MS Defender for Cloud的工作負載保護

Microsoft Defender for Cloud 為 Azure 以及混合雲和工作負載提供進階智慧保護。啟用 Defender for Cloud 可提供一系列額外的安全功能。

以下介紹 Microsoft Defender for Cloud 為每個雲端工作負載提供的保護和偵測。

Server(伺服器)

Microsoft Defender for Servers 可為 Windows 和 Linux OS提供威脅偵測和進階防禦，無論它們是在 Azure、AWS、GCP 或地端。為了保護混合和多雲環境中的機器，Defender for Cloud 使用 Azure Arc。

Microsoft Defender for Servers 提供兩種方案：

Microsoft Defender for Servers Plan 1:
將 Microsoft Defender for Endpoint 部署到伺服器並提供以下功能：

• 授權以小時而不是蘿蔔坑收費，從而降低了僅在使用時保護VM的成本。
• 會自動部署到所有雲端工作負載，以便知道它們在啟動時受到保護。
• 告警和漏洞資料顯示在 Microsoft Defender for Cloud 中

Microsoft Defender for Servers Plan 2（以前稱為 Defender for Servers）- 包含plan 1 的功能以及對所有其他 Microsoft Defender for Servers 功能的支援。

若要啟用 Microsoft Defender for Servers 計畫：

1. 前往Environment settings並選擇訂閱。
2. 如果未啟用 Microsoft Defender for Servers，請將其設定為開啟。預設選擇plan 2。
3. 如果想要變更 Defender for Servers plan：
   在Plan/Pricing column中，選擇更改計劃。選擇想要的計劃並選擇“確認”。

功能

以下是Plan 1 and 2都有的功能

• Automatic onboarding for resources in Azure, AWS, GCP
• Microsoft threat and vulnerability management
• Flexibility to use Microsoft Defender for Cloud or Microsoft Defender portal
• Integration of Microsoft Defender for Cloud and Microsoft Defender for Endpoint (alerts, software inventory, Vulnerability Assessment)

以下只有Plan 2才有的功能:

• Log-analytics (500 MB free)
• Vulnerability Assessment using Qualys
• Threat detections: OS level, network layer, control plane
• Adaptive application controls
• File integrity monitoring
• Just-in time VM access
• Adaptive network hardening

效益

Microsoft Defender for Servers 提供的威脅偵測與保護功能包括：

Microsoft Defender for Endpoint 的整合授權 —
Microsoft Defender for Servers 包含 Microsoft Defender for Endpoint。它們共同提供全面的EDR 功能。啟用 Microsoft Defender for Servers 時，Defender for Cloud 可以存取與端點的漏洞、已安裝軟體和警報相關的 Microsoft Defender for Endpoint 資料。

當 Defender for Endpoint 偵測到威脅時，它會觸發告警。該警報顯示在 Defender for Cloud 中。從 Defender for Cloud 中，還可以轉向 Defender for Endpoint 控制台，並執行詳細調查以揭示攻擊範圍。

Vulnerability assessment tools for machines —
Microsoft Defender for Servers 包括一系列適用於電腦的漏洞發現和管理工具。在 Defender for Cloud 的setting頁面中，可以選擇要部署到您的電腦的工具。發現的漏洞顯示在security recommendation中。

Microsoft threat and vulnerability management -
使用 Microsoft Defender for Endpoint 即時發現漏洞和錯誤配置，無需其他agent或定期掃描。威脅和漏洞管理根據威脅態勢、組織中的偵測、易受攻擊設備上的敏感資訊以及業務環境來確定漏洞的優先順序。

Vulnerability scanner powered by Qualys -
Qualys 掃描器是即時識別 Azure 和混合雲VM中漏洞的領先工具之一。不需要 Qualys 授權，甚至不需要 Qualys 帳號 — 一切都在 Defender for Cloud 內無縫處理。

