Povolení stavu zabezpečení s podporou dat
Tento článek popisuje, jak povolit stav zabezpečení s podporou dat v programu Microsoft Defender for Cloud.
Než začnete
- Než povolíte stav zabezpečení pracující s daty, zkontrolujte podporu a požadavky.
- Když povolíte plány CSPM nebo Defenderu Defenderu pro úložiště, rozšíření pro zjišťování citlivých dat se automaticky povolí. Toto nastavení můžete zakázat, pokud nechcete používat stav zabezpečení s podporou dat, ale doporučujeme tuto funkci použít k získání maximální hodnoty z Defenderu pro cloud.
- Citlivá data se identifikují na základě nastavení citlivosti dat v defenderu pro cloud. Nastavení citlivosti dat můžete přizpůsobit tak, aby identifikovala data, která vaše organizace považuje za citlivá.
- Po povolení funkce trvá až 24 hodin, než se zobrazí výsledky prvního zjišťování.
Povolení v programu Defender CSPM (Azure)
Pokud chcete povolit stav zabezpečení s podporou dat, postupujte podle těchto kroků. Než začnete, nezapomeňte zkontrolovat požadovaná oprávnění .
Přejděte do nastavení prostředí Microsoft Defenderu pro cloud>.
Vyberte příslušné předplatné Azure.
V plánu CSPM v programu Defender vyberte stav Zapnuto .
Pokud je program CSPM v programu Defender již zapnutý, vyberte Nastavení ve sloupci Monitorování pokrytí plánu CSPM v programu Defender a ujistěte se, že je součást Zjišťování citlivých dat nastavená na Stav Zapnuto.
Jakmile je zjišťování citlivých dat v programu Defender CSPM zapnuté, bude automaticky zahrnovat podporu dalších typů prostředků, protože se rozšiřuje rozsah podporovaných typů prostředků.
Povolení v programu Defender CSPM (AWS)
Než začnete
- Nezapomeňte: zkontrolujte požadavky na zjišťování AWS a požadovaná oprávnění.
- Zkontrolujte, že neexistují žádné zásady, které blokují připojení k vašim kontejnerům Amazon S3.
- Pro instance RDS: šifrování Služba správy klíčů mezi účty je podporované, ale můžou bránit další zásady Služba správy klíčů přístupu.
Povolení pro prostředky AWS
Kontejnery S3 a instance RDS
- Povolení stavu zabezpečení dat, jak je popsáno výše
- Pokračujte pokyny ke stažení šablony CloudFormation a jeho spuštění v AWS.
Automatické zjišťování kontejnerů S3 v účtu AWS se spustí automaticky.
V případě kontejnerů S3 se v účtu AWS spustí skener Defenderu pro cloud a připojí se k vašim kontejnerům S3.
U instancí RDS se zjišťování aktivuje, jakmile je zapnuté zjišťování citlivých dat. Skener pořídí nejnovější automatizovaný snímek instance, vytvoří ruční snímek ve zdrojovém účtu a zkopíruje ho do izolovaného prostředí vlastněného Microsoftem ve stejné oblasti.
Snímek se používá k vytvoření živé instance, která se proskenuje, zkontroluje a okamžitě zničí (společně s zkopírovaným snímkem).
Skenovací platforma hlásí pouze zjištění kontroly.
Kontrola zásad blokování S3
Pokud proces povolení nefungoval kvůli blokované zásadě, zkontrolujte následující:
- Ujistěte se, že zásady kontejneru S3 neblokují připojení. V kontejneru AWS S3 vyberte zásadu kontejneru na kartě > Oprávnění. Zkontrolujte podrobnosti o zásadách a ujistěte se, že služba Microsoft Defender for Cloud Scanner spuštěná v účtu Microsoft v AWS není blokovaná.
- Ujistěte se, že neexistuje žádná zásada SCP, která blokuje připojení k kontejneru S3. Zásady SCP můžou například blokovat volání rozhraní API pro čtení do oblasti AWS, kde je váš kontejner S3 hostovaný.
- Zkontrolujte, jestli jsou tato požadovaná volání rozhraní API povolená zásadami SCP: AssumeRole, GetBucketLocation, GetObject, ListBucket, GetBucketPublicAccessBlock.
- Zkontrolujte, že vaše zásady SCP umožňují volání do oblasti AWS usa –východ-1, což je výchozí oblast pro volání rozhraní API.
Povolení monitorování s podporou dat v defenderu for Storage
Detekce citlivých dat je ve výchozím nastavení povolená, když je v plánu Defenderu pro úložiště povolená komponenta zjišťování citlivých dat. Další informace.
Pokud je plán CSPM v programu Defender vypnutý, zkontrolují se jenom prostředky Azure Storage.