Defender for Cloud -Co je nového archivu

Tato stránka obsahuje informace o funkcích, opravách a vyřazení starších než šest měsíců. Nejnovější aktualizace najdete v článku Co je nového v Defender for Cloud?.

Červen 2025

Date Category Update
Červen 30 Preview Defender pro detekce DNS kontejnerů na základě Helmu (Preview)
Červen 25 Preview Volitelné značky indexu pro ukládání výsledků kontroly malwaru (Preview)
Červen 25 Preview Zjišťování a stav zabezpečení rozhraní API hostovaných v aplikacích Function Apps a Logic Apps (Preview)
Červen 25 Preview Monitorování integrity souborů bez agentů (Preview)
Červen 18 Preview Skenování kódu bez agentů – GitHub podpora a přizpůsobitelné pokrytí jsou nyní k dispozici (Preview)

Defender pro detekce DNS kontejnerů na základě Helmu (Preview)

Co je součástí:

Další informace najdete v tématu: Sensor pro Defender pro protokol změn kontejnerů.

Volitelné značky indexu pro ukládání výsledků kontroly malwaru (Preview)

25. června 2025

Defender pro kontrolu malwaru úložiště zavádí volitelné indexové značky pro kontroly nahrání i kontroly na vyžádání. Díky této nové funkci si uživatelé můžou zvolit, jestli budou výsledky publikovat do značek indexu objektu blob při skenování objektu blob (výchozí), nebo jestli nebudou používat značky indexu. Značky indexu je možné povolit nebo zakázat na úrovni předplatného a účtu úložiště prostřednictvím portálu Azure nebo přes rozhraní API.

Stav zjišťování a zabezpečení rozhraní API pro rozhraní API hostovaná v aplikacích Function Apps a Logic Apps (Preview)

25. června 2025

Defender for Cloud teď rozšiřuje možnosti zjišťování rozhraní API a stavu zabezpečení tak, aby zahrnovala rozhraní API hostovaná v aplikacích funkcí Azure a Logic Apps kromě stávající podpory rozhraní API publikovaných v Azure API Management.

Toto vylepšení umožňuje týmům zabezpečení komplexním a nepřetržitě aktualizovaným pohledem na prostor pro útoky na rozhraní API organizace. Mezi klíčové funkce patří:

  • Centralized API Inventory: Automaticky zjišťovat a katalogovat rozhraní API napříč podporovanými službami Azure.
  • Posouzení rizik zabezpečení: Identifikujte a upřednostňujte rizika, včetně identifikace neaktivních rozhraní API, které mohou vyžadovat odebrání, a také nešifrovaná rozhraní API, která by mohla vystavit citlivá data.

Tyto funkce jsou automaticky dostupné všem zákazníkům>Defender for Cloud <, kteří povolili rozšíření Security Posture Management> <.

Časová osa zavedení: Zavedení těchto aktualizací začne 25. června 2025 a očekává se, že do jednoho týdne dosáhnou všech podporovaných oblastí .

Monitorování integrity souborů bez agentů (Preview)

25. června 2025

Monitorování integrity souborů bez agentů (FIM) je teď k dispozici ve verzi Preview. Tato funkce doplňuje obecně dostupné řešení FIM (GA) založené na agentovi Microsoft Defender for Endpoint a zavádí podporu pro vlastní monitorování souborů a registru.

FiM bez agentů umožňuje organizacím monitorovat změny souborů a registru v celém jejich prostředí bez nasazení dalších agentů. Poskytuje odlehčenou a škálovatelnou alternativu při zachování kompatibility se stávajícím řešením založeným na agentech.

Mezi klíčové funkce patří:

  • Vlastní monitorování: Splnění konkrétních požadavků na dodržování předpisů a zabezpečení definováním a monitorováním vlastních cest k souborům a klíčů registru.
  • Jednotné prostředí: Události z FIM bez agentů a na bázi MDE jsou uložené ve stejné tabulce pracovního prostoru s jasnými indikátory zdroje.

Přečtěte si další informace o monitorování integrity souborů a o tom, jak povolit monitorování integrity souborů.

Kontrola kódu bez agentů – GitHub podpora a přizpůsobitelné pokrytí je nyní k dispozici (Preview)

18. června 2025

Aktualizovali jsme funkci kontroly kódu bez agentů tak, aby zahrnovala klíčové funkce, které rozšiřují pokrytí i kontrolu. Mezi tyto aktualizace patří:

  • Podpora úložišť GitHub kromě Azure DevOps
  • Přizpůsobitelný výběr skeneru – vyberte, které nástroje (např. Bandit, Checkov, ESLint) se mají spustit.
  • Podrobná konfigurace rozsahu – zahrnutí nebo vyloučení konkrétních organizací, projektů nebo úložišť

Kontrola kódu bez agentů poskytuje škálovatelnou kontrolu zabezpečení pro kód a infrastrukturu jako kód (IaC), aniž by bylo nutné měnit kanály CI/CD. Pomáhá týmům zabezpečení zjišťovat ohrožení zabezpečení a chybné konfigurace bez přerušení vývojářských pracovních postupů.

Přečtěte si další informace o konfigurování kontroly kódu bez agentů v Azure DevOps nebo GitHub.

Květen 2025

Date Category Update
28. května GA General Availability for Customizable on-upload malware scan filters in Defender for Storage
Květen 5 Preview Aktivní uživatel (Public Preview)
Květen 1 GA General Dostupnost pro Defender pro AI Služby
Květen 1 GA Microsoft Security Copilot je nyní obecně dostupná v Defender for Cloud
Květen 1 GA Řídicí panel zabezpečení pro data obecné dostupnosti a AI
Květen 1 Nadcházející změny Defender CSPM zahájí fakturaci pro flexibilní server Azure Database for MySQL a prostředky flexibilního serveru Azure Database for PostgreSQL

Obecná dostupnost přizpůsobitelných filtrů kontroly malwaru při nahrávání v Defender pro úložiště

28. května 2025

Kontrola malwaru při nahrávání teď podporuje přizpůsobitelné filtry. Uživatelé mohou nastavit pravidla vyloučení pro kontroly malwaru při nahrávání podle předpon a přípon cest k objektům blob a také podle jejich velikosti. Vyloučením konkrétních cest a typů objektů blob, jako jsou protokoly nebo dočasné soubory, se můžete vyhnout zbytečným kontrolám a snížit náklady.

Zjistěte, jak nakonfigurovat přizpůsobitelné filtry kontroly malwaru při nahrávání.

Aktivní uživatel (Public Preview)

Funkce Aktivní uživatel pomáhá správcům zabezpečení rychle identifikovat a přiřazovat doporučení nejrelevantním uživatelům na základě nedávné aktivity řídicí roviny. Pro každé doporučení se navrhuje až tři potenciální aktivní uživatelé na úrovni prostředku, skupiny prostředků nebo předplatného. Správci můžou vybrat uživatele ze seznamu, přiřadit doporučení a nastavit termín splnění – aktivuje oznámení přiřazeného uživatele. To zjednodušuje pracovní postupy nápravy, zkracuje dobu šetření a posiluje celkový stav zabezpečení.

Obecná dostupnost pro Defender pro AI Služby

1. května 2025

Defender for Cloud teď podporuje ochranu za běhu pro Služby Azure AI (dříve označovaná jako ochrana před hrozbami pro úlohy AI).

Ochrana Služby Azure AI zahrnuje hrozby specifické pro služby a aplikace umělé inteligence, jako jsou jailbreak, zneužití peněženky, vystavení dat, vzory podezřelého přístupu a další. Detekce používají signály z analýzy hrozeb Microsoft a Azure štíty AI Prompt a používají strojové učení a umělou inteligenci k zabezpečení služeb AI.

Přečtěte si další informace o Defender pro AI Služby.

Microsoft Security Copilot je nyní obecně dostupná v Defender for Cloud

1. května 2025

Microsoft Security Copilot je teď obecně dostupná v Defender for Cloud.

Security Copilot urychlí nápravu rizik pro bezpečnostní týmy, což správcům usnadní řešení cloudových rizik. Poskytuje souhrny generované AI, akce nápravy a e-maily delegování, které uživatele řídí jednotlivými kroky procesu snižování rizik.

Správci zabezpečení můžou rychle shrnout doporučení, generovat skripty pro nápravu a delegovat úkoly prostřednictvím e-mailu vlastníkům prostředků. Tyto funkce zkracují dobu šetření, pomáhají týmům zabezpečení pochopit rizika v kontextu a identifikovat prostředky pro rychlou nápravu.

Další informace o Microsoft Security Copilot najdete v Defender for Cloud.

Řídicí panel zabezpečení a data obecné dostupnosti a AI

1. května 2025

Defender for Cloud vylepšuje řídicí panel zabezpečení dat tak, aby zahrnoval zabezpečení AI s novým řídicím panelem zabezpečení dat a AI v ga. Řídicí panel poskytuje centralizovanou platformu pro monitorování a správu dat a prostředků AI spolu s přidruženými riziky a stavem ochrany.

Mezi klíčové výhody řídicího panelu zabezpečení dat a umělé inteligence patří:

  • Jednotné zobrazení: Získejte komplexní přehled o všech datech organizace a prostředcích umělé inteligence.
  • Přehledy dat: Zjistěte, kde jsou vaše data uložená, a typy prostředků, které je uchovávají.
  • Pokrytí ochrany: Vyhodnoťte pokrytí ochrany vašich dat a prostředků AI.
  • Kritické problémy: Zvýrazněte prostředky, které vyžadují okamžitou pozornost na základě doporučení s vysokou závažností, výstrah a cest útoku.
  • Zjišťování citlivých dat: Vyhledejte a shrňte citlivé datové prostředky v cloudu a prostředcích AI.
  • Úlohy AI: Objevte nároky aplikací umělé inteligence, včetně služeb, kontejnerů, datových sad a modelů.

Přečtěte si další informace o řídicím panelu Zabezpečení dat a umělé inteligence.

Defender CSPM zahájí fakturaci pro flexibilní server Azure Database for MySQL a prostředky flexibilního serveru Azure Database for PostgreSQL

1. května 2025

Odhadované datum změny: Červen 2025

Od 1. června 2025 zahájí Microsoft Defender CSPM fakturaci flexibilního serveru Azure Database for MySQL/c0 a flexibilního serveru Azure Database for PostgreSQL prostředků ve vašem předplatném, kde Defender CSPM je povolená. Tyto prostředky jsou již chráněny Defender CSPM a nevyžaduje se žádná akce uživatele. Po zahájení fakturace se může faktura zvýšit.

Další informace najdete v cenách plánu CSPM.

Duben 2025

Date Category Update
29. dubna Preview Správa postoje AI v GCP Vertex AI (Preview)
29. dubna Preview integrace Defender for Cloud s Mend.io (Preview)
29. dubna Change Updated GitHub Oprávnění aplikace
28. dubna Change Update pro Defender pro SQL servery v plánu Machines
27. duben GA Nový výchozí limit pro kontrolu malwaru při nahrávání v Microsoft Defender pro Storage
24. dubna GA General availability of API Security Posture Management native integration within Defender CSPM Plan
7. dubna Nadcházející změna Enhancements pro Defender pro výstrahy služby App Service

Správa držení AI v GCP Vertex AI (Náhled)

29. dubna 2025

Defender for Cloud funkce správy stavu zabezpečení AI teď podporují úlohy AI ve vrcholové umělé inteligenci (GCP) Google Cloud Platform (GCP).

Mezi klíčové funkce pro tuto verzi patří:

  • Moderní zjišťování aplikací AI: Automatické zjišťování a katalog komponent aplikací umělé inteligence, dat a artefaktů AI nasazených v GCP Vertex AI.
  • Posílení stavu zabezpečení: Zjišťování chybných konfigurací a přijímání integrovaných doporučení a nápravných akcí za účelem zlepšení stavu zabezpečení aplikací AI
  • Analýza cesty útoku: Identifikace a náprava rizik pomocí pokročilé analýzy cesty útoku k ochraně úloh AI před potenciálními hrozbami.

Tyto funkce jsou navržené tak, aby poskytovaly komplexní viditelnost, detekci chybné konfigurace a zpevnění zabezpečení prostředků umělé inteligence, což zajišťuje snížení rizik pro úlohy umělé inteligence vyvinuté na platformě GCP Vertex AI.

Přečtěte si další informace o správě stavu zabezpečení AI.

integrace Defender for Cloud s Mend.io (Preview)

29. dubna 2025

Defender for Cloud je teď integrovaná s Mend.io ve verzi Preview. Tato integrace vylepšuje zabezpečení softwarových aplikací identifikací a zmírněním ohrožení zabezpečení v závislostech partnerů. Tato integrace zjednodušuje procesy zjišťování a nápravy a zlepšuje celkové zabezpečení.

Přečtěte si další informace o integraci Mend.io.

aktualizace oprávnění aplikace GitHub

29. dubna 2025

GitHub konektory v Defender for Cloud budou aktualizovány tak, aby zahrnovaly oprávnění správce pro [Vlastní vlastnosti]. Toto oprávnění slouží k poskytování nových možností kontextování a je vymezena na správu schématu vlastních vlastností. Oprávnění se dají udělit dvěma různými způsoby:

  1. Ve vaší organizaci GitHub přejděte do aplikací zabezpečení od Microsoftu DevOps v rámci Settings > GitHub Apps a přijměte žádost o oprávnění.

  2. V automatizovaném e-mailu z podpory GitHub vyberte žádost o oprávnění Recenze oprávnění a přijměte nebo odmítněte tuto změnu.

Poznámka: Stávající konektory nadále fungují bez nové funkce, pokud není provedena výše uvedená akce.

Aktualizace na Defender pro sql servery v plánu Machines

28. dubna 2025

Defender pro SQL Server plánu počítačů v Microsoft Defender for Cloud chrání SQL Server instance hostované na Azure, AWS, GCP a místních počítačích.

Dnes postupně vydáváme vylepšené řešení pro agenty v rámci plánu. Řešení založené na agentech eliminuje nutnost nasadit agenta Azure Monitor (AMA) a místo toho používá stávající infrastrukturu SQL. Řešení je navržené tak, aby zjednodušily procesy onboardingu a zlepšily pokrytí ochrany.

Požadované akce zákazníka:

  1. Aktualizační Defender pro SQL Servery na počítačích konfigurace plánu: Zákazníci, kteří povolili Defender pro SQL Server na plánech počítačů, musí podle těchto pokynů aktualizovat konfiguraci podle rozšířených verzí agentů.

  2. Verify stavu ochrany instancí SQL Server: S odhadovaným počátečním datem května 2025 musí zákazníci ověřit stav ochrany svých instancí SQL Server v rámci svých prostředí. Přečtěte si, jak řešte problémy s nasazením Defender pro SQL v konfiguraci počítačů.

Note

Po upgradu agenta můžete zaznamenat zvýšení fakturace, pokud jsou další instance SQL Server chráněné s povolenými Defender pro SQL Servery v plánu Machines. Informace o fakturaci najdete na stránce s cenami Defender for Cloud.

Nový výchozí limit pro kontrolu malwaru při nahrávání v Microsoft Defender pro službu Storage

27. dubna 2025

Výchozí hodnota limitu pro kontrolu malwaru při nahrávání byla aktualizována z 5 000 GB na 10 000 GB. Tento nový limit platí pro následující scénáře:

  • Nová předplatná: Předplatná, u kterých je poprvé povolená Defender pro úložiště.

  • Předplatná s opětovným povolením: Předplatná, ve kterých byl defender for Storage dříve zakázaný a je teď znovu povolený.

