​Azure 安全中心是一项监视服务,可提供 Azure 上和本地的所有服务的安全态势的可见性。 “安全态势”一词指的是网络安全策略和控制,以及预测、阻止和响应安全威胁的能力。
安全中心作用:

  • 跨本地和云工作负载监视安全设置。
  • 在新资源联机时自动将所需的安全设置应用于这些资源。
  • 提供基于当前配置、资源和网络的安全建议。
  • 持续监视资源并执行自动安全评估,以识别潜在漏洞,避免这些漏洞被利用。
  • 使用机器学习来检测恶意软件,并阻止在虚拟机 (VM) 和其他资源上安装这些软件。 还可以使用自适应应用程序控制来定义列出允许的用程序的规则,以确保仅运行允许的应用程序。
  • 分析和识别潜在的入站攻击,并调查可能发生的威胁和任何后期违规活动。
  • 提供网络端口的实时访问控制。 此做法可以确保网络在你需要时只允许所需的流量,从而减小受攻击面。

Azure基础:什么是Azure 安全中心(28)_Azure安全中心

安全态势

可以使用安全中心来获取对其环境中不同组件的详细分析。 可以针对已分配的任何治理策略的安全控制进行分析,因此它可以从某个位置以安全角度查看整体法规符合性。
在“资源安全机制”部分,我们可以从安全角度了解其资源的运行状况。 为帮助设置修正操作的优先级,建议分为“低”、“中”和“高”三类。

安全功能分数是什么

安全功能分数是组织安全态势的度量值。
安全功能分数基于安全控制或相关安全建议组。 你的分数基于你满意的安全控制的百分比。 你满意的安全控制越多,得到的分数就越高。 当你修正针对某个控制内单个资源的所有建议后,分数会提高。
下面是 Azure 门户中的示例,显示了分数为 57%,即 34 分(总分为 60)。

Azure基础:什么是Azure 安全中心(28)_Azure安全中心_02

遵循安全功能分数建议可以帮助保护组织免受威胁。 在 Azure 安全中心的集中式仪表板中,组织可以监视和保护其 Azure 资源(如标识、数据、应用、设备和基础结构)。
安全功能分数可帮助你:Azure基础:什么是Azure 安全中心(28)_Azure防范危险_03

  • 报告组织安全态势的当前状况。
  • 通过提供可发现性、可见性、指导和控制改善安全态势。
  • 与基准进行比较并建立关键绩效指标 (KPI)。

防范威胁

安全中心包括针对 VM、网络安全和文件完整性的高级云防御功能。 我们来看看其中一些功能是如何应用的。

  • 实时 VM 访问​:Tailwind Traders 将配置对 VM 的实时访问。 默认情况下,此访问会阻止传输到 VM 特定网络端口的流量,但允许当管理员请求和批准时指定时间的流量。
  • 自适应应用程序控制​:Tailwind Traders 可以控制允许在其 VM 上运行的应用程序。 在后台,安全中心使用机器学习查看 VM 上运行的进程。 它为保存 VM 的每个资源组创建异常规则,并提供建议。 此过程提供警报,以通知该公司有未授权的应用程序在其 VM 上运行。
  • 自适应网络强化:​安全中心可以监视 VM 的 Internet 流量模式,并将这些模式与该公司当前的网络安全组 (NSG) 设置进行比较。 在此基础上,安全中心可以提出有关是否应该进一步锁定 NSG 的建议,并提供修正步骤。
  • 文件完整性监视​:Tailwind Traders 还可以配置对 Windows 和 Linux 上重要文件的更改、注册表设置、应用程序以及可能指示安全攻击的其他方面的监视。

响应安全警报

我们可以使用安全中心来获取其所有安全警报的集中视图。 在此基础上,我们可以消除虚假警报、进一步调查这些警报、手动修正警报,或使用带有工作流自动化功能的自动响应。
工作流自动化使用 Azure 逻辑应用和安全中心连接器。 逻辑应用可通过威胁检测警报或通过安全中心建议触发,并按名称或严重性进行筛选。 然后,你可以配置逻辑应用以运行操作,例如发送电子邮件或将消息发布到 Microsoft Teams。