Archivovat, co je nového v Defenderu pro cloud?

  • Článek

Tato stránka obsahuje informace o funkcích, opravách a vyřazení starších než šest měsíců. Nejnovější aktualizace najdete v článku Co je nového v programu Defender for Cloud?.

Září 2023

Datum Aktualizovat
27. září Řídicí panel zabezpečení dat dostupný ve verzi Public Preview
21. září Verze Preview: Nový proces automatického zřizování pro SQL Server v plánu počítačů
Září 20 Upozornění GitHub Advanced Security pro Azure DevOps v defenderu pro cloud
Září 11 Funkce vyloučení jsou teď k dispozici pro doporučení defenderu pro rozhraní API.
Září 11 Vytváření ukázkových upozornění pro detekci rozhraní API v defenderu
Září 6 Verze Preview: Posouzení ohrožení zabezpečení kontejnerů využívající Microsoft Defender Správa zranitelností teď podporuje kontrolu při přijetí změn.
Září 6 Aktualizovaný formát pojmenování standardů Center for Internet Security (CIS) v dodržování právních předpisů
Září 5 Zjišťování citlivých dat pro databáze PaaS (Preview)
1. září Obecná dostupnost (GA): Kontrola malwaru v defenderu pro úložiště

Řídicí panel zabezpečení dat dostupný ve verzi Public Preview

27. září 2023

Řídicí panel zabezpečení dat je nyní k dispozici ve verzi Public Preview jako součást plánu CSPM v programu Defender. Řídicí panel zabezpečení dat je interaktivní řídicí panel orientovaný na data, který svítí významným rizikům citlivých dat, upřednostňuje výstrahy a potenciální cesty útoku pro data napříč hybridními cloudovými úlohami. Přečtěte si další informace o řídicím panelu zabezpečení dat.

Verze Preview: Nový proces automatického zřizování pro SQL Server v plánu počítačů

21. září 2023

Microsoft Monitoring Agent (MMA) je v srpnu 2024 zastaralý. Defender for Cloud aktualizoval strategii nahrazením MMA vydáním procesu automatického zřizování agenta monitorování Azure cíleného na SQL Server.

Zákazníci, kteří používají proces automatického zřizování MMA s možností agenta Azure Monitoru (Preview) ve verzi Preview, se během období Preview požadují, aby migrovali na nový automaticky zřízený agent Azure Monitoring Agent pro SQL server na počítačích (Preview). Proces migrace je bezproblémový a poskytuje nepřetržitou ochranu pro všechny počítače.

Další informace najdete v tématu Migrace na proces automatického zřizování agenta monitorování Azure cíleného na SQL Server.

Upozornění GitHub Advanced Security pro Azure DevOps v defenderu pro cloud

20. září 2023

Teď můžete zobrazit upozornění GitHub Advanced Security pro Azure DevOps (GHAzDO) související s CodeQL, tajnými kódy a závislostmi v defenderu pro cloud. Výsledky se zobrazují na stránce DevOps a v doporučeních. Pokud chcete zobrazit tyto výsledky, připojte úložiště s podporou GHAzDO do programu Defender for Cloud.

Přečtěte si další informace o pokročilém zabezpečení GitHubu pro Azure DevOps.

Funkce vyloučení jsou teď k dispozici pro doporučení defenderu pro rozhraní API.

11. září 2023

Teď můžete vyloučit doporučení pro následující doporučení zabezpečení defenderu pro rozhraní API.

Doporučení Popis a související zásady Závažnost
(Preview) Koncové body rozhraní API, které se nepoužívají, by se měly zakázat a odebrat ze služby Azure API Management. Osvědčeným postupem zabezpečení jsou koncové body rozhraní API, které nepřijaly provoz po dobu 30 dnů, považovány za nepoužité a měly by se odebrat ze služby Azure API Management. Zachování nepoužívaných koncových bodů rozhraní API může představovat bezpečnostní riziko. Můžou se jednat o rozhraní API, která by měla být ze služby Azure API Management zastaralá, ale omylem byla aktivní. Tato rozhraní API obvykle nedostávají nejaktuálnější pokrytí zabezpečení. Nízká
(Preview) Koncové body rozhraní API ve službě Azure API Management by se měly ověřovat. Koncové body rozhraní API publikované ve službě Azure API Management by měly vynucovat ověřování, aby se minimalizovalo riziko zabezpečení. Mechanismy ověřování se někdy implementují nesprávně nebo chybí. To umožňuje útočníkům zneužít chyby implementace a přistupovat k datům. U rozhraní API publikovaných ve službě Azure API Management toto doporučení vyhodnocuje provádění ověřování prostřednictvím klíčů předplatného, JWT a klientského certifikátu nakonfigurovaného ve službě Azure API Management. Pokud se během volání rozhraní API nespustí žádný z těchto mechanismů ověřování, rozhraní API toto doporučení obdrží. Vysoká

Přečtěte si další informace o vyloučení doporučení v Defenderu pro cloud.

Vytváření ukázkových upozornění pro detekci rozhraní API v defenderu

11. září 2023

Teď můžete vygenerovat ukázková upozornění pro detekce zabezpečení, které byly vydány jako součást defenderu pro rozhraní API ve verzi Public Preview. Přečtěte si další informace o generování ukázkových upozornění v Defenderu pro cloud.

Verze Preview: Posouzení ohrožení zabezpečení kontejnerů využívající Microsoft Defender Správa zranitelností teď podporuje kontrolu při přijetí změn.

6. září 2023

Posouzení ohrožení zabezpečení kontejnerů založené na Microsoft Defender Správa zranitelností teď podporuje další trigger pro skenování imagí načítaných z ACR. Tato nově přidaná aktivační událost poskytuje další pokrytí aktivních imagí kromě existujících triggerů, které kontrolují image vložené do služby ACR za posledních 90 dnů a image, které jsou aktuálně spuštěné v AKS.

Nový trigger se začne zavádět dnes a očekává se, že bude dostupný pro všechny zákazníky do konce září.

Další informace.

Aktualizovaný formát pojmenování standardů Center for Internet Security (CIS) v dodržování právních předpisů

6. září 2023

Formát pojmenování základních srovnávacích testů CIS (Center for Internet Security) na řídicím panelu dodržování předpisů se změní na [Cloud] CIS [version number]CIS [Cloud] Foundations v[version number]. Informace najdete v následující tabulce:

Aktuální název Nový název
Azure CIS 1.1.0 CIS Azure Foundations v1.1.0
Azure CIS 1.3.0 CIS Azure Foundations v1.3.0
Azure CIS 1.4.0 CIS Azure Foundations v1.4.0
AWS CIS 1.2.0 CIS AWS Foundations v1.2.0
AWS CIS 1.5.0 CIS AWS Foundations v1.5.0
GCP CIS 1.1.0 CIS GCP Foundations v1.1.0
GCP CIS 1.2.0 CIS GCP Foundations v1.2.0

Zjistěte, jak zlepšit dodržování právních předpisů.

Zjišťování citlivých dat pro databáze PaaS (Preview)

5. září 2023

Funkce zabezpečení s podporou dat pro bezproblémové zjišťování citlivých dat pro databáze PaaS (Azure SQL Databases a Amazon RDS instance libovolného typu) jsou teď ve verzi Public Preview. Tato verze Public Preview umožňuje vytvořit mapu důležitých dat bez ohledu na to, kde se nacházejí, a typ dat nalezených v těchto databázích.

Zjišťování citlivých dat pro databáze Azure a AWS, přidává se ke sdílené taxonomii a konfiguraci, která je už veřejně dostupná pro prostředky cloudového úložiště objektů (kontejnery Azure Blob Storage, kontejnery AWS S3 a kontejnery úložiště GCP) a poskytuje jednotné prostředí konfigurace a povolení.

Databáze se naskenují každý týden. Pokud povolíte sensitive data discovery, zjišťování se spustí do 24 hodin. Výsledky můžete zobrazit v Průzkumníku zabezpečení cloudu nebo si projděte nové cesty útoku pro spravované databáze s citlivými daty.

Stav zabezpečení s podporou dat pro databáze je k dispozici prostřednictvím plánu CSPM v programu Defender a je automaticky povolen u předplatných, kde sensitive data discovery je povolená možnost.

Další informace o stavu zabezpečení s podporou dat najdete v následujících článcích:

Obecná dostupnost (GA): Kontrola malwaru v defenderu pro úložiště

1. září 2023

Kontrola malwaru je teď obecně dostupná (GA) jako doplněk do defenderu pro úložiště. Kontrola malwaru v defenderu for Storage pomáhá chránit vaše účty úložiště před škodlivým obsahem provedením úplné kontroly malwaru na nahraném obsahu téměř v reálném čase pomocí funkcí Antivirová ochrana v programu Microsoft Defender. Je navržená tak, aby splňovala požadavky na zabezpečení a dodržování předpisů pro zpracování nedůvěryhodného obsahu. Funkce kontroly malwaru je řešení SaaS bez agentů, které umožňuje nastavení ve velkém měřítku a podporuje automatizaci odezvy ve velkém měřítku.

Přečtěte si další informace o kontrole malwaru v defenderu for Storage.

Kontrola malwaru je cenová podle využití dat a rozpočtu. Fakturace začíná 3. září 2023. Další informace najdete na stránce s cenami.

Pokud používáte předchozí plán, musíte proaktivně migrovat na nový plán , aby bylo možné kontrolu malwaru povolit.

Přečtěte si blogový příspěvek s oznámením o programu Microsoft Defender for Cloud.

Srpen 2023

Aktualizace v srpnu:

Datum Aktualizovat
30. srpna Defender for Containers: Zjišťování bez agentů pro Kubernetes
22. srpna Verze doporučení: Microsoft Defender for Storage by měl být povolený s kontrolou malwaru a detekcí citlivých dat před hrozbami.
17. srpna Rozšířené vlastnosti v defenderu pro výstrahy zabezpečení cloudu se maskují z protokolů aktivit.
15. srpna Verze Preview podpory GCP v programu Defender CSPM
7. srpna Nové výstrahy zabezpečení v programu Defender for Servers Plan 2: Detekce potenciálních útoků, které zneužívají rozšíření virtuálních počítačů Azure
1. srpna Aktualizace obchodního modelu a cen pro plány Defenderu pro cloud

Defender for Containers: Zjišťování bez agentů pro Kubernetes

30. srpna 2023

S radostí vám představíme Defender for Containers: zjišťování bez agentů pro Kubernetes. Tato verze představuje významný krok vpřed v zabezpečení kontejnerů, což vám umožní využívat pokročilé přehledy a komplexní možnosti inventáře pro prostředí Kubernetes. Nová nabídka kontejnerů je založená na grafu kontextového zabezpečení Defenderu pro cloud. Tady je seznam toho, co můžete očekávat od této nejnovější aktualizace:

  • Zjišťování Kubernetes bez agentů
  • Komplexní možnosti inventáře
  • Přehledy zabezpečení specifické pro Kubernetes
  • Vylepšený proaktivní vyhledávání rizik pomocí Průzkumníka zabezpečení cloudu

Zjišťování bez agentů pro Kubernetes je teď dostupné všem zákazníkům defenderu for Containers. Tyto pokročilé funkce můžete začít používat ještě dnes. Doporučujeme vám aktualizovat předplatná tak, aby byla povolena úplná sada rozšíření, a využívat nejnovější doplňky a funkce. Pokud chcete rozšíření povolit, přejděte do podokna Prostředí a nastavení předplatného Defenderu for Containers.

Poznámka:

Pokud povolíte nejnovější doplňky, nedojde k novým nákladům na aktivní zákazníky defenderu for Containers.

Další informace najdete v tématu Přehled zabezpečení kontejnerů v programu Microsoft Defender for Containers.

Verze doporučení: Microsoft Defender for Storage by měl být povolený s kontrolou malwaru a detekcí citlivých dat před hrozbami.

úterý 22. srpna 2023

Vydali jsme nové doporučení v programu Defender for Storage. Toto doporučení zajišťuje, že je na úrovni předplatného povolený Defender for Storage s možnostmi kontroly malwaru a detekce citlivých dat.

Doporučení Popis
V programu Microsoft Defender for Storage by se měla povolit kontrola malwaru a detekce citlivých dat. Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. Při jednoduchém nastavení bez agentů ve velkém měřítku se při povolení na úrovni předplatného budou automaticky chránit všechny existující a nově vytvořené účty úložiště v rámci daného předplatného. Můžete také vyloučit konkrétní účty úložiště z chráněných předplatných.

Toto nové doporučení nahrazuje aktuální doporučení Microsoft Defender for Storage should be enabled (klíč posouzení 1be22853-8ed1-4005-9907-ddad64cb1417). Toto doporučení ale bude i nadále dostupné v cloudech Azure Government.

Přečtěte si další informace o programu Microsoft Defender for Storage.

Rozšířené vlastnosti v defenderu pro výstrahy zabezpečení cloudu se maskují z protokolů aktivit.

17. srpna 2023

Nedávno jsme změnili způsob integrace výstrah zabezpečení a protokolů aktivit. Abychom mohli lépe chránit citlivé informace o zákazníci, tyto informace už nezahrneme do protokolů aktivit. Místo toho ho maskujeme hvězdičkami. Tyto informace jsou ale stále dostupné prostřednictvím rozhraní API upozornění, průběžného exportu a portálu Defender for Cloud.

Zákazníci, kteří spoléhají na protokoly aktivit k exportu výstrah do svých řešení SIEM, by měli zvážit použití jiného řešení, protože se nejedná o doporučenou metodu exportu výstrah zabezpečení Defenderu pro cloud.

Pokyny k exportu výstrah zabezpečení Defenderu for Cloud do aplikací SIEM, SOAR a jiných aplikací třetích stran najdete v tématu Stream výstrahy do řešení SPRÁVY SLUŽEB SIEM, SOAR nebo IT Service Management.

Verze Preview podpory GCP v programu Defender CSPM

15. srpna 2023

Oznamujeme verzi Preview kontextového grafu cloudového zabezpečení CSPM v programu Defender a analýzu cest útoku s podporou prostředků GCP. Výkon CSPM v programu Defender můžete využít k komplexní viditelnosti a inteligentnímu zabezpečení cloudu napříč prostředky GCP.

Mezi klíčové funkce podpory GCP patří:

  • Analýza cesty útoku – Vysvětlení potenciálních tras, které by útočníci mohli provést.
  • Průzkumník zabezpečení cloudu – Proaktivně identifikujte rizika zabezpečení spuštěním dotazů založených na grafech v grafu zabezpečení.
  • Kontrola bez agentů – Prohledejte servery a identifikujte tajné kódy a ohrožení zabezpečení bez instalace agenta.
  • Stav zabezpečení pracující s daty – Zjišťování a náprava rizik pro citlivá data v kontejnerech Google Cloud Storage

Přečtěte si další informace o možnostech plánu CSPM v programu Defender.

Nové výstrahy zabezpečení v programu Defender for Servers Plan 2: Detekce potenciálních útoků, které zneužívají rozšíření virtuálních počítačů Azure

7. srpna 2023

Tato nová série výstrah se zaměřuje na detekci podezřelých aktivit rozšíření virtuálních počítačů Azure a poskytuje přehled o pokusech útočníků o ohrožení a provádění škodlivých aktivit na virtuálních počítačích.

Microsoft Defender for Servers teď dokáže detekovat podezřelou aktivitu rozšíření virtuálních počítačů, což vám umožní získat lepší pokrytí zabezpečení úloh.

Rozšíření virtuálních počítačů Azure jsou malé aplikace, které spouštějí po nasazení na virtuálních počítačích a poskytují funkce, jako je konfigurace, automatizace, monitorování, zabezpečení a další. Rozšíření jsou sice výkonným nástrojem, ale můžou je použít aktéři hrozeb pro různé škodlivé záměry, například:

  • Pro shromažďování a monitorování dat.
  • Pro spouštění kódu a nasazení konfigurace s vysokými oprávněními.
  • Pro resetování přihlašovacích údajů a vytváření správců.
  • Pro šifrování disků.

Tady je tabulka nových upozornění.

Výstraha (typ výstrahy) Popis Taktika MITRE Závažnost
Podezřelá chyba při instalaci rozšíření GPU ve vašem předplatném (Preview)
(VM_GPUExtensionSuspiciousFailure)		 Podezřelý záměr instalace rozšíření GPU na nepodporované virtuální počítače Toto rozšíření by mělo být nainstalované na virtuálních počítačích vybavených grafickým procesorem a v tomto případě tyto virtuální počítače nejsou vybaveny. Tato selhání se dají vidět, když nežádoucí uživatelé se zlými úmysly spouštějí několik instalací takového rozšíření pro účely kryptografického dolování. Dopad Střední
Na virtuálním počítači (Preview) byla zjištěna podezřelá instalace rozšíření GPU.
(VM_GPUDriverExtensionUnusualExecution)
Tato výstraha byla vydána v červenci 2023.		 Podezřelá instalace rozšíření GPU byla na virtuálním počítači zjištěna analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou pomocí rozšíření ovladače GPU nainstalovat ovladače GPU na virtuální počítač prostřednictvím Azure Resource Manageru k provádění kryptografických útoků. Tato aktivita se považuje za podezřelou, protože chování objektu se odchází od obvyklých vzorů. Dopad Nízká
Spuštění příkazu s podezřelým skriptem se zjistilo na virtuálním počítači (Preview)
(VM_RunCommandSuspiciousScript)		 Na virtuálním počítači se zjistil příkaz Spustit s podezřelým skriptem pomocí analýzy operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou pomocí příkazu Spustit spustit škodlivý kód s vysokými oprávněními na vašem virtuálním počítači prostřednictvím Azure Resource Manageru. Skript se považuje za podezřelé, protože některé části byly identifikovány jako potenciálně škodlivé. Provádění Vysoká
Na vašem virtuálním počítači (Preview) se zjistilo podezřelé neoprávněné použití příkazu spustit.
(VM_RunCommandSuspiciousFailure)		 Podezřelé neoprávněné použití příkazu Spustit selhalo a na virtuálním počítači se zjistilo analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci se můžou pokusit pomocí příkazu Spustit spustit škodlivý kód s vysokými oprávněními na virtuálních počítačích prostřednictvím Azure Resource Manageru. Tato aktivita se považuje za podezřelou, protože se dříve nesrozudila. Provádění Střední
Na vašem virtuálním počítači (Preview) se zjistilo podezřelé využití příkazů spuštění.
(VM_RunCommandSuspiciousUsage)		 Podezřelé použití příkazu Spustit bylo zjištěno na virtuálním počítači analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou pomocí příkazu Spustit spustit škodlivý kód s vysokými oprávněními na virtuálních počítačích prostřednictvím Azure Resource Manageru. Tato aktivita se považuje za podezřelou, protože se dříve nesrozudila. Provádění Nízká
Na virtuálních počítačích se zjistilo podezřelé použití několika rozšíření monitorování nebo shromažďování dat (Preview).
(VM_SuspiciousMultiExtensionUsage)		 Podezřelé využití několika rozšíření monitorování nebo shromažďování dat bylo zjištěno na virtuálních počítačích analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou tato rozšíření zneužít pro shromažďování dat, monitorování síťového provozu a další možnosti ve vašem předplatném. Toto použití se považuje za podezřelé, protože ho ještě nebylo běžně vidět. Průzkum Střední
Na virtuálních počítačích (Preview) byla zjištěna podezřelá instalace rozšíření šifrování disků.
(VM_DiskEncryptionSuspiciousUsage)		 Podezřelá instalace rozšíření šifrování disků byla na virtuálních počítačích zjištěna analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou zneužít rozšíření šifrování disků k nasazení úplného šifrování disků na virtuálních počítačích prostřednictvím Azure Resource Manageru při pokusu o provedení aktivity ransomwaru. Tato aktivita se považuje za podezřelou, protože nebyla často viditelná dříve a kvůli vysokému počtu instalací rozšíření. Dopad Střední
Na virtuálních počítačích se zjistilo podezřelé použití rozšíření přístupu k virtuálním počítačům (Preview).
(VM_VMAccessSuspiciousUsage)		 Na virtuálních počítačích se zjistilo podezřelé použití rozšíření přístupu k virtuálním počítačům. Útočníci můžou zneužít rozšíření přístupu k virtuálnímu počítači, aby získali přístup k virtuálním počítačům s vysokými oprávněními, a to resetováním přístupu nebo správou uživatelů s právy pro správu. Tato aktivita se považuje za podezřelou, protože chování objektu se odchází od obvyklých vzorů a vzhledem k vysokému počtu instalací rozšíření. Uchování Střední
Rozšíření DSC (Desired State Configuration) s podezřelým skriptem bylo zjištěno na vašem virtuálním počítači (Preview).
(VM_DSCExtensionSuspiciousScript)		 Rozšíření DSC (Desired State Configuration) s podezřelým skriptem bylo na virtuálním počítači zjištěno analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou pomocí rozšíření DSC (Desired State Configuration) nasazovat škodlivé konfigurace, jako jsou mechanismy trvalosti, škodlivé skripty a další, s vysokými oprávněními, na vašich virtuálních počítačích. Skript se považuje za podezřelé, protože některé části byly identifikovány jako potenciálně škodlivé. Provádění Vysoká
Na virtuálních počítačích (Preview) se zjistilo podezřelé použití rozšíření DSC (Desired State Configuration).
(VM_DSCExtensionSuspiciousUsage)		 Podezřelé použití rozšíření DSC (Desired State Configuration) bylo na virtuálních počítačích zjištěno analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou pomocí rozšíření DSC (Desired State Configuration) nasazovat škodlivé konfigurace, jako jsou mechanismy trvalosti, škodlivé skripty a další, s vysokými oprávněními, na vašich virtuálních počítačích. Tato aktivita se považuje za podezřelou, protože chování objektu se odchází od obvyklých vzorů a vzhledem k vysokému počtu instalací rozšíření. Dopad Nízká
Rozšíření vlastních skriptů s podezřelým skriptem se zjistilo na virtuálním počítači (Preview)
(VM_CustomScriptExtensionSuspiciousCmd)
(Tato výstraha již existuje a byla vylepšena s vylepšenými metodami logiky a detekce.)		 Rozšíření vlastních skriptů s podezřelým skriptem bylo na virtuálním počítači zjištěno analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou pomocí rozšíření vlastních skriptů spouštět škodlivý kód s vysokými oprávněními na virtuálním počítači prostřednictvím Azure Resource Manageru. Skript se považuje za podezřelé, protože některé části byly identifikovány jako potenciálně škodlivé. Provádění Vysoká

Podívejte se na výstrahy založené na rozšířeních v Defenderu pro servery.

Úplný seznam výstrah najdete v referenční tabulce pro všechny výstrahy zabezpečení v programu Microsoft Defender for Cloud.

Aktualizace obchodního modelu a cen pro plány Defenderu pro cloud

1. srpna 2023

Microsoft Defender for Cloud má tři plány, které nabízejí ochranu vrstvy služeb:

  • Defender for Key Vault

  • Defender for Resource Manager

  • Defender pro DNS

Tyto plány přešly na nový obchodní model s různými cenami a balením, aby vyřešily zpětnou vazbu zákazníků ohledně předvídatelnosti útraty a zjednodušily strukturu celkových nákladů.

Souhrn změn obchodního modelu a cen:

Stávající zákazníci programu Defender for Key-Vault, Defender for Resource Manager a Defender for DNS udržují aktuální obchodní model a ceny, pokud se aktivně nerozhodnou přejít na nový obchodní model a cenu.

  • Defender for Resource Manager: Tento plán má pevnou cenu za předplatné za měsíc. Zákazníci můžou přejít na nový obchodní model tak, že vyberou defender for Resource Manager nový model předplatného.

Stávající zákazníci programu Defender for Key-Vault, Defender for Resource Manager a Defender for DNS udržují aktuální obchodní model a ceny, pokud se aktivně nerozhodnou přejít na nový obchodní model a cenu.

  • Defender for Resource Manager: Tento plán má pevnou cenu za předplatné za měsíc. Zákazníci můžou přejít na nový obchodní model tak, že vyberou defender for Resource Manager nový model předplatného.
  • Defender for Key Vault: Tento plán má pevnou cenu za trezor za měsíc bez poplatků za nadlimitní využití. Zákazníci můžou přejít na nový obchodní model tak, že vyberou Defender for Key Vault nový pro model trezoru.
  • Defender for DNS: Defender for Servers Plan 2 zákazníci získají přístup k hodnotě Defender for DNS v rámci programu Defender for Servers Plan 2 bez dalších poplatků. Zákazníkům, kteří mají Defender for Server Plan 2 i Defender for DNS, se už neúčtují poplatky za Defender pro DNS. Defender pro DNS už není k dispozici jako samostatný plán.

Další informace o cenách těchto plánů najdete na stránce s cenami Defenderu pro cloud.

Červenec 2023

Aktualizace v červenci:

Datum Aktualizovat
31. července Posouzení ohrožení zabezpečení kontejnerů ve verzi Preview s využitím Microsoft Defender Správa zranitelností v defenderu pro kontejnery a registry kontejnerů v Defenderu pro kontejnery
Červenec 30 Stav kontejneru bez agentů v programu Defender CSPM je teď obecně dostupný.
20. červenec Správa automatických aktualizací pro Defender for Endpoint pro Linux
Červenec 18 Kontrola tajných kódů bez agentů pro virtuální počítače v defenderu pro servery P2 & Defender CSPM
Červenec 12 Nová výstraha zabezpečení v programu Defender for Servers – plán 2: Detekce potenciálních útoků s využitím rozšíření ovladačů GPU virtuálního počítače Azure
Červenec 9 Podpora zakázání konkrétních zjištění ohrožení zabezpečení
1. červenec Stav zabezpečení s podporou dat je nyní obecně dostupný.

Posouzení ohrožení zabezpečení kontejnerů ve verzi Preview s využitím Microsoft Defender Správa zranitelností

31. července 2023

Oznamujeme vydání posouzení ohrožení zabezpečení (VA) pro image kontejnerů Linuxu v registrech kontejnerů Azure s využitím Microsoft Defender Správa zranitelností v defenderu for Containers a Defenderu pro registry kontejnerů. Nová nabídka VA kontejnerů bude poskytována společně s naší stávající nabídkou kontejnerů VA, která využívá technologii Qualys v defenderu pro kontejnery i registry kontejnerů Defenderu pro kontejnery a zahrnuje každodenní prohledat image kontejnerů, informace o zneužitelnosti, podporu operačního systému a programovacích jazyků (SCA) a další.

Tato nová nabídka se začne zavádět dnes a očekává se, že bude dostupná pro všechny zákazníky do 7. srpna.

Přečtěte si další informace o posouzení ohrožení zabezpečení kontejnerů pomocí Microsoft Defender Správa zranitelností.

Stav kontejneru bez agentů v programu Defender CSPM je teď obecně dostupný.

30. července 2023

Funkce stavu kontejneru bez agentů jsou nyní obecně dostupné (GA) v rámci plánu Defender CSPM (Cloud Security Management).

Přečtěte si další informace o stavu kontejneru bez agentů v programu Defender CSPM.

Správa automatických aktualizací pro Defender for Endpoint pro Linux

20. července 2023

Defender for Cloud se ve výchozím nastavení pokusí aktualizovat váš defender for Endpoint pro agenty Linuxu nasazené s rozšířením MDE.Linux . V této verzi můžete toto nastavení spravovat a odhlásit se od výchozí konfigurace a spravovat cykly aktualizací ručně.

Zjistěte, jak spravovat konfiguraci automatických aktualizací pro Linux.

Kontrola tajných kódů bez agentů pro virtuální počítače v defenderu pro servery P2 & Defender CSPM

18. července 2023

Kontrola tajných kódů je nyní k dispozici jako součást kontroly bez agentů v programu Defender pro servery P2 a CSPM v programu Defender. Tato funkce pomáhá zjišťovat nespravované a nezabezpečené tajné kódy uložené na virtuálních počítačích v prostředcích Azure nebo AWS, které je možné použít k pozdějšímu přesunu v síti. Pokud se zjistí tajné kódy, může Defender for Cloud pomoct určit prioritu a provést nápravné kroky, které minimalizují riziko laterálního pohybu, a to vše bez ovlivnění výkonu vašeho počítače.

Další informace o ochraně tajných kódů pomocí skenování tajných kódů najdete v tématu Správa tajných kódů s kontrolou tajných kódů bez agentů.

Nová výstraha zabezpečení v programu Defender for Servers – plán 2: Detekce potenciálních útoků s využitím rozšíření ovladačů GPU virtuálního počítače Azure

12. července 2023

Tato výstraha se zaměřuje na identifikaci podezřelých aktivit využívajících rozšíření ovladačů GPU virtuálního počítače Azure a poskytuje přehled o pokusech útočníků o ohrožení vašich virtuálních počítačů. Výstraha cílí na podezřelá nasazení rozšíření ovladačů GPU; tato rozšíření jsou často zneužívané aktéry hrozeb, aby využili plnou sílu karty GPU a prováděli cryptojacking.

Zobrazovaný název upozornění
(Typ výstrahy)		 Popis Závažnost Taktika MITRE
Podezřelá instalace rozšíření GPU ve virtuálním počítači (Preview)
(VM_GPUDriverExtensionUnusualExecution)		 Podezřelá instalace rozšíření GPU byla na virtuálním počítači zjištěna analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou pomocí rozšíření ovladače GPU nainstalovat ovladače GPU na virtuální počítač prostřednictvím Azure Resource Manageru k provádění kryptografických útoků. Nízká Dopad

Úplný seznam výstrah najdete v referenční tabulce pro všechny výstrahy zabezpečení v programu Microsoft Defender for Cloud.

Podpora zakázání konkrétních zjištění ohrožení zabezpečení

9. července 2023

Vydání podpory pro zakázání zjištění ohrožení zabezpečení pro image registru kontejneru nebo spouštění imagí v rámci stavu kontejneru bez agentů Pokud potřebujete, aby organizace ignorovala hledání ohrožení zabezpečení v imagi registru kontejneru, místo aby ji opravili, můžete ji volitelně zakázat. Zakázaná zjištění nemají vliv na vaše skóre zabezpečení ani negenerují nežádoucí šum.

Zjistěte, jak zakázat zjištění posouzení ohrožení zabezpečení u imagí registru kontejnerů.

Stav zabezpečení s podporou dat je nyní obecně dostupný.

1\. července 2023

Stav zabezpečení pracující s daty v Programu Microsoft Defender pro cloud je teď obecně dostupný. Pomáhá zákazníkům snížit riziko dat a reagovat na porušení zabezpečení dat. S využitím stavu zabezpečení s podporou dat můžete:

  • Automatické zjišťování citlivých datových prostředků v Azure a AWS
  • Vyhodnoťte citlivost dat, vystavení dat a způsob toku dat v celé organizaci.
  • Proaktivně a nepřetržitě odkryjte rizika, která můžou vést k porušení zabezpečení dat.
  • Detekce podezřelých aktivit, které můžou indikovat probíhající hrozby pro citlivé datové prostředky

Další informace najdete v tématu Stav zabezpečení pracující s daty v programu Microsoft Defender for Cloud.

Červen 2023

Aktualizace v červnu zahrnují:

Datum Aktualizovat
Červen 26 Zjednodušené onboardingu účtů s více cloudy s rozšířenými nastaveními
Červen 25 Podpora privátního koncového bodu pro kontrolu malwaru v defenderu for Storage
15. června Byly provedeny aktualizace kontrol standardů NIST 800-53 v dodržování právních předpisů
Červen 11 Plánování migrace do cloudu s obchodním případem služby Azure Migrate teď zahrnuje Defender for Cloud.
Červen 7 Expresní konfigurace pro posouzení ohrožení zabezpečení v defenderu pro SQL je teď obecně dostupná.
Červen 6 Další obory přidané do stávajících Připojení orů Azure DevOps
Červen 4 Nahrazení zjišťování založeného na agentech zjišťováním bez agentů pro funkce kontejnerů v programu Defender CSPM

Zjednodušené onboardingu účtů s více cloudy s rozšířenými nastaveními

26. června 2023

Defender for Cloud vylepšil možnosti onboardingu tak, aby obsahoval nové zjednodušené uživatelské rozhraní a pokyny, kromě nových funkcí, které vám umožní připojit prostředí AWS a GCP a zároveň poskytovat přístup k pokročilým funkcím onboardingu.

Pro organizace, které pro automatizaci přijaly Terraform Hashicorp, teď Defender for Cloud zahrnuje možnost používat Terraform jako metodu nasazení společně s AWS CloudFormation nebo GCP Cloud Shellem. Při vytváření integrace teď můžete přizpůsobit požadované názvy rolí. Můžete také vybrat mezi těmito možnostmi:

  • Výchozí přístup – Umožňuje defenderu for Cloud kontrolovat vaše prostředky a automaticky zahrnovat budoucí funkce.

  • Nejméně privilegovaný přístup – Uděluje defenderu pro cloud přístup pouze k aktuálním oprávněním potřebným pro vybrané plány.

Pokud vyberete nejméně privilegovaná oprávnění, budete dostávat oznámení jenom o všech nových rolích a oprávněních, která jsou nutná k získání úplné funkčnosti stavu konektoru.

Defender for Cloud umožňuje rozlišovat mezi cloudovými účty podle jejich nativních názvů od dodavatelů cloudu. Například aliasy účtů AWS a názvy projektů GCP.

Podpora privátního koncového bodu pro kontrolu malwaru v defenderu for Storage

25. června 2023

Podpora privátních koncových bodů je teď dostupná jako součást verze Public Preview kontroly malwaru v programu Defender for Storage. Tato funkce umožňuje povolit kontrolu malwaru u účtů úložiště, které používají privátní koncové body. Není potřeba žádná jiná konfigurace.

Kontrola malwaru (Preview) v defenderu for Storage pomáhá chránit vaše účty úložiště před škodlivým obsahem provedením úplné kontroly malwaru na nahraném obsahu téměř v reálném čase pomocí funkcí Antivirová ochrana v programu Microsoft Defender. Je navržená tak, aby splňovala požadavky na zabezpečení a dodržování předpisů pro zpracování nedůvěryhodného obsahu. Jedná se o řešení SaaS bez agentů, které umožňuje jednoduché nastavení ve velkém měřítku s nulovou údržbou a podporuje automatizaci odezvy ve velkém měřítku.

Privátní koncové body poskytují zabezpečené připojení ke službám Azure Storage, efektivně eliminují vystavení veřejného internetu a považují se za osvědčený postup zabezpečení.

U účtů úložiště s privátními koncovými body, které už mají povolenou kontrolu malwaru, budete muset zakázat a povolit plán kontroly malwaru, aby to fungovalo .

Přečtěte si další informace o používání privátních koncových bodů v defenderu for Storage a o tom, jak dál zabezpečit služby úložiště.

Doporučení vydané pro verzi Preview: Spuštění imagí kontejnerů by mělo mít vyřešené zjištění ohrožení zabezpečení (s využitím Microsoft Defender Správa zranitelností)

21. června 2023

Ve verzi Preview je vydáno nové doporučení ke kontejneru v programu Defender CSPM s využitím Microsoft Defender Správa zranitelností:

Doporučení Popis Klíč posouzení
Spuštěné image kontejnerů by měly mít vyřešené závěry ohrožení zabezpečení (s využitím Microsoft Defender Správa zranitelností)(Preview) Posouzení ohrožení zabezpečení image kontejneru kontroluje běžně známá ohrožení zabezpečení (CVE) ve vašem registru a poskytuje podrobnou zprávu o ohrožení zabezpečení pro každou image. Toto doporučení poskytuje přehled o ohrožených imagích, které jsou aktuálně spuštěné v clusterech Kubernetes. Náprava ohrožení zabezpečení v imagích kontejnerů, které jsou aktuálně spuštěné, je klíčem ke zlepšení stavu zabezpečení, což výrazně snižuje prostor pro útoky pro kontejnerizované úlohy. c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

Toto nové doporučení nahrazuje aktuální doporučení stejného názvu, které využívá Qualys, pouze v programu Defender CSPM (nahrazení klíče posouzení 41503391-efa5-47ee-9282-4eff6131462c).

Byly provedeny aktualizace kontrol standardů NIST 800-53 v dodržování právních předpisů

15. června 2023

Standardy NIST 800-53 (R4 i R5) se nedávno aktualizovaly o změny kontroly v programu Microsoft Defender pro dodržování právních předpisů v cloudu. Ovládací prvky spravované Microsoftem byly odebrány ze standardu a informace o implementaci odpovědnosti Microsoftu (v rámci modelu sdílené odpovědnosti cloudu) jsou nyní k dispozici pouze v podokně podrobností ovládacích prvků v části Akce Microsoftu.

Tyto ovládací prvky se dříve vypočítaly jako předané ovládací prvky, takže mezi dubnem 2023 a květnem 2023 se může zobrazit výrazný pokles skóre dodržování předpisů pro standardy NIST.

Další informace o kontrolních prvcích dodržování předpisů najdete v kurzu : Kontroly dodržování právních předpisů – Microsoft Defender for Cloud.

Plánování migrace do cloudu s obchodním případem služby Azure Migrate teď zahrnuje Defender for Cloud.

11. června 2023

Teď můžete zjistit potenciální úspory nákladů v zabezpečení tím, že použijete Defender pro cloud v kontextu obchodního případu Azure Migrate.

Expresní konfigurace pro posouzení ohrožení zabezpečení v defenderu pro SQL je teď obecně dostupná.

7. června 2023

Expresní konfigurace pro posouzení ohrožení zabezpečení v defenderu pro SQL je teď obecně dostupná. Expresní konfigurace poskytuje zjednodušené možnosti onboardingu pro posouzení ohrožení zabezpečení SQL pomocí konfigurace jedním kliknutím (nebo volání rozhraní API). Nejsou potřeba žádná další nastavení ani závislosti na spravovaných účtech úložiště.

Další informace o expresní konfiguraci najdete na tomto blogu .

Můžete se seznámit s rozdíly mezi expresní a klasickou konfigurací.

Další obory přidané do stávajících Připojení orů Azure DevOps

6. června 2023

Defender for DevOps přidal do aplikace Azure DevOps (ADO) následující další obory:

  • Pokročilá správa zabezpečení: vso.advsec_manage. To je potřeba k povolení, zakázání a správě služby GitHub Advanced Security pro ADO.

  • Mapování kontejnerů: vso.extension_manage, vso.gallery_manager; To je potřeba, abyste mohli sdílet rozšíření dekorátoru s organizací ADO.

Tato změna ovlivní jenom nové zákazníky Defenderu pro DevOps, kteří se snaží připojit prostředky ADO do Microsoft Defenderu pro cloud.

Onboarding přímo (bez Azure Arc) do Defenderu pro servery je teď obecně dostupný.

5. června 2023

Dříve se služba Azure Arc vyžadovala k onboardingu serverů mimo Azure do defenderu pro servery. S nejnovější verzí ale můžete místní servery připojit k programu Defender for Servers jenom pomocí agenta Microsoft Defenderu for Endpoint.

Tato nová metoda zjednodušuje proces onboardingu pro zákazníky zaměřené na základní ochranu koncových bodů a umožňuje využít výhod fakturace založené na spotřebě Defenderu pro servery pro cloudové i necloudové prostředky. Možnost přímého onboardingu prostřednictvím defenderu for Endpoint je teď dostupná s fakturací pro onboardované počítače od 1. července.

Další informace najdete v tématu Připojení počítačů mimo Azure do programu Microsoft Defender for Cloud with Defender for Endpoint.

Nahrazení zjišťování založeného na agentech zjišťováním bez agentů pro funkce kontejnerů v programu Defender CSPM

4. června 2023

Díky funkcím stavu kontejneru bez agentů, které jsou v programu Defender CSPM dostupné, jsou teď možnosti zjišťování založené na agentech vyřazené. Pokud v programu Defender CSPM aktuálně používáte funkce kontejneru, ujistěte se, že jsou povolená příslušná rozšíření, aby nadále přijímala hodnotu související s kontejnery nových funkcí bez agentů, jako jsou cesty útoku související s kontejnery, přehledy a inventář. (Zobrazení účinků povolení rozšíření může trvat až 24 hodin).

Přečtěte si další informace o stavu kontejneru bez agentů.

Květen 2023

mezi Aktualizace může patřit:

Nová výstraha v defenderu pro Key Vault

Výstraha (typ výstrahy) Popis Taktika MITRE Závažnost
Neobvyklý přístup k trezoru klíčů z podezřelé IP adresy (jiné společnosti než Microsoft nebo externí)
(KV_UnusualAccessSuspiciousIP)		 Uživatel nebo instanční objekt se v posledních 24 hodinách pokusili o neobvyklý přístup k trezorům klíčů z IP adresy jiné společnosti než Microsoft. Tento neobvyklý vzor přístupu může být legitimní aktivitou. Může to být označení možného pokusu o získání přístupu k trezoru klíčů a tajných kódů obsažených v něm. Doporučujeme provést další šetření. Přístup k přihlašovacím údajům Střední

Všechny dostupné výstrahy najdete v tématu Výstrahy pro Azure Key Vault.

Kontrola bez agentů teď podporuje šifrované disky v AWS.

Vyhledávání virtuálních počítačů bez agentů teď podporuje zpracování instancí se šifrovanými disky v AWS pomocí CMK i PMK.

Tato rozšířená podpora zvyšuje pokrytí a viditelnost vašich cloudových aktiv, aniž by to mělo vliv na spuštěné úlohy. Podpora šifrovaných disků udržuje stejnou metodu nulového dopadu na spuštěné instance.

  • Pro nové zákazníky, kteří umožňují kontrolu bez agentů v AWS – pokrytí šifrovaných disků je ve výchozím nastavení integrované a podporované.
  • Pro stávající zákazníky, kteří už mají konektor AWS s povolenou kontrolou bez agentů, musíte znovu použít zásobník CloudFormation pro vaše připojené účty AWS, abyste mohli aktualizovat a přidat nová oprávnění potřebná ke zpracování šifrovaných disků. Aktualizovaná šablona CloudFormation obsahuje nová přiřazení, která programu Defender for Cloud umožňují zpracovávat šifrované disky.

Další informace o oprávněních používaných ke kontrole instancí AWS.

Opětovné použití zásobníku CloudFormation:

  1. Přejděte do nastavení prostředí Defender for Cloud a otevřete konektor AWS.
  2. Přejděte na kartu Konfigurovat přístup .
  3. Kliknutím stáhnete šablonu CloudFormation.
  4. Přejděte do prostředí AWS a použijte aktualizovanou šablonu.

Přečtěte si další informace o kontrole bez agentů a povolení kontroly bez agentů v AWS.

Revidované zásady vytváření názvů pravidel JIT (Just-In-Time) v defenderu pro cloud

Upravili jsme pravidla JIT (Just-In-Time) tak, aby odpovídala značce Microsoft Defenderu pro cloud. Změnili jsme zásady vytváření názvů pro pravidla služby Azure Firewall a skupiny zabezpečení sítě (NSG).

Změny jsou uvedeny takto:

Popis Starý název Nový název
Názvy pravidel JIT (povolit a odepřít) ve skupině zabezpečení sítě (skupina zabezpečení sítě) SecurityCenter–JITRule MicrosoftDefenderForCloud-JITRule
Popisy pravidel JIT ve skupině zabezpečení sítě Pravidlo síťového přístupu PODLE POTŘEBY ASC Pravidlo síťového přístupu MDC JIT
Názvy kolekcí pravidel brány firewall JIT ASC-JIT MDC-JIT
Názvy pravidel brány firewall JIT ASC-JIT MDC-JIT

Zjistěte, jak zabezpečit porty pro správu pomocí přístupu za běhu.

Onboarding vybraných oblastí AWS

Abyste mohli spravovat náklady a požadavky na dodržování předpisů AWS CloudTrail, můžete teď při přidávání nebo úpravách cloudového konektoru vybrat oblasti AWS, které se mají zkontrolovat. Při onboardingu účtů AWS do programu Defender for Cloud teď můžete zkontrolovat vybrané konkrétní oblasti AWS nebo všechny dostupné oblasti (výchozí). Další informace najdete v Připojení účtu AWS do Programu Microsoft Defender for Cloud.

Několik změn doporučení k identitě

Následující doporučení jsou nyní vydána jako obecná dostupnost (GA) a nahrazují doporučení verze 1, která jsou teď zastaralá.

Obecná dostupnost (GA) – verze doporučení pro identity v2

Verze v2 doporučení pro identity přináší následující vylepšení:

  • Rozsah kontroly byl rozšířen tak, aby zahrnoval všechny prostředky Azure, nejen předplatná. Správci zabezpečení tak můžou zobrazit přiřazení rolí na účet.
  • Z vyhodnocení teď můžou být vyloučené konkrétní účty. Účty, jako je rozbité sklo nebo účty služeb, můžou správci zabezpečení vyloučit.
  • Četnost kontrol byla zvýšena z 24 hodin na 12 hodin, čímž se zajistí, že doporučení identit budou aktuální a přesnější.

