描述適用於雲端的Defender工作負載保護Microsoft

  • 11 分鐘

適用於雲端的Defender是安全性狀態管理和威脅防護的工具。 其可強化雲端資源的安全性狀態,以及其整合式Microsoft Defender 方案、適用於雲端的 Defender 可保護在 Azure、混合式和其他雲端平台中執行的工作負載。

適用於雲端的 Defender 提供強化資源、追蹤安全性狀態、防範網路攻擊,以及簡化安全性管理所需的工具。 由於其原生整合,所以適用於雲端的 Defender 部署相當簡單,因此您預設提供簡單的自動布建來保護資源。 當您管理雲端和內部部署中的資源和工作負載安全性時,適用於雲端的 Defender 會填滿三個重要需求:

  • 持續評估 – 瞭解您目前的安全性狀態。

  • 安全 - 強化所有連線的資源和服務。

  • 防禦 - 偵測並解決這些資源和服務的威脅。

為了協助您保護自己免受這些挑戰,Microsoft適用於雲端的 Defender 提供下列工具:

  • 安全分數:單一分數,讓您一眼就能分辨出您目前的安全性情況:分數越高,識別的風險層級就越低。

  • 安全性建議:自定義和優先強化工作以改善您的狀態。 您可以遵循建議中提供的詳細補救步驟來實作建議。 針對許多建議,適用於雲端的Defender提供自動化實作的 [修正] 按鈕!

  • 安全性警示:啟用增強式安全性功能后,適用於雲端的 Defender 會偵測資源與工作負載的威脅。 這些警示會出現在 Azure 入口網站中,而適用於雲端的 Defender 也可以透過電子郵件傳送給貴組織中的相關人員。 警示也可以視需要串流至 SIEM、SOAR 或 IT 服務管理解決方案。

建築

因為適用於雲端的 Defender 原生屬於 Azure,因此 Azure 中的 PaaS 服務-包括 Service Fabric、SQL Database、SQL 受控實例和記憶體帳戶,都會受到適用於雲端的 Defender 監視和保護,而不需要任何部署。

適用於雲端的 Defender 會在安裝 Azure Arc 時,保護雲端或內部部署中的非 Azure 伺服器和虛擬機,適用於 Windows 和 Linux 伺服器。 Azure Arc 連線系統已安裝 Azure Connected Machine 代理程式,而且當他們新增至數據收集規則 (DCR) 時,Azure 監視器代理程式擴充功能也會安裝在它們上。 啟用伺服器的 Defender 方案時(在 [環境設定] 中,您可以設定其他監視選項。

從代理程式和 Azure 收集的事件會在安全性分析引擎中相互關聯,以提供您應遵循的建議(強化工作),以確保工作負載安全。 您應該儘快調查這些警示,以確保不會對工作負載進行惡意攻擊。

當您啟用適用於雲端的Defender時,內建至適用於雲端的Defender的安全策略會反映在 Azure 原則中,作為適用於雲端的 Defender 類別下的內建方案。 內建方案會自動指派給所有適用於雲端的Defender註冊訂用帳戶(不論他們是否已啟用適用於雲端的Defender)。 內建方案僅包含稽核原則。 如需 Azure 原則中適用於雲端的 Defender 原則的詳細資訊,請參閱 使用安全策略

加強安全性狀態

適用於雲端的 Defender 可讓您加強安全性狀態。 這表示它可協助您識別並執行建議作為安全性最佳做法的強化工作,並跨計算機、數據服務和應用程式加以實作。 包括管理和強制執行您的安全策略,並確保 Azure 虛擬機、非 Azure 伺服器和 Azure PaaS 服務都符合規範。 適用於雲端的Defender提供您需要檢視工作負載的工具,並集中查看您的網路安全性資產。

管理組織安全策略和合規性

這是一項安全性基本知識,可確保您的工作負載安全無虞,且一開始會就地制定量身打造的安全策略。 由於所有適用於雲端的 Defender 原則都是建置在 Azure 原則控件之上,因此您會獲得世界級原則解決方案的完整範圍和彈性。 在適用於雲端的 Defender 中,您可以設定原則,在管理群組上、跨訂用帳戶執行,甚至是針對整個租用戶執行。

適用於雲端的Defender可協助您識別影子IT訂用帳戶。 藉由檢閱儀錶板中標示為「未涵蓋」的訂用帳戶,您可以立即知道何時有新建立的訂用帳戶,並確定這些訂用帳戶已由您的原則涵蓋,並受適用於雲端的Defender保護。

