Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Una delle principali funzionalità di Microsoft Defender for Cloud è la gestione del comportamento di sicurezza cloud (CSPM). CSPM offre visibilità dettagliata sullo stato di sicurezza degli asset e dei carichi di lavoro e offre indicazioni sulla protezione avanzata per migliorare il comportamento di sicurezza.
Defender for Cloud valuta continuamente le risorse rispetto agli standard di sicurezza definiti per le sottoscrizioni di Azure, gli account Amazon Web Service (AWS) e i progetti Google Cloud Platform (GCP). Defender per il cloud genera raccomandazioni sulla sicurezza in base a queste valutazioni.
Per impostazione predefinita, quando si abilita Defender for Cloud in una sottoscrizione di Azure, lo standard di conformità Microsoft Cloud Security Benchmark (MCSB) è abilitato e fornisce raccomandazioni per proteggere gli ambienti multicloud. Defender per il cloud offre un punteggio di sicurezza aggregato in base ad alcune raccomandazioni di MCSB. Un punteggio più alto indica un livello di rischio identificato inferiore.
Piani di CSPM
Defender for Cloud offre due opzioni di piano CSPM:
Foundational CSPM - un piano gratuito attivato per definizione predefinita per le sottoscrizioni e gli account che si uniscono a Defender for Cloud.
Defender CSPM : piano a pagamento che offre funzionalità aggiuntive oltre il piano CSPM di base. Questa versione del piano offre funzionalità di comportamento di sicurezza più avanzate, ad esempio il comportamento di sicurezza dell'intelligenza artificiale, l'analisi del percorso di attacco, la definizione delle priorità dei rischi e altro ancora.
Disponibilità del piano
Altre informazioni sui prezzi di Defender CSPM.
La tabella seguente riepiloga ogni piano e la relativa disponibilità nel cloud.
| Funzionalità | CSPM di base | CSPM Defender | Disponibilità del cloud |
|---|---|---|---|
| Raccomandazioni sulla sicurezza | 
|
|
Azure, AWS, GCP, locale, Docker Hub, JFrog Artifactory |
| Inventario degli asset |
|
|
Azure, AWS, GCP, on-premise, Docker Hub, JFrog Artifactory |
| Punteggio di sicurezza |
|
|
Azure, AWS, GCP, locale, Docker Hub, JFrog Artifactory |
| Visualizzazione e creazione di report dei dati con Workbooks di Azure |
|
|
Azure, AWS, GCP, locale |
| Esportazione dei dati |
|
|
Azure, AWS, GCP, locale |
| Automazione del flusso di lavoro |
|
|
Azure, AWS, GCP, locale |
| Strumenti per la correzione |
|
|
Azure, AWS, GCP, on-premise, Docker Hub, JFrog Artifactory |
| Microsoft Cloud Security Benchmark |
|
|
Azure, AWS, GCP |
| Gestione della postura di sicurezza basata su IA | - |
|
Azure, AWS |
| Analisi delle vulnerabilità delle macchine virtuali senza agente | - |
|
Azure, AWS, GCP |
| Analisi dei segreti delle macchine virtuali senza agente | - |
|
Azure, AWS, GCP |
| Analisi del percorso di attacco | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Definizione delle priorità dei rischi | - |
|
Azure, AWS, GCP , Docker Hub, JFrog Artifactory |
| Ricerca di rischi con Security Explorer | - |
|
Azure, AWS, GCP , Docker Hub, JFrog Artifactory |
| Mapping da codice a cloud per i contenitori | - |
|
GitHub, Azure DevOps2 , Docker Hub, JFrog Artifactory |
| Mapping da codice a cloud per IaC | - |
|
Azure DevOps2, , Docker Hub, JFrog Artifactory |
| Annotazioni di richieste pull | - |
|
GitHub, Azure DevOps2 |
| Analisi dell'esposizione a Internet | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Gestione della superficie di attacco esterna | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Gestione delle autorizzazioni (CIEM) | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Valutazione della conformità alle normative | - |
|
Azure, AWS, GCP, , Docker Hub, JFrog Artifactory |
| Integrazione di ServiceNow | - |
|
Azure, AWS, GCP |
| Protezione degli asset critici | - |
|
Azure, AWS, GCP |
| Governance per favorire la correzione su larga scala | - |
|
Azure, AWS, GCP , Docker Hub, JFrog Artifactory |
| Gestione della postura di sicurezza dei dati (DSPM), Analisi dei dati sensibili | - |
|
Azure, AWS, GCP1 |
| Scoperta senza agente per Kubernetes | - |
|
Azure, AWS, GCP |
| Raccomandazioni personalizzate | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Valutazione delle vulnerabilità dei container agentless dal codice al cloud | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Gestione del comportamento di sicurezza API (anteprima) | - |
|
Azzurro |
| dashboard di sicurezza servizio Azure Kubernetes (anteprima) | - |
|
Azzurro |
1: L'individuazione dei dati sensibili GCP supporta solo Archiviazione cloud. 2: Le funzionalità di sicurezza di DevOps, ad esempio la contestualizzazione da codice a cloud, che alimentano Esplora sicurezza, i percorsi di attacco e le annotazioni delle richieste pull per i risultati della sicurezza infrastruttura come codice, sono disponibili solo quando si abilita il piano CSPM di Defender a pagamento. Altre informazioni sul supporto della sicurezza e sui prerequisiti di DevOps.