V ga jsou k dispozici následující doporučení zabezpečení a nahraďte doporučení verze 1:

Doporučení Klíč posouzení
Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování 6240402e-f77c-46fa-9060-a7ce53997754
Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. c0cb17b2-0607-48a7-b0e0-903ed22de39b
Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. 20606e75-05c4-48c0-9d97-add6daa2109a
Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. 050ac097-3dda-4d24-ab6d-82568e7a50cf
Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat. 1ff0b4c9-ed56-4de6-be9c-d7ab39645926

Vyřazení doporučení identit v1

Následující doporučení zabezpečení jsou teď zastaralá:

Doporučení Klíč posouzení
U účtů s oprávněními vlastníka k předplatným by mělo být povolené vícefaktorové ověřování. 94290b00-4d0c-d7b4-7cea-064a9554e681
U účtů s oprávněními k zápisu u předplatných by mělo být povolené vícefaktorové ověřování. 57e98606-6b1e-6193-0e3d-fe621387c16b
U účtů s oprávněními ke čtení u předplatných by mělo být povolené vícefaktorové ověřování. 151e82c5-5341-a74b-1eb0-bc38d2c84bb5
Externí účty s oprávněními vlastníka by se měly z předplatných odebrat. c3b6ae71-f1f0-31b4-e6c1-d5951285d03d
Externí účty s oprávněním k zápisu by se měly z předplatných odebrat. 04e7147b-0deb-9796-2e5c-0336343ceb3d
Externí účty s oprávněním ke čtení by se měly z předplatných odebrat. a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b
Zastaralé účty s oprávněními vlastníka by se měly z předplatných odebrat. e52064aa-6853-e252-a11e-dffc675689c2
Zastaralé účty by se měly z předplatných odebrat. 00c6d40b-e990-6acf-d4f3-471e747a27c4

Doporučujeme aktualizovat vlastní skripty, pracovní postupy a pravidla zásad správného řízení tak, aby odpovídaly doporučením verze 2.

Vyřazení starších standardů na řídicím panelu dodržování předpisů

Starší verze PCI DSS verze 3.2.1 a starší verze TSP SOC jsou plně zastaralé v řídicím panelu pro dodržování předpisů v programu Defender for Cloud a nahrazeny iniciativami SOC 2 typu 2 a standardy dodržování předpisů založenými na iniciativě PCI DSS v4 . Plně jsme zastaralí podporu standardu nebo iniciativy PCI DSS v Microsoft Azure provozovaném společností 21Vianet.

Zjistěte, jak přizpůsobit sadu standardů na řídicím panelu dodržování právních předpisů.

Doporučení v programu Defender for DevOps teď zahrnují zjištění kontroly Azure DevOps.

Defender for DevOps Code a IaC rozšířily pokrytí doporučení v Programu Microsoft Defender for Cloud, aby zahrnovaly zjištění zabezpečení Azure DevOps pro následující dvě doporučení:

  • Code repositories should have code scanning findings resolved

  • Code repositories should have infrastructure as code scanning findings resolved

Dříve zahrnovalo pokrytí kontroly zabezpečení Azure DevOps pouze doporučení tajných kódů.

Přečtěte si další informace o Defenderu pro DevOps.

Nové výchozí nastavení pro řešení posouzení ohrožení zabezpečení defenderu pro servery

Řešení posouzení ohrožení zabezpečení (VA) jsou nezbytná k ochraně počítačů před kybernetickými útoky a porušeními zabezpečení dat.

Microsoft Defender Správa zranitelností je teď povolené jako výchozí integrované řešení pro všechna předplatná chráněná defenderem pro servery, která ještě nemají vybrané řešení VA.

Pokud má předplatné na některém z jeho virtuálních počítačů povolené řešení VA, neprovedou se žádné změny a Microsoft Defender Správa zranitelností se ve výchozím nastavení nepovolí na zbývajících virtuálních počítačích v daném předplatném. U zbývajících virtuálních počítačů ve vašich předplatných můžete povolit řešení VA.

Zjistěte, jak najít ohrožení zabezpečení a shromažďovat inventář softwaru pomocí kontroly bez agentů (Preview).

Stažení sestavy CSV výsledků dotazu v Průzkumníku zabezpečení cloudu (Preview)

Defender for Cloud přidal možnost stáhnout sestavu CSV výsledků dotazu v Průzkumníku zabezpečení cloudu.

Po spuštění hledání dotazu můžete vybrat tlačítko Stáhnout sestavu CSV (Preview) ze stránky Průzkumníka zabezpečení cloudu v defenderu pro cloud.

Naučte se vytvářet dotazy pomocí Průzkumníka zabezpečení cloudu.

Posouzení ohrožení zabezpečení kontejnerů s využitím Microsoft Defender Správa zranitelností

Oznamujeme vydání posouzení ohrožení zabezpečení pro image Linuxu v registrech kontejnerů Azure s využitím Microsoft Defender Správa zranitelností v programu Defender CSPM. Tato verze zahrnuje každodenní skenování obrázků. Zjištění použitá v Průzkumníku zabezpečení a cestách útoku se místo kontroly Qualys spoléhají na posouzení ohrožení zabezpečení v programu Microsoft Defender.

Stávající doporučení Container registry images should have vulnerability findings resolved se nahrazuje novým doporučením:

Doporučení Popis Klíč posouzení
Bitové kopie služby Container Registry by měly mít vyřešené zjištění ohrožení zabezpečení (využívá Microsoft Defender Správa zranitelností). Posouzení ohrožení zabezpečení image kontejneru kontroluje běžně známá ohrožení zabezpečení (CVE) ve vašem registru a poskytuje podrobnou zprávu o ohrožení zabezpečení pro každou image. Toto doporučení poskytuje přehled o ohrožených imagích, které jsou aktuálně spuštěné v clusterech Kubernetes. Náprava ohrožení zabezpečení v imagích kontejnerů, které jsou aktuálně spuštěné, je klíčem ke zlepšení stavu zabezpečení, což výrazně snižuje prostor pro útoky pro kontejnerizované úlohy. dbd0cb49-b563-45e7-9724-889e799fa648 je nahrazen c0b7cfc6-3172-465a-b378-53c7ff2cc0d5.

Přečtěte si další informace o stavu kontejnerů bez agentů v programu Defender CSPM.

Přečtěte si další informace o Microsoft Defender Správa zranitelností.

Přejmenování doporučení kontejnerů využívajících Qualys

Aktuální doporučení kontejnerů v programu Defender for Containers se přejmenovávat následujícím způsobem:

Doporučení Popis Klíč posouzení
Bitové kopie registru kontejnerů by měly mít vyřešené zjištění ohrožení zabezpečení (využívá technologii Qualys). Posouzení ohrožení zabezpečení image kontejneru kontroluje ohrožení zabezpečení vašeho registru a zveřejňuje podrobná zjištění pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení kontejnerů a chránit je před útoky. dbd0cb49-b563-45e7-9724-889e799fa648
Spuštěné image kontejnerů by měly mít vyřešené zjištění ohrožení zabezpečení (využívá technologii Qualys). Posouzení ohrožení zabezpečení imagí kontejneru kontroluje image kontejnerů spuštěné v clusterech Kubernetes kvůli ohrožením zabezpečení a zveřejňuje podrobná zjištění pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení kontejnerů a chránit je před útoky. 41503391-efa5-47ee-9282-4eff6131462c

Aktualizace aplikace Defender for DevOps na GitHubu

Microsoft Defender for DevOps neustále provádí změny a aktualizace, které vyžadují zákazníky Defenderu pro DevOps, kteří nasadili prostředí GitHubu v programu Defender for Cloud, aby mohli poskytovat oprávnění jako součást aplikace nasazené v organizaci GitHubu. Tato oprávnění jsou nezbytná k zajištění, aby všechny funkce zabezpečení Defenderu pro DevOps fungovaly normálně a bez problémů.

Doporučujeme aktualizovat oprávnění co nejdříve, aby se zajistil nepřetržitý přístup ke všem dostupným funkcím Defenderu pro DevOps.

Oprávnění se dají udělit dvěma různými způsoby:

  • Ve vaší organizaci vyberte Aplikace GitHubu. Vyhledejte svoji organizaci a vyberte Zkontrolovat žádost.

  • Z podpory GitHubu dostanete automatizovaný e-mail. V e-mailu vyberte Zkontrolovat žádost o oprávnění pro přijetí nebo odmítnutí této změny.

Po provedení některé z těchto možností přejdete na obrazovku kontroly, na které byste měli žádost zkontrolovat. Výběrem možnosti Přijmout nová oprávnění žádost schválíte.

Pokud potřebujete pomoc s aktualizací oprávnění, můžete vytvořit podpora Azure žádost.

Další informace o Defenderu pro DevOps najdete také. Pokud má předplatné na některém z jeho virtuálních počítačů povolené řešení VA, neprovedou se žádné změny a Microsoft Defender Správa zranitelností se ve výchozím nastavení nepovolí na zbývajících virtuálních počítačích v daném předplatném. U zbývajících virtuálních počítačů ve vašich předplatných můžete povolit řešení VA.

Zjistěte, jak najít ohrožení zabezpečení a shromažďovat inventář softwaru pomocí kontroly bez agentů (Preview).

Poznámky k žádostem o přijetí změn v programu Defender for DevOps v úložištích Azure DevOps teď zahrnují infrastrukturu jako chybné konfigurace kódu.

Defender for DevOps rozšířil pokrytí anotace žádostí o přijetí změn v Azure DevOps tak, aby zahrnoval chybné konfigurace infrastruktury jako kódu (IaC), které se detekují v šablonách Azure Resource Manageru a Bicep.

Vývojáři teď vidí poznámky pro chybné konfigurace IaC přímo ve svých žádostech o přijetí změn. Vývojáři můžou také napravit důležité problémy se zabezpečením, než se infrastruktura zřídí do cloudových úloh. Pro zjednodušení nápravy jsou vývojáři k dispozici s úrovní závažnosti, popisem chybné konfigurace a pokyny k nápravě v rámci každé poznámky.

Dříve zahrnovalo pokrytí poznámek k žádostem o přijetí změn v programu Defender for DevOps v Azure DevOps jenom tajné kódy.

Přečtěte si další informace o programu Defender for DevOps a poznámkách žádostí o přijetí změn.

Duben 2023

Aktualizace v dubnu patří:

Stav kontejneru bez agentů v programu Defender CSPM (Preview)

Nové funkce stavu kontejneru bez agentů (Preview) jsou k dispozici jako součást plánu CPM (Cloud Security Management) v programu Defender CSPM (Cloud Security Management).

Stav kontejneru bez agentů umožňuje týmům zabezpečení identifikovat rizika zabezpečení v kontejnerech a sférách Kubernetes. Přístup bez agentů umožňuje týmům zabezpečení získat přehled o registrech Kubernetes a kontejnerů napříč SDLC a modulem runtime, čímž se z úloh odstraní tření a nároky.

Stav kontejneru bez agentů nabízí posouzení ohrožení zabezpečení kontejnerů, která v kombinaci s analýzou cesty útoku umožňují týmům zabezpečení určit prioritu a přiblížit konkrétní ohrožení zabezpečení kontejnerů. Průzkumníka zabezpečení cloudu můžete použít také k odhalení rizik a vyhledávání přehledů o stavu kontejnerů, jako je zjišťování aplikací s ohroženými obrázky nebo vystavené na internetu.

Přečtěte si další informace o stavu kontejneru bez agentů (Preview).

Doporučení služby Unified Disk Encryption (Preview)

Ve verzi Preview jsou k dispozici nová doporučení pro jednotné šifrování disků.

  • Wndows virtual machines should enable Azure Disk Encryption or EncryptionAtHost
  • Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.

Tato doporučení nahrazují Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, která detekovala službu Azure Disk Encryption a zásady Virtual machines and virtual machine scale sets should have encryption at host enabled, které detekovaly EncryptionAtHost. ADE a EncryptionAtHost poskytují srovnatelné pokrytí neaktivních uložených dat a doporučujeme povolit jeden z nich na každém virtuálním počítači. Nová doporučení zjistí, jestli jsou povolené ADE nebo EncryptionAtHost, a varují se pouze v případě, že nejsou povoleny. Upozorňujeme také, jestli je u některých povolených ADE, ale ne všechny disky virtuálního počítače (tato podmínka se nevztahuje na EncryptionAtHost).

Nová doporučení vyžadují konfiguraci počítače Azure Automanage.

Tato doporučení jsou založená na následujících zásadách:

Přečtěte si další informace o ADE a EncryptionAtHost a o tom, jak jednu z nich povolit.

Bezpečné konfigurace změn v počítačích s doporučeními

Doporučení Machines should be configured securely bylo aktualizováno. Aktualizace zlepšuje výkon a stabilitu doporučení a vyrovná své zkušenosti s obecným chováním doporučení Defenderu pro cloud.

V rámci této aktualizace se ID doporučení změnilo z 181ac480-f7c4-544b-9865-11b8ffe87f47 hodnoty na c476dc48-8110-4139-91af-c8d940896b98.

Na straně zákazníka není nutná žádná akce a na bezpečnostní skóre neexistuje žádný očekávaný vliv.

Vyřazení zásad monitorování jazyka služby App Service

Následující zásady monitorování jazyka služby App Service jsou zastaralé kvůli jejich schopnosti generovat falešně negativní hodnoty a protože neposkytují lepší zabezpečení. Vždy byste měli zajistit, abyste používali jazykovou verzi bez známých ohrožení zabezpečení.

Název zásady ID zásady
Aplikace služby App Service, které používají Javu, by měly používat nejnovější verzi Javy. 496223c3-ad65-4ecd-878a-bae78737e9ed
Aplikace služby App Service, které používají Python, by měly používat nejnovější verzi Pythonu. 7008174a-fd10-4ef0-817e-fc820a951d73
Aplikace funkcí, které používají Javu, by měly používat nejnovější verzi Jazyka Java. 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc
Aplikace funkcí, které používají Python, by měly používat nejnovější verzi Pythonu. 7238174a-fd10-4ef0-817e-fc820a951d73
Aplikace App Service, které používají PHP, by měly používat nejnovější verzi PHP. 7261b898-8a84-4db8-9e04-18527132abb3

Zákazníci můžou pomocí alternativních předdefinovaných zásad monitorovat jakoukoli zadanou jazykovou verzi služby App Services.

Tyto zásady už nejsou k dispozici v předdefinovaných doporučeních defenderu for Cloud. Můžete je přidat jako vlastní doporučení , aby je Defender for Cloud monitoroval.

Nová výstraha v defenderu pro Resource Manager

Defender for Resource Manager má následující nové upozornění:

Výstraha (typ výstrahy) Popis Taktika MITRE Závažnost
PREVIEW – Zjištění podezřelého vytvoření výpočetních prostředků
(ARM_SuspiciousComputeCreation)		 Microsoft Defender for Resource Manager identifikoval podezřelé vytváření výpočetních prostředků ve vašem předplatném s využitím služby Virtual Machines/Azure Scale Set. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí nasazením nových prostředků v případě potřeby. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít k provádění kryptografických dolování.
Aktivita se považuje za podezřelou, protože škálování výpočetních prostředků je vyšší než dříve v předplatném.
To může znamenat, že objekt zabezpečení je ohrožený a používá se se zlými úmysly.		 Dopad Střední

Zobrazí se seznam všech výstrah dostupných pro Resource Manager.

Tři upozornění v plánu Defender for Resource Manager jsou zastaralá.

Následující tři upozornění pro plán Defender for Resource Manager jsou zastaralá:

  • Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)
  • Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)
  • Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)

Ve scénáři, ve kterém se detekuje aktivita z podezřelé IP adresy, jeden z následujících upozornění Azure Resource Manager operation from suspicious IP address plánu Defenderu pro Resource Manager nebo Azure Resource Manager operation from suspicious proxy IP address bude k dispozici.

Upozornění automatického exportu do pracovního prostoru služby Log Analytics jsou zastaralá

Výstrahy zabezpečení cloudu se automaticky exportují do výchozího pracovního prostoru služby Log Analytics na úrovni prostředků. To způsobuje nedeterministické chování, a proto jsme tuto funkci zastaralí.

Místo toho můžete výstrahy zabezpečení exportovat do vyhrazeného pracovního prostoru služby Log Analytics s průběžným exportem.

Pokud jste už nakonfigurovali průběžný export upozornění do pracovního prostoru služby Log Analytics, nevyžaduje se žádná další akce.

Vyřazení a vylepšení vybraných výstrah pro servery s Windows a Linuxem

Proces zlepšování kvality výstrah zabezpečení pro Defender pro servery zahrnuje vyřazení některých výstrah pro servery s Windows i Linuxem. Zastaralá upozornění jsou teď zdrojová a pokrytá upozorněními na hrozby v programu Defender for Endpoint.

Pokud už máte povolenou integraci Defenderu pro koncový bod, nevyžaduje se žádná další akce. V dubnu 2023 může dojít ke snížení objemu upozornění.

Pokud nemáte v Defenderu for Servers povolenou integraci Defenderu pro koncové body, budete muset povolit integraci Defenderu pro koncové body, abyste zachovali a zlepšili pokrytí výstrah.

Všichni zákazníci Defenderu pro servery mají úplný přístup k integraci Defenderu for Endpoint jako součást plánu Defender for Servers.

Další informace o možnostech onboardingu v programu Microsoft Defender for Endpoint.

Můžete také zobrazit úplný seznam upozornění , která jsou nastavená tak, aby byla zastaralá.

Přečtěte si blog o Programu Microsoft Defender for Cloud.

Přidali jsme čtyři nová doporučení pro ověřování Azure Active Directory pro datové služby Azure.

Název doporučení Popis doporučení Zásady
Režim ověřování azure SQL Managed Instance by měl být jenom Azure Active Directory. Zakázání místních metod ověřování a povolení pouze ověřování Azure Active Directory zlepšuje zabezpečení tím, že zajišťuje, aby ke spravovaným instancím Azure SQL měly přístup výhradně identity Azure Active Directory. Spravovaná instance Azure SQL by měla mít povolené pouze ověřování Azure Active Directory.
Režim ověřování pracovního prostoru Azure Synapse by měl být jenom Azure Active Directory. Pouze metody ověřování Azure Active Directory vylepšují zabezpečení tím, že zajišťují, aby pracovní prostory Synapse k ověřování výhradně vyžadovaly identity Azure AD. Další informace. Pracovní prostory Synapse by měly pro ověřování používat pouze identity Azure Active Directory.
Azure Database for MySQL by měl mít zřízený správce Azure Active Directory. Zřízení správce Azure AD pro službu Azure Database for MySQL pro povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft Správce Azure Active Directory by měl být zřízený pro servery MySQL.
Azure Database for PostgreSQL by měl mít zřízený správce Azure Active Directory. Zřízení správce Azure AD pro službu Azure Database for PostgreSQL pro povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft Správce Azure Active Directory by měl být zřízený pro servery PostgreSQL.

System updates should be installed on your machines (powered by Azure Update Manager) Doporučení a Machines should be configured to periodically check for missing system updates byla vydána pro obecnou dostupnost.

Pokud chcete nové doporučení použít, musíte:

  • Připojení počítače mimo Azure do Arc.
  • Povolte vlastnost pravidelného hodnocení. Můžete použít tlačítko Opravit. v novém doporučení Machines should be configured to periodically check for missing system updates opravte doporučení.

Po dokončení těchtokrokůch System updates should be installed on your machines

Dvě verze doporučení:

Obě verze budou k dispozici, dokud nebude agent Log Analytics zastaralý 31. srpna 2024, kdy bude starší verzeSystem updates should be installed on your machines () doporučení také zastaralá. Obě doporučení vrací stejné výsledky a jsou k dispozici ve stejném ovládacím prvku Apply system updates.

Nové doporučení System updates should be installed on your machines (powered by Azure Update Manager) má k dispozici tok nápravy prostřednictvím tlačítka Opravit, které lze použít k nápravě všech výsledků prostřednictvím Update Manageru (Preview). Tento proces nápravy je stále ve verzi Preview.

Nové doporučení System updates should be installed on your machines (powered by Azure Update Manager) nemá vliv na vaše skóre zabezpečení, protože má stejné výsledky jako staré doporučení System updates should be installed on your machines.

Doporučení k předpokladu (povolení vlastnosti pravidelného hodnocení) má negativní vliv na vaše skóre zabezpečení. Negativní efekt můžete napravit pomocí dostupného tlačítka Opravit.

Defender for API (Preview)

Microsoft Defender for Cloud oznamuje, že nová rozhraní API v programu Defender for Cloud jsou dostupná ve verzi Preview.

Defender for API nabízí úplnou ochranu životního cyklu, detekci a pokrytí odpovědí pro rozhraní API.

Defender for API vám pomůže získat přehled o důležitých obchodních rozhraních API. Můžete prozkoumat a vylepšit stav zabezpečení rozhraní API, určit prioritu oprav ohrožení zabezpečení a rychle detekovat aktivní hrozby v reálném čase.

Přečtěte si další informace o defenderu pro rozhraní API.

Březen 2023

Aktualizace v březnu zahrnují:

K dispozici je nový plán Defenderu pro úložiště, včetně kontroly malwaru téměř v reálném čase a detekce citlivých dat před hrozbami.

Cloudové úložiště hraje klíčovou roli v organizaci a ukládá velké objemy cenných a citlivých dat. Dnes oznamujeme nový plán Defenderu pro úložiště. Pokud používáte předchozí plán (teď se přejmenujete na Defender for Storage (classic)), musíte proaktivně migrovat na nový plán , abyste mohli používat nové funkce a výhody.

Nový plán obsahuje pokročilé možnosti zabezpečení, které pomáhají chránit před škodlivými nahráváním souborů, exfiltrací citlivých dat a poškozením dat. Poskytuje také předvídatelnější a flexibilnější cenovou strukturu pro lepší kontrolu nad pokrytím a náklady.

Nový plán má nyní nové funkce ve verzi Public Preview:

  • Detekce ohrožení citlivých dat a událostí exfiltrace

  • Kontrola malwaru téměř v reálném čase při nahrávání malwaru napříč všemi typy souborů

  • Detekce entit bez identit pomocí tokenů SAS

Tyto funkce vylepšují stávající funkce monitorování aktivit na základě analýzy protokolů řídicích a rovin dat a modelování chování za účelem identifikace počátečních známek porušení zabezpečení.

Všechny tyto funkce jsou k dispozici v novém předvídatelném a flexibilním cenovém plánu, který poskytuje podrobnou kontrolu nad ochranou dat na úrovni předplatného i prostředků.

Další informace najdete v přehledu programu Microsoft Defender for Storage.

Stav zabezpečení pracující s daty (Preview)

Microsoft Defender for Cloud pomáhá týmům zabezpečení zvýšit produktivitu při snižování rizik a reagování na porušení zabezpečení v cloudu. Umožňuje jim snížit šum s kontextem dat a určit prioritu nejdůležitějších bezpečnostních rizik, což brání nákladnému úniku dat.

  • Automaticky zjišťovat datové prostředky napříč cloudovými aktivy a vyhodnocovat jejich přístupnost, citlivost dat a nakonfigurované toky dat. -Nepřetržitě odkryjte rizika pro porušení zabezpečení citlivých prostředků dat, vystavení nebo cesty útoku, které by mohly vést k datovému prostředku pomocí techniky laterálního pohybu.
  • Detekujte podezřelé aktivity, které můžou znamenat probíhající hrozbu pro citlivé datové prostředky.

Přečtěte si další informace o stavu zabezpečení s podporou dat.

Vylepšené prostředí pro správu výchozích zásad zabezpečení Azure

Představujeme vylepšené prostředí pro správu zásad zabezpečení Azure pro integrovaná doporučení, která zjednodušují způsob, jakým defender pro cloudové zákazníky dolaďuje požadavky na zabezpečení. Nové prostředí zahrnuje následující nové funkce:

  • Jednoduché rozhraní umožňuje lepší výkon a možnosti při správě výchozích zásad zabezpečení v programu Defender for Cloud.
  • Jediné zobrazení všech předdefinovaných doporučení zabezpečení nabízených srovnávacím testem zabezpečení cloudu Microsoftu (dříve srovnávací test zabezpečení Azure). Doporučení jsou uspořádaná do logických skupin, což usnadňuje pochopení typů zahrnutých prostředků a vztah mezi parametry a doporučeními.
  • Byly přidány nové funkce, jako jsou filtry a vyhledávání.

Zjistěte, jak spravovat zásady zabezpečení.

Přečtěte si blog o Programu Microsoft Defender for Cloud.

CsPM v programu Defender (Správa stavu cloudového zabezpečení) je nyní obecně dostupná (GA)

Oznamujeme, že CSPM v programu Defender je teď obecně dostupný (GA). CsPM v programu Defender nabízí všechny služby dostupné v rámci základních funkcí CSPM a přináší následující výhody:

  • Analýza cest útoku a rozhraní ARG API – Analýza cest útoku používá algoritmus založený na grafech, který prohledá graf cloudového zabezpečení, aby zpřístupnil cesty útoku a navrhl doporučení týkající se nejlepší nápravy problémů, které přerušují cestu útoku a brání úspěšnému porušení zabezpečení. Cesty útoku můžete také využívat programově dotazováním rozhraní API Azure Resource Graphu (ARG). Naučte se používat analýzu cest útoku.
  • Průzkumník zabezpečení cloudu – Pomocí Průzkumníka zabezpečení cloudu můžete spouštět dotazy založené na grafech v grafu cloudového zabezpečení k proaktivní identifikaci bezpečnostních rizik ve vícecloudových prostředích. Přečtěte si další informace o Průzkumníku zabezpečení cloudu.

Přečtěte si další informace o nástroji CSPM v programu Defender.

Možnost vytvoření vlastních doporučení a standardů zabezpečení v Microsoft Defenderu pro cloud

Microsoft Defender pro cloud nabízí možnost vytvářet vlastní doporučení a standardy pro AWS a GCP pomocí dotazů KQL. Pomocí editoru dotazů můžete vytvářet a testovat dotazy nad daty. Tato funkce je součástí plánu CSPM (Cloud Security Management). Naučte se vytvářet vlastní doporučení a standardy.

Srovnávací test zabezpečení cloudu Microsoftu (MCSB) verze 1.0 je nyní obecně dostupný (GA)

Microsoft Defender for Cloud oznamuje, že srovnávací test zabezpečení cloudu Microsoftu (MCSB) verze 1.0 je nyní obecně dostupný (GA).

MCSB verze 1.0 nahrazuje výchozí zásady zabezpečení Azure Security Benchmark (ASB) verze 3 jako Defender pro cloud. McSB verze 1.0 se zobrazí jako výchozí standard dodržování předpisů na řídicím panelu dodržování předpisů a je ve výchozím nastavení povolený pro všechny zákazníky defenderu pro cloud.

Dozvíte se také, jak vám srovnávací test zabezpečení cloudu Microsoftu (MCSB) pomůže úspěšně na cestě zabezpečení cloudu.

Přečtěte si další informace o MCSB.

Některé standardy dodržování právních předpisů jsou teď dostupné v cloudech pro státní správu.

Tyto standardy aktualizujeme pro zákazníky ve službě Azure Government a Microsoft Azure provozované společností 21Vianet.

Azure Government:

Microsoft Azure provozovaný společností 21Vianet:

Zjistěte, jak přizpůsobit sadu standardů na řídicím panelu dodržování právních předpisů.

Nové doporučení preview pro Azure SQL Servery

Přidali jsme nové doporučení pro Azure SQL Servery. Azure SQL Server authentication mode should be Azure Active Directory Only (Preview)

Doporučení vychází ze stávajících zásad. Azure SQL Database should have Azure Active Directory Only Authentication enabled

Toto doporučení zakazuje místní metody ověřování a umožňuje pouze ověřování Azure Active Directory, což zlepšuje zabezpečení tím, že zajišťuje, aby k databázím Azure SQL bylo možné přistupovat výhradně identitami Azure Active Directory.

Naučte se vytvářet servery s povoleným ověřováním jen pro Azure AD v Azure SQL.

Nová výstraha v defenderu pro Key Vault

Defender for Key Vault má následující nové upozornění:

Výstraha (typ výstrahy) Popis Taktika MITRE Závažnost
Odepření přístupu z podezřelé IP adresy k trezoru klíčů
(KV_SuspiciousIPAccessDenied)		 Neúspěšný přístup k trezoru klíčů se pokusil ip adresa identifikovaná službou Microsoft Threat Intelligence jako podezřelá IP adresa. I když byl tento pokus neúspěšný, znamená to, že vaše infrastruktura mohla být ohrožena. Doporučujeme provést další šetření. Přístup k přihlašovacím údajům Nízká

Zobrazí se seznam všech výstrah dostupných pro Key Vault.

2023. únor

Aktualizace v únoru zahrnují:

Enhanced Cloud Security Explorer

Vylepšená verze Průzkumníka zabezpečení cloudu zahrnuje aktualizované uživatelské prostředí, které výrazně odstraňuje tření dotazů, přidala možnost spouštět vícecloudové a vícefaktorové dotazy a vloženou dokumentaci pro každou možnost dotazu.

Průzkumník cloudových zabezpečení teď umožňuje spouštět dotazy abstrahované v cloudu napříč prostředky. Můžete použít předem připravené šablony dotazů nebo použít vlastní vyhledávání k vytvoření dotazu filtry. Zjistěte , jak spravovat Průzkumníka zabezpečení cloudu.

Kontrola ohrožení zabezpečení defenderu for Containers při spouštění imagí Linuxu je teď obecně dostupná.

Defender for Containers detekuje ohrožení zabezpečení ve spuštěných kontejnerech. Podporují se kontejnery pro Windows i Linux.

V srpnu 2022 byla tato funkce vydána ve verzi Preview pro Windows a Linux. Teď ji vydáváme pro obecnou dostupnost (GA) pro Linux.

Když se zjistí ohrožení zabezpečení, Defender for Cloud vygeneruje následující doporučení zabezpečení se seznamem zjištění kontroly: Spuštění imagí kontejnerů by mělo mít vyřešená zjištění ohrožení zabezpečení.

Přečtěte si další informace o zobrazení ohrožení zabezpečení pro spouštění imagí.

Oznámení podpory standardu dodržování předpisů AWS CIS 1.5.0

Defender for Cloud teď podporuje standard dodržování předpisů CIS Amazon Web Services Foundations v1.5.0. Standard je možné přidat na řídicí panel dodržování právních předpisů a staví na stávajících nabídkách MDC pro doporučení a standardy pro vícecloudové prostředí.

Tento nový standard zahrnuje stávající i nová doporučení, která rozšiřují pokrytí Defenderu pro cloud na nové služby a prostředky AWS.

Naučte se spravovat posouzení a standardy AWS.

Microsoft Defender for DevOps (Preview) je nyní k dispozici v jiných oblastech.

Microsoft Defender for DevOps rozšířil svou verzi Preview a je nyní k dispozici v oblastech Západní Evropa a Východní Austrálie, když nasadíte prostředky Azure DevOps a GitHubu.

Přečtěte si další informace o programu Microsoft Defender for DevOps.

Předdefinované zásady [Preview]: Privátní koncový bod by měl být nakonfigurovaný pro službu Key Vault je zastaralý.

Předdefinované zásady [Preview]: Private endpoint should be configured for Key Vault jsou zastaralé a nahrazené [Preview]: Azure Key Vaults should use private link zásadami.

Přečtěte si další informace o integraci služby Azure Key Vault se službou Azure Policy.

Leden 2023

Aktualizace v lednu zahrnují:

Komponenta Endpoint Protection (Microsoft Defender for Endpoint) je teď přístupná na stránce Nastavení a monitorování.

Pokud chcete získat přístup ke službě Endpoint Protection, přejděte do plánů> Defenderu nastavení>prostředí Nastavení a monitorování. Tady můžete nastavit ochranu koncového bodu na Zapnuto. Můžete také zobrazit další spravované komponenty.

Přečtěte si další informace o povolení Microsoft Defenderu for Endpoint na vašich serverech pomocí defenderu for Servers.

Nová verze doporučení pro vyhledání chybějících aktualizací systému (Preview)

Už nepotřebujete agenta na virtuálních počítačích Azure a počítačích Azure Arc, abyste měli jistotu, že mají všechny nejnovější aktualizace zabezpečení nebo důležitého systému.

Doporučení nových aktualizací System updates should be installed on your machines (powered by Azure Update Manager) systému v ovládacím Apply system updates prvku vychází z Update Manageru (Preview). Doporučení spoléhá na nativního agenta vloženého do každého virtuálního počítače Azure a počítačů Azure Arc místo nainstalovaného agenta. Rychlá oprava v novém doporučení vás povede k jednorázové instalaci chybějících aktualizací na portálu Update Manager.

Pokud chcete nové doporučení použít, musíte:

  • Připojení počítačů mimo Azure do Arc
  • Zapněte vlastnost pravidelného hodnocení. Doporučení můžete opravit pomocí rychlé opravy v novém doporučení Machines should be configured to periodically check for missing system updates .

Stávající doporučení "Aktualizace systému by se měly nainstalovat na vaše počítače", které závisí na agentu Log Analytics, je stále dostupné pod stejným řízením.

Vyčištění odstraněných počítačů Azure Arc v připojených účtech AWS a GCP

Počítač připojený k účtu AWS a GCP, který je pokryt programem Defender pro servery nebo Defender pro SQL na počítačích, je reprezentován v defenderu pro cloud jako počítač Azure Arc. Doteď se tento počítač neodstranil z inventáře, když byl počítač odstraněn z účtu AWS nebo GCP. To vede k zbytečným prostředkům Azure Arc, které zůstaly v defenderu pro cloud, které představují odstraněné počítače.

Defender for Cloud teď automaticky odstraní počítače Azure Arc, když se tyto počítače odstraní v připojeném účtu AWS nebo GCP.

Povolení průběžného exportu do služby Event Hubs za bránou firewall

Teď můžete povolit průběžný export výstrah a doporučení jako důvěryhodnou službu do služby Event Hubs, které jsou chráněné bránou firewall Azure.

Průběžný export můžete povolit při generování výstrah nebo doporučení. Můžete také definovat plán pro odesílání pravidelných snímků všech nových dat.

Zjistěte, jak povolit průběžný export do služby Event Hubs za bránou firewall Azure.

Název ovládacího prvku Bezpečnostní skóre Ochrana aplikací pomocí pokročilých síťových řešení Azure se změní.

Řízení Protect your applications with Azure advanced networking solutions skóre zabezpečení se změní na Protect applications against DDoS attacks.

Aktualizovaný název se projeví v Azure Resource Graphu (ARG), rozhraní API pro bezpečnostní skóre a Download CSV reportrozhraní API .

Nastavení posouzení ohrožení zabezpečení zásad pro SQL Server by měla obsahovat e-mailovou adresu pro příjem sestav kontroly, která je zastaralá.

Zásada Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports je zastaralá.

E-mailová sestava posouzení ohrožení zabezpečení Defenderu pro SQL je stále dostupná a stávající konfigurace e-mailu se nezměnily.

Doporučení k povolení diagnostických protokolů pro škálovací sady virtuálních počítačů je zastaralé

Doporučení Diagnostic logs in Virtual Machine Scale Sets should be enabled je zastaralé.

Definice souvisejících zásad byla také vyřazena ze všech standardů zobrazených na řídicím panelu dodržování právních předpisů.

Doporučení Popis Závažnost
Diagnostické protokoly ve škálovacích sadách virtuálních počítačů by měly být povolené. Povolte protokoly a zachovejte je až na rok, abyste mohli znovu vytvořit záznamy aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. Nízká

Prosinec 2022

Aktualizace v prosinci zahrnují:

Oznámení expresní konfigurace pro posouzení ohrožení zabezpečení v defenderu pro SQL

Expresní konfigurace posouzení ohrožení zabezpečení v Programu Microsoft Defender pro SQL poskytuje týmům zabezpečení zjednodušené prostředí konfigurace ve službě Azure SQL Database a vyhrazených fondech SQL mimo pracovní prostory Synapse.

Díky expresní konfiguraci posouzení ohrožení zabezpečení můžou bezpečnostní týmy:

  • Dokončete konfiguraci posouzení ohrožení zabezpečení v konfiguraci zabezpečení prostředku SQL bez dalších nastavení nebo závislostí na účtech úložiště spravovaných zákazníkem.
  • Okamžitě přidejte výsledky kontroly do směrných plánů, aby se stav hledání změn z stavu Není v pořádku na V pořádku bez opětovného prohledání databáze.
  • Přidejte více pravidel do směrných plánů najednou a použijte nejnovější výsledky kontroly.
  • Povolte posouzení ohrožení zabezpečení pro všechny servery Azure SQL, když zapnete Microsoft Defender pro databáze na úrovni předplatného.

Přečtěte si další informace o posouzení ohrožení zabezpečení Defenderu pro SQL.

Listopad 2022

Aktualizace v listopadu zahrnují:

Ochrana kontejnerů v organizaci GCP pomocí defenderu for Containers

Teď můžete povolit Defender for Containers pro vaše prostředí GCP a chránit standardní clustery GKE v celé organizaci GCP. Stačí vytvořit nový konektor GCP s povoleným Defenderem pro kontejnery nebo povolit Defender for Containers na stávajícím konektoru GCP na úrovni organizace.

Přečtěte si další informace o propojení projektů GCP a organizací s programem Defender for Cloud.

Ověření ochrany Defenderu pro kontejnery s ukázkovými upozorněními

Teď můžete vytvořit ukázková upozornění také pro plán Defender for Containers. Nová ukázková upozornění se zobrazují jako clustery AKS, clustery připojené ke službě Arc, EKS a GKE s různými závažnostmi a taktikou MITRE. Ukázková upozornění můžete použít k ověření konfigurací výstrah zabezpečení, jako jsou integrace SIEM, automatizace pracovních postupů a e-mailová oznámení.

Přečtěte si další informace o ověřování upozornění.

Pravidla zásad správného řízení ve velkém měřítku (Preview)

S radostí oznamujeme novou možnost používat pravidla zásad správného řízení ve velkém měřítku (Preview) v defenderu pro cloud.

Díky tomuto novému prostředí můžou týmy zabezpečení hromadně definovat pravidla zásad správného řízení pro různé obory (předplatná a konektory). Týmy zabezpečení můžou tuto úlohu provést pomocí oborů správy, jako jsou skupiny pro správu Azure, účty nejvyšší úrovně AWS nebo organizace GCP.

Stránka Pravidla zásad správného řízení (Preview) navíc obsahuje všechna dostupná pravidla zásad správného řízení, která jsou platná v prostředích organizace.

Přečtěte si další informace o nových pravidlech zásad správného řízení ve velkém měřítku.

Poznámka:

Od 1. ledna 2023 musíte mít ve svém předplatném nebo konektoru povolený plán CSPM v programu Defender.

Možnost vytvářet vlastní posouzení v AWS a GCP (Preview) je zastaralá.

Možnost vytvářet vlastní hodnocení pro účty AWS a projekty GCP, což byla funkce Preview, je zastaralá.

Doporučení ke konfiguracifrontch

Doporučení Lambda functions should have a dead-letter queue configured je zastaralé.

Doporučení Popis Závažnost
Funkce lambda by měly mít nakonfigurovanou frontu nedoručených zpráv. Tento ovládací prvek zkontroluje, jestli je funkce Lambda nakonfigurovaná s frontou nedoručených zpráv. Pokud není funkce Lambda nakonfigurovaná s frontou nedoručených zpráv, ovládací prvek selže. Jako alternativu k cíli při selhání můžete funkci nakonfigurovat s frontou nedoručených zpráv, která ukládá zahozené události pro další zpracování. Fronta nedoručených zpráv funguje stejně jako cíl selhání. Používá se, když událost selže všechny pokusy o zpracování nebo vyprší bez zpracování. Fronta nedoručených zpráv umožňuje podívat se na chyby nebo neúspěšné požadavky na funkci Lambda za účelem ladění nebo identifikace neobvyklého chování. Z hlediska zabezpečení je důležité pochopit, proč vaše funkce selhala, a zajistit, aby vaše funkce v důsledku toho nezahazovala data ani neohrožovala zabezpečení dat. Pokud například vaše funkce nemůže komunikovat s podkladovým prostředkem, který může být příznakem útoku doS (DoS) jinde v síti. Střední

Říjen 2022

Aktualizace v říjnu:

Oznámení srovnávacího testu zabezpečení cloudu Microsoftu

Srovnávací test zabezpečení cloudu Microsoftu (MCSB) je nová architektura definující základní principy zabezpečení cloudu založené na běžných oborových standardech a architekturách dodržování předpisů. Spolu s podrobnými technickými pokyny pro implementaci těchto osvědčených postupů napříč cloudovými platformami. MCSB nahrazuje srovnávací test zabezpečení Azure. MCSB poskytuje podrobné podrobnosti o tom, jak implementovat doporučení týkající se zabezpečení nezávislé na cloudu na několika platformách cloudových služeb, které zpočátku pokrývají Azure a AWS.

Stav dodržování předpisů zabezpečení cloudu teď můžete monitorovat na jednom integrovaném řídicím panelu. McSB můžete vidět jako výchozí standard dodržování předpisů, když přejdete na řídicí panel dodržování právních předpisů v Programu Defender for Cloud.

Srovnávací test zabezpečení cloudu Microsoftu se automaticky přiřadí k vašim předplatným Azure a účtům AWS při onboardingu Defenderu pro cloud.

Přečtěte si další informace o srovnávacím testu zabezpečení cloudu Microsoftu.

Analýza cesty útoku a kontextové možnosti zabezpečení v defenderu pro cloud (Preview)

Nový graf zabezpečení cloudu, analýza cest útoku a kontextové možnosti zabezpečení cloudu jsou teď k dispozici v defenderu pro cloud ve verzi Preview.

Jedním z největších problémů, kterým dnes čelí bezpečnostní týmy, je počet bezpečnostních problémů, kterým čelí každý den. Existuje mnoho problémů se zabezpečením, které je potřeba vyřešit, a nikdy dostatek prostředků k jejich řešení.

Nové možnosti analýzy cest zabezpečení cloudu v defenderu for Cloud poskytují týmům zabezpečení možnost vyhodnotit riziko za jednotlivými problémy zabezpečení. Týmy zabezpečení také můžou identifikovat nejvyšší rizikové problémy, které je potřeba vyřešit co nejdříve. Defender for Cloud spolupracuje s bezpečnostními týmy, aby co nejefektivnějším způsobem snížil riziko ovlivněného porušení zabezpečení prostředí.

Přečtěte si další informace o novém grafu zabezpečení cloudu, analýze cest útoku a Průzkumníku zabezpečení cloudu.

Kontrola počítačů Azure a AWS bez agentů (Preview)

Doteď defender for Cloud na základě posouzení stavu virtuálních počítačů na řešeních založených na agentech. Abychom zákazníkům pomohli maximalizovat pokrytí a snížit zatížení při onboardingu a správě, vydáváme kontrolu bez agentů pro virtuální počítače ve verzi Preview.

Díky prohledávání virtuálních počítačů bez agentů získáte široký přehled o nainstalovaných softwarových a softwarových cves. Získáte přehled bez problémů s instalací a údržbou agenta, požadavky na připojení k síti a vlivem na výkon vašich úloh. Analýza je založená na Microsoft Defender Správa zranitelností.

Kontrola ohrožení zabezpečení bez agentů je k dispozici v programu Defender Cloud Security Management (CSPM) i v programu Defender for Servers P2 s nativní podporou AWS a virtuálních počítačů Azure.

  • Přečtěte si další informace o kontrole bez agentů.
  • Zjistěte, jak povolit posouzení ohrožení zabezpečení bez agentů.

Defender for DevOps (Preview)

Microsoft Defender pro cloud umožňuje komplexní viditelnost, správu stavu a ochranu před hrozbami napříč hybridními a multicloudovými prostředími, včetně Azure, AWS, Googlu a místních prostředků.

Nový plán Defender for DevOps teď integruje systémy správy zdrojového kódu, jako je GitHub a Azure DevOps, do Defenderu pro cloud. Díky této nové integraci umožňujeme týmům zabezpečení chránit své prostředky před kódem do cloudu.

Defender for DevOps umožňuje získat přehled o propojených vývojářských prostředích a prostředcích kódu a spravovat je. V současné době můžete připojit systémy Azure DevOps a GitHub k Defenderu for Cloud a připojit úložiště DevOps k Inventáři a nové stránce zabezpečení DevOps. Poskytuje týmům zabezpečení základní přehled zjištěných problémů zabezpečení, které v nich existují, na sjednocené stránce zabezpečení DevOps.

U žádostí o přijetí změn můžete nakonfigurovat poznámky, které vývojářům pomůžou řešit zjištění kontroly tajných kódů v Azure DevOps přímo na jejich žádostech o přijetí změn.

