使用適用於雲端的 Defender 管理基礎結構安全性
因為您的公司為金融組織,所以必須符合最高安全性標準。 每個客戶或合作夥伴交易都必須完全受到保護不受威脅,而且您也必須有效地回應潛在威脅。 例如,如果虛擬機器 (VM) 遭到入侵,您必須快速地採取行動以解決問題。
本單元描述如何使用適用於雲端的 Microsoft Defender 來保護資源並回應威脅。 適用於雲端的 Defender 可協助您確保基礎結構的安全性設定盡可能安全。
您可使用適用於雲端的 Defender 來:
- 了解架構的安全性態勢。
- 找出並解決對於基礎結構的風險和威脅。
- 使用傳統的內部技能和資本保護複雜的基礎結構。
- 保護包含內部部署與雲端資源的基礎結構。
了解安全性態勢
您必須了解架構的安全性態勢,以協助您建置和維護更好的基礎結構。 適用於雲端的 Defender 可協助您了解架構的安全性,方法是提供您環境不同元件的詳細分析,包括:
- 資料安全性
- 網路安全性
- 身分識別與存取
- 應用程式安全性
適用於雲端的 Defender 會使用 Azure 監視器記錄從您的 VM 收集資料,以監視安全性弱點和威脅。 代理程式會讀取電腦的各種安全性相關設定和事件記錄檔,並將資料複製到 Log Analytics 工作區進行分析。
適用於雲端的 Defender 會建議如何解決已發現的問題與風險。 您可以使用建議來改善架構的安全性與合規性。
防範威脅
您可以使用適用於雲端的 Defender Just-In-Time (JIT) VM 存取和自適性應用程式控制,以協助封鎖可疑的活動並保護您的資源。 若要存取這些控制項,請在適用於雲端的 Defender 左側導覽的 [雲端安全性] 區段中選取 [工作負載保護]。
JIT VM 存取
您可以使用 Just-In-Time (JIT) VM 存取功能來封鎖持續性 VM 存取,以保護您的 VM。 您的 VM 只能根據您設定的稽核存取來存取。
若要啟用 JIT,請在 [工作負載保護] 畫面上的 [進階保護] 下選取 [Just-In-Time VM 存取]。 在 [Just-In-Time VM 存取] 頁面上,選取 [未設定] 清單中一或多個 VM 旁的核取方塊,然後選取 [在 (數字) VM 上啟用 JIT] 來為 VM 設定 JIT。
適用於雲端的 Defender 會顯示 JIT 鎖定的預設連接埠清單,或者您可以設定自己的連接埠。
自適性應用程式控制
您可以使用自適性應用程式控制來控制哪些應用程式可在您的 VM 上執行。 適用於雲端的 Defender 會使用機器學習來查看 VM 上執行的程序、為每個保留 VM 的資源群組建立例外規則,並提供建議。
若要設定自適性控制,請在 [進階保護] 下的 [工作負載保護] 畫面上選取 [自適性應用程式控制]。 [自適性應用程式控制] 畫面會顯示包含您的 VM 的資源群組清單。 [建議] 索引標籤會列出適用於雲端的 Defender 建議用於自適性應用程式控制的資源群組。
選取資源群組,並使用 [設定應用程式控制規則] 畫面,將應套用控制規則的 VM 和應用程式設為目標。
回應威脅
適用於雲端的 Defender 可讓您集中檢視所有安全性警示,並依其嚴重性排名。 您可以在適用於雲端的 Defender 的左側導覽中選取 [安全性警示],以檢視您的安全性警示。
適用於雲端的 Defender 會盡可能將相關警示合併為單一安全性事件。 選取事件以查看事件保有的特定安全性警示。
選取警示,然後選取 [檢視完整詳細資料],向下切入至警示。
適用於雲端的 Defender 可以協助您採取動作,以自動化方式更快速地回應威脅。 選取 [下一步:採取動作] 來對警示採取動作。
展開下列任一區段,以對警示採取動作:
- 檢查資源內容,以檢查大約警示時間的資源記錄。
- 緩解威脅,以查看減輕或補救威脅的建議。
- 防止未來的攻擊,以實作安全性建議。
- 觸發自動化回應,以觸發邏輯應用程式,做為此安全性警示的自動化回應。
- 建立具有預先定義條件的隱藏規則,以隱藏類似的警示。
- 設定電子郵件通知設定,以選取要通知警示的人員,以及在哪些情況下。
在警示詳細資料中,如果不需要任何動作 (比方說有誤判),您應該關閉警示。 您應該採取行動來解決已知的攻擊,例如封鎖已知的惡意 IP 位址,且應該決定哪些警示需要進一步調查。
