什么是 Microsoft Defender for Cloud?
Microsoft Defender for Cloud 可帮助你预防、检测和响应威胁,同时增强资源的可见性和安全可控性。 该服务提供订阅之间的集成安全监视和策略管理,帮助检测可能被忽略的威胁,且适用于广泛的安全解决方案生态系统。
Defender for Cloud 使用监视组件来收集和存储数据。 有关深入的详细信息,请参阅 Microsoft Defender for Cloud 中的数据收集。
如何获取 Microsoft Defender for Cloud?
Microsoft Defender for Cloud 通过 Azure 订阅启用,可从 Azure 门户访问。 若要访问它,请登录到门户,选择“浏览”,然后滚动到“Defender for Cloud”。
是否有 Defender for Cloud 试用版?
Defender for Cloud 前 30 天免费。 超过 30 天的任何使用都自动根据定价方案进行收费。 了解详细信息。 请注意,Defender for Storage 中的恶意软件扫描功能在前 30 天试用版中不免费,将从第一天开始收费。
Microsoft Defender for Cloud 监视哪些 Azure 资源?
Microsoft Defender for Cloud 监视以下 Azure 资源:
- 虚拟机 (VM)(包括 云服务)
- 虚拟机规模集
- 产品概述中列出的许多 Azure PaaS 服务
Defender for Cloud 也可保护本地资源。
如何查看我的 Azure 和本地资源的当前安全状态?
“Defender for Cloud 概述”页按“计算”、“网络”、“存储和数据”以及“应用程序”显示环境的总体安全态势。 每种资源类型都有一个指示符,该指示符显示已识别的安全漏洞。 选择每个磁贴可显示 Defender for Cloud 识别到的安全问题列表和订阅中的资源清单。
什么是安全计划?
安全计划定义了为指定订阅中的资源建议的一组控制措施(策略)。 在 Microsoft Defender for Cloud 中,需要根据公司安全要求和应用程序类型或每个订阅中数据的敏感性,为 Azure 订阅分配计划。
Microsoft Defender for Cloud 中启用的安全策略有助于生成安全建议和进行监视。 在什么是安全策略、计划和建议?一文中了解详细信息。
哪些用户可以修改安全策略?
若要修改安全策略,必须是安全管理员或是该订阅的所有者 。
若要了解如何配置安全策略,请参阅在 Microsoft Defender for Cloud 中设置安全策略。
什么是安全建议?
Microsoft Defender for Cloud 分析 Azure 和本地资源的安全状态。 发现潜在的安全漏洞后会生成建议。 建议会对所需控件的整个配置过程提供指导。 示例如下:
- 预配反恶意软件可帮助识别和删除恶意软件
- 配置网络安全组和规则来控制发送到虚拟机的流量
- 设置 web 应用程序防火墙,帮助抵御针对 web 应用程序的攻击
- 部署缺少的系统更新
- 修正与建议的基线不匹配的 OS 配置
安全策略中仅已启用的推荐操作会显示在此处。
什么会触发安全警报?
Microsoft Defender for Cloud 自动从 Azure、本地资源、网络以及合作伙伴解决方案(例如恶意软件和防火墙)收集、分析和整合日志数据。 检测到威胁时会创建安全警报。 示例中包括的检测项:
- 与已知的恶意 IP 地址通信的不符合安全性的虚拟机
- 使用 Windows 错误报告检测到的高级恶意软件
- 对虚拟机的暴力破解攻击
- 来自集成合作伙伴解决方案(例如反恶意软件或 Web 应用程序防火墙)的安全警报
Microsoft 安全响应中心与 Microsoft Defender for Cloud 检测和警示的威胁之间有何区别?
Microsoft 安全响应中心 (MSRC) 会执行 Azure 网络和基础结构的选择安全监视,并接收来自第三方的威胁情报和恶意投诉。 MSRC 发现不合法或未经授权的某一方访问客户数据或客户使用 Azure 不符合可接受的使用条款时,安全事件管理器会通知客户。 通常会以电子邮件方式向 Microsoft Defender for Cloud 中指定的安全联系人或 Azure 订阅所有者(如果未指定安全联系人)发送通知。
Defender for Cloud 是一项 Azure 服务,可持续监视客户的 Azure 和本地环境,并应用分析来自动广泛地检测潜在的恶意活动。 这些检测结果会作为安全警报显示在工作负载保护仪表板中。
如何跟踪组织中的哪个成员在 Defender for Cloud 中启用了 Microsoft Defender 计划?
Azure 订阅可能具有多个管理员,这些管理员有权更改定价设置。 若要找到做出更改的用户,请使用 Azure 活动日志。
如果“事件发起者”列中未列出用户信息,请查看事件的 JSON 了解相关详细信息。
如果一项建议属于多个策略计划,会发生什么情况?
有时,一项安全建议会出现在多个策略计划中。 如果将同一建议的多个实例分配给同一订阅,并为该建议创建免除,这会影响你可编辑的所有计划。
如果尝试为此建议创建免除,你会看到以下两条消息之一:
如果你有编辑这两个计划的必需权限,你会看到:
此建议包含在若干策略计划中:[以逗号分隔的计划名称]。 将在所有这些项上创建豁免。
如果你对两个计划都没有足够权限,则会看到此消息:
你的权限有限,无法在所有策略计划中应用免除,仅具有足够权限的计划中将创建免除。
我们已使用条件访问 (CA) 策略来强制实施 MFA。 为什么我们仍获得 Defender for Cloud 建议?