Nástroje Microsoft Security DevOps můžete nakonfigurovat v pracovních postupech Azure Pipelines a GitHubu, abyste povolili následující kontroly zabezpečení:

Název Jazyk Licence
Bandita Python Apache License 2.0
BinSkim Binary – Windows, ELF Licence MIT
ESlint JavaScript Licence MIT
CredScan (pouze Azure DevOps) Credential Scanner (označovaný také jako CredScan) je nástroj vyvinutý a udržovaný Microsoftem k identifikaci nevracení přihlašovacích údajů, jako jsou ty ve zdrojovém kódu a běžných typech konfiguračních souborů: výchozí hesla, sql připojovací řetězec s, certifikáty s privátními klíči. Není open source
Analýza šablony Šablona ARM, soubor Bicep Licence MIT
Terrascan Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, cloudová tvorba Apache License 2.0
Trivy Image kontejnerů, systémy souborů, úložiště Git Apache License 2.0

Pro DevOps jsou teď k dispozici následující nová doporučení:

Doporučení Popis Závažnost
(Preview) Úložiště kódu by měla mít vyřešená zjištění kontroly kódu. Defender for DevOps zjistil ohrožení zabezpečení v úložištích kódu. Pokud chcete zlepšit stav zabezpečení úložišť, důrazně doporučujeme tyto chyby zabezpečení napravit. (Žádné související zásady) Střední
(Preview) Úložiště kódu by měla mít vyřešená zjištění kontroly tajných kódů. Defender for DevOps našel tajný kód v úložištích kódu.  Mělo by se to napravit okamžitě, aby se zabránilo narušení zabezpečení.  Tajné kódy nalezené v úložištích můžou být únikem nebo zjištěním nežádoucími osobami, což vede k ohrožení aplikace nebo služby. V případě Azure DevOps nástroj Microsoft Security DevOps CredScan kontroluje pouze sestavení, na kterých je nakonfigurovaná ke spuštění. Výsledky proto nemusí odrážet úplný stav tajných kódů ve vašich úložištích. (Žádné související zásady) Vysoká
(Preview) Úložiště kódu by měla mít vyřešené zjištění kontroly Dependabotu. Defender for DevOps zjistil ohrožení zabezpečení v úložištích kódu. Pokud chcete zlepšit stav zabezpečení úložišť, důrazně doporučujeme tyto chyby zabezpečení napravit. (Žádné související zásady) Střední
(Preview) Úložiště kódu by měla mít infrastrukturu, protože zjištěná zjištění kontroly kódu (Preview) Úložiště kódu by měla mít infrastrukturu, protože zjištěná zjištění kontroly kódu Střední
(Preview) Úložiště GitHubu by měla mít povolenou kontrolu kódu. GitHub pomocí prohledávání kódu analyzuje kód, aby v kódu zjistil ohrožení zabezpečení a chyby. Kontrolu kódu je možné použít k vyhledání, třídění a určení priorit oprav stávajících problémů v kódu. Kontrola kódu může také zabránit vývojářům v zavedení nových problémů. Kontroly je možné naplánovat na konkrétní dny a časy nebo se můžou aktivovat kontroly, když v úložišti dojde k určité události, jako je například nabízení. Pokud kontrola kódu najde potenciální ohrožení zabezpečení nebo chybu v kódu, GitHub zobrazí v úložišti upozornění. Ohrožení zabezpečení je problém v kódu projektu, který by mohl být zneužit k poškození důvěrnosti, integrity nebo dostupnosti projektu. (Žádné související zásady) Střední
(Preview) Úložiště GitHubu by měla mít povolenou kontrolu tajných kódů. GitHub prohledává úložiště známých typů tajných kódů, aby se zabránilo podvodnému použití tajných kódů, které byly omylem potvrzeny do úložišť. Kontrola tajných kódů zkontroluje celou historii Gitu na všech větvích, které jsou v úložišti GitHubu, a zobrazí všechny tajné kódy. Příklady tajných kódů jsou tokeny a privátní klíče, které může poskytovatel služeb vydávat za účely ověřování. Pokud je tajný kód vrácený do úložiště, může každý, kdo má k úložišti přístup pro čtení, použít tajný kód pro přístup k externí službě s těmito oprávněními. Tajné kódy by měly být uložené ve vyhrazeném zabezpečeném umístění mimo úložiště projektu. (Žádné související zásady) Vysoká
(Preview) Úložiště GitHubu by měla mít povolenou kontrolu Dependabot. GitHub odesílá upozornění Dependabota, když detekuje ohrožení zabezpečení v závislostech kódu, které ovlivňují úložiště. Ohrožení zabezpečení je problém v kódu projektu, který by mohl být zneužit k poškození důvěrnosti, integrity nebo dostupnosti projektu nebo jiných projektů, které používají jeho kód. Ohrožení zabezpečení se liší v typu, závažnosti a metodě útoku. Pokud kód závisí na balíčku, který má ohrožení zabezpečení, může tato ohrožená závislost způsobit celou řadu problémů. (Žádné související zásady) Střední

Doporučení defenderu pro DevOps nahradila zastaralou kontrolu ohrožení zabezpečení pro pracovní postupy CI/CD, které byly součástí defenderu for Containers.

Další informace o Defenderu pro DevOps

Řídicí panel dodržování právních předpisů teď podporuje správu ručního řízení a podrobné informace o stavu dodržování předpisů Microsoftu.

Řídicí panel pro dodržování předpisů v Defenderu for Cloud je klíčovým nástrojem pro zákazníky, který jim pomáhá pochopit a sledovat stav dodržování předpisů. Zákazníci můžou nepřetržitě monitorovat prostředí v souladu s požadavky z mnoha různých standardů a předpisů.

Stav dodržování předpisů teď můžete plně spravovat ručním testováním provozu a dalších kontrolních mechanismů. Pro kontroly, které nejsou automatizované, nyní můžete poskytnout důkaz o dodržování předpisů. Spolu s automatizovanými hodnoceními nyní můžete vygenerovat úplnou sestavu dodržování předpisů v rámci vybraného oboru, která se týká celého souboru kontrol pro daný standard.

Díky rozšířeným informacím o kontrolách a podrobným informacím a důkazu o stavu dodržování předpisů Microsoftu nyní navíc máte na dosah ruky všechny požadované informace pro účely auditu.

Mezi výhody patří:

  • Ruční akce zákazníka poskytují mechanismus pro ruční testování dodržování předpisů s neautomatizovanými ovládacími prvky. Včetně možnosti propojit důkazy, nastavte datum dodržování předpisů a datum vypršení platnosti.

  • Podrobnější informace o řízení podporovaných standardů, které ukazují akce Microsoftu a ruční akce zákazníků kromě již existujících automatizovaných akcí zákazníků.

  • Akce Microsoftu poskytují transparentní informace o stavu dodržování předpisů Microsoftu, které zahrnují postupy hodnocení v rámci auditu, výsledky testů a reakce Microsoftu na odchylky.

  • Nabídky dodržování předpisů poskytují centrální umístění pro kontrolu produktů Azure, Dynamics 365 a Power Platform a příslušných certifikací dodržování právních předpisů.

Přečtěte si další informace o tom, jak zlepšit dodržování právních předpisů s využitím Defenderu for Cloud.

Automatické zřizování se přejmenuje na Nastavení a monitorování a má aktualizované prostředí.

Přejmenovali jsme stránku automatického zřizování na Nastavení a monitorování.

Automatické zřizování bylo určeno k povolení požadavků ve velkém měřítku, které potřebuje Defender pro pokročilé funkce a možnosti cloudu. Pro lepší podporu našich rozšířených možností spouštíme nové prostředí s následujícími změnami:

Stránka plány Defenderu pro cloud teď obsahuje:

  • Když povolíte plán Defenderu, který vyžaduje monitorovací komponenty, budou tyto komponenty povolené pro automatické zřizování s výchozím nastavením. Tato nastavení je možné kdykoli upravit.
  • Na stránce plánu Defenderu můžete získat přístup k nastavení součástí monitorování pro každý plán Defenderu.
  • Stránka plány Defenderu jasně označuje, jestli jsou pro každý plán Defenderu zavedeny všechny komponenty monitorování, nebo jestli je pokrytí monitorování neúplné.

Stránka Nastavení a monitorování:

  • Každá komponenta monitorování označuje plány Defenderu, se kterými souvisí.

Přečtěte si další informace o správě nastavení monitorování.

Správa stavu zabezpečení cloudu v programu Defender (CSPM)

Jedním z hlavních pilířů Microsoft Defenderu pro cloud pro zabezpečení cloudu je správa stavu zabezpečení cloudu (CSPM). CSPM poskytuje pokyny k posílení zabezpečení, které vám pomůžou efektivně a efektivně zlepšit zabezpečení. CSPM vám také poskytne přehled o vaší aktuální situaci v oblasti zabezpečení.

Oznamujeme nový plán Defenderu: CSPM Defenderu. Tento plán vylepšuje možnosti zabezpečení defenderu pro cloud a zahrnuje následující nové a rozšířené funkce:

  • Průběžné posuzování konfigurace zabezpečení cloudových prostředků
  • Doporučení zabezpečení k opravě chybných konfigurací a slabých stránek
  • Bezpečnostní skóre
  • Řízení
  • Dodržování legislativní předpisů
  • Graf zabezpečení cloudu
  • Analýza cesty útoku
  • Kontrola počítačů bez agentů

Přečtěte si další informace o plánu CSPM v programu Defender.

Mapování architektury MITRE ATT&CK je nyní k dispozici také pro doporučení zabezpečení AWS a GCP.

U analytiků zabezpečení je důležité identifikovat potenciální rizika spojená s doporučeními zabezpečení a porozumět vektorům útoku, aby mohli efektivně určit prioritu svých úkolů.

Defender for Cloud usnadňuje stanovení priorit mapováním doporučení zabezpečení Azure, AWS a GCP na architekturu MITRE ATT&CK. Architektura MITRE ATT&CK je globálně přístupná znalostní báze nežádoucí taktiky a technik založených na skutečných pozorováních, což zákazníkům umožňuje posílit zabezpečenou konfiguraci jejich prostředí.

Architektura MITRE ATT&CK je integrovaná třemi způsoby:

  • Doporučení mapují taktiku a techniky MITRE ATT&CK.
  • Dotazování taktiky a technik MITRE ATT&CK na doporučení pomocí Azure Resource Graphu

Snímek obrazovky znázorňující, kde na webu Azure Portal existuje útok MITRE

Defender for Containers teď podporuje posouzení ohrožení zabezpečení pro Elastic Container Registry (Preview)

Microsoft Defender for Containers teď poskytuje kontrolu posouzení ohrožení zabezpečení bez agentů pro Elastic Container Registry (ECR) v Amazon AWS. Rozšíření pokrytí prostředí s více cloudy, které vychází z verze staršího roku rozšířené ochrany před hrozbami a posílení zabezpečení prostředí Kubernetes pro AWS a Google GCP. Model bez agentů vytvoří ve vašich účtech prostředky AWS, které budou prohledávat image bez extrahování imagí z účtů AWS a bez jakýchkoli nároků na vaši úlohu.

Kontrola posouzení ohrožení zabezpečení bez agentů pro image v úložištích ECR pomáhá snížit prostor pro útoky na kontejnerizovaná aktiva tím, že nepřetržitě kontroluje image za účelem identifikace a správy ohrožení zabezpečení kontejnerů. V této nové verzi Defender for Cloud prohledá image kontejnerů po jejich nasdílení do úložiště a průběžně znovu posoudí image kontejnerů ECR v registru. Tato zjištění jsou k dispozici v Programu Microsoft Defender for Cloud jako doporučení a pomocí integrovaných automatizovaných pracovních postupů v programu Defender for Cloud můžete na zjištěních provést akci, jako je například otevření lístku pro opravu ohrožení zabezpečení s vysokou závažností na obrázku.

Přečtěte si další informace o posouzení ohrožení zabezpečení pro image Amazon ECR.

2022. září

Aktualizace v září zahrnují:

Potlačení upozornění na základě entit kontejneru a Kubernetes

  • Obor názvů Kubernetes
  • Kubernetes Pod
  • Tajný kód Kubernetes
  • Kubernetes ServiceAccount
  • Sada replik Kubernetes
  • Stavová sada Kubernetes
  • Kubernetes DaemonSet
  • Úloha Kubernetes
  • Kubernetes CronJob

Přečtěte si další informace o pravidlech potlačení upozornění.

Defender pro servery podporuje monitorování integrity souborů pomocí agenta Služby Azure Monitor.

Monitorování integrity souborů (FIM) zkoumá soubory operačního systému a registry změn, které můžou značí útok.

FIM je teď k dispozici v nové verzi na základě agenta služby Azure Monitor (AMA), který můžete nasadit prostřednictvím defenderu pro cloud.

Přečtěte si další informace o monitorování integrity souborů pomocí agenta služby Azure Monitor.

Vyřazení starších rozhraní API pro posouzení

Následující rozhraní API jsou zastaralá:

  • Úlohy zabezpečení
  • Stavy zabezpečení
  • Souhrny zabezpečení

Tato tři rozhraní API odhalila staré formáty posouzení a nahrazují se rozhraními API pro posouzení a rozhraními API dílčích posouzení. Všechna data vystavená těmito staršími rozhraními API jsou také k dispozici v nových rozhraních API.

Přidání dalších doporučení k identitě

Doporučení defenderu pro cloud pro zlepšení správy uživatelů a účtů

Nová doporučení

Nová verze obsahuje následující funkce:

  • Rozšířený rozsah vyhodnocení – Pokrytí je vylepšené pro účty identit bez vícefaktorového ověřování a externích účtů na prostředcích Azure (místo jenom předplatných), což správcům zabezpečení umožňuje zobrazit přiřazení rolí na účet.

  • Vylepšený interval aktuálnosti – Doporučení identit teď mají interval aktuálnosti 12 hodin.

  • Funkce výjimky z účtu – Defender for Cloud má mnoho funkcí, které můžete použít k přizpůsobení prostředí a zajištění toho, aby vaše bezpečnostní skóre odráželo priority zabezpečení vaší organizace. Můžete například vyloučit prostředky a doporučení ze skóre zabezpečení.

    Tato aktualizace umožňuje vyloučit konkrétní účty z vyhodnocení se šesti doporučeními uvedenými v následující tabulce.

    Obvykle byste z doporučení vícefaktorového ověřování vyloučili účty pro nouzové přerušení, protože tyto účty jsou často záměrně vyloučené z požadavků organizace na vícefaktorové ověřování. Případně můžete mít externí účty, ke kterým chcete povolit přístup, které nemají povolené vícefaktorové ověřování.

    Tip

    Když účet vyjmete, nezobrazí se jako v pořádku a také nezpůsobí, že předplatné není v pořádku.

    Doporučení Klíč posouzení
    Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování 6240402e-f77c-46fa-9060-a7ce53997754
    Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. c0cb17b2-0607-48a7-b0e0-903ed22de39b
    Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
    Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. 20606e75-05c4-48c0-9d97-add6daa2109a
    Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
    Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
    Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. 050ac097-3dda-4d24-ab6d-82568e7a50cf
    Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat. 1ff0b4c9-ed56-4de6-be9c-d7ab39645926

Doporučení, i když jsou ve verzi Preview, se zobrazí vedle doporučení, která jsou aktuálně ve verzi GA.

Odebrání výstrah zabezpečení pro počítače, které se hlásí do pracovních prostorů Log Analytics napříč tenanty

V minulosti vám Defender for Cloud umožnil zvolit pracovní prostor, do kterého se budou agenti Log Analytics hlásit. Když počítač patří jednomu tenantovi (tenantovi A), ale jeho agent Log Analytics hlášený do pracovního prostoru v jiném tenantovi (tenant B), výstrahy zabezpečení o počítači byly nahlášeny prvnímu tenantovi (tenant A).

Díky této změně se upozornění na počítače připojené k pracovnímu prostoru služby Log Analytics v jiném tenantovi už nezobrazují v defenderu pro cloud.

Pokud chcete pokračovat v přijímání upozornění v Defenderu pro cloud, připojte agenta Log Analytics příslušných počítačů k pracovnímu prostoru ve stejném tenantovi jako počítač.

Přečtěte si další informace o výstrahách zabezpečení.

Srpen 2022

Aktualizace v srpnu:

V programu Defender for Containers ve vašich kontejnerech Windows jsou teď viditelná ohrožení zabezpečení pro spouštění imagí.

Defender for Containers teď zobrazuje chyby zabezpečení pro spouštění kontejnerů Windows.

Když se zjistí ohrožení zabezpečení, Defender for Cloud vygeneruje následující doporučení zabezpečení se seznamem zjištěných problémů: Spuštění imagí kontejnerů by mělo mít vyřešená zjištění ohrožení zabezpečení.

Přečtěte si další informace o zobrazení ohrožení zabezpečení pro spouštění imagí.

Integrace agenta služby Azure Monitor teď ve verzi Preview

Defender for Cloud teď zahrnuje podporu preview agenta služby Azure Monitor (AMA). AMA je určen k nahrazení starší verze agenta Log Analytics (označovaného také jako agent Microsoft Monitoring Agent (MMA), který je na cestě k vyřazení. AMA poskytuje mnoho výhod oproti starším agentům.

Když v defenderu pro cloud povolíte automatické zřizování pro AMA, agent se nasadí na existující a nové virtuální počítače a počítače s podporou Azure Arc, které se detekují ve vašich předplatných. Pokud jsou povolené plány Defenderu pro cloud, AMA shromažďuje informace o konfiguraci a protokoly událostí z virtuálních počítačů Azure a počítačů Azure Arc. Integrace AMA je ve verzi Preview, takže ji doporučujeme používat v testovacích prostředích, nikoli v produkčních prostředích.

Následující tabulka uvádí upozornění, která jsou zastaralá:

Název upozornění Popis Taktika Závažnost
Zjištěná operace sestavení Dockeru na uzlu Kubernetes
(VM_ImageBuildOnNode)		 Protokoly počítačů označují operaci sestavení image kontejneru na uzlu Kubernetes. I když toto chování může být legitimní, útočníci můžou místně vytvářet škodlivé image, aby se vyhnuli detekci. Obrana před únikem Nízká
Podezřelý požadavek na rozhraní Kubernetes API
(VM_KubernetesAPI)		 Protokoly počítačů indikují, že se do rozhraní Kubernetes API provedl podezřelý požadavek. Požadavek byl odeslán z uzlu Kubernetes, pravděpodobně z jednoho z kontejnerů spuštěných v uzlu. I když toto chování může být záměrné, může to znamenat, že uzel spouští ohrožený kontejner. LateralMovement Střední
Server SSH běží v kontejneru.
(VM_ContainerSSH)		 Protokoly počítačů označují, že server SSH běží v kontejneru Dockeru. I když toto chování může být záměrné, často značí, že kontejner je chybně nakonfigurovaný nebo porušený. Provádění Střední

Tato upozornění slouží k upozorňování uživatele na podezřelou aktivitu připojenou ke clusteru Kubernetes. Výstrahy budou nahrazeny odpovídajícími výstrahami, které jsou součástí upozornění microsoft Defenderu pro cloudový kontejner (K8S.NODE_ImageBuildOnNodeK8S.NODE_ KubernetesAPIaK8S.NODE_ ContainerSSH), které poskytují lepší věrnost a komplexní kontext pro zkoumání a práci s upozorněními. Přečtěte si další informace o upozorněních pro clustery Kubernetes.

Ohrožení zabezpečení kontejnerů teď obsahují podrobné informace o balíčku.

Posouzení ohrožení zabezpečení v programu Defender for Container (VA) teď obsahuje podrobné informace o balíčku pro každé hledání, včetně názvu balíčku, typu balíčku, cesty, nainstalované verze a opravené verze. Informace o balíčku vám umožní najít ohrožené balíčky, abyste mohli opravit ohrožení zabezpečení nebo balíček odebrat.

Tyto podrobné informace o balíčku jsou k dispozici pro nové kontroly obrázků.

Snímek obrazovky s informacemi o balíčku pro ohrožení zabezpečení kontejneru

Červenec 2022

Aktualizace v červenci:

Obecná dostupnost agenta zabezpečení nativního pro cloud pro ochranu modulu runtime Kubernetes

S radostí sdílíme, že agent zabezpečení nativní pro cloud pro ochranu modulu runtime Kubernetes je teď obecně dostupný (GA)!

Produkční nasazení clusterů Kubernetes stále roste, protože zákazníci budou nadále kontejnerizovat své aplikace. Kvůli tomuto růstu vyvinul tým Defenderu for Containers cloudový agent zabezpečení orientovaného na Kubernetes.

Nový agent zabezpečení je daemonSet Kubernetes založený na technologii eBPF a je plně integrovaný do clusterů AKS jako součást profilu zabezpečení AKS.

Povolení agenta zabezpečení je dostupné prostřednictvím automatického zřizování, toku doporučení, poskytovatele prostředků AKS nebo ve velkém měřítku pomocí služby Azure Policy.

Agenta Defenderu můžete nasadit ještě dnes ve svých clusterech AKS.

Díky tomuto oznámení je teď obecně dostupná také ochrana za běhu – detekce hrozeb (úloha).

Přečtěte si další informace o dostupnosti funkcí Defenderu pro kontejner.

Můžete také zkontrolovat všechna dostupná upozornění.

Poznámka: Pokud používáte verzi Preview, AKS-AzureDefender příznak funkce se už nevyžaduje.

Defender for Container's VA přidává podporu pro detekci balíčků specifických pro jazyk (Preview)

Defender for Container's Vulnerability Assessment (VA) dokáže detekovat ohrožení zabezpečení v balíčcích operačního systému nasazených prostřednictvím správce balíčků operačního systému. Teď jsme rozšířili možnosti posouzení ohrožení zabezpečení, která jsou součástí balíčků specifických pro jazyk.

Tato funkce je ve verzi Preview a je dostupná jenom pro image Linuxu.

Pokud chcete zobrazit všechny přidané balíčky specifické pro jazyk, podívejte se na úplný seznam funkcí a jejich dostupnosti v programu Defender for Container.

Ochrana před ohrožením zabezpečení infrastruktury provozní správy CVE-2022-29149

Infrastruktura OMI (Operations Management Infrastructure) je kolekce cloudových služeb pro správu místních a cloudových prostředí z jednoho místa. Místo nasazení a správy místních prostředků jsou komponenty OMI hostované výhradně v Azure.

Log Analytics integrovaná se službou Azure HDInsight s OMI verze 13 vyžaduje opravu k nápravě CVE-2022-29149. Projděte si sestavu o této chybě zabezpečení v průvodci aktualizací zabezpečení společnosti Microsoft, kde najdete informace o tom, jak identifikovat prostředky ovlivněné tímto postupem ohrožení zabezpečení a nápravy.

Pokud máte v programu Defender for Servers povolené posouzení ohrožení zabezpečení, můžete pomocí tohoto sešitu identifikovat ovlivněné prostředky.

Integrace se správou oprávnění Entra

Defender for Cloud je integrovaný s Správa oprávnění Microsoft Entra, řešením pro správu nároků na cloudovou infrastrukturu (CIEM), které poskytuje komplexní přehled a kontrolu nad oprávněními pro jakoukoli identitu a jakýkoli prostředek v Azure, AWS a GCP.

Každé předplatné Azure, účet AWS a projekt GCP, které jste nasadíte, vám teď ukážou zobrazení indexu oprávnění creep (PCI).

Další informace o službě Entra Permission Management (dříve Cloudknox)

Doporučení služby Key Vault se změnila na audit

Účinek doporučení služby Key Vault, která jsou zde uvedená, se změnil na audit:

Název doporučení ID doporučení
Doba platnosti certifikátů uložených ve službě Azure Key Vault by neměla překročit 12 měsíců. fc84abc0-eee6-4758-8372-a7681965ca44
Tajné kódy řešení Key Vault by měly mít datum vypršení platnosti 14257785-9437-97fa-11ae-898cfb24302b
Klíče Key Vault by měly mít datum vypršení platnosti 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2

Vyřazení zásad aplikací API pro App Service

Následující zásady jsme zastaralí pro odpovídající zásady, které už existují pro zahrnutí aplikací API:

Zastaralá Změna na
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' App Service apps should have 'Client Certificates (Incoming client certificates)' enabled
Ensure that 'Python version' is the latest, if used as a part of the API app App Service apps that use Python should use the latest Python version'
CORS should not allow every resource to access your API App App Service apps should not have CORS configured to allow every resource to access your apps
Managed identity should be used in your API App App Service apps should use managed identity
Remote debugging should be turned off for API Apps App Service apps should have remote debugging turned off
Ensure that 'PHP version' is the latest, if used as a part of the API app App Service apps that use PHP should use the latest 'PHP version'
FTPS only should be required in your API App App Service apps should require FTPS only
Ensure that 'Java version' is the latest, if used as a part of the API app App Service apps that use Java should use the latest 'Java version'
Latest TLS version should be used in your API App App Service apps should use the latest TLS version

Červen 2022

Aktualizace v červnu zahrnují:

Obecná dostupnost (GA) pro Microsoft Defender pro Azure Cosmos DB

Microsoft Defender pro Azure Cosmos DB je teď obecně dostupný (GA) a podporuje typy účtů rozhraní SQL (Core) API.

Tato nová verze ga je součástí sady ochrany databáze v programu Microsoft Defender for Cloud, která zahrnuje různé typy databází SQL a MariaDB. Microsoft Defender for Azure Cosmos DB je nativní vrstva zabezpečení Azure, která zjišťuje pokusy o zneužití databází ve vašich účtech Azure Cosmos DB.

Když tento plán povolíte, budete upozorněni na potenciální injektáže SQL, známé špatné aktéry, vzory podezřelého přístupu a potenciální průzkumy vaší databáze prostřednictvím ohrožených identit nebo škodlivých insiderů.

Při zjištění potenciálně škodlivých aktivit se vygenerují výstrahy zabezpečení. Tyto výstrahy poskytují podrobnosti o podezřelé aktivitě spolu s příslušnými kroky šetření, akcemi nápravy a doporučeními zabezpečení.

Microsoft Defender pro Azure Cosmos DB nepřetržitě analyzuje stream telemetrie generovaný službami Azure Cosmos DB a kříží je s microsoft Threat Intelligence a behaviorálními modely za účelem zjištění podezřelých aktivit. Defender pro Azure Cosmos DB nemá přístup k datům účtu služby Azure Cosmos DB a nemá žádný vliv na výkon vaší databáze.

Přečtěte si další informace o programu Microsoft Defender pro Azure Cosmos DB.

Díky podpoře služby Azure Cosmos DB teď Defender for Cloud nabízí jednu z nejkomplexnějších nabídek ochrany úloh pro cloudové databáze. Týmy zabezpečení a vlastníci databází teď můžou mít centralizované prostředí pro správu zabezpečení databáze svých prostředí.

Zjistěte, jak povolit ochranu vašich databází.

Obecná dostupnost Defenderu pro SQL na počítačích pro prostředí AWS a GCP

Možnosti ochrany databází poskytované programem Microsoft Defender for Cloud přidaly podporu pro vaše SQL servery hostované v prostředích AWS nebo GCP.

Defender for SQL, podniky teď můžou chránit celá databázová aktiva hostovaná v Azure, AWS, GCP a místních počítačích.

Microsoft Defender for SQL poskytuje jednotné prostředí pro vícecloudové prostředí pro zobrazení doporučení zabezpečení, výstrah zabezpečení a zjištění posouzení ohrožení zabezpečení pro SQL server i podtržení operačního systému Windows.

Pomocí prostředí pro zprovoznění s více cloudy můžete povolit a vynutit ochranu databází pro sql servery běžící na AWS EC2, RDS Custom pro SQL Server a výpočetní modul GCP. Jakmile povolíte některý z těchto plánů, budou chráněné všechny podporované prostředky, které existují v rámci předplatného. Budou také chráněny budoucí prostředky vytvořené ve stejném předplatném.

Zjistěte, jak chránit a propojit prostředí AWS a vaši organizaci GCP s Microsoft Defenderem pro cloud.

Podpora implementace doporučení zabezpečení k vylepšení stavu zabezpečení

Dnešní rostoucí hrozby pro organizace rozšiřují limity bezpečnostních pracovníků, aby chránili své rozšiřující se úlohy. Týmy zabezpečení jsou vyzvány k implementaci ochrany definované v jejich zásadách zabezpečení.

Díky prostředí zásad správného řízení ve verzi Preview můžou týmy zabezpečení přiřadit k vlastníkům prostředků nápravu doporučení zabezpečení a vyžadovat plán nápravy. Můžou mít plnou transparentnost průběhu nápravy a dostávat oznámení, když jsou úkoly nadprůhledné.

Přečtěte si další informace o prostředí zásad správného řízení při řízení vaší organizace k nápravě problémů se zabezpečením s využitím zásad správného řízení doporučení.

Filtrování výstrah zabezpečení podle IP adresy

V mnoha případech útoků chcete sledovat výstrahy na základě IP adresy entity, která je součástí útoku. Až doteď se IP adresa zobrazila pouze v části Související entity v podokně s jedním upozorněním. Teď můžete výstrahy na stránce výstrah zabezpečení filtrovat, abyste viděli výstrahy související s IP adresou a mohli vyhledat konkrétní IP adresu.

Snímek obrazovky s filtrem pro I P adresu v Defenderu pro cloudové výstrahy

Upozornění podle skupiny prostředků

Možnost filtrovat, řadit a seskupovat podle skupiny prostředků se přidá na stránku Výstrahy zabezpečení.

Do mřížky výstrah se přidá sloupec skupiny prostředků.

Snímek obrazovky s nově přidanou sloupcem skupiny prostředků

Přidá se nový filtr, který umožňuje zobrazit všechna upozornění pro konkrétní skupiny prostředků.

Snímek obrazovky znázorňující filtr nové skupiny prostředků

Teď můžete také seskupit výstrahy podle skupiny prostředků a zobrazit tak všechna upozornění pro každou z vašich skupin prostředků.

Snímek obrazovky znázorňující, jak zobrazit upozornění, když jsou seskupené podle skupiny prostředků

Automatické zřízení sjednoceného řešení v programu Microsoft Defender for Endpoint

Doteď integrace s Microsoft Defenderem for Endpoint (MDE) zahrnovala automatickou instalaci nového sjednoceného řešení MDE pro počítače (předplatná Azure a konektory s více cloudy) s povoleným programem Defender for Servers Plan 1 a pro konektory s více cloudy s povoleným programem Defender for Servers Plan 2. Plán 2 pro předplatná Azure povolil jednotné řešení jenom pro počítače s Linuxem a servery s Windows 2019 a 2022. Windows servery 2012R2 a 2016 používaly starší řešení MDE závislé na agentovi Log Analytics.

Nové sjednocené řešení je teď dostupné pro všechny počítače v obou plánech, a to jak pro předplatná Azure, tak pro konektory s více cloudy. Pro předplatná Azure s plánem 2, která povolila integraci MDE po 20. červnu 2022, je jednotné řešení ve výchozím nastavení povolené pro všechny počítače s předplatnými Azure s programem Defender for Servers Plan 2 s integrací MDE před 20. červnem 2022 nyní možné povolit jednotnou instalaci řešení pro Windows servery 2012R2 a 2016 prostřednictvím vyhrazeného tlačítka na stránce Integrace:

Přečtěte si další informace o integraci MDE s Defenderem pro servery.

Vyřazení zásady "Aplikace API by měla být přístupná jenom přes PROTOKOL HTTPS".

Zásada API App should only be accessible over HTTPS je zastaralá. Tato zásada je nahrazena zásadou Web Application should only be accessible over HTTPS , která je přejmenována na App Service apps should only be accessible over HTTPS.

Další informace o definicích zásad pro službu Aplikace Azure najdete v tématu Předdefinované definice služby Azure Policy pro službu Aplikace Azure Service.

Nová upozornění služby Key Vault

Abychom rozšířili ochranu před hrozbami poskytovanou programem Microsoft Defender for Key Vault, přidali jsme dvě nová upozornění.

Tyto výstrahy vás informují o anomálii odepření přístupu, zjistí se pro všechny vaše trezory klíčů.

Výstraha (typ výstrahy) Popis Taktika MITRE Závažnost
Neobvyklý přístup odepřen – Uživatel přistupující k velkému objemu trezorů klíčů zamítl
(KV_DeniedAccountVolumeAnomaly)		 Uživatel nebo instanční objekt se v posledních 24 hodinách pokusil získat přístup k neobvyklým velkým objemům trezorů klíčů. Tento neobvyklý způsob přístupu může být legitimní aktivitou. I když byl tento pokus neúspěšný, mohlo by to být označení možného pokusu o získání přístupu k trezoru klíčů a tajných kódů obsažených v něm. Doporučujeme provést další šetření. Zjišťování Nízká
Neobvyklý přístup odepřen – Neobvyklý přístup uživatelů při přístupu k trezoru klíčů byl odepřen
(KV_UserAccessDeniedAnomaly)		 O přístup k trezoru klíčů se pokusil uživatel, který k němu obvykle nemá přístup, může to být neobvyklá přístupová aktivita. I když byl tento pokus neúspěšný, mohlo by to být označení možného pokusu o získání přístupu k trezoru klíčů a tajných kódů obsažených v něm. Počáteční přístup, zjišťování Nízká

Květen 2022

Aktualizace v květnu zahrnují:

Nastavení vícecloudového plánu Servery jsou nyní k dispozici na úrovni konektoru.

V programu Defender for Servers v multicloudu je teď k dispozici nastavení na úrovni konektoru.

Nové nastavení na úrovni konektoru poskytují členitost pro ceny a konfiguraci automatického zřizování na konektor nezávisle na předplatném.

Ve výchozím nastavení jsou povolené všechny komponenty automatického zřizování dostupné na úrovni konektoru (Posouzení ohrožení zabezpečení, MDE a Azure Arc) a nová konfigurace podporuje cenové úrovně Plan 1 i Plan 2.

Aktualizace v uživatelském rozhraní zahrnují odraz vybrané cenové úrovně a nakonfigurovaných požadovaných komponent.

Snímek obrazovky se stránkou hlavního plánu s nastavením plánu serveru s vícecloudovými nastaveními

Snímek obrazovky se stránkou automatického zřizování s povoleným konektorem pro více cloudů

Změny posouzení ohrožení zabezpečení

Defender for Containers teď zobrazuje ohrožení zabezpečení se střední a nízkou závažností, která se nedají opravit.

V rámci této aktualizace se teď zobrazují chyby zabezpečení se střední a nízkou závažností bez ohledu na to, jestli jsou k dispozici opravy. Tato aktualizace poskytuje maximální viditelnost, ale přesto umožňuje filtrovat nežádoucí ohrožení zabezpečení pomocí poskytnutého pravidla Zakázat.

Snímek obrazovky pro zakázání pravidla

Další informace o správa ohrožení zabezpečení

Přístup ZA běhu (JIT) pro virtuální počítače je teď k dispozici pro instance AWS EC2 (Preview).

Když připojíte účty AWS, JIT automaticky vyhodnotí konfiguraci sítě skupin zabezpečení vaší instance a doporučí, které instance potřebují ochranu pro vystavené porty pro správu. Podobá se tomu, jak JIT funguje s Azure. Když nasadíte nechráněné instance EC2, JIT zablokuje veřejný přístup k portům pro správu a otevře je jenom s autorizovanými žádostmi po omezenou dobu.

Zjistěte, jak JIT chrání vaše instance AWS EC2.

Přidání a odebrání senzoru Defenderu pro clustery AKS pomocí rozhraní příkazového řádku

Agent Defenderu pro kontejnery je nutný k zajištění ochrany za běhu a shromažďování signálů z uzlů. Teď můžete pomocí Azure CLI přidat a odebrat agenta Defenderu pro cluster AKS.

Poznámka:

Tato možnost je součástí Azure CLI 3.7 a vyšší.

Duben 2022

Aktualizace v dubnu patří:

Nový plán Defenderu pro servery

Microsoft Defender pro servery se teď nabízí ve dvou přírůstkových plánech:

  • Defender for Servers Plan 2, dříve Defender for Servers
  • Defender for Servers Plan 1 poskytuje podporu jenom pro Microsoft Defender for Endpoint.

I když Defender for Servers Plan 2 nadále poskytuje ochranu před hrozbami a ohroženími zabezpečení vašich cloudových a místních úloh, Defender for Servers Plan 1 poskytuje ochranu koncových bodů pouze s využitím nativně integrovaného defenderu pro koncový bod. Přečtěte si další informace o plánech Defender for Servers.

Pokud jste dosud používali Defender for Servers, nevyžaduje se žádná akce.

Kromě toho program Defender for Cloud také začíná postupně podporovat sjednoceného agenta Defenderu for Endpoint pro Windows Server 2012 R2 a 2016. Defender for Servers Plan 1 nasadí nového sjednoceného agenta do úloh Windows Serveru 2012 R2 a 2016.

Přemístění vlastních doporučení

Vlastní doporučení jsou vytvořená uživateli a nemají žádný vliv na bezpečnostní skóre. Vlastní doporučení se teď dají najít na kartě Všechna doporučení.

Pomocí nového filtru "typ doporučení" vyhledejte vlastní doporučení.

Další informace najdete v článku Vytváření vlastních iniciativ zabezpečení a zásad.

Skript PowerShellu pro streamování upozornění na Splunk a IBM QRadar

Ke exportu výstrah zabezpečení do Splunku a IBM QRadar doporučujeme použít Event Hubs a integrovaný konektor. Teď můžete pomocí skriptu PowerShellu nastavit prostředky Azure potřebné k exportu výstrah zabezpečení pro vaše předplatné nebo tenanta.

Stačí stáhnout a spustit powershellový skript. Po zadání několika podrobností o vašem prostředí skript nakonfiguruje prostředky za vás. Skript pak vytvoří výstup, který použijete na platformě SIEM k dokončení integrace.

Další informace najdete v tématu Upozornění služby Stream na Splunk a QRadar.

Doporučení Azure Cache for Redis je zastaralé.

Doporučení Azure Cache for Redis should reside within a virtual network (Preview) je zastaralé. Změnili jsme naše pokyny pro zabezpečení instancí Azure Cache for Redis. K omezení přístupu k instanci Azure Cache for Redis místo virtuální sítě doporučujeme použít privátní koncový bod.

Nová varianta upozornění pro Microsoft Defender for Storage (Preview) pro detekci ohrožení citlivých dat

Upozornění v programu Microsoft Defender for Storage vás upozorní, když se aktéři hrozeb pokusí zkontrolovat a zobrazit, úspěšně nebo ne, nesprávně nakonfigurované, veřejně otevřené kontejnery úložiště, aby se pokusili exfiltrovat citlivé informace.

Abychom umožnili rychlejší třídění a dobu odezvy, kdy mohlo dojít k exfiltraci potenciálně citlivých dat, vydali jsme novou variantu existující Publicly accessible storage containers have been exposed výstrahy.

Nová výstraha Publicly accessible storage containers with potentially sensitive data have been exposedse aktivuje s High úrovní závažnosti po úspěšném zjištění veřejně otevřených kontejnerů úložiště s názvy, které byly statisticky veřejně vystaveny, což naznačuje, že mohou uchovávat citlivé informace.

Výstraha (typ výstrahy) Popis Taktika MITRE Závažnost
PREVIEW – Veřejně přístupné kontejnery úložiště s potenciálně citlivými daty byly zpřístupněny.
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive)		 Někdo naskenoval váš účet služby Azure Storage a zveřejnil kontejnery, které umožňují veřejný přístup. Jeden nebo více vystavených kontejnerů má názvy, které označují, že mohou obsahovat citlivá data.

Obvykle to značí rekognoskaci aktérem hrozeb, který hledá chybně nakonfigurované veřejně přístupné kontejnery úložiště, které můžou obsahovat citlivá data.

Jakmile objekt actor hrozby úspěšně zjistí kontejner, může pokračovat tím, že data exfiltruje.
✔ Azure Blob Storage
✖ Soubory Azure
✖ Azure Data Lake Storage Gen2		 Kolekce Vysoká

Název upozornění kontroly kontejneru rozšířený o reputaci IP adres

Reputace IP adresy může znamenat, jestli aktivita kontroly pochází ze známého objektu actor hrozby, nebo od objektu actor, který ke skrytí identity používá síť Tor. Oba tyto indikátory naznačují, že existuje škodlivý záměr. Reputaci IP adresy poskytuje Microsoft Threat Intelligence.

Přidání reputace IP adresy k názvu výstrahy poskytuje způsob, jak rychle vyhodnotit záměr objektu actor, a tím závažnost hrozby.

Tyto informace budou obsahovat následující výstrahy:

  • Publicly accessible storage containers have been exposed

  • Publicly accessible storage containers with potentially sensitive data have been exposed

  • Publicly accessible storage containers have been scanned. No publicly accessible data was discovered

Přidané informace do názvu Publicly accessible storage containers have been exposed výstrahy budou vypadat například takto:

  • Publicly accessible storage containers have been exposedby a suspicious IP address

  • Publicly accessible storage containers have been exposedby a Tor exit node

Všechna upozornění pro Microsoft Defender for Storage budou dál obsahovat informace o analýze hrozeb v entitě IP v části Související entity výstrahy.

Prohlédněte si protokoly aktivit, které souvisejí s výstrahou zabezpečení.

V rámci akcí, které můžete provést k vyhodnocení výstrahy zabezpečení, najdete související protokoly platformy v kontextu Kontroly prostředků a získat kontext o ovlivněném prostředku. Microsoft Defender pro cloud identifikuje protokoly platformy, které jsou v jednom dni výstrahy.

Protokoly platformy vám můžou pomoct vyhodnotit bezpečnostní hrozbu a identifikovat kroky, které můžete provést ke zmírnění zjištěného rizika.

Březen 2022

Aktualizace v březnu zahrnují:

Globální dostupnost skóre zabezpečení pro prostředí AWS a GCP

Možnosti správy stavu zabezpečení cloudu poskytované programem Microsoft Defender for Cloud teď přidaly podporu pro vaše prostředí AWS a GCP v rámci vašeho skóre zabezpečení.

Podniky teď můžou zobrazit celkový stav zabezpečení v různých prostředích, jako jsou Azure, AWS a GCP.

Stránka Skóre zabezpečení je nahrazena řídicím panelem Stav zabezpečení. Řídicí panel Stav zabezpečení umožňuje zobrazit celkové kombinované skóre pro všechna vaše prostředí nebo rozpis stavu zabezpečení na základě libovolné kombinace vámi zvolených prostředí.

Stránka Doporučení byla také přepracována tak, aby poskytovala nové funkce, jako je například výběr cloudového prostředí, pokročilé filtry založené na obsahu (skupina prostředků, účet AWS, projekt GCP a další), vylepšené uživatelské rozhraní s nízkým rozlišením, podpora otevřených dotazů v grafu prostředků a další. Další informace o celkovém stavu zabezpečení a doporučeních zabezpečení.

Zastaralá doporučení pro instalaci agenta shromažďování dat síťového provozu

Změny v našem plánu a prioritách odstranily potřebu agenta shromažďování dat síťového provozu. Následující dvě doporučení a jejich související zásady byly zastaralé.

Doporučení Popis Závažnost
Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. Defender for Cloud používá agenta Microsoft Dependency Agent ke shromažďování dat síťového provozu z virtuálních počítačů Azure k povolení pokročilých funkcí ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. Střední
Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. Defender for Cloud používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure k povolení pokročilých funkcí ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. Střední

Defender for Containers teď může vyhledávat ohrožení zabezpečení v imagích Windows (Preview)

Kontrola imagí v programu Defender for Container teď podporuje image Windows hostované ve službě Azure Container Registry. Tato funkce je bezplatná ve verzi Preview a v případě, že bude obecně dostupná, bude se vám za ni účtují náklady.

Přečtěte si další informace v nástroji Microsoft Defender for Container ke kontrole ohrožení zabezpečení imagí.

Nové upozornění pro Microsoft Defender for Storage (Preview)

Abychom rozšířili ochranu před hrozbami poskytovanou programem Microsoft Defender for Storage, přidali jsme nové upozornění ve verzi Preview.

Aktéři hrozeb používají aplikace a nástroje ke zjišťování a přístupu k účtům úložiště. Microsoft Defender for Storage tyto aplikace a nástroje detekuje, abyste je mohli zablokovat a napravit stav.

Tato výstraha ve verzi Preview se volá Access from a suspicious application. Upozornění je relevantní jenom pro Azure Blob Storage a ADLS Gen2.

Výstraha (typ výstrahy) Popis Taktika MITRE Závažnost
PREVIEW – Přístup z podezřelé aplikace
(Storage.Blob_SuspiciousApp)		 Označuje, že podezřelá aplikace úspěšně získala přístup ke kontejneru účtu úložiště s ověřováním.
To může znamenat, že útočník získal přihlašovací údaje potřebné pro přístup k účtu a zneužije ho. Může to být také označení penetračního testu prováděného ve vaší organizaci.
Platí pro: Azure Blob Storage, Azure Data Lake Storage Gen2		 Počáteční přístup Střední

Konfigurace nastavení e-mailových oznámení z výstrahy

Do uživatelského rozhraní upozornění byla přidána nová část, která umožňuje zobrazit a upravit, kdo bude dostávat e-mailová oznámení pro výstrahy aktivované v aktuálním předplatném.

Snímek obrazovky s novým uživatelským rozhraním znázorňující, jak nakonfigurovat e-mailové oznámení

Zjistěte, jak nakonfigurovat e-mailová oznámení pro výstrahy zabezpečení.

Zastaralá výstraha ve verzi Preview: ARM MCAS_ActivityFromAnonymousIPAddresses

Následující výstraha ve verzi Preview je zastaralá:

Název upozornění Popis
PREVIEW – Aktivita z rizikové IP adresy
(ARM. MCAS_ActivityFromAnonymousIPAddresses)		 Byla zjištěna aktivita uživatelů z IP adresy, která byla identifikována jako ip adresa anonymního proxy serveru.
Tyto proxy servery používají lidé, kteří chtějí skrýt IP adresu svého zařízení a dají se použít ke škodlivému záměru. Tato detekce používá algoritmus strojového učení, který snižuje falešně pozitivní výsledky, jako jsou nesprávně označené IP adresy, které uživatelé v organizaci široce používají.
Vyžaduje aktivní licenci Microsoft Defenderu for Cloud Apps.

Byla vytvořena nová výstraha, která poskytuje tyto informace a přidá do ní. Kromě toho novější výstrahy (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) nevyžadují licenci pro Microsoft Defender for Cloud Apps (dříve Označované jako Microsoft Cloud App Security).

Další výstrahy pro Resource Manager

Přesunuté doporučení Ohrožení zabezpečení v konfiguracích zabezpečení kontejnerů by se mělo napravit z skóre zabezpečení na osvědčené postupy.

Doporučení Vulnerabilities in container security configurations should be remediated bylo přesunuto z části skóre zabezpečení do části osvědčené postupy.

Aktuální uživatelské prostředí poskytuje skóre pouze v případech, kdy prošly všechny kontroly dodržování předpisů. Většina zákazníků má potíže se splněním všech požadovaných kontrol. Pracujeme na vylepšeném prostředí pro toto doporučení a po vydání doporučení se doporučení přesune zpět do skóre zabezpečení.