Just-in-time (JIT) VM access —
駭客透過備開放管理連接埠（例如 RDP 或 SSH）主動搜尋可存取的電腦。我們的所有VM都是潛在的攻擊目標。當VM被駭時，它將被用作攻擊環境中更多資源的入口點。

啟用 Microsoft Defender for Servers 後，可以使用JIT VM 存取來鎖定 VM 的inbound流量。但在哪之前"持續讓遠端連接埠關閉"可以減少遭受攻擊的風險，並在需要時提供存取以連接到VM。

File integrity monitoring (FIM) -
FIM也稱為更改監控，檢查作業系統、應用程式軟體和其他檔案和註冊表是否存在可能表示有攻擊的變更。比較方法用於確定檔案的目前狀態是否與檔案的上次掃描不同。可以使用此比較來確定是否對檔案進行了有效或可疑的修改。

啟用 Microsoft Defender for Servers 時，可以使用 FIM 驗證 Windows 檔案、Windows 登錄和 Linux 檔案的完整性。

Adaptive application controls (AAC) —
這是一種智慧自動化解決方案，用於為機器定義已知安全應用程式的允許清單。

啟用並配置adaptive application controls後，如果有任何應用程式運行在我們定義為安全的應用程式之外，我們將收到安全告警。

Adaptive network hardening (ANH) -
應用NSG(網路安全群組 )來過濾進出資源的流量，可以改善網路安全狀況。但是，在某些情況下，流經 NSG 的實際流量仍然可能是定義的 NSG 規則的子集。在這些情況下，可以透過根據實際流量模式強化 NSG 規則來進一步改善安全狀況。

Adaptive network hardening提供了進一步強化 NSG 規則的建議。它使用機器學習演算法，考慮實際流量、已知的可信配置、威脅情報和其他compromise指標。然後，ANH 會提供僅允許來自一組特定 IP + port 的流量的建議。

Docker host hardening -
Microsoft Defender for Cloud 可識別 IaaS Linux VM 或執行 Docker 容器的其他 Linux 電腦上託管的非託管容器。 Defender for Cloud 不斷評估這些容器的配置。然後，它將它們與CIS Docker Benchmark進行比較。 Defender for Cloud 包含 CIS Docker Benchmark的整個規則集，如果容器不符合任何控制項，則會向發出告警。

Fileless attack detection -
無檔案攻擊將惡意負載注入memory，以避免基於磁碟的掃描技術被偵測到。然後，攻擊者的有效負載會保留在受感染Process的記憶體中，並執行各種惡意活動。

透過無檔案攻擊偵測，automated memory forensic techniques可以識別無檔案攻擊工具包、技術和行為。該解決方案在運行時定期掃描機器，並直接從Process memory中提取見解。具體見解包括確定：

• 知名工具包與加密貨幣挖礦軟體
• Shellcode — 通常用作利用軟體漏洞的有效負載的一小段代碼
• 在Process memory中注入惡意可執行檔

無檔案攻擊偵測會產生詳細的安全警報，其中包括帶有process metadata（例如網路活動）的描述。這些詳細資訊加快了警報分類、關聯和下游回應時間。該方法補充了event-based EDR 解決方案，並提供了更大的偵測覆蓋範圍。

Linux auditd alerts and Log Analytics agent integration (Linux only) —
auditd系統由一個kernel-level subsystem組成，負責監控系統呼叫。它透過指定的規則集過濾它們，並將它們的訊息寫入socket。 Defender for Cloud 在 Log Analytics agent中整合了auditd 套件中的功能。此整合可以在所有支援的 Linux 版本中收集auditd 事件，而無需任何先決條件。

適用於 Linux 的 Log Analytics agent會收集auditd 記錄並豐富它們並將其聚合到事件中。 Defender for Cloud 不斷添加新的分析功能，使用 Linux 訊號來偵測雲端和地端 Linux 電腦上的惡意行為。與 Windows 功能類似，這些分析包括檢查可疑process、可疑登入嘗試、核心模組載入和其他活動的測試。這些活動可能表示機器受到攻擊或已被破壞。

