什么是 Microsoft Defender for Cloud？

來源： Microsoft

作者：Microsoft

時間：2021-11-29

Azure 安全中心和 Azure Defender 現(xiàn)在稱為 Microsoft Defender For Cloud。我們還將 Azure Defender 計劃重命名為了 Microsoft Defender 計劃。例如，Azure Defender for Storage 現(xiàn)在名為 Microsoft Defender for Storage。

備注

詳細(xì)了解 Microsoft 安全服務(wù)最近的重命名。

Defender for Cloud 是用于進(jìn)行安全態(tài)勢管理和威脅防護(hù)的工具。它增強了云資源的安全態(tài)勢，并且借助其集成的 Microsoft Defender 計劃，Defender for Cloud 可保護(hù)在 Azure、混合和其他云平臺中運行的工作負(fù)載。

Defender for Cloud 提供了強化資源、跟蹤安全態(tài)勢i、防范網(wǎng)絡(luò)攻擊和簡化安全管理所需的工具。由于它以本機方式集成，因此部署 Defender for Cloud 很容易，且默認(rèn)情況下會為你提供簡單的自動預(yù)配，以保護(hù)資源。

Defender for Cloud 滿足在云和本地管理資源和工作負(fù)載的安全性時的三個重要需求：

了解 Microsoft Defender for Cloud 的核心功能。

微信圖片_20211129152400.png

態(tài)勢管理和工作負(fù)載保護(hù)

Microsoft Defenders for Cloud 的功能涵蓋了云安全的兩大重要領(lǐng)域：云安全態(tài)勢管理和云工作負(fù)載保護(hù)。

云安全狀況管理 (CSPM)

在 Defender for Cloud 中，態(tài)勢管理功能提供：

可見性 - 幫助你了解當(dāng)前的安全狀況
強化指南 - 幫助你有效提高安全性

Defender for Cloud 中可幫助你實現(xiàn)這些目標(biāo)的核心功能是“安全功能分?jǐn)?shù)”。 Defender for Cloud 會持續(xù)評估資源、訂閱和組織的安全問題。然后，它將所有調(diào)查結(jié)果匯總成一個分?jǐn)?shù)，讓你可以一目了然地了解當(dāng)前的安全狀況：分?jǐn)?shù)越高，識別出的風(fēng)險級別就越低。

首次打開 Defender for Cloud 時，它將滿足以下可見性和增強目標(biāo)：

根據(jù)對連接資源的評估與 Azure 安全基準(zhǔn)中的指南進(jìn)行比較，為訂閱生成安全功能分?jǐn)?shù)。使用該分?jǐn)?shù)了解你的安全態(tài)勢，并使用合規(guī)性儀表板檢查你對內(nèi)置基準(zhǔn)的合規(guī)情況。啟用增強的安全性功能后，可以自定義用于評估合規(guī)性的標(biāo)準(zhǔn)，并添加其他法規(guī)（例如 NIST 和 Azure CIS）或特定于組織的安全要求。
根據(jù)任何已識別的安全配置錯誤和弱點提供強化建議。使用這些安全建議來增強組織的 Azure、混合和多云資源的安全態(tài)勢。

詳細(xì)了解安全功能分?jǐn)?shù)。

云工作負(fù)載保護(hù) (CWP)

Defender for Cloud 提供由 Microsoft 威脅情報提供支持的安全警報。它還包括一系列針對工作負(fù)載的高級智能保護(hù)。工作負(fù)載保護(hù)是通過特定于訂閱中的資源類型的 Microsoft Defender 計劃提供的。例如，你可以啟用“適用于存儲的 Microsoft Defender”以獲取有關(guān)與 Azure 存儲帳戶相關(guān)的可疑活動的警報。

Azure、混合和多云保護(hù)

由于 Defender for Cloud 是一項 Azure 本機服務(wù)，因此無需任何部署即可監(jiān)視和保護(hù)許多 Azure 服務(wù)。

必要時，Defender for Cloud 可以自動部署 Log Analytics 代理來收集與安全相關(guān)的數(shù)據(jù)。對于 Azure 計算機，可直接處理部署。對于混合環(huán)境和多云環(huán)境，Microsoft Defender 計劃會在 Azure Arc 的幫助下擴展到非 Azure 計算機。CSPM 功能擴展到多云計算機，無需任何代理（請參閱保護(hù)在其他云上運行的資源）。

Azure 本機保護(hù)