Pokud je pro tato předplatná povolená Defender pro kontrolu malwaru úložiště, výchozí limit pro kontrolu malwaru při nahrávání se nastaví na 10 000 GB. Tato čepice je nastavitelná, aby vyhovovala vašim specifickým potřebám.

Podrobnější informace najdete v části Kontroly malwaru – fakturace za GB, měsíční omezování a konfigurace.

Obecná dostupnost nativní integrace služby API Security Posture Management v rámci plánu Defender CSPM

24. dubna 2025

Služba API Security Posture Management je teď obecně dostupná jako součást plánu Defender CSPM. Tato verze představuje jednotný inventář vašich rozhraní API spolu s přehledy stavu, které vám pomůžou efektivněji identifikovat a určit prioritu rizik rozhraní API přímo z plánu Defender CSPM. Tuto funkci můžete povolit na stránce Nastavení prostředí zapnutím rozšíření Stav zabezpečení rozhraní API.

V této aktualizaci byly přidány nové rizikové faktory, včetně rizikových faktorů pro neověřené rozhraní API (AllowsAnonymousAccess) a rozhraní API, která nemají šifrování (Nešifrovaný přístup). Kromě toho rozhraní API publikovaná prostřednictvím Azure API Management teď umožňují mapování zpět na všechny připojené příchozí přenosy dat a virtuální počítače Kubernetes, které poskytují ucelený přehled o expozici rozhraní API a podporují nápravu rizik prostřednictvím analýzy cesty útoku.

Vylepšení Defender pro výstrahy služby App Service

7. dubna 2025

Dne 30. dubna 2025 se zvýší Defender možností upozorňování služby App Service. Přidáme upozornění na podezřelé spuštění kódu a přístup k interním nebo vzdáleným koncovým bodům. Kromě toho jsme vylepšili pokrytí a snížili šum z relevantních upozornění rozšířením naší logiky a odebráním výstrah, které způsobovaly zbytečný šum. V rámci tohoto procesu se upozornění "Zjištění podezřelého vyvolání motivu WordPressu" přestane používat.

Březen 2025

Date Category Update
Březen 30 GA Vylepšená ochrana kontejnerů s posouzením ohrožení zabezpečení a detekcí malwaru pro uzly AKS je teď obecně dostupná.
Březen 27 Preview Řízené nasazení Kubernetes (Preview)
Březen 27 Preview Souložitelné filtry kontroly malwaru při nahrávání v Defender pro Storage (Preview)
Březen 26 GA General Availability for agentless VM scan support for CMK in Azure
Březen 11 Nadcházející změna Nadcházející změna úrovně závažnosti doporučení
Březen 03 GA Generální dostupnost monitorování integrity souborů (FIM) na základě Microsoft Defender for Endpoint v Azure Government

Vylepšená ochrana kontejnerů s posouzením ohrožení zabezpečení a detekcí malwaru pro uzly AKS je teď obecně dostupná.

30. března 2025

Defender for Cloud teď poskytuje posouzení ohrožení zabezpečení a detekci malwaru pro uzly v Azure Kubernetes Service (AKS) jako ga. Poskytování ochrany zabezpečení pro tyto uzly Kubernetes umožňuje zákazníkům udržovat zabezpečení a dodržování předpisů napříč spravovanou službou Kubernetes a pochopit jejich část ve sdílené odpovědnosti za zabezpečení, kterou mají se spravovaným poskytovatelem cloudu. Pokud chcete získat nové funkce, musíte povolit kontrolu počítačů Agentless pro počítače" jako součást Defender CSPM, Defender pro kontejnery nebo Defender pro plán Servery P2 ve vašem předplatném.

Hodnocení zranitelnosti

Nové doporučení je nyní k dispozici na portálu Azure: uzly UZlyAKS by měly mít vyřešená zjištění ohrožení zabezpečení. Pomocí tohoto doporučení teď můžete zkontrolovat a opravit ohrožení zabezpečení a cve nalezené na Azure Kubernetes Service (AKS) uzlech.

Detekce malwaru

Nové výstrahy zabezpečení se aktivují, když funkce detekce malwaru bez agentů detekuje malware v uzlech AKS. Detekce malwaru bez agentů používá antimalwarový modul antimalwarové ochrany Microsoft Defender antimalwarového modulu Microsoft Defender ke kontrole a detekci škodlivých souborů. Když se zjistí hrozby, výstrahy zabezpečení se směrují do Defender for Cloud a Defender XDR, kde je můžete prozkoumat a opravit.

Note: Detekce malwaru pro uzly AKS je dostupná jenom pro Defender pro kontejnery nebo Defender pro prostředí s podporou serverů P2.

Řízené nasazení Kubernetes (Preview)

27. března 2025

Do plánu Defender pro kontejnery zavádíme funkci vrátných nasazení Kubernetes (Preview). Nasazení s omezeními v Kubernetes je mechanismus pro posílení zabezpečení Kubernetes tím, že řídí nasazení obrazů kontejnerů, které porušují zásady zabezpečení organizace.

Tato funkce je založená na dvou nových funkcích:

  • Artefakt nálezů zranitelností: Generování nálezů pro každou image kontejneru kontrolovanou na posouzení zranitelností.
  • Pravidla zabezpečení: Přidání pravidel zabezpečení k upozornění nebo zabránění nasazení ohrožených imagí kontejnerů do clusterů Kubernetes.

Přizpůsobená pravidla zabezpečení: Zákazníci můžou přizpůsobit pravidla zabezpečení pro různá prostředí, pro clustery Kubernetes v rámci organizace nebo pro obory názvů, aby bylo možné řídit zabezpečení přizpůsobené konkrétním potřebám a požadavkům na dodržování předpisů.

Konfigurovatelné akce pro pravidlo zabezpečení:

  • Audit: Pokus o nasazení ohrožené image kontejneru aktivuje akci Audit a vygeneruje doporučení s podrobnostmi o porušení image kontejneru.

  • Zamítnutí: Při pokusu o nasazení ohrožené image kontejneru se aktivuje akce Odepření, která zabrání nasazení image kontejneru a zajistí nasazení pouze zabezpečených a vyhovujících imagí.

Komplexní zabezpečení: Definování ochrany před nasazením ohrožených imagí kontejnerů jako prvního pravidla zabezpečení zavádíme komplexní mechanismus zabezpečení Kubernetes, který zajišťuje, aby ohrožené kontejnery nevstupily do prostředí Kubernetes zákazníka.

Další informace o této funkci najdete v tématu Přehled řešení gated deployment.

Přizpůsobitelné filtry kontroly malwaru při nahrávání ve Defender pro Storage (Preview)

27. března 2025

Kontrola malwaru při nahrávání teď podporuje přizpůsobitelné filtry. Uživatelé mohou nastavit pravidla vyloučení pro kontroly malwaru při nahrávání podle předpon a přípon cest k objektům blob a také podle jejich velikosti. Vyloučením konkrétních cest a typů objektů blob, jako jsou protokoly nebo dočasné soubory, se můžete vyhnout zbytečným kontrolám a snížit náklady.

Zjistěte, jak nakonfigurovat přizpůsobitelné filtry kontroly malwaru při nahrávání.

Obecná dostupnost podpory kontroly virtuálních počítačů bez agentů pro CMK v Azure

26. března 2025

Vyhledávání bez agentů pro Azure virtuálních počítačů s šifrovanými disky CMK je teď obecně dostupné. Plán Defender CSPM i Defender pro servery P2 poskytují podporu pro vyhledávání virtuálních počítačů bez agentů, nyní s podporou CMK napříč všemi cloudy.

Přečtěte si, jak nastavitelné vyhledávání virtuálních počítačů Azure s šifrovanými disky CMK.

Nadcházející změna úrovně závažnosti doporučení

11. března 2025

Zvyšujeme úrovně závažnosti doporučení, abychom zlepšili posouzení rizik a stanovení priorit. V rámci této aktualizace jsme znovu zhodnotovali všechny klasifikace závažnosti a zavedli novou úroveň – Kritická. Dříve se doporučení kategorizovala do tří úrovní: Nízká, Střední a Vysoká. V této aktualizaci jsou nyní čtyři různé úrovně: nízká, střední, vysoká a kritická, což poskytuje podrobnější vyhodnocení rizik, které zákazníkům pomůže zaměřit se na nejnaléhavější problémy zabezpečení.

V důsledku toho si zákazníci můžou všimnout změn závažnosti stávajících doporučení. Hodnocení na úrovni rizika, které je k dispozici pouze pro Defender CSPM zákazníky, může být také ovlivněno, protože je třeba vzít v úvahu závažnost doporučení i kontext prostředků. Tyto úpravy by mohly ovlivnit celkovou úroveň rizika.

Projektovaná změna proběhne 25. března 2025.

Obecná dostupnost monitorování integrity souborů (FIM) na základě Microsoft Defender for Endpoint v Azure Government

3. března 2025

Monitorování integrity souborů založené na Microsoft Defender for Endpoint je nyní v Azure Government (GCCH) součástí Defender pro servery Plan 2.

  • Splnění požadavků na dodržování předpisů monitorováním důležitých souborů a registrů v reálném čase a auditováním změn.
  • Zjištěním změn obsahu podezřelého souboru identifikujte potenciální problémy se zabezpečením.

Toto vylepšené prostředí FIM nahrazuje stávající prostředí, které je nastavené pro vyřazení z provozu, vyřazením agenta Log Analytics (MMA). Prostředí FIM přes MMA zůstane podporováno v Azure Government až do konce března 2023.

V této verzi bude vydáno prostředí v rámci produktu, které vám umožní migrovat konfiguraci FIM přes MMA do nového FIM přes Defender pro verzi koncového bodu.

Informace o tom, jak povolit FIM přes Defender pro koncový bod, najdete v tématu Monitorování integrity souborů pomocí Microsoft Defender for Endpoint. Informace o tom, jak zakázat předchozí verze a použít nástroj pro migraci, naleznete v tématu Migrace monitorování integrity souborů z předchozích verzí.

Important

Dostupnost monitorování integrity souborů v Azure provozovaných společností 21Vianet a v cloudech GCCM se v současné době neplánuje podporovat.

Únor 2025

Date Category Update
Únor 27 Change Vylepšené zobrazení názvu prostředku AWS EC2
Únor 27 GA Skenování malwaru na vyžádání v Microsoft Defender pro Storage
Únor 27 GA Defender pro vyhledávání objektů blob v úložišti až 50 GB
Únor 23 Preview Bezagentové posouzení zranitelnosti pro kontejnery běhového prostředí AKS (Preview)
Únor 23 Preview Řídicí panel zabezpečení dat a umělé inteligence (Preview)
Únor 19 Preview Kalkulačka nákladů MDC (Preview)
Únor 19 Preview 31 nových a vylepšených regulačních standardů pro vícecloudová prostředí

Vylepšené zobrazení názvu prostředku AWS EC2

27. února 2025

Odhadované datum změny: Březen 2025

Vylepšujeme, jak se v naší platformě zobrazují názvy prostředků pro instance AWS EC2. Pokud má instance EC2 definovanou značku "name", zobrazí se v poli Název zdroje hodnota této značky. Pokud není k dispozici žádná značka "name", bude pole Název zdroje dál zobrazovat ID instance jako předtím. ID zdroje bude stále k dispozici v poli ID zdroje pro referenci.

Pomocí značky EC2 "name" (název) můžete snadno identifikovat své zdroje pomocí vlastních smysluplných názvů místo ID. Díky tomu je rychlejší vyhledat a spravovat konkrétní instance, což zkracuje čas a úsilí strávené vyhledáváním nebo křížovým odkazováním na podrobnosti instance.

Kontrola malwaru na vyžádání v Microsoft Defender pro službu Storage

27. února 2025

Vyhledávání malwaru na vyžádání v Microsoft Defender pro storage, nyní v ga, umožňuje kontrolu existujících objektů blob v účtech Azure Storage vždy, když je to potřeba. Kontroly je možné zahájit z uživatelského rozhraní portálu Azure portálu nebo přes rozhraní REST API, které podporují automatizaci prostřednictvím Logic Apps, playbooků Automation a skriptů PowerShellu. Tato funkce používá pro každou kontrolu Microsoft Defender Antivirovou ochranu s nejnovějšími definicemi malwaru a před kontrolou poskytuje předem odhad nákladů na portálu Azure.

Případy použití:

  • Reakce na incidenty: Po zjištění podezřelé aktivity zkontrolujte konkrétní účty úložiště.
  • Standardní hodnoty zabezpečení: Při prvním povolení Defender pro úložiště zkontrolujte všechna uložená data.
  • Dodržovánípředpisůch předpisům: Nastavte automatizaci tak, aby naplánovávají kontroly,

Další informace najdete v tématu Kontrola malwaru na vyžádání.

Defender pro vyhledávání malwaru úložiště pro objekty blob až 50 GB

27. února 2025

Defender pro kontrolu malwaru úložiště teď podporuje objekty blob o velikosti až 50 GB (dříve omezené na 2 GB).

Upozorňujeme, že u účtů úložiště, kde se nahrávají velké blob, dojde v důsledku zvýšeného limitu velikosti blob k vyšším měsíčním poplatkům.

Abyste se vyhnuli neočekávaným vysokým poplatkům, možná budete chtít nastavit odpovídající limit celkového množství GB proskenovaných za měsíc. Další informace najdete v tématu Řízení nákladů na kontrolu malwaru při nahrávání.

Agentless posouzení zranitelností pro kontejnery běhového prostředí AKS (Předběžná verze)

23. února 2025

Defender pro kontejnery a plány správy stavu zabezpečení Defender for Cloud (CSPM) teď zahrnují posouzení ohrožení zabezpečení bez agentů bez agentů pro kontejnery modulu runtime AKS. Toto vylepšení rozšiřuje pokrytí posouzení ohrožení zabezpečení tak, aby zahrnovalo spouštění kontejnerů s imagemi z libovolného registru (bez omezení podporovaných registrů), kromě kontroly doplňků Kubernetes a nástrojů třetích stran spuštěných v clusterech AKS. Pokud chcete tuto funkci povolit, ujistěte se, že je pro vaše předplatné povolené skenování počítačů bez agentů v nastavení prostředí Defender for Cloud.

Řídicí panel zabezpečení dat a umělé inteligence (Preview)

23. února 2025

Defender for Cloud vylepšuje řídicí panel zabezpečení dat tak, aby zahrnoval zabezpečení AI s novým řídicím panelem zabezpečení dat a AI ve verzi Preview. Řídicí panel poskytuje centralizovanou platformu pro monitorování a správu dat a prostředků AI spolu s přidruženými riziky a stavem ochrany.

Mezi klíčové výhody řídicího panelu zabezpečení dat a umělé inteligence patří:

  • Jednotné zobrazení: Získejte komplexní přehled o všech datech organizace a prostředcích umělé inteligence.
  • Přehledy dat: Zjistěte, kde jsou vaše data uložená, a typy prostředků, které je uchovávají.
  • Pokrytí ochrany: Vyhodnoťte pokrytí ochrany vašich dat a prostředků AI.
  • Kritické problémy: Zvýrazněte prostředky, které vyžadují okamžitou pozornost na základě doporučení s vysokou závažností, výstrah a cest útoku.
  • Zjišťování citlivých dat: Vyhledejte a shrňte citlivé datové prostředky v cloudu a prostředcích AI.
  • Úlohy AI: Objevte nároky aplikací umělé inteligence, včetně služeb, kontejnerů, datových sad a modelů.

Přečtěte si další informace o řídicím panelu Zabezpečení dat a umělé inteligence.

