你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

什么是 Microsoft Defender for Cloud?

Microsoft Defender for Cloud 是一个 云原生应用程序保护平台(CNAPP),它是一种统一的解决方案,它结合了多个云安全工具,在整个生命周期内保护应用程序。 该解决方案提供跨云和本地资源的安全状况的综合视图。 它还有助于保护多云和混合环境,并将安全性集成到 DevOps 工作流中。 有三个核心组件:

Defender for Cloud 使用其更广泛的云原生应用程序保护平台 (CNAPP) 功能将保护统一到一个体验中。 Defender for Cloud 在开发生命周期的早期嵌入安全性。 它可帮助 DevOps 团队发现配置错误、应用策略并提前修复风险。

显示 Microsoft Defender for Cloud 的核心功能的示意图。

Note

有关定价信息,请查看 Defender for Cloud 定价页。 还可以 使用 Defender for Cloud 成本计算器估算成本

云本机应用程序保护平台 (CNAPP)

CNAPP 的概念图像以及 Defenders for Cloud 计划如何保护其环境中的所有资源。

在 Azure 订阅上启用 Defender for Cloud 解决方案 后,系统会从多云和 DevOps 环境收集安全数据。 Defender for Cloud 使用数据来提供见解、建议和作,帮助保护云工作负载和资源。 可以启用额外的计划来获取更高级的安全功能,例如 Defender 云安全状况管理(CSPM)Defender for DatabasesDefender for Containers

Defender for Cloud 的可用计划及其 CNAPP 权益包括:

Defender for Cloud 计划 CNAPP benefits Relevant links
Defender CSPM /基础 CSPM 提供高级安全态势功能,包括无代理漏洞扫描、数据感知安全状况、云安全图和高级威胁搜寻。 查看 CSPM 计划之间的差异

启用 Defender CSPM 计划
Defender for Servers 为在 Azure、AWS、GCP 和本地环境中运行的 Windows 和 Linux 计算机提供威胁检测和高级防御。 规划 Defender for Servers 部署

查看 Defender for Servers 计划之间的差异

部署 Defender for Servers
容器防护系统 提供环境强化、漏洞评估、Kubernetes 节点和群集的运行时保护。 Microsoft Defender for Containers 中的容器安全性概览

Defender for Containers 体系结构

Protect your Azure, IaaS, AWS, and GCP containers with Defender for Containers
适用于资源管理器的 Defender 通过自动监视资源管理作来检测异常和潜在有害的活动。 Microsoft Defender for Resource Manager 概述

使用 Defender for Resource Manager 保护资源
Defender for Storage 防止恶意软件、存储特定威胁、敏感数据泄露和共享访问签名(SAS)令牌滥用。 适用于存储的 Microsoft Defender 概述

Malware scanning

检测对敏感数据的威胁

部署 Microsoft Defender for Storage
Defender for App Service 识别瞄准应用服务上运行的应用程序的攻击。 关于 Defender for App Service 保护 Azure 应用服务网络应用和 API 的概述

使用 Defender for App Service 保护应用程序
Defender for Databases 使用 Azure 中各种数据库类型的攻击检测和威胁响应保护整个数据库资产。 Microsoft Defender for Azure SQL 概述

使用 Defender for Databases 保护数据库

什么是适用于开源关系数据库的 Microsoft Defender

Microsoft Defender for Azure Cosmos DB 概述
Defender for Key Vault 检测访问或利用 Key Vault 帐户的异常和潜在有害尝试。 Microsoft Defender for Key Vault 概述

使用 Defender for Key Vault 保护密钥保管库
Defender for API 提供对业务关键 API 的可见性、改进 API 安全态势、漏洞修复的优先顺序,并快速检测活动的实时威胁。 关于 Microsoft Defender for API

使用 Defender for API 保护 API

还可以查看电子书 “从计划到部署:实现云原生应用程序保护平台(CNAPP)策略”,了解有关在 Defender for Cloud 中实现 CNAPP 的详细信息。

开发安全作 (DevSecOps)

Defender for Cloud 在开发开始时增加了安全性。 它允许你保护代码管道和环境,并从一个位置监视安全状况。 Defender for Cloud 使安全团队能够跨多管道环境管理 DevOps 安全性。

应用程序需要在代码、基础结构和运行时级别获得安全意识,以确保已部署的应用程序针对攻击进行强化。

Capability 它解决了什么问题? 开始 Defender plan
代码管道见解 使安全团队能够跨多管道环境(包括 GitHub、Azure DevOps 和 GitLab)保护从代码到云的应用程序和资源。 然后,可将 DevOps 安全检测结果(例如基础结构即代码 (IaC) 不当配置和公开的机密)与其他区分上下文的云安全见解相关联,以确定要优先修正代码中的哪些问题。 Connect Azure DevOps, GitHub, and GitLab repositories to Defender for Cloud 基础 CSPM(免费)和 Defender CSPM

云安全状况管理 (CSPM)

