描述適用於雲端的 Microsoft Defender

  • 6 分鐘

適用於雲端的 Defender 是安全性狀態管理和威脅防護的監視工具。 它會監視您的雲端、內部部署、混合和多雲環境,以提供旨在加強您的安全性態勢的指導和通知。

適用於雲端的 Defender 提供強化資源、追蹤安全性態勢、防範網路攻擊及簡化安全性管理所需的工具。 適用於雲端的 Defender 部署很簡單,它已原生整合至 Azure。

部署的每個位置都受到保護

由於適用於雲端的 Defender 是 Azure 原生服務,因此,許多 Azure 服務都會受到監視和保護,而不需要任何部署。 不過,如果您也有內部部署資料中心,或同時正在另一個雲端環境中運作,則監視 Azure 服務可能無法讓您完全了解安全性情況。

必要時,適用於雲端的 Defender 可以自動部署 Log Analytics 代理程式來收集安全性相關資料。 對於 Azure 機器,會直接處理部署。 對於混合和多雲環境,Microsoft Defender 方案已在 Azure Arc 的幫助下擴充到非 Azure 機器。雲端安全性態勢管理 (CSPM) 功能已擴充到多雲機器,且無需任何代理程式。

Azure 原生保護

適用於雲端的 Defender 可協助您偵測下列領域的威脅:

  • Azure PaaS 服務 – 偵測以 Azure 服務為目標的威脅,包括 Azure App Service、Azure SQL、Azure 儲存體帳戶及更多資料服務。 您也可以使用與 適用於雲端的 Microsoft Defender (先前稱為 Microsoft Cloud App Security) 的原生整合,在 Azure 活動記錄上執行異常偵測。
  • Azure 資料服務 – 適用於雲端的 Defender 包含可協助您在 Azure SQL 中自動分類資料的功能。 您也可取得所有 Azure SQL 和儲存體服務的潛在弱點評量,以及如何緩解的建議。
  • 網路 – 適用於雲端的 Defender 可協助您限制暴露於暴力密碼破解攻擊的程度。 藉由使用 Just-In-Time VM 存取權來減少對虛擬機器連接埠的存取,就能透過防止不必要的存取來強化您的網路。 您可以針對選取的連接埠設定安全存取原則,僅限授權的使用者,允許的來源 IP 位址範圍或 IP 位址,以及在有限的時間內使用。

保護您的混合式資源

除了保護 Azure 環境以外,您還可以將適用於雲端的 Defender 功能新增至混合式雲端環境,藉此保護非 Azure 伺服器。 為了幫助您全心處理最重要的事務,將可根據特定環境自訂威脅情報及排定警示的優先順序。

若要將保護延伸至內部部署機器,請部署 Azure Arc,並啟用適用於雲端的 Defender 增強式安全性功能。

保護在其他雲端上執行的資源

適用於雲端的 Defender 也可以保護在其他雲端中的資源 (例如 AWS 和 GCP)。

例如,如果您已將 Amazon Web Services (AWS) 帳戶連線到 Azure 訂閱,您可以啟用下列任何保護:

  • 適用於雲端的 Defender 的 CSPM 功能會延伸至您的 AWS 資源。 此無代理程式方案會根據安全分數中包含的 AWS 特定安全性建議來評估您的 AWS 資源,並包含安全分數的結果。 資源也會評估是否符合 AWS 專屬的內建標準 (AWS CIS、AWS PCI DSS 和 AWS 基礎安全性最佳做法)。 適用於雲端的 Defender 的資產庫存頁面是啟用多重雲端的功能,可協助您管理 Azure 資源以及 AWS 資源。
  • 適用於容器的 Microsoft Defender 會將其容器威脅偵測和進階防禦延伸至您的 Amazon EKS Linux 叢集。
  • 適用於伺服器的 Microsoft Defender 可為您的 Windows 和 Linux EC2 執行個體帶來威脅偵測和進階防禦功能。

