化指引,協助您改善安全性狀態。

適用於雲端的 Defender 會根據針對 Azure 訂用帳戶、Amazon Web Service (AWS) 帳戶和 Google Cloud Platform (GCP) 專案定義的安全性標準持續評估您的雲端基礎結構。 適用於雲端的 Defender 會發出安全性建議,以協助您識別和減少雲端設定錯誤和安全性風險。

根據預設,當您在 Azure 訂用帳戶上啟用適用於雲端的 Defender 時,會啟用 Microsoft 雲端安全性基準 (MCSB) 標準,並提供保護多雲端環境的建議。 以某些 MCSB 建議為基礎的安全 分數 可協助您監視雲端合規性。 較高的分數表示識別的風險等級較低。

CSPM 方案

適用於雲端的 Defender 提供兩個 CSPM 方案選項:

  • 基礎 CSPM - 依預設會為上線至適用於雲端的 Defender 的訂用帳戶和帳戶啟用免費方案。

  • Defender CSPM - 付費方案,提供基礎 CSPM 方案以外的額外功能,包括用於雲端可見性和合規性監視的進階 CSPM 工具。 此版本的方案提供更進階的安全性狀態功能,例如 AI 安全性狀態、攻擊路徑分析、風險優先順序等等。

方案可用性

深入了解 Defender CSPM 定價。 您也可以 使用適用於雲端的 Defender 成本計算機來預估成本

下表會彙總各項方案及其雲端可用性。

功能 基礎 CSPM Defender CSPM 雲端可用性
安全性建議 Azure、AWS、GCP、內部部署、Docker Hub、JFrog Artifactory
資產庫存 Azure、AWS、GCP、內部部署、Docker Hub、JFrog Artifactory
安全分數 Azure、AWS、GCP、內部部署、Docker Hub、JFrog Artifactory
使用 Azure Workbooks 進行資料視覺化與報告 Azure、AWS、GCP、內部部署
資料匯出 Azure、AWS、GCP、內部部署
工作流程自動化 Azure、AWS、GCP、內部部署
補救工具 Azure、AWS、GCP、內部部署、Docker Hub、JFrog Artifactory
Microsoft 雲端安全基準 Azure、AWS、GCP
AI 安全性態勢管理 - Azure、AWS
無代理程式的 VM 弱點掃描 - Azure、AWS、GCP
無代理程式 VM 秘密掃描 - Azure、AWS、GCP
攻擊路徑分析 - Azure、AWS、GCP、Docker Hub、JFrog Artifactory
風險優先順序 (部分機器翻譯) - Azure、AWS、GCP、Docker Hub、JFrog Artifactory
使用安全性總管進行風險搜捕 - Azure、AWS、GCP、Docker Hub、JFrog Artifactory
從程式碼到雲端的容器對映 - GitHub、Azure DevOps2 、Docker Hub、JFrog Artifactory
IaC 的程式碼到雲端對應 - Azure DevOps2、、Docker Hub、JFrog Artifactory
PR 註釋 - GitHub、Azure DevOps2
因特網曝光分析 - Azure、AWS、GCP、Docker Hub、JFrog Artifactory
外部受攻擊面管理 - Azure、AWS、GCP、Docker Hub、JFrog Artifactory
法規遵循評估 - Azure、AWS、GCP、、Docker Hub、JFrog Artifactory
ServiceNow 整合 - Azure、AWS、GCP
重要資產保護 - Azure、AWS、GCP
透過治理大規模推動補救 - Azure、AWS、GCP、Docker Hub、JFrog Artifactory
資料安全態勢管理 (DSPM),敏感資料掃描 - Azure、AWS、GCP1
Kubernetes 的無代理程式探索 - Azure、AWS、GCP
自訂建議 - Azure、AWS、GCP、Docker Hub、JFrog Artifactory
無代理程式碼到雲端容器弱點評量 - Azure、AWS、GCP、Docker Hub、JFrog Artifactory
API 安全性態勢管理 - Azure雲服務
Azure Kubernetes Service 安全性儀錶板 (預覽) - Azure雲服務