Defender for Cloud 可幫助檢測以下范圍內(nèi)的威脅：

Azure PaaS 服務(wù) - 檢測針對 Azure 服務(wù)的威脅，包括 Azure 應(yīng)用服務(wù)、Azure SQL、Azure 存儲帳戶和更多數(shù)據(jù)服務(wù)。你還可以使用與 Microsoft Defender for Cloud Apps（以前稱為 Microsoft Cloud App Security）的本機集成對 Azure 活動日志執(zhí)行異常情況檢測。
Azure 數(shù)據(jù)服務(wù) - Defender for Cloud 包含有助于自動分類 Azure SQL 中數(shù)據(jù)的功能。還可以獲取跨 Azure SQL 和存儲服務(wù)對潛在漏洞進(jìn)行的評估，以及有關(guān)如何緩解這些問題的建議。
網(wǎng)絡(luò) - Defender for Cloud 可幫助限制遭受暴力攻擊的風(fēng)險。通過減少對虛擬機端口的訪問，使用實時 VM 訪問，可以通過阻止不必要的訪問來強化網(wǎng)絡(luò)。可以在所選端口上設(shè)置安全訪問策略，僅限授權(quán)用戶、允許的源 IP 地址范圍或 IP 地址，以及僅在有限的時間內(nèi)。

保護(hù)混合資源

除了保護(hù) Azure 環(huán)境之外，還可以將 Defender for Cloud 功能添加到混合云環(huán)境中，以保護(hù)非 Azure 服務(wù)器。為了幫助你專注于最重要的事情，你可以根據(jù)特定環(huán)境獲取自定義威脅情報和設(shè)置了優(yōu)先級的警報。

若要將保護(hù)擴展到本地計算機，請部署 Azure Arc 并啟用 Defender for Cloud 的增強安全性功能。詳細(xì)了解使用 Azure Arc 添加非 Azure 計算機。

保護(hù)在其他云上運行的資源

Defender for Cloud 可以保護(hù)其他云（例如 AWS 和 GCP）中的資源。

例如，如果已將 Amazon Web Services (AWS) 帳戶連接到 Azure 訂閱，可啟用以下任何保護(hù)：

Defender for Cloud 的 CSPM 功能擴展到 AWS 資源。此無代理計劃根據(jù)特定于 AWS 的安全建議來評估 AWS 資源，這些建議包含在安全評分中。還將評估這些資源是否符合特定于 AWS 的內(nèi)置標(biāo)準(zhǔn)（AWS CIS、AWS PCI DSS 和 AWS 基礎(chǔ)安全最佳做法）。 Defender for Cloud 的資產(chǎn)清單頁是一個支持多云的功能，有助于同時管理 AWS 資源和 Azure 資源。
Microsoft Defender For Kubernetes 將其容器威脅檢測和高級防護(hù)功能擴展到 Amazon EKS Linux 群集。
Microsoft Defender for servers 引入了適用于 Windows 和 Linux EC2 實例的威脅檢測和高級防護(hù)功能。此計劃包括用于 Microsoft Defender for Endpoint、安全基線和 OS 級別評估、漏洞評估掃描、自適應(yīng)應(yīng)用程序控制 (AAC)、文件完整性監(jiān)視 (FIM) 等的集成許可證。

詳細(xì)了解如何將 AWS 和 GCP 帳戶連接到 Microsoft Defender for Cloud。

漏洞評估和管理

關(guān)注 Microsoft Defender for Cloud 的評估功能。

Defender for Cloud 包含針對虛擬機、容器注冊表和 SQL 服務(wù)器的漏洞評估解決方案，作為增強的安全性功能的一部分。一些掃描程序由 Qualys 提供支持。但你無需具備 Qualys 許可證，甚至還不需要 Qualys 帳戶 - 所有操作都在 Defender for Cloud 內(nèi)無縫執(zhí)行。

適用于服務(wù)器的 Microsoft Defender 提供與 Microsoft Defender for Endpoint 的自動本機集成。若要了解詳細(xì)信息，請參閱通過 Defender for Cloud 的集成式 EDR 解決方案 Microsoft Defender for Endpoint 來保護(hù)終結(jié)點。啟用此集成后，將可以從 Microsoft 威脅和漏洞管理訪問漏洞發(fā)現(xiàn)結(jié)果。若要了解詳細(xì)信息，請參閱通過 Microsoft Defender for Endpoint 的威脅和漏洞管理調(diào)查弱點。