若要调查为何仍在生成建议,请验证 MFA CA 策略中的以下配置选项:
- 已将帐户包含在 MFA CA 策略的“用户”部分(或“组”部分中的一个组)中
- MFA CA 策略的“应用”部分包含 Azure 管理应用 ID (797f4846-ba00-4fd7-ba43-dac1f8f63013) 或所有应用
- MFA CA 策略的“应用”部分未排除 Azure 管理应用 ID
- OR 条件只用于 MFA,或者 AND 条件与 MFA 结合使用
为什么 Defender for Cloud 将没有订阅权限的用户帐户显示为“需要 MFA”?
Defender for Cloud 的 MFA 建议指的是 Azure RBAC 角色和 Azure 经典订阅管理员角色。 验证是否所有帐户都没有此类角色。
我们正在通过 PIM 强制执行 MFA。 为什么 PIM 帐户显示为不合规?
Defender for Cloud 的 MFA 建议目前不支持 PIM 帐户。 可以将这些帐户添加到 CA 策略的“用户/组”部分。
是否可以免除或关闭某些帐户?
预览版中的新建议提供了豁免某些不使用 MFA 的帐户的功能:
- 对 Azure 资源拥有所有者权限的帐户应启用 MFA
- 对 Azure 资源拥有写入权限的帐户应启用 MFA
- 对 Azure 资源拥有读取权限的帐户应启用 MFA
若要豁免帐户,请执行以下步骤:
- 选择与不正常帐户关联的 MFA 建议。
- 在“帐户”选项卡中,选择要免除的帐户。
- 选择三点按钮,然后选择“豁免帐户”。
- 选择范围和豁免原因。
如果你想查看哪些帐户是豁免的,请导航到每个建议的豁免帐户。
提示
豁免某个帐户时,它不会显示为运行不正常,也不会导致订阅看起来不正常。
Defender for Cloud 的标识和访问保护是否有任何限制?
Defender for Cloud 的标识和访问保护存在一些限制:
- 标识建议不适用于拥有超过 6,000 个帐户的订阅。 在这些情况下,这些类型的订阅会在“不适用”选项卡下列出。
- 标识建议不适用于云解决方案提供商 (CSP) 合作伙伴的管理代理。
- 标识建议不标识使用 Privileged Identity Management (PIM) 系统管理的帐户。 如果使用的是 PIM 工具,则可能会在“管理访问和权限”控件中看到不准确的结果。
- 标识建议不支持包含目录角色而不是用户和组的 Microsoft Entra 条件访问策略。
工作流自动化是否支持任何业务连续性或灾难恢复 (BCDR) 场景?
在针对目标资源遇到故障或其他灾难的 BCDR 方案准备环境时,组织应负责根据 Azure 事件中心、Log Analytics 工作区和逻辑应用中的指南建立备份以防止数据丢失。
对于处于活动状态的每个自动化,建议创建相同(禁用)的自动化,并将其存储在其他位置。 发生中断时,可以启用这些备份自动化并维护正常操作。
详细了解 Azure 逻辑应用的业务连续性和灾难恢复。
导出数据时涉及哪些费用?
启用连续导出不会产生费用。 在 Log Analytics 工作区中引入和保留数据可能会产生费用,具体取决于你的配置。
仅当为资源启用了 Defender 计划时,才会提供许多警报。 预览导出的数据中收到的警报的一种好办法是查看 Azure 门户的 Defender for Cloud 页面中显示的警报。
详细了解 Log Analytics 工作区定价。
详细了解 Azure 事件中心定价。
有关 Defender for Cloud 定价的一般信息,请参阅定价页。
持续导出是否包含有关所有资源当前状态的数据?
错误。 连续导出用于流式传输事件:
- 不会导出在启用导出之前收到的警报。
- 当资源的合规性状态发生更改时就会发送建议。 例如,当某个资源的状态从正常变为不正常时。 因此,与警报一样,将不会导出针对自启用导出以来未更改状态的资源的建议。
- 每个安全控制或订阅的安全功能分数在一个安全控制的分数变化 0.01 或更大时发送。
- 合规性状态在资源的合规性状态更改时发送。
为什么建议以不同的时间间隔发送?
不同的建议有不同的合规性评估时间间隔,从几分钟到几天不等。 因此,建议在导出中显示的时间会有所不同。
如何获取建议的示例查询?
若要获取某项建议的示例查询,请在 Defender for Cloud 中打开建议,然后选择“打开查询”。
连续导出是否支持所有业务连续性或灾难恢复 (BCDR) 场景?
持续导出有助于为目标资源遇到中断或其他灾难时的 BCDR 方案做好准备。 然而,组织有责任防止数据丢失,方法是根据 Azure 事件中心、Log Analytics 工作区以及 Logic APP 的指南建立备份。
有关详细信息,请参阅 Azure 事件中心 - 异地灾难恢复。
是否可以采用编程方式在单个订阅上同时更新多个计划?
建议不要以编程方式在单个订阅上同时更新多个计划(通过 REST API、ARM 模板、脚本等)。 使用 Microsoft.Security/pricings API 或任何其他编程解决方案时,应在每个请求之间插入 10-15 秒的延迟。