在 Defender for Cloud 中集成安全解决方案
本文档介绍如何管理已连接到 Microsoft Defender for Cloud 的安全解决方案,以及如何添加新的安全解决方案。
集成式 Azure 安全解决方案
可以通过 Defender for Cloud 轻松地在 Azure 中启用集成式安全解决方案。 优势包括:
- 简化部署:Defender for Cloud 提供对集成式合作伙伴解决方案的简化预配。 对于反恶意软件和漏洞评估等解决方案,Defender for Cloud 可以在虚拟机上预配代理。 对于防火墙设备,Defender for Cloud 可以处理大部分所需的网络配置。
- 集成检测:自动收集、聚合合作伙伴解决方案中的安全事件,并将其作为 Defender for Cloud 警报和事件的一部分进行显示。 这些事件还与来自其他来源的检测融合在一起,以提供高级威胁检测功能。
- 统一的运行状况监视和管理:客户可以使用集成式运行状况事件,一目了然地监视所有合作伙伴解决方案。 可通过使用合作伙伴解决方案轻松地访问高级设置,进行基本管理。
目前,集成安全解决方案包括由 Qualys 和 Rapid7 提供的漏洞评估。
注意
Defender for Cloud 不会在合作伙伴虚拟设备上安装 Log Analytics 代理,因为大多数安全供应商都禁止在其设备上运行外部代理。
Defender for Cloud 还针对以下各项提供漏洞分析:
- Azure 容器注册表映像 - 使用适用于容器注册表的 Microsoft Defender 扫描映像中的漏洞
安全中心如何集成
从 Defender for Cloud 部署的 Azure 安全解决方案是自动连接的。 还可以连接其他安全数据源,包括在本地或其他云中运行的计算机。
管理集成式 Azure 安全解决方案和其他数据源
在 Azure 门户中打开“Defender for Cloud”。
在 Defender for Cloud 的菜单中,选择“安全解决方案”。
从“安全解决方案”页面中,可以查看集成式 Azure 安全解决方案的运行状况,并运行基本管理任务。
已连接解决方案
“已连接解决方案”部分包含当前已连接到 Defender for Cloud 的安全解决方案。 它还显示每个解决方案的运行状况。
安全解决方案的状态可能为:
- 正常(绿色)- 没有运行状况问题。
- 不正常(红色)- 存在需要立即关注的运行状况问题。
- 停止报告(橙色)- 解决方案已停止报告其运行状况。
- 未报告(灰色)- 解决方案尚未报告任何内容,并且未提供任何运行状况数据。 如果解决方案是最近连接的且仍在部署,则其状态可能为“未报告”。
注意
如果没有运行状况数据可用,则 Defender for Cloud 会显示上次收到事件的日期和时间以指示解决方案是否正在报告。 如果没有运行状况数据可用且在过去 14 天内没有收到警报,则 Defender for Cloud 会指出解决方案不正常或未在报告。
选择“查看”以获取其他信息和选项,例如:
解决方案控制台 - 打开此解决方案的管理体验。
链接 VM - 打开“链接应用程序”页面。 此处,可将资源连接到合作伙伴解决方案。
删除解决方案
配置
已发现解决方案
Defender for Cloud 自动发现在 Azure 中运行但未连接到 Defender for Cloud 的安全解决方案,并在“发现的解决方案”部分显示这些解决方案。 这些解决方案包括 Azure 解决方案,例如合作伙伴解决方案。
注意
在订阅级别为发现的解决方案启用高级保护功能。 在快速入门:启用增强的安全性功能中了解详细信息。
在解决方案下选择“连接”,以便与 Defender for Cloud 集成并在出现安全警报时收到通知。
添加数据源
“添加数据源”部分包括其他可以连接的可用数据源。 如需从任何此类源添加数据的说明,请选择“添加”。
后续步骤
在本文中,你已了解如何在 Defender for Cloud 中集成合作伙伴解决方案。 若要了解如何设置与任何其他 SIEM 的集成,请参阅连续导出 Defender for Cloud 数据。