Kalkulačka nákladů MDC (Preview)

19. února 2025

S radostí vám představíme novou kalkulačku nákladů MDC, která vám pomůže snadno odhadnout náklady spojené s ochranou cloudových prostředí. Tento nástroj je přizpůsobený tak, aby vám poskytl jasný a přesný přehled o výdajích a zajistil efektivní plánování a rozpočet.

Proč používat kalkulačku nákladů?

Naše nákladová kalkulačka zjednodušuje proces odhadování nákladů tím, že vám umožní definovat rozsah vašich potřeb ochrany. Vyberete prostředí a plány, které chcete povolit, a kalkulačka automaticky vyplní fakturovatelné prostředky pro každý plán, včetně případných slev. Máte komplexní přehled o potenciálních nákladech bez překvapení.

Klíčové funkce:

Definice oboru: Vyberte plány a prostředí, která vás zajímají. Kalkulačka provede proces zjišťování, který automaticky doplní počet fakturovatelných jednotek pro každý plán v každém prostředí.

Automatické a ruční úpravy: Nástroj umožňuje automatické shromažďování dat i ruční úpravy. Můžete upravit množství jednotek a úrovně slev, abyste viděli, jak změny ovlivňují celkové náklady.

Komplexní odhad nákladů: Kalkulačka poskytuje odhad pro každý plán a sestavu celkových nákladů. Poskytujete podrobný rozpis nákladů, což usnadňuje pochopení a správu výdajů.

Podpora multicloudu: Naše řešení funguje pro všechny podporované cloudy a zajišťuje, abyste získali přesné odhady nákladů bez ohledu na svého poskytovatele cloudu.

Export a sdílení: Jakmile budete mít odhad nákladů, můžete ho snadno exportovat a sdílet pro plánování rozpočtu a schválení.

31 nových a vylepšených multicloudových regulačních standardů a jejich pokrytí

19. února 2025

S radostí oznamujeme rozšířenou a rozšířenou podporu více než 31 bezpečnostních a regulačních architektur v Defender for Cloud napříč Azure, AWS & GCP. Toto vylepšení zjednodušuje cestu k dosažení a údržbě dodržování předpisů, snižuje riziko porušení zabezpečení dat a pomáhá vyhnout se pokutám a poškození reputace.

Nové a vylepšené architektury jsou:

Standards Clouds
EU 2022 2555 (NIS2) 2022 Azure, AWS, GCP
Obecné nařízení EU o ochraně osobních údajů (GDPR) 2016 679 Azure, AWS, GCP
NIST CSF v2.0 Azure, AWS, GCP
NIST 800 171 Rev3 Azure, AWS, GCP
NIST SP 800 53 R5.1.1 Azure, AWS, GCP
PCI DSS v4.0.1 Azure, AWS, GCP
CIS AWS Foundations v3.0.0 AWS
CIS Azure Foundations v2.1.0 Azure
Ovládací prvky CIS v8.1 Azure, AWS, GCP
CIS GCP Foundations v3.0 GCP
HITRUST CSF v11.3.0 Azure, AWS, GCP
SOC 2023 Azure, AWS, GCP
Rámec bezpečnostních kontrol zákazníků SWIFT 2024 Azure, AWS, GCP
ISO IEC 27001:2022 Azure, AWS, GCP
ISO IEC 27002:2022 Azure, AWS, GCP
ISO IEC 27017:2015 Azure, AWS, GCP
Certifikace modelu vyspělosti kybernetické bezpečnosti (CMMC) úrovně 2 v2.0 Azure, AWS, GCP
AWS Well Architected Framework 2024 AWS
Canada Federal PBMM 3.2020 Azure, AWS, GCP
APRA CPS 234 2019 Azure, AWS
CsA Cloud Controls Matrix v4.0.12 Azure, AWS, GCP
Cyber Essentials v3.1 Azure, AWS, GCP
Zásady zabezpečení informačních služeb trestního práva v5.9.5 Azure, AWS, GCP
FFIEC CAT 2017 Azure, AWS, GCP
Brazilský obecný zákon o ochraně dat (LGPD) 2018 Azure
NZISM v3.7 Azure, AWS, GCP
Sarbanes Oxley Act 2022 (SOX) Azure, AWS
NCSC Cyber Assurance Framework (CAF) v3.2 Azure, AWS, GCP

To se připojí k nedávným verzím CIS Azure Kubernetes Service (AKS) v1.5, CIS Google Kubernetes Engine (GKE) v1.6 a CIS Amazon Elastic Kubernetes Service (EKS) v.15 před několika měsíci.

Další informace o nabídce Defender for Cloud dodržování právních předpisů učte další informace>

leden 2025

Date Category Update
30. ledna GA Aktualizace kritérií kontroly pro registry kontejnerů
29. ledna Change Vylepšení skenování hodnocení zranitelnosti kontejnerů s využitím MDVM
27. ledna GA Oprávnění přidaná do konektoru GCP pro podporu platforem AI
Leden 20 Change Vylepšení doporučení základních konfigurací Linuxu s využitím GC

Aktualizace kritérií kontroly pro registry kontejnerů

30. ledna 2025

Aktualizujeme jedno z kritérií kontroly imagí registru ve verzi Preview pro image registru ve všech cloudech a externích registrech (Azure, AWS, GCP, Docker, JFrog).

Co se mění?

V současné době opětovně skenujeme obrazy po dobu 90 dnů po jejich uložení do registru. To se teď bude měnit tak, aby kontrolovala 30 dní zpět.

Note

V souvisejících doporučeních GA pro hodnocení zranitelnosti kontejneru (VA) u obrazů úložiště neexistují žádné změny.

Vylepšení skenování hodnocení zranitelností kontejnerů s využitím MDVM

29. ledna 2025

S radostí oznamujeme vylepšení pokrytí skenování zranitelností kontejnerů s následujícími aktualizacemi:

  • Další programovací jazyky: Nyní podporuje PHP, Ruby a Rust.

  • Extended Java Language Support: Zahrnuje vyhledávání rozložených jar.

  • Vylepšené využití paměti: Optimalizovaný výkon při čtení velkých souborů imagí kontejneru.

Oprávnění přidaná do konektoru GCP pro podporu platforem AI

27. ledna 2025

Konektor GCP teď má další oprávnění pro podporu platformy GCP AI (Vertex AI):

  • aiplatform.batchPredictionJobs.list
  • aiplatform.customJobs.list
  • aiplatform.datasets.list
  • aiplatform.datasets.get
  • aiplatform.endpoints.getIamPolicy
  • aiplatform.endpoints.list
  • aiplatform.indexEndpoints.list
  • aiplatform.indexes.list
  • aiplatform.models.list
  • aiplatform.models.get
  • aiplatform.pipelineJobs.list
  • aiplatform.schedules.list
  • aiplatform.tuningJobs.list
  • discoveryengine.dataStores.list
  • discoveryengine.documents.list
  • discoveryengine.engines.list
  • notebooks.instances.list

Vylepšení doporučení základních nastavení Linuxu s využitím GC

20. ledna 2025

Vylepšujeme funkci Baselines Linux (využívající GC), aby se zlepšila její přesnost a pokrytí. Během února si můžete všimnout změn, jako jsou aktualizované názvy pravidel a další pravidla. Tato vylepšení jsou navržená tak, aby bylo hodnocení základních údajů přesnější a aktuální. Další informace ozměnách

Některé změny můžou zahrnovat další změny ve verzi Public Preview. Tato aktualizace je pro vás přínosná a chceme vás informovat. Pokud chcete, můžete se z tohoto doporučení odhlásit vyloučením z vašeho zdroje nebo odebráním rozšíření GC.

prosinec 2024

Date Category Update
31. prosince GA Změny intervalu kontroly existujících cloudových konektorů
Prosince 22 GA Microsoft Defender for Endpoint aktualizace verze klienta se vyžaduje pro příjem prostředí monitorování integrity souborů (FIM
Prosince 17 Preview Integrujte rozhraní příkazového řádku Defender for Cloud s oblíbenými nástroji CI/CD
10. prosince GA prostředí instalace Defender for Cloud
10. prosince GA Revidované možnosti intervalu pro kontrolu cloudového prostředí v programu Defender for Cloud
Prosince 17 GA Funkce kontroly Senzitivita teď zahrnují sdílené složky Azure

Změny intervalu kontroly existujících cloudových konektorů

31. prosince 2024

Před tímto měsícem byla publikována aktualizace update týkající se revidovaných možností intervalu Defender for Cloud pro kontrolu cloudového prostředí. Nastavení intervalu kontroly určuje, jak často služby zjišťování Defender for Cloud kontrolou vašich cloudových prostředků. Tato změna zajišťuje vyváženější proces prohledávání, optimalizaci výkonu a minimalizaci rizika dosažení limitů rozhraní API.

Nastavení intervalu kontroly stávajících cloudových konektorů AWS a GCP se aktualizuje, aby se zajistilo, že Defender for Cloud schopnost kontrolovat vaše cloudová prostředí.

Provede se následující úpravy:

  • Intervaly, které jsou aktuálně nastavené mezi 1 až 3 hodinami, se aktualizují na 4 hodiny.
  • Intervaly nastavené na 5 hodin se aktualizují na 6 hodin.
  • Intervaly nastavené mezi 7 až 11 hodinami se aktualizují na 12 hodin.
  • Intervaly 13 hodin nebo více se aktualizují na 24 hodin.

Pokud dáváte přednost jinému intervalu kontroly, můžete cloudové konektory upravit pomocí stránky nastavení prostředí. Tyto změny se automaticky použijí pro všechny zákazníky na začátku února 2025 a nevyžaduje se žádná další akce.

Možnosti kontroly citlivosti teď zahrnují sdílené složky Azure

17. prosince 2024

Defender for Cloud funkce kontroly citlivosti nástroje CSPM (Security Posture Management) teď kromě kontejnerů objektů blob zahrnují Azure sdílené složky v ga.

Před touto aktualizací by povolení plánu Defender CSPM pro předplatné automaticky kontrolovalo kontejnery objektů blob v účtech úložiště s citlivými daty. V této aktualizaci teď Defender funkce kontroly citlivosti CSPM zahrnuje sdílené složky v rámci těchto účtů úložiště. Toto vylepšení zlepšuje posouzení rizik a ochranu citlivých účtů úložiště a poskytuje komplexnější analýzu potenciálních rizik.

Přečtěte si další informace o skenování citlivosti.

Defender for Cloud integrace prohledávání rozhraní příkazového řádku s oblíbenými nástroji CI/CD v Microsoft Defender for Cloud je teď dostupná ve verzi Public Preview. Rozhraní příkazového řádku je teď možné začlenit do kanálů CI/CD a zkontrolovat a identifikovat ohrožení zabezpečení v kontejnerizovaném zdrojovém kódu. Tato funkce pomáhá vývojovým týmům při zjišťování a řešení zranitelností kódu během provádění pipeline. Vyžaduje ověření pro Microsoft Defender for Cloud a úpravy skriptu kanálu. Výsledky kontroly se nahrají do Microsoft Defender for Cloud, což týmům zabezpečení umožní zobrazit a korelovat je s kontejnery v registru kontejneru. Toto řešení poskytuje průběžné a automatizované přehledy, které urychlují detekci a reakci na rizika a zajišťují zabezpečení bez narušení pracovních postupů.

Případy použití:

  • Prohledávání potrubí v rámci nástrojů CI/CD: Bezpečně monitorujte všechna potrubí, která spouští CLI.
  • Včasné zjišťování ohrožení zabezpečení: Výsledky se publikují v kanálu a odesílají se do Microsoft Defender for Cloud.
  • Průběžné přehledy zabezpečení: Udržování viditelnosti a rychlé reakce napříč vývojovými cykly, aniž by to bránilo produktivitě.

Další informace najdete v tématu Integrate Defender for Cloud CLI s oblíbenými nástroji CI/CD.

prostředí pro nastavení Defender for Cloud

10. prosince 2024

Prostředí instalace umožňuje spustit počáteční kroky s Microsoft Defender for Cloud propojením cloudových prostředí, jako je cloudová infrastruktura, úložiště kódu a externí registry kontejnerů.

Provedete vás nastavením cloudového prostředí, ochranou prostředků pomocí pokročilých plánů zabezpečení, snadného provádění rychlých akcí ke zvýšení pokrytí zabezpečení ve velkém měřítku, informování o problémech s připojením a oznámení o nových možnostech zabezpečení. V nabídce Defender for Cloud můžete přejít na nové prostředí tak, že vyberete Setup.

Revidované možnosti intervalu pro Defender for Cloud prohledávání cloudového prostředí

10. prosince 2024

Možnosti intervalu kontroly pro cloudové konektory přidružené k AWS, GCP, Jfrog a DockerHubu byly revidovány. Funkce intervalu skenování umožňuje řídit frekvenci, s jakou Defender for Cloud zahájí kontrolu cloudového prostředí. Interval skenování můžete nastavit na 4, 6, 12 nebo 24 hodin při přidávání nebo úpravách cloudového konektoru. Výchozí interval kontroly nových konektorů bude i nadále 12 hodin.

Microsoft Defender for Endpoint aktualizace verze klienta se vyžaduje pro příjem prostředí monitorování integrity souborů (FIM).

Červen 2025

Od června 2025 vyžaduje monitorování integrity souborů (FIM) minimální Defender pro verzi klienta koncového bodu (MDE). Ujistěte se, že máte minimální následující verze klientů, abyste mohli dál využívat výhod prostředí FIM v Microsoft Defender for Cloud: pro Windows: 10.8760, pro Linux: 30.124082. Další informace

Listopad 2024

Date Category Update
Listopad 28 Preview Funkce kontroly Senzitivita teď zahrnují sdílené složky Azure (Preview)
26. listopadu Change Změny souhlasu pro štítky citlivosti
26. listopadu Change Změny popisků citlivosti
Listopad 25 Preview Defender pro vyhledávání objektů blob v úložišti až 50 GB
19. listopadu Preview Aktualizované verze standardů CIS pro spravovaná prostředí Kubernetes a nová doporučení
19. listopadu Preview Veřejná ukázka událostí cloudových procesů Kubernetes v rozšířeném hledání
19. listopadu Deprecation Vyřazení funkce Přineste si vlastní licenci (BYOL) ve správě ohrožení zabezpečení
19. listopadu Preview Skenování kódu bez agentů v Microsoft Defender for Cloud
19. listopadu Preview Kontroly malwaru na vyžádání v Microsoft Defender pro storage (Preview)
18. listopadu Preview JFrog Artifactory container registry podporuje Defender for Containers
18. listopadu GA Správa stavu zabezpečení AI je nyní obecně dostupná (GA)
18. listopadu GA ochrana Kritické prostředky v Microsoft Defender for Cloud
18. listopadu GA Vylepšená ochrana kritických aktiv pro kontejnery
18. listopadu GA Vylepšení detekce hrozeb kontejnerů a reakce na ně
Listopad 15 Preview nativní integrace správy stavu zabezpečení API v rámci plánu Defender CSPM nyní ve verzi Public Preview
13. listopadu Preview Vylepšená ochrana kontejnerů s posouzením ohrožení zabezpečení a detekcí malwaru pro uzly AKS
7. listopadu GA Vylepšený nástroj pro dokumentaci a simulaci upozornění v Kubernetes (K8s)
6. listopadu GA Vylepšená podpora klasifikace citlivých dat rozhraní API
6. listopadu Public Preview Nákladová podpora mapování koncových bodů rozhraní API Azure API Management na back-endové výpočetní prostředky
6. listopadu GA Podpora zabezpečení rozhraní APIEnhanced pro nasazení více oblastí Azure API Management a správu revizí rozhraní API

Možnosti kontroly citlivosti teď zahrnují sdílené složky Azure (Preview)

28. listopadu 2024

Funkce kontroly citlivosti služby CSPM (Security Posture Management) Defender for Cloud teď kromě kontejnerů objektů blob zahrnují i sdílené složky Azure (ve verzi Preview).

