Správa stavu zabezpečení cloudu (CSPM)

Jedním z hlavních pilířů Programu Microsoft Defender for Cloud je správa stavu zabezpečení cloudu (CSPM). CSPM poskytuje podrobný přehled o stavu zabezpečení vašich prostředků a úloh a poskytuje pokyny k posílení zabezpečení, které vám pomůžou efektivně a efektivně zlepšit stav zabezpečení.

Defender for Cloud průběžně vyhodnocuje vaše prostředky proti standardům zabezpečení definovaným pro vaše předplatná Azure, účty AWS a projekty GCP. Na základě těchto posouzení doporučení zabezpečení pro Defender for Cloud

Když ve výchozím nastavení povolíte Defender for Cloud v předplatném Azure, zapne se standard dodržování předpisů Microsoft Cloud Security Benchmark (MCSB ). Poskytuje doporučení. Defender for Cloud poskytuje agregované skóre zabezpečení na základě některých doporučení MCSB. Čím vyšší je skóre, tím nižší je zjištěná úroveň rizika.

Funkce CSPM

Defender for Cloud nabízí následující nabídky CSPM:

• Základní CSPM – Defender for Cloud nabízí zdarma základní multicloudové funkce CSPM. Tyto funkce jsou ve výchozím nastavení povolené pro předplatná a účty, které se připojují k Defenderu pro cloud.

• Plán Správy stavu cloudového zabezpečení v defenderu (CSPM) – Volitelný, placený plán Správy stavu zabezpečení cloudu v defenderu pro cloud poskytuje pokročilejší funkce stavu zabezpečení.

Dostupnost plánu

Přečtěte si další informace o cenách CSPM defenderu.

Následující tabulka shrnuje jednotlivé plány a jejich dostupnost v cloudu.

Funkce	Základní CSPM	Defender CSPM	Dostupnost cloudu
Doporučení zabezpečení			Azure, AWS, GCP, místní
Inventář prostředků			Azure, AWS, GCP, místní
Bezpečnostní skóre			Azure, AWS, GCP, místní
Vizualizace a vytváření sestav dat pomocí Azure Workbooks			Azure, AWS, GCP, místní
Export dat			Azure, AWS, GCP, místní
Automatizace pracovních postupů			Azure, AWS, GCP, místní
Nástroje pro nápravu			Azure, AWS, GCP, místní
Srovnávací test microsoft cloudových zabezpečení			Azure, AWS, GCP
Správa stavu zabezpečení AI	-		Azure, AWS
Kontrola ohrožení zabezpečení virtuálního počítače bez agentů	-		Azure, AWS, GCP
Kontrola tajných kódů virtuálních počítačů bez agentů	-		Azure, AWS, GCP
Analýza cesty útoku	-		Azure, AWS, GCP
Stanovení priorit rizik	-		Azure, AWS, GCP
Proaktivní vyhledávání rizik pomocí Průzkumníka zabezpečení	-		Azure, AWS, GCP
Mapování kódu na cloud pro kontejnery	-		GitHub, Azure DevOps
Mapování kódu na cloud pro IaC	-		Azure DevOps
Poznámky k žádostem o přijetí změn	-		GitHub, Azure DevOps
Analýza vystavení internetu	-		Azure, AWS, GCP
Správa prostorů pro vnější útoky	-		Azure, AWS, GCP
Správa oprávnění (CIEM)	-		Azure, AWS, GCP
Posouzení dodržování právních předpisů	-		Azure, AWS, GCP
Integrace ServiceNow	-		Azure, AWS, GCP
Ochrana důležitých prostředků	-		Azure, AWS, GCP
Zásady správného řízení pro řízení nápravy ve velkém měřítku	-		Azure, AWS, GCP
Správa stavu zabezpečení dat (DSPM), kontrola citlivých dat	-		Azure, AWS, GCP1
Zjišťování bez agentů pro Kubernetes	-		Azure, AWS, GCP
Posouzení ohrožení zabezpečení kontejnerů bez agentů bez kódu do cloudu	-		Azure, AWS, GCP

¹: Zjišťování citlivých dat GCP podporuje pouze cloudové úložiště.

