Udostępnij za pośrednictwem


Zarządzanie stanem zabezpieczeń w chmurze (CSPM)

Jednym z głównych filarów Microsoft Defender dla Chmury jest zarządzanie stanem zabezpieczeń w chmurze (CSPM). CSPM zapewnia szczegółowy wgląd w stan zabezpieczeń zasobów i obciążeń oraz zapewnia wskazówki dotyczące wzmacniania zabezpieczeń, które ułatwiają efektywne i efektywne zwiększanie poziomu zabezpieczeń.

Defender dla Chmury stale ocenia zasoby pod kątem standardów zabezpieczeń zdefiniowanych dla subskrypcji platformy Azure, kont platformy AWS i projektów GCP. Defender dla Chmury wystawia zalecenia dotyczące zabezpieczeń na podstawie tych ocen.

Domyślnie po włączeniu Defender dla Chmury w subskrypcji platformy Azure jest włączony standard zgodności testów porównawczych zabezpieczeń w chmurze firmy Microsoft (MCSB). Zawiera zalecenia. Defender dla Chmury zapewnia zagregowany wskaźnik bezpieczeństwa oparty na niektórych zaleceniach MCSB. Im wyższy wynik, tym niższy zidentyfikowany poziom ryzyka.

Funkcje CSPM

Defender dla Chmury oferuje następujące oferty CSPM:

  • Foundational CSPM - Defender dla Chmury oferuje podstawowe funkcje CSPM w wielu chmurach bezpłatnie. Te funkcje są domyślnie włączane automatycznie dla subskrypcji i kont dołączonych do Defender dla Chmury.

  • Plan zarządzania stanem zabezpieczeń w chmurze (CSPM) w usłudze Defender — opcjonalny, płatny plan zarządzania stanem bezpieczeństwa Defender dla Chmury zapewnia bardziej zaawansowane funkcje stanu zabezpieczeń.

Dostępność planu

Dowiedz się więcej o cenach CSPM w usłudze Defender.

W poniższej tabeli podsumowano każdy plan i ich dostępność w chmurze.

Funkcja Podstawowy CSPM Defender CSPM Dostępność chmury
Zalecenia dotyczące zabezpieczeń Azure, AWS, GCP, lokalnie
Spis zasobów Azure, AWS, GCP, lokalnie
Wskaźnik bezpieczeństwa Azure, AWS, GCP, lokalnie
Wizualizacja i raportowanie danych za pomocą skoroszytów platformy Azure Azure, AWS, GCP, lokalnie
Eksportowanie danych Azure, AWS, GCP, lokalnie
Automatyzacja przepływu pracy Azure, AWS, GCP, lokalnie
Narzędzia do korygowania Azure, AWS, GCP, lokalnie
Test porównawczy zabezpieczeń w chmurze firmy Microsoft Azure, AWS, GCP
Zarządzanie stanem zabezpieczeń sztucznej inteligencji - Azure, AWS
Skanowanie luk w zabezpieczeniach maszyn wirtualnych bez agenta - Azure, AWS, GCP
Skanowanie wpisów tajnych maszyn wirtualnych bez agenta - Azure, AWS, GCP
Analiza ścieżki ataku - Azure, AWS, GCP
Priorytetyzacja ryzyka - Azure, AWS, GCP
Wyszukiwanie zagrożeń za pomocą eksploratora zabezpieczeń - Azure, AWS, GCP
Mapowanie kodu do chmury dla kontenerów - GitHub, Azure DevOps
Mapowanie kodu do chmury dla IaC - Azure DevOps
Adnotacje żądań ściągnięcia - GitHub, Azure DevOps
Analiza ekspozycji internetowej - Azure, AWS, GCP
Zarządzanie obszarem ataków zewnętrznych - Azure, AWS, GCP
Zarządzanie uprawnieniami (CIEM) - Azure, AWS, GCP
Oceny zgodności z przepisami - Azure, AWS, GCP
Integracja z usługą ServiceNow - Azure, AWS, GCP
Ochrona krytycznych zasobów - Azure, AWS, GCP
Ład w celu kierowania korygowaniem na dużą skalę - Azure, AWS, GCP
Zarządzanie stanem zabezpieczeń danych (DSPM), skanowanie danych poufnych - Azure, AWS, GCP1
Odnajdywanie bez agenta dla platformy Kubernetes - Azure, AWS, GCP
Ocena luk w zabezpieczeniach kontenerów bez agenta do chmury - Azure, AWS, GCP

1: Odnajdywanie danych poufnych GCP obsługuje tylko magazyn w chmurze.

