通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:配置威胁检测和管理 Azure VM 备份的运行状况(预览版)

本教程介绍如何为 Azure 虚拟机(VM)备份启用威胁检测,并使用 Azure 备份对其进行管理。 此功能与 Microsoft Defender for Cloud 集成、配置设置和监视备份还原点运行状况。

Azure 备份现在使用 Microsoft Defender for Cloud (MDC)为 Azure VM 备份提供威胁检测。 通过集成 Defender for Servers 的安全信号和恶意软件扫描,Azure 备份会在创建备份期间自动评估还原点的运行状况。 此功能可帮助你快速识别和响应可疑备份或受勒索软件感染的备份,确保 VM 的恢复选项更安全。

了解 Azure 备份威胁检测功能和受支持的方案

先决条件

在为 Azure VM 备份启用和管理威胁检测之前,请确保满足以下先决条件:

  • 在 Azure 订阅上启用 Microsoft Defender for Servers 计划 1 或计划 2。 对于计划 1,在虚拟机上启用 Microsoft Defender for Endpoint (MDE),并在源 VM 上验证正确的配置;否则,备份可能会被错误标记。 对于计划 2,请确保启用无代理恶意软件扫描。 详细了解 Defender for Server 计划
  • 在 Microsoft Sentinel 中启用双向警报同步,以准确识别备份恢复点(RP)。 了解如何将 Microsoft Defender for Cloud 警报引入 Microsoft Sentinel
  • 在将任何第三方事件管理解决方案与 Defender 一起使用时,在 Microsoft Defender for Cloud 中将警报标记为已解决。

为 Azure VM 备份启用威胁检测

可以在保管库级别大规模配置源扫描,从而允许 Azure 备份在源虚拟机上使用 Microsoft Defender 执行恶意软件扫描。 此功能允许 Azure 备份在拍摄快照时评估恢复点的运行状况。

可以使用"恢复能力"或"保管库属性"这两种方法之一,为 Azure VM 备份启用威胁检测。 在保管库上配置威胁检测扫描后,保管库会将扫描状态应用于为 VM 备份创建的所有新还原点。

重要

  • 使用所需的 Microsoft Defender for Cloud (MDC) 计划,可以启用源扫描集成。 启用后,无法关闭此安全功能。
  • 仅当所选订阅具有所需的Microsoft Defender for Servers 计划时,才能配置源扫描。

选项 1:使用复原能力配置威胁检测

若要使用复原功能为 Azure VM 备份启用威胁检测,请执行以下步骤:

  1. Azure 门户中,转到 复原能力

  2. “概述 ”窗格中,选择 “威胁检测”(预览) 磁贴。

    屏幕截图显示了“复原能力”中的“威胁检测”磁贴。

  3. “威胁检测”(预览) 窗格中,选择“ + 配置扫描 ”以开始配置源扫描集成。

    屏幕截图显示了如何启动威胁检测扫描配置。

  4. 在“配置源扫描集成(预览版)”窗格中,单击“+ 选择保管库”。

  5. 在“选择保管库”窗格中的“选择订阅”下,选择你想在其下启用源扫描集成的订阅。

  6. 若要启用与 Microsoft Defender for Cloud 的集成,请从包含受保护数据源(VM 备份)的列表中选择保管库,然后选择“ 添加”。

    屏幕截图显示了用于扫描配置的保管库选择。

  7. 在“配置源扫描集成(预览版)”窗格中选择“配置扫描”,以便为受支持区域中的保管库启用威胁检测。

为保管库中 VM 备份创建的所有新恢复点的扫描状态开始显示为 已配置

选项 2:从保管库属性配置威胁检测

若要从恢复服务保管库属性为 Azure VM 备份启用威胁检测,请执行以下步骤:

  1. 转到包含需要威胁检测的 VM 备份的 恢复服务保管库 ,然后选择“ 属性”。

  2. “属性 ”窗格的“ 安全设置>威胁检测”(预览)下,选择“ 更新”。

    屏幕截图显示了保管库属性中的“启用威胁检测”选项。

  3. “威胁检测”(预览版) 窗格中,打开 “启用源扫描集成”,选中复选框接受条款。

  4. 选择更新

监视 Azure VM 恢复点的运行状况

若要使用复原能力监视 Azure VM 恢复点的运行状况,请执行以下步骤:

  1. 转到 “复原”,然后选择 “威胁检测”(预览) 磁贴,并查看恢复点运行状况的摘要。

  2. 在“威胁检测(预览版)”窗格中,选择“扫描摘要”状态为“找到可疑 RP”的受保护项

    可以查看订阅中所有受保护项的 扫描状态扫描摘要 。 扫描摘要是根据过去 7 天内创建的恢复点的扫描状态聚合值。

    屏幕截图显示了受保护项的威胁检测状态。

  3. 在选定的受保护项窗格中,从列表中选择关联的项。

  4. 在关联的项窗格中,从恢复点列表中选择“最近扫描状态”为“可疑”的超链接,查看扫描详细信息。

    屏幕截图显示了可疑的恢复点。

  5. 可以看到导致将此 RP 标记为 可疑的警报。 可以通过选择警报并导航到 MDC 来修正和采取措施。 可以通过启用不可变性或多用户授权来停止备份或提高备份的安全级别。

    屏幕截图显示了可疑恢复点的扫描详细信息。

还可以在 Azure VM 还原期间查看每个恢复点的扫描状态,这有助于为勒索软件恢复选择适当的还原点。

屏幕截图显示了还原点扫描状态。

解决威胁并确保备份正常

如果将备份恢复点标记为可疑,则所有后续恢复点将一直保持此标记状态,直到相关警报被分类和解决。

若要解决警报,请从 “扫描详细信息 ”窗格中选择警报,然后转到 Defender 门户并执行以下作之一:

解决所有警报并将其标记为在 Microsoft Defender for Cloud 中 解决 后,受保护的项将标记为 “未报告威胁”。

相关内容

  • Last updated on