訓練
認證
Microsoft Certified: Azure Network Engineer Associate - Certifications
示範 Azure 網路基礎結構的設計、實作和維護、負載平衡流量、網路路由等等。
保護網路資源
適用於雲端的 Microsoft Defender 會持續分析 Azure 資源的安全性狀態,以提供網路安全性最佳做法。 當適用於雲端的 Defender 識別可能的安全性弱點,即會建立建議來逐步引導設定所需的控制項,以加強和保護您的資源。
檢閱適用於雲端的 Defender 網路建議。
此文章從網路安全性觀點,說明適用於您 Azure 資源的建議。 網路建議聚焦於新一代防火牆、網路安全性群組、JIT VM 存取、過度寬鬆的輸入流量規則等。 如需網路建議和補救動作的清單,請參閱管理適用於雲端的 Microsoft Defender 安全性建議。
適用於雲端的 Defender 網路功能包括:
- 網路對應需要適用於伺服器的 Defender 方案 2 Microsoft。
- 網路安全性建議
從資產清查頁面中,使用資源類型篩選器來選取所要調查的網路資源:
互動式網路地圖可透過圖形方式檢視安全性覆疊,進而為您提供可強化網路資源的的建議和見解。 您可以使用地圖查看 Azure 工作負載的網路拓撲、虛擬機器和子網路之間的連線,而且可以從地圖向下切入到特定的資源,並查看這些資源的建議。
若要開啟網路地圖:
從 適用於雲端的 Defender 功能表中,開啟 [工作負載保護] 儀表板。
選取 [網路地圖]。
- 選取 [層] 功能表,選擇 [拓撲]。
拓撲圖的預設檢視會顯示:
- 目前選取的訂用帳戶 - 已最佳化入口網站中所選訂用帳戶的地圖。 如果您修改選取項目,則會以新的選取項目重新產生地圖。
- Resource Manager 資源類型的 VM、子網路和 Vnet (不支援「傳統」Azure 資源)
- 對等互連的 VNet
- 僅限包含嚴重性為高或中的網路建議的資源
- 網際網路面向資源
網路地圖可以使用 [拓撲] 檢視和 [流量] 檢視顯示您的 Azure 資源。
在網路地圖的 [拓撲] 檢視中,您可以檢視下列關於網路資源的見解:
- 在內部圓形中,您可以看到所選訂用帳戶內的所有 Vnet,下一個圓形是所有子網路,外部圓形則是所有虛擬機器。
- 連接地圖中資源的線條可讓您知道哪些資源彼此相關聯,以及您 Azure 網路的結構。
- 使用嚴重性指標快速了解哪些資源有來自適用於雲端的 Defender 的開放式建議。
- 您可以選取任何資源,向下切入至這些資源,並直接在網路地圖的內容中,檢視該資源的詳細資料及其建議。
- 如果地圖上有太多要顯示的資源,適用於雲端的 Microsoft Defender 會使用其專屬的演算法,對您的資源進行「智慧叢集」,進而醒目提示處於最嚴重狀態的資源和具有最高嚴重性建議的資源。
這是互動式的動態地圖,因此每個節點都可以點選,而且檢視可以根據篩選條件而變更:
您可以使用最上方的篩選器修改您在網路地圖上看到的內容。 您可以根據下列項目來設定地圖的焦點:
- 安全性健康情況:您可以根據 Azure 資源的嚴重性 (高、中、低) 篩選地圖。
- 建議:您可以根據資源的有效建議,選取要顯示的資源。 例如,您可以僅檢視適用於雲端的 Defender 建議您啟用網路安全性群組的資源。
- 網路區域:根據預設,地圖僅會顯示網際網路面向資源,您也可以選取內部 VM。
您隨時可以選取左上角的 [重設],將地圖回復到其預設狀態。
若要向下切入到某個資源:
- 當您在地圖上選取特定的資源時,右窗格會開啟,並提供您資源的一般資訊、連線的安全性解決方案 (如果有的話),以及與資源相關的建議。 對於您選取的每種類型資源而言,這是相同類型的行為。
- 當您將滑鼠暫留在地圖中的某個節點時,您可以檢視該資源的一般資訊,包括訂用帳戶、資源類型和資源群組。
- 使用連結可放大工具提示,並將地圖的焦點重新放在該特定節點上。
- 若要讓地圖的焦點遠離特定節點,則縮小。
[流量] 檢視會為您提供資源之間所有可能流量的地圖。 這會為您提供您所設定之所有規則的視覺導覽圖,而且這些規則會定義能夠與其進行通訊的資源。 這可讓您查看網路安全性群組的現有設定,以及快速找出您工作負載中可能有風險的設定。
此檢視的優點在於它能夠為您顯示這些允許的連線及所存在的弱點,如此您就可以使用這個橫剖面的資料,針對您的資源執行必要的強化。
例如,您可能會偵測到兩部您沒有察覺到的電腦能進行通訊,讓您能更妥善地隔離工作負載和子網路。
若要向下切入到某個資源:
- 當您在地圖上選取特定的資源時,右窗格會開啟,並提供您資源的一般資訊、連線的安全性解決方案 (如果有的話),以及與資源相關的建議。 對於您選取的每種類型資源而言,這是相同類型的行為。
- 選取 [流量] 可針對資源查看可能的輸出和輸入流量清單,這是誰可以與資源進行通訊、誰可以進行通訊,以及透過哪些通訊協定與連接埠的完整清單。 例如,當您選取 VM 時,會顯示可以與其通訊的所有 VM,而且當您選取子網路時,會顯示可以與其通訊的所有網路。
此資料是以網路安全性群組以及進階機器學習演算法為基礎,後者可以分析多個規則,以了解其交叉與互動。
若要深入了解適用於其他 Azure 資源類型的建議,請參閱下列文章︰
其他資源
文件
-
適用於雲端的 Microsoft Defender 概觀 - Microsoft Defender for Cloud
使用 適用於雲端的 Microsoft Defender 保護您的 Azure、混合式和多重雲端資源。 瞭解如何增強雲端安全性狀態。
-
適用於雲端的 Microsoft Defender 中的安全性原則 - Microsoft Defender for Cloud
瞭解如何使用安全策略、標準和建議,在 適用於雲端的 Microsoft Defender 中改善雲端安全性狀態。
-
適用於雲端的 Defender 中的資產清查 - Microsoft Defender for Cloud
瞭解 適用於雲端的 Microsoft Defender 中的資產清查