對於 Windows，Microsoft Defender for Cloud 與 Azure 服務整合以監視和保護基於 Windows 的電腦。 Defender for Cloud 以易於使用的格式呈現所有這些服務的告警和補救建議。

對於 Linux，Defender for Cloud 使用最常見的 Linux auditing frameworks之一auditd 從 Linux 電腦收集稽核記錄。

對於混合和多雲場景，Defender for Cloud 與 Azure Arc 整合，以確保這些非 Azure 電腦被視為 Azure 資源。

App Service

Azure App Service是一個完全託管的平台，用於建立和託管 Web 應用程式和 API，而無需擔心管理基礎架構。它提供管理、監控和維運洞察，以滿足企業級效能、安全性和合規性要求。

Microsoft Defender for App Service 使用雲端的規模來識別針對透過應用程式服務運行的應用程式的攻擊。攻擊者探測 Web 應用程式以發現並利用弱點。在路由到特定環境之前，對 Azure 中執行的應用程式的request會經過多個gateway，並在這些gateway中檢查和記錄。然後，該資料用於識別漏洞和攻擊者，並學習稍後將使用的新模式。

透過利用 Azure 作為CSP的可見性，Defender for Cloud 可以分析應​​用程式服務內部日誌來識別針對多個目標的攻擊方法。例如，方法包括廣泛掃描和分散式攻擊。這種類型的攻擊通常來自一小部分 IP，並顯示爬行到多個主機上類似端點的模式。這些攻擊正在搜尋易受攻擊的頁面或plugin，並且無法從單一主機的角度進行識別。

提供的保護

啟用App Service plan後，Defender for Cloud 會評估App Service plan涵蓋的資源，並根據其結果產生安全性建議。 Defender for Cloud 保護執行應用服務的 VM instance和管理介面。它還監視應用程式服務的requests and responses。

如果我們正在執行Windows-based App Service plan，Defender for Cloud 還可以存取底層沙箱和虛擬機器。結合上述日誌資料，基礎設施可以講述從外部進入的新攻擊到電腦的成功入侵的整個故事，。因此，即使在 Web 應用程式被利用後部署 Defender for Cloud，它也可能能夠偵測到正在進行的攻擊。

若要使用 Microsoft Defender for App Service 來保護 Azure App Service plan：

• 確保我們有與專用電腦(dedicated machines)關聯的支援的App Service plan。此處列出了支援的計劃。
• 在訂閱上啟用 Defender for Cloud（可以選擇僅啟用 Defender for App Service plan）。

Defender for Cloud 與App Service原生整合，無需部署和加入(onboarding) — 整合是transparent。

Storage

Microsoft Defender for Storage 是 Azure原生的安全智慧層，可偵測存取或利用storage account的異常且可能有害的嘗試入侵。它利用security AI和 Microsoft 威脅情資的高階功能來提供脈絡性的安全告警和建議。

當活動發生異常時，會觸發安全警報。安全警報與 Defender for Cloud 整合，並透過電子郵件發送給管理員，其中包含可疑活動的詳細資訊以及有關如何調查和補救威脅的建議。

效益

• Azure 原生安全性 —
  透過一鍵啟用，Defender for Storage 可保護儲存在 Azure Blob、Azure Files和Data Lakes中的資料。作為 Azure 原生服務，Defender for Storage 為 Azure 管理的所有資料資產提供集中式安全性，並與 Microsoft Sentinel 等其他安全服務整合。
• 豐富的偵測套件 —
  由 Microsoft Threat Intelligence 提供支援，Defender for Storage 中的偵測涵蓋了儲存威脅，例如匿名存取、憑證洩露、社交工程、特權濫用和惡意內容。
• 大規模回應 —
  Defender for Cloud 的自動化工具可以預防和回應已識別的威脅。