Zastaralá doporučení používat instanční objekty k ochraně předplatných

Když se organizace přesouvají od používání certifikátů pro správu ke správě svých předplatných, a naše nedávné oznámení, že vyřazujeme model nasazení Cloud Services (Classic), vyřadili jsme následující doporučení Defenderu pro cloud a související zásady:

Doporučení Popis Závažnost
Instanční objekty by se měly používat k ochraně předplatných místo certifikátů pro správu. Certifikáty pro správu umožňují všem uživatelům, kteří se s nimi ověřují, spravovat předplatná, ke kterým jsou přidružená. Pokud chcete bezpečněji spravovat předplatná, doporučujeme v případě ohrožení certifikátu omezit poloměr výbuchu pomocí instančních objektů pomocí Resource Manageru. Automatizuje také správu prostředků.
(Související zásady: Instanční objekty by se měly použít k ochraně předplatných místo certifikátů pro správu.		 Střední

Další informace:

Starší implementace ISO 27001 nahrazena novou iniciativou ISO 27001:2013

Starší implementace ISO 27001 byla odebrána z řídicího panelu dodržování předpisů v programu Defender for Cloud. Pokud sledujete dodržování předpisů ISO 27001 v programu Defender for Cloud, připojte nový standard ISO 27001:2013 pro všechny příslušné skupiny pro správu nebo předplatná.

Řídicí panel dodržování právních předpisů defenderu pro cloud zobrazující zprávu o odebrání starší implementace ISO 27001.

Zastaralá doporučení pro zařízení v programu Microsoft Defender for IoT

Doporučení pro zařízení v programu Microsoft Defender for IoT už nejsou viditelná v programu Microsoft Defender for Cloud. Tato doporučení jsou stále k dispozici na stránce Doporučení v programu Microsoft Defender for IoT.

Následující doporučení jsou zastaralá:

Klíč posouzení Doporučení
1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: Zařízení IoT Otevření portů na zařízení
ba975338-f956-41e7-a9f2-7614832d382d382d: Zařízení IoT Bylo nalezeno pravidlo brány firewall pro permisivní v vstupním řetězci.
beb62be3-5e78-49bd-ac5f-099250ef3c7c: Zařízení IoT Byly nalezeny zásady brány firewall pro permisivní v jednom z řetězů.
d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: Zařízení IoT Zjistilo se pravidlo brány firewall, které je permissivní v výstupním řetězci.
5f65e47f-7a00-4bf3-acae-90e441ee876: Zařízení IoT Selhání ověřování směrného plánu operačního systému
a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: Zařízení IoT Agent odesílající nevyužité zprávy
2acc27c6-5fdb-405e-9080-cb66b850c8f5: Zařízení IoT Vyžaduje se upgrade šifrovací sady TLS.
d74d2738-2485-4103-9919-69c7e63776ec: Zařízení IoT Auditd proces přestal odesílat události

Zastaralá upozornění zařízení v programu Microsoft Defender for IoT

Všechna upozornění Microsoft Defenderu pro zařízení IoT se už v Programu Microsoft Defender for Cloud nezobrazují. Tato upozornění jsou stále dostupná na stránce upozornění v programu Microsoft Defender for IoT a v Microsoft Sentinelu.

Správa stavu a ochrana před hrozbami pro AWS a GCP vydané pro obecnou dostupnost (GA)

  • Funkce CSPM v programu Defender for Cloud se rozšiřují na prostředky AWS a GCP. Tento plán bez agentů vyhodnocuje vaše vícecloudové prostředky podle doporučení zabezpečení specifických pro cloud, která jsou součástí vašeho skóre zabezpečení. Prostředky se vyhodnocují kvůli dodržování předpisů pomocí předdefinovaných standardů. Stránka inventáře prostředků Defenderu for Cloud je funkce s více cloudy, která umožňuje spravovat prostředky AWS společně s prostředky Azure.

  • Microsoft Defender for Servers přináší detekci hrozeb a pokročilou ochranu výpočetních instancí v AWS a GCP. Plán Defender for Servers zahrnuje integrovanou licenci pro Microsoft Defender for Endpoint, kontrolu posouzení ohrožení zabezpečení a další. Seznamte se se všemi podporovanými funkcemi pro virtuální počítače a servery. Funkce automatického onboardingu umožňují snadno připojit všechny existující nebo nové výpočetní instance zjištěné ve vašem prostředí.

Zjistěte, jak chránit a propojit vaše prostředí AWS a organizaci GCP s Microsoft Defenderem pro cloud.

Kontrola imagí Windows v ACR přidala podporu pro národní cloudy

Vyhledávání imagí Windows ve službě Azure Government a Microsoft Azure provozované společností 21Vianet je teď podporováno v registru. Tento doplněk je aktuálně ve verzi Preview.

Přečtěte si další informace o dostupnosti naší funkce.

2022. únor

Aktualizace v únoru zahrnují:

Ochrana úloh Kubernetes pro clustery Kubernetes s podporou Arc

Defender for Containers dříve chránil pouze úlohy Kubernetes spuštěné ve službě Azure Kubernetes Service. Teď jsme rozšířili ochranné pokrytí tak, aby zahrnovalo clustery Kubernetes s podporou Azure Arc.

Zjistěte, jak nastavit ochranu úloh Kubernetes pro clustery Kubernetes s podporou AKS a Azure Arc.

Nativní csPM pro GCP a ochranu před hrozbami pro výpočetní instance GCP

Nové automatizované onboarding prostředí GCP umožňuje chránit úlohy GCP pomocí Microsoft Defenderu pro cloud. Defender for Cloud chrání vaše prostředky pomocí následujících plánů:

  • Funkce CSPM v programu Defender for Cloud se rozšiřují o prostředky GCP. Tento plán bez agentů vyhodnocuje vaše prostředky GCP podle doporučení zabezpečení specifických pro GCP, která jsou k dispozici v programu Defender for Cloud. Doporučení GCP jsou zahrnutá ve vašem skóre zabezpečení a prostředky se budou vyhodnocovat z hlediska dodržování integrovaného standardu GCP CIS. Stránka inventáře prostředků Defenderu for Cloud je funkce s podporou multicloudu, která pomáhá spravovat vaše prostředky v Azure, AWS a GCP.

  • Microsoft Defender for Servers přináší detekci hrozeb a pokročilou obranu výpočetních instancí GCP. Tento plán zahrnuje integrovanou licenci pro Microsoft Defender for Endpoint, kontrolu posouzení ohrožení zabezpečení a další.

    Úplný seznam dostupných funkcí najdete v tématu Podporované funkce pro virtuální počítače a servery. Funkce automatického onboardingu vám umožní snadno připojit všechny existující a nové výpočetní instance zjištěné ve vašem prostředí.

Zjistěte, jak chránit a propojit projekty GCP s Microsoft Defenderem pro cloud.

Plán Microsoft Defenderu pro službu Azure Cosmos DB vydaný ve verzi Preview

Rozšířili jsme pokrytí databáze v programu Microsoft Defender for Cloud. Teď můžete povolit ochranu databází Azure Cosmos DB.

Microsoft Defender for Azure Cosmos DB je nativní vrstva zabezpečení Azure, která detekuje všechny pokusy o zneužití databází v účtech Azure Cosmos DB. Microsoft Defender for Azure Cosmos DB detekuje potenciální injektáže SQL, známé špatné aktéry na základě analýzy hrozeb Microsoftu, vzorů podezřelého přístupu a potenciálního zneužití databáze prostřednictvím ohrožených identit nebo škodlivých účastníků programu Insider.

Průběžně analyzuje datový proud zákazníků generovaný službami Azure Cosmos DB.

Při zjištění potenciálně škodlivých aktivit se vygenerují výstrahy zabezpečení. Tyto výstrahy se zobrazují v Programu Microsoft Defender for Cloud společně s podrobnostmi o podezřelé aktivitě spolu s příslušnými kroky šetření, nápravnými akcemi a doporučeními zabezpečení.

Při povolování služby nemá žádný vliv na výkon databáze, protože Defender pro Azure Cosmos DB nemá přístup k datům účtu služby Azure Cosmos DB.

Další informace najdete v přehledu služby Microsoft Defender pro Azure Cosmos DB.

Zavádíme také nové prostředí pro povolení zabezpečení databáze. Teď můžete ve svém předplatném povolit ochranu Microsoft Defenderu pro cloud, abyste ochránili všechny typy databází, jako jsou Azure Cosmos DB, Azure SQL Database, servery Azure SQL na počítačích a Microsoft Defender pro opensourcové relační databáze prostřednictvím jednoho procesu povolení. Konkrétní typy prostředků je možné zahrnout nebo vyloučit konfigurací plánu.

Zjistěte, jak povolit zabezpečení databáze na úrovni předplatného.

Ochrana před hrozbami pro clustery GKE (Google Kubernetes Engine)

Podle našeho nedávného oznámení Nativní csPM pro GCP a ochranu před hrozbami pro výpočetní instance GCP microsoft Defender for Containers rozšířil ochranu před hrozbami Kubernetes, analýzu chování a integrované zásady řízení přístupu na clustery GKE (Kubernetes Engine) Google. Prostřednictvím našich možností automatického onboardingu můžete do svého prostředí snadno připojit všechny existující nebo nové clustery GKE Standard. Úplný seznam dostupných funkcí najdete v programu Microsoft Defender for Cloud v oblasti zabezpečení kontejnerů.

2022. leden

Aktualizace v lednu zahrnují:

Program Microsoft Defender for Resource Manager se aktualizoval novými výstrahami a důrazem na vysoce rizikové operace mapované na MITRE ATT&CK® Matrix

Vrstva správy cloudu je klíčovou službou připojenou ke všem vašim cloudovým prostředkům. Z tohoto důvodu je to také potenciální cíl pro útočníky. Doporučujeme týmy operací zabezpečení pečlivě monitorovat vrstvu správy prostředků.

Microsoft Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci bez ohledu na to, jestli se provádějí prostřednictvím webu Azure Portal, rozhraní AZURE REST API, Azure CLI nebo jiných programových klientů Azure. Defender for Cloud spouští pokročilé analýzy zabezpečení, které vám umožní detekovat hrozby a upozornit vás na podezřelou aktivitu.

Ochrana plánu výrazně zvyšuje odolnost organizace proti útokům z aktérů hrozeb a výrazně zvyšuje počet prostředků Azure chráněných defenderem pro cloud.

V prosinci 2020 jsme představili verzi Preview Defenderu pro Resource Manager a v květnu 2021 byl plán vydaný pro obecnou dostupnost.

V této aktualizaci jsme komplexně upravili zaměření plánu Microsoft Defenderu pro Resource Manager. Aktualizovaný plán obsahuje mnoho nových výstrah, které se zaměřují na identifikaci podezřelého vyvolání vysoce rizikových operací. Tyto nové výstrahy poskytují rozsáhlé monitorování útoků napříč kompletnímaticí MITRE ATT&CK® pro cloudové techniky.

Tato matice popisuje následující rozsah potenciálních záměrů aktérů hrozeb, kteří můžou cílit na prostředky vaší organizace: počáteční přístup, spuštění, trvalost, eskalace oprávnění, únik obrany, přístup k přihlašovacím údajům, zjišťování, laterální pohyb, kolekce, exfiltrace a dopad.

Nová upozornění pro tento plán Defenderu pokrývají tyto záměry, jak je znázorněno v následující tabulce.

Tip

Tyto výstrahy se také zobrazí na stránce s odkazem na výstrahy.

Výstraha (typ výstrahy) Popis Taktika MITRE (záměry) Závažnost
Podezřelé vyvolání vysoce rizikové operace počátečního přístupu (Preview)
(ARM_AnomalousOperation.InitialAccess)		 Microsoft Defender for Resource Manager zjistil podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o přístup k omezeným prostředkům. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivní přístup k jejich prostředím. I když tato aktivita může být legitimní, aktér hrozeb může tyto operace využít k získání počátečního přístupu k omezeným prostředkům ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. Počáteční přístup Střední
Zjištění podezřelého vyvolání vysoce rizikové operace provádění (Preview)
(ARM_AnomalousOperation.Execution)		 Microsoft Defender for Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace na počítači ve vašem předplatném, což může znamenat pokus o spuštění kódu. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít pro přístup k omezeným přihlašovacím údajům a ohrožení prostředků ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. Provádění Střední
Zjištění podezřelého vyvolání vysoce rizikové operace trvalosti (Preview)
(ARM_AnomalousOperation.Persistence)		 Microsoft Defender pro Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o vytvoření trvalosti. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít k vytvoření trvalosti ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. Uchování Střední
Zjištění podezřelého vyvolání vysoce rizikové operace Eskalace oprávnění (Preview)
(ARM_AnomalousOperation.PrivilegeEscalation)		 Microsoft Defender for Resource Manager zjistil podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o eskalaci oprávnění. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít k eskalaci oprávnění a zároveň ohrozit prostředky ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. Elevace oprávnění Střední
Zjištění podezřelého vyvolání vysoce rizikové operace "Obranná úniková ochrana" (Preview)
(ARM_AnomalousOperation.DefenseEvasion)		 Microsoft Defender pro Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o vyhýbání obrany. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat stav zabezpečení svých prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít, aby se zabránilo zjištění a ohrožení prostředků ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. Obrana před únikem Střední
Podezřelé vyvolání vysoce rizikové operace přístupu k přihlašovacím údajům (Preview)
(ARM_AnomalousOperation.CredentialAccess)		 Microsoft Defender for Resource Manager zjistil podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o přístup k přihlašovacím údajům. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivní přístup k jejich prostředím. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít pro přístup k omezeným přihlašovacím údajům a ohrožení prostředků ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. Přístup k přihlašovacím údajům Střední
Zjištění podezřelého vyvolání vysoce rizikové operace laterálního pohybu (Preview)
(ARM_AnomalousOperation.LateralMovement)		 Microsoft Defender for Resource Manager zjistil podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o provedení laterálního pohybu. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít k ohrožení dalších prostředků ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. Laterální pohyb Střední
Zjištění podezřelého vyvolání vysoce rizikové operace shromažďování dat (Preview)
(ARM_AnomalousOperation.Collection)		 Microsoft Defender for Resource Manager zjistil podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o shromáždění dat. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít ke shromažďování citlivých dat o prostředcích ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. Kolekce Střední
Zjištění podezřelého vyvolání vysoce rizikové operace Impact (Preview)
(ARM_AnomalousOperation.Impact)		 Microsoft Defender for Resource Manager zjistil podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o změnu konfigurace. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít pro přístup k omezeným přihlašovacím údajům a ohrožení prostředků ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. Dopad Střední

Kromě toho tyto dvě výstrahy z tohoto plánu pocházejí z verze Preview:

Výstraha (typ výstrahy) Popis Taktika MITRE (záměry) Závažnost
Operace Azure Resource Manageru z podezřelé IP adresy
(ARM_OperationFromSuspiciousIP)		 Microsoft Defender pro Resource Manager zjistil operaci z IP adresy, která byla označena jako podezřelá v informačních kanálech analýzy hrozeb. Provádění Střední
Operace Azure Resource Manageru z podezřelé IP adresy proxy serveru
(ARM_OperationFromSuspiciousProxyIP)		 Microsoft Defender for Resource Manager zjistil operaci správy prostředků z IP adresy, která je přidružená ke službám proxy, jako je NAPŘÍKLAD TOR. I když toto chování může být legitimní, často se to projevuje ve škodlivých aktivitách, když se aktéři hrozeb pokusí skrýt zdrojovou IP adresu. Obrana před únikem Střední

Doporučení k povolení plánů Microsoft Defenderu v pracovních prostorech (ve verzi Preview)

Abyste mohli využívat všechny funkce zabezpečení dostupné v programu Microsoft Defender for Servers a Microsoft Defender for SQL na počítačích, musí být plány povolené na úrovni předplatného i pracovního prostoru.

Pokud je počítač v předplatném s povoleným jedním z těchto plánů, budou se vám účtovat úplné ochrany. Pokud se ale tento počítač hlásí pracovnímu prostoru bez povoleného plánu, tyto výhody ve skutečnosti nedostanete.

Přidali jsme dvě doporučení, která zvýrazňují pracovní prostory bez povolení těchto plánů, ale mají počítače, které se jim hlásí z předplatných s povoleným plánem.

Dvě doporučení, která nabízejí automatizovanou nápravu (akci Opravit), jsou:

Doporučení Popis Závažnost
V pracovních prostorech by měl být povolený Microsoft Defender for Servers. Microsoft Defender for Servers přináší detekci hrozeb a pokročilou obranu vašich počítačů s Windows a Linuxem.
S tímto plánem Defenderu povoleným pro vaše předplatná, ale ne ve vašich pracovních prostorech, platíte za plnou funkci Programu Microsoft Defender pro servery, ale chybí vám některé výhody.
Když povolíte Microsoft Defender for Servers v pracovním prostoru, budou se všechny počítače, které se do daného pracovního prostoru hlásí, fakturovány za Microsoft Defender pro servery – i když jsou v předplatných bez povolených plánů Defenderu. Pokud v předplatném také nepovolíte Microsoft Defender for Servers, nebudou tyto počítače moct využívat přístup k virtuálním počítačům za běhu, adaptivní řízení aplikací a zjišťování sítí pro prostředky Azure.
Další informace najdete v přehledu Programu Microsoft Defender pro servery.
(Žádné související zásady)		 Střední
V pracovních prostorech by měl být povolený Microsoft Defender pro SQL na počítačích. Microsoft Defender for Servers přináší detekci hrozeb a pokročilou obranu vašich počítačů s Windows a Linuxem.
S tímto plánem Defenderu povoleným pro vaše předplatná, ale ne ve vašich pracovních prostorech, platíte za plnou funkci Programu Microsoft Defender pro servery, ale chybí vám některé výhody.
Když povolíte Microsoft Defender for Servers v pracovním prostoru, budou se všechny počítače, které se do daného pracovního prostoru hlásí, fakturovány za Microsoft Defender pro servery – i když jsou v předplatných bez povolených plánů Defenderu. Pokud v předplatném také nepovolíte Microsoft Defender for Servers, nebudou tyto počítače moct využívat přístup k virtuálním počítačům za běhu, adaptivní řízení aplikací a zjišťování sítí pro prostředky Azure.
Další informace najdete v přehledu Programu Microsoft Defender pro servery.
(Žádné související zásady)		 Střední

Automatické zřízení agenta Log Analytics pro počítače s podporou Služby Azure Arc (Preview)

Defender for Cloud používá agenta Log Analytics ke shromažďování dat souvisejících se zabezpečením z počítačů. Agent čte různé konfigurace a protokoly událostí souvisejících se zabezpečením a kopíruje data do pracovního prostoru pro účely analýzy.

Nastavení automatického zřizování Defenderu pro cloud má přepínač pro každý typ podporovaného rozšíření, včetně agenta Log Analytics.

V dalším rozšíření našich hybridních cloudových funkcí jsme přidali možnost automatického zřízení agenta Log Analytics na počítače připojené k Azure Arc.

Stejně jako u ostatních možností automatického zřizování se toto nastavení konfiguruje na úrovni předplatného.

Když tuto možnost povolíte, zobrazí se výzva k zadání pracovního prostoru.

Poznámka:

Pro tuto verzi Preview nemůžete vybrat výchozí pracovní prostory vytvořené defenderem pro cloud. Abyste měli jistotu, že obdržíte úplnou sadu funkcí zabezpečení dostupných pro servery s podporou Služby Azure Arc, ověřte, že ve vybraném pracovním prostoru máte nainstalované příslušné řešení zabezpečení.

Snímek obrazovky s automatickým zřízením agenta Log Analytics pro počítače s podporou Služby Azure Arc

Vyřazení doporučení ke klasifikaci citlivých dat v databázích SQL

Odebrali jsme doporučení Citlivá data ve vašich databázích SQL bychom měli klasifikovat jako součást opravy toho, jak Defender pro cloud identifikuje a chrání citlivé datum ve vašich cloudových prostředcích.

V nadcházejících změnách programu Microsoft Defender for Cloud se tato změna zobrazila za posledních šest měsíců.

Následující výstraha byla dříve dostupná jenom organizacím, které povolily plán Microsoft Defenderu pro DNS .

V této aktualizaci se upozornění zobrazí také pro předplatná s povoleným plánem Služby App Service v programu Microsoft Defender for Servers nebo Defender for App Service .

Kromě toho služba Microsoft Threat Intelligence rozšířila seznam známých škodlivých domén, aby zahrnovala domény spojené s zneužitím široce publicizovaných chyb zabezpečení spojených s Log4j.

Výstraha (typ výstrahy) Popis Taktika MITRE Závažnost
Komunikace s podezřelou doménou identifikovanou analýzou hrozeb
(AzureDNS_ThreatIntelSuspectDomain)		 Komunikace s podezřelou doménou byla zjištěna analýzou transakcí DNS z vašeho prostředku a porovnáním se známými škodlivými doménami identifikovanými informačními kanály analýzy hrozeb. Komunikace se škodlivými doménami se často provádí útočníky a může to znamenat, že dojde k ohrožení vašeho prostředku. Počáteční přístup / trvalost / spuštění / příkaz a řízení / zneužití Střední

Tlačítko Kopírovat json upozornění přidané do podokna podrobností výstrah zabezpečení

Abychom našim uživatelům pomohli rychle sdílet podrobnosti výstrahy s ostatními (například analytiky SOC, vlastníky prostředků a vývojáře), přidali jsme možnost snadného extrahování všech podrobností konkrétní výstrahy jedním tlačítkem z podokna podrobností výstrahy zabezpečení.

Nové tlačítko JSON pro kopírování upozornění vloží podrobnosti výstrahy ve formátu JSON do schránky uživatele.

Snímek obrazovky s tlačítkem Kopírovat JSON upozornění v podokně podrobností výstrahy

Přejmenování dvou doporučení

Kvůli konzistenci s jinými názvy doporučení jsme přejmenovali následující dvě doporučení:

  • Doporučení k řešení ohrožení zabezpečení zjištěných ve spuštěných imagích kontejnerů

    • Předchozí název: Chyby zabezpečení ve spuštěných imagích kontejnerů by se měly napravit (s využitím Qualys).
    • Nový název: Řešení spuštěných imagí kontejnerů by mělo mít zjištěná ohrožení zabezpečení.

  • Doporučení k povolení diagnostických protokolů pro službu Aplikace Azure Service

    • Předchozí název: Diagnostické protokoly by se měly povolit ve službě App Service.
    • Nový název: Diagnostické protokoly ve službě App Service by měly být povolené.

Vyřazení kontejnerů clusteru Kubernetes by mělo naslouchat pouze na povolených zásadách portů

Kontejnery clusteru Kubernetes už by se měly vyslouchat jenom na doporučení povolených portů .

Název zásady Popis Účinek Verze
Kontejnery clusteru Kubernetes by měly naslouchat jenom na povolených portech. Omezte kontejnery tak, aby naslouchaly jenom na povolených portech pro zabezpečení přístupu ke clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro modul AKS a Kubernetes s podporou Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, odepřít, zakázáno 6.1.2

Služby by měly naslouchat pouze na povolených portech, mělo by se použít k omezení portů, které aplikace zveřejňuje na internetu.

Přidání sešitu Aktivní výstraha

Abychom našim uživatelům pomohli pochopit aktivní hrozby pro svá prostředí a určit prioritu mezi aktivními výstrahami během procesu nápravy, přidali jsme sešit Aktivní výstrahy.

Snímek obrazovky znázorňující přidání sešitu Aktivní výstrahy

Sešit aktivních výstrah umožňuje uživatelům zobrazit jednotný řídicí panel agregovaných výstrah podle závažnosti, typu, značky, taktiky MITRE ATT&CK a umístění. Další informace najdete v sešitu Aktivní upozornění.

Doporučení aktualizace systému přidané do cloudu státní správy

Doporučení "Aktualizace systému by se měly nainstalovat na vaše počítače" je teď dostupné ve všech cloudech státní správy.

Je pravděpodobné, že tato změna bude mít vliv na bezpečnostní skóre vašeho cloudového předplatného státní správy. Očekáváme, že změna povede ke snížení skóre, ale je možné, že zahrnutí doporučení může v některých případech vést ke zvýšení skóre.

Prosinec 2021

Aktualizace v prosinci zahrnují:

Plán Microsoft Defender for Containers vydaný pro obecnou dostupnost (GA)

Před dvěma lety jsme představili Defender pro Kubernetes a Defender pro registry kontejnerů jako součást nabídky Azure Defenderu v rámci programu Microsoft Defender for Cloud.

S vydáním programu Microsoft Defender for Containers jsme tyto dva stávající plány Defenderu sloučili.

Nový plán:

  • Kombinuje funkce dvou stávajících plánů – detekce hrozeb pro clustery Kubernetes a posouzení ohrožení zabezpečení pro image uložené v registrech kontejnerů.
  • Přináší nové a vylepšené funkce , včetně podpory multicloudu, detekce hrozeb na úrovni hostitele s více než šedesáti novými analýzami podporujícími Kubernetes a posouzení ohrožení zabezpečení pro spouštění imagí.
  • Zavádí onboarding nativní pro Kubernetes – ve výchozím nastavení když povolíte plán, aby se všechny relevantní komponenty nasazovaly automaticky.

V této verzi se dostupnost a prezentace Defenderu pro Kubernetes a Defenderu pro registry kontejnerů změnila následujícím způsobem:

  • Nová předplatná – Dva předchozí plány kontejnerů už nejsou k dispozici.
  • Existující předplatná – ať se na webu Azure Portal zobrazí kdekoli, zobrazí se plány jako zastaralé s pokyny, jak upgradovat na novější plán. Defender pro registry kontejnerů a plány Defenderu pro Kubernetes se zobrazenými informacemi o vyřazení a upgradu

Nový plán je zdarma pro měsíc prosinec 2021. Informace o potenciálních změnách fakturace ze starých plánů na Defender for Containers a další informace o výhodách zavedených v tomto plánu najdete v tématu Představujeme Microsoft Defender for Containers.

Další informace naleznete v tématu:

Nová upozornění pro Microsoft Defender for Storage vydaná pro obecnou dostupnost (GA)

Aktéři hrozeb používají nástroje a skripty ke kontrole veřejně otevřených kontejnerů v naději, že najdou chybně nakonfigurované otevřené kontejnery úložiště s citlivými daty.

Microsoft Defender for Storage tyto skenery detekuje, abyste je mohli zablokovat a napravit stav.

Upozornění verze Preview, které zjistilo, že se jedná o anonymní kontrolu kontejnerů veřejného úložiště. Abychom získali větší přehled o zjištěných podezřelých událostech, rozdělili jsme je na dvě nová upozornění. Tato upozornění jsou relevantní jenom pro Službu Blob Storage.

Vylepšili jsme logiku detekce, aktualizovali metadata upozornění a změnili jsme název a typ upozornění.

Toto jsou nová upozornění:

Výstraha (typ výstrahy) Popis Taktika MITRE Závažnost
Veřejně přístupné kontejnery úložiště byly úspěšně zjištěny.
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)		 Úspěšné zjištění veřejně otevřených kontejnerů úložiště ve vašem účtu úložiště proběhlo za poslední hodinu pomocí skenovacího skriptu nebo nástroje.

Obvykle to značí útok na rekognoskaci, kdy se objekt actor hrozby pokusí vypsat objekty blob odhadem názvů kontejnerů v naději, že vyhledá chybně nakonfigurované otevřené kontejnery úložiště s citlivými daty.

Objekt actor hrozby může použít vlastní skript nebo pomocí známých skenovacích nástrojů, jako je Microburst, vyhledat veřejně otevřené kontejnery.

✔ Azure Blob Storage
✖ Soubory Azure
✖ Azure Data Lake Storage Gen2		 Kolekce Střední
Veřejně přístupné kontejnery úložiště, které se nepodařilo zkontrolovat
(Storage.Blob_OpenContainersScanning.FailedAttempt)		 V poslední hodině se provedla řada neúspěšných pokusů o vyhledání veřejně otevřených kontejnerů úložiště.

Obvykle to značí útok na rekognoskaci, kdy se objekt actor hrozby pokusí vypsat objekty blob odhadem názvů kontejnerů v naději, že vyhledá chybně nakonfigurované otevřené kontejnery úložiště s citlivými daty.

Objekt actor hrozby může použít vlastní skript nebo pomocí známých skenovacích nástrojů, jako je Microburst, vyhledat veřejně otevřené kontejnery.

✔ Azure Blob Storage
✖ Soubory Azure
✖ Azure Data Lake Storage Gen2		 Kolekce Nízká

Další informace naleznete v tématu:

Vylepšení upozornění pro Microsoft Defender for Storage

Upozornění na počáteční přístup teď mají vylepšenou přesnost a další data, která podporují šetření.

Aktéři hrozeb používají různé techniky v počátečním přístupu k získání zápatí v síti. Dvě výstrahy Microsoft Defenderu pro úložiště , které v této fázi detekují anomálie chování, teď mají vylepšenou logiku detekce a další data pro podporu vyšetřování.

Pokud jste v minulosti nakonfigurovali automatizace nebo definovali pravidla potlačení upozornění pro tato upozornění, aktualizujte je v souladu s těmito změnami.

Zjištění přístupu z výstupního uzlu Tor

Přístup z výstupního uzlu Tor může znamenat, že herec hrozeb, který se pokouší skrýt svou identitu.

Upozornění je teď vyladěné tak, aby se vygenerovalo jenom pro ověřený přístup, což vede k vyšší přesnosti a spolehlivosti, že aktivita je škodlivá. Toto vylepšení snižuje neškodnou pozitivní míru.

Odlévý vzor bude mít vysokou závažnost, zatímco méně neobvyklých vzorů bude mít střední závažnost.

Aktualizoval se název a popis upozornění. Typ výstrahy zůstává beze změny.

  • Název upozornění (starý): Přístup z výstupního uzlu Tor k účtu úložiště
  • Název upozornění (nový): Ověřený přístup z výstupního uzlu Tor
  • Typy výstrah: Storage.Blob_TorAnomaly / Storage.Files_TorAnomaly
  • Popis: Jeden nebo více kontejnerů úložiště / sdílených složek ve vašem účtu úložiště se úspěšně přistupovalo z IP adresy, o které je známo, že se jedná o aktivní výstupní uzel Tor (anonymizující proxy server). Aktéři hrozeb používají Tor, aby bylo obtížné sledovat aktivitu zpět k nim. Ověřený přístup z výstupního uzlu Tor pravděpodobně značí, že se objekt actor hrozby pokouší skrýt svou identitu. Platí pro: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
  • Taktika MITRE: Počáteční přístup
  • Závažnost: vysoká/střední

Neobvyklý neověřený přístup

Změna vzorů přístupu může znamenat, že aktér hrozeb mohl zneužít veřejný přístup ke čtení ke kontejnerům úložiště, a to buď zneužitím chyby v konfiguracích přístupu, nebo změnou přístupových oprávnění.

Toto upozornění střední závažnosti je teď vyladěné s vylepšenou logikou chování, vyšší přesností a jistotou, že aktivita je škodlivá. Toto vylepšení snižuje neškodnou pozitivní míru.

Aktualizoval se název a popis upozornění. Typ výstrahy zůstává beze změny.

  • Název upozornění (starý): Anonymní přístup k účtu úložiště
  • Název upozornění (nový): Neobvyklý neověřený přístup ke kontejneru úložiště
  • Typy výstrah: Storage.Blob_AnonymousAccessAnomaly
  • Popis: Tento účet úložiště byl přístupný bez ověřování, což je změna v modelu běžného přístupu. Přístup pro čtení k tomuto kontejneru se obvykle ověřuje. To může znamenat, že objekt actor hrozby mohl zneužít veřejný přístup pro čtení ke kontejnerům úložiště v těchto účtech úložiště. Platí pro: Azure Blob Storage
  • Taktika MITRE: Kolekce
  • Závažnost: střední

Další informace naleznete v tématu:

Výstraha PortSweeping odebraná z upozornění na vrstvu sítě

Z upozornění na vrstvu sítě byla odebrána následující výstraha z důvodu nevýslednosti:

Výstraha (typ výstrahy) Popis Taktika MITRE Závažnost
Byla zjištěna možná aktivita prohledávání odchozích portů.
(PortSweeping)		 Analýza síťového provozu zjistila podezřelý odchozí provoz z %{Ohroženého hostitele}. Tento provoz může být výsledkem aktivity prohledávání portů. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo aplikační brána, podezřelý odchozí provoz pochází z jednoho nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány). Pokud je toto chování úmyslné, mějte na paměti, že provádění kontroly portů je v podmínkách služby Azure. Pokud toto chování není neúmyslné, může to znamenat, že došlo k ohrožení vašeho prostředku. Zjišťování Střední

Listopad 2021

Naše verze Ignite zahrnuje:

Mezi další změny v listopadu patří:

Azure Security Center a Azure Defender se stanou Microsoft Defenderem pro cloud

Podle zprávy o stavu cloudu z roku 2021 má nyní 92 % organizací strategii s více cloudy. V Microsoftu je naším cílem centralizovat zabezpečení napříč prostředími a pomáhat týmům zabezpečení efektivněji pracovat.

Microsoft Defender for Cloud je řešení pro správu stavu zabezpečení cloudu (CSPM) a ochrany cloudových úloh (CWP), které zjišťuje slabá místa v rámci konfigurace cloudu, pomáhá posílit celkový stav zabezpečení vašeho prostředí a chrání úlohy napříč multicloudovými a hybridními prostředími.

Na konferenci Ignite 2019 jsme sdíleli naši vizi, abychom vytvořili nejúplnější přístup k zabezpečení digitálních aktiv a integraci technologií XDR pod značkou Microsoft Defenderu. Sjednocení Služby Azure Security Center a Azure Defenderu pod novým názvem Microsoft Defender for Cloud odráží integrované možnosti naší nabídky zabezpečení a schopnost podporovat jakoukoli cloudovou platformu.

Nativní CSPM pro AWS a ochranu před hrozbami pro Amazon EKS a AWS EC2

Nová stránka nastavení prostředí poskytuje větší viditelnost a kontrolu nad vašimi skupinami pro správu, předplatnými a účty AWS. Stránka je navržená pro připojení účtů AWS ve velkém měřítku: propojte svůj účet pro správu AWS a automaticky nasadíte stávající a budoucí účty.

Pomocí nové stránky nastavení prostředí připojte účty AWS.

Když přidáte účty AWS, Defender for Cloud chrání vaše prostředky AWS pomocí libovolného nebo všech následujících plánů:

  • Funkce CSPM v programu Defender for Cloud se rozšiřují o vaše prostředky AWS. Tento plán bez agentů vyhodnocuje vaše prostředky AWS podle doporučení zabezpečení specifických pro AWS a jsou součástí vašeho skóre zabezpečení. Tyto prostředky se také vyhodnotí za dodržování předdefinovaných standardů specifických pro AWS (AWS CIS, AWS PCI DSS a AWS Foundational Security Best Practices). Stránka inventáře prostředků Defenderu for Cloud je funkce s podporou vícecloudu, která vám pomůže spravovat prostředky AWS společně s prostředky Azure.
  • Microsoft Defender pro Kubernetes rozšiřuje detekci hrozeb kontejnerů a pokročilou obranu do clusterů Amazon EKS Linux.
  • Microsoft Defender for Servers přináší detekci hrozeb a pokročilou obranu vašich instancí EC2 s Windows a Linuxem. Tento plán zahrnuje integrovanou licenci pro Microsoft Defender for Endpoint, standardní hodnoty zabezpečení a hodnocení na úrovni operačního systému, kontrolu posouzení ohrožení zabezpečení, adaptivní řízení aplikací (AAC), monitorování integrity souborů (FIM) a další.

Přečtěte si další informace o připojení účtů AWS ke službě Microsoft Defender for Cloud.

Stanovení priority akcí zabezpečení podle citlivosti dat (s využitím Microsoft Purview) (ve verzi Preview)

Datové prostředky zůstávají oblíbeným cílem pro aktéry hrozeb. Proto je důležité, aby týmy zabezpečení identifikovaly, upřednostnily a zabezpečily citlivé datové prostředky v cloudových prostředích.

Microsoft Defender for Cloud teď integruje informace o citlivosti z Microsoft Purview, aby tento problém vyřešil. Microsoft Purview je sjednocená služba zásad správného řízení dat, která poskytuje bohaté přehledy o citlivosti vašich dat v rámci vícecloudových a místních úloh.

Integrace s Microsoft Purview rozšiřuje viditelnost zabezpečení v programu Defender for Cloud z úrovně infrastruktury dolů na data a umožňuje zcela nový způsob, jak upřednostnit prostředky a aktivity zabezpečení pro vaše bezpečnostní týmy.

Přečtěte si další informace o nastavení priority akcí zabezpečení podle citlivosti dat.

Rozšířené posouzení kontroly zabezpečení s využitím srovnávacího testu zabezpečení Azure v3

Srovnávací test zabezpečení Azure podporuje doporučení zabezpečení v programu Defender for Cloud.

Srovnávací test zabezpečení Azure je sada osvědčených postupů pro zabezpečení a dodržování předpisů specifická pro Microsoft, která je specifická pro Microsoft, na základě běžných architektur dodržování předpisů. Tento široce respektovaný srovnávací test vychází z kontrolních mechanismů centra pro internetové zabezpečení (CIS) a národního institutu NIST (National Institute of Standards and Technology) se zaměřením na zabezpečení zaměřeném na cloud.

Z konference Ignite 2021 je srovnávací test zabezpečení Azure v3 dostupný na řídicím panelu dodržování právních předpisů v programu Defender for Cloud a je povolený jako nová výchozí iniciativa pro všechna předplatná Azure chráněná pomocí Microsoft Defenderu pro cloud.

Mezi vylepšení pro v3 patří:

  • Další mapování na oborové architektury PCI-DSS v3.2.1 a KONTROLY CIS v8.

  • Podrobnější a použitelné pokyny pro ovládací prvky s uvedením:

    • Principy zabezpečení – poskytuje přehled o celkových cílech zabezpečení, které tvoří základ pro naše doporučení.
    • Pokyny k Azure – Technické postupy pro splnění těchto cílů

  • Mezi nové kontroly patří zabezpečení DevOps pro problémy, jako je modelování hrozeb a zabezpečení dodavatelského řetězce softwaru, a také správa klíčů a certifikátů pro osvědčené postupy v Azure.

Další informace najdete v úvodu ke srovnávacímu testu zabezpečení Azure.

Volitelná obousměrná synchronizace upozornění konektoru Microsoft Sentinelu vydaná pro obecnou dostupnost

V červenci jsme oznámili funkci Preview, obousměrnou synchronizaci upozornění pro integrovaný konektor v Microsoft Sentinelu (řešení SIEM a SOAR nativní pro cloud Od Microsoftu). Tato funkce je nyní vydána pro obecnou dostupnost (GA).

Když připojíte Microsoft Defender for Cloud ke službě Microsoft Sentinel, stav výstrah zabezpečení se synchronizuje mezi těmito dvěma službami. Pokud je například výstraha v programu Defender for Cloud zavřená, zobrazí se tato výstraha také jako uzavřená v Microsoft Sentinelu. Změna stavu výstrahy v defenderu pro cloud neovlivní stav žádných incidentů Služby Microsoft Sentinel, které obsahují synchronizovanou výstrahu Microsoft Sentinelu, pouze na samotné synchronizované výstrahy.

Když povolíte obousměrnou synchronizaci upozornění, automaticky synchronizujete stav původních upozornění Defenderu pro cloud s incidenty Microsoft Sentinelu, které obsahují kopie těchto výstrah. Když se například zavře incident Microsoft Sentinelu obsahující výstrahu Defenderu pro cloud, program Defender for Cloud automaticky zavře odpovídající původní výstrahu.

Další informace najdete v Připojení upozornění Azure Defenderu ze služby Azure Security Center a streamových upozornění do služby Azure Sentinel.

Nové doporučení pro nabízení protokolů služby Azure Kubernetes Service (AKS) do služby Sentinel

V dalším vylepšení kombinované hodnoty Defenderu pro cloud a Microsoft Sentinel teď zvýrazníme instance služby Azure Kubernetes Service, které neodesílají data protokolů do Služby Microsoft Sentinel.

Týmy SecOps můžou zvolit příslušný pracovní prostor Microsoft Sentinelu přímo ze stránky s podrobnostmi doporučení a okamžitě povolit streamování nezpracovaných protokolů. Díky tomuto bezproblémovému propojení mezi těmito dvěma produkty je pro bezpečnostní týmy snadné zajistit úplné pokrytí protokolování napříč svými úlohami, aby zůstaly nad celým prostředím.

Nové doporučení: Diagnostické protokoly ve službách Kubernetes by měly být povolené, obsahuje možnost Opravit pro rychlejší nápravu.

Vylepšili jsme také doporučení Auditování na SQL Serveru se stejnými možnostmi streamování sentinelu.

Doporučení mapovaná na architekturu MITRE ATT&CK® – vydaná pro obecnou dostupnost (GA)

Vylepšili jsme doporučení zabezpečení defenderu for Cloud, která ukazují jejich pozici v rámci MITRE ATT&CK®. Tato globálně přístupná znalostní báze taktik a technik subjektů hrozeb na základě pozorování z reálného světa poskytuje další kontext, který vám pomůže porozumět souvisejícím rizikům doporučení pro vaše prostředí.

Tyto taktiky najdete všude, kde se dostanete k informacím o doporučení:

  • Výsledky dotazů Azure Resource Graphu pro relevantní doporučení zahrnují taktiku a techniky MITRE ATT&CK®.

  • Stránky s podrobnostmi doporučení zobrazují mapování všech relevantních doporučení:

  • Stránka s doporučeními v Defenderu pro cloud má nový filtr pro výběr doporučení podle jejich přidružené taktiky:

Další informace najdete v tématu Kontrola doporučení zabezpečení.

Služba Microsoft Threat and Vulnerability Management byla přidána jako řešení posouzení ohrožení zabezpečení – vydáno pro obecnou dostupnost (GA)

V říjnu jsme oznámili rozšíření integrace mezi programem Microsoft Defender for Servers a Microsoft Defenderem for Endpoint, které podporuje nového poskytovatele posouzení ohrožení zabezpečení pro vaše počítače: hrozby Microsoftu a správa ohrožení zabezpečení. Tato funkce je nyní vydána pro obecnou dostupnost (GA).

Pomocí hrozeb a správa ohrožení zabezpečení můžete zjišťovat ohrožení zabezpečení a chybné konfigurace téměř v reálném čase s integrací s povoleným programem Microsoft Defender for Endpoint a bez nutnosti dalších agentů nebo pravidelných kontrol. Hrozby a správa ohrožení zabezpečení upřednostňují ohrožení zabezpečení na základě prostředí hrozeb a detekcí ve vaší organizaci.

Pomocí doporučení zabezpečení "Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení" můžete odhalit ohrožení zabezpečení zjištěná hrozbou a správa ohrožení zabezpečení pro vaše podporované počítače.

Pokud chcete na stávajících a nových počítačích automaticky zobrazit ohrožení zabezpečení, aniž byste museli doporučení opravovat ručně, přečtěte si téma Řešení posouzení ohrožení zabezpečení, která se teď dají automaticky povolit (ve verzi Preview).

Další informace najdete v článku Prozkoumání slabých stránek v programu Microsoft Defender for Endpoint a správa ohrožení zabezpečení.

Microsoft Defender pro koncový bod pro Linux teď podporuje Microsoft Defender pro servery – vydáno pro obecnou dostupnost (GA)

V srpnu jsme oznámili podporu verze Preview pro nasazení senzoru Defenderu for Endpoint pro Linux na podporované počítače s Linuxem. Tato funkce je nyní vydána pro obecnou dostupnost (GA).

Microsoft Defender for Servers zahrnuje integrovanou licenci pro Microsoft Defender for Endpoint. Společně poskytují komplexní možnosti detekce a reakce u koncových bodů (EDR).

Když Defender for Endpoint detekuje hrozbu, aktivuje výstrahu. Výstraha se zobrazí v programu Defender for Cloud. V programu Defender for Cloud můžete také přejít do konzoly Defenderu pro koncový bod a provést podrobné šetření, abyste odhalili rozsah útoku.

Další informace najdete v článku Ochrana koncových bodů pomocí integrovaného řešení EDR služby Security Center: Microsoft Defender for Endpoint.

Export snímků pro doporučení a zjištění zabezpečení (ve verzi Preview)

Defender for Cloud generuje podrobné výstrahy zabezpečení a doporučení. Můžete je zobrazit na portálu nebo prostřednictvím programových nástrojů. Můžete také potřebovat exportovat některé nebo všechny tyto informace pro sledování s jinými monitorovacími nástroji ve vašem prostředí.

Funkce průběžného exportu Defenderu pro cloud umožňuje plně přizpůsobit , co se bude exportovat a kam se bude exportovat. Přečtěte si další informace o průběžném exportu dat Microsoft Defenderu pro cloud.

I když se tato funkce nazývá nepřetržitě, existuje také možnost exportu týdenních snímků. Do této chvíle byly tyto týdenní snímky omezené na bezpečnostní skóre a data dodržování právních předpisů. Přidali jsme možnost exportu doporučení a zjištění zabezpečení.

Automatické zřízení řešení posouzení ohrožení zabezpečení vydaná pro obecnou dostupnost (GA)

V říjnu jsme oznámili přidání řešení posouzení ohrožení zabezpečení na stránku automatického zřizování Defenderu pro cloud. To je relevantní pro virtuální počítače Azure a počítače Azure Arc v předplatných chráněných azure Defenderem pro servery. Tato funkce je nyní vydána pro obecnou dostupnost (GA).

Pokud je povolená integrace s Programem Microsoft Defender for Endpoint , program Defender for Cloud nabízí volbu řešení posouzení ohrožení zabezpečení:

  • (NOVÝ) Microsoft threat and správa ohrožení zabezpečení modulem Microsoft Defender for Endpoint (viz poznámka k vydání verze)
  • Integrovaný agent Qualys

Zvolené řešení se automaticky povolí na podporovaných počítačích.

Další informace najdete v tématu Automatické konfigurace posouzení ohrožení zabezpečení pro vaše počítače.

Filtry inventáře softwaru v inventáři prostředků vydané pro obecnou dostupnost (GA)

V říjnu jsme oznámili nové filtry pro stránku inventáře aktiv pro výběr počítačů, na kterých běží konkrétní software , a dokonce jsme určili verze zájmu. Tato funkce je nyní vydána pro obecnou dostupnost (GA).

