Azure 通过 Microsoft Defender for Cloud、Microsoft Sentinel、Microsoft Entra ID 防护和 Microsoft Defender for Cloud Apps 等服务提供全面的威胁防护。 此安全服务和功能的集合提供高级检测、响应和威胁情报来保护 Azure 部署。
Microsoft Defender for Cloud
Microsoft Defender for Cloud 可帮助保护混合云环境。 通过对连接的资源执行持续安全评估,它为发现的漏洞提供详细的安全建议和威胁检测。
Defender for Cloud 的建议基于 Azure 云安全基准, 这是基于常见合规性框架Microsoft创作的特定于 Azure 的一组安全与合规性最佳做法指南。
启用 Defender for Cloud 增强的安全功能通过专用计划,为 Azure、混合和多云资源和工作负载提供高级智能保护,包括:
- Microsoft Defender for SQL - 保护数据库免受漏洞、异常活动和 SQL 注入威胁
- Microsoft Defender for Containers - 保护容器化环境,包括 Kubernetes 群集
- Microsoft Defender for App Service - 标识针对通过应用服务运行的应用程序的攻击
- Microsoft Defender for Resource Manager - 监视组织中的资源管理操作
- Microsoft Defender for DNS - 检测可疑活动和异常 DNS 查询
安全分析和威胁情报
Microsoft 安全研究人员始终在不断地寻找威胁。 他们有权访问一组广泛的遥测数据,这些数据来源于微软在全球的云端和本地存在。 由于能够广泛访问和收集各种数据集,Microsoft 可以通过本地消费者产品和企业产品以及联机服务发现新的攻击模式和趋势。
当攻击者发布新的和日益复杂的攻击时,Defender for Cloud 可以快速更新其检测算法。 此方法可帮助你始终与变化莫测的威胁环境保持同步。
Defender for Cloud 会自动从资源、网络和连接的合作伙伴解决方案收集安全信息。 它分析此信息,将来自多个源的数据关联起来,以识别威胁。 Defender for Cloud 会设置安全警报的优先级,并提供威胁处置建议。
Defender for Cloud 使用各种高级安全分析,远不止几种基于攻击特征的方法。 大数据和机器学习技术的突破用于评估整个云中的事件。 高级分析可以检测到那些通过手动方式不可能发现的威胁,并预测攻击的演变方式。
有关详细信息,请参阅 Microsoft Defender for Cloud 简介。
Microsoft Sentinel
Microsoft Sentinel 是云原生安全信息和事件管理(SIEM)和安全业务流程、自动化和响应(SOAR)解决方案。 Microsoft Sentinel 在整个企业中提供智能安全分析和威胁情报,为攻击检测、威胁可见性、主动搜寻和威胁响应提供单个解决方案。
Microsoft Sentinel 可帮助你:
- 在本地和多个云中跨所有用户、设备、应用程序和基础结构收集数据
- 使用Microsoft的分析与无与伦比的威胁情报来检测以前未检测到的威胁并最大程度地减少误报
- 利用人工智能调查威胁 并大规模搜寻可疑活动,利用Microsoft多年的网络安全工作
- 使用内置的编排和自动化常见任务功能快速响应事件
关键功能包括:
- 使用内置机器学习、异常情况检测以及用户和实体行为分析(UEBA)进行高级威胁检测
- 来自Microsoft和第三方来源的威胁情报集成,以识别已知的威胁参与者及其技术
- 由 AI 提供支持的调查和搜寻工具,以发现隐藏的威胁,并在整个环境中追捕攻击者
- 通过使用剧本进行自动响应,这种响应可以在几秒钟内应对威胁。
- Microsoft Sentinel 数据湖 ,实现可缩放、经济高效的长期数据保留和多模式分析
- Microsoft Sentinel 图形 ,用于统一图形分析,提供更深入的上下文和威胁推理
要了解详情,请参阅什么是 Microsoft Sentinel 一文。
Microsoft Entra Privileged Identity Management
使用 Microsoft Entra Privileged Identity Management (PIM),可以管理、控制和监视组织内的访问。 此功能包括访问 Microsoft Entra ID 和其他 Microsoft 联机服务(如 Microsoft 365 或 Microsoft Intune)中的资源。
PIM 可帮助用户进行以下操作:
- 获取有关 Microsoft Entra 管理员及其对 Microsoft 在线服务的实时 (JIT) 管理访问权限的警报和报告
- 获取有关管理员访问历史记录和管理员分配更改的报告
- 获取有关访问特权角色的警报通知
有关详细信息,请参阅 什么是Microsoft Entra Privileged Identity Management?。
Microsoft Defender for SQL
Defender for SQL 为数据库提供针对漏洞、异常活动和威胁的保护:
- 漏洞评估 - 发现、跟踪并帮助修正潜在的数据库漏洞
- 高级威胁防护 - 检测异常数据库活动,指示潜在的安全威胁,例如 SQL 注入、暴力攻击和特权滥用
有关详细信息,请参阅 Microsoft Defender for Azure SQL。
Microsoft Antimalware
Microsoft适用于 Azure 的反恶意软件 是适用于应用程序和租户环境的单代理解决方案,旨在在不人工干预的情况下在后台运行。 可以根据应用程序工作负载的需求部署保护,使用基本安全默认配置或高级自定义配置。
适用于 Azure 的反恶意软件Microsoft提供:
- 实时保护 - 监视用于检测和阻止恶意软件执行的活动
- 计划扫描 - 执行有针对性的扫描以检测恶意软件
- 恶意软件修正 - 自动对检测到的恶意软件采取措施
- 签名更新 - 自动安装最新的保护签名
- 主动保护 - 报告有关检测到Microsoft Azure 威胁的遥测元数据
有关详细信息,请参阅 适用于 Azure 云服务和虚拟机的反恶意软件Microsoft。
Azure 防火墙
Azure 防火墙 是云原生的智能网络防火墙安全服务,可为 Azure 中运行的云工作负荷提供威胁防护。 Azure 防火墙使用内置的威胁情报检查东西向和南北流量,以便警报和拒绝来自已知恶意 IP 地址和域的流量。
Azure 防火墙在三个 SKU 中可用:
- Azure Firewall Basic - 为中小型企业简化的安全解决方案
- Azure 防火墙标准 - 提供来自 Microsoft 网络安全的 L3-L7 过滤和威胁情报反馈
- Azure 防火墙高级 版 - 高级功能,包括基于签名的 IDPS、TLS 检查和 URL 筛选
有关详细信息,请参阅 什么是 Azure 防火墙? 和 Azure 网络安全概述。
Web 应用程序防火墙
Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的影响。 WAF 可通过:
- Azure 应用程序网关 - 提供区域 WAF 保护
- Azure Front Door - 提供全球 WAF 保护,可防范网络级 DDoS 攻击
WAF 可防范常见的 Web 漏洞,例如:
- SQL 注入
- 跨站点脚本
- 其他 OWASP 前 10 个漏洞
- 机器人攻击
- HTTP 协议冲突和异常
有关详细信息,请参阅 什么是 Azure Web 应用程序防火墙?。
后续步骤
- 响应当今的威胁 - 识别活动威胁并快速响应
- Azure 安全最佳做法和模式 - 安全最佳做法集合
- Microsoft Defender for Cloud 文档 - Defender for Cloud 的综合指南
- Microsoft Sentinel 文档 - Microsoft Sentinel 的完整文档