Před touto aktualizací by povolení plánu Defender CSPM pro předplatné automaticky kontrolovalo kontejnery objektů blob v účtech úložiště s citlivými daty. V této aktualizaci teď Defender funkce kontroly citlivosti CSPM zahrnuje sdílené složky v rámci těchto účtů úložiště. Toto vylepšení zlepšuje posouzení rizik a ochranu citlivých účtů úložiště a poskytuje komplexnější analýzu potenciálních rizik.

Přečtěte si další informace o skenování citlivosti.

26. listopadu 2024

Pokud chcete využívat vlastní typy informací a popisky citlivosti nakonfigurované na portálu Microsoft 365 Defender nebo Portál Microsoft Purview, nemusíte už v části Information Protection na stránce Popisky vybírat vyhrazené tlačítko pro vyjádření souhlasu.

Při této změně se všechny vlastní typy informací a popisky citlivosti automaticky naimportují na portál Microsoft Defender for Cloud.

Přečtěte si další informace o nastavení citlivosti dat.

Změny popisků citlivosti

26. listopadu 2024

Donedávna Defender for Cloud importovat všechny popisky citlivosti z portálu Microsoft 365 Defender, které splňují následující dvě podmínky:

  • Popisky citlivosti, které mají obor nastavený na Položky -> Soubory, nebo Položky -> E-maily v části Definovat rozsah štítku v části Information Protection.
  • Popisek citlivosti má nakonfigurované automatické pravidlo označování.

Od 26. listopadu 2024 byly názvy oborů popisků citlivosti v uživatelském rozhraní aktualizovány na portálu Microsoft 365 Defender i na Portál Microsoft Purview. Defender for Cloud teď naimportují pouze popisky citlivosti s oborem Soubory a další datové prostředky. Defender for Cloud už na ně neimportují popisky s oborem E-maily.

Note

Štítky, které byly nakonfigurovány s označením „Položky –> Soubory“ před touto změnou, jsou automaticky převedeny na nový rozsah „Soubory a další datové prostředky“.

Přečtěte si další informace o konfiguraci štítků citlivosti.

Defender pro vyhledávání malwaru úložiště pro objekty blob až 50 GB (Preview)

25. listopadu 2024

Odhadované datum změny: 1. prosince 2024

Od 1. prosince 2024 Defender pro kontrolu malwaru úložiště podporuje objekty blob o velikosti až 50 GB (dříve omezené na 2 GB).

Upozorňujeme, že u účtů úložiště, kde se nahrávají velké blob, dojde v důsledku zvýšeného limitu velikosti blob k vyšším měsíčním poplatkům.

Abyste se vyhnuli neočekávaným vysokým poplatkům, možná budete chtít nastavit odpovídající limit celkového počtu GB prohledávaných za měsíc. Další informace najdete v tématu Řízení nákladů na kontrolu malwaru při nahrávání.

Aktualizované verze standardů CIS pro spravovaná prostředí Kubernetes a nová doporučení

19. listopadu 2024

řídicí panel dodržování právních předpisů Defender for Cloud teď nabízí aktualizované verze standardů Center for Internet Security (CIS) pro posouzení stavu zabezpečení spravovaných prostředí Kubernetes.

Na řídicím panelu můžete prostředkům AWS/EKS/GKE Kubernetes přiřadit následující standardy:

  • CIS Azure Kubernetes Service (AKS) v1.5.0
  • CIS Google Kubernetes Engine (GKE) v1.6.0
  • CIS Amazon Elastic Kubernetes Service (EKS) v1.5.0

Abychom zajistili co nejlepší možnou hloubku pokrytí těchto standardů, vylepšili jsme pokrytí také vydáním 79 nových doporučení orientovaných na Kubernetes.

Pokud chcete tato nová doporučení použít, přiřaďte výše uvedené standardy nebo vytvořte vlastní standard a zahrňte do něj jedno nebo více nových hodnocení.

Veřejný náhled událostí cloudových procesů Kubernetes v pokročilém vyhledávání

Oznamujeme dostupnost ukázkové verze událostí cloudových procesů Kubernetes v pokročilém lovu hrozeb. Tato výkonná integrace poskytuje podrobné informace o událostech procesu Kubernetes, ke kterým dochází v prostředích s více cloudy. Můžete ho použít ke zjištění hrozeb, které je možné pozorovat prostřednictvím podrobností procesu, jako jsou škodlivé procesy vyvolané ve vaší cloudové infrastruktuře. Další informace naleznete v tématu CloudProcessEvents.

Vyřazení funkce Přineste si vlastní licenci (BYOL) ve správě zranitelností

19. listopadu 2024

Odhadované datum změny:

  • 3. února 2025: Funkce už nebude dostupná pro zavádění nových zařízení a předplatných.

  • 1. května 2025: Funkce bude plně zastaralá a už nebude dostupná.

V rámci našeho úsilí o zlepšení Defender for Cloud prostředí zabezpečení streamujeme naše řešení posouzení ohrožení zabezpečení. Odebíráme funkci Přineste si vlastní licenci v Defender for Cloud. Nyní použijete konektory zabezpečení od Microsoftu Exposure Management pro plynulejší, integrované a kompletní řešení.

Doporučujeme přejít na nové řešení konektoru v rámci správy expozice zabezpečení od Microsoftu. Náš tým je tady, abychom vás podpořili prostřednictvím tohoto přechodu.

Další informace o používání konektorů najdete v tématu Přehled připojení zdrojů dat v zabezpečení od Microsoftu Řízení expozice – zabezpečení od Microsoftu Správa expozice.

Kontrola kódu bez agentů v Microsoft Defender for Cloud (Preview)

19. listopadu 2024

Kontrola kódu bez agentů v Microsoft Defender for Cloud je teď dostupná pro verzi Public Preview. Nabízí rychlé a škálovatelné zabezpečení pro všechna úložiště ve Azure DevOps organizacích s jedním konektorem. Toto řešení pomáhá týmům zabezpečení najít a opravit ohrožení zabezpečení v konfiguracích kódu a infrastruktury jako kódu (IaC) napříč Azure DevOps prostředími. Nevyžaduje agenty, změny kanálů ani přerušení pracovních postupů vývojářů, což usnadňuje nastavení a údržbu. Funguje nezávisle na procesech kontinuální integrace a průběžného nasazování (CI/CD). Řešení poskytuje průběžné a automatizované přehledy, které urychlují detekci a reakci na rizika a zajišťují zabezpečení bez přerušení pracovních postupů.

Případy použití:

  • Skenování pro celou organizaci: Můžete bezpečně monitorovat všechna úložiště v Azure DevOps organizacích pomocí jednoho konektoru.
  • Včasné zjišťování ohrožení zabezpečení: Rychle vyhledejte kód a rizika IaC pro proaktivní správu rizik.
  • Průběžné přehledy zabezpečení: Zajištění přehledu a rychlé reakce napříč vývojovými cykly, aniž by to ovlivnilo produktivitu.

Další informace najdete v tématu Skenování kódu bez agentů v Microsoft Defender for Cloud.

Kontrola malwaru na vyžádání v Microsoft Defender pro službu Storage (Preview)

19. listopadu 2024

Vyhledávání malwaru na vyžádání v Microsoft Defender pro storage, nyní ve verzi Public Preview, umožňuje kontrolu existujících objektů blob v Azure Storage účtech, kdykoli je to potřeba. Kontroly je možné zahájit z uživatelského rozhraní portálu Azure portálu nebo přes rozhraní REST API, které podporují automatizaci prostřednictvím Logic Apps, playbooků Automation a skriptů PowerShellu. Tato funkce používá pro každou kontrolu Microsoft Defender Antivirovou ochranu s nejnovějšími definicemi malwaru a před kontrolou poskytuje předem odhad nákladů na portálu Azure.

Případy použití:

  • Reakce na incidenty: Po zjištění podezřelé aktivity zkontrolujte konkrétní účty úložiště.
  • Standardní hodnoty zabezpečení: Při prvním povolení Defender pro úložiště zkontrolujte všechna uložená data.
  • Dodržovánípředpisůch předpisům: Nastavte automatizaci tak, aby naplánovávají kontroly,

Další informace najdete v tématu Kontrola malwaru na vyžádání.

Podpora registru kontejnerů JFrog Artifactory Defender pro kontejnery (Preview)

18. listopadu 2024

Tato funkce rozšiřuje Microsoft Defender pro kontejnery pokrytí externích registrů, aby zahrnovala JFrog Artifactory. Image kontejnerů JFrog Artifactory se prohledávají pomocí Microsoft Defender Správa zranitelností k identifikaci bezpečnostních hrozeb a zmírnění potenciálních bezpečnostních rizik.

Správa stavu zabezpečení AI je nyní obecně dostupná (GA)

18. listopadu 2024

Defender for Cloud funkce správy stavu zabezpečení AI jsou nyní obecně dostupné (GA).

Defender for Cloud snižuje riziko pro úlohy umělé inteligence napříč cloudy:

  • Objevování generativního kusovníku AI, který zahrnuje komponenty aplikací, data a artefakty AI od kódu až po cloud.

  • Posílení stavu zabezpečení aplikací umělé inteligence s integrovanými doporučeními a prozkoumáním a nápravou rizik zabezpečení

  • Analýza cesty útoku k identifikaci a nápravě rizik

Přečtěte si další informace o správě stavu zabezpečení AI.

Ochrana důležitých prostředků v Microsoft Defender for Cloud

18. listopadu 2024

Dnes s radostí oznamujeme obecnou dostupnost ochrany důležitých prostředků v Microsoft Defender for Cloud. Tato funkce umožňuje správcům zabezpečení označit prostředky "korunové šperky", které jsou pro své organizace nejdůležitější, a umožnit tak Defender for Cloud jim poskytnout nejvyšší úroveň ochrany a určit prioritu problémů se zabezpečením u těchto prostředků především u ostatních. Přečtěte si další informace o ochraně důležitých prostředků.

Kromě verze Obecné dostupnosti rozšiřujeme také podporu označování prostředků Kubernetes a nelidských identit.

Vylepšená ochrana kritických aktiv pro kontejnery

18. listopadu 2024

Ochrana kritických prostředků je rozšířená tak, aby podporovala další případy použití kontejnerů.

Uživatelé teď mohou vytvářet vlastní pravidla, která označují prostředky spravované Kubernetes (úlohy, kontejnery atd.) jako kritické na základě oboru názvů Kubernetes nebo popisku Kubernetes prostředku.

Stejně jako u jiných případů použití ochrany důležitých prostředků Defender for Cloud bere v úvahu důležitost prostředků pro stanovení priorit rizik, analýzu cest útoku a průzkumníka zabezpečení.

Vylepšení detekce hrozeb kontejnerů a reakce na ně

18. listopadu 2024

Defender for Cloud poskytuje sadu nových funkcí, které týmům SOC umožňují aktní hrozby kontejnerů v prostředích nativních pro cloud s větší rychlostí a přesností. Mezi tato vylepšení patří analýzy hrozeb, možnosti GoHuntu, Microsoft Security Copilot reakce s asistencí a akce odezvy nativní pro cloud pro pody Kubernetes.

Představujeme cloud native reakční akce pro pody Kubernetes (Preview)

Defender for Cloud teď nabízí akce odezvy pro pody Kubernetes s více cloudy, které jsou přístupné výhradně z portálu Defender XDR. Tyto funkce vylepšují reakce na incidenty pro clustery AKS, EKS a GKE.

Toto jsou nové akce odpovědi:

Izolace sítě – Okamžitě zablokuje veškerý provoz do podu, což brání laterálnímu přesunu a exfiltraci dat. Vyžaduje konfiguraci zásad sítě v clusteru Kubernetes.

Ukončení podu – Rychlé ukončení podezřelých podů, zastavení škodlivé aktivity bez narušení širší aplikace

Tyto akce umožňují týmům SOC účinně zvládat hrozby napříč cloudovými prostředími.

Sestava analýzy hrozeb pro kontejnery

Představujeme vyhrazenou sestavu Analýzy hrozeb, která je navržená tak, aby poskytovala komplexní přehled o hrozbách cílených na kontejnerizovaná prostředí. Tato sestava poskytuje týmům SOC přehledy k detekci a reagování na nejnovější vzory útoků na clustery AKS, EKS a GKE.

Hlavní zvýraznění:

  • Podrobná analýza hlavních hrozeb a souvisejících technik útoku v prostředích Kubernetes
  • Užitečná doporučení k posílení stavu zabezpečení nativního pro cloud a zmírnění vznikajících rizik

GoHunt pro pody Kubernetes & prostředky Azure

GoHunt teď rozšiřuje své možnosti proaktivního vyhledávání, aby zahrnovaly pody Kubernetes a prostředky Azure na portálu Defender XDR. Tato funkce vylepšuje proaktivní vyhledávání hrozeb a umožňuje analytikům SOC provádět podrobná šetření napříč úlohami vytvořenými pro cloud.

Klíčové funkce:

  • Pokročilé možnosti dotazů pro detekci anomálií v podech Kubernetes a Azure prostředcích a nabízejí bohatší kontext pro analýzu hrozeb.
  • Bezproblémová integrace s entitami Kubernetes pro efektivní proaktivní vyhledávání a vyšetřování hrozeb

Security Copilot odpovědi s asistencí pro pody Kubernetes

Představujeme odpověď s asistencí pro pody Kubernetes, funkci využívající Security Copilot. Tato nová funkce poskytuje podrobné pokyny v reálném čase, které týmům SOC pomáhají rychle a efektivně reagovat na hrozby kontejnerů.

Klíčové výhody:

  • Playbooky kontextových odpovědí přizpůsobené běžným scénářům útoků Kubernetes
  • Odborná podpora v reálném čase od Security Copilot, přemostění mezery ve znalostech a rychlejší řešení.

Nativní integrace služby API Security Posture Management v rámci plánu Defender CSPM ve verzi Public Preview

15. listopadu 2024

Funkce správy stavu zabezpečení rozhraní API (Preview) jsou teď součástí plánu Defender CSPM a dají se povolit prostřednictvím rozšíření v rámci plánu na stránce nastavení prostředí. Další informace naleznete v části Vylepšení stavu zabezpečení rozhraní API (Preview).

Vylepšená ochrana kontejnerů s posouzením ohrožení zabezpečení a detekcí malwaru pro uzly AKS (Preview)

13. listopadu 2024

Defender for Cloud teď poskytuje posouzení ohrožení zabezpečení a detekci malwaru pro uzly v Azure Kubernetes Service (AKS) a poskytuje zákazníkům přehlednost v rámci sdílené odpovědnosti za zabezpečení, kterou mají se spravovaným poskytovatelem cloudu.

Poskytování ochrany zabezpečení pro tyto uzly Kubernetes umožňuje zákazníkům udržovat zabezpečení a dodržování předpisů napříč spravovanou službou Kubernetes.

Pokud chcete získat nové funkce, musíte povolit agentless skenování počítačů v Defender CSPM, Defender pro kontejnery nebo Defender pro plán Servery P2 ve vašem předplatném.

Hodnocení zranitelnosti

Nové doporučení je nyní k dispozici na portálu Azure: AKS nodes should have vulnerability findings resolved. Prostřednictvím tohoto doporučení teď můžete zkontrolovat a opravit ohrožení zabezpečení a cves nalezené na Azure Kubernetes Service (AKS) uzlech.

