Azure Defender 簡(jiǎn)介

Azure安全中心的功能涵蓋了云安全性的兩大重要領(lǐng)域：

云安全態(tài)勢(shì)管理(CSPM)-安全中心對(duì)所有Azure用戶(hù)均免費(fèi)。免費(fèi)體驗(yàn)包括CSPM功能，如安全功能分?jǐn)?shù)、Azure計(jì)算機(jī)中的安全錯(cuò)誤配置檢測(cè)、資產(chǎn)清單等。使用這些CSPM功能增強(qiáng)混合云態(tài)勢(shì)，并跟蹤內(nèi)置策略的合規(guī)性。

云工作負(fù)載保護(hù)(CWP)-集成到安全中心內(nèi)部的云工作負(fù)載保護(hù)平臺(tái)(CWPP)，用于為Azure和混合資源及工作負(fù)載提供高級(jí)智能的保護(hù)。啟用Azure Defender可帶來(lái)一系列其他安全功能，如本頁(yè)所述。啟用任何Azure Defender計(jì)劃后，除了內(nèi)置策略，還可以添加自定義策略和計(jì)劃?？梢蕴砑臃ㄒ?guī)標(biāo)準(zhǔn)（例如NIST和Azure CIS）以及Azure安全基準(zhǔn)，以獲得真正的合規(guī)性自定義視圖。

可在你的環(huán)境中使用安全中心的Azure Defender儀表板顯示和控制CWP功能：

Azure Defender儀表板示例

Azure Defender可以保護(hù)哪些資源類(lèi)型？

Azure Defender為虛擬機(jī)、SQL數(shù)據(jù)庫(kù)、容器、web應(yīng)用程序、網(wǎng)絡(luò)等提供安全警報(bào)和高級(jí)威脅防護(hù)。

從Azure安全中心的“定價(jià)和設(shè)置”區(qū)域啟用Azure Defender時(shí)，將同時(shí)啟用以下Defender計(jì)劃，并為環(huán)境的計(jì)算、數(shù)據(jù)和服務(wù)層提供全面防護(hù)：

適用于服務(wù)器的Azure Defender

適用于應(yīng)用服務(wù)的Azure Defender

適用于存儲(chǔ)的Azure Defender

Azure Defender for SQL

適用于Kubernetes的Azure Defender

適用于容器注冊(cè)表的Azure Defender

適用于Key Vault的Azure Defender

安全中心的文檔對(duì)其中每個(gè)計(jì)劃單獨(dú)進(jìn)行了介紹。

提示

Azure Defender for IoT（預(yù)覽版）是一種單獨(dú)的產(chǎn)品?？稍贏zure Defender for IoT（預(yù)覽版）簡(jiǎn)介中找到所有詳細(xì)信息。

混合云保護(hù)

與保護(hù)Azure環(huán)境一樣，也可以在混合云環(huán)境中添加Azure Defender功能：

保護(hù)非Azure服務(wù)器

保護(hù)其他云中的虛擬機(jī)（例如AWS和GCP）

可根據(jù)你的特定環(huán)境獲取自定義威脅智能和設(shè)置了優(yōu)先級(jí)別的警報(bào)，這樣你便能夠?qū)Ｗ⒂谧钪匾氖聞?wù)。

若要將Azure Defender的保護(hù)擴(kuò)展到其他云中或本地的虛擬機(jī)和SQL數(shù)據(jù)庫(kù)，可部署Azure Arc并啟用Azure Defender。Azure Arc for servers是一項(xiàng)免費(fèi)服務(wù)，但在啟用了Arc的服務(wù)器上使用的服務(wù)（例如Azure Defender）將按照該服務(wù)的定價(jià)收費(fèi)。詳細(xì)了解使用Azure Arc添加非Azure計(jì)算機(jī)。

提示

適用于AWS的本機(jī)連接器以透明方式處理Azure Arc部署。在將AWS帳戶(hù)連接到Azure安全中心中了解詳細(xì)信息。

Azure Defender警報(bào)

當(dāng)Azure Defender檢測(cè)到環(huán)境中的任何區(qū)域遭到威脅時(shí)，會(huì)生成警報(bào)。這些警報(bào)會(huì)描述受影響資源的詳細(xì)信息、建議的修正步驟，在某些情況下還會(huì)提供觸發(fā)邏輯應(yīng)用作為響應(yīng)的選項(xiàng)。

無(wú)論警報(bào)是由安全中心生成，還是由安全中心從集成的安全產(chǎn)品接收，你都可以導(dǎo)出該警報(bào)。若要將警報(bào)導(dǎo)出到Azure Sentinel、任何第三方SIEM或任何其他外部工具，請(qǐng)按照將警報(bào)流式傳輸?shù)絊IEM、SOAR，或IT服務(wù)管理解決方案中的說(shuō)明操作。

備注

來(lái)自不同源的警報(bào)可能在不同的時(shí)間后出現(xiàn)。例如，需要分析網(wǎng)絡(luò)流量的警報(bào)的出現(xiàn)時(shí)間，可能比虛擬機(jī)上運(yùn)行的可疑進(jìn)程的相關(guān)警報(bào)要晚一些。

Azure Defender高級(jí)保護(hù)功能

Azure Defender在定制與資源相關(guān)的建議時(shí)會(huì)使用高級(jí)分析。

保護(hù)措施包括使用實(shí)時(shí)訪問(wèn)和自適應(yīng)應(yīng)用程序控件保護(hù)VM的管理端口，創(chuàng)建允許列表來(lái)確定在計(jì)算機(jī)上應(yīng)或不應(yīng)運(yùn)行哪些應(yīng)用。

使用Azure Defender儀表板中的高級(jí)保護(hù)磁貼來(lái)監(jiān)視和配置每種保護(hù)措施。

漏洞評(píng)估和管理

Azure Defender為你的虛擬機(jī)和容器注冊(cè)表提供漏洞掃描，且無(wú)需額外付費(fèi)。掃描程序由Qualys提供支持，但你無(wú)需具備Qualys許可證，甚至也不需要Qualys帳戶(hù)-所有操作都在安全中心內(nèi)無(wú)縫執(zhí)行。

查看這些漏洞掃描程序中的發(fā)現(xiàn)結(jié)果，并相應(yīng)從安全中心內(nèi)部作出全部響應(yīng)。這使安全中心更接近于用于集中了解所有云安全工作情況的統(tǒng)一視窗。