Cloud Security Posture Management (CSPM)

Eine der wichtigsten Komponenten von Microsoft Defender for Cloud ist Cloud Security Posture Management (CSPM). CSPM bietet detaillierte Einblicke in den Sicherheitsstatus Ihrer Ressourcen und Workloads und bietet Härtungsleitfäden, die Ihnen helfen, Ihren Sicherheitsstatus effizient und effektiv zu verbessern.

Defender for Cloud bewertet Ihre Ressourcen kontinuierlich anhand von Sicherheitsstandards, die für Ihre Azure-Abonnements, AWS-Konten und GCP-Projekte definiert sind. Defender for Cloud gibt Sicherheitsempfehlungen basierend auf diesen Bewertungen aus.

Wenn Sie Defender for Cloud in einem Azure-Abonnement aktivieren, ist standardmäßig der Microsoft Cloud Security Benchmark (MCSB)-Compliancestandard aktiviert. Sie erhalten dadurch Empfehlungen. Defender for Cloud bietet eine aggregierte Sicherheitsbewertung basierend auf einigen der MCSB-Empfehlungen. Je höher die Bewertung, desto niedriger ist die identifizierte Risikostufe.

CSPM-Features

Defender for Cloud bietet die folgenden CSPM-Angebote:

  • Grundlegende CSPM-Features – Defender for Cloud bietet kostenlos grundlegende CSPM-Funktionen für mehrere Clouds. Diese Funktionen werden standardmäßig für Abonnements und Konten aktiviert, die in Defender for Cloud integriert sind.

  • Defender CSPM-Plan (Cloud Security Posture Management) – Der optionale kostenpflichtige Defender for Cloud Security Posture Management-Plan bietet zusätzliche, erweiterte Sicherheitsstatusfeatures.

Verfügbarkeit des Plans

Informieren Sie sich ausführlicher über die Defender CSPM-Preise.

Die folgende Tabelle enthält eine Zusammenfassung des jeweiligen Plans sowie der jeweiligen Cloudverfügbarkeit.

Funktion Grundlegende CSPM-Features Defender CSPM Cloudverfügbarkeit
Sicherheitsempfehlungen Azure, AWS, GCP, lokal
Ressourcenbestand Azure, AWS, GCP, lokal
Sicherheitsbewertung Azure, AWS, GCP, lokal
Datenvisualisierung und Berichterstellung mit Azure-Arbeitsmappen Azure, AWS, GCP, lokal
Exportieren von Daten Azure, AWS, GCP, lokal
Workflowautomatisierung (Vorschauversion) Azure, AWS, GCP, lokal
Tools für die Wartung Azure, AWS, GCP, lokal
Microsoft Cloud Security Benchmark Azure, AWS, GCP
KI-Sicherheitsstatusverwaltung - Azure, AWS
Agentenloses VM-Sicherheitsrisikoscannen - Azure, AWS, GCP
Agentenloses VM-Geheimnisscannen - Azure, AWS, GCP
Angriffspfadanalyse - Azure, AWS, GCP
Risikopriorisierung - Azure, AWS, GCP
Risikosuche mit Sicherheitsexplorer - Azure, AWS, GCP
Code-zu-Cloud-Zuordnung für Container - GitHub, Azure DevOps
Code-zu-Cloud-Zuordnung für IaC - Azure DevOps
PR-Anmerkungen - GitHub, Azure DevOps
Internetexpositionsanalyse - Azure, AWS, GCP
External Attack Surface Management (EASM, Verwaltung externer Angriffsflächen) - Azure, AWS, GCP
Berechtigungsverwaltung (CIEM) - Azure, AWS, GCP
Bewertung der Einhaltung gesetzlicher Bestimmungen - Azure, AWS, GCP
ServiceNow-Integration - Azure, AWS, GCP
Schutz kritischer Ressourcen - Azure, AWS, GCP
Governance, um Wiederherstellung im großen Maßstab zu schaffen - Azure, AWS, GCP
Verwaltung des Datenschutzstatus (Data Security Posture Management, DSPM), Überprüfung vertraulicher Daten - Azure, AWS, GCP1
Ermittlung ohne Agents für Kubernetes - Azure, AWS, GCP
Agentlose Code-to-Cloud-Container Sicherheitsrisikobewertung - Azure, AWS, GCP

1: Die Erkennung vertraulicher Daten in GCP unterstützt nur Cloudspeicher.