Detekce malwaru

Nové výstrahy zabezpečení se aktivují, když funkce detekce malwaru bez agentů detekuje malware v uzlech AKS.

Detekce malwaru bez agentů používá antimalwarový modul antimalwarové ochrany Microsoft Defender antimalwarového modulu Microsoft Defender ke kontrole a detekci škodlivých souborů. Když se zjistí hrozby, výstrahy zabezpečení se směrují do Defender for Cloud a Defender XDR, kde je můžete prozkoumat a opravit.

Important

Detekce malwaru pro uzly AKS je dostupná jenom pro Defender pro kontejnery nebo Defender pro prostředí s podporou serverů P2.

Vylepšená dokumentace a nástroj pro simulaci výstrah Kubernetes (K8s)

7. listopadu 2024

Klíčové funkce

  • Dokumentace k výstrahám založeným na scénářích: Výstrahy K8s jsou teď zdokumentované na základě scénářů z reálného světa a poskytují jasnější pokyny k potenciálním hrozbám a doporučeným akcím.
  • integrace Microsoft Defender for Endpoint (MDE): Výstrahy jsou rozšířeny o další kontext a analýzu hrozeb z MDE, což zlepšuje schopnost efektivně reagovat.
  • Nový nástroj simulace: Výkonný nástroj simulace je k dispozici k otestování stavu zabezpečení simulací různých scénářů útoku a generováním odpovídajících výstrah.

Benefits

  • Vylepšené porozumění výstrahám: Dokumentace založená na scénářích poskytuje intuitivnější porozumění výstrahám K8s.
  • Vylepšená reakce na hrozby: Výstrahy jsou obohaceny cenným kontextem a umožňují rychlejší a přesnější odpovědi.
  • Proaktivní testování zabezpečení: Nový nástroj simulace umožňuje otestovat ochranu zabezpečení a identifikovat potenciální ohrožení zabezpečení před zneužitím.

Vylepšená podpora klasifikace citlivých dat rozhraní API

6. listopadu 2024

Microsoft Defender for Cloud rozšiřuje možnosti klasifikace dat citlivých na zabezpečení rozhraní API na cestu url rozhraní API a parametry dotazů spolu s požadavky a odpověďmi rozhraní API, včetně zdroje citlivých informací nalezených ve vlastnostech rozhraní API. Tyto informace budou k dispozici v prostředí analýzy cesty útoku, stránka Další podrobnosti Průzkumníka cloudových zabezpečení, když jsou vybrány operace služby API Management s citlivými daty, a na řídicím panelu zabezpečení rozhraní API na stránce s podrobnostmi o úlohách v podrobnostech o kolekci rozhraní API s novou místní nabídkou, která poskytuje podrobné přehledy o nalezených citlivých datech. umožňuje týmům zabezpečení efektivně vyhledávat a zmírnit rizika vystavení dat.

Note

Tato změna bude zahrnovat jednorázové zavedení pro stávající Defender pro rozhraní API a Defender CSPM zákazníky.

Nová podpora mapování koncových bodů rozhraní API Azure API Management na back-endové výpočetní prostředky

6. listopadu 2024

Defender for Cloud stav zabezpečení rozhraní API teď podporuje mapování koncových bodů rozhraní API publikovaných prostřednictvím služby Azure API Management Gateway na back-endové výpočetní prostředky, jako jsou virtuální počítače, v Průzkumníku zabezpečení cloudu Defender Cloud Security Management (Defender CSPM). Tato viditelnost pomáhá identifikovat směrování provozu rozhraní API do cílových výpočetních prostředků back-endu cloudu a umožňuje zjišťovat a řešit rizika vystavení spojená s koncovými body rozhraní API a jejich připojenými back-endovými prostředky.

Vylepšená podpora zabezpečení rozhraní API pro nasazení více oblastí Azure API Management a správu revizí rozhraní API

6. listopadu 2024

Pokrytí zabezpečení rozhraní API v rámci Defender for Cloud teď bude mít plnou podporu pro nasazení Azure API Management více oblastí, včetně úplné podpory stavu zabezpečení a detekce hrozeb v primárních i sekundárních oblastech.

Onboarding a offboarding rozhraní API pro Defender pro rozhraní API se teď bude spravovat na úrovni rozhraní API Azure API Management. Všechny přidružené revize Azure API Management se automaticky zahrnou do procesu, což eliminuje nutnost spravovat onboarding a zrušení zprovoznění jednotlivých revizí rozhraní API.

Tato změna zahrnuje jednorázové zavedení pro stávající Defender pro zákazníky s rozhraními API.

Podrobnosti o uvedení:

  • Zavedení proběhne v týdnu od 6. listopadu pro stávající Defender pro zákazníky s rozhraními API.
  • Pokud je k Defender pro rozhraní API už připojena "aktuální" revize rozhraní API Azure API Management, všechny přidružené revize tohoto rozhraní API se také automaticky připojí k Defender pro rozhraní API.
  • Pokud aktuální revize pro rozhraní API Azure API Management není onboardována k Defender pro rozhraní API, všechny přidružené revize rozhraní API, které byly nasazeny na Defender pro rozhraní API, se zprovozní.

Října 2024

Date Category Update
31. říjen Nadcházející změny Podpora zabezpečení rozhraní APIEnhanced pro nasazení více oblastí Azure API Management a správu revizí rozhraní API
Října 28 GA Zkušenost s migrací MMA je nyní k dispozici.
Říjen 21 GA Zjištění zabezpečení pro úložiště GitHub bez rozšířeného zabezpečení GitHub je teď obecně dostupná
14. října Nadcházející změny Vyřazení tří standardů dodržování předpisů
14. října Nadcházející změny Vyřazení tří standardů Defenderu pro cloud
9. října GA Detekce binárního driftu dostupná jako finální verze
6. října Preview Aktualizovaná doporučení pro běhové prostředí kontejnerů
6. října Preview Informace o identitě a přístupu Kubernetes v grafu zabezpečení
6. října Preview Útokové cesty založené na identitách a přístupových informacích Kubernetes
6. října GA Vylepšená analýza cest útoku pro kontejnery
6. října GA Úplné zjišťování imagí kontejnerů v podporovaných registrech
6. října GA Inventář softwaru kontejnerů pomocí Průzkumníka zabezpečení cloudu

Zkušenost s migrací MMA je nyní k dispozici.

28. října 2024

Teď můžete zajistit, aby všechna vaše prostředí byla plně připravená na vyřazení agenta MMA (post Log Analytics) na konci listopadu 2024.

Defender for Cloud přidali nové prostředí, které umožňuje provádět akce ve velkém měřítku pro všechna ovlivněná prostředí:

Naučte se využívat nové zkušenosti s migrací MMA.

Zjištění zabezpečení pro úložiště GitHub bez GitHub Advanced Security je nyní obecně dostupná

21. října 2024

Možnost přijímat závěry zabezpečení pro chybné konfigurace infrastruktury jako kódu (IaC), ohrožení zabezpečení kontejnerů a slabá místa kódu pro úložiště GitHub bez GitHub Advanced Security je teď obecně dostupná.

Všimněte si, že kontrola tajných kódů, skenování kódu pomocí GitHub CodeQL a kontrola závislostí stále vyžadují GitHub Rozšířené prohledávání.

Další informace o požadovaných licencích najdete na stránce podpory DevOps. Pokud chcete zjistit, jak připojit prostředí GitHub k Defender for Cloud, postupujte podle průvodce onboardingem GitHub. Informace o konfiguraci akce zabezpečení od Microsoftu DevOps GitHub najdete v naší dokumentaci k akcím GitHub.

Vyřazení tří standardů dodržování předpisů

14. října 2024

Odhadované datum změny: 17. listopadu 2024

Z produktu se odeberou tři standardy dodržování předpisů:

  • SWIFT CSP-CSCF v2020 (pro Azure) – tato verze byla nahrazena verzí v2022.
  • CIS Microsoft Azure Foundations Benchmark v1.1.0 a v1.3.0 - Máme k dispozici dvě novější verze (v1.4.0 a v2.0.0)

Přečtěte si další informace o standardech dodržování předpisů dostupných v Defender for Cloud v Dostupné standardy dodržování předpisů.

Vyřazení tří Defender for Cloud standardů

8. října 2024

Odhadované datum změny: 17. listopadu 2024

Abychom zjednodušili správu Defender for Cloud s účty AWS a projekty GCP, odebíráme následující tři standardy Defender for Cloud:

  • Pro AWS – AWS CSPM
  • Pro GCP – Výchozí nastavení GCP CSPM a GCP

Výchozí standard Microsoft Cloud Security Benchmark (MCSB) teď obsahuje všechna posouzení, která byla pro tyto standardy jedinečná.

Detekce binárního driftu uvedena do všeobecné dostupnosti

9. října 2024

Detekce binárních posunů je nyní vydána jako obecná dostupnost v Defender pro plán kontejneru. Všimněte si, že detekce binárních posunů teď funguje ve všech verzích AKS.

Aktualizovaná doporučení pro běhové prostředí kontejnerů (náhled)

6. října 2024

Doporučení verze Preview pro kontejnery spuštěné v AWS/Azure/GCP by měla obsahovat zjištěná ohrožení zabezpečení, se aktualizují tak, aby se seskupily všechny kontejnery, které jsou součástí stejné úlohy, do jednoho doporučení, což snižuje duplicity a zabraňuje kolísání kvůli novým a ukončeným kontejnerům.

Od 6. října 2024 se pro tato doporučení nahrazují následující ID posouzení:

Recommendation ID předchozího posouzení Nové ID hodnocení
-- -- --
Kontejnery spuštěné v Azure by měly mít vyřešená zjištění ohrožení zabezpečení. e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0 c5045ea3-afc6-4006-ab8f-86c8574dbf3d
Kontejnery spuštěné v AWS by měly mít vyřešená zjištění ohrožení zabezpečení. d5d1e526-363a-4223-b860-f4b6e710859f 8749bb43-cd24-4cf9-848c-2a50f632043c
Kontejnery spuštěné v GCP by měly mít vyřešená zjištění ohrožení zabezpečení c7c1d31d-a604-4b86-96df-63448618e165 1b3abfa4-9e53-46f1-9627-51f2957f8bba

Pokud aktuálně načítáte zprávy o zranitelnostech z těchto doporučení prostřednictvím API, ujistěte se, že aktualizujete volání API novým ID posouzení.

Informace o identitě a přístupu Kubernetes v grafu zabezpečení (náhled)

6. října 2024

Do grafu zabezpečení se přidávají informace o identitě a přístupu Kubernetes, včetně uzlů, které představují všechny entity související s Access Control rolemi Kubernetes (RBAC) (účty služeb, role, vazby rolí atd.) a hrany, které představují oprávnění mezi objekty Kubernetes. Zákazníci nyní mohou dotazovat graf zabezpečení pro svou Kubernetes RBAC a související vztahy mezi entitami Kubernetes (může se ověřit jako, může se vydávat za, uděluje roli, přístup definovaný, uděluje přístup k, má oprávnění atd.).

Cesty útoku založené na identitě Kubernetes a přístupu na základě informací (Preview)

6. října 2024

Pomocí dat RBAC Kubernetes v grafu zabezpečení teď Defender for Cloud detekuje laterální přesun Kubernetes, Kubernetes do cloudu a vnitřní pohyb a sestavy Kubernetes na jiných cestách útoku, kde útočníci můžou zneužít Kubernetes a autorizaci cloudu pro laterální přesun z clusterů Kubernetes a v rámci clusterů Kubernetes.

Vylepšená analýza cest útoku pro kontejnery

6. října 2024

Nový modul pro analýzu cest útoku vydaný v listopadu teď podporuje také případy použití kontejnerů a dynamicky rozpoznává nové typy cest útoku v cloudových prostředích na základě dat přidaných do grafu. Teď můžeme najít další způsoby útoku pro kontejnery a zjistit složitější a sofistikovanější způsoby útoku, které útočníci používají k infiltraci cloudových a cloudových prostředí Kubernetes.

Úplné zjišťování imagí kontejnerů v podporovaných registrech

6. října 2024

Defender for Cloud teď shromažďuje data inventáře pro všechny image kontejnerů v podporovaných registrech a poskytuje tak úplnou viditelnost v grafu zabezpečení pro všechny image v cloudových prostředích, včetně imagí, které momentálně nemají žádná doporučení k stavu.

Možnosti dotazování prostřednictvím Průzkumníka zabezpečení cloudu jsou vylepšené, takže uživatelé teď můžou vyhledávat image kontejnerů na základě jejich metadat (digest, úložiště, operační systém, značka atd.).

Inventář softwaru kontejnerů pomocí Průzkumníka zabezpečení cloudu

6. října 2024

Zákazníci teď můžou získat seznam softwaru nainstalovaných v kontejnerech a imagích kontejnerů prostřednictvím Průzkumníka zabezpečení cloudu. Tento seznam lze také použít k rychlému získání dalších přehledů o prostředí zákazníka, jako je například vyhledání všech kontejnerů a obrazů kontejnerů se softwarem ovlivněným zranitelností nultého dne, ještě před zveřejněním CVE.

Září 2024

Date Category Update
Září 22 Nadcházející změny Vylepšení prostředí Průzkumníka zabezpečení cloudu
Září 18 GA Generální dostupnost monitorování integrity souborů na základě Microsoft Defender for Endpoint
Září 18 GA prostředí pro migraci FIM je k dispozici v Defender for Cloud
Září 18 Deprecation Vyřazení funkce automatického zřizování MMA
Září 15 GA Integrace s Power BI
Září 11 Nadcházející změny Aktualizace na multicloudové síťové požadavky CSPM
9. září Deprecation Defender pro vyřazení funkce Servery
9. září GA Spanish National Security Framework (Esquema Nacional de Seguridad (ENS)) přidaný na řídicí panel dodržování právních předpisů pro Azure
8. září GA Uplatněte doporučení k aktualizacím a opravám systému na vašich počítačích
Září 4 GA Integrace ServiceNow teď zahrnuje modul Dodržování předpisů konfigurace.
Září 4 Nadcházející změny Defender pro úložiště (Classic) pro plán ochrany úložiště transakcí není pro nová předplatná dostupná
1. září GA konfigurace hosta Azure Policy je teď obecně dostupná (GA)
1. září Preview Public Preview pro Docker Hub podporu registru kontejnerů Defender pro kontejnery

Vylepšení prostředí Průzkumníka zabezpečení cloudu

22. září 2024

Odhadované datum změny: říjen 2024

Průzkumník cloudových zabezpečení je nastavený na zlepšení výkonu a funkcí mřížky, poskytuje další rozšiřování dat pro každý cloudový prostředek, vylepšuje kategorie hledání a vylepšuje sestavu exportu CSV s dalšími přehledy o exportovaných cloudových prostředcích.

Obecná dostupnost monitorování integrity souborů na základě Microsoft Defender for Endpoint

18. září 2024

Nová verze monitorování integrity souborů založená na Microsoft Defender for Endpoint je nyní obecně dostupná jako součást Defender pro servery Plan 2. FIM umožňuje:

  • Splnění požadavků na dodržování předpisů monitorováním důležitých souborů a registrů v reálném čase a auditováním změn.
  • Zjištěním změn obsahu podezřelého souboru identifikujte potenciální problémy se zabezpečením.

Toto vylepšené prostředí FIM nahrazuje stávající prostředí, které je nastavené pro vyřazení z provozu, vyřazením agenta Log Analytics (MMA). Podpora FIM zážitku přes MMA bude pokračovat do listopadu 2024.

