雲端安全性態勢管理 (CSPM)
適用於雲端的 Microsoft Defender 的其中一個重要支柱就是雲端安全性態勢管理 (CSPM)。 CSPM 可讓您詳細了解資產和工作負載的安全性狀態,並提供強化指引,協助您有效率且有效地改善安全性態勢。
適用於雲端的 Defender 會根據針對 Azure 訂用帳戶、AWS 帳戶和 GCP 專案定義的安全性標準,持續評估您的資源。 適用於雲端的 Defender 會根據這些評估提出安全性建議。
依預設,當您在 Azure 訂用帳戶上啟用適用於雲端的 Defender 時,即會開啟 Microsoft 雲端安全性基準 (MCSB) 合規性標準。 它會提供建議。 適用於雲端的 Defender 會根據部分 MCSB 建議提供彙總的安全分數。 分數越高,識別到的風險層級就越低。
CSPM 功能
適用於雲端的 Defender 提供下列 CSPM 供應項目:
基礎 CSPM - 適用於雲端的 Defender 免費提供基本多重雲端 CSPM 功能。 這些功能在已上線至適用於雲端的 Defender 的任何訂用帳戶和帳戶上,會預設為自動啟用。
Defender 雲端安全性態勢管理 (CSPM) 方案 - Defender 雲端安全性態勢管理的選用、付費方案提供更多、更進階的安全性態勢功能。
方案可用性
深入了解 Defender CSPM 定價。
下表會彙總各項方案及其雲端可用性。
| 功能 | 基礎 CSPM | Defender CSPM | 雲端可用性 |
|---|---|---|---|
| 安全性建議 | 
|
|
Azure、AWS、GCP、內部部署 |
| 資產庫存 |
|
|
Azure、AWS、GCP、內部部署 |
| 安全分數 |
|
|
Azure、AWS、GCP、內部部署 |
| 使用 Azure Workbooks 的資料視覺效果和報告 |
|
|
Azure、AWS、GCP、內部部署 |
| 資料匯出 |
|
|
Azure、AWS、GCP、內部部署 |
| 工作流程自動化 |
|
|
Azure、AWS、GCP、內部部署 |
| 補救工具 |
|
|
Azure、AWS、GCP、內部部署 |
| Microsoft 雲端安全性基準 |
|
|
Azure、AWS、GCP |
| 安全性治理 | - |
|
Azure、AWS、GCP、內部部署 |
| 法規合規性標準 | - |
|
Azure、AWS、GCP、內部部署 |
| 雲端安全性總管 | - |
|
Azure、AWS、GCP |
| 攻擊路徑分析 | - |
|
Azure、AWS、GCP |
| 機器的無代理程式掃描 | - |
|
Azure、AWS、GCP |
| 無代理程式容器安全性態勢 | - |
|
Azure、AWS、GCP |
| 容器登錄弱點評估,包括登錄掃描 | - |
|
Azure、AWS、GCP |
| 資料感知安全性態勢 | - |
|
Azure、AWS、GCP |
| 網路暴露中的 EASM 深入解析 | - |
|
Azure、AWS、GCP |
| 權限管理 (預覽) | - |
|
Azure、AWS、GCP |
注意
從 2024 年 3 月 7 日起,必須啟用 Defender CSPM 才能擁有進階 DevOps 安全性功能,包括程式碼到雲端內容化,以針對基礎結構即程式碼安全性結果支援安全性總管和攻擊路徑及提取要求註釋。 若要深入了解,請參閱 DevOps安全性支援和必要條件。
整合 (預覽)
適用於雲端的 Microsoft Defender 現在已內建整合功能,可協助您使用第三方系統順暢地管理和追蹤票證、事件和客戶互動。 您可以將建議推送至第三方票證工具,並將責任指派給小組以進行補救。
整合可簡化您的事件回應程序,並改善管理安全性事件的能力。 您可以更有效率地追蹤、排定優先順序及解決安全性事件。
您可以選擇要整合的票證系統。 針對預覽版,僅支援 ServiceNow 整合。 如需如何設定 ServiceNow 整合的詳細資訊,請參閱整合 ServiceNow 與適用於雲端的 Microsoft Defender (預覽) (部分機器翻譯)。
方案定價
檢閱適用於雲端的 Defender 定價頁面,以了解 Defender CSPM 定價。
從 2024 年 3 月 7 日開始,進階 DevOps 安全性態勢功能只能透過付費 Defender CSPM 方案取得。 適用於雲端的 Defender 中的免費基礎安全性態勢管理將繼續提供一些 Azure DevOps 建議。 深入了解 DevOps 安全性功能。
針對同時使用 Defender CSPM 和適用於容器的 Defender 方案的訂用帳戶,會根據透過適用於容器的 Defender 方案所提供的免費映像掃描來計算免費弱點評估,如適用於雲端的 Microsoft Defender 定價頁面中所摘要。
Defender CSPM 會保護所有多重雲端工作負載,但只會針對特定資源套用計費。 下表列出在 Azure 訂用帳戶、AWS 帳戶或 GCP 專案上啟用 Defender CSPM 時可計費的資源。
Azure Service 資源類型 排除項目 計算 Microsoft.Compute/virtualMachines
Microsoft.Compute/virtualMachineScaleSets/virtualMachines
Microsoft.ClassicCompute/virtualMachines- 已解除配置的 VM
- Databricks VM儲存體 Microsoft.Storage/storageAccounts 沒有 Blob 容器或檔案共用的儲存體帳戶 DB Microsoft.Sql/servers
Microsoft.DBforPostgreSQL/servers
Microsoft.DBforMySQL/servers
Microsoft.Sql/managedInstances
Microsoft.DBforMariaDB/servers
Microsoft.Synapse/workspaces--- AWS 服務 資源類型 排除項目 計算 EC2 執行個體 已解除配置的 VM 儲存體 S3 貯體 --- DB RDS 執行個體 --- GCP 服務 資源類型 排除項目 計算 1.Google 計算執行個體
2.Google 執行個體群組具有非執行狀態的執行個體 儲存體 儲存體貯體 - 來自類別的貯體:‘nearline’、‘coldline’、‘archive’
- 來自以下地區之外的貯體 europe-west1、us-east1、us-west1、us-central1、us-east4、asia-south1、northamerica-northeast1DB 雲端 SQL 執行個體 ---
Azure 雲端支援
如需商業和全國性的雲端涵蓋範圍,請檢閱 Azure 雲端環境中支援的功能 (部分機器翻譯)。
下一步
- 觀看預測未來的安全性事件!雲端安全性態勢管理與 Microsoft Defender (英文)。
- 了解安全性標準和建議 (部分機器翻譯)。
- 了解安全分數 (部分機器翻譯)。