查看這些漏洞掃描程序中的發(fā)現(xiàn)結(jié)果，并相應(yīng)地從 Defender for Cloud 內(nèi)部作出全部響應(yīng)。這種廣泛的方法使 Defender for Cloud 更接近于用于集中了解所有云安全工作情況的統(tǒng)一視窗。

通過以下頁面了解詳細(xì)信息：

適用于 Azure 和混合計算機的 Defender for Cloud 集成式 Qualys 掃描程序
標(biāo)識 Azure 容器注冊表映像中的漏洞

通過配置建議的控制來優(yōu)化和提高安全性

關(guān)注 Microsoft Defender for Cloud 的“安全”功能。

了解并確保工作負(fù)荷的安全性是保障安全的基礎(chǔ)，并且要從擁有量身定制的適當(dāng)安全策略開始。由于 Defender for Cloud 中的策略都是基于 Azure Policy 控制構(gòu)建的，因此你將獲得世界級策略解決方案的全方位服務(wù)和靈活性。在 Defender for Cloud 中，可以將策略設(shè)置為在管理組上、訂閱中以及甚至為整個租戶運行。

Defender for Cloud 會持續(xù)發(fā)現(xiàn)部署在工作負(fù)載中的新資源，并評估它們是否已根據(jù)安全最佳做法進(jìn)行了配置。如果沒有，則會將它們標(biāo)記出來，并且你將獲得一個按優(yōu)先級排列的建議列表，便于你進(jìn)行修復(fù)。這些建議有助于降低每個資源的攻擊面。

建議列表由 Azure 安全基準(zhǔn)啟用和支持。此基準(zhǔn)是 Microsoft 制定的 Azure 專屬準(zhǔn)則，提供一組基于常見合規(guī)框架的安全性與合規(guī)性最佳做法指南。有關(guān)詳細(xì)信息，請參閱 Azure 安全基準(zhǔn)簡介。

通過這種方式，Defender for Cloud 不僅使你能夠設(shè)置安全策略，還使你能夠在整個資源中應(yīng)用安全配置標(biāo)準(zhǔn)。

Defender for Cloud 建議示例。

為了幫助你了解每個建議對整體安全狀況的重要程度，Defender for Cloud 將建議分組到安全控件中，并向每個控件添加“安全功能分?jǐn)?shù)”值。這一點在你設(shè)置安全工作的優(yōu)先級時至關(guān)重要。

Defender for Cloud 安全功能分?jǐn)?shù)。

防御威脅

關(guān)注 Microsoft Defender for Cloud 的“防御”功能。

Defender for Cloud 提供：

安全警報 - 當(dāng) Defender for Cloud 在環(huán)境的任何區(qū)域中檢測到威脅時，會生成安全警報。這些警報會描述受影響資源的詳細(xì)信息、建議的修正步驟，在某些情況下還會提供觸發(fā)邏輯應(yīng)用作為響應(yīng)的選項。無論警報是由 Defender for Cloud 生成，還是由 Defender for Cloud 從集成安全產(chǎn)品接收，你都可以導(dǎo)出該警報。若要將警報導(dǎo)出到 Microsoft Sentinel、任何第三方 SIEM 或任何其他外部工具，請按照將警報流式傳輸?shù)?SIEM、SOAR，或 IT 服務(wù)管理解決方案中的說明操作。 Defender for Cloud 的威脅防護(hù)包括融合殺傷鏈分析，它可以基于網(wǎng)絡(luò)殺傷鏈分析自動關(guān)聯(lián)環(huán)境中的警報，有助于更好地了解攻擊活動的完整情況，例如它的起始位置以及它對資源造成的影響。 Defender for Cloud 支持的攻擊鏈意圖基于 MITRE ATT&CK 矩陣版本 7。
針對虛擬機、SQL 數(shù)據(jù)庫、容器、Web 應(yīng)用程序、網(wǎng)絡(luò)等的高級威脅防護(hù)功能 - 保護(hù)措施包括使用實時訪問和自適應(yīng)應(yīng)用程序控件保護(hù) VM 的管理端口，創(chuàng)建允許列表來確定在計算機上應(yīng)或不應(yīng)運行哪些應(yīng)用。

Microsoft Defender for Cloud 的“Defender 計劃”頁面為環(huán)境的計算、數(shù)據(jù)和服務(wù)層提供了以下全面防御計劃：