V této verzi je vydáno prostředí v rámci produktu, které vám umožní migrovat konfiguraci FIM přes MMA do nového FIM přes Defender pro verzi koncového bodu.

Informace o tom, jak povolit FIM přes Defender pro koncový bod, najdete v tématu Monitorování integrity souborů pomocí Microsoft Defender for Endpoint. Informace o tom, jak zakázat předchozí verze, naleznete v tématu Migrace monitorování integrity souborů z předchozích verzí.

Prostředí pro migraci FIM je k dispozici v Defender for Cloud

18. září 2024

Vydali jsme prostředí v rámci produktu, které vám umožní migrovat konfiguraci FIM přes MMA do nového FIM přes Defender pro verzi koncového bodu. S touto zkušeností můžete:

  • Zkontrolujte ovlivněné prostředí s předchozí verzí FIM, kde je aktivováno MMA, a je požadována migrace.
  • Exportujte svá aktuální pravidla FIM z prostředí založeného na MMA a uložte je do pracovních prostor.
  • Migrace na předplatná s podporou P2 pomocí nového FIM přes MDE

Pokud chcete použít prostředí migrace, přejděte do podokna Nastavení prostředí a vyberte tlačítko migrace MMA v horním řádku.

Vyřazení možnosti automatického zřizování MMA

18. září 2024 V rámci vyřazení agenta MMA bude funkce automatického zřizování, která poskytuje instalaci a konfiguraci agenta pro zákazníky MDC, postupně ukončována ve dvou fázích:

  1. Do konce září 2024 bude automatické zřizování MMA zakázáno pro zákazníky, kteří už tuto funkci nepoužívají, a také pro nově vytvořená předplatná. Po konci září už nebude možné tato předplatná znovu povolit.

  2. Na konci listopadu 2024 bude automatické zřizování MMA zakázáno u předplatných, která ho dosud nevypnula. Od tohoto okamžiku už není možné povolit funkci u stávajících předplatných.

Integrace s Power BI

15. září 2024

Defender for Cloud se teď dá integrovat s Power BI. Tato integrace umožňuje vytvářet vlastní sestavy a řídicí panely pomocí dat z Defender for Cloud. Pomocí Power BI můžete vizualizovat a analyzovat stav zabezpečení, dodržování předpisů a doporučení zabezpečení.

Přečtěte si další informace o novém integration s Power BI.

Aktualizace na multicloudové síťové požadavky CSPM

11. září 2024

Odhadované datum změny: říjen 2024

Od října 2024 přidáváme do našich služeb pro zjišťování ve více cloudech další IP adresy, abychom vyhověli vylepšením a zajistili efektivnější prostředí pro všechny uživatele.

Pokud chcete zajistit nepřerušovaný přístup z našich služeb, měli byste aktualizovat seznam povolených IP adres o nové rozsahy uvedené zde. Měli byste provést potřebné úpravy v nastavení brány firewall, skupinách zabezpečení nebo jakýchkoli jiných konfiguracích, které by mohly platit pro vaše prostředí. Seznam je dostačující pro plnou funkčnost základní (bezplatné) nabídky CSPM.

Defender pro vyřazení funkce Servery

9. září 2024

Adaptivní řízení aplikací i adaptivní posílení zabezpečení sítě jsou teď zastaralé.

Španělština National Security Framework (Esquema Nacional de Seguridad (ENS)) přidaná do řídicího panelu dodržování právních předpisů pro Azure

9. září 2024

Organizace, které chtějí zkontrolovat Azure prostředí, aby dodržovaly předpisy standardu ENS, teď můžou použít Defender for Cloud.

Standard ENS se vztahuje na celý veřejný sektor ve Španělsku a také na dodavatele, kteří spolupracují se správou. Stanoví základní principy, požadavky a bezpečnostní opatření k ochraně informací a služeb zpracovávaných elektronicky. Cílem je zajistit přístup, důvěrnost, integritu, sledovatelnost, pravost, dostupnost a zachování dat.

Podívejte se na úplný seznam podporovaných standardů dodržování předpisů.

Proveďte nápravné kroky na základě doporučení k aktualizacím a opravám systému na vašich počítačích.

8. září 2024

Na počítačích s podporou Azure Arc a Azure virtuálních počítačů teď můžete opravovat aktualizace a opravy systému. Aktualizace a opravy systému jsou zásadní pro zachování zabezpečení a stavu vašich počítačů. Aktualizace často obsahují opravy zabezpečení pro chyby zabezpečení, které útočníci zneužívají, pokud jsou neopravené.

Informace o chybějících aktualizacích počítače se teď shromažďují pomocí Správce aktualizace Azure.

Abyste zachovali zabezpečení počítačů pro aktualizace a opravy systému, budete muset na počítačích povolit nastavení aktualizací pravidelného hodnocení.

Naučte se opravovat aktualizace systému a doporučení oprav na vašich počítačích.

Integrace ServiceNow teď zahrnuje modul Dodržování předpisů konfigurace.

4. září 2024

Integrace plánu CSPM s ServiceNow v Defender for Cloud teď zahrnuje modul dodržování předpisů konfigurace ServiceNow. Tato funkce umožňuje identifikovat, určovat prioritu a opravovat problémy s konfigurací v cloudových prostředcích a zároveň snižovat rizika zabezpečení a zlepšit celkový stav dodržování předpisů prostřednictvím automatizovaných pracovních postupů a přehledů v reálném čase.

Přečtěte si další informace o integraci ServiceNow s Defender for Cloud.

Defender pro úložiště (Classic) plán ochrany úložiště pro transakce není pro nová předplatná k dispozici

4. září 2024

Odhadované datum změny: 5. února 2025

Po 5. únoru 2025 nebudete moct aktivovat starší Defender pro plán ochrany úložiště pro úložiště (classic), pokud už není ve vašem předplatném povolené. Další informace najdete v tématu Move na nový Defender pro plán úložiště.

Azure Policy konfigurace hosta je teď obecně dostupná (GA)

neděle 1. září 2024

Defender pro konfiguraci hosta Azure Policy serveru je nyní obecně dostupná (GA) pro všechny Defender pro vícecloudové Defender pro zákazníky s plánem 2 serverů. Konfigurace hosta poskytuje jednotné prostředí pro správu standardních hodnot zabezpečení ve vašem prostředí. Umožňuje vyhodnotit a vynutit konfigurace zabezpečení na vašich serverech, včetně Windows a počítačů s Linuxem, Azure virtuálních počítačů, instancí AWS EC2 a GCP.

Zjistěte, jak Azure Policy konfigurace počítače ve vašem prostředí.

Verze Preview pro podporu registru kontejnerů Docker Hub Defender pro kontejnery

neděle 1. září 2024

Představujeme verzi Public Preview rozšíření Microsoft Defender for Containers, která zahrnuje externí registry počínaje Docker Hub registry kontejnerů. V rámci správy stavu zabezpečení Microsoft Cloud vaší organizace poskytuje rozšíření pokrytí Docker Hub registry kontejnerů výhody kontroly Docker Hub imagí kontejnerů pomocí Microsoft Defender Správa zranitelností identifikovat bezpečnostní hrozby a zmírnit potenciální rizika zabezpečení.

Další informace o této funkci najdete v tématu Hodnocení Docker Hub

Srpen 2024

Date Category Update
Srpen 28 Preview Nová verze monitorování integrity souborů na základě Microsoft Defender for Endpoint
Srpen 22 Nadcházející vyřazení Reirement integrace upozornění Defender for Cloud s upozorněními WAF Azure
1. srpna GA Enable Microsoft Defender pro servery SQL na počítačích ve velkém měřítku

Nová verze monitorování integrity souborů na základě Microsoft Defender for Endpoint

28. srpna 2024

Nová verze monitorování integrity souborů založená na Microsoft Defender for Endpoint je teď ve verzi Public Preview. Je součástí Defender pro servery Plan 2. Umožňuje:

  • Splnění požadavků na dodržování předpisů monitorováním důležitých souborů a registrů v reálném čase a auditováním změn.
  • Zjištěním změn obsahu podezřelého souboru identifikujte potenciální problémy se zabezpečením.

V rámci této verze už nebude prostředí FIM přes AMA dostupné na portálu Defender for Cloud. Podpora FIM zážitku přes MMA bude pokračovat do listopadu 2024. Na začátku září bude vydáno prostředí v rámci produktu, které umožňuje migrovat konfiguraci FIM přes MMA do nového FIM přes Defender pro verzi koncového bodu.

Informace o tom, jak povolit FIM přes Defender pro koncový bod, najdete v tématu Monitorování integrity souborů pomocí Microsoft Defender for Endpoint. Informace o tom, jak migrovat z předchozích verzí, naleznete v tématu Migrace monitorování integrity souborů z předchozích verzí.

Vyřazení integrace upozornění Defender for Cloud s upozorněními WAF Azure

22. srpna 2024

Odhadované datum změny: 25. září 2024

Defender for Cloud upozornění integration s upozorněními waF Azure budou vyřazeny 25. září 2024. Na konci není potřeba žádná akce. Pro zákazníky Microsoft Sentinel můžete nakonfigurovat Azure Web Application Firewall connector.

Povolení Microsoft Defender pro SERVERY SQL na počítačích ve velkém měřítku

1. srpna 2024

Teď můžete povolit Microsoft Defender pro SQL servery na počítačích ve velkém měřítku v cloudech státní správy. Tato funkce umožňuje povolit Microsoft Defender pro SQL na více serverech najednou, což šetří čas a úsilí.

Přečtěte si, jak Microsoft Defender pro sql servery na počítačích ve velkém měřítku.

Červenec 2024

Date Category Update
Červenec 31 GA Obecná dostupnost doporučení rozšířeného zjišťování a konfigurace pro ochranu koncových bodů
Červenec 31 Nadcházející aktualizace Vyřazení adaptivního posílení zabezpečení sítě
22. července Preview Posouzení zabezpečení pro GitHub už nevyžadují další licencování
Červenec 18 Nadcházející aktualizace Aktualizované časové osy směrem k vyřazení MMA v Defender pro servery Plan 2
Červenec 18 Nadcházející aktualizace Vyřazení funkcí souvisejících s MMA v rámci vyřazení agenta
Červenec 15 Preview Binary Drift Public Preview v Defender pro kontejnery
14. července GA Automatizované skripty pro nápravu pro AWS a GCP jsou nyní obecně dostupné
11. července Nadcházející aktualizace GitHub aktualizace oprávnění aplikace
Červenec 10 GA Standardy dodržování předpisů jsou teď obecně dostupné.
Červenec 9 Nadcházející aktualizace Vylepšení prostředí inventáře
Červenec 8 Nadcházející aktualizace nástroj pro mapování Kontainer, který se ve výchozím nastavení spustí v GitHub

Obecná dostupnost doporučení rozšířeného zjišťování a konfigurace pro ochranu koncových bodů

31. července 2024

Vylepšené funkce zjišťování pro řešení ochrany koncových bodů a vylepšená identifikace problémů s konfigurací jsou nyní obecně dostupné pro servery s více cloudy. Tyto aktualizace jsou součástí Defender pro servery Plan 2 a Defender správu stavu zabezpečení cloudu (CSPM).

Vylepšená funkce doporučení využívá kontrolu počítačů bez agentů a umožňuje komplexní zjišťování a hodnocení konfigurace podporovaných detekce a reakce u koncových bodů řešení. Při zjištění problémů s konfigurací jsou k dispozici kroky pro nápravu.

V této verzi obecné dostupnosti je seznam podporovaných řešení rozšířen tak, aby zahrnoval dva další nástroje pro detekci koncových bodů a odpovědi:

  • Platforma Singularity od SentinelOne
  • Cortex XDR

Vyřazení adaptivního posílení zabezpečení sítě

31. července 2024

Odhadované datum změny: 31. srpna 2024

Defender pro adaptivní posílení zabezpečení sítě serveru je zastaralé.

Vyřazení funkce zahrnuje následující možnosti:

Preview: Posouzení zabezpečení pro GitHub už nevyžadují další licencování

22. července 2024

GitHub uživatelé v Defender for Cloud už k zobrazení zjištění zabezpečení nepotřebují licenci GitHub Advanced Security. To platí pro posouzení zabezpečení pro slabá místa v kódu, chybné konfigurace infrastruktury jako kódu (IaC) a chyby zabezpečení v imagích kontejnerů, které se detekují během fáze sestavení.

Zákazníci s GitHub Advanced Security budou nadále dostávat další posouzení zabezpečení v Defender for Cloud pro vystavené přihlašovací údaje, ohrožení zabezpečení v open source závislostech a zjištěních CodeQL.

Další informace o zabezpečení DevOps v Defender for Cloud najdete v přehledu zabezpečení DevOps. Pokud chcete zjistit, jak připojit prostředí GitHub k Defender for Cloud, postupujte podle průvodce onboardingem GitHub. Informace o konfiguraci akce zabezpečení od Microsoftu DevOps GitHub najdete v dokumentaci k GitHub akcí.

Aktualizace časových os směrem k vyřazení MMA v Defender pro servery – Plán 2

18. července 2024

Odhadované datum změny: srpen 2024

S nadcházejícím vyřazení agenta Log Analytics v srpnu budou všechny hodnoty zabezpečení pro ochranu serveru v Defender for Cloud záviset na integraci s Microsoft Defender for Endpoint (MDE) jako jeden agent a možnosti bez agentů poskytované cloudovou platformou a kontrolou počítačů bez agentů.

Následující funkce aktualizovaly časové osy a plány, takže podpora pro ně prostřednictvím MMA bude prodloužena pro zákazníky Defender for Cloud na konec listopadu 2024:

  • Monitorování integrity souborů (FIM): Verze Public Preview pro novou verzi FIM přes MDE se plánuje na srpen 2024. Verze GA FIM využívající agenta Log Analytics bude nadále podporována pro stávající zákazníky až do konce November 2024.

  • Security Baseline: jako alternativu k verzi založené na MMA, v September 2024. Standardní hodnoty zabezpečení operačního systému využívající agenta Log Analytics budou nadále podporovány pro stávající zákazníky až do konce November 2024.

Další informace najdete v tématu Prepare pro vyřazení agenta Log Analytics.

18. července 2024

Odhadované datum změny: srpen 2024

V rámci starání agenta Microsoft monitorování (MMA) a aktualizovaného Defender pro strategii nasazení serverů budou nyní všechny funkce zabezpečení pro Defender pro servery poskytovány prostřednictvím jednoho agenta (Defender pro koncový bod) nebo prostřednictvím funkcí kontroly bez agentů. To nebude vyžadovat závislost na agentovi MMA nebo agentovi monitorování Azure (AMA).

Když v srpnu 2024 přistupujeme k vyřazení agenta, z portálu Defender for Cloud se odeberou následující funkce související s MMA:

  • Zobrazení stavu instalace MMA v ostřích Inventory a Resource Health
  • Možnost připojování nových serverů, které nejsou Azure pro Defender pro servery prostřednictvím pracovních prostorů Log Analytics, se odeberou z oken Inventory a Začáté.

Note

Doporučujeme, aby aktuální zákazníci, kteří mají onboardované místní servery, používali přístup legacy, by teď měli tyto počítače připojit přes servery s podporou Azure Arc. Doporučujeme také povolit Defender pro servery Plan 2 v předplatných Azure, ke kterým jsou tyto servery připojené.

Pokud jste na konkrétních virtuálních počítačích Azure prostřednictvím starší verze povolili Defender pro servery Plan 2, povolte Defender pro servery Plan 2 na Azure předplatných těchto počítačů. Vyloučí jednotlivé počítače z Defender pokrytí serverů pomocí Defender pro konfiguraci per-resource.