告警類別

當出現以下情況時，就會觸發告警：

• 可疑的存取模式 —
  例如從 Tor(洋蔥網路) 出口節點或從 Microsoft 威脅情資認為是可疑 IP 的成功存取
• 可疑活動 —
  例如異常資料取出或存取權限異常更改
• 上傳惡意內容 —
  例如潛在的惡意軟體檔案（基於hash reputation analysis）或託管網路釣魚內容

告警包括觸發警報的事故的詳細資訊以及有關如何調查和補救威脅的建議。告警可以匯出到 Azure Sentinel 或任何其他第三方 SIEM 或任何其他外部工具。

為了確定上傳的檔案是否可疑，Defender for Storage 使用 Microsoft 威脅情資支援的hash reputation analysis。威脅防護工具不會掃描上傳的檔案。相反，他們檢查儲存日誌，並將新上傳檔案的雜湊值與已知病毒、木馬、間諜軟體和勒索軟體的雜湊值進行比較。

當被懷疑的檔案包含惡意軟體時，Security Center會顯示警報，並可以選擇向儲存所有者發送電子郵件以請求批准刪除可疑檔案。若要設定自動刪除包含hash reputation analysis所顯示的惡意軟體的文件，請部署工作流程自動化以觸發包含「Potential malware uploaded to a storage account」的告警。

SQL

Microsoft Defender for Cloud database security可讓我們透過偵測 Azure 中的資料庫類型的常見攻擊、支援啟用和威脅回應來保護整個資料庫資產。

受保護的資料庫類型有：

• Azure SQL Databases
• SQL servers on machines
• Open-source relational databases (OSS RDB)
• Azure Cosmos DB 資料庫為具有不同攻擊面和安全性風險的引擎和資料類型提供保護。針對每種資料庫類型的特定攻擊面進行安全性偵測

Defender for Cloud 的資料庫保護功能可偵測異常且可能有害的存取或利用資料庫的嘗試存取。進階威脅偵測功能和 Microsoft 威脅情資資料用於提供脈絡性的告警。這些告警包括可減緩偵測到的威脅並防止未來攻擊的步驟。

我們可以對訂閱啟用資料庫保護，或排除特定的資料庫資源類型。

Microsoft Defender for SQL 包含兩個plans，extend Defender for Cloud 的data security package，以保護資料庫及其資料（無論它們位於哪個region）。

保護甚麼?

Defender for Azure SQL database servers 保護:

• Azure SQL Database
• Azure SQL Managed Instance
• Dedicated SQL pool in Azure Synapse

機器上的 Microsoft Defender for SQL Server 擴展了對 Azure 原生SQL Server 的保護，以完全支援混合雲並保護 Azure、其他雲端環境甚至地端機房中託管的 SQL 伺服器（所有支援的版本）：

• SQL Server on Virtual Machines
• On-premises SQL servers:
  — Azure Arc enabled SQL Server (preview)
  — SQL Server running on Windows machines without Azure Arc

效益

這兩個Plans包括識別和減緩潛在資料庫漏洞以及偵測可能呈現資料庫面臨威脅的異常活動的功能：

• 漏洞評估 —
  用於探索、追蹤和幫助我們修復潛在資料庫漏洞的掃描服務。評估掃描提供 SQL 機器安全狀態的概述以及任何安全結果的詳細資訊。
• 進階威脅防護 —
  持續監控 SQL 伺服器是否有 SQL injection、暴力攻擊和特權濫用等威脅的偵測服務。此服務在 Defender for Cloud 中提供行動導向的安全性告警，其中包含可疑活動的詳細資訊、如何緩解威脅的指南以及使用 Microsoft Sentinel 繼續調查的選項。

告警類型

當出現以下情況時，會觸發威脅情資的安全告警：

• 潛在的 SQL injection攻擊 —
  包括應用程式在資料庫中產生錯誤 SQL 語法時偵測到的漏洞
• 異常的資料庫存取和查詢模式 —
  例如，使用不同憑證的登入嘗試失敗次數異常多（暴力嘗試）
• 可疑的資料庫活動 —
  例如，合法使用者從與加密挖掘 C&C 伺服器通訊的受破壞電腦存取 SQL Server

