Обзор средств дополнительной защиты Microsoft Defender
Защита от угроз для сетевого уровня Azure
Аналитика на уровне сети в Microsoft Defender для облака основана на примерах данных IPFIX. Это заголовки пакетов, собираемые основными маршрутизаторами Azure. Основываясь на этом веб-канале данных, Defender для облака использует модели машинного обучения для обнаружения и обозначения вредоносных действий с трафиком. Defender для облака также использует базу данных аналитики угроз Майкрософт для обогащения IP-адресов.
В некоторых конфигурациях сети Defender для облака не может создавать оповещения о подозрительных действиях в сети. Чтобы Defender для облака создавал сетевые оповещения, убедитесь в следующем:
у виртуальной машины есть общедоступный IP-адрес (или она находится в пределах подсистемы балансировки нагрузки с общедоступным IP-адресом);
исходящий трафик сети виртуальной машины не блокируется внешним решением IDS;
Защита от угроз для Azure Cosmos DB (предварительная версия)
Оповещения Azure Cosmos DB создаются при нестандартных и потенциально вредоносных попытках получить доступ к учетным записям Azure Cosmos DB или использовать их.
Отображение оповещений Azure WAF в Microsoft Defender для облака
Шлюз приложений Azure предоставляет брандмауэр веб-приложения (WAF), обеспечивающий централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей. Веб-приложения все чаще подвергаются вредоносным атакам, использующим общеизвестные уязвимости. WAF в Шлюзе приложений основан на основном наборе правил версий 3.0 или 2.2.9 из открытого проекта безопасности веб-приложений. WAF обновляется автоматически для защиты от новых уязвимостей.
Если у вас есть лицензия на Azure WAF, ваши оповещения WAF передаются в Defender для облака и дополнительная настройка для этого не требуется.
Отображение оповещений Защиты от атак DDoS Azure в Microsoft Defender для облака
Как известно, осуществить распределенные атаки типа "отказ в обслуживании" (DDoS) довольно просто. Это серьезная проблема для безопасности, особенно в случае перемещения приложения в облако. Целью DDoS-атаки является исчерпание ресурсов приложения, чтобы оно стало недоступным для обычных пользователей. Атаки DDoS могут быть нацелены на любые конечные точки, доступные через Интернет. Чтобы защититься от атак DDoS, приобретите лицензию на службу "Защита от атак DDoS" и обязательно следуйте приведенным ниже рекомендациям по проектированию приложений. Защита от атак DDoS предоставляет различные уровни служб.
Отображение рекомендаций Microsoft Defender для облака в Microsoft Defender для облачных приложений
Microsoft Defender for Cloud Apps — это брокер безопасного доступа в облако (CASB), поддерживающий различные режимы развертывания, включая сбор журналов, соединители API и обратный прокси-сервер. Он позволяет следить за состоянием данных и контролировать их перемещение, а тщательная аналитика помогает обезвреживать киберугрозы во всех облачных службах Майкрософт и сторонних поставщиков.
Если вы включили Microsoft Defender для облачных приложений и выбрали интеграцию в разделе параметров Microsoft Defender для облака, рекомендации по усилению защиты от Microsoft Defender для облака будут отображаться в Defender для облачных приложений без дополнительной настройки.