Integrazioni
Microsoft Defender per il cloud ora include integrazioni predefinite che consentono di usare i sistemi partner per gestire e tenere traccia senza problemi di ticket, eventi e interazioni con i clienti. È possibile inviare raccomandazioni a uno strumento di creazione di ticket per i partner e assegnare la responsabilità a un team per la correzione.
L'integrazione semplifica il processo di risposta agli eventi imprevisti e migliora la possibilità di gestire gli eventi imprevisti di sicurezza. È possibile tenere traccia, classificare in ordine di priorità e risolvere gli incidenti di sicurezza in modo più efficace.
È possibile scegliere quale sistema di ticketing integrare. Per l'anteprima, è supportata solo l'integrazione di ServiceNow. Per altre informazioni sulla configurazione dell'integrazione di ServiceNow, vedere Integrare ServiceNow con Microsoft Defender for Cloud (anteprima).
Prezzi dei piani
Vedere la pagina dei prezzi di Defender per il cloud per informazioni sui prezzi di Defender CSPM. È anche possibile stimare i costi con il calcolatore dei costi di Defender for Cloud.
Le funzionalità di comportamento di sicurezza devOps, ad esempio annotazioni delle richieste pull, il codice per il mapping cloud, l'analisi del percorso di attacco e Esplora sicurezza cloud sono disponibili solo tramite il piano CSPM di Defender a pagamento. Il piano di gestione del comportamento di sicurezza di base gratuito offre raccomandazioni su Azure DevOps. Altre informazioni sulle funzionalità fornite dalle funzionalità di sicurezza di Azure DevOps.
Per le sottoscrizioni che usano piani di Defender CSPM e Defender per contenitori, la valutazione della vulnerabilità gratuita viene calcolata in base alle analisi di immagini gratuite fornite tramite il piano Defender per contenitori, come riepilogato nella pagina dei prezzi di Microsoft Defender per il cloud. È anche possibile stimare i costi con il calcolatore dei costi di Defender for Cloud.
Defender CSPM protegge tutti i carichi di lavoro multicloud, ma la fatturazione viene applicata solo a risorse specifiche. Le tabelle seguenti elencano le risorse fatturabili quando Defender CSPM è abilitato nelle sottoscrizioni di Azure, negli account AWS o nei progetti di GCP.
Servizio di Azure Tipi di risorsa Esclusioni Calcolo Microsoft.Compute/virtualMachines
Microsoft.Compute/virtualMachineScaleSets/virtualMachines
Microsoft.ClassicCompute/virtualMachines- Macchine virtuali deallocate
- Macchine virtuali di DatabricksArchiviazione Microsoft.Storage/storageAccounts Account di archiviazione senza contenitori di BLOB o condivisioni di file Dbs Microsoft.Sql/servers
Microsoft.DBforPostgreSQL/servers
Microsoft.DBforMySQL/servers
Microsoft.Sql/managedInstances
Microsoft.DBforMariaDB/servers
Microsoft.Synapse/workspaces--- Servizio AWS Tipi di risorsa Esclusioni Calcolo Istanze di EC2 Macchine virtuali deallocate Archiviazione Bucket S3 --- Dbs Istanze di Servizi Desktop remoto --- Servizio GCP Tipi di risorsa Esclusioni Calcolo 1. Istanze di Google Compute
2. Gruppo di istanze di GoogleIstanze con stati non in esecuzione Archiviazione Bucket di archiviazione - Bucket da classi: 'nearline', 'coldline', 'archive'
- Bucket provenienti da aree diverse dalle seguenti: europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1Dbs Istanze di SQL cloud ---
Supporto cloud di Azure
Per la copertura del cloud commerciale e nazionale, esaminare le funzionalità supportate negli ambienti cloud di Azure.
Passaggi successivi
- Guardare Prevedere gli incidenti di sicurezza futuri. Cloud Security Posture Management (CSPM) con Microsoft Defender.
- Informazioni su standard e raccomandazioni per la sicurezza.
- Informazioni sul punteggio di sicurezza.