Dela via


Andra hotskydd i Microsoft Defender för molnet

Förutom de inbyggda avancerade skyddsplanerna erbjuder Microsoft Defender för molnet även följande funktioner för skydd mot hot.

Dricks

Om du vill aktivera Funktionerna för skydd mot hot i Defender för molnet måste du aktivera förbättrade säkerhetsfunktioner i prenumerationen som innehåller tillämpliga arbetsbelastningar.

Skydd mot hot för Azure-nätverksnivå

Defenders for Cloud network-layer analytics baseras på IPFIX-exempeldata, som är pakethuvuden som samlas in av Azure Core-routrar. Baserat på det här dataflödet använder Defender för molnet maskininlärningsmodeller för att identifiera och flagga skadliga trafikaktiviteter. Defender for Cloud använder även Microsoft Threat Intelligence-databasen för att utöka IP-adresser.

Vissa nätverkskonfigurationer begränsar Defender för molnet från att generera aviseringar om misstänkt nätverksaktivitet. För att Defender för molnet ska generera nätverksaviseringar kontrollerar du att:

  • Den virtuella datorn har en offentlig IP-adress (eller finns på en lastbalanserare med en offentlig IP-adress).
  • Den virtuella datorns utgående nätverkstrafik blockeras inte av en extern IDS-lösning.

En lista över azure-nätverksnivåaviseringar finns i referenstabellen med aviseringar.

Strömma säkerhetsaviseringar från andra Microsoft usluge

Visa Azure WAF-aviseringar i Defender för molnet

Viktigt!

Den här funktionen dras tillbaka den 25 september 2024. För Sentinel-kunder kan du konfigurera Azure Web Application Firewall-anslutningsappen.

Azure Application Gateway erbjuder en WAF (brandvägg för webbaserade program) som ger ett centraliserat skydd för dina webbappar mot vanliga kryphål och säkerhetsproblem.

Webbprogram utsätts i allt högre grad för skadliga attacker som utnyttjar vanliga sårbarheter. Application Gateway WAF baseras på Core Rule Set 3.2 eller senare från Open Web Application Security Project. WAF uppdateras automatiskt för att skydda mot nya sårbarheter.

Om du har skapat EN WAF-säkerhetslösning strömmas dina WAF-aviseringar till Defender för molnet utan några andra konfigurationer. Mer information om aviseringarna som genereras av WAF finns i CRS-regelgrupper och regler för brandväggen för webbprogram.

Kommentar

Endast WAF v1 stöds och fungerar med Microsoft Defender för molnet.

Utför följande steg för att distribuera Azures Application Gateway WAF:

  1. Öppna Defender för molnet från Azure-portalen.

  2. Välj Säkerhetslösningar i Defender för molnets meny.

  3. I avsnittet Lägg till datakällor väljer du Lägg till för Azures Application Gateway WAF.

    Skärmbild som visar var du väljer lägg till för att distribuera WAF.

Visa Azure DDoS Protection-aviseringar i Defender för molnet

DDoS-attacker (Distributed Denial of Service) är kända för att vara enkla att köra. De har blivit ett stort säkerhetsproblem, särskilt om du flyttar dina program till molnet. En DDoS-attack försöker uttömma ett programs resurser, vilket gör programmet otillgängligt för legitima användare. DDoS-attacker kan riktas mot alla slutpunkter som kan nås via Internet.

Du kan skydda dig mot DDoS-attacker genom att köpa en licens för Azure DDoS Protection och se till att du följer bästa praxis för programdesign. DDoS Protection tillhandahåller olika tjänstnivåer. Mer information finns i Översikt över Azure DDoS Protection.

Om du har Aktiverat Azure DDoS Protection strömmas dina DDoS-aviseringar till Defender för molnet utan att någon annan konfiguration behövs. Mer information om aviseringar som genereras av DDoS Protection finns i Referenstabell med aviseringar.

Upravljanje dozvolama za Microsoft Entra (tidigare Cloudknox)

Upravljanje dozvolama za Microsoft Entra är en ciem-lösning (rights management för molninfrastruktur). Microsoft Entra-behörighetshantering ger omfattande synlighet och kontroll över behörigheter för alla identiteter och alla resurser i Azure, AWS och GCP.

Som en del av integreringen ger varje registrerad Azure-prenumeration, AWS-konto och GCP-projekt dig en vy över ditt Permission Creep Index (PCI). PCI är ett aggregerat mått som regelbundet utvärderar den risknivå som är associerad med antalet oanvända eller överdrivna behörigheter för identiteter och resurser. PCI mäter hur riskfyllda identiteter kan vara, baserat på de behörigheter som är tillgängliga för dem.

Skärmbild av de tre associerade rekommendationerna för behörighetsindex för Azure, AWS och GCP.

Nästa steg

Mer information om säkerhetsaviseringar från dessa hotskyddsfunktioner finns i följande artiklar: