描述適用於雲端的 Microsoft Defender 工作負載保護

  • 11 分鐘

適用於雲端的 Defender 是安全性態勢管理和威脅防護工具。 這能增強雲端資源的安全性態勢,並透過其整合的 Microsoft Defender 方案,使用適用於雲端的 Defender 來保護在 Azure、混合式和其他雲端平台中執行的工作負載。

適用於雲端的 Defender 提供強化資源、追蹤安全性態勢、防範網路攻擊及簡化安全性管理所需的工具。 由於已原生整合,因此部署適用於雲端的 Defender 很簡單,預設讓您使用簡單的自動佈建來保護資源。 在管理雲端和內部部署中的資源和工作負載安全性時,適用於雲端的 Defender 可滿足三個重要需求:

  • 持續評估 - 了解您目前的安全性態勢。

  • 安全 - 強化所有已連線的資源和服務。

  • 防禦 - 偵測並解決這些資源和服務的威脅。

為了協助您防範這些挑戰,適用於雲端的 Microsoft Defender 提供您工具以執行下列操作:

  • 安全分數:讓您可立即得知目前安全性狀況的單一分數:分數越高,識別到的風險等級就越低。

  • 安全性建議:自訂和優先執行的強化工作,可改善您的態勢。 您可以依照建議中提供的詳細補救步驟來實作建議。 適用於雲端的 Defender 針對許多建議提供可自動化實作的 [修正] 按鈕!

  • 安全性警示:啟用增強式安全性功能後,適用於雲端的 Defender 會偵測資源與工作負載的威脅。 這些警示會顯示在 Azure 入口網站,適用於雲端的 Defender 也可以透過電子郵件傳送給組織中的相關人員。 警示也可以依需要串流至 SIEM、SOAR 或 IT 服務管理解決方案。

架構

因為適用於雲端的 Defender 原生屬於 Azure,Azure 中的 PaaS 服務 (包括 Service Fabric、SQL Database、SQL 受控執行個體及儲存體帳戶) 即可由適用於雲端的 Defender 監視和保護,完全不需要部署。

此外,安裝 Log Analytics 代理程式,適用於雲端的 Defender 即可為 Windows 和 Linux 伺服器,保護雲端中或內部部署上的非 Azure 伺服器和虛擬機器。 Azure 虛擬機器會在適用於雲端的 Microsoft Defender 中自動佈建。

從代理程式和 Azure 收集的事件會在安全性分析引擎中相互關聯,為您提供可據以確保工作負載安全的個人化建議 (強化工作)。 您應儘速調查這些警示,確保您的工作負載並未遭受惡意攻擊。

啟用適用於雲端的 Defender 時,適用於雲端的 Defender 內建的安全性原則會反映在 Azure 原則中,作為適用於雲端的 Defender 類別中的內建方案。 內建計畫會自動指派給所有適用於雲端的 Defender 註冊訂用帳戶 (無論是否已啟用適用於雲端的 Defender)。 內建方案只包含稽核原則。 如需 Azure 原則中適用於雲端的 Defender 原則詳細資訊,請參閱使用安全性原則

加強安全性態勢

適用於雲端的 Defender 可讓您加強安全性態勢。 表示這可協助您識別和執行建議為安全性最佳做法的強化工作,並在機器、資料服務及應用程式實作。 包含管理和強制執行安全性原則,以及確保 Azure 虛擬機器、非 Azure 伺服器及 Azure PaaS 服務符合規範。 適用於雲端的 Defender 提供您所需工具,讓您聚焦於網路安全性資產,全面檢視工作負載。

管理組織安全性原則與合規性

了解並確定工作負載的安全性,是安全性的基本措施,而量身打造安全性原則就是第一步。 所有適用於雲端的 Defender 原則皆以 Azure 原則控制項為基礎所建置,因此您可獲得完整的世界級原則解決方案及其彈性。 您可以在適用於雲端的 Defender 中設定原則,以在管理群組、訂閱,甚至整個租用戶執行。

適用於雲端的 Defender 可協助您識別影子 IT 訂用帳戶。 檢閱儀表板中標記為「未涵蓋」的訂閱,即可在有新的訂閱建立時立即得知,以及確保其涵蓋在原則中,並受到適用於雲端的 Defender 保護。

持續評估

適用於雲端的 Defender 會持續探索部署於工作負載的新資源,並評估其是否根據安全性最佳做法來設定。 若非如此,則會加上旗標,並提供建議您必須優先修正以保護機器的事項清單。

