Azure 威脅防護

Azure 會透過適用於雲端的 Microsoft Defender、Microsoft Sentinel、Microsoft Entra ID Protection 和適用於雲端的 Microsoft Defender Apps 等服務提供全面的威脅防護。 這一系列安全性服務和功能提供進階偵測、回應和威脅情報，以保護您的 Azure 部署。

適用於雲端的 Microsoft Defender

適用於雲端的 Microsoft Defender 可保護您的混合式雲端環境。 透過對連線的資源執行持續的安全評估，它可以針對發現的漏洞提供詳細的安全建議和威脅偵測。

適用於雲端的 Defender 的建議是以 Microsoft 雲端安全性基準為基礎，這是一組 Microsoft 撰寫的 Azure 特定指導方針，以一般合規性架構為基礎，以安全性和合規性最佳做法為基礎。

啟用適用於雲端的 Defender 增強安全性功能，可透過特製化方案，為您的 Azure、混合式和多雲端資源和工作負載提供進階、智慧型保護，包括：

• 適用於伺服器的 Microsoft Defender - 為 Windows 和 Linux 計算機提供威脅偵測和進階防禦
• 適用於儲存體的 Microsoft Defender - 可偵測儲存體帳戶中異常而且可能有害的存取或攻擊意圖
• 適用於 SQL 的 Microsoft Defender - 保護資料庫免於弱點、異常活動和 SQL 插入式威脅
• 適用於容器的 Microsoft Defender - 保護容器化環境，包括 Kubernetes 叢集
• 適用於 App Service 的 Microsoft Defender - 識別以透過 App Service 執行的應用程式為目標的攻擊
• 適用於金鑰保存庫的 Microsoft Defender - 偵測存取金鑰保存庫帳戶的異常且可能有害的嘗試
• 適用於 Resource Manager 的 Microsoft Defender - 監視組織中的資源管理作業
• 適用於 DNS 的 Microsoft Defender - 偵測可疑活動和異常 DNS 查詢
• 適用於 AI 服務的 Microsoft Defender - 為 Azure AI 服務提供執行階段保護，防止越獄、資料暴露和可疑的存取模式

安全分析和威脅情報

Microsoft 資訊安全研究人員會持續監視威脅。 他們可以存取從 Microsoft 在雲端和內部部署中的全域支援取得的一組廣泛遙測。 這組包羅萬象的資料集，可讓 Microsoft 探索其內部部署消費性和企業產品及其線上服務的新攻擊模式和趨勢。

適用於雲端的 Defender 可以在攻擊者發行日新月異的複雜攻擊時，快速地更新其偵測演算法。 這種方法可協助您跟上瞬息萬變的威脅環境。

適用於雲端的 Defender 會自動從您的資源、網路和連線的合作夥伴解決方案收集安全性資訊。 它分析這些信息，關聯來自多個來源的數據，以識別威脅。 適用於雲端的 Defender 的安全性警示會排定優先順序，並提供如何補救威脅的建議。

適用於雲端的 Defender 會運用進階安全性分析，遠勝於以病毒碼為基礎的方法。 大數據和機器學習技術的突破用於評估整個雲端中的事件。 進階分析可以偵測無法透過手動方法識別並預測攻擊進化的威脅。

如需詳細資訊，請參閱 適用於雲端的 Microsoft Defender 簡介。

Microsoft Sentinel

Microsoft Sentinel 是雲端原生安全性資訊和事件管理 （SIEM） 以及安全性協調流程、自動化和回應 （SOAR） 解決方案。 Microsoft Sentinel 在整個企業中提供智慧型安全性分析和威脅情報，提供攻擊偵測、威脅可見度、主動搜捕和威脅回應的單一解決方案。

Microsoft Sentinel 可協助您：

• 在所有使用者、裝置、應用程式和基礎架構中，包括內部部署和多個雲端環境，以雲端規模收集資料。
• 使用 Microsoft 的分析和無與倫比的威脅情報來偵測先前未偵測到的威脅，並將誤判降到最低
• 利用 Microsoft 多年的網路安全工作，使用人工智慧調查威脅並大規模搜尋可疑活動
• 透過內建的協調流程和常見任務的自動化，快速回應事件

