共用方式為


雲端安全性態勢管理 (CSPM)

適用於雲端的 Microsoft Defender 的其中一個重要支柱就是雲端安全性態勢管理 (CSPM)。 CSPM 可讓您詳細了解資產和工作負載的安全性狀態,並提供強化指引,協助您有效率且有效地改善安全性態勢。

適用於雲端的 Defender 會根據針對 Azure 訂用帳戶、AWS 帳戶和 GCP 專案定義的安全性標準,持續評估您的資源。 適用於雲端的 Defender 會根據這些評估提出安全性建議。

依預設,當您在 Azure 訂用帳戶上啟用適用於雲端的 Defender 時,即會開啟 Microsoft 雲端安全性基準 (MCSB) 合規性標準。 它會提供建議。 適用於雲端的 Defender 會根據部分 MCSB 建議提供彙總的安全分數。 分數越高,識別到的風險層級就越低。

CSPM 功能

適用於雲端的 Defender 提供下列 CSPM 供應項目:

  • 基礎 CSPM - 適用於雲端的 Defender 免費提供基本多重雲端 CSPM 功能。 這些功能在已上線至適用於雲端的 Defender 的任何訂用帳戶和帳戶上,會預設為自動啟用。

  • Defender 雲端安全性態勢管理 (CSPM) 方案 - Defender 雲端安全性態勢管理的選用、付費方案提供更多、更進階的安全性態勢功能。

方案可用性

深入了解 Defender CSPM 定價

下表會彙總各項方案及其雲端可用性。

功能 基礎 CSPM Defender CSPM 雲端可用性
安全性建議 Azure、AWS、GCP、內部部署
資產庫存 Azure、AWS、GCP、內部部署
安全分數 Azure、AWS、GCP、內部部署
使用 Azure Workbooks 的資料視覺效果和報告 Azure、AWS、GCP、內部部署
資料匯出 Azure、AWS、GCP、內部部署
工作流程自動化 Azure、AWS、GCP、內部部署
補救工具 Azure、AWS、GCP、內部部署
Microsoft 雲端安全性基準 (部分機器翻譯) Azure、AWS、GCP
AI 安全性態勢管理 - Azure、AWS
無代理程式 VM 弱點掃描 (部分機器翻譯) - Azure、AWS、GCP
無代理程式 VM 秘密掃描 (部分機器翻譯) - Azure、AWS、GCP
攻擊路徑分析 - Azure、AWS、GCP
風險優先順序 (部分機器翻譯) - Azure、AWS、GCP
使用安全性總管進行風險搜捕 (部分機器翻譯) - Azure、AWS、GCP
容器的程式碼至雲端對應 - GitHub、Azure DevOps
IaC 的程式碼到雲端對應 - Azure DevOps
PR 註釋 - GitHub、Azure DevOps
網際網路暴露風險分析 - Azure、AWS、GCP
外部受攻擊面管理 - Azure、AWS、GCP
權限管理 (CIEM) (部分機器翻譯) - Azure、AWS、GCP
法規合規性評定 (部分機器翻譯) - Azure、AWS、GCP
ServiceNow 整合 (部分機器翻譯) - Azure、AWS、GCP
重要資產保護 (部分機器翻譯) - Azure、AWS、GCP
透過治理大規模推動補救 - Azure、AWS、GCP
資料安全性態勢管理 (DSPM),敏感資料掃描 (部分機器翻譯) - Azure、AWS、GCP1
Kubernetes 的無代理程式探索 - Azure、AWS、GCP
無代理程式碼到雲端容器弱點評估 (部分機器翻譯) - Azure、AWS、GCP

1:GCP 敏感資料探索 僅支援雲端記憶體 (部分機器翻譯)。

注意

從 2024 年 3 月 7 日起,必須啟用 Defender CSPM 才能擁有進階 DevOps 安全性功能,包括程式碼到雲端內容化,以針對基礎結構即程式碼安全性結果支援安全性總管和攻擊路徑及提取要求註釋。 若要深入了解,請參閱 DevOps安全性支援和必要條件

整合

適用於雲端的 Microsoft Defender 現在已內建整合功能,可協助您使用第三方系統順暢地管理和追蹤票證、事件和客戶互動。 您可以將建議推送至第三方票證工具,並將責任指派給小組以進行補救。

整合可簡化您的事件回應程序,並改善管理安全性事件的能力。 您可以更有效率地追蹤、排定優先順序及解決安全性事件。

您可以選擇要整合的票證系統。 針對預覽版,僅支援 ServiceNow 整合。 如需如何設定 ServiceNow 整合的詳細資訊,請參閱整合 ServiceNow 與適用於雲端的 Microsoft Defender (預覽) (部分機器翻譯)。

方案定價

  • 檢閱適用於雲端的 Defender 定價頁面,以了解 Defender CSPM 定價。

  • 從 2024 年 3 月 7 日開始,進階 DevOps 安全性態勢功能只能透過付費 Defender CSPM 方案取得。 適用於雲端的 Defender 中的免費基礎安全性態勢管理將繼續提供一些 Azure DevOps 建議。 深入了解 DevOps 安全性功能

  • 針對同時使用 Defender CSPM 和適用於容器的 Defender 方案的訂用帳戶,會根據透過適用於容器的 Defender 方案所提供的免費映像掃描來計算免費弱點評估,如適用於雲端的 Microsoft Defender 定價頁面中所摘要。

  • Defender CSPM 會保護所有多重雲端工作負載,但只會針對特定資源套用計費。 下表列出在 Azure 訂用帳戶、AWS 帳戶或 GCP 專案上啟用 Defender CSPM 時可計費的資源。

    Azure Service 資源類型 排除項目
    計算 Microsoft.Compute/virtualMachines
    Microsoft.Compute/virtualMachineScaleSets/virtualMachines
    Microsoft.ClassicCompute/virtualMachines
    - 已解除配置的 VM
    - Databricks VM
    儲存體 Microsoft.Storage/storageAccounts 沒有 Blob 容器或檔案共用的儲存體帳戶
    DB Microsoft.Sql/servers
    Microsoft.DBforPostgreSQL/servers
    Microsoft.DBforMySQL/servers
    Microsoft.Sql/managedInstances
    Microsoft.DBforMariaDB/servers
    Microsoft.Synapse/workspaces
    ---
    AWS 服務 資源類型 排除項目
    計算 EC2 執行個體 已解除配置的 VM
    儲存體 S3 貯體 ---
    DB RDS 執行個體 ---
    GCP 服務 資源類型 排除項目
    計算 1.Google 計算執行個體
    2.Google 執行個體群組
    具有非執行狀態的執行個體
    儲存體 儲存體貯體 - 來自類別的貯體:‘nearline’、‘coldline’、‘archive’
    - 來自以下地區之外的貯體 europe-west1、us-east1、us-west1、us-central1、us-east4、asia-south1、northamerica-northeast1
    DB 雲端 SQL 執行個體 ---

Azure 雲端支援

如需商業和全國性的雲端涵蓋範圍,請檢閱 Azure 雲端環境中支援的功能 (部分機器翻譯)。

支援 AWS 和 GCP 中的資源類型

如需我們基礎多雲端 CSPM 層中資源類型 (或服務) 的多重雲端支援,請參閱 AWS 和 GCP的多雲端資源和服務類型資料表 (英文)。

下一步