الدعم والمتطلبات الأساسية لإدارة وضع أمان البيانات
راجع المتطلبات في هذه الصفحة قبل إعداد إدارة وضع أمان البيانات في Microsoft Defender for Cloud.
تمكين اكتشاف البيانات الحساسة
يتوفر اكتشاف البيانات الحساسة في خطط إدارة وضع الأمان السحابي في Defender وDefender for Storage وDefender for Databases.
- عند تمكين إحدى الخطط، يتم تشغيل ملحق اكتشاف البيانات الحساسة كجزء من الخطة.
- إذا كانت لديك خطط حالية قيد التشغيل، فإن الملحق متوفر، ولكنه متوقف عن التشغيل بشكل افتراضي.
- تظهر حالة الخطة الحالية على أنها "جزئية" بدلا من "كاملة" إذا لم يتم تشغيل ملحق واحد أو أكثر.
- يتم تشغيل الميزة على مستوى الاشتراك.
- إذا تم تشغيل اكتشاف البيانات الحساسة، ولكن لم يتم تمكين إدارة وضع الأمان السحابي في Defender، فحص موارد التخزين فقط.
- إذا تم تمكين اشتراك مع إدارة وضع الأمان السحابي في Defender وبالتوازي قمت بمسح نفس الموارد ضوئيا باستخدام Purview، يتم تجاهل نتيجة الفحص الخاصة ب Purview ويتم تعيينها افتراضيا لعرض نتائج فحص Microsoft Defender for Cloud لنوع المورد المدعوم.
الدعم
يلخص الجدول التوفر والسيناريوهات المدعومة لاكتشاف البيانات الحساسة.
| الدعم | التفاصيل |
|---|---|
| ما هي موارد بيانات Azure التي يمكنني اكتشافها؟ | تخزين الكائن: حظر حسابات تخزين كائن ثنائي كبير الحجم في Azure Storage v1/v2 Azure Data Lake Storage Gen2 يتم دعم حسابات التخزين خلف الشبكات الخاصة. يتم دعم حسابات التخزين المشفرة باستخدام مفتاح من جانب الخادم يديره العميل. لا يتم دعم الحسابات إذا تم تمكين أي من هذه الإعدادات: يتم تعريف حساب التخزين على أنه Azure DNS Zone؛ تحتوي نقطة نهاية حساب التخزين على مجال مخصص تم تعيينه إليه. قواعد البيانات قواعد بيانات Azure SQL تشفير قاعدة بيانات Azure SQL باستخدام تشفير البيانات الشفاف |
| ما هي موارد بيانات AWS التي يمكنني اكتشافها؟ | تخزين الكائن: AWS S3 دلاء يمكن ل Defender for Cloud اكتشاف البيانات المشفرة بواسطة KMS، ولكن ليس البيانات المشفرة باستخدام مفتاح يديره العميل. قواعد البيانات - Amazon Aurora - Amazon RDS ل PostgreSQL - Amazon RDS for MySQL - Amazon RDS for MariaDB - Amazon RDS ل SQL Server (غير مخصصة) - Amazon RDS لقاعدة بيانات Oracle (غير مخصصة، إصدار SE2 فقط) المتطلبات الأساسية والقيود: - يجب تمكين النسخ الاحتياطية التلقائية. - يحتاج دور IAM الذي تم إنشاؤه لأغراض الفحص (DefenderForCloud-DataSecurityPostureDB افتراضيا) إلى الحصول على أذونات لمفتاح KMS المستخدم لتشفير مثيل RDS. - لا يمكنك مشاركة لقطة DB التي تستخدم مجموعة خيارات مع خيارات دائمة أو ثابتة، باستثناء مثيلات Oracle DB التي تحتوي على خيار Timezone أو OLS (أو كليهما). معرفة المزيد |
| ما هي موارد بيانات GCP التي يمكنني اكتشافها؟ | مستودعات تخزين GCP فئة قياسية الموقع الجغرافي: المنطقة، المنطقة المزدوجة، المنطقة المتعددة |
| ما هي الأذونات التي أحتاجها للاكتشاف؟ | حساب التخزين: مالك الاشتراك أو Microsoft.Authorization/roleAssignments/* (قراءة وكتابة وحذف) و Microsoft.Security/pricings/* (قراءة وكتابة وحذف) و Microsoft.Security/pricings/SecurityOperators (قراءة وكتابة)مستودعات Amazon S3 ومثيلات RDS: إذن حساب AWS لتشغيل تكوين السحابة (لإنشاء دور). مستودعات تخزين GCP: إذن حساب Google لتشغيل البرنامج النصي (لإنشاء دور). |
| ما أنواع الملفات المدعومة لاكتشاف البيانات الحساسة؟ | أنواع الملفات المدعومة (لا يمكنك تحديد مجموعة فرعية) - .doc و.docm .docx و.dot .gz و.odp .ods .odt .pdf .pot، .pps، .ppsx، .ppt، .pptm، .pptx، .xlc، .xls، .xlsb، .xlsm، .xlsx، .xlt، .csv، .json، .psv، .ssv، .tsv، .txt.، xml، .parquet، .avro، .orc. |