主要功能包括：

• 使用內建機器學習、異常偵測以及使用者和實體行為分析 （UEBA） 進行進階威脅偵測
• 來自 Microsoft 和第三方來源的威脅情報整合，以識別已知的威脅執行者及其技術
• 由 AI 提供支援的調查和搜尋工具，可發現隱藏的威脅並在您的環境中追捕攻擊者
• 透過可在幾秒內回應威脅的劇本進行自動回應
• Microsoft Sentinel 資料湖，適用於可調整且具成本效益的長期資料保留和多模式分析功能
• 用於統一圖形分析的 Microsoft Sentinel 圖形，提供更深入的內容和威脅推理

如需詳細資訊，請參閱什麼是 Microsoft Sentinel？。

微軟 Entra 身分識別保護

Microsoft Entra ID Protection 是一項 Microsoft Entra ID P2 功能，可提供可能影響組織身分識別的風險偵測和潛在弱點的概觀。 身分識別保護會使用現有的 Microsoft Entra 異常偵測功能，並引進可偵測即時異常的新風險偵測類型。

Identity Protection 會使用調適性機器學習演算法和啟發學習法，來偵測異常事件和風險偵測，而這些事件都可能表示身分識別已遭盜用。 Identity Protection 會使用此資料來產生報告和警示，讓您可以調查這些風險偵測並採取適當的補救或緩和動作。

Identity Protection 功能

身分識別保護可協助您透過以下方式保護組織的身分識別：

風險檢測與評估：

• 使用機器學習和啟發式規則偵測六種風險偵測類型
• 計算使用者風險等級
• 提供自訂建議，透過醒目提示弱點來改善整體安全狀態

調查能力：

• 傳送風險偵測通知
• 使用相關和上下文資訊調查風險偵測
• 提供追蹤調查的基本工作流程
• 提供對補救動作的輕鬆存取，例如密碼重設

風險型條件式存取原則：

• 透過封鎖登入或要求多重要素驗證挑戰來降低有風險的登入
• 封鎖或保護有風險的使用者帳戶
• 要求使用者註冊多重要素驗證

如需詳細資訊，請參閱 什麼是 Microsoft Entra ID Protection?。

Microsoft Entra Privileged Identity Management

您可以使用 Microsoft Entra Privileged Identity Management (PIM) 來管理、控制和監視組織內的存取。 此功能包括存取 Microsoft Entra ID 中的資源和其他 Microsoft 線上服務 (例如 Microsoft 365 或 Microsoft Intune)。

PIM 可協助您：

• 取得 Microsoft Entra 管理員以及 Microsoft 線上服務的 Just-In-Time (JIT) 系統管理存取權的警示和報告
• 取得系統管理員存取歷程記錄和系統管理員指派變更的報告
• 得到有關存取高權限角色的警示

如需詳細資訊，請參閱什麼是 Microsoft Entra Privileged Identity Management？。

Microsoft Defender for Cloud Apps (Microsoft 雲端應用程式防護)

適用於雲端的 Microsoft Defender Apps 是全方位的解決方案，可協助您的組織充分利用雲端應用程式的承諾，同時透過改善活動的可見度和增強對重要資料的保護來維持控制。

利用有助於揭露影子 IT、評估風險、強制執行原則、調查活動及停止威脅的工具，您的組織可以更安全的移至雲端，同時仍能控制重要資料。

Defender for Cloud Apps 會透過下列方式，以視覺化方式呈現雲端活動：

• 使用 Cloud Discovery 對應和識別您的雲端環境，以及組織正在使用的雲端應用程式
• 制裁和禁止雲端中的應用程式
• 使用易於部署的應用程式連接器，利用提供者 API 來實現可見度和治理
• 透過設定和持續微調原則來提供持續控制
• 使用行為分析搭配 Microsoft 威脅情報提供支援的動態威脅偵測