Data inventáře softwaru můžete dotazovat v Azure Resource Graph Exploreru.

Abyste mohli tyto funkce používat, budete muset povolit integraci s Microsoft Defenderem for Endpoint.

Úplné podrobnosti, včetně ukázkových dotazů Kusto pro Azure Resource Graph, najdete v tématu Přístup k inventáři softwaru.

Nové zásady zabezpečení AKS přidané do výchozí iniciativy

Aby se zajistilo, že jsou úlohy Kubernetes ve výchozím nastavení zabezpečené, zahrnuje Defender pro cloud zásady na úrovni Kubernetes a doporučení k posílení zabezpečení, včetně možností vynucení s řízením přístupu Kubernetes.

V rámci tohoto projektu jsme přidali zásadu a doporučení (ve výchozím nastavení zakázáno) pro gating deployment v clusterech Kubernetes. Zásady jsou ve výchozí iniciativě, ale jsou relevantní jenom pro organizace, které si zaregistrují související verzi Preview.

Zásady a doporučení můžete bezpečně ignorovat (clustery Kubernetes by měly vrátná nasazení ohrožených imagí) a na vaše prostředí to nebude mít žádný vliv.

Pokud se chcete zúčastnit verze Preview, budete muset být členem okruhu Preview. Pokud ještě nejste členem, odešlete sem žádost. Členové budou upozorněni na zahájení náhledu.

Zobrazení inventáře místníchpočítačůch

Abychom zlepšili prezentaci prostředků v inventáři prostředků, odebrali jsme ze šablony element "source-computer-IP" pro pojmenování místních počítačů.

  • Předchozí formát:machine-name_source-computer-id_VMUUID
  • Z této aktualizace:machine-name_VMUUID

Říjen 2021

Aktualizace v říjnu:

Služba Microsoft Threat and Vulnerability Management se přidala jako řešení posouzení ohrožení zabezpečení (ve verzi Preview)

Rozšířili jsme integraci mezi Azure Defenderem pro servery a Microsoft Defenderem for Endpoint, abychom podporovali nového poskytovatele posouzení ohrožení zabezpečení pro vaše počítače: hrozby Microsoftu a správa ohrožení zabezpečení.

Pomocí hrozeb a správa ohrožení zabezpečení můžete zjišťovat ohrožení zabezpečení a chybné konfigurace téměř v reálném čase s integrací s povoleným programem Microsoft Defender for Endpoint a bez nutnosti dalších agentů nebo pravidelných kontrol. Hrozby a správa ohrožení zabezpečení upřednostňují ohrožení zabezpečení na základě prostředí hrozeb a detekcí ve vaší organizaci.

Pomocí doporučení zabezpečení "Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení" můžete odhalit ohrožení zabezpečení zjištěná hrozbou a správa ohrožení zabezpečení pro vaše podporované počítače.

Pokud chcete na stávajících a nových počítačích automaticky zobrazit ohrožení zabezpečení, aniž byste museli doporučení opravovat ručně, přečtěte si téma Řešení posouzení ohrožení zabezpečení, která se teď dají automaticky povolit (ve verzi Preview).

Další informace najdete v článku Prozkoumání slabých stránek v programu Microsoft Defender for Endpoint a správa ohrožení zabezpečení.

Řešení posouzení ohrožení zabezpečení teď můžou být povolená automaticky (ve verzi Preview).

Stránka automatického zřizování služby Security Center teď obsahuje možnost automatického povolení řešení posouzení ohrožení zabezpečení pro virtuální počítače Azure a počítače Azure Arc v předplatných chráněných službou Azure Defender for Servers.

Pokud je povolená integrace s Programem Microsoft Defender for Endpoint , program Defender for Cloud nabízí volbu řešení posouzení ohrožení zabezpečení:

  • (NOVÝ) Microsoft threat and správa ohrožení zabezpečení modulem Microsoft Defender for Endpoint (viz poznámka k vydání verze)
  • Integrovaný agent Qualys

Nakonfigurujte automatické zřizování hrozeb a správa ohrožení zabezpečení Microsoftu ze služby Azure Security Center.

Zvolené řešení se automaticky povolí na podporovaných počítačích.

Další informace najdete v tématu Automatické konfigurace posouzení ohrožení zabezpečení pro vaše počítače.

Filtry inventáře softwaru přidané do inventáře prostředků (ve verzi Preview)

Stránka inventáře prostředků teď obsahuje filtr pro výběr počítačů, na kterých běží konkrétní software, a dokonce i určit verze zájmu.

Kromě toho můžete dotazovat data inventáře softwaru v Azure Resource Graph Exploreru.

Pokud chcete tyto nové funkce používat, budete muset povolit integraci s Programem Microsoft Defender for Endpoint.

Úplné podrobnosti, včetně ukázkových dotazů Kusto pro Azure Resource Graph, najdete v tématu Přístup k inventáři softwaru.

Pokud jste povolili řešení ohrožení zabezpečení a ohrožení zabezpečení, inventář prostředků služby Security Center nabízí filtr pro výběr prostředků podle nainstalovaného softwaru.

Změna předpony některých typů výstrah z ARM_ na VM_

V červenci 2021 jsme oznámili logickou změnu uspořádání upozornění Azure Defenderu pro Resource Manager.

Během přeuspořádání plánů Defenderu jsme přesunuli upozornění z Azure Defenderu pro Resource Manager do Azure Defenderu pro servery.

V této aktualizaci jsme změnili předpony těchto upozornění tak, aby odpovídaly tomuto opětovnému přiřazení, a nahradili jsme "ARM_" za "VM_", jak je znázorněno v následující tabulce:

Původní název Z této změny
ARM_AmBroadFilesExclusion VM_AmBroadFilesExclusion
ARM_AmDisablementAndCodeExecution VM_AmDisablementAndCodeExecution
ARM_AmDisablement VM_AmDisablement
ARM_AmFileExclusionAndCodeExecution VM_AmFileExclusionAndCodeExecution
ARM_AmTempFileExclusionAndCodeExecution VM_AmTempFileExclusionAndCodeExecution
ARM_AmTempFileExclusion VM_AmTempFileExclusion
ARM_AmRealtimeProtectionDisabled VM_AmRealtimeProtectionDisabled
ARM_AmTempRealtimeProtectionDisablement VM_AmTempRealtimeProtectionDisablement
ARM_AmRealtimeProtectionDisablementAndCodeExec VM_AmRealtimeProtectionDisablementAndCodeExec
ARM_AmMalwareCampaignRelatedExclusion VM_AmMalwareCampaignRelatedExclusion
ARM_AmTemporarilyDisablement VM_AmTemporarilyDisablement
ARM_UnusualAmFileExclusion VM_UnusualAmFileExclusion
ARM_CustomScriptExtensionSuspiciousCmd VM_CustomScriptExtensionSuspiciousCmd
ARM_CustomScriptExtensionSuspiciousEntryPoint VM_CustomScriptExtensionSuspiciousEntryPoint
ARM_CustomScriptExtensionSuspiciousPayload VM_CustomScriptExtensionSuspiciousPayload
ARM_CustomScriptExtensionSuspiciousFailure VM_CustomScriptExtensionSuspiciousFailure
ARM_CustomScriptExtensionUnusualDeletion VM_CustomScriptExtensionUnusualDeletion
ARM_CustomScriptExtensionUnusualExecution VM_CustomScriptExtensionUnusualExecution
ARM_VMAccessUnusualConfigReset VM_VMAccessUnusualConfigReset
ARM_VMAccessUnusualPasswordReset VM_VMAccessUnusualPasswordReset
ARM_VMAccessUnusualSSHReset VM_VMAccessUnusualSSHReset

Přečtěte si další informace o plánech Azure Defender for Resource Manager a Azure Defender for Servers .

Změny logiky doporučení zabezpečení pro clustery Kubernetes

Doporučení Clustery Kubernetes by neměly používat výchozí obor názvů, brání použití výchozího oboru názvů pro celou řadu typů prostředků. Byly odebrány dva typy prostředků, které byly zahrnuty v tomto doporučení: ConfigMap a Secret.

Další informace o tomto doporučení a posílení zabezpečení clusterů Kubernetes najdete v tématu Principy služby Azure Policy pro clustery Kubernetes.

Abychom upřesnili vztahy mezi různými doporučeními, přidali jsme do stránek s podrobnostmi mnoha doporučení oblast Související doporučení .

Existují tři typy relací, které se zobrazují na těchto stránkách:

  • Předpoklad – Doporučení, které musí být dokončeno před vybraným doporučením
  • Alternativní – jiné doporučení, které poskytuje jiný způsob, jak dosáhnout cílů vybraného doporučení
  • Závislý – doporučení, pro které je vybrané doporučení předpokladem

U každého souvisejícího doporučení se počet prostředků, které nejsou v pořádku, zobrazuje ve sloupci Ovlivněné prostředky.

Tip

Pokud je související doporučení neaktivní, její závislost ještě není dokončená a není k dispozici.

Příklad souvisejících doporučení:

  1. Security Center zkontroluje podporovaná řešení posouzení ohrožení zabezpečení na vašich počítačích:
    Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení.

  2. Pokud se některý z nich najde, dostanete oznámení o zjištěných ohroženích zabezpečení:
    Měla by se napravit ohrožení zabezpečení ve vašich virtuálních počítačích.

Security Center vás samozřejmě nemůže informovat o zjištěných ohroženích zabezpečení, pokud nenajde podporované řešení posouzení ohrožení zabezpečení.

Proto:

  • Doporučení č. 1 je předpokladem pro doporučení č. 2.
  • Doporučení č. 2 závisí na doporučení č. 1.

Snímek obrazovky s doporučením k nasazení řešení posouzení ohrožení zabezpečení

Snímek obrazovky s doporučením k řešení zjištěných ohrožení zabezpečení

Nová upozornění pro Azure Defender for Kubernetes (ve verzi Preview)

Abychom rozšířili ochranu před hrozbami poskytovanou azure Defenderem pro Kubernetes, přidali jsme dvě upozornění ve verzi Preview.

Tyto výstrahy se generují na základě nového modelu strojového učení a pokročilé analýzy Kubernetes, měření atributů nasazení a přiřazení rolí proti předchozím aktivitám v clusteru a napříč všemi clustery monitorovanými azure Defenderem.

Výstraha (typ výstrahy) Popis Taktika MITRE Závažnost
Neobvyklé nasazení podu (Preview)
(K8S_AnomalousPodDeployment)		 Analýza protokolu auditu Kubernetes zjistila nasazení podu, které je neobvyklé na základě předchozí aktivity nasazení podu. Tato aktivita je považována za anomálii při zohlednění toho, jak různé funkce, které jsou vidět v operaci nasazení, ve vztazích k sobě navzájem. Mezi funkce monitorované touto analýzou patří použitý registr imagí kontejneru, účet provádějící nasazení, den v týdnu, jak často tento účet provádí nasazení podů, uživatelský agent použitý v operaci, je to obor názvů, který se často používá k nasazení podů nebo k jiné funkci. Hlavní důvody pro vyvolání tohoto upozornění, protože neobvyklá aktivita je podrobně popsána v rozšířených vlastnostech výstrahy. Provádění Střední
Nadměrné oprávnění role přiřazená v clusteru Kubernetes (Preview)
(K8S_ServiceAcountPermissionAnomaly)		 Analýza protokolů auditu Kubernetes zjistila nadměrné přiřazení role oprávnění ke clusteru. Od zkoumání přiřazení rolí jsou uvedená oprávnění pro konkrétní účet služby neobvyklá. Tato detekce bere v úvahu předchozí přiřazení rolí ke stejnému účtu služby napříč clustery monitorovanými Azure, svazkem na oprávnění a dopadem konkrétního oprávnění. Model detekce anomálií používaný pro tuto výstrahu bere v úvahu způsob použití tohoto oprávnění napříč všemi clustery monitorovanými službou Azure Defender. Elevace oprávnění Nízká

Úplný seznam upozornění Kubernetes najdete v tématu Výstrahy pro clustery Kubernetes.

Září 2021

V září byla vydána následující aktualizace:

Dvě nová doporučení pro audit konfigurací operačního systému pro dodržování standardních hodnot zabezpečení Azure (ve verzi Preview)

Vydali jsme následující dvě doporučení k vyhodnocení dodržování předpisů vašich počítačů se standardními hodnotami zabezpečení Windows a standardními hodnotami zabezpečení Pro Linux:

Tato doporučení využívají funkci konfigurace hosta služby Azure Policy k porovnání konfigurace operačního systému počítače se standardními hodnotami definovanými v srovnávacím testu zabezpečení Azure.

Přečtěte si další informace o použití těchto doporučení v konfiguraci operačního systému počítače pomocí konfigurace hosta.

Srpen 2021

Aktualizace v srpnu:

Microsoft Defender for Endpoint for Linux teď podporuje Azure Defender for Servers (ve verzi Preview)

Azure Defender for Servers zahrnuje integrovanou licenci pro Microsoft Defender for Endpoint. Společně poskytují komplexní možnosti detekce a reakce u koncových bodů (EDR).

Když Defender for Endpoint detekuje hrozbu, aktivuje výstrahu. Výstraha se zobrazí ve službě Security Center. Ze služby Security Center můžete také přejít do konzoly Defenderu pro koncový bod a provést podrobné šetření, abyste odhalili rozsah útoku.

Během období Preview nasadíte senzor Defender for Endpoint for Linux na podporované počítače s Linuxem jedním ze dvou způsobů v závislosti na tom, jestli jste ho už nasadili na počítače s Windows:

Další informace najdete v článku Ochrana koncových bodů pomocí integrovaného řešení EDR služby Security Center: Microsoft Defender for Endpoint.

Dvě nová doporučení pro správu řešení ochrany koncových bodů (ve verzi Preview)

Přidali jsme dvě doporučení preview pro nasazení a údržbu řešení ochrany koncových bodů na vašich počítačích. Obě doporučení zahrnují podporu virtuálních počítačů Azure a počítačů připojených k serverům s podporou Azure Arc.

Doporučení Popis Závažnost
Ochrana koncových bodů by měla být nainstalovaná na vašich počítačích. Pokud chcete chránit počítače před hrozbami a ohroženími zabezpečení, nainstalujte podporované řešení ochrany koncových bodů. Přečtěte si další informace o tom, jak se vyhodnocuje Endpoint Protection pro počítače.
(Související zásady: Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center)		 Vysoká
Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích. Vyřešte problémy se stavem služby Endpoint Protection na virtuálních počítačích, abyste je ochránili před nejnovějšími hrozbami a ohroženími zabezpečení. Tady jsou popsané podporovaná řešení ochrany koncových bodů ve službě Azure Security Center. Posouzení ochrany koncových bodů je zde popsané.
(Související zásady: Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center)		 Střední

Poznámka:

Doporučení ukazují jejich interval aktuálnosti jako 8 hodin, ale některé scénáře, ve kterých to může trvat výrazně déle. Například při odstranění místního počítače trvá security Center 24 hodin, než odstranění identifikuje. Potom posouzení bude trvat až 8 hodin, než informace vrátí. V této konkrétní situaci proto může trvat 32 hodin, než se počítač odebere ze seznamu ovlivněných prostředků.

Indikátor intervalu aktuálnosti těchto dvou nových doporučení služby Security Center

Integrované řešení potíží a pokyny pro řešení běžných problémů

Nová vyhrazená oblast stránek služby Security Center na webu Azure Portal poskytuje kompletovanou a stále rostoucí sadu materiálů samoobslužné pomoci pro řešení běžných problémů se službou Security Center a Azure Defenderem.

Pokud máte problém nebo hledáte radu od našeho týmu podpory, diagnostika a řešení problémů je dalším nástrojem, který vám pomůže najít řešení:

Stránka Diagnostika a řešení problémů ve službě Security Center

Sestavy auditu Azure pro řídicí panel dodržování právních předpisů vydané pro obecnou dostupnost (GA)

Panel nástrojů řídicího panelu dodržování právních předpisů nabízí sestavy certifikace Azure a Dynamics pro standardy použité pro vaše předplatná.

Panel nástrojů řídicího panelu dodržování právních předpisů zobrazující tlačítko pro generování sestav auditu

Můžete vybrat kartu relevantních typů sestav (PCI, SOC, ISO a další) a pomocí filtrů najít konkrétní sestavy, které potřebujete.

Další informace najdete v tématu Generování zpráv o stavu dodržování předpisů a certifikátů.

Seznamy na záložkách dostupných sestav auditu Azure Zobrazené karty jsou karty pro sestavy ISO, sestavy SOC, PCI a další.

Zastaralé doporučení Problémy se stavem agenta Log Analytics by se měly vyřešit na vašich počítačích.

Zjistili jsme, že na vašich počítačích by měly být vyřešeny problémy se stavem agenta Log Analytics, které mají vliv na skóre zabezpečení, a to způsoby, které jsou nekonzistentní s fokusem služby Security Center na správu stavu zabezpečení cloudu (CSPM). CsPM obvykle souvisí s identifikací chybných konfigurací zabezpečení. Problémy se stavem agenta se nevejdou do této kategorie problémů.

Doporučení je také anomálie ve srovnání s ostatními agenty souvisejícími se službou Security Center: toto je jediný agent s doporučením souvisejícím s problémy se stavem.

Doporučení bylo zastaralé.

V důsledku tohoto vyřazení jsme také provedli menší změny doporučení pro instalaci agenta Log Analytics (agent Log Analytics by se měl nainstalovat na...).

Je pravděpodobné, že tato změna ovlivní vaše skóre zabezpečení. U většiny předplatných očekáváme, že změna povede ke zvýšení skóre, ale je možné, že aktualizace doporučení k instalaci můžou v některých případech vést ke snížení skóre.

Tip

Tato změna ovlivnila také stránku inventáře aktiv, protože zobrazuje monitorovaný stav počítačů (monitorovaný, nemonitorovaný nebo částečně monitorovaný – stav, který odkazuje na agenta s problémy se stavem).

Azure Defender pro registry kontejnerů zahrnuje kontrolu ohrožení zabezpečení pro prohledávání imagí v registrech služby Azure Container Registry. Naučte se kontrolovat registry a opravovat zjištění v azure Defenderu pro registry kontejnerů ke kontrole ohrožení zabezpečení imagí.

Pokud chcete omezit přístup k registru hostovaného ve službě Azure Container Registry, přiřaďte koncové body registru privátní IP adresy virtuální sítě a použijte Službu Azure Private Link, jak je vysvětleno v Připojení privátním přístupu k registru kontejnerů Azure pomocí služby Azure Private Link.

V rámci našeho průběžného úsilí o podporu dalších prostředí a případů použití teď Azure Defender také kontroluje registry kontejnerů chráněné službou Azure Private Link.

Security Center teď může automaticky zprostředkovat rozšíření konfigurace hosta služby Azure Policy (ve verzi Preview).

Azure Policy může auditovat nastavení uvnitř počítače, a to jak pro počítače spuštěné v Azure, tak i pro počítače připojené k Arc. Ověřování se provádí pomocí rozšíření Konfigurace hosta a prostřednictvím klienta. Další informace najdete v článku Vysvětlení konfigurace hosta ve službě Azure Policy.

S touto aktualizací teď můžete security Center nastavit tak, aby toto rozšíření automaticky zřizovat pro všechny podporované počítače.

Povolte automatické nasazení rozšíření Konfigurace hosta.

Další informace o tom, jak funguje automatické zřizování, najdete v tématu Konfigurace automatického zřizování pro agenty a rozšíření.

Doporučení k povolení plánů Azure Defenderu teď podporují vynucení.

Security Center obsahuje dvě funkce, které pomáhají zajistit, aby se nově vytvořené prostředky zřídily zabezpečeným způsobem: vynucování a zamítnutí. Když doporučení nabízí tyto možnosti, můžete zajistit splnění požadavků na zabezpečení, kdykoli se někdo pokusí vytvořit prostředek:

  • Zakázat, aby se nevytvořily prostředky, které nejsou v pořádku
  • Vynucování automaticky opraví prostředky, které nedodržují předpisy, když se vytvoří

V této aktualizaci je teď možnost vynucení dostupná na doporučeních pro povolení plánů Azure Defenderu (jako je azure Defender pro App Service by měla být povolená, azure Defender pro Key Vault by měl být povolený, měl by být povolený Azure Defender for Storage).

Další informace otěchtoch

Exporty csv s daty doporučení jsou teď omezené na 20 MB.

Při exportu dat doporučení služby Security Center zavádíme limit 20 MB.

Tlačítko Stáhnout sestavu CSV ve službě Security Center pro export dat doporučení

Pokud potřebujete exportovat větší objemy dat, použijte před výběrem dostupné filtry nebo vyberte podmnožinu vašich předplatných a stáhněte si data v dávkách.

Filtrování předplatných na webu Azure Portal

Přečtěte si další informace o exportu sdíleného svazku clusteru s doporučeními zabezpečení.

Stránka Doporučení teď obsahuje více zobrazení.

Stránka s doporučeními teď obsahuje dvě karty, které poskytují alternativní způsoby zobrazení doporučení relevantních pro vaše prostředky:

  • Doporučení k skóre zabezpečení – Na této kartě můžete zobrazit seznam doporučení seskupených podle ovládacího prvku zabezpečení. Přečtěte si další informace o těchto ovládacích prvcích zabezpečení a jejich doporučeních.
  • Všechna doporučení – na této kartě můžete zobrazit seznam doporučení jako plochý seznam. Tato karta je také skvělá pro pochopení toho, která iniciativa (včetně standardů dodržování právních předpisů) doporučení vygenerovala. Přečtěte si další informace o iniciativách a jejich vztahu k doporučením v tématu Co jsou zásady zabezpečení, iniciativy a doporučení?

Karty pro změnu zobrazení seznamu doporučení ve službě Azure Security Center

Červenec 2021

Aktualizace v červenci:

Konektor Azure Sentinel teď obsahuje volitelnou obousměrnou synchronizaci upozornění (ve verzi Preview).

Security Center se nativně integruje se službou Azure Sentinel, cloudovým nativním řešením SIEM a SOAR v Azure.

Azure Sentinel zahrnuje integrované konektory pro Azure Security Center na úrovni předplatného a tenanta. Další informace najdete v upozorněních služby Stream do služby Azure Sentinel.

Když připojíte Azure Defender k Azure Sentinelu, stav upozornění Azure Defenderu, která se ingestují do Služby Azure Sentinel, se synchronizuje mezi těmito dvěma službami. Pokud je například výstraha v Azure Defenderu zavřená, zobrazí se tato výstraha také jako uzavřená ve službě Azure Sentinel. Změna stavu výstrahy v Azure Defenderu nemá vliv na stav všech incidentů Azure Sentinelu, které obsahují synchronizovanou výstrahu Azure Sentinelu, pouze na samotné synchronizované upozornění.

Když povolíte obousměrnou synchronizaci upozornění ve verzi Preview, automaticky synchronizuje stav původních upozornění Azure Defenderu s incidenty Azure Sentinelu, které obsahují kopie těchto upozornění Azure Defenderu. Takže když se například zavře incident služby Azure Sentinel obsahující výstrahu Azure Defenderu, Azure Defender automaticky zavře odpovídající původní výstrahu.

Další informace najdete v Připojení upozornění Azure Defenderu ze služby Azure Security Center.

Logická změna uspořádání upozornění Azure Defenderu pro Resource Manager

Níže uvedené výstrahy byly poskytnuty jako součást plánu Azure Defender for Resource Manager .

V rámci logické reorganizace některých plánů Azure Defenderu jsme přesunuli některá upozornění z Azure Defenderu pro Resource Manager do Azure Defenderu pro servery.

Výstrahy jsou uspořádány podle dvou hlavních principů:

  • Výstrahy, které poskytují ochranu roviny řízení – napříč mnoha typy prostředků Azure – jsou součástí Azure Defenderu pro Resource Manager
  • Výstrahy, které chrání konkrétní úlohy, jsou v plánu Azure Defenderu, který souvisí s odpovídající úlohou

Toto jsou výstrahy, které byly součástí Azure Defenderu pro Resource Manager a které jsou v důsledku této změny nyní součástí Azure Defenderu pro servery:

  • ARM_AmBroadFilesExclusion
  • ARM_AmDisablementAndCodeExecution
  • ARM_AmDisablement
  • ARM_AmFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusion
  • ARM_AmRealtimeProtectionDisabled
  • ARM_AmTempRealtimeProtectionDisablement
  • ARM_AmRealtimeProtectionDisablementAndCodeExec
  • ARM_AmMalwareCampaignRelatedExclusion
  • ARM_AmTemporarilyDisablement
  • ARM_UnusualAmFileExclusion
  • ARM_CustomScriptExtensionSuspiciousCmd
  • ARM_CustomScriptExtensionSuspiciousEntryPoint
  • ARM_CustomScriptExtensionSuspiciousPayload
  • ARM_CustomScriptExtensionSuspiciousFailure
  • ARM_CustomScriptExtensionUnusualDeletion
  • ARM_CustomScriptExtensionUnusualExecution
  • ARM_VMAccessUnusualConfigReset
  • ARM_VMAccessUnusualPasswordReset
  • ARM_VMAccessUnusualSSHReset

Přečtěte si další informace o plánech Azure Defender for Resource Manager a Azure Defender for Servers .

Vylepšení doporučení pro povolení služby Azure Disk Encryption (ADE)

Po odeslání zpětné vazby uživatelů jsme přejmenovali na virtuální počítače doporučené šifrování disků.

Nové doporučení používá stejné ID posouzení a označuje se jako Virtuální počítače, měly by šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště.

Popis byl také aktualizován, aby lépe vysvětlil účel tohoto doporučení posílení zabezpečení:

Doporučení Popis Závažnost
Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. Ve výchozím nastavení se operační systém a datové disky virtuálního počítače šifrují neaktivní uložená data pomocí klíčů spravovaných platformou; dočasné disky a mezipaměti dat nejsou šifrované a při toku mezi výpočetními prostředky a prostředky úložiště se data nešifrují. Další informace najdete v porovnání různých technologií šifrování disků v Azure.
Pomocí služby Azure Disk Encryption zašifrujte všechna tato data. Toto doporučení ignorujte, pokud (1) používáte funkci šifrování na hostiteli nebo (2) šifrování na straně serveru na Spravované disky splňuje vaše požadavky na zabezpečení. Další informace najdete v šifrování Azure Disk Storage na straně serveru.		 Vysoká

Průběžný export dat o skóre zabezpečení a dodržování právních předpisů vydaných pro obecnou dostupnost (GA)

Průběžný export poskytuje mechanismus pro export výstrah zabezpečení a doporučení pro sledování s dalšími monitorovacími nástroji ve vašem prostředí.

Když nastavíte průběžný export, nakonfigurujete, co se exportuje a kam se přesune. Další informace najdete v přehledu průběžného exportu.

Tuto funkci jsme v průběhu času vylepšili a rozšířili:

V této aktualizaci jsou tyto dvě možnosti vydány pro obecnou dostupnost (GA).

Automatizace pracovních postupů se dají aktivovat změnami posouzení dodržování právních předpisů (GA).

V únoru 2021 jsme do možností triggeru pro automatizaci pracovních postupů přidali třetí datový typ preview : změny v posouzení dodržování právních předpisů. Další informace o automatizacích pracovních postupů můžou aktivovat změny v posouzení dodržování právních předpisů.

V této aktualizaci je tato možnost triggeru vydána pro obecnou dostupnost (GA).

Naučte se používat nástroje pro automatizaci pracovních postupů v automatizaci odpovědí na triggery služby Security Center.

Použití změn v posouzení dodržování právních předpisů k aktivaci automatizace pracovního postupu

Pole rozhraní API pro posouzení FirstEvaluationDate a StatusChangeDate je teď dostupné ve schématech pracovních prostorů a aplikacích logiky.

V květnu 2021 jsme aktualizovali rozhraní API pro posouzení o dvě nová pole FirstEvaluationDate a StatusChangeDate. Úplné podrobnosti najdete v rozbaleném rozhraní API pro posouzení se dvěma novými poli.

Tato pole byla přístupná prostřednictvím rozhraní REST API, Azure Resource Graphu, průběžného exportu a v exportech CSV.

Díky této změně zpřístupňujeme informace ve schématu pracovního prostoru služby Log Analytics a z aplikací logiky.

V březnu jsme oznámili integrované prostředí sešitů služby Azure Monitor ve službě Security Center (viz sešity služby Azure Monitor integrované do služby Security Center a tři poskytnuté šablony).

Počáteční verze obsahovala tři šablony pro vytváření dynamických a vizuálních sestav o stavu zabezpečení vaší organizace.

Teď jsme přidali sešit vyhrazený ke sledování dodržování předpisů nebo oborových standardů předplatného.

Seznamte se s používáním těchto sestav nebo vytvářením vlastních sestav v bohatých interaktivních sestavách dat služby Security Center.

Sešit dodržování předpisů ve službě Azure Security Center v průběhu času

Červen 2021

Aktualizace v červnu zahrnují:

Nové upozornění pro Azure Defender for Key Vault

Abychom rozšířili ochranu před hrozbami poskytovanou službou Azure Defender for Key Vault, přidali jsme následující upozornění:

Výstraha (typ výstrahy) Popis Taktika MITRE Závažnost
Přístup z podezřelé IP adresy k trezoru klíčů
(KV_SuspiciousIPAccess)		 Trezor klíčů byl úspěšně přístupný IP identifikovanou službou Microsoft Threat Intelligence jako podezřelou IP adresou. To může znamenat, že vaše infrastruktura byla ohrožena. Doporučujeme provést další šetření. Přečtěte si další informace o možnostech analýzy hrozeb od Microsoftu. Přístup k přihlašovacím údajům Střední

Další informace naleznete v tématu:

Doporučení k šifrování pomocí klíčů spravovaných zákazníkem (CMK) ve výchozím nastavení

Security Center obsahuje několik doporučení k šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem, například:

  • Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem (CMK).
  • Účty služby Azure Cosmos DB by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.
  • Pracovní prostory azure machine Učení by měly být šifrované pomocí klíče spravovaného zákazníkem (CMK).

Data v Azure se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by se mělo použít jenom v případě, že se vyžaduje dodržování konkrétních zásad, které se vaše organizace rozhodla vynutit.

Při této změně jsou teď doporučení k používání sad CMK ve výchozím nastavení zakázaná. Pokud jsou relevantní pro vaši organizaci, můžete je povolit změnou parametru Efekt odpovídajících zásad zabezpečení na AuditIfNotExists nebo Enforce. Další informace najdete v článku Povolení doporučení zabezpečení.

Tato změna se projeví v názvech doporučení s novou předponou [Povolit v případě potřeby], jak je znázorněno v následujících příkladech:

  • [Povolit v případě potřeby] Účty úložiště by měly k šifrování neaktivních uložených dat používat klíč spravovaný zákazníkem.
  • [Povolit v případě potřeby] Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem (CMK).
  • [Povolit v případě potřeby] Účty služby Azure Cosmos DB by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.

Doporučení CMK služby Security Center budou ve výchozím nastavení zakázaná.

Předpona pro upozornění Kubernetes se změnila z "AKS_" na "K8S_"

Azure Defender pro Kubernetes nedávno rozšířil o ochranu clusterů Kubernetes hostovaných místně i v prostředích s více cloudy. Další informace o použití Azure Defenderu pro Kubernetes k ochraně hybridních a multicloudových nasazení Kubernetes (ve verzi Preview)

Abychom odráželi skutečnost, že výstrahy zabezpečení poskytované Azure Defenderem pro Kubernetes už nejsou omezené na clustery ve službě Azure Kubernetes Service, změnili jsme předponu typů výstrah z "AKS_" na "K8S_". V případě potřeby se také aktualizovaly názvy a popisy. Například tato výstraha:

Výstraha (typ výstrahy) Popis
Zjistil se nástroj pro penetrační testování Kubernetes.
(AKS_PenTestToolsKubeHunter)		 Analýza protokolu auditu Kubernetes zjistila využití nástroje pro penetrační testování Kubernetes v clusteru AKS . I když toto chování může být legitimní, útočníci můžou takové veřejné nástroje používat pro škodlivé účely.

Změna na tuto výstrahu:

Výstraha (typ výstrahy) Popis
Zjistil se nástroj pro penetrační testování Kubernetes.
(K8S_PenTestToolsKubeHunter)		 Analýza protokolu auditu Kubernetes zjistila využití nástroje pro penetrační testování Kubernetes v clusteru Kubernetes . I když toto chování může být legitimní, útočníci můžou takové veřejné nástroje používat pro škodlivé účely.

Všechna pravidla potlačení, která odkazují na výstrahy začínající na "AKS_", byly automaticky převedeny. Pokud jste nastavili exporty SIEM nebo vlastní automatizační skripty, které odkazují na výstrahy Kubernetes podle typu upozornění, budete je muset aktualizovat pomocí nových typů upozornění.

Úplný seznam upozornění Kubernetes najdete v tématu Výstrahy pro clustery Kubernetes.

Zastaralá dvě doporučení z ovládacího prvku Zabezpečení Použít aktualizace systému

Následující dvě doporučení jsou zastaralá:

  • Pro role cloudové služby by se měla aktualizovat verze operačního systému – Azure ve výchozím nastavení pravidelně aktualizuje hostovaný operační systém na nejnovější podporovanou image v rámci řady operačních systémů, kterou jste zadali v konfiguraci služby (.cscfg), jako je Windows Server 2016.
  • Služby Kubernetes by se měly upgradovat na verzi Kubernetes , která není ohrožená . Hodnocení tohoto doporučení nejsou tak široké, jak bychom chtěli. Plánujeme nahradit doporučení vylepšenou verzí, která je lépe v souladu s vašimi potřebami zabezpečení.

2021. květen

Aktualizace v květnu zahrnují:

Azure Defender pro DNS a Azure Defender for Resource Manager vydané pro obecnou dostupnost (GA)

Tyto dva plány ochrany před hrozbami nativní pro cloud jsou teď obecně dostupné.

Tyto nové ochrany výrazně zvyšují odolnost proti útokům z herců před hrozbami a výrazně zvyšují počet prostředků Azure chráněných službou Azure Defender.

Pokud chcete zjednodušit proces povolování těchto plánů, použijte doporučení:

  • Azure Defender for Resource Manager by měl být povolený.
  • Azure Defender pro DNS by měl být povolený.

Poznámka:

Povolení plánů Azure Defenderu vede k poplatkům. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center.

Azure Defender pro opensourcové relační databáze vydané pro obecnou dostupnost (GA)

Azure Security Center rozšiřuje svou nabídku pro ochranu SQL novou sadou, která pokrývá vaše opensourcové relační databáze:

  • Azure Defender pro databázové servery Azure SQL – chrání vaše sql servery nativní pro Azure
  • Azure Defender pro SQL servery na počítačích – rozšiřuje stejnou ochranu na vaše SQL servery v hybridních, multicloudových a místních prostředích.
  • Azure Defender pro opensourcové relační databáze – chrání jednoúčelové servery Azure Database for MySQL, PostgreSQL a MariaDB.

Azure Defender pro opensourcové relační databáze neustále monitoruje vaše servery pro bezpečnostní hrozby a detekuje neobvyklé databázové aktivity označující potenciální hrozby pro Azure Database for MySQL, PostgreSQL a MariaDB. Zde je několik příkladů:

  • Podrobná detekce útoků hrubou silou – Azure Defender pro opensourcové relační databáze poskytuje podrobné informace o pokusech a úspěšných útocích hrubou silou. Díky tomu můžete prozkoumat a reagovat s podrobnějším pochopením povahy a stavu útoku na vaše prostředí.
  • Detekce upozornění chování – Azure Defender pro opensourcové relační databáze vás upozorní na podezřelé a neočekávané chování na vašich serverech, jako jsou změny ve vzoru přístupu k vaší databázi.
  • Detekce založená na analýze hrozeb – Azure Defender používá analýzu hrozeb Od Microsoftu a rozsáhlou znalostní báze k upozorněním na hrozby, abyste s nimi mohli jednat.

Další informace najdete v úvodu do Azure Defenderu pro opensourcové relační databáze.

Nová upozornění pro Azure Defender for Resource Manager

Abychom rozšířili ochranu před hrozbami poskytovanou azure Defenderem pro Resource Manager, přidali jsme následující výstrahy:

Výstraha (typ výstrahy) Popis Taktika MITRE Závažnost
Oprávnění udělená pro roli RBAC neobvyklým způsobem pro vaše prostředí Azure (Preview)
(ARM_AnomalousRBACRoleAssignment)		 Azure Defender for Resource Manager zjistil přiřazení role RBAC, které je neobvyklé ve srovnání s jinými přiřazeními prováděnými stejným přiřazovačem nebo prováděným pro stejného přiřazeného uživatele / ve vašem tenantovi kvůli následujícím anomáliím: čas přiřazení, umístění přiřazovače, přiřazovač, metoda ověřování, přiřazené entity, použitý klientský software, rozsah přiřazení. Tato operace mohla být provedena legitimním uživatelem ve vaší organizaci. Případně to může znamenat, že došlo k porušení zabezpečení účtu ve vaší organizaci a že se aktér hrozby pokouší udělit oprávnění dalšímu uživatelskému účtu, který vlastní. Laterální pohyb, obrana před únikem Střední
Privilegovaná vlastní role vytvořená pro vaše předplatné podezřelým způsobem (Preview)
(ARM_PrivilegedRoleDefinitionCreation)		 Azure Defender pro Resource Manager zjistil podezřelé vytvoření definice privilegované vlastní role ve vašem předplatném. Tato operace mohla být provedena legitimním uživatelem ve vaší organizaci. Případně to může znamenat, že došlo k porušení zabezpečení účtu ve vaší organizaci a že se aktér hrozby pokouší vytvořit privilegovanou roli, která se použije v budoucnu k odstranění detekce. Laterální pohyb, obrana před únikem Nízká
Operace Azure Resource Manageru z podezřelé IP adresy (Preview)
(ARM_OperationFromSuspiciousIP)		 Azure Defender for Resource Manager zjistil operaci z IP adresy, která byla označena jako podezřelá v informačních kanálech analýzy hrozeb. Provádění Střední
Operace Azure Resource Manageru z podezřelé IP adresy proxy serveru (Preview)
(ARM_OperationFromSuspiciousProxyIP)		 Azure Defender for Resource Manager zjistil operaci správy prostředků z IP adresy přidružené ke službám proxy, jako je TOR. I když toto chování může být legitimní, často se to projevuje ve škodlivých aktivitách, když se aktéři hrozeb pokusí skrýt zdrojovou IP adresu. Obrana před únikem Střední

Další informace naleznete v tématu:

Kontrola ohrožení zabezpečení CI/CD s využitím pracovních postupů GitHubu a Azure Defenderu (Preview)

Azure Defender pro registry kontejnerů teď poskytuje týmům DevSecOps pozorovatelnost v pracovních postupech GitHub Actions.

Nová funkce kontroly ohrožení zabezpečení pro image kontejnerů, která využívá Trivy, vám pomůže vyhledat běžná ohrožení zabezpečení v jejich imagích kontejnerů před nasdílením imagí do registrů kontejnerů.

Sestavy kontroly kontejnerů jsou shrnuté ve službě Azure Security Center a poskytují týmům zabezpečení lepší přehled a porozumění zdroji ohrožených imagí kontejnerů a pracovních postupů a úložišť, ze kterých pocházejí.

Další informace najdete v článku Identifikace ohrožených imagí kontejnerů v pracovních postupech CI/CD.

Pro některá doporučení jsou k dispozici další dotazy Resource Graphu.

Všechna doporučení služby Security Center mají možnost zobrazit informace o stavu ovlivněných prostředků pomocí Azure Resource Graphu z dotazu Otevřít. Úplné podrobnosti o této výkonné funkci najdete v tématu Kontrola dat doporučení v Azure Resource Graph Exploreru (ARG).

Security Center obsahuje integrované kontroly ohrožení zabezpečení pro kontrolu virtuálních počítačů, SQL serverů a jejich hostitelů a registrů kontejnerů z hlediska ohrožení zabezpečení. Tato zjištění se vrátí jako doporučení se všemi jednotlivými zjištěními jednotlivých typů prostředků shromážděnými do jednoho zobrazení. Doporučení jsou:

  • Chyby zabezpečení v imagích služby Azure Container Registry by se měly napravit (využívají technologii Qualys).
  • Měla by se napravit ohrožení zabezpečení ve vašich virtuálních počítačích.
  • Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení
  • Vyřešené zjištění ohrožení zabezpečení u SQL serverů na počítačích

Pomocí této změny můžete pomocí tlačítka Otevřít dotaz otevřít také dotaz zobrazující zjištění zabezpečení.

Tlačítko Otevřít dotaz teď nabízí možnosti pro hlubší dotaz zobrazující zjištění zabezpečení pro doporučení související se skenerem ohrožení zabezpečení.

Tlačítko Otevřít dotaz nabízí další možnosti pro některá další doporučení, pokud jsou relevantní.

Další informace o skenerech ohrožení zabezpečení služby Security Center:

Změna závažnosti doporučení klasifikace dat SQL

Závažnost doporučení Citlivá data v databázích SQL by se měla klasifikovat z vysoké na nízká.

Toto je součástí probíhající změny tohoto doporučení oznámené na naší stránce nadcházejících změn.

Nová doporučení pro povolení důvěryhodných možností spouštění (ve verzi Preview)

Azure nabízí důvěryhodné spuštění jako bezproblémový způsob, jak zlepšit zabezpečení virtuálních počítačů generace 2 . generace. Důvěryhodné spuštění chrání před pokročilými a trvalými technikami útoku. Důvěryhodné spuštění se skládá z několika koordinovaných technologií infrastruktury, které lze povolit nezávisle. Každá technologie poskytuje další vrstvu ochrany před sofistikovanými hrozbami. Přečtěte si další informace o důvěryhodném spuštění pro virtuální počítače Azure.

Důležité

Důvěryhodné spuštění vyžaduje vytvoření nových virtuálních počítačů. U existujících virtuálních počítačů, které byly původně vytvořeny bez něj, nelze povolit důvěryhodné spuštění.

Důvěryhodné spuštění je aktuálně ve verzi Public Preview. Verze Preview se poskytuje bez smlouvy o úrovni služeb a nedoporučuje se pro produkční úlohy. Některé funkce se nemusí podporovat nebo mohou mít omezené možnosti.

Doporučení služby Security Center, virtuální počítač vTPM by měl být povolený na podporovaných virtuálních počítačích a zajišťuje, že vaše virtuální počítače Azure používají virtuální počítač vTPM. Tato virtualizovaná verze hardwarového modulu Trusted Platform Module umožňuje ověření pomocí měření celého spouštěcího řetězce vašeho virtuálního počítače (UEFI, OS, systému a ovladačů).

S povoleným virtuálním heslem může rozšíření Ověření identity hosta vzdáleně ověřit zabezpečené spouštění. Následující doporučení zajišťují, že je toto rozšíření nasazené:

  • Na podporovaných virtuálních počítačích s Windows by mělo být povolené zabezpečené spouštění.
  • Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Windows.
  • Rozšíření Ověření identity hosta by se mělo nainstalovat na podporované škálovací sady virtuálních počítačů s Windows.
  • Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Linuxem.
  • Rozšíření Ověření identity hosta by se mělo nainstalovat na podporované škálovací sady virtuálních počítačů s Linuxem.

Přečtěte si další informace o důvěryhodném spuštění pro virtuální počítače Azure.

Nová doporučení pro posílení zabezpečení clusterů Kubernetes (ve verzi Preview)

Následující doporučení umožňují ještě více posílit zabezpečení clusterů Kubernetes.

  • Clustery Kubernetes by neměly používat výchozí obor názvů – Pokud chcete chránit před neoprávněným přístupem pro typy prostředků ConfigMap, Pod, Secret, Service a ServiceAccount, zabraňte použití výchozího oboru názvů v clusterech Kubernetes.
  • Clustery Kubernetes by měly zakázat automatické připojování přihlašovacích údajů rozhraní API – Pokud chcete zabránit potenciálně ohroženým prostředkům podu ve spouštění příkazů rozhraní API pro clustery Kubernetes, zakažte přihlašovací údaje rozhraní API pro automatické připojování.
  • Clustery Kubernetes by neměly udělovat možnosti zabezpečení CAPSYSADMIN

Zjistěte, jak security Center dokáže chránit kontejnerizovaná prostředí v zabezpečení kontejnerů ve službě Security Center.

Rozbalené rozhraní API pro posouzení se dvěma novými poli

Do rozhraní REST API pro posouzení jsme přidali následující dvě pole:

  • FirstEvaluationDate – čas vytvoření a vyhodnocení doporučení. Vráceno jako čas UTC ve formátu ISO 8601.
  • StatusChangeDate – čas poslední změny stavu doporučení. Vráceno jako čas UTC ve formátu ISO 8601.

Počáteční výchozí hodnota pro tato pole – pro všechna doporučení – je 2021-03-14T00:00:00+0000000Z.

Pro přístup k tomuto informacím můžete použít některou z metod v následující tabulce.

Nástroj Detaily
Volání rozhraní REST API GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates
Azure Resource Graph securityresources
where type == "microsoft.security/assessments"
Průběžný export Dvě vyhrazená pole budou k dispozici data pracovního prostoru služby Log Analytics.
Export CSV Dvě pole jsou zahrnutá v souborech CSV.

Přečtěte si další informace o rozhraní REST API pro posouzení.

Inventář prostředků získá filtr cloudového prostředí.

Stránka inventáře prostředků služby Security Center nabízí mnoho filtrů pro rychlé upřesnění seznamu zobrazených prostředků. Další informace najdete v části Prozkoumání a správa prostředků pomocí inventáře prostředků.