Tyto kroky zajistí, že nedojde ke ztrátě pokrytí zabezpečení kvůli vyřazení agenta Log Analytics.

Abychom zachovali kontinuitu zabezpečení, doporučujeme zákazníkům s Defender pro servery Plan 2 povolit skenování počítačů bez agenta a integration s Microsoft Defender for Endpoint u svých předplatných.

Pomocí vlastního sešitu s můžete sledovat majetek agenta Log Analytics (MMA) a monitorovat stav nasazení Defender pro servery na virtuálních počítačích Azure a Azure Arc počítačích.

Další informace najdete v tématu Prepare pro vyřazení agenta Log Analytics.

Verze Public Preview binárního posunu je teď dostupná v Defender pro kontejnery.

Představujeme verzi Public Preview binárního posunu pro Defender pro kontejnery. Tato funkce pomáhá identifikovat a zmírnit potenciální rizika zabezpečení spojená s neautorizovanými binárními soubory ve vašich kontejnerech. Binární posun samostatně identifikuje a odesílá výstrahy o potenciálně škodlivých binárních procesech v kontejnerech. Kromě toho umožňuje implementaci nové zásady binární odchylky řídit předvolby výstrah, které nabízejí možnost přizpůsobit oznámení konkrétním potřebám zabezpečení. Další informace o této funkci naleznete v tématu Detekce binárních posunů.

Automatizované skripty pro nápravu pro AWS a GCP jsou nyní obecně dostupné

14. července 2024

V březnu jsme vydali automatizované skripty nápravy pro AWS &GCP ve verzi Public Preview, které umožňují programově napravit doporučení pro AWS &GCP.

Dnes tuto funkci vydáváme pro obecně dostupnou verzi (GA). Naučte se používat automatizované skripty nápravy.

aktualizace oprávnění aplikace GitHub

11. července 2024

Odhadované datum změny: 18. července 2024

Zabezpečení DevOps v Defender for Cloud neustále provádí aktualizace, které vyžadují, aby zákazníci s konektory GitHub v Defender for Cloud aktualizovali oprávnění pro aplikaci zabezpečení od Microsoftu DevOps v GitHub.

V rámci této aktualizace bude aplikace GitHub vyžadovat oprávnění ke čtení GitHub Copilot firmy. Toto oprávnění se použije k lepšímu zabezpečení nasazení GitHub Copilot zákazníkům. Doporučujeme aplikaci aktualizovat co nejdříve.

Oprávnění se dají udělit dvěma různými způsoby:

  1. Ve vaší organizaci GitHub přejděte do aplikace zabezpečení od Microsoftu DevOps v Settings > GitHub Apps a přijměte žádost o oprávnění.

  2. V automatizovaném e-mailu z podpory GitHub vyberte žádost o oprávnění Recenze oprávnění a přijměte nebo odmítněte tuto změnu.

Standardy dodržování předpisů jsou teď obecně dostupné.

10. července 2024

V březnu jsme pro zákazníky přidali verze Preview mnoha nových standardů dodržování předpisů, aby ověřili své prostředky AWS a GCP.

Tyto standardy zahrnovaly srovnávací test CIS Google Kubernetes Engine (GKE), ISO/IEC 27001 a ISO/IEC 27002, CRI Profile, CSA Cloud Controls Matrix (CCM), brazilský obecný zákon o ochraně osobních údajů (LGPD), Zákon o ochraně osobních údajů spotřebitele v Kalifornii (CCPA) a další.

Tyto standardy Preview jsou teď obecně dostupné (GA).

Podívejte se na úplný seznam podporovaných standardů dodržování předpisů.

Vylepšení prostředí inventáře

9. července 2024

Odhadované datum změny: 11. července 2024

Prostředí inventáře se aktualizuje, aby se zlepšil výkon, včetně vylepšení logiky dotazu Open query v podokně v Azure Resource Graph. Aktualizace logiky Azure výpočtu prostředků můžou vést k počítání a prezentování jiných prostředků.

Nástroj pro mapování kontejnerů, který se má spustit ve výchozím nastavení v GitHub

8. července 2024

Odhadované datum změny: 12. srpna 2024

Díky možnostem zabezpečení DevOps v Správa stavu cloudového zabezpečení v programu Microsoft Defender (CSPM) můžete mapovat aplikace nativní pro cloud z kódu do cloudu, abyste mohli snadno spustit pracovní postupy nápravy vývojářů a zkrátit dobu nápravy ohrožení zabezpečení v imagích kontejnerů. V současné době je nutné ručně nakonfigurovat nástroj pro mapování imagí kontejneru tak, aby se spustil v akci zabezpečení od Microsoftu DevOps v GitHub. Při této změně se mapování kontejnerů spustí ve výchozím nastavení jako součást akce zabezpečení od Microsoftu DevOps. Vyučte další informace o akci zabezpečení od Microsoftu DevOps.

Červen 2024

Date Category Update
27. června GA Checkov IaC Scan in Defender for Cloud.
Červen 24 Update Change v cenách pro vícecloudové Defender pro kontejnery
Červen 20 Nadcházející vyřazení Reminder vyřazení adaptivních doporučení při vyřazení agenta monitorování Microsoft (MMA).

Odhadovaný vyřazení ze srpna 2024
10. června Preview Copilot v Defender for Cloud
10. června Nadcházející aktualizace Automatické povolení posouzení ohrožení zabezpečení SQL pomocí expresní konfigurace na nekonfigurovaných serverech

Odhadovaná aktualizace: 10. července 2024
3. června Nadcházející aktualizace Změny chování doporučení identit

Odhadovaná aktualizace: 10. července 2024.

Ga: Kontrola kontroly IaC v Defender for Cloud

27. června 2024

Oznamujeme obecnou dostupnost integrace Checkov pro kontrolu infrastruktury jako kódu (IaC) prostřednictvím zabezpečení od Microsoftu DevOps (MSDO). V rámci této verze checkov nahradí TerraScan jako výchozí analyzátor IaC, který běží jako součást rozhraní příkazového řádku (CLI) MSDO. TerraScan může být stále nakonfigurovaný ručně prostřednictvím proměnných prostředí MSDO, ale ve výchozím nastavení se nespustí.

Zjištění zabezpečení z Checkov, která představují doporučení pro úložiště Azure DevOps i GitHub v rámci posouzení Azure DevOps úložiště by měla mít infrastrukturu, protože byla vyřešena zjištění kódu a úložiště GitHub by měla mít infrastrukturu jako zjištění kódu vyřešená.

Další informace o zabezpečení DevOps v Defender for Cloud najdete v přehledu zabezpečení DevOps. Informace o konfiguraci rozhraní příkazového řádku MSDO najdete v dokumentaci k Azure DevOps nebo GitHub.

Aktualizace: Změna cen pro Defender pro kontejnery v multicloudu

24. června 2024

Vzhledem k tomu, že Defender pro kontejnery v multicloudu je teď obecně dostupná, už se vám nic neúčtuje. Další informace najdete v tématu Microsoft Defender for Cloud ceny.

Vyřazení: Připomenutí vyřazení adaptivních doporučení

20. června 2024

Odhadované datum změny: srpen 2024

V rámci vyřazení MMA a Defender pro aktualizovanou strategii nasazení serverů Defender pro funkce zabezpečení serverů budou poskytovány prostřednictvím agenta Microsoft Defender for Endpoint (MDE) nebo prostřednictvím funkcí kontroly agentless. Obě tyto možnosti nebudou záviset na agentovi MMA nebo agentovi monitorování Azure (AMA).

Doporučení adaptivního zabezpečení, označovaná jako Adaptivní řízení aplikací a adaptivní posílení zabezpečení sítě, budou ukončena. Aktuální verze GA založená na MMA a verzi Preview na základě AMA bude v srpnu 2024 zastaralá.

Preview: Copilot v Defender for Cloud

10. června 2024

Oznamujeme integraci Microsoft Security Copilot do Defender for Cloud ve verzi Public Preview. Copilot vložené prostředí v Defender for Cloud uživatelům poskytuje možnost klást otázky a získávat odpovědi v přirozeném jazyce. Copilot vám můžou pomoct pochopit kontext doporučení, účinek implementace doporučení, kroky potřebné k implementaci doporučení, pomoc s delegováním doporučení a pomoc s nápravou chybných konfigurací v kódu.

Další informace o Microsoft Security Copilot najdete v Defender for Cloud.

Aktualizace: Automatické povolení posouzení ohrožení zabezpečení SQL

10. června 2024

Odhadované datum změny: 10. července 2024

Původně se posouzení ohrožení zabezpečení SQL (VA) s expresní konfigurací povolilo jenom na serverech, na kterých se po zavedení expresní konfigurace v prosinci 2022 aktivovalo Microsoft Defender pro SQL.

Aktualizujeme všechny Azure SQL servery, které měly Microsoft Defender pro SQL aktivované před prosincem 2022 a nemají žádné stávající zásady sql VA, aby bylo možné nástroj SQL Vulnerability Assessment (SQL VA) automaticky povolit pomocí expresní konfigurace.

  • Implementace této změny bude postupně, několik týdnů a nevyžaduje žádnou akci na straně uživatele.
  • Tato změna se vztahuje na servery Azure SQL, kde Microsoft Defender pro SQL bylo aktivováno na úrovni předplatného Azure.
  • Na servery s existující klasickou konfigurací (bez ohledu na to, jestli je platná nebo neplatná) tato změna nebude mít vliv.
  • Po aktivaci se může zobrazit doporučení "Databáze SQL by měly mít vyřešená zjištění ohrožení zabezpečení", která by mohla ovlivnit vaše skóre zabezpečení.

Aktualizace: Změny chování doporučení identit

3. června 2024

Odhadované datum změny: červenec 2024

Tyto změny:

  • Vyhodnocený prostředek se stane identitou místo předplatného.
  • Doporučení už nebudou obsahovat dílčí doporučení.
  • Hodnota pole assessmentKey v rozhraní API se změní pro tato doporučení.

Použije se na následující doporučení:

  • Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování
  • Účty s oprávněním k zápisu u prostředků Azure by měly být povolené vícefaktorové ověřování
  • Účty s oprávněním ke čtení Azure prostředků by měly být povolené vícefaktorové ověřování
  • Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat.
  • Účty hostů s oprávněním k zápisu u prostředků Azure by se měly odebrat.
  • Účty hostů s oprávněním ke čtení Azure prostředků by se měly odebrat.
  • Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat.
  • Blokované účty s oprávněním ke čtení a zápisu u Azure prostředků by se měly odebrat.
  • Pro vaše předplatné by mělo být určeno maximálně tři vlastníky.
  • K vašemu předplatnému by měl být přiřazený více než jeden vlastník.

Květen 2024

Date Category Update
Květen 30 GA detekce malwaru Agentless v Defender pro servery Plan 2
Květen 22 Update Konfigurace e-mailových oznámení pro cesty útoku
Květen 21 Update Advanced proaktivního vyhledávání v Microsoft Defender XDR zahrnuje Defender for Cloud výstrahy a incidenty
Květen 9 Preview integrace Checkov pro kontrolu IaC v Defender for Cloud
7. května GA správa Permissions v Defender for Cloud
Květen 6 Preview správa stavu zabezpečení AI s více cloudy je dostupná pro Azure a AWS.
Květen 6 Omezená verze Preview Chrana pro úlohy AI v Azure.
2. květen Update Správa zásad zabezpečení
Květen 1 Preview Defender pro opensourcové databáze je teď k dispozici v AWS pro instance Amazonu.
Květen 1 Nadcházející vyřazení Removal FIM přes AMA a vydání nové verze Defender pro koncový bod.

Odhadovaný vyřazení ze srpna 2024

Obecná dostupnost: Detekce malwaru bez agentů v Defender pro servery Plan 2

30. května 2024

Defender for Cloud detekce malwaru bez agentů pro Azure virtuální počítače, instance AWS EC2 a instance virtuálních počítačů GCP jsou teď obecně dostupné jako nová funkce v Defender pro servery Plan 2.

Detekce malwaru bez agentů používá Microsoft Defender Antivirus antimalwarový modul ke kontrole a detekci škodlivých souborů. Zjištěné hrozby aktivují výstrahy zabezpečení přímo do Defender for Cloud a Defender XDR, kde je můžete prozkoumat a opravit. Přečtěte si další informace o vyhledávání malwaru bez agentů pro servery a vyhledávání virtuálních počítačů bez agentů.

Aktualizace: Konfigurace e-mailových oznámení pro cesty útoku

22. května 2024

Teď můžete nakonfigurovat e-mailová oznámení, když se zjistí cesta útoku se zadanou úrovní rizika nebo vyšší. Zjistěte, jak nakonfigurovat e-mailová oznámení.

Aktualizace: Rozšířené proaktivní vyhledávání v Microsoft Defender XDR zahrnuje výstrahy a incidenty Defender for Cloud

21. května 2024

Defender for Cloud výstrahy a incidenty jsou teď integrované s Microsoft Defender XDR a dají se k němu přistupovat na portálu Microsoft Defender. Tato integrace poskytuje širší kontext pro šetření, která zahrnují cloudové prostředky, zařízení a identity. Seznamte se s pokročilým vyhledáváním v integraci XDR.

Preview: Kontrola integrace IaC v Defender for Cloud

9. května 2024

Kontrola integrace zabezpečení DevOps v Defender for Cloud je teď ve verzi Preview. Tato integrace zlepšuje kvalitu i celkový počet kontrol infrastruktury jako kódu spuštěných rozhraním příkazového řádku MSDO při kontrole šablon IaC.

Ve verzi Preview musí být Checkov explicitně vyvolán prostřednictvím vstupního parametru "tools" pro rozhraní příkazového řádku MSDO.

Přečtěte si další informace o zabezpečení DevOps v Defender for Cloud a konfiguraci rozhraní příkazového řádku MSDO pro Azure DevOps a GitHub.

Obecná dostupnost: Správa oprávnění v Defender for Cloud

7. května 2024

správa Permissions je teď obecně dostupná v Defender for Cloud.

Preview: Správa stavu zabezpečení s více cloudy AI

6. května 2024

Správa stavu zabezpečení AI je dostupná ve verzi Preview v Defender for Cloud. Poskytuje možnosti správy stavu zabezpečení AI pro Azure a AWS, aby se zlepšilo zabezpečení kanálů a služeb AI.

Přečtěte si další informace o správě stavu zabezpečení AI.

Omezená verze Preview: Ochrana před hrozbami pro úlohy AI v Azure

6. května 2024

Ochrana před hrozbami pro úlohy AI v Defender for Cloud je dostupná v omezené verzi Preview. Tento plán vám pomůže monitorovat Azure aplikace s technologií OpenAI za běhu za účelem škodlivé aktivity, identifikace a nápravy rizik zabezpečení. Poskytuje kontextové přehledy o ochraně před hrozbami úloh AI a integraci s Responsible AI a Microsoft Threat Intelligence. Relevantní výstrahy zabezpečení jsou integrované do portálu Defender.

Přečtěte si další informace o ochraně před hrozbami pro úlohy AI.

Obecná dostupnost: Správa zásad zabezpečení

2. května 2024

Správa zásad zabezpečení napříč cloudy (Azure, AWS, GCP) je teď obecně dostupná. Díky tomu můžou týmy zabezpečení spravovat zásady zabezpečení konzistentním způsobem a s novými funkcemi.

Přečtěte si další informace o zásadách zabezpečení v Microsoft Defender for Cloud.

