共用方式為


使用 Defender CSPM 保護您的資源

在適用於雲端的 Microsoft Defender 中,Defender 雲端安全性態勢管理 (CSPM) 提供強化指引,協助您有效率地改善安全性。 CSPM 也可讓您瞭解目前的安全性情況。

適用於雲端的 Defender 會持續評估資源、訂用帳戶、組織的安全性問題。 適用於雲端的 Defender 會以安全分數顯示您的安全性態勢。 安全分數是安全性結果的彙總分數,可告訴您目前的安全性狀況。 分數越高,識別到的風險層級就越低。

當您啟用適用於雲端的 Defender 時,您會自動啟用基礎 CSPM 功能。 這些功能屬於適用於雲端的 Defender 所提供的免費服務。

您可以啟用 Defender CSPM 方案,該方案可為您的環境提供額外的保護,例如治理、法規合規性、雲端安全性總管、攻擊路徑分析,以及機器的無代理程式掃描。

注意

無代理程式掃描需要訂用帳戶擁有者來啟用 Defender CSPM 方案。 具有較低授權層級的任何人都可以啟用 Defender CSPM 方案,但預設不會啟用無代理程式掃描器,因為缺少僅供訂用帳戶擁有者使用的必要權限。 此外,攻擊路徑分析和安全性總管不會填入弱點,因為無代理程式掃描器已停用。

關於可用性及深入了解每個方案所提供的功能,請參閱 Defender CSPM 方案選項

您可以在價格頁面深入了 解Defender CSPM 的價格。

必要條件

啟用 Defender CSPM 方案

當您啟用適用於雲端的 Defender 時,您會自動收到基礎 CSPM 功能所提供的保護。 若要存取 Defender CSPM 所提供的其他功能,您必須在訂用帳戶上啟用 Defender CSPM 方案。

若要在您的訂用帳戶上啟用Defender CSPM方案

  1. 登入 Azure 入口網站

  2. 搜尋並選取 [適用於雲端的 Microsoft Defender]

  3. 在適用於雲端的 Microsoft Defender 功能表,選取 [環境設定]

  4. 選取相關的 Azure 訂用帳戶、AWS 帳戶或 GCP 專案。

  5. 在 Defender 方案頁面上,將 Defender CSPM 方案切換為 [開啟]

  6. 選取 [儲存]。

啟用 Defender CSPM 方案的元件

在訂用帳戶上啟用 Defender CSPM 方案之後,您就能夠啟用 Defender CSPM 方案的個別元件:

  • 機器的無代理程式掃描:掃描中已安裝的軟體和弱點,而不需要依賴代理程式,也不會影響電腦的效能。 您可以停用無代理程式掃描器,或將排除標籤新增至您的訂用帳戶。

  • Kubernetes 的無代理程式探索:以 API 為基礎探索 Kubernetes 叢集架構、工作負載對象和設定的相關資訊。 用於 Kubernetes 清查、身分識別和網路暴露偵測的必要功能,可在雲端安全性總管中搜捕風險。 攻擊路徑分析需要此延伸模組 (僅限 Defender CSPM)。

  • 無代理程式容器弱點評量:提供容器登錄中所儲存映像的弱點管理。

  • 敏感資料探索:敏感資料探索會自動且大規模地探索包含敏感資料的受控雲端資料資源。 此功能會存取您的資料 (無代理程式)、使用智慧取樣掃描,並與 Microsoft Purview 敏感性資訊類型和標籤整合。

  • 權限管理 - 雲端基礎結構權利管理 (CIEM) 的深入解析。 CIEM 可確保雲端環境中適當且安全的身分識別和存取權限。 可協助了解雲端資源的存取權限和相關聯的風險。 設定和資料收集最多可能需要 24 小時的時間。

若要啟用 Defender CSPM 方案的元件

  1. 在 [Defender 方案] 頁面上,選取 [設定]

    [Defender 方案] 頁面的螢幕擷取畫面,其中顯示選取設定選項的位置。

  2. 針對每個元件選取 [開啟] 來加以啟用。

  3. (選擇性) 針對無代理程式掃描,選取 [編輯設定]

    顯示選取編輯組態位置的螢幕擷取畫面。

    1. 針對要從掃描中排除的任何電腦,輸入標籤名稱和標籤值。

    2. 選取套用

  4. 選取繼續

如需雲端內容化功能和自動化開發人員補救工作流程的程式碼 (其隨附於您的 Defender CSPM 方案且不需額外費用),請將 DevOps 環境連線至適用於雲端的 Defender。

下一步

雲端安全性態勢管理 (CSPM)