Poznámka:

Počínaje 7. březnem 2024 musí být v programu Defender CSPM povolené prémiové funkce zabezpečení DevOps, které zahrnují kontextování kódu do cloudu, které podporují průzkumníka zabezpečení a cesty útoku a poznámky žádostí o přijetí změn pro zjištění zabezpečení infrastruktury jako kódu. Další informace najdete v podpoře zabezpečení DevOps a požadavcích .

Integrace

Microsoft Defender pro cloud teď obsahuje integrované integrace, které vám pomůžou používat systémy třetích stran k bezproblémové správě a sledování lístků, událostí a interakcí zákazníků. Doporučení můžete odeslat do nástroje pro vytváření lístků třetí strany a přiřadit odpovědnost týmu za nápravu.

Integrace zjednodušuje proces reakce na incidenty a zlepšuje schopnost spravovat incidenty zabezpečení. Incidenty zabezpečení můžete efektivněji sledovat, určovat jejich prioritu a řešit je.

Můžete zvolit, který systém lístků se má integrovat. Ve verzi Preview se podporuje pouze integrace ServiceNow. Další informace o tom, jak nakonfigurovat integraci ServiceNow, najdete v tématu Integrace ServiceNow s Microsoft Defenderem pro cloud (Preview).

Ceny plánů

• Projděte si stránku s cenami Defenderu pro cloud a seznamte se s cenami CSPM Defenderu.

• Od 7. března 2024 budou pokročilé možnosti stavu zabezpečení DevOps k dispozici pouze prostřednictvím placeného plánu CSPM v programu Defender. Bezplatná základní správa stavu zabezpečení v Defenderu pro cloud bude i nadále poskytovat řadu doporučení Azure DevOps. Přečtěte si další informace o funkcích zabezpečení DevOps.

• U předplatných, která používají plány CSPM v programu Defender a Defender for Containers, se posouzení ohrožení zabezpečení počítá na základě bezplatných kontrol obrázků poskytovaných prostřednictvím plánu Defender for Containers, jak je shrnuto na stránce s cenami za Microsoft Defender for Cloud.

• CSPM v programu Defender chrání všechny úlohy ve vícecloudovém prostředí, ale fakturace se uplatňuje jenom na konkrétní prostředky. Následující tabulky uvádějí fakturovatelné prostředky, pokud je u předplatných Azure, účtů AWS nebo projektů GCP povolen program CSPM defenderu.

  Služba Azure	Typy zdrojů	Vyloučení
  Compute	Microsoft.Compute/virtualMachines Microsoft.Compute/virtualMachineScaleSets/virtualMachines Microsoft.ClassicCompute/virtualMachines	– Uvolněné virtuální počítače – Virtuální počítače Databricks
  Úložiště	Microsoft.Storage/storageAccounts	Účty úložiště bez kontejnerů objektů blob nebo sdílených složek
  Databáze	Microsoft.Sql/servers Microsoft.DBforPostgreSQL/servery Microsoft.DBforMySQL/servery Microsoft.Sql/managedInstances Microsoft.DBforMariaDB/servery Microsoft.Synapse/workspaces	---

  Služba AWS	Typy zdrojů	Vyloučení
  Compute	Instance EC2	Uvolněné virtuální počítače
  Úložiště	Kontejnery S3	---
  Databáze	Instance RDS	---

  Služba GCP	Typy zdrojů	Vyloučení
  Compute	1. Instance Google Compute 2. Skupina instancí Google	Instance s nespuscenými stavy
  Úložiště	Kontejnery úložiště	– Kontejnery z tříd: nearline, coldline, archive - Kbelíky z jiných oblastí než evropa-západ1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-severovýchod1
  Databáze	Cloudové instance SQL	---

Podpora cloudu Azure

V případě pokrytí komerčním a národním cloudem si projděte funkce podporované v cloudových prostředích Azure.

Podpora typu prostředku v AWS a GCP

Informace o podpoře typů prostředků (nebo služeb) v naší základní multicloudové úrovni CSPM najdete v tabulce vícecloudových prostředků a typů služeb pro AWS a GCP.

Další kroky

• Sledujte předpověď budoucích bezpečnostních incidentů! Správa stavu zabezpečení cloudu pomocí Microsoft Defenderu
• Seznamte se se standardy zabezpečení a doporučeními.
• Přečtěte si informace o skóre zabezpečení.