持續評量

適用於雲端的 Defender 會持續探索跨工作負載部署的新資源,並評估其是否已根據安全性最佳做法進行設定。 如果沒有,它們會標示為旗標,而且您可以取得需要修正以保護您的機器所需修正的建議清單。

為了協助您瞭解每個建議對整體安全性狀態的重要性,適用於雲端的 Defender 會將建議分組到安全性控制中,並將安全分數值新增至每個控件。 這項評分對於讓您設定安全性工作的優先順序至關重要。

網路地圖

適用於雲端的 Defender 提供最強大的工具之一,可持續監視網路的安全性狀態,就是網路對應。 對應可讓您查看工作負載的拓撲,因此您可以看到每個節點是否已正確設定。 您可以看到節點的連線方式,這可協助您封鎖可能讓攻擊者更容易沿著網路爬行的垃圾連線。

適用於雲端網路之Defender地圖的螢幕快照。

適用於雲端的Defender價值的核心在於其建議。 這些建議是針對您工作負載上發現的特定安全性考慮量身打造。 適用於雲端的 Defender 不僅會尋找您的弱點,還能提供如何擺脫弱點的特定指示,為您提供安全性系統管理員的工作。

如此一來,適用於雲端的Defender不僅可讓您設定安全策略,還能跨資源套用安全設定標準。

這些建議可協助您減少每個資源的攻擊面 - Azure 虛擬機、非 Azure 伺服器和 Azure PaaS 服務,例如 SQL 和記憶體帳戶等等。 每種資源類型都會以不同的方式進行評估,並有自己的標準。

防範威脅

適用於雲端的 Defender 威脅防護可讓您在 Azure 中的基礎結構即服務層、非 Azure 伺服器,以及平臺即服務 (PaaS) 偵測並防止威脅。

適用於雲端的 Defender 威脅防護包含融合終止鏈分析,其會根據網路殺傷鏈分析自動將環境中的警示相互關聯。 此分析可協助您進一步了解攻擊活動的完整故事、開始位置,以及它對您的資源有何影響。

與適用於端點的 Microsoft Defender 整合

適用於雲端的Defender包含自動、原生的與適用於端點的Defender Microsoft整合。 此內建整合表示,沒有任何設定,您的 Windows 和 Linux 機器會與適用於雲端的 Defender 建議和評量完全整合。

此外,適用於雲端的 Defender 可讓您在伺服器環境上自動化應用程控原則。 適用於雲端的Defender中的自適性應用程控可跨Windows伺服器啟用端對端應用程式核准清單。 您不需要建立規則並檢查違規。 這一切都會自動為您完成。

保護 PaaS

適用於雲端的Defender可協助您偵測 Azure PaaS 服務的威脅。 您可以偵測以 Azure 服務為目標的威脅,包括 Azure App Service、Azure SQL、Azure 記憶體帳戶,以及更多數據服務。 您也可以利用與適用於 Cloud Apps 的 Microsoft Defender 使用者和實體行為分析 (UEBA) 的原生整合,在 Azure 活動記錄上執行異常偵測。

封鎖暴力密碼破解攻擊

適用於雲端的Defender可協助您限制遭受暴力密碼破解攻擊的風險。 藉由減少虛擬機埠的存取,使用 Just-In-Time VM 存取,您可以藉由防止不必要的存取來強化網路。 您可以針對只有授權的使用者、允許的來源IP位址範圍或IP位址,以及有限的時間,在選取的埠上設定安全存取原則。

保護數據服務

適用於雲端的 Defender 包含的功能可協助您在 Azure SQL 中自動分類數據。 您也可以取得 Azure SQL 和記憶體服務中潛在弱點的評量,以及如何減輕這些弱點的建議。

更快獲得安全

原生 Azure 整合(包括 Azure 原則和 Azure 監視器記錄)結合與其他Microsoft安全性解決方案的無縫整合,例如適用於雲端應用程式的 Microsoft Defender 和適用於端點的 Microsoft Defender,可協助您確保安全性解決方案全面且易於上線和推出。

此外,您也可以將 Azure 以外的完整解決方案延伸至在其他雲端和內部部署資料中心執行的工作負載。

使用自動布建自動探索和上線 Azure 資源

適用於雲端的 Defender 提供與 Azure 和 Azure 資源的無縫原生整合。 整合可讓您在 Azure 中建立 Azure 原則和內建適用於雲端的 Defender 原則,並確保您在 Azure 中建立資源時,將整個項目自動套用至新探索到的資源。