評估、安全及防禦

在管理雲端和內部部署中的資源和工作負載安全性時,適用於雲端的 Defender 可滿足三個重要需求:

  • 持續評估 – 了解您的安全性態勢。 識別和追蹤弱點。
  • 安全 – 使用 Azure 安全性基準強化資源和服務。
  • 防禦 - 偵測並解決資源、工作負載和服務的威脅。

加強評估、安全和防禦的圖表。

持續評估

適用於雲端的 Defender 可協助您持續評估環境。 適用於雲端的 Defender 包含虛擬機器、容器登錄和 SQL 伺服器的弱點評估解決方案。

適用於伺服器的 Microsoft Defender 包含與適用於端點的 Microsoft Defender 的自動原生整合。 啟用此整合後,您將能夠存取 Microsoft 威脅與弱點管理的弱點結果。

在這些評估工具之間,您將有涵蓋計算、資料和基礎結構的定期、詳細的弱點掃描。 您可以從適用於雲端的 Defender 內檢閱並回應這些掃描的結果。

安全

從驗證方法到存取控制,再到零信任的概念,雲端中的安全性是必須做好的基本概念。 若要在雲端中保持安全,您必須確保工作負載安全。 若要保護您的工作負載,您需要有專為環境和情況量身打造的安全性原則。 由於適用於雲端的 Defender 都是以 Azure 原則控制項為基礎所建置,因此您可獲得完整世界級原則解決方案與其彈性。 您可以在適用於雲端的 Defender 中設定原則,以在管理群組、訂閱,甚至整個租用戶執行。

移至雲端的其中一個優點,就是能夠視需要成長和調整,視需求新增服務和資源。 適用於雲端的 Defender 會持續監視跨工作負載部署的新資源。 適用於雲端的 Defender 會根據安全性最佳做法來評估是否已設定新資源。 若非如此,則會加上旗標,並提供建議您必須優先修正的事項清單。 建議可協助您減少每個資源的受攻擊面。

Azure 安全性基準會啟用及支援建議清單。 此 Microsoft 撰寫的 Azure 專用基準,對於以通用合規性架構為基礎的安全性和合規性最佳做法,提供一套指導方針。

如此一來,適用於雲端的 Defender 不只能讓您設定安全性原則,還可以在資源間套用安全設定標準。

為了協助您了解每個建議對整體安全性態勢的重要性,適用於雲端的 Defender 將建議分為多個安全性控制項,並將安全分數值新增至每個控制項。 安全分數可讓您一目了然地指出安全性態勢的健康情況,而控制項則提供一份考量改善安全性分數和整體安全性態勢的工作清單。

此螢幕顯示畫面顯示適用於雲端的 Microsoft Defender 安全分數。

防禦

前兩個領域著重於評估、監視和維護環境。 適用於雲端的 Defender 也藉由提供安全性警示和進階威脅防護功能,協助您保護環境。

安全性警訊

適用於雲端的 Microsoft Defender 在您環境的任何區域中偵測到威脅時,將會產生安全性警示。 安全性警示:

  • 描述受影響資源的詳細資料
  • 建議補救步驟
  • 在某些情況下,提供一個選項來觸發回應的邏輯應用程式

無論是適用於雲端的 Microsoft Defender 所產生的警示,還是適用於雲端的 Microsoft Defender 從整合式安全性產品收到的警示,都可供匯出。 適用於雲端的 Microsoft Defender 提供威脅防護包括混合的攻擊鏈分析,其會根據網路攻擊鏈分析自動與環境中的警示相互關聯,協助您更加了解攻擊活動全貌,掌握攻擊在何處開始以及對資源有何影響。

進階威脅防護

適用於雲端的 Defender 可為許多部署的資源提供進階威脅防護功能,包括虛擬機器、SQL 資料庫、容器、Web 應用程式,以及您的網路。 其保護機制包括使用 Just-In-Time 存取來保護 VM 的管理連接埠,以及利用自適性應用程式控制建立允許清單,指定可和不應在您的機器上執行的應用程式。