Nový filtr nabízí možnost upřesnit seznam podle cloudových účtů, které jste připojili k funkcím služby Security Center pro vícecloud:

Filtr prostředí inventáře

Další informace o možnostech s více cloudy:

2021. duben

Aktualizace v dubnu patří:

Obnovená stránka stavu prostředku (ve verzi Preview)

Služba Resource Health byla rozšířena, vylepšena a vylepšena tak, aby poskytovala přehled o celkovém stavu jednoho prostředku.

Můžete si projít podrobné informace o prostředku a všechna doporučení, která se na tento prostředek vztahují. Pokud používáte plány rozšířené ochrany v programu Microsoft Defender, můžete také zobrazit nezaplacené výstrahy zabezpečení pro tento konkrétní prostředek.

Pokud chcete otevřít stránku stavu prostředku pro prostředek, vyberte na stránce inventáře prostředků libovolný prostředek.

Tato stránka náhledu na stránkách portálu služby Security Center zobrazuje:

  1. Informace o prostředku – skupina prostředků a předplatné, ke kterému je připojená, zeměpisné umístění a další.
  2. Použitá funkce zabezpečení – určuje, jestli je pro prostředek povolený Azure Defender.
  3. Počty nevyřízených doporučení a upozornění – počet nevyřízených doporučení zabezpečení a upozornění Azure Defenderu
  4. Doporučení a upozornění s možností akce – Dvě karty uvádějí doporučení a výstrahy, které se vztahují na prostředek.

Stránka stavu prostředků služby Azure Security Center zobrazující informace o stavu virtuálního počítače

Další informace najdete v kurzu: Prozkoumání stavu vašich prostředků.

Image registru kontejneru, které byly nedávno staženy, se teď znovu naskenují každý týden (vydané pro obecnou dostupnost (GA))

Azure Defender pro registry kontejnerů zahrnuje integrovanou kontrolu ohrožení zabezpečení. Tento skener okamžitě naskenuje všechny image, které nasdílíte do registru, a všechny image načítané během posledních 30 dnů.

Nová ohrožení zabezpečení se zjistila každý den. V této aktualizaci se image kontejnerů, které byly načítané z vašich registrů během posledních 30 dnů, znovu naskenují každý týden. Tím se zajistí, že se na obrázcích identifikují nově zjištěná ohrožení zabezpečení.

Skenování se účtuje na základě obrázku, takže za tyto opakované prohledávání se neúčtují žádné další poplatky.

Další informace o tomto skeneru najdete v tématu Použití Azure Defenderu pro registry kontejnerů ke kontrole ohrožení zabezpečení imagí.

Použití Azure Defenderu pro Kubernetes k ochraně hybridních a multicloudových nasazení Kubernetes (ve verzi Preview)

Azure Defender pro Kubernetes rozšiřuje své možnosti ochrany před hrozbami, aby chránil vaše clustery bez ohledu na to, kde jsou nasazené. To bylo povoleno integrací s Kubernetes s podporou Azure Arc a jeho novými možnostmi rozšíření.

Když povolíte Azure Arc na clusterech mimo Azure Kubernetes, nabídne azure Security Center nové doporučení k nasazení agenta Azure Defenderu jenom několika kliknutími.

Použijte doporučení (clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Azure Defenderu) a rozšíření pro ochranu clusterů Kubernetes nasazených v jiných poskytovatelích cloudu, i když ne ve spravovaných službách Kubernetes.

Tato integrace mezi Azure Security Center, Azure Defenderem a Kubernetes s podporou Azure Arc přináší:

  • Snadné zřizování agenta Azure Defenderu pro nechráněné clustery Kubernetes s podporou Azure Arc (ručně i ve velkém)
  • Monitorování agenta Azure Defenderu a jeho stavu zřizování z portálu Azure Arc
  • Doporučení zabezpečení ze služby Security Center se hlásí na nové stránce Zabezpečení na portálu Azure Arc.
  • Zjištěné bezpečnostní hrozby z Azure Defenderu se zobrazují na nové stránce zabezpečení na portálu Azure Arc.
  • Clustery Kubernetes s podporou Azure Arc jsou integrované do platformy a prostředí služby Azure Security Center.

Přečtěte si další informace o použití Azure Defenderu pro Kubernetes s místními a multicloudovými clustery Kubernetes.

Doporučení služby Azure Security Center pro nasazení agenta Azure Defenderu pro clustery Kubernetes s podporou Azure Arc

Integrace Microsoft Defenderu pro koncové body s Azure Defenderem teď podporuje Windows Server 2019 a Windows 10 ve Windows Virtual Desktopu vydané pro obecnou dostupnost (GA).

Microsoft Defender for Endpoint je ucelené cloudové řešení zabezpečení koncových bodů. Poskytuje správa ohrožení zabezpečení a hodnocení na základě rizik a také detekce a reakce u koncových bodů (EDR). Úplný seznam výhod použití defenderu pro koncový bod společně se službou Azure Security Center najdete v tématu Ochrana koncových bodů pomocí integrovaného řešení EDR služby Security Center: Microsoft Defender for Endpoint.

Když povolíte Azure Defender pro servery se systémem Windows Server, je součástí plánu licence pro Defender for Endpoint. Pokud jste už povolili Azure Defender for Servers a máte ve svém předplatném servery Windows Server 2019, automaticky obdrží program Defender for Endpoint s touto aktualizací. Nevyžaduje se žádná ruční akce.

Podpora je teď rozšířená tak, aby zahrnovala Windows Server 2019 a Windows 10 ve Windows Virtual Desktopu.

Poznámka:

Pokud na serveru s Windows Serverem 2019 povolíte Defender for Endpoint, ujistěte se, že splňuje požadavky popsané v tématu Povolení integrace Microsoft Defenderu for Endpoint.

Doporučení k povolení Azure Defenderu pro DNS a Resource Manageru (ve verzi Preview)

Přidali jsme dvě nová doporučení, která zjednodušují proces povolení Azure Defenderu pro Resource Manager a Azure Defender pro DNS:

  • Azure Defender for Resource Manager by měl být povolený – Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu.
  • Azure Defender pro DNS by měl být povolený – Defender for DNS poskytuje další vrstvu ochrany cloudových prostředků nepřetržitým monitorováním všech dotazů DNS z vašich prostředků Azure. Azure Defender vás upozorní na podezřelou aktivitu ve vrstvě DNS.

Povolení plánů Azure Defenderu vede k poplatkům. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center.

Tip

Doporučení ve verzi Preview nevykreslují prostředek, který není v pořádku, a nejsou součástí výpočtů vašeho skóre zabezpečení. Opravte je tam, kde je to možné, aby po skončení období preview přispěli k vašemu skóre. Přečtěte si další informace o tom, jak reagovat na tato doporučení v tématu Náprava doporučení ve službě Azure Security Center.

Byly přidány tři standardy dodržování právních předpisů: Azure CIS 1.3.0, CMMC Level 3 a New Zealand ISM Restricted

Přidali jsme tři standardy pro použití se službou Azure Security Center. Pomocí řídicího panelu dodržování právních předpisů teď můžete sledovat dodržování předpisů:

Můžete je přiřadit svým předplatným, jak je popsáno v části Přizpůsobení sady standardů na řídicím panelu dodržování právních předpisů.

Byly přidány tři standardy pro použití s řídicím panelem dodržování právních předpisů ve službě Azure Security Center.

Další informace najdete v:

Sestavy rozšíření Konfigurace hosta v Azure do služby Security Center, které pomáhají zajistit posílení nastavení v hostu vašich virtuálních počítačů. U serverů s podporou služby Arc se toto rozšíření nevyžaduje, protože je součástí agenta Arc Connected Machine Agent. Rozšíření vyžaduje na počítači identitu spravovanou systémem.

Do služby Security Center jsme přidali čtyři nová doporučení, která toto rozšíření navýšili na maximum.

  • Dvě doporučení vás vyzve k instalaci rozšíření a požadované systémové spravované identity:

    • Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích.
    • Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem.

  • Když je rozšíření nainstalované a spuštěné, začne auditovat počítače a zobrazí se výzva k posílení nastavení, jako je konfigurace operačního systému a nastavení prostředí. Tato dvě doporučení vás vyzve k posílení zabezpečení počítačů s Windows a Linuxem, jak je popsáno:

    • Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená.
    • Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH.

Další informace najdete v článku Vysvětlení konfigurace hosta ve službě Azure Policy.

Doporučení CMK se přesunula na řízení zabezpečení osvědčených postupů

Součástí programu zabezpečení každé organizace jsou požadavky na šifrování dat. Ve výchozím nastavení se neaktivní uložená data zákazníků Azure šifrují pomocí klíčů spravovaných službou. Klíče spravované zákazníkem (CMK) se ale běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče CMK umožňují šifrovat vaše data pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. To vám dává plnou kontrolu a zodpovědnost za životní cyklus klíčů, včetně obměně a správy.

Kontrolní mechanismy zabezpečení služby Azure Security Center jsou logické skupiny souvisejících doporučení zabezpečení a odrážejí vaše ohrožené oblasti útoku. Každý ovládací prvek má maximální počet bodů, které můžete přidat do skóre zabezpečení, pokud opravíte všechna doporučení uvedená v ovládacím prvku pro všechny vaše prostředky. Implementace kontrolního prvku zabezpečení osvědčených postupů zabezpečení stojí za nula bodů. Doporučení v tomto ovládacím prvku tedy neovlivní vaše skóre zabezpečení.

Níže uvedená doporučení se přesunou do kontroly zabezpečení Implement security best practices , aby lépe odrážela jejich volitelnou povahu. Tento krok zajišťuje, aby tato doporučení byla v nejvhodnější kontrole, aby splňovala jejich cíl.

  • Účty služby Azure Cosmos DB by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.
  • Pracovní prostory azure machine Učení by měly být šifrované pomocí klíče spravovaného zákazníkem (CMK).
  • Účty služeb Azure AI by měly povolit šifrování dat pomocí klíče spravovaného zákazníkem (CMK).
  • Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem (CMK).
  • Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.
  • Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.
  • Účty úložiště by pro šifrování měly používat klíč spravovaný zákazníkem (CMK).

Zjistěte, která doporučení se nacházejí v jednotlivých bezpečnostních prvcích v bezpečnostních prvcích a jejich doporučeních.

11 Upozornění Azure Defenderu jsou zastaralá.

Jedenáct níže uvedených upozornění Azure Defenderu jsou zastaralá.

  • Nové výstrahy nahradí tyto dvě výstrahy a zajistí lepší pokrytí:

    AlertType AlertDisplayName
    ARM_MicroBurstDomainInfo PREVIEW – Zjištění spuštění funkce Get-AzureDomainInfo v sadě nástrojů MicroBurst
    ARM_MicroBurstRunbook PREVIEW – Zjištění spuštění funkce Get-AzurePasswords v sadě nástrojů MicroBurst

  • Tato devět upozornění souvisí s konektorem služby Azure Active Directory Identity Protection (IPC), který už je zastaralý:

    AlertType AlertDisplayName
    Neznámé umístění Neznámé vlastnosti přihlášení
    Anonymnílogin Anonymní IP adresa
    InfectedDeviceLogin IP adresa související s malwarem
    ImpossibleTravel Neobvyklá cesta
    MaliciousIP Škodlivá IP adresa
    LeakedCredentials Uniklé přihlašovací údaje
    HesloSpray Password Spray
    LeakedCredentials Analýza hrozeb Azure AD
    AADAI Azure AD AI

    Tip

    Tyto devět výstrah IPC nikdy nebyly výstrahy služby Security Center. Jsou součástí konektoru služby Azure Active Directory (AAD) Identity Protection (IPC), který je odesílal do služby Security Center. V posledních dvou letech jsou jedinými zákazníky, kteří viděli tato upozornění, organizace, které v roce 2019 nebo dříve nakonfigurovaly export (z konektoru do ASC). IPC AAD nadále zobrazoval je ve svých vlastních systémech upozornění a nadále je k dispozici ve službě Azure Sentinel. Jedinou změnou je, že se už nezobrazují ve službě Security Center.

Byla zastaralá dvě doporučení z ovládacího prvku "Použít aktualizace systému".

Následující dvě doporučení jsou zastaralá a změny můžou vést k mírnému dopadu na vaše bezpečnostní skóre:

  • Aby se nainstalovaly aktualizace systému, měly by se vaše počítače restartovat.
  • Agent monitorování by měl být nainstalovaný na vašich počítačích. Toto doporučení se týká jenom místních počítačů a některá z jeho logiky se přenesou na jiné doporučení, problémy se stavem agenta Log Analytics by se měly vyřešit na vašich počítačích.

Doporučujeme zkontrolovat konfigurace průběžného exportu a automatizace pracovních postupů a zjistit, jestli jsou tato doporučení zahrnutá. Všechny řídicí panely nebo jiné monitorovací nástroje, které je můžou používat, by se také měly odpovídajícím způsobem aktualizovat.

Další informace o těchto doporučeních najdete na stránce s referenčními informacemi k doporučením zabezpečení.

Dlaždice Azure Defenderu pro SQL na počítači odebraná z řídicího panelu Azure Defenderu

Oblast pokrytí řídicího panelu Azure Defenderu obsahuje dlaždice pro příslušné plány Azure Defenderu pro vaše prostředí. Kvůli problému s hlášením počtu chráněných a nechráněných prostředků jsme se rozhodli dočasně odebrat stav pokrytí prostředků pro Azure Defender pro SQL na počítačích , dokud se problém nevyřeší.

Doporučení se přesunula mezi ovládacími prvky zabezpečení

Následující doporučení se přesunula do různých bezpečnostních prvků. Kontrolní mechanismy zabezpečení jsou logické skupiny souvisejících doporučení k zabezpečení a odrážejí vaše ohrožené oblasti útoku. Tento krok zajišťuje, aby každé z těchto doporučení bylo v nejvhodnější kontrole, aby splňovalo její cíl.

Zjistěte, která doporučení se nacházejí v jednotlivých bezpečnostních prvcích v bezpečnostních prvcích a jejich doporučeních.

Doporučení Změna a dopad
Na vašich serverech SQL by mělo být povolené hodnocení ohrožení zabezpečení.
Ve spravovaných instancích SQL by se mělo povolit posouzení ohrožení zabezpečení.
Ohrožení zabezpečení ve vašich databázích SQL by se měla napravit novými
Měla by se napravit ohrožení zabezpečení vašich databází SQL ve virtuálních počítačích.		 Přechod z nápravných ohrožení zabezpečení (stojí šest bodů)
k nápravě konfigurací zabezpečení (stojí za čtyři body).
Tato doporučení budou mít v závislosti na vašem prostředí snížený dopad na vaše skóre.
K vašemu předplatnému by měl být přiřazený více než jeden vlastník.
Proměnné účtu Automation by měly být šifrované.
Zařízení IoT – Auditovaný proces přestal odesílat události
Zařízení IoT – Selhání ověřování standardních hodnot operačního systému
Zařízení IoT – Vyžaduje se upgrade šifrovací sady TLS
Zařízení IoT – Otevření portů na zařízení
Zařízení IoT – Byly nalezeny zásady brány firewall pro výkon v jednom z řetězců.
Zařízení IoT – Zjistilo se pravidlo brány firewall, které je v vstupním řetězci.
Zařízení IoT – Bylo nalezeno pravidlo brány firewall s oprávněním k výkonu ve výstupním řetězci.
Měly by se povolit diagnostické protokoly ve službě IoT Hub
Zařízení IoT – Agent odesílající nevyužité zprávy
Zařízení IoT – Výchozí zásady filtru IP adres by měly být odepření
Zařízení IoT – Pravidlo filtru IP adres – Velký rozsah IP adres
Zařízení IoT – Intervaly a velikost zpráv agenta by se měly upravit
Zařízení IoT – Identické přihlašovací údaje pro ověřování
Zařízení IoT – Auditovaný proces přestal odesílat události
Zařízení IoT – Základní konfigurace operačního systému (OS) by měla být opravena.		 Přechod na implementaci osvědčených postupů zabezpečení
Když se doporučení přesune na implementaci řízení zabezpečení osvědčených postupů zabezpečení, které nestojí za žádné body, doporučení už nebude mít vliv na vaše skóre zabezpečení.

Březen 2021

Aktualizace v březnu zahrnují:

Správa služby Azure Firewall integrovaná do služby Security Center

Když otevřete Azure Security Center, první stránka, která se zobrazí, je stránka s přehledem.

Tento interaktivní řídicí panel poskytuje jednotný přehled o stavu zabezpečení hybridních cloudových úloh. Kromě toho zobrazuje výstrahy zabezpečení, informace o pokrytí a další.

Jako součást pomoci vám při zobrazení stavu zabezpečení z centrálního prostředí jsme integrovali Azure Firewall Manager do tohoto řídicího panelu. Teď můžete zkontrolovat stav pokrytí brány firewall ve všech sítích a centrálně spravovat zásady služby Azure Firewall počínaje službou Security Center.

Další informace o tomto řídicím panelu najdete na stránce přehledu služby Azure Security Center.

Řídicí panel přehledu služby Security Center s dlaždicí pro službu Azure Firewall

Posouzení ohrožení zabezpečení SQL teď zahrnuje prostředí Zakázat pravidlo (Preview).

Security Center obsahuje integrovanou kontrolu ohrožení zabezpečení, která vám pomůže zjišťovat, sledovat a opravovat potenciální ohrožení zabezpečení databáze. Výsledky kontrol posouzení poskytují přehled o stavu zabezpečení vašich počítačů SQL a podrobnosti o všech zjištěních zabezpečení.

Pokud potřebujete, aby organizace hledání ignorovala a nemusela ji opravovat, můžete ji volitelně zakázat. Zakázaná zjištění nemají vliv na vaše skóre zabezpečení ani negenerují nežádoucí šum.

Další informace najdete v článku Zákaz konkrétních zjištění.

Sešity služby Azure Monitor integrované do služby Security Center a tři poskytnuté šablony

V rámci konference Ignite Spring 2021 jsme oznámili integrované prostředí sešitů služby Azure Monitor ve službě Security Center.

Pomocí nové integrace můžete začít používat předefinované šablony z galerie služby Security Center. Pomocí šablon sešitů můžete přistupovat k dynamickým a vizuálním sestavám a sledovat stav zabezpečení vaší organizace. Kromě toho můžete vytvářet nové sešity založené na datech služby Security Center nebo na jiných podporovaných datových typech a rychle nasazovat komunitní sešity z komunity Služby Security Center na GitHubu.

K dispozici jsou tři šablony:

  • Skóre zabezpečení v průběhu času – Sledování skóre vašich předplatných a změny doporučení pro vaše prostředky
  • Systémová Aktualizace – Zobrazení chybějících aktualizací systému podle prostředků, operačního systému, závažnosti a dalších
  • Zjištění posouzení ohrožení zabezpečení – Zobrazení zjištění kontrol ohrožení zabezpečení vašich prostředků Azure

Seznamte se s používáním těchto sestav nebo vytvářením vlastních sestav v bohatých interaktivních sestavách dat služby Security Center.

Zabezpečte skóre v průběhu času.

Řídicí panel dodržování právních předpisů teď zahrnuje sestavy auditu Azure (Preview)

Na panelu nástrojů řídicího panelu dodržování právních předpisů si teď můžete stáhnout sestavy certifikace Azure a Dynamics.

Panel nástrojů řídicího panelu dodržování právních předpisů

Můžete vybrat kartu relevantních typů sestav (PCI, SOC, ISO a další) a pomocí filtrů najít konkrétní sestavy, které potřebujete.

Přečtěte si další informace o správě standardů na řídicím panelu dodržování právních předpisů.

Filtrování seznamu dostupných sestav auditu Azure

Data doporučení se dají zobrazit v Azure Resource Graphu pomocí možnosti Prozkoumat v ARG.

Stránky s podrobnostmi doporučení teď obsahují tlačítko panelu nástrojů Prozkoumat v ARG. Pomocí tohoto tlačítka otevřete dotaz Azure Resource Graphu a prozkoumejte, exportujte a sdílejte data doporučení.

Azure Resource Graph (ARG) poskytuje okamžitý přístup k informacím o prostředcích v cloudových prostředích s robustním filtrováním, seskupováním a možnostmi řazení. Je to rychlý a efektivní způsob, jak dotazovat informace napříč předplatnými Azure prostřednictvím kódu programu nebo z webu Azure Portal.

Další informace o Službě Azure Resource Graph (ARG)

Prozkoumejte data doporučení v Azure Resource Graphu.

Aktualizace k zásadám pro nasazení automatizace pracovního postupu

Automatizace procesů monitorování a reakce na incidenty ve vaší organizaci může výrazně zlepšit dobu potřebnou k prošetření a zmírnění incidentů zabezpečení.

Poskytujeme tři zásady NasazeníIfNotExist pro Azure Policy, které vytvářejí a konfigurují postupy automatizace pracovních postupů, abyste mohli automatizace nasadit v celé organizaci:

Goal Zásady ID zásady
Automatizace pracovních postupů pro výstrahy zabezpečení Nasazení automatizace pracovních postupů pro upozornění služby Azure Security Center f1525828-9a90-4fcf-be48-268cd02361e
Automatizace pracovních postupů pro doporučení zabezpečení Nasazení automatizace pracovních postupů pro doporučení služby Azure Security Center 73d6ab6c-2475-4850-afd6-43795f3492ef
Automatizace pracovních postupů pro změny dodržování právních předpisů Nasazení automatizace pracovních postupů pro dodržování právních předpisů ve službě Azure Security Center 509122b9-ddd9-47ba-a5f1-d0dac20be63c

Existují dvě aktualizace funkcí těchto zásad:

  • Po přiřazení zůstanou povolené vynucením.
  • Tyto zásady teď můžete přizpůsobit a aktualizovat kterýkoli z parametrů i po jejich nasazení. Můžete například přidat nebo upravit klíč posouzení.

Začínáme se šablonami automatizace pracovních postupů

Přečtěte si další informace o automatizaci odpovědí na triggery služby Security Center.

Dvě starší doporučení už nezapisuje data přímo do protokolu aktivit Azure.

Security Center předává data pro téměř všechna doporučení zabezpečení službě Azure Advisor, která následně zapisuje do protokolu aktivit Azure.

Pro dvě doporučení se data současně zapisuje přímo do protokolu aktivit Azure. Díky této změně přestane Security Center zapisovat data pro tato starší doporučení zabezpečení přímo do protokolu aktivit. Místo toho exportujeme data do Azure Advisoru stejně jako u všech ostatních doporučení.

Dvě starší doporučení:

  • Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích.
  • V konfiguraci zabezpečení na počítačích by se měla napravit ohrožení zabezpečení.

Pokud k těmto dvěma doporučením přistupujete v kategorii Doporučení typu TaskDiscovery v protokolu aktivit, tato možnost už není dostupná.

Vylepšení stránky Doporučení

Vydali jsme vylepšenou verzi seznamu doporučení, abychom mohli na první pohled prezentovat další informace.

Teď na stránce uvidíte:

  1. Maximální skóre a aktuální skóre pro každý bezpečnostní prvek.
  2. Ikony nahrazující značky, jako je Oprava a Náhled
  3. Nový sloupec zobrazující iniciativu Zásad související s jednotlivými doporučeními – zobrazí se, když je zakázaná možnost Seskupit podle ovládacích prvků.

Vylepšení stránky s doporučeními služby Azure Security Center – březen 2021

Vylepšení

Další informace najdete v doporučeních zabezpečení ve službě Azure Security Center.

2021. únor

Aktualizace v únoru zahrnují:

Nová stránka výstrah zabezpečení na webu Azure Portal vydaná pro obecnou dostupnost (GA)

Stránka výstrah zabezpečení služby Azure Security Center byla přepracovaná tak, aby poskytovala:

  • Vylepšené možnosti třídění výstrah – pomáhá snižovat únavu výstrah a zaměřit se na nejrelevantní hrozby, seznam obsahuje přizpůsobitelné filtry a možnosti seskupení.
  • Další informace v seznamu výstrah , jako jsou taktiky MITRE ATT&ACK.
  • Tlačítko pro vytvoření ukázkových upozornění – k vyhodnocení možností Azure Defenderu a otestování upozornění konfigurace (pro integraci SIEM, e-mailová oznámení a automatizace pracovních postupů) můžete vytvářet ukázková upozornění ze všech plánů Azure Defenderu.
  • Sladění s prostředím incidentů azure Sentinelu – pro zákazníky, kteří používají oba produkty, je teď jednodušší přepínat mezi nimi a je snadné se navzájem učit.
  • Lepší výkon pro velké seznamy výstrah.
  • Navigace pomocí klávesnice v seznamu upozornění
  • Upozornění z Azure Resource Graphu – můžete dotazovat upozornění ve službě Azure Resource Graph, rozhraní API podobné Kusto pro všechny vaše prostředky. To je také užitečné, pokud vytváříte vlastní řídicí panely upozornění. Přečtěte si další informace o Azure Resource Graphu.
  • Vytvoření ukázkové funkce upozornění – Pokud chcete vytvořit ukázková upozornění z nového prostředí upozornění, přečtěte si téma Generování ukázkových upozornění Azure Defenderu.

Doporučení ochrany úloh Kubernetes vydaná pro obecnou dostupnost (GA)

S radostí oznamujeme obecnou dostupnost (GA) sady doporučení pro ochranu úloh Kubernetes.

Aby se zajistilo, že jsou úlohy Kubernetes ve výchozím nastavení zabezpečené, služba Security Center přidala doporučení pro posílení úrovně Kubernetes, včetně možností vynucení s řízením přístupu Kubernetes.

Když je služba Azure Policy pro Kubernetes nainstalovaná v clusteru Azure Kubernetes Service (AKS), před zachováním v clusteru se bude každý požadavek na server rozhraní Kubernetes API monitorovat s předdefinovanou sadou osvědčených postupů , která se zobrazí jako doporučení zabezpečení 13. Pak můžete nakonfigurovat, abyste vynucovali osvědčené postupy a nařídili je pro budoucí úlohy.

Můžete například nařídit, aby se privilegované kontejnery neměly vytvářet a všechny budoucí požadavky na to budou blokované.

Další informace najdete v osvědčených postupech ochrany úloh pomocí řízení přístupu Kubernetes.

Poznámka:

I když byla doporučení ve verzi Preview, nevykreslili prostředek clusteru AKS, který není v pořádku, a nebyly zahrnuty do výpočtů vašeho skóre zabezpečení. s tímto oznámením ga budou zahrnuty do výpočtu skóre. Pokud jste je ještě nenapravili, může to vést k mírnému dopadu na vaše bezpečnostní skóre. Opravte je všude, kde je to možné, jak je popsáno v doporučeních k nápravě ve službě Azure Security Center.

Integrace Microsoft Defenderu pro koncové body s Azure Defenderem teď podporuje Windows Server 2019 a Windows 10 ve Windows Virtual Desktopu (ve verzi Preview).

Microsoft Defender for Endpoint je ucelené cloudové řešení zabezpečení koncových bodů. Poskytuje správa ohrožení zabezpečení a hodnocení na základě rizik a také detekce a reakce u koncových bodů (EDR). Úplný seznam výhod použití defenderu pro koncový bod společně se službou Azure Security Center najdete v tématu Ochrana koncových bodů pomocí integrovaného řešení EDR služby Security Center: Microsoft Defender for Endpoint.

Když povolíte Azure Defender pro servery se systémem Windows Server, je součástí plánu licence pro Defender for Endpoint. Pokud jste už povolili Azure Defender for Servers a máte ve svém předplatném servery Windows Server 2019, automaticky obdrží program Defender for Endpoint s touto aktualizací. Nevyžaduje se žádná ruční akce.

Podpora je teď rozšířená tak, aby zahrnovala Windows Server 2019 a Windows 10 ve Windows Virtual Desktopu.

Poznámka:

Pokud na serveru s Windows Serverem 2019 povolíte Defender for Endpoint, ujistěte se, že splňuje požadavky popsané v tématu Povolení integrace Microsoft Defenderu for Endpoint.

Přímý odkaz na zásadu ze stránky s podrobnostmi doporučení

Při kontrole podrobností doporučení je často užitečné vidět základní zásady. Pro každé doporučení podporované zásadami je na stránce s podrobnostmi doporučení nový odkaz:

Odkaz na stránku Azure Policy pro konkrétní zásady podporující doporučení

Pomocí tohoto odkazu můžete zobrazit definici zásady a zkontrolovat logiku vyhodnocení.

Pokud si projdete seznam doporučení v referenční příručce k doporučením zabezpečení, uvidíte také odkazy na stránky definic zásad:

Přístup ke stránce Azure Policy pro konkrétní zásady přímo ze stránky s referenčními informacemi k doporučením služby Azure Security Center

Doporučení klasifikace dat SQL už nemá vliv na vaše skóre zabezpečení.

Doporučení Citlivá data v databázích SQL by už neměla mít vliv na vaše skóre zabezpečení. Bezpečnostní ovládací prvek Použít klasifikaci dat, která obsahuje, má nyní hodnotu zabezpečeného skóre 0.

Úplný seznam všech kontrolních mechanismů zabezpečení společně s jejich skóre a seznamem doporučení v každé z nich najdete v tématu Kontrolní mechanismy zabezpečení a jejich doporučení.

Automatizace pracovních postupů se dají aktivovat změnami v posouzení dodržování právních předpisů (ve verzi Preview).

Do možností triggeru pro automatizaci pracovních postupů jsme přidali třetí datový typ: změny v posouzení dodržování právních předpisů.

Naučte se používat nástroje pro automatizaci pracovních postupů v automatizaci odpovědí na triggery služby Security Center.

Použití změn v posouzení dodržování právních předpisů k aktivaci automatizace pracovního postupu

Vylepšení stránky inventáře prostředků

Vylepšili jsme stránku inventáře prostředků služby Security Center:

  • Souhrny v horní části stránky teď zahrnují neregistrovaná předplatná, která zobrazují počet předplatných bez povolení služby Security Center.

    Počet neregistrovaných předplatných v souhrnech v horní části stránky inventáře prostředků

  • Filtry byly rozšířeny a rozšířeny tak, aby zahrnovaly:

    • Počty – Každý filtr zobrazuje počet prostředků, které splňují kritéria jednotlivých kategorií.

      Počítá se ve filtrech na stránce inventáře prostředků ve službě Azure Security Center.

    • Obsahuje filtr výjimek (volitelné) – výsledky zúží na prostředky, u kterých nedošlo k výjimce. Tento filtr se ve výchozím nastavení nezobrazuje, ale je přístupný z tlačítka Přidat filtr .

      Přidání filtru obsahuje výjimku na stránce inventáře prostředků služby Azure Security Center

Přečtěte si další informace o tom , jak prozkoumat a spravovat prostředky pomocí inventáře prostředků.

Leden 2021

Aktualizace v lednu zahrnují:

Azure Security Benchmark je teď výchozí iniciativa zásad pro Azure Security Center

Srovnávací test zabezpečení Azure je sada osvědčených postupů pro zabezpečení a dodržování předpisů specifická pro Microsoft, která je specifická pro Microsoft, na základě běžných architektur dodržování předpisů. Tento široce respektovaný srovnávací test vychází z kontrolních mechanismů centra pro internetové zabezpečení (CIS) a národního institutu NIST (National Institute of Standards and Technology) se zaměřením na zabezpečení zaměřeném na cloud.

V posledních měsících se seznam předdefinovaných doporučení zabezpečení ve službě Security Center výrazně zvýšil, aby rozšířil naše pokrytí tohoto srovnávacího testu.

Z této verze je srovnávací test základem doporučení služby Security Center a plně integrovaný jako výchozí iniciativa zásad.

Všechny služby Azure mají v dokumentaci stránku standardních hodnot zabezpečení. Tyto směrné plány jsou založené na srovnávacím testu zabezpečení Azure.

Pokud používáte řídicí panel dodržování právních předpisů služby Security Center, uvidíte během přechodného období dvě instance srovnávacího testu:

Řídicí panel dodržování právních předpisů ve službě Azure Security Center zobrazující srovnávací test zabezpečení Azure

Stávající doporučení nejsou ovlivněná a s rostoucím srovnávacím testem se změny automaticky projeví ve službě Security Center.

Další informace najdete na následujících stránkách:

Posouzení ohrožení zabezpečení pro místní počítače a počítače s více cloudy se vydává pro obecnou dostupnost (GA).

V říjnu jsme oznámili verzi Preview pro kontrolu serverů s podporou Azure Arc pomocí integrované kontroly posouzení ohrožení zabezpečení v Azure Defenderu pro servery (využívající Qualys).

Nyní je vydána pro obecnou dostupnost (GA).

Když na počítačích mimo Azure povolíte Azure Arc, Security Center na ně nabídne nasazení integrované kontroly ohrožení zabezpečení – ručně i ve velkém měřítku.

Díky této aktualizaci můžete využít sílu Azure Defenderu pro servery ke konsolidaci správa ohrožení zabezpečení programu napříč všemi prostředky Azure a prostředky mimo Azure.

Hlavní možnosti:

  • Monitorování stavu zřizování kontroly posouzení ohrožení zabezpečení na počítačích Azure Arc
  • Zřízení integrovaného agenta VA pro nechráněné počítače s Windows a Linuxem Azure Arc (ručně i ve velkém)
  • Příjem a analýza zjištěných ohrožení zabezpečení z nasazených agentů (ručně i ve velkém)
  • Jednotné prostředí pro virtuální počítače Azure a počítače Azure Arc

Přečtěte si další informace o nasazení integrované kontroly ohrožení zabezpečení Qualys do hybridních počítačů.

Přečtěte si další informace o serverech s podporou Azure Arc.

Bezpečnostní skóre pro skupiny pro správu je teď k dispozici ve verzi Preview

Stránka skóre zabezpečení teď zobrazuje agregované skóre zabezpečení pro vaše skupiny pro správu kromě úrovně předplatného. Teď si můžete prohlédnout seznam skupin pro správu ve vaší organizaci a skóre pro každou skupinu pro správu.

Zobrazení skóre zabezpečení pro vaše skupiny pro správu

Přečtěte si další informace o bezpečnostních skóre a bezpečnostních prvcích ve službě Azure Security Center.

Rozhraní API pro bezpečnostní skóre je vydáno pro obecnou dostupnost (GA)

K skóre se teď dostanete přes rozhraní API pro skóre zabezpečení. Metody rozhraní API poskytují flexibilitu při dotazování na data a vytváření vlastního mechanismu generování sestav bezpečnostních skóre v průběhu času. Příklad:

  • získání skóre pro konkrétní předplatné pomocí rozhraní API pro skóre zabezpečení
  • Pomocí rozhraní API pro bezpečnostní skóre zobrazíte seznam bezpečnostních prvků a aktuálního skóre vašich předplatných.

Seznamte se s externími nástroji, které umožňují rozhraní API pro skóre zabezpečení v oblasti skóre zabezpečení naší komunity GitHubu.

Přečtěte si další informace o bezpečnostních skóre a bezpečnostních prvcích ve službě Azure Security Center.

Ochrana visících záznamů DNS je přidaná do Azure Defenderu pro App Service

Převzetí subdomény představují běžnou hrozbu s vysokou závažností pro organizace. Převzetí subdomény může nastat, když máte záznam DNS, který odkazuje na zrušený web. Tyto záznamy DNS se také označují jako položky nepropojené DNS. Záznamy CNAME jsou vůči této hrozbě obzvláště zranitelné.

Převzetí subdomény umožňuje hercům hrozeb přesměrovat provoz určený pro doménu organizace na web provádějící škodlivou aktivitu.

Azure Defender for App Service teď při vyřazení webu App Service z provozu detekuje shodné položky DNS. Toto je okamžik, kdy položka DNS ukazuje na prostředek, který neexistuje, a váš web je ohrožený převzetím subdomény. Tato ochrana je dostupná bez ohledu na to, jestli se vaše domény spravují pomocí Azure DNS nebo externího doménového registrátora a vztahují se na službu App Service ve Windows i App Service v Linuxu.

Další informace:

Konektory pro více cloudů se vydávají pro obecnou dostupnost (GA)

U cloudových úloh, které často pokrývají více cloudových platforem, musí služby cloudového zabezpečení provádět totéž.

Azure Security Center chrání úlohy v Azure, Amazon Web Services (AWS) a Google Cloud Platform (GCP).

Připojení projektů AWS nebo GCP integrujete své nativní nástroje zabezpečení, jako je AWS Security Hub a GCP Security Command Center, do služby Azure Security Center.

Tato funkce znamená, že Security Center poskytuje viditelnost a ochranu ve všech hlavních cloudových prostředích. Mezi výhody této integrace patří:

  • Automatické zřizování agentů – Security Center používá Azure Arc k nasazení agenta Log Analytics do instancí AWS.
  • Správa zásad
  • Správa ohrožení zabezpečení
  • Detekce a odezva vloženého koncového bodu (EDR)
  • Detekce chybných konfigurací zabezpečení
  • Jedno zobrazení zobrazující doporučení zabezpečení od všech poskytovatelů cloudu
  • Začlenění všech vašich prostředků do výpočtů se skóre zabezpečení služby Security Center
  • Posouzení dodržování právních předpisů vašich prostředků AWS a GCP

V nabídce Defenderu pro cloud vyberte Konektory multicloudu a uvidíte možnosti pro vytváření nových konektorů:

Tlačítko Přidat účet AWS na stránce konektorů služby Security Center pro vícecloud

Další informace najdete v:

Vyloučení celých doporučení ze skóre zabezpečení pro předplatná a skupiny pro správu

Rozšiřujeme možnost výjimky tak, aby zahrnovala celá doporučení. Poskytuje další možnosti pro vyladění doporučení zabezpečení, která Security Center zajišťuje pro vaše předplatná, skupinu pro správu nebo prostředky.

V některých případech se prostředek zobrazí jako poškozený, když víte, že problém vyřeší nástroj třetí strany, který Security Center nerozpoznal. Nebo se doporučení zobrazí v oboru, ve kterém se cítíte, že nepatří. Doporučení může být nevhodné pro konkrétní předplatné. Nebo se vaše organizace rozhodla přijmout rizika související s konkrétním prostředkem nebo doporučením.

Díky této funkci Preview teď můžete vytvořit výjimku pro doporučení, která vám umožní:

  • Vyněžte prostředek , abyste zajistili, že není uvedený v seznamu prostředků, které nejsou v pořádku v budoucnu, a nemá vliv na vaše skóre zabezpečení. Zdroj bude uveden jako nepoužitý a důvod se zobrazí jako "vyloučený" s konkrétním odůvodněním, které vyberete.

  • Vyněžte předplatné nebo skupinu pro správu, abyste měli jistotu, že doporučení nemá vliv na vaše skóre zabezpečení a nebude se zobrazovat pro předplatné nebo skupinu pro správu v budoucnu. To souvisí s existujícími prostředky a všemi prostředky, které vytvoříte v budoucnu. Doporučení se označí konkrétním odůvodněním, které vyberete pro vybraný obor.

Přečtěte si další informace o vyloučení prostředků a doporučení z vašeho skóre zabezpečení.

Uživatelé teď můžou požádat o přehled celého tenanta od globálního správce.

Pokud uživatel nemá oprávnění k zobrazení dat služby Security Center, zobrazí se mu odkaz na žádost o oprávnění od globálního správce organizace. Požadavek zahrnuje roli, kterou by chtěli, a odůvodnění, proč je potřeba.

Banner s informacemi o uživateli, který může požádat o oprávnění na úrovni tenanta

Další informace najdete v části Žádosti o oprávnění pro celého tenanta, pokud vaše oprávnění nejsou dostatečná.

35 doporučení ve verzi Preview přidaná pro zvýšení pokrytí srovnávacího testu zabezpečení Azure

Srovnávací test zabezpečení Azure je výchozí iniciativa zásad ve službě Azure Security Center.

Abychom zvýšili pokrytí tohoto srovnávacího testu, přidali jsme do služby Security Center následující doporučení ve verzi Preview 35.

Tip

Doporučení ve verzi Preview nevykreslují prostředek, který není v pořádku, a nejsou součástí výpočtů vašeho skóre zabezpečení. Opravte je tam, kde je to možné, aby po skončení období preview přispěli k vašemu skóre. Přečtěte si další informace o tom, jak reagovat na tato doporučení v tématu Náprava doporučení ve službě Azure Security Center.

Řízení zabezpečení Nová doporučení
Povolení šifrování neaktivních uložených dat – Účty služby Azure Cosmos DB by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.
– Pracovní prostory azure machine Učení by se měly šifrovat pomocí klíče spravovaného zákazníkem (CMK).
– Pro servery MySQL by měla být povolená ochrana dat vlastního klíče.
– U serverů PostgreSQL by měla být povolená ochrana dat s vlastním klíčem.
– Účty služeb Azure AI by měly povolit šifrování dat pomocí klíče spravovaného zákazníkem (CMK).
– Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem (CMK).
– Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.
– SQL servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.
– Účty úložiště by pro šifrování měly používat klíč spravovaný zákazníkem (CMK).
Implementace osvědčených postupů zabezpečení – Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením.
– Ve vašem předplatném by mělo být povolené automatické zřizování agenta Log Analytics.
– E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené.
– E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno.
– Trezory klíčů by měly mít povolenou ochranu před vymazáním.
– Trezory klíčů by měly mít povolené obnovitelné odstranění.
Správa přístupu a oprávnění – Aplikace funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty).
Ochrana aplikací před útoky DDoS – Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway.
– Firewall webových aplikací (WAF) by měl být povolený pro službu Azure Front Door Service.
Omezení neoprávněného síťového přístupu – Brána firewall by měla být povolená ve službě Key Vault.
– Privátní koncový bod by měl být nakonfigurovaný pro službu Key Vault.
– Konfigurace aplikace by měla používat privátní propojení.
– Azure Cache for Redis by se měl nacházet ve virtuální síti.
– Domény Služby Azure Event Grid by měly používat privátní propojení.
– Témata služby Azure Event Grid by měla používat privátní propojení.
– Pracovní prostory azure machine Učení by měly používat privátní propojení.
– Služba Azure SignalR by měla používat privátní propojení.
– Azure Spring Cloud by měl používat injektáž sítě.
– Registry kontejnerů by neměly umožňovat neomezený síťový přístup
– Registry kontejnerů by měly používat privátní propojení.
– Přístup k veřejné síti by měl být pro servery MariaDB zakázaný.
– Pro servery MySQL by měl být zakázaný přístup k veřejné síti.
– Pro servery PostgreSQL by měl být zakázaný přístup k veřejné síti.
– Účet úložiště by měl používat připojení privátního propojení.
– Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě.
– Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení.

Související odkazy:

Export filtrovaného seznamu doporučení ve formátu CSV

V listopadu 2020 jsme na stránku s doporučeními přidali filtry (seznam doporučení teď obsahuje filtry). V prosinci jsme tyto filtry rozšířili (stránka Doporučení obsahuje nové filtry pro prostředí, závažnost a dostupné odpovědi).

V tomto oznámení měníme chování tlačítka Stáhnout na CSV tak, aby export csv obsahoval pouze doporučení aktuálně zobrazená ve filtrovaném seznamu.

Například na následujícím obrázku vidíte, že seznam je filtrovaný na dvě doporučení. Vygenerovaný soubor CSV obsahuje podrobnosti o stavu každého prostředku ovlivněného těmito dvěma doporučeními.

Export filtrovaných doporučení do souboru CSV

Další informace najdete v doporučeních zabezpečení ve službě Azure Security Center.

„Nepoužitelné“ prostředky jsou teď ve vyhodnoceních Azure Policy uváděné jako kompatibilní

Dříve se prostředky, které se vyhodnotily jako doporučení, a zjistily se, že se v Azure Policy nedají použít , se zobrazily jako nevyhovující předpisům. Žádné akce uživatele by nemohly změnit stav na Vyhovující. Díky této změně se oznamují jako "Kompatibilní", aby byly přehlednější.

Jediný dopad se projeví ve službě Azure Policy, kde se zvýší počet vyhovujících prostředků. Ve službě Azure Security Center to nebude mít žádný vliv na vaše bezpečnostní skóre.

Export týdenních snímků s údaji o dodržování právních předpisů a bezpečnostním skóre s průběžným exportem (Preview)

Do nástrojů pro průběžný export jsme přidali novou funkci Preview pro export týdenních snímků zabezpečených skóre a dat dodržování právních předpisů.

Při definování průběžného exportu nastavte frekvenci exportu:

Výběr frekvence průběžného exportu

  • Streamování – hodnocení se odešle při aktualizaci stavu prostředku (pokud nedojde k žádným aktualizacím, nebudou odeslána žádná data).
  • Snímky – snímek aktuálního stavu všech posouzení dodržování právních předpisů se odešle každý týden (jedná se o funkci Preview pro týdenní snímky bezpečnostních skóre a dat dodržování právních předpisů).

Přečtěte si další informace o všech možnostech této funkce v průběžném exportu dat služby Security Center.

Prosinec 2020

Aktualizace v prosinci zahrnují:

Azure Defender pro SQL servery na počítačích je obecně dostupný

Azure Security Center nabízí dva plány Azure Defenderu pro SQL Servery:

  • Azure Defender pro databázové servery Azure SQL – chrání vaše sql servery nativní pro Azure
  • Azure Defender pro SQL servery na počítačích – rozšiřuje stejnou ochranu na vaše SQL servery v hybridních, multicloudových a místních prostředích.

Díky tomuto oznámení teď Azure Defender pro SQL chrání vaše databáze a jejich data všude, kde se nacházejí.

Azure Defender pro SQL zahrnuje možnosti posouzení ohrožení zabezpečení. Nástroj pro posouzení ohrožení zabezpečení obsahuje následující pokročilé funkce:

  • Základní konfigurace (Nový!) umožňuje inteligentně upřesnit výsledky kontrol ohrožení zabezpečení na ty, které můžou představovat skutečné problémy se zabezpečením. Po vytvoření základního stavu zabezpečení nástroj pro posouzení ohrožení zabezpečení hlásí pouze odchylky od tohoto stavu směrného plánu. Výsledky, které odpovídají směrnému plánu, se považují za předávání následných kontrol. Díky tomu se vy i vaši analytici zaměříte na to, kde je to důležité.
  • Podrobné informace o srovnávacích testech, které vám pomůžou pochopit zjištěná zjištění a proč souvisí s vašimi prostředky.
  • Skripty pro nápravu , které vám pomůžou zmírnit zjištěná rizika.