告警包括觸發警報的事故的詳細資訊以及有關如何調查和補救威脅的建議。

針對開源關聯式資料庫的效益

此 Defender for Cloud plan為以下開源關聯式資料庫提供威脅保護：

• Azure Database for PostgreSQL
• Azure Database for MySQL
• Azure Database for MariaDB

啟用此計劃後，Microsoft Defender for Cloud 將在偵測到異常資料庫存取和查詢模式以及可疑資料庫活動時發出告警。

當出現以下情況時，會觸發威脅情資的告警：

• 異常的資料庫存取和查詢模式例如，使用不同憑證的登入嘗試失敗次數異常多（暴力嘗試）
• 可疑的資料庫活動例如，合法使用者從與加密挖掘 C&C 伺服器通訊的受攻擊電腦存取 SQL Server
• 暴力攻擊(Brute-force attacks) 能夠將簡單的暴力攻擊與對有效使用者的暴力攻擊或成功的暴力攻擊分開。

針對Azure Cosmos DB的效益

Microsoft Defender可以偵測 Azure Cosmos DB 潛在的 SQL injection、基於 Microsoft 威脅情資的已知惡意行為者、可疑的存取模式以及透過受被盜取身分或惡意內部人員對資料庫的惡意使用。

我們可以為所有資料庫啟用保護，或在訂閱等級或資源層級啟用適用於 Azure Cosmos DB 的 Microsoft Defender。

Defender for Azure Cosmos DB 不斷分析 Azure Cosmos DB 服務產生的telemetry stream。當偵測到潛在的惡意活動時，會產生告警。這些告警與可疑活動的詳細資訊以及相關調查步驟、補救措施和安全建議一起顯示在 Defender for Cloud 中。

Defender for Azure Cosmos DB 不會存取 Azure Cosmos DB 帳號資料，也不會對其效能產生任何影響。

Azure Cosmos DB告警類別

當出現以下情況時，會觸發威脅情資的告警：

• 潛在的 SQL injection attacks：
  由於 Azure Cosmos DB query的結構和功能，許多已知的 SQL injection attacks在 Azure Cosmos DB 中無法發揮作用。但是，SQL injection 的某些變體可能會成功，並可能導致從 Azure Cosmos DB 帳號中竊取資料。 Defender for Azure Cosmos DB 可偵測成功和失敗的嘗試，並協助強化環境以防止這些威脅。
• 異常資料庫存取模式：
  例如，從 TOR 出口節點存取、已知可疑 IP 位址、異常應用程式和異常位置。
• 可疑資料庫活動：
  例如，類似已知惡意橫向行動技術的可疑金鑰清單模式和可疑資料擷取模式。

Key Vault

Azure Key Vault 是一項雲端服務，可保護加密金鑰和secrets（例如憑證、連接字串和密碼）。

啟用 Microsoft Defender for Key Vault，為 Azure Key Vault 提供 Azure 原生進階威脅保護，從而提供額外的安全智慧層。

效益

Microsoft Defender for Cloud 偵測存取或利用 Key Vault 帳號的異常且可能有害的嘗試存取。當發生異常活動時，Defender for Cloud 會顯示告警，並可選擇透過電子郵件將警報傳送給組織的相關成員。這些警報包括可疑活動的詳細資訊以及有關如何調查和補救威脅的建議。

Resource Manager

Azure Resource Manager是 Azure 的部署和管理服務。它提供了一個管理層，使我們能夠在 Azure 帳號中建立、更新和刪除資源。可以使用存取控制、鎖定和標籤等管理功能來在部署後保護和組織資源。

雲端管理層是連接所有雲端資源的關鍵服務。由於這種整合，它也是攻擊者的潛在目標。因此，資安維運團隊應密切監控資源管理層。

Microsoft Defender for Resource Manager 會自動監視組織中的資源管理操作。無論它們是透過 Azure 網站、Azure REST API、Azure CLI 或其他 Azure programmatic clients執行，Defender for Cloud 都會執行進階安全性分析來偵測威脅並就可疑活動發出告警。