1:GCP 敏感資料探索 僅支援雲端儲存 2:必須啟用付費 Defender CSPM 方案,才能使用 DevOps 安全性功能,例如,程式碼到雲端內容化,以針對基礎結構即程式碼安全性結果支援安全性總管、攻擊路徑及提取要求註釋。 深入瞭解DevOps安全性 支援和必要條件

整合

適用於雲端的 Microsoft Defender 現在有內建整合,可協助您使用合作夥伴系統順暢地管理和追蹤票證、事件和客戶互動。 您可以將建議推送至合作夥伴票證工具,並將責任指派給小組以進行補救。

整合可簡化事件回應程式,並改善管理安全性事件的能力。 您可以更有效率地追蹤、排定優先順序及解決安全性事件。

您可以選擇要整合的票證系統。 針對預覽版,僅支援 ServiceNow 整合。 如需設定 ServiceNow 整合的詳細資訊,請參閱 整合 ServiceNow 與 Microsoft Defender for Cloud (預覽版)

方案定價

  • 檢閱適用於雲端的 Defender 定價頁面,以了解 Defender CSPM 定價。 您也可以 使用適用於雲端的 Defender 成本計算機來預估成本

  • DevOps 安全性態勢功能 (例如提取要求註釋、程式碼到雲端對應、攻擊路徑分析和雲端安全性總管) 只能透過付費的 Defender CSPM 方案提供。 免費的基礎安全性狀態管理計劃提供 Azure DevOps 建議。 深入瞭解 Azure DevOps 安全性功能所提供的功能

  • 針對同時使用 Defender CSPM 和 Defender for Containers 方案的訂用帳戶,免費弱點評估是根據透過 Defender for Containers 方案提供的免費映像掃描來計算的,如Microsoft Defender for Cloud 定價頁面中所摘要。 您也可以 使用適用於雲端的 Defender 成本計算機來預估成本

  • Defender CSPM 會保護所有多雲端工作負載,但計費僅適用於特定資源。 下表列出您在 Azure 訂用帳戶、AWS 帳戶或 GCP 專案上啟用 Defender CSPM 時的計費資源。

    Azure Service 資源類型 排除
    Compute Microsoft.Compute/virtualMachines
    Microsoft.Compute/virtualMachineScaleSets/virtualMachines
    Microsoft.ClassicCompute/virtualMachines(微軟經典計算/虛擬機器)    		 - 已解除配置的 VM
    - Databricks VM
    儲存體 Microsoft.Storage/storageAccounts 沒有 Blob 容器或檔案分享的儲存帳戶
    DB Microsoft.Sql/servers
    Microsoft.DBforPostgreSQL/flexibleServers
    Microsoft.DBforMySQL/flexibleServers
    Microsoft.DBforPostgreSQL/servers
    Microsoft.DBforMySQL/servers(微軟MySQL資料庫伺服器)
    Microsoft.Sql/managedInstances
    Microsoft.DBforMariaDB/servers
    Microsoft.Synapse/workspaces    		 ---
    AWS 服務 資源類型 排除
    Compute EC2 實例 已解除配置的 VM
    儲存體 S3 貯體 ---
    DB RDS 執行個體 ---
    GCP 服務 資源類型 排除
    Compute 1. Google 運算實例
    2. Google 實例群組    		 具有非執行狀態的實例
    儲存體 儲存桶 - 屬於下列類別的貯體:'nearline'、'coldline'、'archive'
    - 並非來自以下區域的貯體:europe-west1、us-east1、us-west1、us-central1、us-east4、asia-south1、northamerica-northeast1
    DB 雲端 SQL 執行個體 ---

Azure 雲端支援

如需商業或國內雲端的範圍,請檢閱 Azure 雲端環境中所支援的功能

下一步

  • Last updated on