| ما هي مناطق Azure المدعومة؟ | يمكنك اكتشاف حسابات تخزين Azure في: شرق آسيا؛ جنوب شرق آسيا؛ وسط أستراليا؛ وسط أستراليا 2؛ شرق أستراليا؛ جنوب شرق أستراليا؛ جنوب البرازيل؛ جنوب شرق البرازيل؛ كندا الوسطى؛ شرق كندا؛ شمال أوروبا؛ غرب أوروبا؛ فرنسا الوسطى؛ جنوب فرنسا؛ شمال ألمانيا؛ وسط غرب ألمانيا؛ وسط الهند؛ جنوب الهند؛ شرق اليابان؛ غرب اليابان؛ Jio India West; كوريا الوسطى؛ كوريا الجنوبية؛ شرق النرويج؛ غرب النرويج؛ جنوب أفريقيا الشمالية؛ جنوب أفريقيا الغربية؛ وسط السويد؛ شمال سويسرا؛ غرب سويسرا؛ شمال الإمارات العربية المتحدة؛ جنوب المملكة المتحدة؛ غرب المملكة المتحدة؛ وسط الولايات المتحدة؛ شرق الولايات المتحدة؛ شرق الولايات المتحدة 2؛ شمال وسط الولايات المتحدة؛ جنوب وسط الولايات المتحدة؛ غرب الولايات المتحدة؛ غرب الولايات المتحدة 2؛ غرب الولايات المتحدة 3؛ وسط غرب الولايات المتحدة؛ يمكنك اكتشاف قواعد بيانات Azure SQL في أي منطقة يتم فيها دعم إدارة وضع الأمان السحابي في Defender وقواعد بيانات Azure SQL. |
| ما هي مناطق AWS المدعومة؟ | S3: آسيا والمحيط الهادئ (مومباي)؛ آسيا والمحيط الهادئ (سنغافورة)؛ آسيا والمحيط الهادئ (سيدني)؛ آسيا والمحيط الهادئ (طوكيو)؛ كندا (مونتريال)؛ أوروبا (فرانكفورت)؛ أوروبا (أيرلندا)؛ أوروبا (لندن)؛ أوروبا (باريس)؛ أوروبا (ستوكهولم)؛ أمريكا الجنوبية (ساو باولو)؛ شرق الولايات المتحدة (أوهايو)؛ شرق الولايات المتحدة (N. Virginia)؛ غرب الولايات المتحدة (كاليفورنيا): غرب الولايات المتحدة (أوريغون). RDS: أفريقيا (كيب تاون)؛ آسيا والمحيط الهادئ (منطقة هونغ كونغ الإدارية الخاصة)؛ آسيا والمحيط الهادئ (حيدر أباد)؛ آسيا والمحيط الهادئ (ملبورن)؛ آسيا والمحيط الهادئ (مومباي)؛ آسيا والمحيط الهادئ (أوساكا)؛ آسيا والمحيط الهادئ (سيول)؛ آسيا والمحيط الهادئ (سنغافورة)؛ آسيا والمحيط الهادئ (سيدني)؛ آسيا والمحيط الهادئ (طوكيو)؛ كندا (وسط)؛ أوروبا (فرانكفورت)؛ أوروبا (أيرلندا)؛ أوروبا (لندن)؛ أوروبا (باريس)؛ أوروبا (ستوكهولم)؛ أوروبا (زيوريخ)؛ الشرق الأوسط (الإمارات العربية المتحدة)؛ أمريكا الجنوبية (ساو باولو)؛ شرق الولايات المتحدة (أوهايو)؛ شرق الولايات المتحدة (N. Virginia)؛ غرب الولايات المتحدة (كاليفورنيا): غرب الولايات المتحدة (أوريغون). يتم الاكتشاف محليا داخل المنطقة. |
| ما هي مناطق GCP المدعومة؟ | europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-north1 |
| هل أحتاج إلى تثبيت وكيل؟ | لا، لا يتطلب الاكتشاف تثبيت عامل. |
| ما هي التكلفة؟ | يتم تضمين الميزة مع خطط إدارة وضع الأمان السحابي في Defender وDefender for Storage، ولا تتحمل تكاليف إضافية باستثناء تكاليف الخطة المعنية. |
| ما هي الأذونات التي أحتاجها لعرض/تحرير إعدادات حساسية البيانات؟ | تحتاج إلى أحد أدوار Microsoft Entra هذه: المسؤول العام، ومسؤول التوافق، ومسؤول بيانات التوافق، ومسؤول الأمان، ومشغل الأمان. |
| ما هي الأذونات التي أحتاجها لإجراء الإعداد؟ | تحتاج إلى أحد أدوار التحكم في الوصول المستندة إلى دور Azure (Azure RBAC): مسؤول الأمان والمساهم والمالك على مستوى الاشتراك (حيث يوجد مشروع/مشاريع GCP). لاستهلاك نتائج الأمان: قارئ الأمان، مسؤول الأمان، القارئ، المساهم، المالك على مستوى الاشتراك (حيث يوجد مشروع/مشاريع GCP). |
تكوين إعدادات حساسية البيانات
تتضمن الخطوات الرئيسية لتكوين إعدادات حساسية البيانات ما يلي:
- استيراد أنواع/تسميات معلومات الحساسية المخصصة من مدخل التوافق في Microsoft Purview
- تخصيص فئات/أنواع البيانات الحساسة
- تعيين حد تسميات الحساسية
تعرف على المزيد حول أوصاف الحساسية في Microsoft Purview.
