常见问题 - 一般问题

Microsoft Defender for Cloud 可帮助你预防、检测和响应威胁，同时增强资源的可见性和安全可控性。 该服务提供订阅之间的集成安全监视和策略管理，帮助检测可能被忽略的威胁，且适用于广泛的安全解决方案生态系统。

Defender for Cloud 使用监视组件来收集和存储数据。 有关深入的详细信息，请参阅 Microsoft Defender for Cloud 中的数据收集。

Microsoft Defender for Cloud 通过 Azure 订阅启用，可从 Azure 门户访问。 若要访问它，请登录到门户，选择“浏览”，然后滚动到“Defender for Cloud”。

Defender for Cloud 前 30 天免费。 超过 30 天的任何使用都自动根据定价方案进行收费。 了解详细信息。 请注意，Defender for Storage 中的恶意软件扫描功能在前 30 天试用版中不免费，将从第一天开始收费。

Microsoft Defender for Cloud 监视以下 Azure 资源：

• 虚拟机 (VM)（包括 云服务）
• 虚拟机规模集
• 产品概述中列出的许多 Azure PaaS 服务

Defender for Cloud 也可保护本地资源。

“Defender for Cloud 概述”页按“计算”、“网络”、“存储和数据”以及“应用程序”显示环境的总体安全态势。 每种资源类型都有一个指示符，该指示符显示已识别的安全漏洞。 选择每个磁贴可显示 Defender for Cloud 识别到的安全问题列表和订阅中的资源清单。

安全计划定义了为指定订阅中的资源建议的一组控制措施（策略）。 在 Microsoft Defender for Cloud 中，需要根据公司安全要求和应用程序类型或每个订阅中数据的敏感性，为 Azure 订阅分配计划。

Microsoft Defender for Cloud 中启用的安全策略有助于生成安全建议和进行监视。 在什么是安全策略、计划和建议？一文中了解详细信息。

若要修改安全策略，必须是安全管理员或是该订阅的所有者 。

若要了解如何配置安全策略，请参阅在 Microsoft Defender for Cloud 中设置安全策略。

Microsoft Defender for Cloud 分析 Azure 和本地资源的安全状态。 发现潜在的安全漏洞后会生成建议。 建议会对所需控件的整个配置过程提供指导。 示例如下：

• 预配反恶意软件可帮助识别和删除恶意软件
• 配置网络安全组和规则来控制发送到虚拟机的流量
• 设置 web 应用程序防火墙，帮助抵御针对 web 应用程序的攻击
• 部署缺少的系统更新
• 修正与建议的基线不匹配的 OS 配置

安全策略中仅已启用的推荐操作会显示在此处。

Microsoft Defender for Cloud 自动从 Azure、本地资源、网络以及合作伙伴解决方案（例如恶意软件和防火墙）收集、分析和整合日志数据。 检测到威胁时会创建安全警报。 示例中包括的检测项：

• 与已知的恶意 IP 地址通信的不符合安全性的虚拟机
• 使用 Windows 错误报告检测到的高级恶意软件
• 对虚拟机的暴力破解攻击
• 来自集成合作伙伴解决方案（例如反恶意软件或 Web 应用程序防火墙）的安全警报

Microsoft 安全响应中心 (MSRC) 会执行 Azure 网络和基础结构的选择安全监视，并接收来自第三方的威胁情报和恶意投诉。 MSRC 发现不合法或未经授权的某一方访问客户数据或客户使用 Azure 不符合可接受的使用条款时，安全事件管理器会通知客户。 通常会以电子邮件方式向 Microsoft Defender for Cloud 中指定的安全联系人或 Azure 订阅所有者（如果未指定安全联系人）发送通知。

Defender for Cloud 是一项 Azure 服务，可持续监视客户的 Azure 和本地环境，并应用分析来自动广泛地检测潜在的恶意活动。 这些检测结果会作为安全警报显示在工作负载保护仪表板中。

