Zabezpečení dat v Programu Microsoft Defender pro cloud
Microsoft Defender for Cloud shromažďuje a zpracovává data související se zabezpečením, včetně informací o konfiguraci, metadatech, protokolech událostí a dalších akcí, a pomáhá tak zákazníkům předcházet hrozbám, zjišťovat je a reagovat na ně. Společnost Microsoft dodržuje přísné pokyny pro dodržování předpisů a zabezpečení – od psaní kódu po provoz služeb.
Tento článek vysvětluje, jak se data spravují a chrání v defenderu pro cloud.
Zdroje dat
Defender for Cloud analyzuje data z následujících zdrojů, aby poskytoval přehled o stavu zabezpečení, identifikaci ohrožení zabezpečení a doporučení ke zmírnění rizik a detekci aktivních hrozeb:
- Služby Azure: Používá informace o konfiguraci služeb Azure, které jste nasadili, tím, že komunikuje s poskytovatelem prostředků této služby.
- Síťový provoz: Používá vzorkovaná metadata síťového provozu z infrastruktury Microsoftu, jako jsou zdrojová/cílová IP adresa/port, velikost paketů a síťový protokol.
- Partnerová řešení: Používá výstrahy zabezpečení z integrovaných partnerských řešení, jako jsou brány firewall a antimalwarová řešení.
- Vaše počítače: Používá podrobnosti o konfiguraci a informace o událostech zabezpečení, jako jsou protokoly událostí Systému Windows a protokoly auditu a zprávy syslogu z vašich počítačů.
Sdílení dat
Když povolíte kontrolu malwaru Defenderu pro úložiště, může sdílet metadata, včetně metadat klasifikovaných jako zákaznická data (např. hash SHA-256) s Microsoft Defenderem for Endpoint.
Plán Správy stavu zabezpečení cloudu (CSPM) v programu Microsoft Defender for Cloud Defender pro cloud sdílí data integrovaná do doporučení správy ohrožení zabezpečení Microsoftu.
Poznámka:
Správa ohrožení zabezpečení microsoftu je aktuálně ve verzi Public Preview.
Ochrana dat
Oddělení dat
Data jsou logicky oddělená pro každou komponentu v celé službě. Všechna data jsou označená podle organizace. Toto označování přetrvává v průběhu životního cyklu dat a vynucuje se v každé vrstvě služby.
Přístup k datům
Pokud chcete poskytnout doporučení k zabezpečení a prozkoumat potenciální bezpečnostní hrozby, mohou pracovníci Microsoftu přistupovat k informacím shromážděným nebo analyzovaným službami Azure, včetně událostí vytváření procesů a dalších artefaktů, které můžou neúmyslně zahrnovat zákaznická data nebo osobní údaje z vašich počítačů.
Dodržujeme dodatek microsoft Online Services Data Protection, který uvádí, že Společnost Microsoft nebude používat zákaznická data ani od nich odvozovat informace pro reklamní nebo podobné komerční účely. Informace o zákaznících podle potřeby používáme pouze k poskytování služeb Azure a k účelům slučitelným s poskytováním těchto služeb. Všechna práva na informace o zákaznících zůstávají ve vašem vlastnictví.
Použití dat
Microsoft používá vzory a analýzu hrozeb, které se zobrazují napříč více tenanty, k vylepšení našich možností prevence a detekce; to děláme v souladu se závazky týkajícími se ochrany osobních údajů popsaných v našem prohlášení o zásadách ochrany osobních údajů.
Správa shromažďování dat z počítačů
Když v Azure povolíte Defender for Cloud, shromažďování dat se zapne pro každé z vašich předplatných Azure. Shromažďování dat můžete také povolit pro svá předplatná v programu Defender for Cloud. Když je shromažďování dat povolené, Defender for Cloud zřídí agenta Log Analytics na všech existujících podporovaných virtuálních počítačích Azure a všech nově vytvořených virtuálních počítačích Azure.
