Azure是一个 IaaS 提供商,使组织能够在云中托管和管理其整个工作负载。 除了利用云中的基础结构的好处外,组织最关键的资产还可能面临威胁。 公开的资产包括具有潜在敏感信息的存储实例、运行某些最关键应用程序的计算资源、端口以及允许访问组织的虚拟专用网络。
将Azure连接到Defender for Cloud Apps可帮助你通过监视管理和登录活动、通知可能的暴力攻击、恶意使用特权用户帐户和异常删除 VM 来保护资产并检测潜在威胁。
主要威胁
- 滥用云资源
- 泄露的帐户和内部威胁
- 数据泄漏
- 资源配置错误和访问控制不足
Defender for Cloud Apps如何帮助保护环境
使用内置策略和策略模板控制Azure
可以使用以下内置策略模板来检测潜在威胁并通知你:
| 类型 | 名称 |
|---|---|
| 内置异常情况检测策略 |
来自匿名 IP 地址的活动 来自不常见国家/地区的活动 来自可疑 IP 地址的活动 终止的用户 (执行的活动需要 idP) Microsoft Entra ID 多个失败登录尝试 异常管理活动 预览) (异常的多个存储删除活动 多个删除虚拟机活动 预览) (异常的多个 VM 创建活动 |
有关创建策略的详细信息,请参阅 创建策略。
自动化治理控制
除了监视潜在威胁之外,还可以应用并自动执行以下Azure治理作来修正检测到的威胁:
| 类型 | Action |
|---|---|
| 用户治理 | - 通过Microsoft Entra ID) 在警报 (通知用户 - 要求用户通过Microsoft Entra ID) 重新登录 ( - 通过Microsoft Entra ID) 挂起用户 ( |
有关修正来自应用的威胁的详细信息,请参阅 治理连接的应用。
实时保护Azure
查看我们的最佳做法, 了解如何保护与外部用户协作 , 以及阻止和保护将敏感数据下载到非托管或有风险的设备。
将Azure连接到Microsoft Defender for Cloud Apps
本部分提供有关使用应用连接器 API 将Microsoft Defender for Cloud Apps连接到现有Azure帐户的说明。 此连接使你能够查看和控制Azure使用。 有关Defender for Cloud Apps如何保护Azure的信息,请参阅保护Azure。
注意
- 用户必须至少是 Azure AD 中的安全管理员才能将Azure连接到Microsoft Defender for Cloud Apps。
- Defender for Cloud Apps显示所有订阅中的活动。
- 当用户在 Azure 中执行活动时,将在 Defender for Cloud Apps 中填充用户帐户信息。
- 目前,Defender for Cloud Apps仅监视 ARM 活动。
将Azure连接到Defender for Cloud Apps:
在Microsoft Defender门户中,选择“设置”。 然后选择“ 云应用”。 在 “连接的应用”下,选择“ 应用连接器”。
在“应用连接器”页中,选择“+连接应用”,然后选择“Microsoft Azure”。
在“连接Microsoft Azure”页中,选择“连接Microsoft Azure”。
在Microsoft Defender门户中,选择“设置”。 然后选择“ 云应用”。 在 “连接的应用”下,选择“ 应用连接器”。 确保已连接应用连接器的状态为 “已连接”。
注意
连接到Azure后,将拉取数据。 从此以后,你将看到数据。
如果连接应用时遇到任何问题,请参阅 应用连接器故障排除。
后续步骤
如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证。