如需詳細資訊，請參閱 Microsoft Defender for Cloud Apps 是什麼？。

適用於儲存體的 Microsoft Defender

適用於儲存體的 Microsoft Defender 是 Azure 原生安全性智慧層級，用於偵測儲存體帳戶中異常且可能有害的存取意圖或攻擊。 它使用進階威脅偵測功能和 Microsoft 威脅情報資料來提供內容安全性警示，以及減輕偵測到的威脅並防止未來攻擊的步驟。

主要功能包括：

• 惡意軟體掃描 - 具有自動補救功能的上傳和隨選惡意軟體掃描
• 敏感性資料威脅偵測 - 偵測包含敏感性資料的儲存體帳戶的異常存取
• 活動監控 - 提供彙總的儲存活動日誌，以進行威脅偵測和調查

如需詳細資訊，請參閱 適用於儲存體的 Microsoft Defender 簡介。

適用於 SQL 的 Microsoft Defender

適用於 SQL 的 Defender 為資料庫提供弱點、異常活動和威脅的保護：

• 弱點評估 - 探索、追蹤並協助修復潛在的資料庫弱點
• 進階威脅防護 - 偵測異常資料庫活動，指出潛在的安全性威脅，例如 SQL 插入式、暴力密碼破解攻擊和權限濫用

如需詳細資訊，請參閱適用於 Azure SQL 的 Microsoft Defender。

Microsoft Antimalware

適用於 Azure 的 Microsoft 反惡意代碼是適用於應用程式和租用戶環境的單一代理程式解決方案，旨在在背景中執行，無需人工干預。 您可以根據應用程式工作負載的需求部署保護，使用預設的基本安全或進階自訂組態。

適用於 Azure 的 Microsoft 反惡意代碼提供：

• 即時保護 - 監控活動以偵測和阻止惡意軟體執行
• 排程掃描 - 執行目標掃描以偵測惡意軟體
• 惡意軟體修復 - 自動對偵測到的惡意軟體採取行動
• 簽章更新 - 自動安裝最新的保護簽章
• 主動保護 - 報告有關偵測到的威脅的遙測中繼資料並傳送至 Microsoft Azure

如需詳細資訊，請參閱 適用於 Azure 雲端服務和虛擬機器的 Microsoft 反惡意代碼。

Azure 防火牆

Azure 防火牆 是雲端原生和智慧型網路防火牆安全性服務，可為在 Azure 中執行的雲端工作負載提供威脅防護。 Azure 防火牆會使用內建的威脅情報來檢查東西向和南北向流量，這些情報可以警示和拒絕來自/傳入已知惡意 IP 位址和網域的流量。

Azure 防火牆提供三個 SKU：

• Azure 防火牆基本版 - 簡化中小型企業的安全性
• Azure 防火牆標準 - 提供來自 Microsoft Cyber Security 的 L3-L7 篩選和威脅情報摘要
• Azure 防火牆進階版 - 進階功能，包括簽章型 IDPS、TLS 檢查和 URL 篩選

如需詳細資訊，請參閱 什麼是 Azure 防火牆？ 和 Azure 網路安全性概觀。

Web 應用程式防火牆

Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式，使其免於遭遇常見的攻擊和弱點。 WAF 可透過以下方式取得：

• Azure 應用程式閘道 - 提供區域 WAF 保護
• Azure Front Door - 提供全域 WAF 保護，並防範網路層級 DDoS 攻擊

WAF 可防範常見的 Web 漏洞，例如：

• SQL 資料隱碼
• 跨網站指令碼處理
• 其他 OWASP 前 10 個漏洞
• 機器人攻擊
• HTTP 通訊協定違規和異常

如需詳細資訊，請參閱 什麼是 Azure Web 應用程式防火牆？。

後續步驟

• 回應當今的威脅 - 識別作用中的威脅並快速回應
• Azure 安全性最佳做法和模式 - 安全性最佳做法集合
• 適用於雲端的 Microsoft Defender 文件 - 適用於雲端的 Defender 的完整指南
• Microsoft Sentinel 文件 - Microsoft Sentinel 的完整文件