你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for Cloud 中的 Defender 云安全状况管理(CSPM)提供了强化指南,可帮助你高效有效地提高安全性。 CSPM 还可以让你了解当前的安全情况。
Defender for Cloud 会持续评估资源、订阅和组织的安全问题。 Defender for Cloud 显示您的安全状况及安全分数。 安全功能分数是安全调查结果的聚合分数,可告知你当前的安全情况。 分数越高,识别的风险级别越低。
启用 Defender for Cloud 时,会自动启用 基础 CSPM 功能。 这些功能是 Defender for Cloud 提供的免费服务的一部分。
你可以启用 Defender CSPM 计划,该计划可为环境提供额外的保护,例如治理、法规合规性、云安全资源管理器、攻击路径分析和无代理扫描计算机。
注释
无代理扫描需要 订阅所有者 才能启用 Defender CSPM 计划。 具有较低授权级别的任何人都可以启用 Defender CSPM 计划,但由于缺少仅可供订阅所有者使用所需的权限,因此默认情况下不会启用无代理扫描程序。 此外,攻击路径分析和安全资源管理器不会填充漏洞,因为无代理扫描程序已禁用。
有关可用性和了解有关每个计划提供的功能的详细信息,请参阅 Defender CSPM 计划选项。
可以在 定价页上了解有关 Defender CSPM 定价的详细信息。
先决条件
需要 Microsoft Azure 订阅。 如果没有 Azure 订阅,可以 注册免费订阅。
必须在 Azure 订阅上 启用 Microsoft Defender for Cloud 。
连接 非 Azure 计算机、 AWS 帐户 或 GCP 项目。
如果要访问 CSPM 计划提供的所有功能,订阅所有者必须启用该计划。
启用 Defender CSPM 计划
启用 Defender for Cloud 时,会自动收到基础 CSPM 功能提供的保护。 若要访问 Defender CSPM 提供的其他功能,需要在订阅上启用 Defender CSPM 计划。
若要在订阅上启用 Defender CSPM 计划,请执行以下作:
登录到 Azure 门户。
搜索并选择“Microsoft Defender for Cloud”。
在 Defender for Cloud 菜单中,选择“环境设置”。
选择相关的 Azure 订阅、AWS 帐户或 GCP 项目。
在“Defender 计划”页上,将“Defender CSPM 计划”切换为“开”。
选择“保存”。
启用 Defender CSPM 计划中的组件
在订阅上启用 Defender CSPM 计划后,可以启用 Defender CSPM 计划的各个组件:
无代理扫描计算机:扫描计算机是否存在已安装的软件和漏洞,而无需依赖代理或影响计算机性能。 可以禁用无代理扫描程序或向订阅添加排除标记。
Kubernetes 的无代理发现:基于 API 的 Kubernetes 群集体系结构、工作负荷对象和设置信息发现。 作为云安全资源管理器的一部分,此组件对于 Kubernetes 清点、标识和网络泄露检测、风险搜寻而言是必需的。 攻击路径分析(仅 Defender CSPM)需要此扩展。
无代理容器漏洞评估:为容器注册表中存储的映像提供漏洞管理。
敏感数据发现:敏感数据发现会自动发现包含敏感数据的托管云数据资源。 此功能访问数据(无代理)使用智能采样扫描,并与 Microsoft Purview 敏感信息类型和标签集成。
权限管理 - 深入了解云基础结构权利管理(CIEM)。 CIEM 可确保在云环境中获得适当的安全标识和访问权限。 它有助于了解对云资源和关联风险的访问权限。 设置和数据收集最多可能需要 24 小时。
若要启用 Defender CSPM 计划的组件,请执行以下作:
在 Defender 计划页上,选择 “设置”。
为每个组件选择 “打开 ”以启用它。
(可选)对于无代理扫描,请选择“ 编辑配置”。
输入要从扫描中排除的任何计算机的标记名称和标记值。
选择应用。
选择继续。
要想免费获得你的 Defender CSPM 计划附带的一系列功能(从代码编写到云情境化功能,再到自动化开发人员修正工作流),请将 DevOps 环境连接到 Defender for Cloud。