اكتشاف
يبدأ Defender for Cloud في اكتشاف البيانات مباشرة بعد تمكين خطة، أو بعد تشغيل الميزة في الخطط قيد التشغيل بالفعل.
لتخزين الكائن:
- يستغرق الأمر ما يصل إلى 24 ساعة لمشاهدة النتائج لاكتشاف لأول مرة.
- بعد تحديث الملفات في الموارد المكتشفة، يتم تحديث البيانات في غضون ثمانية أيام.
- يتم اكتشاف حساب تخزين Azure جديد تمت إضافته إلى اشتراك تم اكتشافه بالفعل في غضون 24 ساعة أو أقل.
- يتم اكتشاف مستودع AWS S3 جديد أو مستودع تخزين GCP تمت إضافته إلى حساب AWS أو حساب Google تم اكتشافه بالفعل في غضون 48 ساعة أو أقل.
لقواعد البيانات:
- يتم مسح قواعد البيانات ضوئيا أسبوعيا.
- بالنسبة للاشتراكات الممكنة حديثا، تظهر النتائج في غضون 24 ساعة.
اكتشاف مستودعات AWS S3
لحماية موارد AWS في Defender for Cloud، يمكنك إعداد موصل AWS، باستخدام قالب CloudFormation لإعداد حساب AWS.
- لاكتشاف موارد بيانات AWS، يقوم Defender for Cloud بتحديث قالب CloudFormation.
- ينشئ قالب CloudFormation دورا جديدا في AWS IAM، للسماح للماسح الضوئي Defender for Cloud بالوصول إلى البيانات في مستودعات S3.
- لتوصيل حسابات AWS، تحتاج إلى أذونات المسؤول على الحساب.
- يسمح الدور بهذه الأذونات: S3 للقراءة فقط؛ فك تشفير KMS.
اكتشاف مثيلات AWS RDS
لحماية موارد AWS في Defender for Cloud، قم بإعداد موصل AWS باستخدام قالب CloudFormation لإلحاق حساب AWS.
- لاكتشاف مثيلات AWS RDS، يقوم Defender for Cloud بتحديث قالب CloudFormation.
- ينشئ قالب CloudFormation دورا جديدا في AWS IAM، للسماح للماسح الضوئي Defender for Cloud بأخذ آخر لقطة تلقائية متاحة من المثيل الخاص بك وإحضاره عبر الإنترنت في بيئة مسح ضوئي معزولة داخل نفس منطقة AWS.
- لتوصيل حسابات AWS، تحتاج إلى أذونات المسؤول على الحساب.
- يجب تمكين اللقطات التلقائية على مثيلات/مجموعات RDS ذات الصلة.
- يسمح الدور بهذه الأذونات (راجع قالب CloudFormation للحصول على تعريفات دقيقة):
- سرد كافة RDS DBs/clusters
- نسخ جميع لقطات قاعدة البيانات/نظام المجموعة
- حذف/تحديث لقطة DB/نظام المجموعة مع بادئة defenderfordatabases
- سرد جميع مفاتيح KMS
- استخدام جميع مفاتيح KMS فقط ل RDS على حساب المصدر
- إنشاء عنصر تحكم كامل على جميع مفاتيح KMS باستخدام بادئة العلامة DefenderForDatabases
- إنشاء اسم مستعار لمفاتيح KMS
- يتم إنشاء مفاتيح KMS مرة واحدة لكل منطقة تحتوي على مثيلات RDS. قد يتطلب إنشاء مفتاح KMS أقل تكلفة إضافية، وفقا لتسعير AWS KMS.
