备注

Azure 安全中心和 Azure Defender 现在称为 Microsoft Defender For Cloud。 我们还将 Azure Defender 计划重命名为了 Microsoft Defender 计划 。 例如，Azure Defender for Storage 现在名为 Microsoft Defender for Storage。

详细了解 Microsoft 安全服务最近的重命名。

Defender for Cloud 是用于进行安全态势管理和威胁防护的工具。 它增强了云资源的安全态势，并且借助其集成的 Microsoft Defender 计划，Defender for Cloud 可保护在 Azure、混合和其他云平台中运行的工作负载。

Defender for Cloud 提供了强化资源、跟踪安全态势i、防范网络攻击和简化安全管理所需的工具。 由于它以本机方式集成，因此部署 Defender for Cloud 很容易，且默认情况下会为你提供简单的自动预配，以保护资源。

Defender for Cloud 满足在云和本地管理资源和工作负载的安全性时的三个重要需求：

态势管理和工作负载保护

Microsoft Defenders for Cloud 的功能涵盖了云安全的两大重要领域：云安全态势管理和云工作负载保护。

云安全状况管理 (CSPM)

在 Defender for Cloud 中，态势管理功能提供：

• 可见性 - 帮助你了解当前的安全状况

• 强化指南 - 帮助你有效提高安全性

Defender for Cloud 中可帮助你实现这些目标的核心功能是“安全功能分数”。 Defender for Cloud 会持续评估资源、订阅和组织的安全问题。 然后，它将所有调查结果汇总成一个分数，让你可以一目了然地了解当前的安全状况：分数越高，识别出的风险级别就越低。

首次打开 Defender for Cloud 时，它将满足以下可见性和增强目标：

1. 根据对连接资源的评估与 Azure 安全基准中的指南进行比较，为订阅生成安全功能分数。 使用该分数了解你的安全态势，并使用合规性仪表板检查你对内置基准的合规情况。 启用增强的安全性功能后，可以自定义用于评估合规性的标准，并添加其他法规（例如 NIST 和 Azure CIS）或特定于组织的安全要求。

2. 根据任何已识别的安全配置错误和弱点提供强化建议。 使用这些安全建议来增强组织的 Azure、混合和多云资源的安全态势。

详细了解安全功能分数。

云工作负载保护 (CWP)

Defender for Cloud 提供由 Microsoft 威胁情报 提供支持的安全警报。 它还包括一系列针对工作负载的高级智能保护。 工作负载保护是通过特定于订阅中的资源类型的 Microsoft Defender 计划提供的。 例如，你可以启用“适用于存储的 Microsoft Defender”以获取有关与 Azure 存储帐户相关的可疑活动的警报。

Azure、混合和多云保护

由于 Defender for Cloud 是一项 Azure 本机服务，因此无需任何部署即可监视和保护许多 Azure 服务。

必要时，Defender for Cloud 可以自动部署 Log Analytics 代理来收集与安全相关的数据。 对于 Azure 计算机，可直接处理部署。 对于混合环境和多云环境，Microsoft Defender 计划会在 Azure Arc 的帮助下扩展到非 Azure 计算机。CSPM 功能扩展到多云计算机，无需任何代理（请参阅保护在其他云上运行的资源）。

Azure 本机保护

Defender for Cloud 可帮助检测以下范围内的威胁：

• Azure PaaS 服务 - 检测针对 Azure 服务的威胁，包括 Azure 应用服务、Azure SQL、Azure 存储帐户和更多数据服务。 你还可以使用与 Microsoft Defender for Cloud Apps（以前称为 Microsoft Cloud App Security）的本机集成对 Azure 活动日志执行异常情况检测。

• Azure 数据服务 - Defender for Cloud 包含有助于自动分类 Azure SQL 中数据的功能。 还可以获取跨 Azure SQL 和存储服务对潜在漏洞进行的评估，以及有关如何缓解这些问题的建议。

• 网络 - Defender for Cloud 可帮助限制遭受暴力攻击的风险。 通过减少对虚拟机端口的访问，使用实时 VM 访问，可以通过阻止不必要的访问来强化网络。 可以在所选端口上设置安全访问策略，仅限授权用户、允许的源 IP 地址范围或 IP 地址，以及仅在有限的时间内。

保护混合资源

除了保护 Azure 环境之外，还可以将 Defender for Cloud 功能添加到混合云环境中，以保护非 Azure 服务器。 为了帮助你专注于最重要的事情，你可以根据特定环境获取自定义威胁情报和设置了优先级的警报。

若要将保护扩展到本地计算机，请部署 Azure Arc 并启用 Defender for Cloud 的增强安全性功能。 详细了解使用 Azure Arc 添加非 Azure 计算机。

保护在其他云上运行的资源

Defender for Cloud 可以保护其他云（例如 AWS 和 GCP）中的资源。

例如，如果已将 Amazon Web Services (AWS) 帐户连接到 Azure 订阅，可启用以下任何保护：

• Defender for Cloud 的 CSPM 功能扩展到 AWS 资源。 此无代理计划根据特定于 AWS 的安全建议来评估 AWS 资源，这些建议包含在安全评分中。 还将评估这些资源是否符合特定于 AWS 的内置标准（AWS CIS、AWS PCI DSS 和 AWS 基础安全最佳做法）。 Defender for Cloud 的资产清单页是一个支持多云的功能，有助于同时管理 AWS 资源和 Azure 资源。