為了協助您了解每個建議對整體安全性態勢的重要性,適用於雲端的 Defender 將建議分為多個安全性控制項,並將安全分數值新增至每個控制項。 此評分對於您設定安全性工作的優先權十分重要。

網路地圖

網路地圖是適用於雲端的 Defender 所提供最強大的工具之一,可用於持續監視網路安全性狀態。 您可以使用地圖來查看工作負載的拓撲,方便您查看是否已正確設定每個節點。 您可以查看節點的連線方式,這能幫助您封鎖來路不明且可能讓攻擊者趁機沿著網路蔓延的連線。

Screenshot of the Defender for Cloud Network map.

適用於雲端的 Defender 的價值核心在於其建議。 建議是專為工作負載上發現的特定安全性考量而量身打造。 適用於雲端的 Defender 代您執行安全性管理工作,不僅可找出弱點,還會提供去除這些弱點的具體指示。

如此一來,適用於雲端的 Defender 不只能讓您設定安全性原則,還可在資源間套用安全性設定標準。

建議可協助您縮小每項資源的受攻擊面,包括 Azure 虛擬機器、非 Azure 伺服器和 Azure PaaS 服務,例如 SQL 和儲存體帳戶等。 每個資源類型都會以不同的方式進行評估,且有各自的標準。

防範威脅

適用於雲端的 Defender 的威脅防護,可讓您偵測並防止基礎結構即服務 (IaaS) 層、非 Azure 伺服器及 Azure 中平台即服務 (PaaS) 的威脅。

適用於雲端的 Defender 威脅防護功能包括融合攻擊鏈分析,此功能會根據網路攻擊鏈分析自動將環境中的警示相互關聯。 該分析可協助您進一步了解攻擊活動的完整始末、開始的位置,以及對您的資源所造成的影響。

與適用於端點的 Microsoft Defender 整合

適用於雲端的 Defender 自動原生整合適用於端點的 Microsoft Defender。 這種內建整合表示不需要任何設定,您的 Windows 和 Linux 機器就能完全整合適用於雲端的 Defender 的建議與評量功能。

此外,適用於雲端的 Defender 可讓您在伺服器環境自動化執行應用程式控制原則。 適用於雲端的 Defender 的自適性應用程式控制,會在您的 Windows 伺服器間,啟用端對端應用程式核准清單。 您不需要動手建立規則和檢查違規, 這些動作皆會自動完成。

保護 PaaS

適用於雲端的 Defender 可協助您在 Azure PaaS 服務間偵測威脅。 您可以偵測以 Azure 服務為目標的威脅,包括 Azure App Service、Azure SQL、Azure 儲存體帳戶及更多資料服務。 您也可以利用原生整合的 Microsoft Defender for Cloud Apps 使用者與實體行為分析 (UEBA),針對 Azure 活動記錄執行異常偵測。

阻止暴力密碼破解攻擊

適用於雲端的 Defender 可協助您限制暴露於暴力密碼破解攻擊的程度。 藉由使用 Just-In-Time VM 存取權來減少對虛擬機器連接埠的存取,就能透過防止不必要的存取來強化您的網路。 您可以針對選取的連接埠設定安全存取原則,僅限授權的使用者,允許的來源 IP 位址範圍或 IP 位址,以及在有限的時間內使用。

資料保護服務

適用於雲端的 Defender 所含的功能可協助您在 Azure SQL 中自動將資料分類。 您也可以取得所有 Azure SQL 和儲存體服務的潛在弱點評量,以及如何緩解的建議。

取得安全保障更快速

原生 Azure 整合 (包括 Azure 原則與 Azure 監視器記錄),加上與其他的 Microsoft 安全性解決方案的緊密整合,例如適用於雲端的 Microsoft Defender 與適用於端點的 Microsoft Defender,可協助確保您的安全性解決方案完善周全且容易上線和推出。

此外,您也可以將整個解決方案擴充到 Azure 外部於其他雲端上和內部部署資料中心內執行的工作負載。

使用自動佈建以自動探索和上線 Azure 資源

適用於雲端的 Defender 與 Azure 和 Azure 資源緊密原生整合。 此整合功能可讓您在所有 Azure 資源中,將涉及 Azure 原則和內建適用於雲端的 Defender 原則的完整安全性案例彙整在一起,並確保系統在探索到您於 Azure 中建立的新資源後會自動完整套用。