Uwaga

Od 7 marca 2024 r. należy włączyć CSPM w usłudze Defender mieć możliwości zabezpieczeń Usługi DevOps w warstwie Premium, które obejmują kontekstową obsługę kontekstową kodu do chmury, umożliwiając eksploratora zabezpieczeń i ścieżki ataków oraz adnotacje żądań ściągnięcia na potrzeby ustaleń zabezpieczeń infrastruktury jako kodu. Aby dowiedzieć się więcej, zobacz Obsługa zabezpieczeń i wymagania wstępne metodyki DevOps.

Integracje

Microsoft Defender dla Chmury ma teraz wbudowane integracje, które ułatwiają bezproblemowe zarządzanie biletami, zdarzeniami i interakcjami z klientami za pomocą systemów innych firm. Rekomendacje można wypychać do narzędzia do obsługi biletów innych firm i przypisywać zespołowi odpowiedzialność za korygowanie.

Integracja usprawnia proces reagowania na zdarzenia i zwiększa możliwość zarządzania zdarzeniami zabezpieczeń. Można śledzić, ustalać priorytety i skuteczniej rozwiązywać zdarzenia zabezpieczeń.

Możesz wybrać system biletów do zintegrowania. W przypadku wersji zapoznawczej obsługiwana jest tylko integracja z usługą ServiceNow. Aby uzyskać więcej informacji na temat konfigurowania integracji z usługą ServiceNow, zobacz Integrowanie usługi ServiceNow z Microsoft Defender dla Chmury (wersja zapoznawcza).

Planowanie cennika

  • Przejrzyj stronę cennika Defender dla Chmury, aby dowiedzieć się więcej o cenach CSPM w usłudze Defender.

  • Od 7 marca 2024 r. zaawansowane funkcje zabezpieczeń metodyki DevOps będą dostępne tylko za pośrednictwem płatnego planu CSPM w usłudze Defender. Bezpłatne podstawowe zarządzanie stanem zabezpieczeń w Defender dla Chmury będzie nadal dostarczać szereg zaleceń dotyczących usługi Azure DevOps. Dowiedz się więcej o funkcjach zabezpieczeń metodyki DevOps.

  • W przypadku subskrypcji korzystających zarówno z planów CSPM w usłudze Defender, jak i usługi Defender for Containers bezpłatna ocena luk w zabezpieczeniach jest obliczana na podstawie bezpłatnych skanów obrazów udostępnianych za pośrednictwem planu usługi Defender for Containers, jak podsumowano na stronie cennika Microsoft Defender dla Chmury.

  • CSPM w usłudze Defender chroni wszystkie obciążenia wielochmurowe, ale rozliczenia są stosowane tylko dla określonych zasobów. W poniższych tabelach wymieniono rozliczane zasoby, gdy CSPM w usłudze Defender jest włączona w subskrypcjach platformy Azure, kontach platformy AWS lub projektach GCP.

    Usługa platformy Azure Typy zasobów Wykluczenia
    Compute Microsoft.Compute/virtualMachines
    Microsoft.Compute/virtualMachineScaleSets/virtualMachines
    Microsoft.ClassicCompute/virtualMachines
    - Cofnięto przydział maszyn wirtualnych
    — Maszyny wirtualne usługi Databricks
    Storage Microsoft.Storage/storageAccounts Konta magazynu bez kontenerów obiektów blob lub udziałów plików
    Bazy danych Microsoft.Sql/servers
    Microsoft.DBforPostgreSQL/servers
    Microsoft.DBforMySQL/servers
    Microsoft.Sql/managedInstances
    Microsoft.DBforMariaDB/servers
    Microsoft.Synapse/workspaces
    ---
    Usługa AWS Typy zasobów Wykluczenia
    Compute Wystąpienia usługi EC2 Cofnięto przydział maszyn wirtualnych
    Storage Zasobniki S3 ---
    Bazy danych Wystąpienia usług pulpitu zdalnego ---
    Usługa GCP Typy zasobów Wykluczenia
    Compute 1. Wystąpienia usługi Google Compute
    2. Grupa wystąpień Google
    Wystąpienia ze stanami, które nie działają
    Storage Zasobniki magazynu - Zasobniki z klas: "nearline", "coldline", "archive"
    - Zasobniki z regionów innych niż: europa-zachód1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1
    Bazy danych Wystąpienia SQL w chmurze ---

Obsługa chmury platformy Azure

W przypadku pokrycia chmury komercyjnej i krajowej zapoznaj się z funkcjami obsługiwanymi w środowiskach chmury platformy Azure.

Obsługa typu zasobu w usługach AWS i GCP

Aby uzyskać wielochmurową obsługę typów zasobów (lub usług) w naszej fundamentalnej warstwie CSPM w wielu chmurach, zobacz tabelę wielochmurowych typów zasobów i usług dla platform AWS i GCP.

Następne kroki