Agent Log Analytics vyhledá různé konfigurace související se zabezpečením a události do trasování událostí pro Windows (ETW). Kromě toho operační systém vyvolává události protokolu událostí během spuštění počítače. Mezi příklady těchto údajů patří: typ a verze operačního systému, protokoly operačního systému (protokoly událostí systému Windows), spuštěné procesy, název počítače, IP adresy, přihlášený uživatel a ID klienta. Agent Log Analytics čte položky protokolu událostí a trasování trasování událostí pro Windows a kopíruje je do vašich pracovních prostorů pro účely analýzy. Agent Log Analytics také umožňuje události vytváření procesů a auditování příkazového řádku.
Pokud nepoužíváte rozšířené funkce zabezpečení v programu Microsoft Defender for Cloud, můžete také zakázat shromažďování dat z virtuálních počítačů v zásadách zabezpečení. Shromažďování dat se vyžaduje pro předplatná chráněná funkcemi rozšířeného zabezpečení. Shromažďování artefaktů a snímků disku virtuálního počítače bude nadále povolené i v případě, že shromažďování dat je zakázané.
Můžete zadat pracovní prostor a oblast, ve které se ukládají data shromážděná z vašich počítačů. Výchozí možností je ukládat data shromážděná z počítačů v nejbližším pracovním prostoru, jak je znázorněno v následující tabulce:
| Geografie virtuálního počítače | Geografie pracovního prostoru |
|---|---|
| USA, Brazílie, Jihoafrická republika | USA |
| Kanada | Kanada |
| Evropa (s výjimkou Spojeného království) | Evropa |
| Spojené království | Spojené království |
| Asie (s výjimkou Indie, Japonska, Koreje, Číny) | Asie a Tichomoří |
| Korea | Asie a Tichomoří |
| Indie | Indie |
| Japonsko | Japonsko |
| Čína | Čína |
| Austrálie | Austrálie |
Poznámka:
Microsoft Defender for Storage ukládá artefakty v jednotlivých oblastech podle umístění souvisejícího prostředku Azure. Další informace najdete v přehledu Microsoft Defenderu pro úložiště.
Spotřeba dat
Zákazníci mají přístup k datům souvisejícím s Defenderem pro cloud z následujících datových proudů:
| Stream | Datové typy |
|---|---|
| Protokol aktivit Azure | Všechny výstrahy zabezpečení, schválené žádosti o přístup v programu Defender for Cloud za běhu a všechna upozornění generovaná adaptivními řízeními aplikací. |
| Protokoly Azure Monitoru | Všechny výstrahy zabezpečení. |
| Azure Resource Graph | Výstrahy zabezpečení, doporučení zabezpečení, výsledky posouzení ohrožení zabezpečení, informace o skóre zabezpečení, stav kontrol dodržování předpisů a další. |
| Rozhraní REST API Microsoft Defenderu pro cloud | Výstrahy zabezpečení, doporučení zabezpečení a další. |
Poznámka:
Pokud v předplatném nejsou povolené žádné plány Defenderu, data se z Azure Resource Graphu odeberou po 30 dnech nečinnosti na portálu Microsoft Defender for Cloud. Po interakci s artefakty na portálu souvisejícím s předplatným by se data měla znovu zobrazit do 24 hodin.
Integrace Defenderu pro cloud a Microsoft Defender 365 Defender
Když povolíte některý z placených plánů Defenderu pro cloud, automaticky získáte všechny výhody XDR v programu Microsoft Defender. Informace z programu Defender for Cloud se budou sdílet s XDR v programu Microsoft Defender. Tato data můžou obsahovat zákaznická data a budou uložená podle pokynů pro zpracování dat Microsoftu 365.
Další kroky
V tomto dokumentu jste zjistili, jak se data spravují a chrání v programu Microsoft Defender for Cloud.
Další informace o programu Microsoft Defender for Cloud najdete v tématu Co je Microsoft Defender for Cloud?
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro