你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文概述了 Azure 虚拟机(VM)备份的威胁检测功能,该功能与 Microsoft Defender for Cloud (MDC)集成。
Azure 备份与 Microsoft Defender for Cloud (MDC)集成,为 Azure 虚拟机(VM)备份提供高级威胁检测。 此功能允许通过识别潜在的恶意备份或受勒索软件感染的备份来评估备份还原点的运行状况。
使用来自 Microsoft Defender for Servers 的安全信号,Azure 备份会检测破坏指标,例如中断模式、行为异常和勒索软件签名。 Microsoft Defender for Cloud 扫描源虚拟机中的恶意软件,Azure 备份会在创建备份快照时使用这些信号评估还原点运行状况。
Azure VM 备份的威胁检测的主要优势
Azure VM 备份的威胁检测具有以下优势:
主动威胁识别: 保管库级别的威胁检测配置会自动识别保管库中所有 VM 备份中已泄露的还原点,从而增强勒索软件攻击方案中的恢复信心。
更快的恢复速度: 通过快速识别适合勒索软件恢复的干净还原点来缩短恢复时间。
无缝集成: 可与 Microsoft Defender for Servers 计划 1 和计划 2 无缝协作工作,确保在 Azure 工作负载中提供统一且一致的安全体验。
Azure VM 备份的源扫描状态
可以在 Azure 门户中监视 Azure VM 备份的威胁检测状态。 威胁检测状态包括两个组件 - 配置状态 和 摘要状态。
配置状态
下表描述了 Azure VM 备份的可用源扫描配置状态:
| 状态 | Description |
|---|---|
| 已配置 | 已成功为保管库中的受保护项配置源扫描与 Microsoft Defender for Cloud 的集成。 |
| 未配置 | 尚未为保管库中的受保护项配置与 Microsoft Defender for Cloud 的源扫描集成。 |
| 配置失败 | 由于配置错误,源扫描与 Microsoft Defender for Cloud 的集成失败。 |
| 不适用 | 配置后,Defender for Servers 的计划被降级。 |
综合状态
下表描述了 Azure VM 备份的可用源扫描摘要状态:
| 源扫描摘要 | Description |
|---|---|
| 未报告任何威胁 | Microsoft Defender for Cloud 找不到备份恢复点的任何恶意软件或勒索软件威胁。 如果过去七天内备份项的所有恢复点(RP)均未显示任何威胁,则备份项将标记为 “无威胁报告”。 |
| 发现可疑的 IP | Microsoft Defender for Cloud 检测到备份恢复点的勒索软件或恶意软件威胁。 如果在过去七天内发现至少一个备份恢复点(RP)可疑,则备份项的摘要将标记为 “发现可疑的 IP”。 |
| 不适用 | 如果源虚拟机的 Defender for Servers 计划被降级,则恢复点的状态将标记为 不适用。 如果备份项的所有备份 RP 在过去七天内不适用,则会将摘要标记为“不适用”。 |
| 未知 (-) | 源扫描集成未配置或失败。 备份恢复点和备份项的摘要标记为未知(-)。 |
Azure VM 备份威胁检测支持的区域
此功能在受限区域中提供公共预览版:美国中西部、澳大利亚东部、北欧、瑞士北部、西欧、美国中部、美国东部、美国东部 2、美国西部、英国南部、英国西部、加拿大中部。
限制和已知问题
此预览功能具有以下限制和已知问题:
重新注册到多个保管库:将虚拟机配置为备份多个保管库时,威胁检测功能仅显示一个保管库名称,源端扫描状态和摘要显示所有受保护项的聚合值。 但是,可以在 “受保护的项”下查看相应保管库的扫描详细信息。
活动勒索软件警报更新:启用威胁检测后,如果 VM 有任何活动勒索软件警报,备份扫描摘要可能需要长达 48 小时才能正确更新并反映为 可疑。
VM 或订阅的 MDC 定价已禁用: 为虚拟机或订阅禁用 Microsoft Defender for Cloud (MDC) 定价时,受保护的项状态将更改为 “配置失败”。 后续备份以 未知(-) 状态显示,受保护项的源扫描摘要显示为 “未知”。