Microsoft Defender for Cloud 的主要功能之一是云安全状况管理(CSPM)。 CSPM 提供对资产和工作负载的安全状态的详细可见性,并提供加固建议,帮助提升您的安全态势。
Defender for Cloud 会根据为 Azure 订阅、Amazon Web Service (AWS) 帐户和 Google Cloud Platform (GCP) 项目定义的安全标准持续评估资源。 Defender for Cloud 根据这些评估提供安全建议。
默认情况下,在 Azure 订阅上启用 Defender for Cloud 时,已启用 Microsoft云安全基准(MCSB) 符合性标准,并提供保护多云环境的建议。 Defender for Cloud 根据一些 MCSB 建议提供综合安全分数。 更高的分数表示识别的风险级别较低。
CSPM 计划
Defender for Cloud 提供两个 CSPM 计划选项:
基础 CSPM - 默认情况下为加入 Defender for Cloud 的订阅和帐户启用的免费计划。
Defender CSPM - 一个付费计划,提供超出基础 CSPM 计划的额外功能。 此版本的计划提供更高级的安全态势功能,例如 AI 安全状况、攻击路径分析、风险优先级等。
计划可用性
详细了解 Defender CSPM 定价。
下表总结了每种计划及其云可用性。
| 功能 | 基础 CSPM | Defender CSPM | 云可用性 |
|---|---|---|---|
| 安全建议 | 
|
|
Azure、AWS、GCP、本地、Docker Hub、JFrog Artifactory |
| 资产清单 |
|
|
Azure、AWS、GCP、本地、Docker Hub、JFrog Artifactory |
| 安全评分 |
|
|
Azure、AWS、GCP、本地、Docker Hub、JFrog Artifactory |
| 使用 Azure 工作簿进行数据可视化和报告 |
|
|
Azure、AWS、GCP、本地 |
| 导出数据 |
|
|
Azure、AWS、GCP、本地 |
| 工作流自动化 |
|
|
Azure、AWS、GCP、本地 |
| 修正工具 |
|
|
Azure、AWS、GCP、本地、Docker Hub、JFrog Artifactory |
| Microsoft Cloud 安全基准 |
|
|
Azure、AWS、GCP |
| AI 安全态势管理 | - |
|
Azure、AWS |
| 无代理 VM 漏洞扫描 | - |
|
Azure、AWS、GCP |
| 无代理 VM 机密扫描 | - |
|
Azure、AWS、GCP |
| 攻击路径分析 | - |
|
Azure、AWS、GCP、Docker Hub、JFrog Artifactory |
| 风险优先级 | - |
|
Azure、AWS、GCP、Docker Hub、JFrog Artifactory |
| 使用安全资源管理器进行风险搜寻 | - |
|
Azure、AWS、GCP、Docker Hub、JFrog Artifactory |
| 容器的代码到云映射 | - |
|
GitHub、Azure DevOps2 、Docker Hub、JFrog Artifactory |
| IaC 的代码到云映射 | - |
|
Azure DevOps2、Docker Hub、JFrog Artifactory |
| PR“注释” | - |
|
GitHub、Azure DevOps2 |
| Internet 风险分析 | - |
|
Azure、AWS、GCP、Docker Hub、JFrog Artifactory |
| 外部攻击面管理 | - |
|
Azure、AWS、GCP、Docker Hub、JFrog Artifactory |
| 权限管理 (CIEM) | - |
|
Azure、AWS、GCP、Docker Hub、JFrog Artifactory |
| 法规合规性评估 | - |
|
Azure、AWS、GCP、Docker Hub、JFrog Artifactory |
| ServiceNow 集成 | - |
|
Azure、AWS、GCP |
| 关键资产保护 | - |
|
Azure、AWS、GCP |
| 治理以大规模推动修正 | - |
|
Azure、AWS、GCP、Docker Hub、JFrog Artifactory |
| 数据安全状况管理 (DSPM)、敏感数据扫描 | - |
|
Azure、AWS、GCP1 |
| Kubernetes 的无代理发现 | - |
|