Přečtěte si další informace o Azure Defenderu pro SQL.

Podpora Azure Defenderu pro SQL pro vyhrazený fond SQL služby Azure Synapse Analytics je obecně dostupná

Azure Synapse Analytics (dříve SQL DW) je analytická služba, která kombinuje podnikové datové sklady a analýzy velkých objemů dat. Vyhrazené fondy SQL jsou funkce podnikových datových skladů služby Azure Synapse. Další informace najdete v článku Co je Azure Synapse Analytics (dříve SQL DW)?

Azure Defender pro SQL chrání vyhrazené fondy SQL pomocí:

  • Rozšířená ochrana před hrozbami pro detekci hrozeb a útoků
  • Možnosti posouzení ohrožení zabezpečení pro identifikaci a nápravu chybných konfigurací zabezpečení

Podpora fondů SQL azure Synapse Analytics pro Azure Defender for SQL se automaticky přidá do sady databází Azure SQL ve službě Azure Security Center. Na stránce pracovního prostoru Synapse na webu Azure Portal je nová karta Azure Defender for SQL .

Přečtěte si další informace o Azure Defenderu pro SQL.

Globální Správa istrátory teď můžou udělit oprávnění na úrovni tenanta.

Uživatel s rolí globálního Správa istratoru Azure Active Directory může mít odpovědnost v rámci celého tenanta, ale nemá oprávnění Azure k zobrazení informací v celé organizaci ve službě Azure Security Center.

Pokud si chcete přiřadit oprávnění na úrovni tenanta, postupujte podle pokynů v části Udělení oprávnění pro celého tenanta sami sobě.

Dva nové plány Azure Defenderu: Azure Defender pro DNS a Azure Defender for Resource Manager (ve verzi Preview)

Přidali jsme dvě nové možnosti ochrany před internetovými útoky nativní pro cloud pro vaše prostředí Azure.

Tyto nové ochrany výrazně zvyšují odolnost proti útokům z herců před hrozbami a výrazně zvyšují počet prostředků Azure chráněných službou Azure Defender.

Nová stránka výstrah zabezpečení na webu Azure Portal (Preview)

Stránka výstrah zabezpečení služby Azure Security Center byla přepracovaná tak, aby poskytovala:

  • Vylepšené možnosti třídění výstrah – pomáhá snížit únavu výstrah a zaměřit se na nejrelevavantnější hrozby, seznam obsahuje přizpůsobitelné filtry a možnosti seskupení.
  • Další informace v seznamu výstrah – například taktika MITRE ATT&ACK
  • Tlačítko pro vytvoření ukázkových upozornění – k vyhodnocení možností Azure Defenderu a otestování konfigurace upozornění (pro integraci SIEM, e-mailová oznámení a automatizace pracovních postupů) můžete vytvořit ukázková upozornění ze všech plánů Azure Defenderu.
  • Sladění s prostředím incidentů azure Sentinelu – pro zákazníky, kteří používají oba produkty, je teď jednodušší přepínat mezi nimi a je snadné se navzájem učit.
  • Lepší výkon u rozsáhlých seznamů výstrah
  • Navigace pomocí klávesnice v seznamu upozornění
  • Upozornění z Azure Resource Graphu – můžete dotazovat upozornění ve službě Azure Resource Graph, rozhraní API podobné Kusto pro všechny vaše prostředky. To je také užitečné, pokud vytváříte vlastní řídicí panely upozornění. Přečtěte si další informace o Azure Resource Graphu.

Pokud chcete získat přístup k novému prostředí, použijte odkaz Vyzkoušet hned z banneru v horní části stránky výstrah zabezpečení.

Banner s odkazem na nové prostředí upozornění ve verzi Preview

Pokud chcete vytvořit ukázková upozornění z nového prostředí upozornění, přečtěte si téma Generování ukázkových upozornění Azure Defenderu.

Prostředí služby Azure SQL Database a SQL Managed Instance ve službě Revitalized Security Center

Prostředí Security Center v rámci SQL poskytuje přístup k následujícím funkcím Security Center a Azure Defenderu pro SQL:

  • Doporučení zabezpečení – Security Center pravidelně analyzuje stav zabezpečení všech připojených prostředků Azure, aby identifikoval potenciální chybné konfigurace zabezpečení. Pak poskytuje doporučení k nápravě těchto ohrožení zabezpečení a zlepšení stavu zabezpečení organizací.
  • Výstrahy zabezpečení – služba detekce, která nepřetržitě monitoruje aktivity Azure SQL pro hrozby, jako jsou injektáž SQL, útoky hrubou silou a zneužití oprávnění. Tato služba aktivuje podrobné výstrahy zabezpečení orientované na akce ve službě Security Center a poskytuje možnosti pro pokračování vyšetřování pomocí služby Azure Sentinel, což je řešení SIEM nativní pro Microsoft Azure.
  • Zjištění – služba posouzení ohrožení zabezpečení, která nepřetržitě monitoruje konfigurace Azure SQL a pomáhá napravit ohrožení zabezpečení. Kontroly posouzení poskytují přehled stavů zabezpečení Azure SQL společně s podrobnými zjištěními zabezpečení.

Funkce zabezpečení služby Azure Security Center pro SQL jsou k dispozici v rámci Azure SQL.

Aktualizované nástroje a filtry inventáře prostředků

Stránka inventáře ve službě Azure Security Center se aktualizovala s následujícími změnami:

  • Vodítka a zpětná vazba přidaná na panel nástrojů Otevře se podokno s odkazy na související informace a nástroje.

  • Filtr předplatných přidaný do výchozích filtrů dostupných pro vaše prostředky

  • Otevřete odkaz dotazu pro otevření aktuálních možností filtru jako dotazu Azure Resource Graphu (dříve označovaný jako Zobrazení v Průzkumníku grafů prostředků).

  • Možnosti operátorů pro každý filtr Teď si můžete vybrat z více logických operátorů než =. Můžete například chtít najít všechny prostředky s aktivními doporučeními, jejichž názvy obsahují řetězec "encrypt".

    Ovládací prvky pro možnost operátora ve filtrech inventáře aktiv

Další informace o inventáři najdete v tématu Prozkoumání a správa prostředků pomocí inventáře prostředků.

Doporučení týkající se webových aplikací, které požadují certifikáty SSL, už nejsou součástí skóre zabezpečení

Doporučení "Web apps should request an SSL certificate for all incoming requests" (Webové aplikace by měly požadovat certifikát SSL pro všechny příchozí požadavky) byl přesunut z řízení zabezpečení Spravovat přístup a oprávnění (stojí za maximálně 4 body) do implementace osvědčených postupů zabezpečení (které stojí za žádné body).

Zajištění, že webová aplikace požaduje certifikát, je jistě bezpečnější. U veřejných webových aplikací je ale irelevantní. Pokud k webu přistupujete přes PROTOKOL HTTP a ne HTTPS, nebudete dostávat žádný klientský certifikát. Takže pokud vaše aplikace vyžaduje klientské certifikáty, neměli byste povolit požadavky na vaši aplikaci přes protokol HTTP. Další informace najdete v tématu Konfigurace vzájemného ověřování TLS pro službu Aplikace Azure Service.

Při této změně je teď doporučení doporučeným osvědčeným postupem, který nemá vliv na vaše skóre.

Zjistěte, která doporučení se nacházejí v jednotlivých bezpečnostních prvcích v bezpečnostních prvcích a jejich doporučeních.

Stránka Doporučení obsahuje nové filtry pro prostředí, závažnost a dostupné odpovědi.

Azure Security Center monitoruje všechny připojené prostředky a generuje doporučení zabezpečení. Pomocí těchto doporučení můžete posílit stav hybridního cloudu a sledovat dodržování zásad a standardů, které jsou relevantní pro vaši organizaci, odvětví a zemi/oblast.

Vzhledem k tomu, že Security Center stále rozšiřuje své pokrytí a funkce, roste každý měsíc seznam doporučení zabezpečení. Podívejte se například na dvacet devět doporučení ve verzi Preview, která se přidávají ke zvýšení pokrytí srovnávacího testu zabezpečení Azure.

S rostoucím seznamem je potřeba filtrovat doporučení, abyste našli ty, které mají největší zájem. V listopadu jsme na stránku doporučení přidali filtry (viz seznam doporučení teď obsahuje filtry).

Filtry přidané tento měsíc poskytují možnosti pro upřesnění seznamu doporučení podle následujících:

  • Prostředí – Zobrazení doporučení pro prostředky AWS, GCP nebo Azure (nebo libovolnou kombinaci)

  • Závažnost – Zobrazení doporučení podle klasifikace závažnosti nastavené službou Security Center

  • Akce odpovědi – Zobrazení doporučení podle dostupnosti možností odpovědi služby Security Center: Oprava, Zamítnutí a Vynucení

    Tip

    Filtr akcí odpovědi nahrazuje filtr Rychlá oprava dostupná (Ano/Ne).

    Přečtěte si další informace o každé z těchto možností odpovědi:

Doporučení seskupené podle ovládacího prvku zabezpečení

Průběžný export získává nové datové typy a vylepšené zásady deployifnotexist

Nástroje pro průběžný export ve službě Azure Security Center umožňují exportovat doporučení a výstrahy služby Security Center pro použití s dalšími monitorovacími nástroji ve vašem prostředí.

Průběžný export umožňuje plně přizpůsobit, co se bude exportovat a kam se bude exportovat. Úplné podrobnosti najdete v tématu Nepřetržitý export dat služby Security Center.

Tyto nástroje byly vylepšeny a rozšířeny následujícími způsoby:

  • Rozšířené zásady deployifnotexist pro průběžné exporty Zásady teď:

    • Zkontrolujte, jestli je povolená konfigurace. Pokud tomu tak není, zásada se zobrazí jako nevyhovující a vytvoří vyhovující prostředek. Další informace o zadaných šablonách Azure Policy najdete na kartě Nasazení ve velkém měřítku pomocí služby Azure Policy v tématu Nastavení průběžného exportu.

    • Podpora exportu zjištění zabezpečení Při použití šablon Azure Policy můžete nakonfigurovat průběžný export tak, aby zahrnoval závěry. To je relevantní při exportu doporučení s dílčími doporučeními, jako jsou zjištění z kontrol posouzení ohrožení zabezpečení nebo konkrétní aktualizace systému pro doporučení nadřazeného doporučení "Aktualizace systému by se měly nainstalovat na vaše počítače".

    • Podpora exportu dat skóre zabezpečení

  • Přidaná data posouzení dodržování právních předpisů (ve verzi Preview) Teď můžete průběžně exportovat aktualizace do posouzení dodržování právních předpisů, včetně jakýchkoli vlastních iniciativ, do pracovního prostoru služby Log Analytics nebo do služby Event Hubs. Tato funkce není k dispozici v národních cloudech.

    Možnosti zahrnutí informací o posouzení dodržování právních předpisů do dat průběžného exportu.

Listopad 2020

Aktualizace v listopadu zahrnují:

29 doporučení ve verzi Preview přidaná pro zvýšení pokrytí srovnávacího testu zabezpečení Azure

Srovnávací test zabezpečení Azure je sada osvědčených postupů pro zabezpečení a dodržování předpisů založená na běžných architekturách dodržování předpisů od Microsoftu, která je specifická pro Azure. Další informace o srovnávacím testu zabezpečení Azure

Do služby Security Center jsme přidali následující doporučení ve verzi Preview 29, aby se zvýšilo pokrytí tohoto srovnávacího testu.

Doporučení ve verzi Preview nevykreslují prostředek, který není v pořádku, a nejsou součástí výpočtů vašeho skóre zabezpečení. Opravte je tam, kde je to možné, aby po skončení období preview přispěli k vašemu skóre. Přečtěte si další informace o tom, jak reagovat na tato doporučení v tématu Náprava doporučení ve službě Azure Security Center.

Řízení zabezpečení Nová doporučení
Šifrování přenášených dat – Vynucování připojení SSL by mělo být povolené pro databázové servery PostgreSQL.
– Vynucování připojení SSL by mělo být povolené pro databázové servery MySQL.
– Protokol TLS by se měl aktualizovat na nejnovější verzi aplikace API.
– Protokol TLS by se měl aktualizovat na nejnovější verzi vaší aplikace funkcí.
– Protokol TLS by se měl aktualizovat na nejnovější verzi vaší webové aplikace.
– Protokol FTPS by měl být vyžadován ve vaší aplikaci API.
– Protokol FTPS by měl být vyžadován ve vaší aplikaci funkcí.
– Protokol FTPS by měl být vyžadován ve webové aplikaci.
Správa přístupu a oprávnění – Webové aplikace by měly požadovat certifikát SSL pro všechny příchozí požadavky.
– Spravovaná identita by se měla používat ve vaší aplikaci API.
– Spravovaná identita by se měla používat ve vaší aplikaci funkcí.
– Spravovaná identita by se měla používat ve vaší webové aplikaci.
Omezení neoprávněného síťového přístupu – Pro servery PostgreSQL by měl být povolený privátní koncový bod.
– Privátní koncový bod by měl být povolený pro servery MariaDB.
– Pro servery MySQL by měl být povolený privátní koncový bod.
Povolení auditování a protokolování – Diagnostické protokoly ve službě App Services by měly být povolené.
Implementace osvědčených postupů zabezpečení – Pro virtuální počítače by měla být povolená služba Azure Backup.
– Geograficky redundantní zálohování by mělo být povolené pro Azure Database for MariaDB.
– Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL.
– Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for PostgreSQL.
– PHP by se měl aktualizovat na nejnovější verzi vaší aplikace API.
– PHP by se měl aktualizovat na nejnovější verzi vaší webové aplikace.
– Java by se měla aktualizovat na nejnovější verzi vaší aplikace API.
– Java by se měla aktualizovat na nejnovější verzi vaší aplikace funkcí.
– Java by měla být aktualizována na nejnovější verzi vaší webové aplikace.
– Python by se měl aktualizovat na nejnovější verzi aplikace API.
– Python by se měl aktualizovat na nejnovější verzi vaší aplikace funkcí.
– Python by se měl aktualizovat na nejnovější verzi vaší webové aplikace.
– Uchovávání auditů pro SQL servery by mělo být nastaveno alespoň na 90 dnů.

Související odkazy:

NisT SP 800 171 R2 přidaný na řídicí panel dodržování právních předpisů služby Security Center

Standard NIST SP 800-171 R2 je nyní k dispozici jako integrovaná iniciativa pro použití s řídicím panelem dodržování právních předpisů ve službě Azure Security Center. Mapování ovládacích prvků jsou popsána v podrobnostech integrované iniciativy nist SP 800-171 R2 pro dodržování právních předpisů.

Pokud chcete použít standard pro vaše předplatná a průběžně monitorovat stav dodržování předpisů, použijte pokyny v části Přizpůsobení sady standardů na řídicím panelu dodržování právních předpisů.

Standard NIST SP 800 171 R2 na řídicím panelu dodržování právních předpisů služby Security Center

Další informace o této normě dodržování předpisů naleznete v tématu NIST SP 800-171 R2.

Seznam doporučení teď obsahuje filtry.

Seznam doporučení zabezpečení teď můžete filtrovat podle rozsahu kritérií. V následujícím příkladu je seznam doporučení filtrovaný tak, aby zobrazoval doporučení, která:

  • jsou obecně dostupné (to znamená ne ve verzi Preview).
  • jsou určené pro účty úložiště.
  • podpora rychlé opravy nápravy

Filtry pro seznam doporučení

Vylepšené a rozšířené možnosti automatického zřizování

Funkce automatického zřizování pomáhá snížit režijní náklady na správu instalací požadovaných rozšíření na nové a existující virtuální počítače Azure, aby mohly těžit z ochrany služby Security Center.

S rostoucím růstem služby Azure Security Center se vyvinulo více rozšíření a Security Center může monitorovat větší seznam typů prostředků. Nástroje pro automatické zřizování se teď rozšířily tak, aby podporovaly další rozšíření a typy prostředků s využitím funkcí služby Azure Policy.

Teď můžete nakonfigurovat automatické zřizování těchto možností:

  • Agent Log Analytics
  • (Nový) Azure Policy pro Kubernetes
  • (Nový) Microsoft Dependency Agent

Další informace o agentech a rozšířeních automatického zřizování najdete ve službě Azure Security Center.

Skóre zabezpečení je teď dostupné v průběžném exportu (Preview)

Díky průběžnému exportu skóre zabezpečení můžete streamovat změny skóre v reálném čase do služby Azure Event Hubs nebo do pracovního prostoru služby Log Analytics. Tato funkce se dá využít pro:

  • sledování skóre zabezpečení v průběhu času pomocí dynamických sestav
  • export dat o skóre zabezpečení do Služby Azure Sentinel (nebo jiného SIEM)
  • integrovat tato data se všemi procesy, které už možná používáte k monitorování skóre zabezpečení ve vaší organizaci

Přečtěte si další informace o tom, jak průběžně exportovat data služby Security Center.

Doporučení "Aktualizace systému by se měly nainstalovat na vaše počítače" teď zahrnují dílčí doporučení.

Na doporučení k počítačům by se měly nainstalovat aktualizace systému. Nová verze obsahuje dílčí pokyny pro každou chybějící aktualizaci a přináší následující vylepšení:

  • Přepracované prostředí na stránkách azure Security Center na webu Azure Portal Na počítačích by se měla nainstalovat stránka s podrobnostmi o doporučení pro aktualizace systému, která obsahuje seznam zjištění, jak je znázorněno níže. Když vyberete jedno hledání, otevře se podokno podrobností s odkazem na informace o nápravě a seznam ovlivněných prostředků.

    Otevření některého z dílčích doporučení v prostředí portálu pro aktualizované doporučení

  • Rozšířená data pro doporučení z Azure Resource Graphu (ARG). ARG je služba Azure, která je navržená tak, aby poskytovala efektivní zkoumání prostředků. ARG můžete použít k dotazování ve velkém měřítku napříč danou sadou předplatných, abyste mohli efektivně řídit své prostředí.

    Pro Azure Security Center můžete použít ARG a dotazovací jazyk Kusto (KQL) k dotazování na širokou škálu dat o stavu zabezpečení.

    Pokud jste se dříve dotazovali na toto doporučení v ARG, jediné dostupné informace byly, že doporučení je potřeba opravit na počítači. Následující dotaz rozšířené verze vrátí všechny chybějící aktualizace systému seskupené podle počítače.

    securityresources
| where type =~ "microsoft.security/assessments/subassessments"
| where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27"
| where properties.status.code == "Unhealthy"

Na stránce správa zásad na webu Azure Portal se teď zobrazuje stav výchozích přiřazení zásad.

Teď můžete zjistit, jestli mají vaše předplatná přiřazenou výchozí zásadu Security Center, na stránce zásad zabezpečení služby Security Center na webu Azure Portal.

Stránka správy zásad ve službě Azure Security Center zobrazující výchozí přiřazení zásad

Říjen 2020

Aktualizace v říjnu:

Posouzení ohrožení zabezpečení pro místní a multicloudové počítače (Preview)

Integrovaný skener posouzení ohrožení zabezpečení v Azure Defenderu pro servery (využívající Qualys) teď kontroluje servery s podporou Azure Arc.

Když na počítačích mimo Azure povolíte Azure Arc, Security Center na ně nabídne nasazení integrované kontroly ohrožení zabezpečení – ručně i ve velkém měřítku.

Díky této aktualizaci můžete využít sílu Azure Defenderu pro servery ke konsolidaci správa ohrožení zabezpečení programu napříč všemi prostředky Azure a prostředky mimo Azure.

Hlavní možnosti:

  • Monitorování stavu zřizování kontroly posouzení ohrožení zabezpečení na počítačích Azure Arc
  • Zřízení integrovaného agenta VA pro nechráněné počítače s Windows a Linuxem Azure Arc (ručně i ve velkém)
  • Příjem a analýza zjištěných ohrožení zabezpečení z nasazených agentů (ručně i ve velkém)
  • Jednotné prostředí pro virtuální počítače Azure a počítače Azure Arc

Přečtěte si další informace o nasazení integrované kontroly ohrožení zabezpečení Qualys do hybridních počítačů.

Přečtěte si další informace o serverech s podporou Azure Arc.

Přidání doporučení služby Azure Firewall (Preview)

Přidali jsme nové doporučení pro ochranu všech vašich virtuálních sítí pomocí služby Azure Firewall.

Doporučení: Virtuální sítě by měly být chráněné službou Azure Firewall, doporučuje omezit přístup k vašim virtuálním sítím a zabránit potenciálním hrozbám pomocí služby Azure Firewall.

Přečtěte si další informace o službě Azure Firewall.

Autorizované rozsahy IP adres by se měly definovat v doporučení služby Kubernetes Services aktualizované pomocí rychlé opravy.

V Kubernetes Services by teď měly být definované rozsahy autorizovaných IP adres.

Další informace o tomto doporučení a všech ostatních doporučeních služby Security Center najdete v tématu Doporučení zabezpečení – referenční příručka.

Autorizované rozsahy IP adres by se měly definovat v doporučení ke službě Kubernetes Services pomocí možnosti Rychlá oprava.

Řídicí panel dodržování právních předpisů teď obsahuje možnost odebrat standardy.

Řídicí panel dodržování právních předpisů ve službě Security Center poskytuje přehled o stavu dodržování předpisů na základě toho, jak splňujete konkrétní kontroly dodržování předpisů a požadavky.

Řídicí panel obsahuje výchozí sadu regulačních standardů. Pokud některý ze zadaných standardů není pro vaši organizaci relevantní, je teď jednoduchý postup, jak je odebrat z uživatelského rozhraní předplatného. Standardy se dají odebrat jenom na úrovni předplatného , ne na úrovni skupiny pro správu.

Další informace najdete v části Odebrání standardu z řídicího panelu.

Tabulka Microsoft.Security/securityStatuses odebraná z Azure Resource Graphu (ARG)

Azure Resource Graph je služba v Azure, která je navržená tak, aby poskytovala efektivní zkoumání prostředků s možností dotazování ve velkém měřítku napříč danou sadou předplatných, abyste mohli efektivně řídit vaše prostředí.

Pro Azure Security Center můžete použít ARG a dotazovací jazyk Kusto (KQL) k dotazování na širokou škálu dat o stavu zabezpečení. Příklad:

V rámci ARG existují tabulky dat, které můžete použít v dotazech.

Azure Resource Graph Explorer a dostupné tabulky.

Tip

Dokumentace k ARG obsahuje všechny dostupné tabulky v tabulce Azure Resource Graphu a odkazy na typ prostředku.

Z této aktualizace byla odebrána tabulka Microsoft.Security/securityStatuses . Rozhraní SECURITYStatuses API je stále dostupné.

Nahrazení dat může používat tabulka Microsoft.Security/Assessments.

Hlavním rozdílem mezi Microsoft.Security/securityStatuses a Microsoft.Security/Assessments je, že zatímco první ukazuje agregaci posouzení, sekundy pro každý z nich obsahuje jeden záznam.

Například Microsoft.Security/securityStatuses by vrátil výsledek s polem dvou zásadAssessments:

{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties:  {
    policyAssessments: [
        {assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
        {assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
    ],
    securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
    name: "GenericResourceHealthProperties",
    type: "VirtualNetwork",
    securitystate: "High"
}

Vzhledem k tomu, že Microsoft.Security/Assessments uchovává záznam pro každé takové posouzení zásad takto:

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties:  {
    resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
    displayName: "Azure DDOS Protection should be enabled",
    status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
    resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
    displayName: "Audit diagnostic setting",
    status:  {code: "Unhealthy"}
}

Příklad převodu existujícího dotazu ARG pomocí securityStatuses pro použití tabulky hodnocení:

Dotaz, který odkazuje na SecurityStatuses:

SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails

Náhradní dotaz pro tabulku Hodnocení:

securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData

Další informace najdete na následujících odkazech:

září 2020

Aktualizace v září zahrnují:

Security Center získá nový vzhled

Vydali jsme aktualizované uživatelské rozhraní pro stránky portálu služby Security Center. Nové stránky obsahují novou stránku přehledu a řídicí panely pro bezpečnostní skóre, inventář prostředků a Azure Defender.

Přepracovaná stránka přehledu má teď dlaždici pro přístup k skóre zabezpečení, inventáři prostředků a řídicím panelům Azure Defenderu. Obsahuje také dlaždici odkazující na řídicí panel dodržování právních předpisů.

Přečtěte si další informace o stránce s přehledem.

Vydáno v Azure Defenderu

Azure Defender je platforma ochrany cloudových úloh (CWPP) integrovaná ve službě Security Center pro pokročilé, inteligentní ochranu vašich úloh Azure a hybridních úloh. Nahrazuje možnost standardní cenové úrovně Security Center.

Když povolíte Azure Defender z oblasti Cen a nastavení služby Azure Security Center, jsou všechny následující plány Defenderu povolené současně a poskytují komplexní ochranu výpočetních, datových a servisních vrstev vašeho prostředí:

Každý z těchto plánů je vysvětlen samostatně v dokumentaci ke službě Security Center.

Azure Defender poskytuje díky svému vyhrazenému řídicímu panelu výstrahy zabezpečení a pokročilou ochranu před hrozbami pro virtuální počítače, databáze SQL, kontejnery, webové aplikace, vaši síť a další.

Další informace o Azure Defenderu

Azure Defender for Key Vault je obecně dostupný

Azure Key Vault je cloudová služba, která chrání šifrovací klíče a tajné kódy, jako jsou certifikáty, připojovací řetězec a hesla.

Azure Defender for Key Vault poskytuje nativní a pokročilou ochranu před hrozbami pro Azure Key Vault a poskytuje další vrstvu inteligentních funkcí zabezpečení. Azure Defender for Key Vault navíc chrání mnoho prostředků závislých na vašich účtech služby Key Vault.

Volitelný plán je teď obecně dostupný. Tato funkce byla ve verzi Preview jako rozšířená ochrana před internetovými útoky pro Azure Key Vault.

Stránky služby Key Vault na webu Azure Portal teď obsahují vyhrazenou stránku zabezpečení pro doporučení a výstrahy služby Security Center .

Další informace najdete v Azure Defenderu pro Key Vault.

Obecná dostupnost ochrany Azure Defenderu pro službu Storage pro soubory a ADLS Gen2

Azure Defender for Storage detekuje potenciálně škodlivé aktivity u vašich účtů Azure Storage. Vaše data je možné chránit bez ohledu na to, jestli jsou uložená jako kontejnery objektů blob, sdílené složky nebo datová jezera.

Podpora služby Azure Files a Azure Data Lake Storage Gen2 je teď obecně dostupná.

Od 1. října 2020 začneme účtovat poplatky za ochranu prostředků na těchto službách.

Další informace najdete v Azure Defenderu pro storage.

Nástroje inventáře prostředků jsou teď obecně dostupné.

Stránka inventáře prostředků služby Azure Security Center poskytuje jednu stránku pro zobrazení stavu zabezpečení prostředků, které jste připojili ke službě Security Center.

Security Center pravidelně analyzuje stav zabezpečení vašich prostředků Azure, aby identifikoval potenciální ohrožení zabezpečení. Pak vám poskytne doporučení, jak tato ohrožení zabezpečení napravit.

Pokud má některý prostředek nevyrovnaná doporučení, zobrazí se v inventáři.

Další informace najdete v části Prozkoumání a správa prostředků pomocí inventáře prostředků.

Zakázání konkrétního hledání ohrožení zabezpečení pro vyhledávání registrů kontejnerů a virtuálních počítačů

Azure Defender zahrnuje kontroly ohrožení zabezpečení ke kontrole imagí ve službě Azure Container Registry a virtuálních počítačích.

Pokud potřebujete, aby organizace hledání ignorovala a nemusela ji opravovat, můžete ji volitelně zakázat. Zakázaná zjištění nemají vliv na vaše skóre zabezpečení ani negenerují nežádoucí šum.

Když hledání odpovídá kritériím definovaným v pravidlech zákazu, nezobrazí se v seznamu zjištění.

Tato možnost je k dispozici na stránkách s podrobnostmi doporučení pro:

  • Chyby zabezpečení v imagích služby Azure Container Registry by se měly napravit.
  • Měla by se napravit ohrožení zabezpečení ve vašich virtuálních počítačích.

Další informace najdete v článku Zakázání konkrétních zjištění imagí kontejnerů a zakázání konkrétních zjištění pro vaše virtuální počítače.

Vyloučení prostředku z doporučení

V některých případech bude prostředek uveden v pořádku ohledně konkrétního doporučení (a tím snížení skóre zabezpečení), i když se cítíte, že by neměl být. Je možné, že byl opraven procesem, který není sledován službou Security Center. Nebo se vaše organizace rozhodla přijmout riziko pro tento konkrétní prostředek.

V takových případech můžete vytvořit pravidlo výjimky a zajistit, aby prostředek nebyl v budoucnu uveden mezi prostředky, které nejsou v pořádku. Tato pravidla můžou obsahovat zdokumentované odůvodnění, jak je popsáno níže.

Další informace najdete v článku Vyloučení prostředku z doporučení a skóre zabezpečení.

Konektory AWS a GCP ve službě Security Center přinášejí vícecloudové prostředí

U cloudových úloh, které často pokrývají více cloudových platforem, musí služby cloudového zabezpečení provádět totéž.

Azure Security Center teď chrání úlohy v Azure, Amazon Web Services (AWS) a Google Cloud Platform (GCP).

Když nasadíte projekty AWS a GCP do služby Security Center, integruje se služba AWS Security Hub, GCP Security Command a Azure Security Center.

Další informace najdete v Připojení účtů AWS do služby Azure Security Center a Připojení projekty GCP do služby Azure Security Center.

Sada doporučení ochrany úloh Kubernetes

Aby se zajistilo, že úlohy Kubernetes jsou ve výchozím nastavení zabezpečené, security Center přidává doporučení pro posílení úrovně Kubernetes, včetně možností vynucení s řízením přístupu Kubernetes.

Po instalaci služby Azure Policy pro Kubernetes do clusteru AKS se všechny požadavky na server rozhraní API Kubernetes budou monitorovat předdefinovanou sadou osvědčených postupů před tím, než se zachovají do clusteru. Pak můžete nakonfigurovat, abyste vynucovali osvědčené postupy a nařídili je pro budoucí úlohy.

Můžete například nařídit, aby se privilegované kontejnery neměly vytvářet a všechny budoucí požadavky na to budou blokované.

Další informace najdete v osvědčených postupech ochrany úloh pomocí řízení přístupu Kubernetes.

Zjištění posouzení ohrožení zabezpečení jsou nyní k dispozici v průběžném exportu.

Pomocí průběžného exportu můžete streamovat upozornění a doporučení do služby Azure Event Hubs, pracovních prostorů služby Log Analytics nebo azure Monitoru. Odtud můžete tato data integrovat se SIEM (jako je Azure Sentinel, Power BI, Azure Data Explorer a další.

Integrované nástroje pro posouzení ohrožení zabezpečení ve službě Security Center vrací závěry o vašich prostředcích jako užitečná doporučení v rámci doporučení nadřazeného objektu, jako je například Ohrožení zabezpečení ve virtuálních počítačích by se měla napravit.

Když vyberete doporučení a povolíte možnost zahrnout závěry zabezpečení, jsou teď k dispozici pro export prostřednictvím průběžného exportu.

Do konfigurace průběžného exportu zahrňte přepínač zjištění zabezpečení.

Související stránky:

Zabránění chybným konfiguracím zabezpečení vynucením doporučení při vytváření nových prostředků

Chybná konfigurace zabezpečení jsou hlavní příčinou incidentů zabezpečení. Security Center teď má možnost zabránit chybným konfiguracím nových prostředků s ohledem na konkrétní doporučení.

Tato funkce vám může pomoct udržet vaše úlohy zabezpečené a stabilizovat skóre zabezpečení.

Zabezpečenou konfiguraci můžete vynutit na základě konkrétního doporučení ve dvou režimech:

  • Pomocí režimu odepření služby Azure Policy můžete zastavit vytváření prostředků, které nejsou v pořádku.

  • Pomocí vynucované možnosti můžete využít účinek DeployIfNotExist služby Azure Policy a automaticky napravit nekompatibilní prostředky při vytváření.

Tato možnost je k dispozici pro vybraná doporučení zabezpečení a najdete ji v horní části stránky podrobností o prostředku.

Další informace najdete v článku Prevence chybných konfigurací s doporučeními k vynucení a zamítnutí.

Vylepšená doporučení skupin zabezpečení sítě

Vylepšili jsme následující doporučení zabezpečení související se skupinami zabezpečení sítě, aby se snížily některé výskyty falešně pozitivních výsledků.

  • Všechny síťové porty by měly být omezené na skupinu zabezpečení sítě přidruženou k vašemu virtuálnímu počítači.
  • Ve virtuálních počítačích by se měly uzavřít porty pro správu.
  • Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě.
  • Podsítě by měly mít přiřazenou skupinu zabezpečení sítě

Zastaralé doporučení AKS ve verzi Preview : Zásady zabezpečení podů by se měly definovat ve službách Kubernetes

Doporučení preview :Zásady zabezpečení podů by se měly definovat ve službách Kubernetes Services, jak je popsáno v dokumentaci ke službě Azure Kubernetes Service .

Funkce zásad zabezpečení podů (Preview) je nastavená pro vyřazení a po 15. říjnu 2020 už nebude k dispozici ve prospěch služby Azure Policy pro AKS.

Po vyřazení zásad zabezpečení podů (Preview) je nutné tuto funkci zakázat u všech existujících clusterů, které používají zastaralou funkci, abyste mohli provádět budoucí upgrady clusterů a zůstat v podpora Azure.

Vylepšená e-mailová oznámení ze služby Azure Security Center

Vylepšili jsme následující oblasti e-mailů týkajících se výstrah zabezpečení:

  • Přidání možnosti odesílat e-mailová oznámení o výstrahách pro všechny úrovně závažnosti
  • Přidání možnosti upozorňovat uživatele na různé role Azure v předplatném
  • Vlastníci předplatného ve výchozím nastavení aktivně upozorňují na výstrahy s vysokou závažností (které mají vysokou pravděpodobnost skutečného porušení zabezpečení).
  • Odebrali jsme pole telefonního čísla ze stránky konfigurace e-mailových oznámení.

Další informace najdete v článku Nastavení e-mailových oznámení pro výstrahy zabezpečení.

Skóre zabezpečení nezahrnuje doporučení verze Preview.

Security Center nepřetržitě vyhodnocuje vaše prostředky, předplatná a organizaci, jestli nedochází k problémům se zabezpečením. Následně agreguje všechna zjištění do jednoho skóre, abyste mohli na první pohled zjistit aktuální situaci v oblasti zabezpečení: čím vyšší je skóre, tím nižší je zjištěná úroveň rizika.

Při zjištění nových hrozeb se v Security Center zpřístupní nová doporučení týkající se zabezpečení prostřednictvím nových doporučení. Abyste se vyhnuli překvapivým změnám skóre zabezpečení a poskytli období odkladu, ve kterém můžete prozkoumat nová doporučení, než ovlivní vaše skóre, doporučení označená příznakem Preview se už do výpočtů vašeho skóre zabezpečení nezahrnou. Měly by se napravit všude, kde je to možné, aby po skončení období preview přispěly k vašemu skóre.

Doporučení verze Preview také nevykreslují prostředek, který není v pořádku.

Příklad doporučení verze Preview:

Doporučení s příznakem náhledu

Přečtěte si další informace o skóre zabezpečení.

Doporučení teď obsahují indikátor závažnosti a interval aktuálnosti.

Stránka podrobností doporučení teď obsahuje indikátor intervalu aktuálnosti (kdykoli je to relevantní) a jasné zobrazení závažnosti doporučení.

Stránka doporučení zobrazující aktuálnost a závažnost

Srpen 2020

Aktualizace v srpnu:

Inventář prostředků – výkonné nové zobrazení stavu zabezpečení vašich prostředků

Inventář prostředků služby Security Center (aktuálně ve verzi Preview) poskytuje způsob, jak zobrazit stav zabezpečení prostředků, které jste připojili ke službě Security Center.

Security Center pravidelně analyzuje stav zabezpečení vašich prostředků Azure, aby identifikoval potenciální ohrožení zabezpečení. Pak vám poskytne doporučení, jak tato ohrožení zabezpečení napravit. Pokud má některý prostředek nevyrovnaná doporučení, zobrazí se v inventáři.

Pomocí zobrazení a jejích filtrů můžete prozkoumat data stavu zabezpečení a provádět další akce na základě vašich zjištění.

Přečtěte si další informace o inventáři prostředků.

Přidání podpory výchozích hodnot zabezpečení Azure Active Directory (pro vícefaktorové ověřování)

Security Center přidala plnou podporu pro výchozí nastavení zabezpečení, bezplatnou ochranu zabezpečení identit od Microsoftu.

Výchozí nastavení zabezpečení poskytují předkonfigurovaná nastavení zabezpečení identit pro ochranu vaší organizace před běžnými útoky souvisejícími s identitami. Výchozí nastavení zabezpečení již chrání více než 5 milionů tenantů; Security Center také chrání 50 000 tenantů.

Security Center teď poskytuje doporučení zabezpečení vždy, když identifikuje předplatné Azure bez povoleného výchozího nastavení zabezpečení. Doteď služba Security Center doporučila povolit vícefaktorové ověřování pomocí podmíněného přístupu, což je součást licence Azure Active Directory (AD) Premium. Pro zákazníky, kteří používají Bezplatnou službu Azure AD, teď doporučujeme povolit výchozí nastavení zabezpečení.

Naším cílem je povzbuzovat další zákazníky k zabezpečení cloudových prostředí pomocí vícefaktorového ověřování a zmírnit jedno z největších rizik, která jsou pro vaše bezpečnostní skóre také nejvýraznější.

Přečtěte si další informace o výchozích nastaveních zabezpečení.

Přidání doporučení pro instanční objekty

Přidali jsme nové doporučení, které zákazníkům služby Security Center doporučilo, aby ke správě svých předplatných používali certifikáty pro správu, a přešli na instanční objekty.

Doporučení, instanční objekty by se měly používat k ochraně předplatných místo certifikátů pro správu, doporučujeme používat instanční objekty nebo Azure Resource Manager k bezpečnější správě předplatných.

Přečtěte si další informace o objektech aplikace a instančního objektu v Azure Active Directory.

Posouzení ohrožení zabezpečení na virtuálních počítačích – konsolidované zásady a doporučení

Security Center zkontroluje vaše virtuální počítače a zjistí, jestli používají řešení posouzení ohrožení zabezpečení. Pokud se nenajde žádné řešení posouzení ohrožení zabezpečení, security Center nabízí doporučení pro zjednodušení nasazení.

Při nalezení ohrožení zabezpečení poskytuje Security Center doporučení shrnující zjištění, která můžete podle potřeby prošetřit a napravit.

Abychom zajistili konzistentní prostředí pro všechny uživatele bez ohledu na typ skeneru, který používají, jsme sjednotili čtyři doporučení do následujících dvou:

Jednotné doporučení Změna popisu
Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. Nahradí následující dvě doporučení:
Povolení integrovaného řešení posouzení ohrožení zabezpečení na virtuálních počítačích (s využitím Qualys (nyní zastaralé) (součástí úrovně Standard)
Řešení posouzení ohrožení zabezpečení by se mělo nainstalovat na virtuální počítače (nyní zastaralé) (úrovně Standard a Free).
Měla by se napravit ohrožení zabezpečení ve vašich virtuálních počítačích. Nahradí následující dvě doporučení:
Náprava ohrožení zabezpečení nalezených na vašich virtuálních počítačích (využívajících Qualys) (nyní zastaralé)
Ohrožení zabezpečení by mělo být odstraněno řešením posouzení ohrožení zabezpečení (nyní zastaralé).

Teď použijete stejné doporučení k nasazení rozšíření posouzení ohrožení zabezpečení služby Security Center nebo soukromého licencovaného řešení (BYOL) od partnera, jako je Qualys nebo Rapid 7.

Při nalezení a nahlášení ohrožení zabezpečení službě Security Center vás na zjištění upozorní jedno doporučení bez ohledu na řešení posouzení ohrožení zabezpečení, které je identifikovalo.

Aktualizace závislostí

Pokud máte skripty, dotazy nebo automatizace odkazující na předchozí doporučení nebo klíče/názvy zásad, aktualizujte odkazy pomocí následujících tabulek:

Před srpnem 2020
Doporučení Obor
Povolení integrovaného řešení posouzení ohrožení zabezpečení na virtuálních počítačích (využívajících Qualys)
Klíč: 550e890b-e652-4d22-8274-60b3bdb24c63		 Integrovaný
Náprava ohrožení zabezpečení zjištěných na virtuálních počítačích (s využitím Qualys)
Klíč: 1195afff-c881-495e-9bc5-1486211ae03f		 Integrovaný
Na virtuální počítače by mělo být nainstalované řešení posouzení ohrožení zabezpečení.
Klíč: 01b1ed4c-b733-4fee-b145-f23236e70cf3		 BYOL
Ohrožení zabezpečení by se měla napravit řešením posouzení ohrožení zabezpečení.
Klíč: 71992a2a2a-d168-42e0-b10e-6b45fa2ecddb		 BYOL
Zásady Obor
Na virtuálních počítačích by mělo být povolené posouzení ohrožení zabezpečení.
ID zásady: 501541f7-f7e7-4cd6-868c-4190fdad3ac9		 Integrovaný
Ohrožení zabezpečení by se měla napravit řešením posouzení ohrožení zabezpečení.
ID zásady: 760a85ff-6162-42b3-8d70-698e268f648c		 BYOL
Od srpna 2020
Doporučení Obor
Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení.
Klíč: ffff0522-1e88-47fc-8382-2a80ba848f5d		 Integrované + BYOL
Měla by se napravit ohrožení zabezpečení ve vašich virtuálních počítačích.
Klíč: 1195afff-c881-495e-9bc5-1486211ae03f		 Integrované + BYOL
Zásady Obor
Na virtuálních počítačích by mělo být povolené posouzení ohrožení zabezpečení.
ID zásady: 501541f7-f7e7-4cd6-868c-4190fdad3ac9		 Integrované + BYOL

Nové zásady zabezpečení AKS přidané do iniciativy ASC_default

Aby se zajistilo, že jsou úlohy Kubernetes ve výchozím nastavení zabezpečené, security Center přidává zásady na úrovni Kubernetes a doporučení k posílení zabezpečení, včetně možností vynucení s řízením přístupu Kubernetes.

Počáteční fáze tohoto projektu zahrnuje verzi Preview a přidání nových (ve výchozím nastavení zakázaných) zásad do iniciativy ASC_default.

Tyto zásady můžete bezpečně ignorovat a vaše prostředí nebude mít žádný vliv. Pokud je chcete povolit, zaregistrujte si verzi Preview prostřednictvím privátní komunity Zabezpečení cloudu Microsoftu a vyberte si z následujících možností:

  1. Single Preview – Pokud se chcete připojit jenom k této verzi Preview . Explicitně zmiňte "ASC Continuous Scan" jako náhled, ke které se chcete připojit.
  2. Průběžný program – bude přidán do této a budoucí privátní verze Preview. Budete muset dokončit smlouvu s profilem a ochranou osobních údajů.

Červenec 2020

Aktualizace v červenci:

Posouzení ohrožení zabezpečení pro virtuální počítače nově k dispozici pro image mimo marketplace

Když jste nasadili řešení posouzení ohrožení zabezpečení, služba Security Center předtím před nasazením provedla kontrolu ověření. Kontrolou bylo potvrzení skladové položky marketplace cílového virtuálního počítače.

Z této aktualizace se kontrola odebere a teď můžete nasadit nástroje pro posouzení ohrožení zabezpečení do vlastních počítačů s Windows a Linuxem. Vlastní image jsou ty, které jste upravili z výchozích hodnot Marketplace.

I když teď můžete nasadit integrované rozšíření posouzení ohrožení zabezpečení (využívající Qualys) na mnoho dalších počítačů, podpora je dostupná jenom v případě, že používáte operační systém uvedený v části Nasazení integrované kontroly ohrožení zabezpečení na virtuální počítače úrovně Standard.

Přečtěte si další informace o integrovaném skeneru ohrožení zabezpečení pro virtuální počítače (vyžaduje Azure Defender).

Přečtěte si další informace o používání vlastního soukromého licencovaného řešení posouzení ohrožení zabezpečení od Qualys nebo Rapid7 nasazení řešení kontroly ohrožení zabezpečení partnera.

Rozšíření ochrany před hrozbami pro služby Azure Storage tak, aby zahrnovala Azure Files a Azure Data Lake Storage Gen2 (Preview)

Ochrana před hrozbami pro Azure Storage detekuje potenciálně škodlivé aktivity u vašich účtů Azure Storage. Security Center zobrazí výstrahy, když zjistí pokusy o přístup k účtům úložiště nebo jejich zneužití.

Vaše data je možné chránit bez ohledu na to, jestli jsou uložená jako kontejnery objektů blob, sdílené složky nebo datová jezera.

Osm nových doporučení pro povolení funkcí ochrany před hrozbami

Přidali jsme osm nových doporučení, která poskytují jednoduchý způsob, jak povolit funkce ochrany před hrozbami služby Azure Security Center pro následující typy prostředků: virtuální počítače, plány služby App Service, servery služby Azure SQL Database, servery SQL na počítačích, účty Azure Storage, clustery Azure Kubernetes Service, registry služby Azure Container Registry a trezory služby Azure Key Vault.

Nová doporučení jsou:

  • Na serverech Azure SQL Database by se mělo povolit pokročilé zabezpečení dat.
  • Na serverech SQL na počítačích by se mělo povolit pokročilé zabezpečení dat.
  • Rozšířená ochrana před internetovými útoky by měla být povolená v plánech služby Aplikace Azure Service.
  • Rozšířená ochrana před internetovými útoky by měla být povolená v registrech služby Azure Container Registry.
  • Rozšířená ochrana před internetovými útoky by měla být povolená v trezorech služby Azure Key Vault.
  • Rozšířená ochrana před internetovými útoky by měla být povolená v clusterech Azure Kubernetes Service.
  • Rozšířená ochrana před internetovými útoky by měla být povolená v účtech Azure Storage.
  • Rozšířená ochrana před internetovými útoky by měla být povolená na virtuálních počítačích.

Doporučení zahrnují také funkci rychlé opravy.

Důležité

Náprava kteréhokoli z těchto doporučení způsobí, že se budou účtovat poplatky za ochranu příslušných prostředků. Pokud máte související prostředky v aktuálním předplatném, začnou se tyto poplatky okamžitě účtovat. Nebo v budoucnu, pokud je přidáte později.

Pokud například ve svém předplatném nemáte žádné clustery Azure Kubernetes Service a povolíte ochranu před hrozbami, nebudou vám účtovány žádné poplatky. Pokud v budoucnu přidáte cluster do stejného předplatného, bude automaticky chráněn a poplatky začnou v tuto chvíli.

Další informace o jednotlivých z nich najdete na stránce s referenčními informacemi k doporučením zabezpečení.

Přečtěte si další informace o ochraně před hrozbami ve službě Azure Security Center.

Vylepšení zabezpečení kontejnerů – rychlejší prohledávání registru a aktualizovaná dokumentace

V rámci průběžných investic do domény zabezpečení kontejneru s radostí sdílíme významné zlepšení výkonu při dynamických kontrolách imagí kontejnerů uložených ve službě Azure Container Registry ve službě Security Center. Kontroly se teď obvykle dokončí přibližně za dvě minuty. V některých případech může trvat až 15 minut.

Abychom zlepšili přehlednost a pokyny týkající se možností zabezpečení kontejnerů služby Azure Security Center, aktualizovali jsme také stránky dokumentace zabezpečení kontejneru.

Další informace o zabezpečení kontejnerů služby Security Center najdete v následujících článcích:

Aktualizace adaptivního řízení aplikací s novým doporučením a podporou pro zástupné znaky v pravidlech cest

Funkce adaptivního řízení aplikací obdržela dvě významné aktualizace:

  • Nové doporučení identifikuje potenciálně legitimní chování, které ještě nebylo povoleno. Nové doporučení, pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat, vyzve vás k přidání nových pravidel do stávajících zásad, aby se snížil počet falešně pozitivních výsledků v upozorněních na porušení adaptivního řízení aplikací.

  • Pravidla cesty teď podporují zástupné cardy. Z této aktualizace můžete nakonfigurovat povolená pravidla cest pomocí zástupných znaků. Existují dva podporované scénáře:

    • Pomocí zástupného znaku na konci cesty povolíte všem spustitelným souborům v této složce a podsložkách.

    • Použití zástupného znaku uprostřed cesty k povolení známého spustitelného názvu se změněným názvem složky (např. osobní uživatelské složky se známým spustitelným souborem, automaticky vygenerovanými názvy složek atd.).

Přečtěte si další informace o adaptivních řízeních aplikací.

Vyřazení šesti zásad pro rozšířené zabezpečení dat SQL

Šest zásad souvisejících s pokročilým zabezpečením dat pro počítače SQL se nepoužívá:

  • Rozšířené typy ochrany před internetovými útoky by měly být v pokročilém nastavení zabezpečení dat sql spravované instance nastaveny na Vše.
  • Rozšířené typy ochrany před internetovými útoky by měly být nastavené na All (Vše) na sql serveru advanced data security settings
  • Rozšířená nastavení zabezpečení dat pro spravovanou instanci SQL by měla obsahovat e-mailovou adresu pro příjem výstrah zabezpečení.
  • Rozšířená nastavení zabezpečení dat pro SQL Server by měla obsahovat e-mailovou adresu pro příjem výstrah zabezpečení.
  • E-mailová oznámení správcům a vlastníkům předplatného by se měla povolit v rozšířených nastaveních zabezpečení dat spravované instance SQL.
  • V nastaveních pokročilého zabezpečení dat serverů SQL by měla být povolená e-mailová oznámení pro správce a vlastníky předplatného.

Přečtěte si další informace o předdefinovaných zásadách.

Červen 2020

Aktualizace v červnu zahrnují:

Rozhraní API pro skóre zabezpečení (Preview)

K skóre se teď dostanete přes rozhraní API pro skóre zabezpečení (aktuálně ve verzi Preview). Metody rozhraní API poskytují flexibilitu při dotazování na data a vytváření vlastního mechanismu generování sestav bezpečnostních skóre v průběhu času. Pomocí rozhraní API skóre zabezpečení můžete například získat skóre pro konkrétní předplatné. Kromě toho můžete použít rozhraní API pro bezpečnostní skóre k výpisu bezpečnostních prvků a aktuálního skóre vašich předplatných.

Příklady externích nástrojů, které umožňují rozhraní API pro skóre zabezpečení, najdete v oblasti skóre zabezpečení naší komunity GitHubu.

Přečtěte si další informace o bezpečnostních skóre a bezpečnostních prvcích ve službě Azure Security Center.

Pokročilé zabezpečení dat pro počítače SQL (Azure, další cloudy a místní prostředí) (Preview)

Pokročilé zabezpečení dat pro počítače SQL služby Azure Security Center teď chrání SQL Servery hostované v Azure, v jiných cloudových prostředích a dokonce i na místních počítačích. Tím se rozšíří ochrana vašich SQL Serverů nativních pro Azure, aby plně podporovala hybridní prostředí.

Pokročilé zabezpečení dat poskytuje posouzení ohrožení zabezpečení a rozšířenou ochranu před hrozbami pro vaše počítače SQL všude, kde se nacházejí.

Nastavení zahrnuje dva kroky:

  1. Nasazení agenta Log Analytics na hostitelský počítač s SQL Serverem za účelem poskytnutí připojení k účtu Azure

  2. Povolení volitelné sady na stránce s cenami a nastavením služby Security Center

Přečtěte si další informace o pokročilém zabezpečení dat pro počítače SQL.

Dvě nová doporučení pro nasazení agenta Log Analytics do počítačů Azure Arc (Preview)

Přidali jsme dvě nová doporučení, která vám pomůžou nasadit agenta Log Analytics do počítačů Azure Arc a zajistit, aby byly chráněné službou Azure Security Center:

  • Agent Log Analytics by měl být nainstalovaný na počítačích Azure Arc s Windows (Preview)
  • Agent Log Analytics by měl být nainstalovaný na počítačích Azure Arc se systémem Linux (Preview)

Tato nová doporučení se zobrazí ve stejných čtyřech kontrolních prvcích zabezpečení jako existující (související) doporučení, agent monitorování by měl být nainstalovaný na vašich počítačích: opravte konfigurace zabezpečení, použijte adaptivní řízení aplikací, použijte aktualizace systému a povolte ochranu koncových bodů.

Doporučení zahrnují také funkci Rychlá oprava, která proces nasazení urychlí.

Další informace o těchto dvou novýchdoporučeních

Přečtěte si další informace o tom, jak Azure Security Center používá agenta v části Co je agent Log Analytics?

Přečtěte si další informace o rozšířeních pro počítače Azure Arc.

Nové zásady pro vytváření konfigurací průběžného exportu a automatizace pracovních postupů ve velkém měřítku

Automatizace procesů monitorování a reakce na incidenty ve vaší organizaci může výrazně zlepšit dobu potřebnou k prošetření a zmírnění incidentů zabezpečení.

Pokud chcete nasadit konfigurace automatizace ve vaší organizaci, použijte tyto integrované zásady Azure DeployIfdNotExist k vytváření a konfiguraci procedur průběžného exportu a automatizace pracovních postupů:

Definice zásad najdete ve službě Azure Policy:

Goal Zásady ID zásady
Průběžný export do služby Event Hubs Nasazení exportu do služby Event Hubs pro výstrahy a doporučení služby Azure Security Center cdfcce10-4578-4ecd-9703-530938e4abcb
Průběžný export do pracovního prostoru služby Log Analytics Nasazení exportu do pracovního prostoru služby Log Analytics pro upozornění a doporučení služby Azure Security Center ffb6f416-7bd2-4488-8828-56585fef2be9
Automatizace pracovních postupů pro výstrahy zabezpečení Nasazení automatizace pracovních postupů pro upozornění služby Azure Security Center f1525828-9a90-4fcf-be48-268cd02361e
Automatizace pracovních postupů pro doporučení zabezpečení Nasazení automatizace pracovních postupů pro doporučení služby Azure Security Center 73d6ab6c-2475-4850-afd6-43795f3492ef

Začínáme se šablonami automatizace pracovních postupů

Přečtěte si další informace o použití dvou zásad exportu ve velkém měřítku při konfiguraci automatizace pracovního postupu pomocí zadaných zásad a nastavení průběžného exportu.

Nové doporučení pro použití skupin zabezpečení sítě k ochraně ne internetových virtuálních počítačů

Ovládací prvek zabezpečení implementuje osvědčené postupy zabezpečení, teď obsahuje následující nové doporučení:

  • Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě.

Existující doporučení: Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě, nerozlišily mezi internetovými a ne internetovými virtuálními počítači. U obou se vygenerovalo doporučení s vysokou závažností, pokud se virtuální počítač nepřiřadil ke skupině zabezpečení sítě. Toto nové doporučení odděluje počítače, které nejsou přístupné z internetu, aby se snížily falešně pozitivní výsledky a zabránilo zbytečným výstrahám s vysokou závažností.

Další informace najdete v tabulce doporučení sítě.

Nové zásady pro povolení ochrany před hrozbami a pokročilé zabezpečení dat

Následující nové definice zásad byly přidány do výchozí iniciativy ASC a jsou navržené tak, aby pomohly s povolením ochrany před hrozbami nebo pokročilým zabezpečením dat pro příslušné typy prostředků.

Definice zásad najdete ve službě Azure Policy:

Zásady ID zásady
Na serverech Azure SQL Database by se mělo povolit pokročilé zabezpečení dat. 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2
Na serverech SQL na počítačích by se mělo povolit pokročilé zabezpečení dat. 6581d072-105e-4418-827f-bd446d56421b
Rozšířená ochrana před internetovými útoky by měla být povolená v účtech Azure Storage. 308fbb08-4ab8-4e67-9b29-592e93fb94fa
Rozšířená ochrana před internetovými útoky by měla být povolená v trezorech služby Azure Key Vault. 0e6763cc-5078-4e64-889d-ff4d9a839047
Rozšířená ochrana před internetovými útoky by měla být povolená v plánech služby Aplikace Azure Service. 2913021d-f2fd-4f3d-b958-22354e2bdbcb
Rozšířená ochrana před internetovými útoky by měla být povolená v registrech služby Azure Container Registry. c25d9a16-bc35-4e15-a7e5-9db606bf9ed4
Rozšířená ochrana před internetovými útoky by měla být povolená v clusterech Azure Kubernetes Service. 523b5cd1-3e23-492f-a539-13118b6d1e3a
Rozšířená ochrana před internetovými útoky by měla být povolená na virtuálních počítačích. 4da35fc9-c9e7-4960-aec9-797fe7d9051d

Přečtěte si další informace o ochraně před hrozbami ve službě Azure Security Center.

Květen 2020

Aktualizace v květnu zahrnují:

Pravidla potlačení upozornění (Preview)

Tato nová funkce (aktuálně ve verzi Preview) pomáhá snižovat únavu výstrah. Pomocí pravidel můžete automaticky skrýt výstrahy, o kterých je známo, že jsou neškodné nebo související s běžnými aktivitami ve vaší organizaci. Díky tomu se můžete zaměřit na nejrelevantní hrozby.

Upozornění, která odpovídají vašim povoleným pravidlům potlačení, se budou dál generovat, ale jejich stav se nastaví na zavření. Stav můžete zobrazit na webu Azure Portal nebo se ale dostanete k upozorněním zabezpečení služby Security Center.

Pravidla potlačení definují kritéria, pro která se mají výstrahy automaticky zavřít. Obvykle byste použili pravidlo potlačení k:

  • potlačení výstrah, které jste identifikovali jako falešně pozitivní

  • potlačení upozornění, která se aktivují příliš často, aby byla užitečná

Přečtěte si další informace o potlačení výstrah z ochrany před hrozbami služby Azure Security Center.

Posouzení ohrožení zabezpečení virtuálních počítačů je teď obecně dostupné

Úroveň Standard služby Security Center teď zahrnuje integrované posouzení ohrožení zabezpečení pro virtuální počítače bez dalšího poplatku. Toto rozšíření využívá Qualys, ale hlásí svá zjištění přímo do služby Security Center. Nepotřebujete licenci Qualys ani účet Qualys – všechno se bezproblémově zpracovává uvnitř security Center.

Nové řešení může nepřetržitě kontrolovat virtuální počítače a vyhledávat ohrožení zabezpečení a prezentovat zjištění ve službě Security Center.

Pokud chcete řešení nasadit, použijte nové doporučení zabezpečení:

Povolení integrovaného řešení posouzení ohrožení zabezpečení na virtuálních počítačích (využívajících Qualys)

Přečtěte si další informace o integrovaném posouzení ohrožení zabezpečení služby Security Center pro virtuální počítače.

Změny přístupu k virtuálním počítačům za běhu (JIT)

Security Center obsahuje volitelnou funkci pro ochranu portů pro správu virtuálních počítačů. To poskytuje ochranu proti nejběžnější formě útoků hrubou silou.

Tato aktualizace přináší následující změny této funkce:

  • Doporučení, které doporučuje povolit JIT na virtuálním počítači, se přejmenovalo. Dříve by se mělo na virtuálních počítačích použít řízení přístupu k síti za běhu: "Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu".

  • Doporučení se aktivuje jenom v případě, že jsou otevřené porty pro správu.

Přečtěte si další informace o funkci přístupu JIT.

Přesun vlastních doporučení do samostatného ovládacího prvku zabezpečení

Jedním z kontrolních mechanismů zabezpečení zavedených s vylepšeným skóre zabezpečení bylo "Implementace osvědčených postupů zabezpečení". Všechna vlastní doporučení vytvořená pro vaše předplatná se automaticky umístila do daného ovládacího prvku.

Abychom vám usnadnili nalezení vlastních doporučení, přesunuli jsme je do vyhrazeného ovládacího prvku zabezpečení " Vlastní doporučení". Tento ovládací prvek nemá žádný vliv na vaše bezpečnostní skóre.

Přečtěte si další informace o bezpečnostních prvcích v rozšířeném skóre zabezpečení (Preview) ve službě Azure Security Center.

Přidání přepínače pro zobrazení doporučení v ovládacích prvcích nebo v plochém seznamu

Kontrolní mechanismy zabezpečení jsou logické skupiny souvisejících doporučení zabezpečení. Odrážejí vaše ohrožené prostory útoku. Ovládací prvek je sada doporučení zabezpečení s pokyny, které vám pomůžou tato doporučení implementovat.

Pokud chcete okamžitě zjistit, jak dobře vaše organizace zabezpečuje jednotlivé prostory útoku, zkontrolujte skóre jednotlivých kontrolních mechanismů zabezpečení.

Ve výchozím nastavení se doporučení zobrazují v bezpečnostních prvcích. Z této aktualizace je můžete také zobrazit jako seznam. Pokud je chcete zobrazit jako jednoduchý seznam seřazený podle stavu ovlivněných prostředků, použijte nový přepínač Seskupit podle ovládacích prvků. Přepínač je nad seznamem na portálu.

Bezpečnostní prvky – a tento přepínač – jsou součástí nového prostředí bezpečnostních skóre. Nezapomeňte nám poslat zpětnou vazbu z portálu.

Přečtěte si další informace o bezpečnostních prvcích v rozšířeném skóre zabezpečení (Preview) ve službě Azure Security Center.

Přepínač seskupování podle ovládacích prvků pro doporučení

Rozšíření ovládacího prvku zabezpečení Implementace osvědčených postupů zabezpečení

Jednou z bezpečnostních kontrol zavedených s vylepšeným skóre zabezpečení je Implementace osvědčených postupů zabezpečení. Pokud je v tomto ovládacím prvku doporučení, nemá to vliv na skóre zabezpečení.

V této aktualizaci se tři doporučení přesunula z ovládacích prvků, ve kterých byly původně umístěny, a do tohoto řízení osvědčených postupů. Tento krok jsme provedli, protože jsme zjistili, že riziko těchto tří doporučení je nižší, než bylo původně napadlo.

Kromě toho byly zavedeny a přidány do tohoto ovládacího prvku dvě nová doporučení.

Mezi tři přesunutá doporučení patří:

  • U účtů s oprávněními ke čtení ve vašem předplatném by mělo být povolené vícefaktorové ověřování (původně v ovládacím prvku Povolit MFA).
  • Externí účty s oprávněními ke čtení by se měly z vašeho předplatného odebrat (původně v ovládacím prvku Správa přístupu a oprávnění).
  • Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky (původně v ovládacím prvku Správa přístupu a oprávnění).

Dvě nová doporučení přidaná do ovládacího prvku jsou:

  • Rozšíření konfigurace hosta by mělo být nainstalované na virtuálních počítačích s Windows (Preview) – Použití konfigurace hosta služby Azure Policy poskytuje viditelnost virtuálních počítačů na serverová a aplikační nastavení (jenom Windows).

  • Ochrana Exploit Guard v programu Windows Defender by měla být povolená na vašich počítačích (Preview) – Ochrana Exploit Guard v programu Windows Defender využívá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows).

Přečtěte si další informace o funkci Exploit Guard v programu Windows Defender v tématu Vytvoření a nasazení zásady Exploit Guard.

Další informace o bezpečnostních prvcích v rozšířeném skóre zabezpečení (Preview)

Vlastní zásady s vlastními metadaty jsou teď obecně dostupné

Vlastní zásady jsou teď součástí prostředí doporučení služby Security Center, skóre zabezpečení a řídicího panelu standardů dodržování právních předpisů. Tato funkce je teď obecně dostupná a umožňuje rozšířit pokrytí posouzení zabezpečení vaší organizace ve službě Security Center.

Vytvořte vlastní iniciativu ve službě Azure Policy, přidejte do ní zásady a nasaďte ji do služby Azure Security Center a vizualizovat ji jako doporučení.

Přidali jsme také možnost upravit vlastní metadata doporučení. Mezi možnosti metadat patří závažnost, kroky nápravy, informace o hrozbách a další.

Přečtěte si další informace o vylepšení vlastních doporučení s podrobnými informacemi.

Možnosti analýzy výpisu stavu systému migrace na detekci útoků bez souborů

Do detekce útoků bez souborů integrujeme funkce detekce výpisu stavu systému Windows (CDA). Analýza detekce útoků bez souborů přináší vylepšené verze následujících výstrah zabezpečení pro počítače s Windows: Zjištěná injektáž kódu, detekované maskování modulu Windows, zjištěný kód shellu a zjištěný podezřelý segment kódu.

Některé z výhod tohoto přechodu:

  • Proaktivní a včasné zjišťování malwaru – Přístup CDA zahrnoval čekání na chybové ukončení a následné spuštění analýzy pro vyhledání škodlivých artefaktů. Použití detekce útoků bez souborů přináší proaktivní identifikaci hrozeb v paměti, když jsou spuštěné.

  • Rozšířená upozornění – Výstrahy zabezpečení z detekce útoků bez souborů zahrnují rozšíření, která nejsou k dispozici z CDA, jako jsou například informace o aktivních síťových připojeních.

  • Agregace výstrah – Když CDA zjistila více vzorů útoku v rámci jednoho výpisu stavu systému, aktivovala několik výstrah zabezpečení. Detekce útoků bez souborů kombinuje všechny identifikované vzory útoku ze stejného procesu do jediné výstrahy a odstraňuje potřebu korelovat více výstrah.

  • Omezené požadavky na pracovní prostor služby Log Analytics – výpisy stavu systému obsahující potenciálně citlivá data se už nenahrají do vašeho pracovního prostoru služby Log Analytics.

2020. duben

Aktualizace v dubnu patří:

Balíčky dynamického dodržování předpisů jsou teď obecně dostupné.

Řídicí panel dodržování právních předpisů služby Azure Security Center teď zahrnuje dynamické balíčky pro dodržování předpisů (nově obecně dostupné) umožňující sledovat dodržování dalších oborových a zákonných standardů.

Dynamické balíčky pro dodržování obsahu můžete do svého předplatného nebo skupiny pro správu přidat na stránce zásad zabezpečení služby Security Center. Jakmile připojíte standard nebo srovnávací test, zobrazí se na řídicím panelu dodržování právních předpisů se všemi přidruženými daty dodržování předpisů namapovanými jako posouzení. Souhrnné sestavy pro jednotlivé připojené standardy budou k dispozici ke stažení.

Teď můžete přidat standardy, jako jsou:

  • NIST SP 800-53 R4
  • SWIFT CSP CSCF-v2020
  • Uk Official a UK NHS
  • Canada Federal PBMM
  • Azure CIS 1.1.0 (nové) (což je kompletní reprezentace Azure CIS 1.1.0)

Kromě toho jsme nedávno přidali srovnávací test zabezpečení Azure, což jsou Microsoftem vytvořené pokyny týkající se osvědčených postupů z hlediska zabezpečení a dodržování předpisů specifické pro Azure a založené na běžných rámcích pro zajištění dodržování předpisů. Řídicí panel bude podporovat další standardy, jakmile budou k dispozici.

Přečtěte si další informace o přizpůsobení sady standardů na řídicím panelu dodržování právních předpisů.

Doporučení pro identitu jsou teď součástí úrovně Free služby Azure Security Center

Doporučení k zabezpečení pro identitu a přístup na úrovni Free služby Azure Security Center jsou teď všeobecně dostupná. To je součástí úsilí o bezplatné funkce správy stavu zabezpečení cloudu (CSPM). Až do teď byla tato doporučení dostupná jenom na cenové úrovni Standard.

Příklady doporučení pro identitu a přístup:

  • Pro účty s oprávněními vlastníka v předplatném by se mělo povolit MFA.
  • Pro vaše předplatné by se měli určit nanejvýš 3 vlastníci.
  • Z předplatného by se měly odebrat zastaralé účty.

Pokud máte předplatná na cenové úrovni Free, skóre zabezpečení pro tato předplatná budou touto změnou ovlivněná, protože se ještě z hlediska zabezpečení pro identitu a přístup ještě nikdy neposuzovala.

Přečtěte si další informace o doporučeních k identitě a přístupu.

Přečtěte si další informace o správě vynucování vícefaktorového ověřování (MFA) u vašich předplatných.

Březen 2020

Aktualizace v březnu zahrnují:

Automatizace pracovních postupů je teď obecně dostupná.

Funkce automatizace pracovních postupů služby Azure Security Center je teď obecně dostupná. Použijte ji k automatické aktivaci Logic Apps pro výstrahy a doporučení zabezpečení. Kromě toho je k dispozici ruční aktivace pro výstrahy a všechna doporučení, která mají k dispozici možnost Rychlá oprava.

Každý program zabezpečení zahrnuje několik pracovních postupů reakce na incidenty. Tyto postupy mohou zahrnovat vyrozumění relevantních účastníků, spuštění procesu správy změn a použití specifických kroků k nápravě. Odborníci na zabezpečení doporučují automatizovat co nejvíc kroků těchto postupů. Automatizace snižuje režijní náklady a může zvýšit zabezpečení zajištěním, že kroky procesu budou provedeny rychle, konzistentně a podle vašich předdefinovaných požadavků.

Další informace o automatických a ručních funkcích Security Center ke spouštění pracovních postupů najdete v automatizaci pracovních postupů.

Přečtěte si další informace o vytváření Logic Apps.

Integrace služby Azure Security Center s Windows Správa Center

Teď je možné přesunout místní servery s Windows z centra Windows Správa Center přímo do služby Azure Security Center. Security Center se pak stane jediným místem zobrazujícím informace o zabezpečení pro všechny vaše prostředky řešení Windows Admin Center, včetně místních serverů, virtuálních počítačů a dalších úloh PaaS.

Po přesunutí serveru ze služby Windows Správa Center do služby Azure Security Center budete moct:

  • Zobrazení výstrah a doporučení zabezpečení v rozšíření Security Center řešení Windows Admin Center.
  • Zobrazení stavu zabezpečení a načtení dalších podrobných informací o spravovaných serverech řešení Windows Admin Center ve službě Security Center v rámci webu Azure Portal (nebo přes rozhraní API).

Další informace o integraci služby Azure Security Center s řešením Windows Admin Center

Ochrana pro Azure Kubernetes Service

Azure Security Center rozšiřuje funkce zabezpečení kontejnerů s cílem zajistit ochranu pro Azure Kubernetes Service (AKS).

Populární opensourcová platforma Kubernetes se přijímá tak široce, že se jedná o oborový standard pro orchestraci kontejnerů. I přes tuto rozšířenou implementaci stále chybí znalost toho, jak zabezpečit prostředí Kubernetes. Omezení potenciální oblasti útoku pro kontejnerizované aplikace vyžaduje odborné znalosti, aby se pro infrastrukturu zajistila bezpečná konfigurace a průběžné monitorování potenciálních hrozeb.

Ochrana služby Security Center zahrnuje tyto možnosti:

  • Zjišťování a viditelnost – Průběžné zjišťování spravovaných instancí AKS v rámci předplatných zaregistrovaných ve službě Security Center
  • Doporučení zabezpečení – užitečná doporučení, která vám pomůžou dodržovat osvědčené postupy zabezpečení pro AKS. Tato doporučení jsou součástí vašeho skóre zabezpečení, aby se zajistilo, že se budou zobrazovat jako součást stavu zabezpečení vaší organizace. Příkladem doporučení souvisejícího s AKS se může zobrazit "Řízení přístupu na základě role by se mělo použít k omezení přístupu ke clusteru služby Kubernetes".
  • Ochrana před hrozbami – prostřednictvím průběžné analýzy nasazení AKS vás Security Center upozorní na hrozby a škodlivou aktivitu zjištěnou na úrovni hostitele a clusteru AKS.

Přečtěte si další informace o integraci služby Azure Kubernetes Services se službou Security Center.

Přečtěte si další informace o funkcích zabezpečení kontejnerů ve službě Security Center.

Vylepšené prostředí za běhu

Funkce, operace a uživatelské rozhraní pro nástroje azure Security Center za běhu, které zajišťují porty pro správu, byly vylepšeny následujícím způsobem:

  • Pole Odůvodnění – Při žádosti o přístup k virtuálnímu počítači prostřednictvím stránky za běhu webu Azure Portal je k dispozici nové volitelné pole pro zadání odůvodnění žádosti. Informace zadané do tohoto pole lze sledovat v protokolu aktivit.
  • Automatické vyčištění redundantních pravidel JIT (just-in-Time) – Kdykoli aktualizujete zásady JIT, nástroj pro vyčištění se automaticky spustí a zkontroluje platnost celé sady pravidel. Nástroj vyhledá neshody mezi pravidly v zásadách a pravidly v NSG. Pokud nástroj pro vyčištění najde neshodu, určí příčinu a v případě, že je to bezpečné, odebere předdefinovaná pravidla, která už nepotřebujete. Nástroj pro vyčištění nikdy neodstraní pravidla, která jste vytvořili.

Přečtěte si další informace o funkci přístupu JIT.

Dvě doporučení zabezpečení pro zastaralé webové aplikace

Dvě doporučení k zabezpečení související s webovými aplikacemi se vyřazují:

  • Pravidla pro webové aplikace ve skupinách NSG IaaS by se měla posílit. (Související zásady: Pravidla skupin zabezpečení sítě pro webové aplikace v IaaS by měla být posílena.

  • Přístup ke službám App Service by se měl omezit. (Související zásady: Přístup ke službě App Services by měl být omezený [Preview])

Tato doporučení se už nebudou zobrazovat v seznamu doporučení služby Security Center. Související zásady už nebudou zahrnuty do iniciativy s názvem "Security Center Default".

Přečtěte si další informace o doporučeních zabezpečení.

2020. únor

Detekce útoků bez souborů pro Linux (Preview)

Jak útočníci stále častěji používají skrytější způsoby, aby se vyhnuli detekci, Azure Security Center rozšiřuje detekci útoků bez souborů kromě Windows i na Linux. Útoky bez souborů zneužívají chyby softwaru, vkládají škodlivé datové části do neškodných systémových procesů a skrývají se v paměti. Tyto techniky:

  • minimalizace nebo eliminace trasování malwaru na disku
  • výrazně snižuje riziko detekce pomocí řešení pro kontrolu malwaru založeného na disku.

V rámci boje s touto hrozbu služba Azure Security Center vydala v říjnu 2018 detekci útoků bez souborů pro Windows a teď má rozšířenou detekci útoků bez souborů i pro Linux.

Leden 2020

Vylepšené skóre zabezpečení (Preview)

Vylepšená verze funkce Secure Score služby Azure Security Center je teď dostupná ve verzi Preview. V této verzi se doporučení seskupují do ovládacích prvků zabezpečení, které lépe odpovídají potenciálním rovinám útoku (například omezují přístup k portům pro správu).

Seznamte se se změnami skóre zabezpečení ve fázi Preview a určete další nápravu, která vám pomůže lépe zabezpečit vaše prostředí.

Další informace o vylepšeném skóre zabezpečení (Preview)

Listopad 2019

Aktualizace v listopadu zahrnují:

Ochrana před internetovými útoky pro Azure Key Vault v oblastech Severní Amerika (Preview)

Azure Key Vault je základní služba pro ochranu dat a vylepšení výkonu performance cloudových aplikací. Nabízí možnost centrální správy klíčů, tajných kódů, kryptografických klíčů a zásad v cloudu. Vzhledem k tomu, že Azure Key Vault ukládá citlivá data a důležité obchodní informace, vyžaduje maximální zabezpečení pro trezory klíčů a data, která jsou v nich uložená.

Podpora služby Azure Security Center pro ochranu před internetovými útoky pro Azure Key Vault poskytuje další vrstvu inteligentních funkcí zabezpečení, která detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k trezorům klíčů nebo jejich zneužití. Tato nová vrstva ochrany umožňuje zákazníkům řešit hrozby pro trezory klíčů, aniž by přitom museli být odborníky na zabezpečení nebo museli spravovat systémy monitorování zabezpečení. Tato funkce je v oblastech Severní Ameriky ve verzi Public Preview.

Ochrana před hrozbami pro Azure Storage zahrnuje prověřování reputace malwaru

Ochrana před hrozbami pro Azure Storage nabízí nové detekce s podporou Analýzy hrozeb Microsoft, které detekují nahrání malwaru do služby Azure Storage pomocí analýzy reputace s využitím hashování a podezřelý přístup z aktivního výstupního uzlu sítě Tor (anonymizující proxy). Nově můžete zobrazovat detekovaný malware napříč účty úložiště s využitím služby Azure Security Center.

Automatizace pracovních postupů pomocí Logic Apps (Preview)

Organizace s centrálně spravovaným zabezpečením a provozem IT implementují interní procesy pracovních postupů, které při zjištění nesrovnalostí v daném prostředí povedou k požadované akci v rámci organizace. V mnoha případech jsou tyto pracovní postupy opakovatelné procesy a automatizace může výrazně zjednodušit procesy v rámci organizace.

Dnes představujeme novou funkci služby Security Center, která umožňuje zákazníkům vytvářet konfigurace automatizace využívající Azure Logic Apps a vytvářet zásady, které je budou automaticky aktivovat na základě konkrétních zjištění služby ASC, jako jsou doporučení nebo výstrahy. Služba Azure Logic Apps se dá nakonfigurovat tak, aby prováděla jakoukoli vlastní akci podporovanou širokou nabídkou konektorů Logic Apps nebo využívala některou z šablon poskytovaných službou Security Center, třeba k odeslání e-mailu nebo otevření lístku ServiceNow™.

Další informace o automatických a ručních funkcích Security Center ke spouštění pracovních postupů najdete v automatizaci pracovních postupů.

Informace o vytváření služby Logic Apps najdete v tématu Azure Logic Apps.

Rychlá oprava pro obecně dostupné hromadné prostředky

Vzhledem k tomu, kolik úkolů uživatel obvykle dostane v rámci skóre Secure Score, může být v případě rozsáhlé infrastruktury náročné efektivně napravit všechny problémy.

Opravou rychlé opravy můžete opravit chybné konfigurace zabezpečení, napravit doporučení pro více prostředků a zlepšit skóre zabezpečení.

Tato operace umožňuje vybrat prostředky, pro které chcete využít nápravu, a spustit nápravnou akci, která nakonfiguruje příslušné nastavení za vás.

Rychlá oprava je obecně dostupná pro zákazníky jako součást stránky s doporučeními služby Security Center.

Podívejte se, která doporučení mají v referenční příručce k doporučením zabezpečení povolenou rychlou opravu.

Kontrola ohrožení zabezpečení imagí kontejnerů (Preview)

Azure Security Center teď dokáže kontrolovat ohrožení zabezpečení v imagích kontejneru v Azure Container Registry.

Kontrola imagí funguje na principu analýzy souboru image kontejneru a následné kontroly toho, jestli obsahuje nějaká známá ohrožení zabezpečení (zajišťuje společnost Qualys).

Samotná kontrola se automaticky aktivuje při přidání nových imagí kontejneru do Azure Container Registry. Zjištěná ohrožení zabezpečení se objeví jako doporučení služby Security Center, která jsou součástí bezpečnostního skóre, společně s informacemi o tom, jak je opravit, aby se snížila úroveň útoku, kterou povolili.

Další standardy dodržování právních předpisů (Preview)

Řídicí panel Dodržování právních předpisů poskytuje přehled o stavu dodržování předpisů na základě hodnocení služby Security Center. Řídicí panel udává, jak vaše prostředí dodržuje kontroly a požadavky uložené různými zákonnými standardy a oborovými srovnávacími testy, a poskytuje preskriptivní doporučení, jak těmto požadavkům vyhovět.

Řídicí panel dodržování právních předpisů zatím podporoval čtyři předdefinované standardy: Azure CIS 1.1.0, PCI-DSS, ISO 27001 a SOC-TSP. Nyní oznamujeme vydání verze Public Preview dalších podporovaných standardů: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM a UK Official společně s UK NHS. Kromě toho vydáváme aktualizovanou verzi Azure CIS 1.1.0, která pokrývá více kontrol ze standardu a zvyšuje rozšiřitelnost.

Přečtěte si další informace o přizpůsobení sady standardů na řídicím panelu dodržování právních předpisů.

Ochrana před internetovými útoky pro Azure Kubernetes Service (Preview)

Kubernetes se rychle stává novým standardem v oblasti nasazování a správy softwaru v cloudu. S prostředím Kubernetes má rozsáhlé zkušenosti jen málokdo a řada lidí se soustředí jenom na obecné technické aspekty a správu a přehlíží aspekty zabezpečení. Prostředí Kubernetes je potřeba pečlivě nakonfigurovat, aby bylo bezpečné a aby nezůstaly otevřené žádné dveře, které by mohly umožnit útok na kontejnery. Security Center rozšiřuje podporu kontejnerového prostoru na jednu z nejrychleji rostoucích služeb v Azure – AKS (Azure Kubernetes Service).

Toto jsou některé z nových funkcí v této veřejné verzi Preview:

  • Zjišťování a viditelnost – průběžné zjišťování spravovaných instancí AKS v rámci registrovaných předplatných služby Security Center
  • Doporučení k skóre zabezpečení – Použitelné položky, které zákazníkům pomůžou dodržovat osvědčené postupy zabezpečení pro AKS a zvýšit skóre zabezpečení Mezi doporučení patří například "Řízení přístupu na základě role by se mělo použít k omezení přístupu ke clusteru Kubernetes Service".
  • Detekce hrozeb – analýza založená na hostitelích a clusterech, například "Zjištěn privilegovaný kontejner".

Posouzení ohrožení zabezpečení virtuálního počítače (Preview)

Aplikace nainstalované na virtuálních počítačích můžou často obsahovat ohrožení zabezpečení, která by mohla vést k napadení virtuálního počítače. Oznamujeme, že úroveň Security Center Standard zahrnuje integrované posouzení ohrožení zabezpečení pro virtuální počítače bez dalšího poplatku. Posouzení ohrožení zabezpečení založené na Qualys ve verzi Public Preview vám umožní nepřetržitě kontrolovat všechny nainstalované aplikace na virtuálním počítači a vyhledávat ohrožené aplikace a prezentovat závěry v prostředí portálu Security Center. Security Center se stará o všechny operace nasazení, takže od uživatele nevyžaduje žádné kroky navíc. V budoucnu plánujeme poskytnout možnosti posouzení ohrožení zabezpečení pro podporu jedinečných obchodních potřeb našich zákazníků.

Přečtěte si další informace o posouzení ohrožení zabezpečení pro vaše virtuální počítače Azure.

Pokročilé zabezpečení dat pro SERVERY SQL na virtuálních počítačích Azure (Preview)

Podpora ochrany před hrozbami a posouzení ohrožení zabezpečení pro databáze SQL spuštěné na virtuálních počítačích IaaS je teď ve verzi Preview.

Posouzení ohrožení zabezpečení je snadno konfigurovatelná služba, která může zjišťovat, sledovat a pomáhat opravovat potenciální ohrožení zabezpečení databáze. Poskytuje přehled o stavu zabezpečení v rámci skóre zabezpečení a obsahuje kroky pro řešení problémů se zabezpečením a vylepšení fortifikace databáze.

Advanced Threat Protection zjišťuje nezvyklé aktivity, které můžou ukazovat na neobvyklé a potenciálně škodlivé pokusy o přístup k vašim databázím nebo zneužití SQL Serveru. Tato služba nepřetržitě monitoruje podezřelé aktivity v databázi a poskytuje výstrahy zabezpečení, které se zaměřují na možnosti reakce a upozorňují na neobvyklé vzory přístupu k databázi. Výstrahy obsahují podrobnosti o podezřelé aktivitě a doporučené akce k prozkoumání a zmírnění hrozby.

Podpora vlastních zásad (Preview)

Azure Security Center teď podporuje vlastní zásady (ve verzi Preview).

Naši zákazníci projevili zájem o rozšíření aktuálního pokrytí hodnocení zabezpečení ve službě Security Center na vlastní hodnocení zabezpečení založená na zásadách, které můžou sami vytvořit ve službě Azure Policy. To je teď možné díky podpoře vlastních zásad.

Tyto nové zásady budou součástí prostředí pro doporučení služby Security Center, skóre Secure Score a řídicího panelu standardů pro dodržování předpisů. Díky podpoře vlastních zásad teď můžete ve službě Azure Policy vytvořit vlastní iniciativu a pak ji přidat jako zásadu ve službě Security Center a vizualizovat ji jako doporučení.

Rozšíření pokrytí službou Azure Security Center díky platformě pro komunitu a partnery

Security Center umožňuje přijímat doporučení nejen od Microsoftu, ale také od stávajících řešení od partnerů, jako je Check Point, Tenable a CyberArk s mnoha dalšími integracemi. Jednoduchý tok onboardingu ve službě Security Center umožňuje propojit vaše stávající řešení se službou Security Center, která vám umožní zobrazit doporučení stavu zabezpečení na jednom místě, spouštět sjednocené sestavy a využívat všechny možnosti služby Security Center proti integrovaným i partnerským doporučením. Můžete také exportovat doporučení služby Security Center do partnerských produktů.

Přečtěte si další informace o přidružení inteligentního zabezpečení Microsoftu.

Pokročilé integrace s exportem doporučení a upozornění (Preview)

Pokud chcete povolit scénáře na podnikové úrovni nad Security Center, je teď možné využívat výstrahy a doporučení služby Security Center na dalších místech kromě webu Azure Portal nebo rozhraní API. Ty je možné exportovat přímo do centra událostí a do pracovních prostorů služby Log Analytics. Tady je několik pracovních postupů, které můžete díky těmto novým funkcím vytvořit:

  • S exportem do pracovního prostoru Služby Log Analytics můžete vytvářet vlastní řídicí panely pomocí Power BI.
  • Při exportu do služby Event Hubs budete moct exportovat výstrahy a doporučení služby Security Center do prostředí SIEM třetích stran, do řešení třetí strany nebo Do Azure Data Exploreru.

Připojení místních serverů ke službě Security Center ze služby Windows Správa Center (Preview)

Windows Admin Center je portál pro správu serverů Windows, které nejsou nasazené v Azure, a nabízí různé funkce správy Azure, jako je zálohování a aktualizace systému. Nedávno jsme přidali možnost onboardingu těchto serverů nacházejících se mimo Azure přímo z prostředí Windows Admin Center, aby byly chráněné službou ASC.

Uživatelé teď můžou připojit server WAC ke službě Azure Security Center a povolit zobrazování výstrah zabezpečení a doporučení přímo v prostředí Windows Správa Center.

Září 2019

Aktualizace v září zahrnují:

Správa pravidel s využitím vylepšení adaptivního řízení aplikací

Prostředí správy pravidel pro virtuální počítače pomocí adaptivního řízení aplikací se zlepšilo. Adaptivní řízení aplikací ve službě Azure Security Center vám pomůže řídit, které aplikace se můžou spouštět na virtuálních počítačích. Kromě obecného vylepšení správy pravidel umožňují nové funkce řídit, které typy souborů budou chráněné, když přidáte nové pravidlo.

Přečtěte si další informace o adaptivních řízeních aplikací.

Řízení doporučení k zabezpečení kontejnerů pomocí Služby Azure Policy

Doporučení služby Azure Security Center k nápravě ohrožení zabezpečení kontejneru je teď možné povolit nebo zakázat prostřednictvím služby Azure Policy.

Pokud chcete zobrazit povolené zásady zabezpečení, otevřete ve službě Security Center stránku Zásady zabezpečení.

Srpen 2019

Aktualizace v srpnu:

Přístup k virtuálním počítačům za běhu (JIT) pro službu Azure Firewall

Přístup k virtuálním počítačům podle potřeby (JIT) pro Azure Firewall je teď obecně dostupný. Využijte ho k zabezpečení vašich prostředí chráněných pomocí služby Azure Firewall nad rámec ochrany pomocí NSG.

Přístup k virtuálním počítačům podle potřeby snižuje možnost vystavení síťovým volumetrickým útokům, neboť poskytuje řízený přístup k virtuálním počítačům, jenom když je potřeba, a to pomocí pravidel služby Azure Firewall a NSG.

Když pro vaše virtuální počítače povolíte přístup podle potřeby (JIT), vytvoříte zásadu určující, které porty se mají chránit a jak dlouho mají zůstat otevřené, a také schválené IP adresy, z nichž se k těmto portům může přistupovat. Tyto zásady vám pomohou mít pod kontrolou, co uživatelé mohou dělat, když si vyžádají přístup.

Požadavky se zaznamenávají v protokolu aktivity Azure, takže je můžete snadno monitorovat a auditovat přístup. Stránka just-in-time vám také pomůže rychle identifikovat existující virtuální počítače s povoleným JIT a virtuálními počítači, ve kterých se doporučuje JIT.

Přečtěte si další informace o službě Azure Firewall.

Náprava jedním kliknutím pro zvýšení stavu zabezpečení (Preview)

Secure Score je nástroj, který pomáhá vyhodnotit stav zabezpečení vašich úloh. Projde vaše doporučení k zabezpečení a nastaví jim prioritu, abyste věděli, která doporučení máte realizovat jako první. Pomáhá tak najít nejzávažnější ohrožení zabezpečení a nastavit prioritu šetření.

Abychom zjednodušili nápravu chybných konfigurací zabezpečení a pomohli vám rychle zlepšit skóre zabezpečení, přidali jsme novou funkci, která umožňuje napravit doporučení pro velké množství prostředků jediným kliknutím.

Tato operace umožňuje vybrat prostředky, pro které chcete využít nápravu, a spustit nápravnou akci, která nakonfiguruje příslušné nastavení za vás.

Podívejte se, která doporučení mají v referenční příručce k doporučením zabezpečení povolenou rychlou opravu.

Správa napříč tenanty

Security Center teď jako součást Azure Lighthouse podporuje scénáře správy napříč tenanty. Umožní vám to ve službě Security Center získat přehled a spravovat stav zabezpečení pro víc tenantů.

Přečtěte si další informace o prostředích pro správu napříč tenanty.

Červenec 2019

doporučení pro Aktualizace k síti

Služba Azure Security Center (ASC) vydala nová síťová doporučení a vylepšila některá ze stávajících. Použití služby Security Center teď zajišťuje ještě lepší síťovou ochranu pro vaše prostředky.

Přečtěte si další informace o doporučeních k síti.

2019. června

Adaptivní posílení zabezpečení sítě – obecně dostupné

U úloh běžících ve veřejném cloudu patří mezi místa nejvíce ohrožená potenciálními útoky připojení k veřejnému internetu a z něj. Pro naše zákazníky je často obtížné zjistit, která pravidla skupin zabezpečení sítě (NSG) mají zavést, aby měli jistotu, že budou úlohy v Azure dostupné jenom pro požadované zdrojové rozsahy. Tato funkce umožňuje službě Security Center prozkoumat síťové přenosy a vzory připojení úloh v Azure a poskytnout doporučení ohledně pravidel skupin zabezpečení sítě pro virtuální počítače připojené k internetu. To našim zákazníkům pomáhá lépe nakonfigurovat zásady přístupu k síti a omezit svoji zranitelnost vůči útokům.

Přečtěte si další informace o adaptivním posílení zabezpečení sítě.