Hinweis

Ab dem 7. März 2024 muss Defender CSPM aktiviert sein, um Premiumfunktionen für DevOps-Sicherheit zu erhalten. Dazu gehören die Code-zu-Cloud-Kontextualisierung, die den Sicherheits-Explorer und Angriffspfade sowie Pull-Request-Anmerkungen für Infrastructure-as-Code-Sicherheitsergebnisse unterstützt. Weitere Informationen finden Sie unter Unterstützung und Voraussetzungen für die DevOps-Sicherheit.

Integrationen

Microsoft Defender for Cloud verfügt jetzt über Integrationen als Bestandteil des Pakets, mit denen Sie Systeme von Drittanbietern verwenden können, um Tickets, Ereignisse und Kundeninteraktionen nahtlos zu verwalten und nachzuverfolgen. Sie können Empfehlungen an ein Ticketingtool eines Drittanbieters übertragen und einem Team die Verantwortung für die Behebung zuweisen.

Die Integration optimiert Ihren Vorfallreaktionsprozess und verbessert ihre Fähigkeit, Sicherheitsvorfälle zu verwalten. Sie können Sicherheitsvorfälle effektiver nachverfolgen, priorisieren und beheben.

Sie können auswählen, welches Ticketingsystem integriert werden soll. Für die Vorschau wird nur die ServiceNow-Integration unterstützt. Weitere Informationen zum Konfigurieren der ServiceNow-Integration finden Sie unter Integrieren von ServiceNow in Microsoft Defender for Cloud (Vorschau).

Preise für den Plan

  • Lesen Sie die Tarifseite zum Defender for Cloud, um mehr über die Preise von Defender CSPM zu erfahren.

  • Ab dem 7. März 2024 stehen erweiterte DevOps-Sicherheitsstatusfunktionen nur über den kostenpflichtigen Defender CSPM-Plan zur Verfügung. Die kostenlose grundlegende Sicherheitsstatusverwaltung in Defender for Cloud stellt weiterhin eine Reihe von Azure DevOps-Empfehlungen bereit. Weitere Informationen zu DevOps-Sicherheitsfeatures finden Sie hier.

  • Für Abonnements die Defender CSPM- und Defender for Container-Plänen gleichzeitig verwenden wird die kostenlose Sicherheitsrisikobewertung basierend auf kostenlosen Bildprüfungen berechnet, die über den Defender for Containers-Plan bereitgestellt werden, wie auf der Preisseite für Microsoft Defender for Cloud zusammengefasst.

  • Defender CSPM schützt alle Multicloud-Workloads. Die Abrechnung wird jedoch nur auf bestimmte Ressourcen angewendet. In den folgenden Tabellen sind die abrechenbaren Ressourcen aufgeführt, wenn Defender CSPM für Azure-Abonnements, AWS-Konten oder GCP-Projekte aktiviert ist:

    Azure-Dienst Ressourcentypen Ausschlüsse
    Compute Microsoft.Compute/virtualMachines
    Microsoft.Compute/virtualMachineScaleSets/virtualMachines
    Microsoft.ClassicCompute/virtualMachines
    - Virtuelle Computer mit aufgehobener Zuordnung
    - Virtuelle Databricks-Computer
    Storage Microsoft.Storage/storageAccounts Speicherkonten ohne Blobcontainer oder Dateifreigaben
    DBs Microsoft.Sql/servers
    Microsoft.DBforPostgreSQL/servers
    Microsoft.DBforMySQL/servers
    Microsoft.Sql/managedInstances
    Microsoft.DBforMariaDB/servers
    Microsoft.Synapse/workspaces
    ---
    AWS-Dienst Ressourcentypen Ausschlüsse
    Compute EC2-Instanzen Virtuelle Computer mit aufgehobener Zuordnung
    Storage S3-Buckets ---
    DBs RDS-Instanzen ---
    GCP-Dienst Ressourcentypen Ausschlüsse
    Compute 1. Compute-Instanzen von Google
    2. Gruppe von Google-Instanzen
    Nicht aktive Instanzen
    Storage Speicherbuckets - Buckets aus folgenden Klassen: „nearline“, „coldline“, „archive“
    - Buckets aus anderen Regionen als „europe-west1“, „us-east1“, „us-west1“, „us-central1“, „us-east4“, „asia-south1“, „northamerica-northeast1“
    DBs SQL-Cloudinstanzen ---

Azure-Cloudsupport

Informationen zur kommerziellen und nationalen Cloudabdeckung finden Sie unter In Azure-Cloudumgebungen unterstützte Features.

Unterstützung für ressourcentyp in AWS und GCP

Informationen zur Multicloud-Unterstützung von Ressourcentypen (oder Diensten) in unserer grundlegenden Mehrcloud-CSPM-Ebene finden Sie in der Tabelle der Multicloud-Ressourcen- und Servicetypen für AWS und GCP.

Nächste Schritte