Azure 订阅可能具有多个管理员，这些管理员有权更改定价设置。 若要找到做出更改的用户，请使用 Azure 活动日志。

如果“事件发起者”列中未列出用户信息，请查看事件的 JSON 了解相关详细信息。

有时，一项安全建议会出现在多个策略计划中。 如果将同一建议的多个实例分配给同一订阅，并为该建议创建免除，这会影响你可编辑的所有计划。

如果尝试为此建议创建免除，你会看到以下两条消息之一：

• 如果你有编辑这两个计划的必需权限，你会看到：

  此建议包含在若干策略计划中：[以逗号分隔的计划名称]。 将在所有这些项上创建豁免。

• 如果你对两个计划都没有足够权限，则会看到此消息：

  你的权限有限，无法在所有策略计划中应用免除，仅具有足够权限的计划中将创建免除。

若要调查为何仍在生成建议，请验证 MFA CA 策略中的以下配置选项：

• 已将帐户包含在 MFA CA 策略的“用户”部分（或“组”部分中的一个组）中
• MFA CA 策略的“应用”部分包含 Azure 管理应用 ID (797f4846-ba00-4fd7-ba43-dac1f8f63013) 或所有应用
• MFA CA 策略的“应用”部分未排除 Azure 管理应用 ID
• OR 条件只用于 MFA，或者 AND 条件与 MFA 结合使用

Defender for Cloud 的 MFA 建议指的是 Azure RBAC 角色和 Azure 经典订阅管理员角色。 验证是否所有帐户都没有此类角色。

Defender for Cloud 的 MFA 建议目前不支持 PIM 帐户。 可以将这些帐户添加到 CA 策略的“用户/组”部分。

预览版中的新建议提供了豁免某些不使用 MFA 的帐户的功能：

• 对 Azure 资源拥有所有者权限的帐户应启用 MFA
• 对 Azure 资源拥有写入权限的帐户应启用 MFA
• 对 Azure 资源拥有读取权限的帐户应启用 MFA

若要豁免帐户，请执行以下步骤：

1. 选择与不正常帐户关联的 MFA 建议。
2. 在“帐户”选项卡中，选择要免除的帐户。
3. 选择三点按钮，然后选择“豁免帐户”。
4. 选择范围和豁免原因。

如果你想查看哪些帐户是豁免的，请导航到每个建议的豁免帐户。

Defender for Cloud 的标识和访问保护存在一些限制：

• 标识建议不适用于拥有超过 6,000 个帐户的订阅。 在这些情况下，这些类型的订阅会在“不适用”选项卡下列出。
• 标识建议不适用于云解决方案提供商 (CSP) 合作伙伴的管理代理。
• 标识建议不标识使用 Privileged Identity Management (PIM) 系统管理的帐户。 如果使用的是 PIM 工具，则可能会在“管理访问和权限”控件中看到不准确的结果。
• 标识建议不支持包含目录角色而不是用户和组的 Microsoft Entra 条件访问策略。

在针对目标资源遇到故障或其他灾难的 BCDR 方案准备环境时，组织应负责根据 Azure 事件中心、Log Analytics 工作区和逻辑应用中的指南建立备份以防止数据丢失。

对于处于活动状态的每个自动化，建议创建相同（禁用）的自动化，并将其存储在其他位置。 发生中断时，可以启用这些备份自动化并维护正常操作。

详细了解 Azure 逻辑应用的业务连续性和灾难恢复。

启用连续导出不会产生费用。 在 Log Analytics 工作区中引入和保留数据可能会产生费用，具体取决于你的配置。

仅当为资源启用了 Defender 计划时，才会提供许多警报。 预览导出的数据中收到的警报的一种好办法是查看 Azure 门户的 Defender for Cloud 页面中显示的警报。

详细了解 Log Analytics 工作区定价。

详细了解 Azure 事件中心定价。

有关 Defender for Cloud 定价的一般信息，请参阅定价页。

错误。 连续导出用于流式传输事件：

• 不会导出在启用导出之前收到的警报。
• 当资源的合规性状态发生更改时就会发送建议。 例如，当某个资源的状态从正常变为不正常时。 因此，与警报一样，将不会导出针对自启用导出以来未更改状态的资源的建议。
• 每个安全控制或订阅的安全功能分数在一个安全控制的分数变化 0.01 或更大时发送。
• 合规性状态在资源的合规性状态更改时发送。

不同的建议有不同的合规性评估时间间隔，从几分钟到几天不等。 因此，建议在导出中显示的时间会有所不同。

若要获取某项建议的示例查询，请在 Defender for Cloud 中打开建议，然后选择“打开查询”。

持续导出有助于为目标资源遇到中断或其他灾难时的 BCDR 方案做好准备。 然而，组织有责任防止数据丢失，方法是根据 Azure 事件中心、Log Analytics 工作区以及 Logic APP 的指南建立备份。

有关详细信息，请参阅 Azure 事件中心 - 异地灾难恢复。

建议不要以编程方式在单个订阅上同时更新多个计划（通过 REST API、ARM 模板、脚本等）。 使用 Microsoft.Security/pricings API 或任何其他编程解决方案时，应在每个请求之间插入 10-15 秒的延迟。