云和本地资源的安全性依赖于适当的配置和部署。 Azure Defender for Cloud 的建议识别出确保环境安全的步骤。

Defender for Cloud 包括免费的基础 CSPM 功能。 使用 Defender CSPM 计划启用高级 CSPM 功能。

Capability 它解决了什么问题? 开始 Defender plan
集中式策略管理 定义要在整个环境中维护的安全条件。 该策略转换为识别违反安全策略的资源配置的建议。 Microsoft云安全基准是一种内置标准,它应用安全原则,并为 Azure 和其他云提供商(如 Amazon Web Services(AWS)和 Google Cloud Platform(GCP)提供详细的技术实施指南。 自定义安全策略 基础 CSPM(免费)
Secure score 根据安全建议汇总安全状况。 修正建议时,安全功能分数会提高。 跟踪安全功能分数 基础 CSPM(免费)
Multicloud coverage 使用无代理方法连接到您的多云环境,以获取 CSPM 洞察和 CWPP 保护。 Connect your Amazon AWS and Google GCP cloud resources to Defender for Cloud 基础 CSPM(免费)
云安全态势管理 (CSPM) 使用仪表板查看安全状况的弱点。 启用 CSPM 工具 基础 CSPM(免费)
高级云安全态势管理 获取高级工具来识别安全状况中的弱点,包括:
- 治理,推动改善安全状况的行动
- 法规符合性,验证是否符合安全标准
- 云安全资源管理器,生成环境的综合视图
启用 CSPM 工具 Defender CSPM
数据安全态势管理 数据安全态势管理会自动发现包含敏感数据的数据存储,并帮助降低数据泄露的风险。 启用数据安全态势管理 Defender CSPM 或 Defender for Storage
攻击路径分析 对网络上的流量进行建模,在对环境实施更改之前识别潜在风险。 生成查询以分析路径 Defender CSPM
云安全资源管理器 云环境的映射,可用于生成查询来查找安全风险。 生成查询以查找安全风险 Defender CSPM
Security governance 将任务分配给资源所有者并跟踪进度,使你的安全状态与安全策略保持一致,从而在整个组织推动安全改进。 定义治理规则 Defender CSPM
Microsoft Entra 权限管理 为 Azure、AWS 和 GCP 中的任何标识和任何资源提供全面的可见性和权限控制。 查看权限蠕变指数 (PCI) Defender CSPM

云工作负荷保护平台 (CWPP)

主动安全原则要求实施安全做法来保护工作负载免受威胁。 云工作负荷保护平台(CWPP)提供特定于工作负荷的建议,指导你了解保护工作负荷的正确安全控制。

当环境受到威胁时,安全警报会立即指示威胁的性质和严重性,以便你可以规划响应。 在环境中识别威胁后,快速响应以限制资源的风险。

Capability 它解决了什么问题? 开始 Defender plan
保护云服务器 通过 Microsoft Defender for Endpoint 或涵盖实时网络访问、文件完整性监视、漏洞评估等的扩展保护提供服务器保护。 保护多云和本地服务器 Defender for Servers
识别对存储资源的威胁 使用高级威胁检测功能和 Microsoft 威胁情报数据来检测访问或利用存储帐户的异常和潜在有害尝试,以提供上下文安全警报。 保护云存储资源 存储防护 (Defender for Storage)
保护云数据库 通过针对 Azure 中最常用的数据库类型的攻击检测和威胁响应来保护整个数据库资产,以根据其攻击面和安全风险来保护数据库引擎和数据类型。 为云和本地数据库部署专用保护 - 适用于 Azure SQL 数据库的 Defender
- 计算机上的 Defender for SQL 服务器
- 适用于开源关系数据库的 Defender
- Defender for Azure Cosmos DB
Protect containers 保护容器,以便通过环境强化、漏洞评估和运行时保护来改进、监视和维护群集、容器及其应用程序的安全性。 查找容器中的安全风险 Defender for Containers
基础结构服务见解 诊断应用程序基础结构中可能使环境容易受到攻击的弱点。 - 识别针对在应用服务上运行的应用程序的攻击
- 检测到攻击 Key Vault 帐户的尝试
- 收到可疑资源管理器操作的警报
- 发现异常的域名系统 (DNS) 活动
- 适用于应用服务的 Defender
- 适用于密钥保管库的 Defender
- 适用于资源管理器的 Defender
- 适用于 DNS 的 Defender
Security alerts 了解威胁环境安全的实时事件。 警报经过分类并分配有严重性级别,以指示正确的响应。 管理安全警报 任何工作负载保护 Defender 计划
Security incidents 通过关联警报并集成安全信息和事件管理(SIEM)、安全业务流程、自动化和响应(SOAR)和 IT 经典部署模型解决方案来识别攻击模式,以响应威胁并降低资源的风险。 将警报导出到 SIEM、SOAR 或 ITSM 系统 任何工作负载保护 Defender 计划

Important

  • 自 2023 年 8 月 1 日起,拥有 Defender for DNS 的现有订阅的客户可以继续使用该服务作为独立计划。
  • 对于新订阅,关于可疑 DNS 活动的警报包括在 Defender for Servers Plan 2 中。
  • 保护范围没有变化:Defender for DNS 继续保护连接到 Azure 的默认 DNS 解析程序的所有 Azure 资源。 此更改会影响 DNS 保护的计费和捆绑方式,而不是涵盖哪些资源。

Learn More

有关 Defender for Cloud 的详细信息及其工作原理,请参阅:

Next steps