اكتشاف مستودعات تخزين GCP
لحماية موارد GCP في Defender for Cloud، يمكنك إعداد موصل Google باستخدام قالب برنامج نصي لإلحاق حساب GCP.
- لاكتشاف مستودعات تخزين GCP، يقوم Defender for Cloud بتحديث قالب البرنامج النصي.
- ينشئ قالب البرنامج النصي دورا جديدا في حساب Google للسماح للماسح الضوئي Defender for Cloud بالوصول إلى البيانات في مستودعات تخزين GCP.
- لتوصيل حسابات Google، تحتاج إلى أذونات المسؤول على الحساب.
عرضة للإنترنت/السماح بالوصول العام
تتضمن مسارات الهجوم إدارة وضع الأمان السحابي في Defender ونتائج تحليلات الرسم البياني لأمان السحابة معلومات حول موارد التخزين التي تتعرض للإنترنت وتسمح بالوصول العام. يوفر الجدول التالي تفاصيل.
| الولاية | حسابات تخزين Azure | مستودعات AWS S3 | مستودعات تخزين GCP |
|---|---|---|---|
| مكشوف على الإنترنت | يعتبر حساب تخزين Azure معرضا للإنترنت إذا تم تمكين أي من هذه الإعدادات: >تمكين الوصول إلى>الشبكة العامة للشبكات>Storage_account_name من جميع الشبكات أو Storage_account_name الوصول إلى>الشبكة العامة للشبكات>تمكين من الشبكات الظاهرية المحددة وعناوين IP.> |
يعتبر مستودع AWS S3 معرضا للإنترنت إذا لم يكن لدى نهج مستودع AWS/AWS S3 مجموعة شروط لعناوين IP. | يتم عرض جميع مستودعات تخزين GCP إلى الإنترنت بشكل افتراضي. |
| السماح بالوصول العام | تعتبر حاوية حساب تخزين Azure على أنها تسمح بالوصول العام إذا تم تمكين هذه الإعدادات على حساب التخزين: >>تكوين Storage_account_name السماح بالوصول العام للكائن الثنائي كبير الحجم>ممكن. وأي من هذه الإعدادات: >تم تعيين Storage_account_name Containers> container_name> مستوى الوصول العام إلى Blob (الوصول للقراءة المجهولة للكائنات الثنائية كبيرة الحجم فقط) أو، storage_account_name >الحاويات> container_name> مستوى الوصول العام المعين إلى الحاوية (الوصول للقراءة المجهول للحاويات والكائنات الثنائية كبيرة الحجم). |
يعتبر مستودع AWS S3 للسماح بالوصول العام إذا تم تعيين كل من حساب AWS ومستودع AWS S3 على حظر جميع الوصول العام إلى إيقاف التشغيل، وتم تعيين أي من هذه الإعدادات: في النهج، لا يتم تمكين RestrictPublicBuckets ، ويتم تعيين الإعداد Principal إلى * ويتم تعيين Effect إلى Allow. أو، في قائمة التحكم بالوصول، لا يتم تمكين IgnorePublicAcl، ويسمح بالإذن للجميع أو للمستخدمين المصادق عليهم. |
يعتبر مستودع تخزين GCP للسماح بالوصول العام إذا: له دور IAM (إدارة الهوية والوصول) الذي يفي بهذه المعايير: يتم منح الدور للمستخدمين الأساسيين أو allAuthenticatedUsers. يحتوي الدور على إذن تخزين واحد على الأقل ليس storage.buckets.create أو storage.buckets.list. يسمى الوصول العام في GCP "عام إلى الإنترنت". |
لا تسمح موارد قاعدة البيانات بالوصول العام ولكن لا يزال من الممكن عرضها على الإنترنت.
تتوفر نتائج تحليلات التعرض للإنترنت للموارد التالية:
Azure:
- خادم Azure SQL
- Azure Cosmos DB
- مثيل Azure SQL المُدار
- Azure MySQL Single Server
- خادم Azure MySQL المرن
- Azure PostgreSQL Single Server
- خادم Azure PostgreSQL المرن
- Azure MariaDB Single Server
- مساحة عمل Synapse
AWS:
- مثيل RDS
إشعار
- تعتبر قواعد التعرض التي تتضمن 0.0.0.0/0 "مكشوفة بشكل مفرط"، مما يعني أنه يمكن الوصول إليها من أي عنوان IP عام.
- يمكن الوصول إلى موارد Azure ذات قاعدة التعرض "0.0.0.0" من أي مورد في Azure (بغض النظر عن المستأجر أو الاشتراك).
الخطوة التالية
تمكين إدارة وضع أمان البيانات.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