• Microsoft Defender For Kubernetes 将其容器威胁检测和高级防护功能扩展到 Amazon EKS Linux 群集 。

• Microsoft Defender for servers 引入了适用于 Windows 和 Linux EC2 实例的威胁检测和高级防护功能。 此计划包括用于 Microsoft Defender for Endpoint、安全基线和 OS 级别评估、漏洞评估扫描、自适应应用程序控制 (AAC)、文件完整性监视 (FIM) 等的集成许可证。

详细了解如何将 AWS 和 GCP 帐户连接到 Microsoft Defender for Cloud。

漏洞评估和管理

Defender for Cloud 包含针对虚拟机、容器注册表和 SQL 服务器的漏洞评估解决方案，作为增强的安全性功能的一部分。 一些扫描程序由 Qualys 提供支持。 但你无需具备 Qualys 许可证，甚至还不需要 Qualys 帐户 - 所有操作都在 Defender for Cloud 内无缝执行。

适用于服务器的 Microsoft Defender 提供与 Microsoft Defender for Endpoint 的自动本机集成。 若要了解详细信息，请参阅通过 Defender for Cloud 的集成式 EDR 解决方案 Microsoft Defender for Endpoint 来保护终结点。 启用此集成后，将可以从 Microsoft 威胁和漏洞管理访问漏洞发现结果。 若要了解详细信息，请参阅通过 Microsoft Defender for Endpoint 的威胁和漏洞管理调查弱点。

查看这些漏洞扫描程序中的发现结果，并相应地从 Defender for Cloud 内部作出全部响应。 这种广泛的方法使 Defender for Cloud 更接近于用于集中了解所有云安全工作情况的统一视窗。

通过以下页面了解详细信息：

• 适用于 Azure 和混合计算机的 Defender for Cloud 集成式 Qualys 扫描程序

• 标识 Azure 容器注册表映像中的漏洞

通过配置建议的控制来优化和提高安全性

了解并确保工作负荷的安全性是保障安全的基础，并且要从拥有量身定制的适当安全策略开始。 由于 Defender for Cloud 中的策略都是基于 Azure Policy 控制构建的，因此你将获得世界级策略解决方案的全方位服务和灵活性。 在 Defender for Cloud 中，可以将策略设置为在管理组上、订阅中以及甚至为整个租户运行。

Defender for Cloud 会持续发现部署在工作负载中的新资源，并评估它们是否已根据安全最佳做法进行了配置。 如果没有，则会将它们标记出来，并且你将获得一个按优先级排列的建议列表，便于你进行修复。 这些建议有助于降低每个资源的攻击面。

建议列表由 Azure 安全基准启用和支持。 此基准是 Microsoft 制定的 Azure 专属准则，提供一组基于常见合规框架的安全性与合规性最佳做法指南。 有关详细信息，请参阅 Azure 安全基准简介。

通过这种方式，Defender for Cloud 不仅使你能够设置安全策略，还使你能够在整个资源中应用安全配置标准。

为了帮助你了解每个建议对整体安全状况的重要程度，Defender for Cloud 将建议分组到安全控件中，并向每个控件添加“安全功能分数”值。 这一点在你设置安全工作的优先级时至关重要。

防御威胁

Defender for Cloud 提供：

• 安全警报 - 当 Defender for Cloud 在环境的任何区域中检测到威胁时，会生成安全警报。 这些警报会描述受影响资源的详细信息、建议的修正步骤，在某些情况下还会提供触发逻辑应用作为响应的选项。 无论警报是由 Defender for Cloud 生成，还是由 Defender for Cloud 从集成安全产品接收，你都可以导出该警报。 若要将警报导出到 Microsoft Sentinel、任何第三方 SIEM 或任何其他外部工具，请按照将警报流式传输到 SIEM、SOAR，或 IT 服务管理解决方案中的说明操作。 Defender for Cloud 的威胁防护包括融合杀伤链分析，它可以基于网络杀伤链分析自动关联环境中的警报，有助于更好地了解攻击活动的完整情况，例如它的起始位置以及它对资源造成的影响。 Defender for Cloud 支持的攻击链意图基于 MITRE ATT&CK 矩阵版本 7。

• 针对虚拟机、SQL 数据库、容器、Web 应用程序、网络等的高级威胁防护功能 - 保护措施包括使用实时访问和自适应应用程序控件保护 VM 的管理端口，创建允许列表来确定在计算机上应或不应运行哪些应用。

Microsoft Defender for Cloud 的“Defender 计划”页面为环境的计算、数据和服务层提供了以下全面防御计划：

• 适用于服务器的 Microsoft Defender

• 适用于应用服务的 Microsoft Defender

• Microsoft Defender for Storage

• Microsoft Defender for SQL

• Microsoft Defender for Kubernetes

• 适用于容器注册表的 Microsoft Defender

• 适用于 Key Vault 的 Microsoft Defender

• 适用于资源管理器的 Microsoft Defender

• 适用于 DNS 的 Microsoft Defender

• 适用于开放源代码关系数据库的 Microsoft Defender

使用工作负载保护仪表板中的高级保护磁贴来监视和配置每种保护措施。

 提示

Microsoft Defender for IoT 是一个单独的产品。 可在 Microsoft Defender for IoT 简介中找到所有详细信息。