效益

Defender for Resource Manager 可防止下列問題：

• 可疑的資源管理操作，例如來自可疑 IP 位址的操作、停用反惡意軟體和在VM extensions中執行的可疑腳本
• 使用 Microburst 或 PowerZure 等exploitation toolkits
• 從 Azure management layer橫向移動到 Azure resources data plane

調查告警

Defender for Resource Manager 的告警是基於透過監視 Azure 資源管理器操作所偵測到的威脅。 Defender for Cloud 使用 Azure Resource Manager 與Azure Activity log的內部日誌來源，Azure Activity log是一個platform sign-in Azure，可提供對訂閱等級事件的深入了解。

若要調查來自 Defender for Resource Manager 的告警：

1. Open Azure Activity log.
2. Filter the events to:
   —告警中提到的訂閱
   — 偵測到的活動的時間範圍
   — 相關的使用者帳號（如果相關）
3. 檢視可疑活動

DNS

Azure DNS 是 DNS 網域的託管服務，它使用 Microsoft Azure 基礎架構提供名稱解析。透過在 Azure 中託管網域，我們可以使用與其他 Azure 服務相同的憑證、API、工具和計費來管理 DNS 記錄。

Microsoft Defender for DNS 透過以下方式為雲端資源提供額外的保護：

• 持續監控來自 Azure 資源的所有 DNS 查詢
• 執行進階安全性分析以提醒可疑活動

效益

Defender for DNS 可防止下列問題：

• 使用 DNS tunneling從 Azure 資源洩漏資料
• 惡意軟體與 C&C 伺服器通信
• 與網路釣魚和加密挖掘等惡意網域的通訊
• DNS 攻擊 — 與惡意 DNS resolvers的通訊

Container(容器)

Microsoft Defender for Containers 是用於保護容器的雲端原生解決方案。它的功能有：

• 環境強化(Environment hardening) —
  Defender for Containers 可以保護K8s cluster，無論它們是在 AKS、地端的K8S還是 AWS EKS 上運行。透過持續評估cluster，Defender for Containers 提供了錯誤配置的可見性和指南，以幫助減緩已識別的威脅。
• 漏洞評估 — 針對儲存在 ACR registries中並在 Azure Kubernetes 服務中執行的container image的漏洞評估和管理工具。
• Nodes和clusters的Run-time threat protection — clusters和 Linux nodes的威脅防護針對可疑活動產生告警。

架構

Defender for Containers 提供的保護因 K8S Clusters的託管位置而異：

• AKS — Microsoft 用於開發、部署和管理容器化應用程式的託管服務。
• AWS EKS — 無需安裝、操作和維護您自己的 Kubernetes control plane或nodes。
• 非託管 K8S 發行版（使用支援 Azure Arc 的 K8S） —CNCF 認證的地端或 IaaS 上託管的K8S Cluster。

Defender for Cloud 持續評估clusters configuration，並將其與套用於我們訂閱的plan進行比較。當發現錯誤配置時，Defender for Cloud 會產生安全性建議。使用 Defender for Cloud 的建議頁面查看建議並修復問題。

對於 EKS 上的 K8S Cluster，需要透過環境設定頁面將 AWS account連接到 Microsoft Defender for Cloud。然後請確保已啟用 CSPM plan。

環境強化(Environment hardening)

若要收到一系列保護 K8S 容器工作負載的建議，請安裝適用於 K8S的 Azure policy。預設情況下，啟用 Defender for Containers 時會啟用自動設定。

透過 AKS cluster上的add-on，對 K8S API 伺服器的每個request都將根據預先定義的最佳實踐集進行監控，然後再存放到cluster。之後，可以進行配置以強制實施最佳實踐，並強制將其用於未來的工作負載。

