Defender for Cloud Apps如何帮助保护 Azure 环境
Azure 是一个 IaaS 提供商,使组织能够在云中托管和管理其整个工作负载。 除了利用云中的基础结构的好处外,组织最关键的资产还可能面临威胁。 公开的资产包括具有潜在敏感信息的存储实例、运行某些最关键应用程序的计算资源、端口以及允许访问组织的虚拟专用网络。
通过监视管理和登录活动、通知可能的暴力攻击、恶意使用特权用户帐户和异常删除 VM,将 Azure 连接到Defender for Cloud Apps可帮助你保护资产并检测潜在威胁。
主要威胁
- 滥用云资源
- 泄露的帐户和内部威胁
- 数据泄漏
- 资源配置错误和访问控制不足
Defender for Cloud Apps如何帮助保护环境
使用内置策略和策略模板控制 Azure
可以使用以下内置策略模板来检测潜在威胁并通知你:
| 类型 | 名称 |
|---|---|
| 内置异常情况检测策略 |
来自匿名 IP 地址的活动 来自不常见国家/地区的活动 来自可疑 IP 地址的活动 终止的用户 (执行的活动需要作为 IdP) Microsoft Entra ID 多个失败登录尝试 异常管理活动 预览) (异常的多个存储删除活动 多个删除虚拟机活动 预览) (异常的多个 VM 创建活动 |
有关创建策略的详细信息,请参阅 创建策略。
自动化治理控制
除了监视潜在威胁外,还可以应用并自动执行以下 Azure 治理操作来修正检测到的威胁:
| 类型 | Action |
|---|---|
| 用户治理 | - 通过Microsoft Entra ID) 在警报 (通知用户 - 要求用户通过Microsoft Entra ID) 重新登录 ( - 通过Microsoft Entra ID) 暂停用户 ( |
有关修正来自应用的威胁的详细信息,请参阅 治理连接的应用。
实时保护 Azure
查看我们的最佳做法, 了解如何保护与外部用户协作 , 以及阻止和保护将敏感数据下载到非托管或有风险的设备。
将 Azure 连接到 Microsoft Defender for Cloud Apps
本部分提供有关使用应用连接器 API 将Microsoft Defender for Cloud Apps连接到现有 Azure 帐户的说明。 通过此连接,可以了解和控制 Azure 的使用。 有关Defender for Cloud Apps如何保护 Azure 的信息,请参阅保护 Azure。
注意
- 用户必须至少是 Azure AD 中的安全管理员才能将 Azure 连接到Microsoft Defender for Cloud Apps。
- Defender for Cloud Apps显示所有订阅中的活动。
- 当用户在 Azure 中执行活动时,将在 Defender for Cloud Apps 填充用户帐户信息。
- 目前,Defender for Cloud Apps仅监视 ARM 活动。
若要将 Azure 连接到Defender for Cloud Apps,
在Microsoft Defender门户中,选择“设置”。 然后选择“ 云应用”。 在 “连接的应用”下,选择“ 应用连接器”。
在 “应用连接器 ”页中,选择“ +连接应用”,然后选择 “Microsoft Azure”。
在 “连接 azure Microsoft ”页中,选择“ Microsoft Azure 连接”。
在Microsoft Defender门户中,选择“设置”。 然后选择“ 云应用”。 在 “连接的应用”下,选择“ 应用连接器”。 确保已连接应用连接器的状态为 “已连接”。
注意
连接 Azure 后,将拉取数据。 你将看到从此以后的数据。
如果连接应用时遇到任何问题,请参阅 应用连接器故障排除。
后续步骤
如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证。