Sdílet prostřednictvím


Povolení správy stavu zabezpečení dat

Tento článek popisuje, jak povolit správu stavu zabezpečení dat v Programu Microsoft Defender pro cloud.

Než začnete

  • Než povolíte správu stavu zabezpečení dat, zkontrolujte podporu a požadavky.
  • Když povolíte plány CSPM nebo Defenderu Defenderu pro úložiště, rozšíření pro zjišťování citlivých dat se automaticky povolí. Toto nastavení můžete zakázat, pokud nechcete používat správu stavu zabezpečení dat, ale doporučujeme tuto funkci použít k získání maximální hodnoty z Defenderu pro cloud.
  • Citlivá data se identifikují na základě nastavení citlivosti dat v defenderu pro cloud. Nastavení citlivosti dat můžete přizpůsobit tak, aby identifikovala data, která vaše organizace považuje za citlivá.
  • Po povolení funkce trvá až 24 hodin, než se zobrazí výsledky prvního zjišťování.

Povolení v programu Defender CSPM (Azure)

Pokud chcete povolit správu stavu zabezpečení dat, postupujte podle těchto kroků. Než začnete, nezapomeňte zkontrolovat požadovaná oprávnění .

  1. Přejděte do nastavení cloudového>prostředí v programu Microsoft Defender.

  2. Vyberte příslušné předplatné Azure.

  3. V plánu CSPM v programu Defender vyberte stav Zapnuto .

    Pokud je program CSPM v programu Defender již zapnutý, ve sloupci Monitorování pokrytí plánu CSPM v programu Defender CSPM vyberte Nastavení a ujistěte se, že je součást Zjišťování citlivých dat nastavená na Stav Zapnuto .

  4. Jakmile je zjišťování citlivých dat v programu Defender CSPM zapnuté, bude automaticky zahrnovat podporu dalších typů prostředků, protože se rozšiřuje rozsah podporovaných typů prostředků.

Povolení v programu Defender CSPM (AWS)

Než začnete

  • Nezapomeňte: zkontrolujte požadavky na zjišťování AWS a požadovaná oprávnění.
  • Zkontrolujte, že neexistují žádné zásady, které blokují připojení k vašim kontejnerům Amazon S3.
  • Pro instance RDS: Šifrování Služby správy klíčů mezi účty je podporováno, ale další zásady přístupu k Službě správy klíčů můžou bránit přístupu.

Povolení pro prostředky AWS

Kontejnery S3 a instance RDS

  1. Povolení stavu zabezpečení dat, jak je popsáno výše
  2. Pokračujte pokyny ke stažení šablony CloudFormation a jeho spuštění v AWS.

Automatické zjišťování kontejnerů S3 v účtu AWS se spustí automaticky.

V případě kontejnerů S3 se v účtu AWS spustí skener Defenderu pro cloud a připojí se k vašim kontejnerům S3.

U instancí RDS se zjišťování aktivuje, jakmile je zapnuté zjišťování citlivých dat. Skener pořídí nejnovější automatizovaný snímek instance, vytvoří ruční snímek ve zdrojovém účtu a zkopíruje ho do izolovaného prostředí vlastněného Microsoftem ve stejné oblasti.

Snímek se používá k vytvoření živé instance, která se proskenuje, zkontroluje a okamžitě zničí (společně s zkopírovaným snímkem).

Skenovací platforma hlásí pouze zjištění kontroly.

Diagram vysvětlující platformu pro skenování RDS

Kontrola zásad blokování S3

Pokud proces povolení nefungoval kvůli blokované zásadě, zkontrolujte následující:

  • Ujistěte se, že zásady kontejneru S3 neblokují připojení. V kontejneru AWS S3 vyberte zásadu kontejneru na kartě > Oprávnění. Zkontrolujte podrobnosti o zásadách a ujistěte se, že služba Microsoft Defender for Cloud Scanner spuštěná v účtu Microsoft v AWS není blokovaná.
  • Ujistěte se, že neexistuje žádná zásada SCP, která blokuje připojení k kontejneru S3. Zásady SCP můžou například blokovat volání rozhraní API pro čtení do oblasti AWS, kde je váš kontejner S3 hostovaný.
  • Zkontrolujte, jestli jsou tato požadovaná volání rozhraní API povolená zásadami SCP: AssumeRole, GetBucketLocation, GetObject, ListBucket, GetBucketPublicAccessBlock.
  • Zkontrolujte, že vaše zásady SCP umožňují volání do oblasti AWS usa –východ-1, což je výchozí oblast pro volání rozhraní API.

Povolení monitorování s podporou dat v defenderu for Storage

Detekce citlivých dat je ve výchozím nastavení povolená, když je v plánu Defenderu pro úložiště povolená komponenta zjišťování citlivých dat. Další informace.

Pokud je plán CSPM v programu Defender vypnutý, zkontrolují se jenom prostředky Azure Storage.

Další kroky

Kontrola bezpečnostních rizik v datech