Azure、AWS、GCP |
| 自定义建议 | - |
|
Azure、AWS、GCP、Docker Hub、JFrog Artifactory |
| 无代理从代码到云的容器漏洞评估 | - |
|
Azure、AWS、GCP、Docker Hub、JFrog Artifactory |
| API 安全状况管理(预览) | - |
|
蔚蓝 |
| Azure Kubernetes 服务安全仪表板(预览版) | - |
|
蔚蓝 |
1:GCP 敏感数据发现仅支持云存储。 2:仅当启用付费 Defender CSPM 计划时,DevOps 安全功能(例如代码到云上下文化为安全资源管理器、攻击路径和拉取请求注释)才可用。 详细了解 DevOps 安全 支持和先决条件。
集成
Microsoft Defender for Cloud 现在内置了集成,可帮助你使用合作伙伴系统无缝管理和跟踪票证、事件和客户交互。 可以将建议推送到合作伙伴票务工具,并将整改责任分配给团队。
集成简化了事件响应过程,提高了管理安全事件的能力。 你可以更有效地跟踪安全事件、确定其优先级并解决它们。
可以选择要集成的票证系统。 对于预览版,只支持 ServiceNow 集成。 有关配置 ServiceNow 集成的详细信息,请参阅将 ServiceNow 与 Microsoft Defender for Cloud 集成(预览版)。
计划定价
若要了解 Defender CSPM 定价,请查看 Defender for Cloud 定价页。 还可以 使用 Defender for Cloud 成本计算器估算成本。
DevOps 安全状况功能(如拉取请求注释、代码到云映射、攻击路径分析和云安全资源管理器)只能通过付费的 Defender CSPM 计划使用。 免费的基本安全状况管理计划提供了 Azure DevOps 建议。 详细了解 Azure DevOps 安全功能提供的功能。
对于既使用 Defender CSPM 又使用 Defender for Containers 计划的订阅,会根据 Defender for Containers 计划提供的免费映像扫描来计算免费漏洞评估,如 Microsoft Defender for Cloud 定价页中所述。 还可以 使用 Defender for Cloud 成本计算器估算成本。
Defender CSPM 保护所有多云工作负荷,但计费仅适用于特定资源。 下表列出了在 Azure 订阅、AWS 帐户或 GCP 项目上启用 Defender CSPM 时的计费资源。
Azure 服务 资源类型 排除项 计算 Microsoft.Compute/virtualMachines
Microsoft.Compute/virtualMachineScaleSets/virtualMachines
Microsoft.ClassicCompute/virtualMachines- 已解除分配的 VM
- Databricks VM存储 Microsoft.Storage/storageAccounts 没有 blob 容器或文件共享的存储帐户 数据库 Microsoft.Sql/servers
Microsoft.DBforPostgreSQL/servers
Microsoft.DBforMySQL/servers
Microsoft.Sql/managedInstances
Microsoft.DBforMariaDB/servers
Microsoft.Synapse/workspaces--- AWS 服务 资源类型 排除项 计算 EC2 实例 已解除分配的 VM 存储 S3 存储桶 --- 数据库 RDS 实例 --- GCP 服务 资源类型 排除项 计算 1.Google 计算实例
2.Google 实例组具有非运行状态的实例 存储 存储桶 - 以下类别中的存储桶:“nearline”、“coldline”、“archive”
- 来自以下区域以外的区域的 Bucket:europe-west1、us-east1、us-west1、us-central1、us-east4、asia-south1、northamerica-northeast1数据库 云 SQL 实例 ---
Azure 云支持
有关商业云和国家云覆盖范围,请参阅 Azure 云环境中支持的功能。
后续步骤
- 观看 Predict future security incidents!Cloud Security Posture Management with Microsoft Defender(预测未来的安全事件!使用 Microsoft Defender 进行云安全态势管理)。
- 了解安全标准和建议。
- 了解安全分数。