在微软Ignite 2019大会上，我们宣布了超过15个新功能的预览。这个博客提供了我们的客户现在可以使用的功能的更新。随着世界各国齐心协力对抗COVID-19，远程工作成为许多公司的一项关键能力，在允许更多远程工作者访问云资产的同时，保持云资产的安全态势非常重要。Azure安全中心可以帮助您确定保护您的安全态势所需采取的行动的优先级，并为您的所有云资源提供威胁保护。使用Azure安全中心增强对云资源的威胁保护Azure安全中心继续扩展其威胁保护功能，以应对云平台上复杂的威胁：扫描Azure容器注册表中的容器映像以查找通常可用的漏洞Azure安全中心可以扫描Azure容器注册表（ACR）中的容器映像以查找漏洞。图像扫描的工作原理是通过解析容器映像文件中定义的包或其他依赖项，然后检查这些包或依赖项中是否存在任何已知的漏洞（由Qualys漏洞评估数据库提供支持）。将新容器映像推送到Azure容器注册表时，会自动触发扫描。发现的漏洞将作为安全中心的建议出现，并包括在安全评分中，以及如何修补这些漏洞以减少其允许的攻击面。自从我们在2019年Ignite上发布预览以来，注册订阅启动了超过150万个容器图像扫描。我们仔细分析了我们收到的反馈，并将其整合到这个普遍可用的版本中。我们添加了扫描状态以反映扫描进度（未扫描、扫描进行中、扫描错误和已完成），并根据您的反馈改进了用户体验。安全中心的Azure Kubernetes服务支持的威胁保护已普遍可用流行的、开源的平台Kubernetes已经被广泛采用，现在它已经成为容器编排的行业标准。尽管这种广泛的实现，对于如何保护Kubernetes环境仍然缺乏理解。保护集装箱应用程序的攻击面需要专业知识。您需要确保基础设施的配置是安全的，并不断监视潜在的威胁。对安全中心azurekubernetes服务（AKS）的支持现已普遍可用。 这些功能包括：发现和可见性：在安全中心的注册订阅中连续发现托管AKS实例。安全评分建议：作为客户安全评分的一部分，帮助客户遵守AKS中的安全最佳实践，例如"应使用基于角色的访问控制来限制对Kubernetes服务群集的访问。"威胁保护：基于主机和群集的分析，例如"检测到特权容器"对于一般可用的版本，我们添加了新的警报（有关完整列表，请访问警报参考表的Azure Kubernetes服务群集警报和容器警报-主机级别部分），并对警报详细信息进行了微调，以减少误报。  云安全态势管理增强配置错误是云工作负载安全漏洞的最常见原因。Azure安全中心为您提供了整个Azure环境的鸟瞰式安全态势视图，使您能够使用Azure安全分数持续监控和改进您的安全态势。安全中心帮助管理和实施您的安全策略，以识别和修复跨不同资源的此类错误配置，并维护法规遵从性。我们将继续深入了解安全管理的情况。支持自定义策略我们的客户一直希望根据他们在Azure策略中创建的策略，通过自己的安全评估来扩展他们在安全中心的当前安全评估范围。通过对自定义策略的支持，现在可以实现这一点。我们还宣布，Azure安全中心对自定义策略的支持已普遍可用。这些新策略将成为Azure安全中心建议体验、安全分数和法规遵从性标准仪表板的一部分。通过对自定义策略的支持，您现在可以在Azure策略中创建自定义计划，并通过简单的点击入职体验将其添加为Azure安全中心中的策略，并将其可视化为建议。对于此版本，我们添加了编辑自定义建议元数据的功能，以包括严重性、修复步骤、威胁信息等。评估API通用我们正在引入一个新的API来获取Azure安全中心的推荐信息，并向您提供评估失败的原因。新API包括两个API：评估元数据API：获取建议元数据。Assessments API：提供对资源的每个建议的评估结果。我们建议使用现有任务API的客户应使用新的评估API进行报告。法规遵从性动态法规遵从性包您现在可以添加"动态合规性软件包"，或在"法规遵从性"中的"内置"合规性软件包之外添加其他标准。Azure安全中心中的法规遵从性仪表板提供了与一组行业标准、法规和基准相关的法规遵从性态势的见解。评估持续监控资源的安全状态，并用于分析您的环境在多大程度上满足了特定法规遵从性控制的要求。这些评估还包括如何修正资源状态从而改善合规状态的可操作建议。最初，compliance dashboard包含一组非常有限的标准，这些标准"内置"在仪表板中，依赖于Security Center中包含的一组静态规则。使用动态符合性包功能，您可以将对您很重要的新标准和基准添加到仪表板中。合规包本质上是Azure策略中定义的计划。当您从ASC安全策略向您的订阅或管理组添加符合性包时，这实际上会将法规主动性分配给您所选的范围（订阅或管理组）。您可以看到标准或基准显示在法规遵从性仪表板中，所有相关的法规遵从性数据都映射为评估。通过这种方式，您可以在安全中心法规遵从性仪表板中跟踪新发布的法规遵从性标准，此外，当Microsoft为该计划发布新内容（新策略映射到标准中的更多控件）时，附加内容将自动显示在您的仪表板中。您还可以下载已载入到您的仪表板的任何标准的摘要报告。有几个受支持的监管标准和基准可以登录到您的仪表板上。最新的一个是Azure安全基准测试，它是微软编写的基于通用合规框架的特定于Azure的安全和法规遵从性最佳实践的指南。其他标准将在仪表板可用时得到支持有关动态符合性包的更多信息，请参阅此处的文档。具有Azure逻辑应用程序的工作流自动化通常可用具有集中管理的安全性和IT运营的组织实施内部工作流流程，以便在发现其环境中存在差异时，在组织内推动所需的操作。在许多情况下，这些工作流是可重复的过程，自动化可以大大减少组织内流程的开销。Azure Security Center中的工作流自动化现在已普遍可用，它允许客户利用Azure逻辑应用程序创建自动化配置，并创建根据特定安全中心发现（如建议或警报）自动触发它们的策略。azurelogic应用程序可以配置为执行庞大的逻辑应用程序连接器社区支持的任何自定义操作，或者使用安全中心提供的模板之一，例如发送电子邮件。此外，用户现在可以直接从Azure安全中心的建议（带有"快速修复"选项）或警报页面手动触发单个警报或建议的逻辑应用程序。与安全中心建议和警报导出的高级集成通常可用Azure安全中心的持续导出功能支持导出安全警报和建议，现在可以通过策略正式提供。通过导出到Azure事件中心或Azure日志分析工作区，使用它可以轻松地将安全中心环境中的安全数据连接到组织使用的监视工具。此功能通过以下集成支持企业级场景：导出到Azure事件中心支持与Azure Sentinel、第三方SIEM、Azure Data Explorer和Azure功能的集成。导出到Azure日志分析工作区支持与Microsoft Power BI、自定义仪表板和Azure监视器的集成。有关详细信息，请阅读"连续导出"。建立安全的基础通过这些添加，Azure继续提供一个安全的基础，并为您提供内置的安全工具和智能的见解，以帮助您快速提高您在云中的安全姿态。Azure安全中心加强了其作为混合云的统一安全管理和高级威胁保护解决方案的角色。