例如，我們可以強制不能建立privileged containers，並且將來任何這樣做的request都會被封鎖。

檢視運行中Images的漏洞

Defender for Containers 透過引入由 Defender profile或extension支援的 vulnerabilities run-time visibility預覽功能，擴展了 Defender for container registries plan的registries掃描功能。

新建議“running container images should have vulnerability findings resolved”，只顯示運行中Images的漏洞。該建議依賴 Defender security profile或extension來發現目前正在運行的images。此建議對存在漏洞的運行images進行分組，並提供有關已發現問題的詳細資訊以及如何修復這些問題。 Defender profile或extension用於取得活動的易受攻擊容器的可見性。

此建議顯示了正在運行的images及其基於 ACR images的漏洞。從非 ACR registry的images將不會被掃描，並且將顯示在「Not applicable」頁籤下。

Run-time protection for K8S nodes and clusters

Defender for Cloud 為容器化環境提供即時威脅防護，並針對可疑活動產生e告警。可以使用此資訊來快速修復安全性問題並提高容器的安全性。

cluster level的威脅防護由 Defender profile和 K8s audit log分析提供。此層級的事件範例包括曝險的 8S dashboards、high-privileged roles的建立以及sensitive mounts的建立。

Defender for Containers 包含主機等級威脅偵測，以及基於runtime workload的 60 多種 Kubernetes-aware analytics、AI 和異常偵測。微軟的全球安全研究團隊不斷監控威脅情勢。他們會在發現時添加特定於容器的告警和漏洞。此解決方案共同監控多雲 Kubernetes 部署不斷增長的攻擊面，並追蹤容器的 MITRE ATT&CK® 矩陣。該框架由威脅知情防禦中心與 Microsoft 和其他合作夥伴密切合作開發。

其他類型的保護

網路層

Microsoft Defender for Cloud network-layer analytics是基於範例 IPFIX 資料，這些資料是 Azure core routers收集的packet headers。基於此資料來源，Defender for Cloud 使用機器學習模型來識別和標記惡意流量活動。 Defender for Cloud 也使用 Microsoft 威脅情資資料庫來豐富 IP 位址。

某些網路設定限制 Defender for Cloud 產生有關可疑網路活動的警報。為了讓 Defender for Cloud 產生網路告警，請確保：

1. VM具有public IP 位址（或位於具有public IP 位址的LB上）
2. VM的網路出口流量不會被外部 IDS 封鎖

Azure WAF

Azure Application Gateway提供 WAF，可集中保護 Web 應用程式免受常見攻擊和漏洞的侵害。 Web 應用程式越來越多地成為利用眾所周知的漏洞的惡意攻擊的目標。 Application Gateway WAF 是基於OWASP的核心規則集 3.0 或 2.2.9。 WAF 會自動更新以防範新漏洞。

如果有啟用 Azure WAF ， WAF 告警將傳輸到 Defender for Cloud，無需額外設定。

Azure DDoS Protection

眾所周知，DDoS 攻擊很容易執行。它們已經成為一個很大的安全問題，特別是當我們將應用程式遷移到雲端時。 DDoS 攻擊試圖耗盡應用程式的資源，使合法用戶無法使用該應用程式。 DDoS 攻擊可以針對可透過網路到達的任何端點。若要防禦 DDoS 攻擊，請購買 Azure DDoS 防護許可證，並確保遵循應用程式設計最佳實務。 DDoS 防護提供不同的服務等級。

Cloud Apps

Microsoft Defender for Cloud Apps 是一種CASB，支援各種部署模式，包括log collection，API connectors與reverse proxy。它提供豐富的可見性、對資料傳輸的控制以及複雜的分析，以識別和對抗所有 Microsoft 和第三方雲端服務中的網路威脅。

如果已啟用 Microsoft Defender for Cloud Apps，並從 Microsoft Defender for Cloud 設定中選擇整合，則來自 Microsoft Defender for Cloud 的強化建議將顯示在 Defender for Cloud Apps 中，無需額外配置。