Preview: Defender pro opensourcové databáze dostupné v AWS

1. května 2024

Defender pro opensourcové databáze v AWS je nyní k dispozici ve verzi Preview. Přidává podporu pro různé typy instancí služby Amazon Relational Database Service (RDS).

Přečtěte si další informace o Defender pro opensourcové databáze a o tom, jak Defender pro opensourcové databáze v AWS.

Vyřazení: Odebrání FIM (s AMA)

1. května 2024

Odhadované datum změny: srpen 2024

V rámci vyřazení MMA a Defender pro aktualizovanou strategii nasazení serverů budou všechny Defender pro funkce zabezpečení serverů poskytovány prostřednictvím jednoho agenta (MDE) nebo prostřednictvím možností kontroly bez agentů a bez závislostí na mma nebo AMA.

Nová verze monitorování integrity souborů (FIM) přes Microsoft Defender for Endpoint (MDE) umožňuje splnit požadavky na dodržování předpisů monitorováním důležitých souborů a registrů v reálném čase, auditováním změn a detekcí podezřelých změn obsahu souborů.

V rámci této verze už nebude prostředí FIM přes AMA dostupné prostřednictvím portálu Defender for Cloud od srpna 2024. Další informace najdete v tématu Sledování integrity souborů – pokyny k změnám a migraci.

Podrobnosti o nové verzi rozhraní API najdete v tématu Microsoft Defender for Cloud rozhraní REST API.

Duben 2024

Date Category Update
16. dubna Nadcházející aktualizace Změna ID posouzení CIEM

Odhadovaná aktualizace: květen 2024.
15. dubna GA Defender pro kontejnery je nyní k dispozici pro AWS a GCP.
3. dubna Update Stanovení priorityrisk je nyní výchozím prostředím v Defender for Cloud
3. dubna Update Defender pro aktualizace opensourcových relačních databází.

Aktualizace: Změna ID posouzení CIEM

16. dubna 2024

Odhadované datum změny: květen 2024

V následujících doporučeních je naplánováno přemodelování, což bude mít za následek změny JEJICH ID posouzení:

  • Azure overprovisioned identities should have only the necessary permissions
  • AWS Overprovisioned identities should have only the necessary permissions
  • GCP overprovisioned identities should have only the necessary permissions
  • Super identities in your Azure environment should be removed
  • Unused identities in your Azure environment should be removed

Obecná dostupnost: Defender pro kontejnery pro AWS a GCP

15. dubna 2024

Detekce hrozeb za běhu a zjišťování bez agentů pro AWS a GCP v Defender pro kontejnery jsou nyní obecně dostupné. Kromě toho existuje nová funkce ověřování v AWS, která zjednodušuje zřizování.

Přečtěte si další informace o matici podpory kontejnerů v Defender for Cloud a o tom, jak konfigurovat Defender pro komponenty kontejnerů.

Aktualizace: Stanovení priority rizik

3. dubna 2024

Stanovení priorit rizik je nyní výchozím prostředím Defender for Cloud. Tato funkce vám pomůže zaměřit se na nejdůležitější problémy se zabezpečením ve vašem prostředí tím, že upřednostňuje doporučení na základě rizikových faktorů jednotlivých prostředků. Rizikové faktory zahrnují potenciální dopad narušení problému zabezpečení, kategorie rizika a cestu útoku, na kterou je problém se zabezpečením součástí. Přečtěte si další informace o stanovení priorit rizik.

Aktualizace: Defender pro relační databáze Open-Source

3. dubna 2024

  • Defender pro flexibilní servery PostgreSQL po aktualizacích ga – Tato aktualizace umožňuje zákazníkům vynutit ochranu stávajících flexibilních serverů PostgreSQL na úrovni předplatného, což umožňuje úplnou flexibilitu povolit ochranu pro jednotlivé prostředky nebo pro automatickou ochranu všech prostředků na úrovni předplatného.
  • Defender pro dostupnost flexibilních serverů MySQL a ga – Defender for Cloud rozšířili podporu Azure opensourcových relačních databází začleněním flexibilních serverů MySQL.

Součásti této vydané verze:

  • Kompatibilita výstrah se stávajícími výstrahami pro Defender pro jednoúčelové servery MySQL
  • Povolení jednotlivých prostředků
  • Povolení na úrovni předplatného
  • Aktualizace pro Azure Database for MySQL flexibilní servery se v příštích několika týdnech zpřístupní. Pokud se zobrazí chyba The server <servername> is not compatible with Advanced Threat Protection, můžete buď počkat na aktualizaci, nebo otevřít lístek podpory pro aktualizaci serveru dříve na podporovanou verzi.

Pokud už chráníte své předplatné pomocí Defender pro opensourcové relační databáze, budou flexibilní prostředky serveru automaticky povolené, chráněné a fakturované. Konkrétní oznámení o fakturaci se odeslala e-mailem pro ovlivněná předplatná.

Přečtěte si další informace o Microsoft Defender pro opensourcové relační databáze.

Březen 2024

Date Category Update
31. března GA skenování imagí kontejnerů Windows
Březen 25 Update Průběžný export teď obsahuje data o cestě útoku.
Březen 21 Preview Skenování agentů podporuje šifrované virtuální počítače CMK v Azure
Březen 17 Preview Usměrování doporučení na základě KQL pro Azure.
Březen 13 Update Kluze doporučení DevOps v srovnávacím testu zabezpečení cloudu Microsoft
Březen 13 GA Integrace ServiceNow
Březen 13 Preview Critical assets protection in Microsoft Defender for Cloud.
Březen 12 Update Vylepšená doporučení AWS a GCP s využitím automatizovaných skriptů pro nápravu
Březen 6 Preview Standardy dodržování předpisů přidané do řídicího panelu dodržování předpisů
Březen 6 Nadcházející aktualizace Defender pro aktualizace opensourcových relačních databází

Očekávané: duben 2024
3. března Nadcházející aktualizace Changes, kde máte přístup k nabídkám dodržování předpisů a akcím Microsoft

Očekává se: září 2025
3. března Deprecation Posouzení ohrožení zabezpečení kontejnerů Defender for Cloud založené na vyřazení qualys
3. března Nadcházející aktualizace Changes in where you access Compliance offerings and Microsoft Actions.

Odhadované vyřazení: 30. září 2025.

Obecná dostupnost: Windows prohledávání imagí kontejnerů

31. března 2024

Oznamujeme obecnou dostupnost (GA) podpory imagí kontejnerů Windows pro kontrolu Defender pro kontejnery.

Aktualizace: Průběžný export teď zahrnuje data o cestě útoku.

25. března 2024

Oznamujeme, že průběžný export teď obsahuje data o cestě útoku. Tato funkce umožňuje streamovat data zabezpečení do Log Analytics ve službě Azure Monitor, do Azure Event Hubs nebo do jiného řešení modelu nasazení SIEM (Security Information and Event Management), SOAR (Security Orchestraation Automated Response) nebo MODELU nasazení IT Classic.

Přečtěte si další informace o průběžném exportu.

Preview: Kontrola bez agentů podporuje šifrované virtuální počítače CMK v Azure

21. března 2024

Doteď kontrola bez agentů zahrnovala zašifrované virtuální počítače CMK v AWS a GCP. V této verzi také dokončujeme podporu pro Azure. Tato funkce využívá jedinečný přístup ke kontrole cmk v Azure:

  • Defender for Cloud nezpracovává proces klíče ani dešifrování. Klíče a dešifrování se bez problémů zpracovávají Azure Compute a jsou transparentní pro Defender for Cloud službu pro kontrolu bez agentů.
  • Nešifrovaná data disku virtuálního počítače se nikdy nekopírují ani znovu nešifrují pomocí jiného klíče.
  • Původní klíč se během procesu nereplikuje. Vymazáním vymažete data na produkčním virtuálním počítači i na dočasném snímku Defender for Cloud.

Během veřejné verze Preview tato funkce není povolená automaticky. Pokud používáte Defender pro servery P2 nebo Defender CSPM a vaše prostředí má virtuální počítače s šifrovanými disky CMK, můžete je teď nechat zkontrolovat ohrožení zabezpečení, tajné kódy a malware, a to podle těchto kroků .

Preview: Vlastní doporučení založená na KQL pro Azure

17. března 2024

Vlastní doporučení založená na KQL pro Azure jsou teď ve verzi Public Preview a podporují se pro všechny cloudy. Další informace najdete v tématu Vytváření vlastních standardů zabezpečení a doporučení.

Aktualizace: Zahrnutí doporučení DevOps do srovnávacího testu zabezpečení cloudu Microsoft

13. března 2024

Dnes oznamujeme, že teď můžete monitorovat stav zabezpečení a dodržování předpisů DevOps v Microsoft srovnávacím testu zabezpečení cloudu (MCSB) kromě Azure, AWS a GCP. Posouzení DevOps jsou součástí řízení zabezpečení DevOps v MCSB.

MCSB je architektura, která definuje základní principy zabezpečení cloudu na základě běžných oborových standardů a architektur dodržování předpisů. MCSB poskytuje podrobné podrobnosti o tom, jak implementovat doporučení týkající se zabezpečení nezávislé na cloudu.

Přečtěte si další informace o doporučeních DevOps, které budou zahrnuty, a srovnávacím testu Microsoft zabezpečení cloudu.

Obecná dostupnost: Všeobecná dostupnost integrace ServiceNow

12. března 2024

Oznamujeme obecnou dostupnost integrace ServiceNow.

Preview: Ochrana důležitých prostředků v Microsoft Defender for Cloud

12. března 2024

Defender for Cloud teď zahrnuje funkci obchodní důležitosti, která používá modul důležitých prostředků správy expozice zabezpečení od Microsoftu k identifikaci a ochraně důležitých prostředků prostřednictvím stanovení priorit rizik, analýzy cest útoku a průzkumníka zabezpečení cloudu. Další informace najdete v tématu Critical assets protection in Microsoft Defender for Cloud (Preview).

Aktualizace: Vylepšená doporučení AWS a GCP s využitím automatizovaných skriptů pro nápravu

12. března 2024

Doporučení AWS a GCP vylepšujeme pomocí automatizovaných skriptů pro nápravu, které vám umožní je opravit programově a ve velkém měřítku. Přečtěte si další informace o automatizovaných skriptech nápravy.

Preview: Standardy dodržování předpisů přidané do řídicího panelu dodržování předpisů

6. března 2024

Na základě zpětné vazby zákazníků jsme do Defender for Cloud přidali standardy dodržování předpisů ve verzi Preview.

Podívejte se na úplný seznam podporovaných standardů dodržování předpisů.

Neustále pracujeme na přidávání a aktualizaci nových standardů pro prostředí Azure, AWS a GCP.

Zjistěte, jak přiřadit standard zabezpečení.

Aktualizace: Defender pro aktualizace opensourcových relačních databází

6. března 2024**

Odhadované datum změny: duben 2024

Defender pro flexibilní servery PostgreSQL po aktualizacích ga – Tato aktualizace umožňuje zákazníkům vynutit ochranu stávajících flexibilních serverů PostgreSQL na úrovni předplatného, což umožňuje úplnou flexibilitu povolit ochranu pro jednotlivé prostředky nebo pro automatickou ochranu všech prostředků na úrovni předplatného.

Defender pro dostupnost flexibilních serverů MySQL a dostupnost ga – Defender for Cloud je nastavená na rozšíření podpory pro Azure opensourcových relačních databází začleněním flexibilních serverů MySQL. Tato verze bude zahrnovat:

  • Kompatibilita výstrah se stávajícími výstrahami pro Defender pro jednoúčelové servery MySQL
  • Povolení jednotlivých prostředků
  • Povolení na úrovni předplatného

Pokud už chráníte své předplatné pomocí Defender pro opensourcové relační databáze, budou flexibilní prostředky serveru automaticky povolené, chráněné a fakturované. Konkrétní oznámení o fakturaci se odeslala e-mailem pro ovlivněná předplatná.

Přečtěte si další informace o Microsoft Defender pro opensourcové relační databáze.

Aktualizace: Změny nabídek dodržování předpisů a nastavení akcí Microsoft

3. března 2024

Odhadované datum změny: 30. září 2025

30. září 2025 se změní umístění, ve kterých budete přistupovat ke dvěma funkcím Ve verzi Preview, nabídka dodržování předpisů a Microsoft Akce.

Tabulka, která uvádí stav dodržování předpisů produktů Microsoft (které jsou přístupné z nabídky na panelu nástrojů řídicího panelu Defender regulační dodržování předpisů). Po odebrání tohoto tlačítka z Defender for Cloud budete mít k informacím přístup pomocí portálu Service Trust Portal.

U podmnožina ovládacích prvků byla Microsoft Akce přístupné z tlačítka Microsoft Actions (Preview) v podokně podrobností ovládacích prvků. Po odebrání tohoto tlačítka můžete zobrazit akce Microsoft Microsoft tak, že přejdete na c0>Service Trust Portal pro FedRAMP a dostanete se k dokumentu plánu zabezpečení systému Azure.

Aktualizace: Změny, ve kterých přistupujete k nabídkám dodržování předpisů a akcím Microsoft

3. března 2024**

Odhadované datum změny: září 2025

30. září 2025 se změní umístění, ve kterých budete přistupovat ke dvěma funkcím Ve verzi Preview, nabídka dodržování předpisů a Microsoft Akce.

Tabulka, která uvádí stav dodržování předpisů produktů Microsoft (které jsou přístupné z nabídky na panelu nástrojů řídicího panelu Defender regulační dodržování předpisů). Po odebrání tohoto tlačítka z Defender for Cloud budete mít k informacím přístup pomocí portálu Service Trust Portal.

U podmnožina ovládacích prvků byla Microsoft Akce přístupné z tlačítka Microsoft Actions (Preview) v podokně podrobností ovládacích prvků. Po odebrání tohoto tlačítka můžete zobrazit akce Microsoft Microsoft tak, že přejdete na c0>Service Trust Portal pro FedRAMP a dostanete se k dokumentu plánu zabezpečení systému Azure.

Vyřazení: Posouzení ohrožení zabezpečení kontejnerů Defender for Cloud s využitím vyřazení Qualys

3. března 2024

Posouzení ohrožení zabezpečení kontejnerů Defender for Cloud využívající Qualys se vyřadí z důchodu. Vyřazení bude dokončeno do 6. března a až do té doby se částečné výsledky můžou stále zobrazovat v doporučeních Qualys a Qualys vede k grafu zabezpečení. Všechny zákazníky, kteří dříve používali toto posouzení, by měli upgradovat na posouzení Vulnerability pro Azure s Microsoft Defender Správa zranitelností. Informace o přechodu na nabídku posouzení ohrožení zabezpečení kontejneru využívající Microsoft Defender Správa zranitelností najdete v tématu Transition from Qualys to Microsoft Defender Správa zranitelností.

Únor 2024

Date Category Update
28. únor Deprecation zabezpečení od Microsoftu Code Analysis (MSCA) už není funkční.
28. únor Update Aktualizovaná správa zásad zabezpečení rozšiřuje podporu na AWS a GCP.
Únor 26 Update podpora Cloud pro Defender pro kontejnery
Únor 20 Update Nová verze senzoru Defender pro Defender pro kontejnery
Únor 18 Update Podpora specifikace formátu image Open Container Initiative (OCI)
13. února Deprecation Posouzení ohrožení zabezpečení kontejneru AWS založené na vyřazení trivy
5. února Nadcházející aktualizace Decommissioning of Microsoft. Poskytovatel prostředků SecurityDevOps

Očekávané: 6. března 2024

Vyřazení: zabezpečení od Microsoftu Code Analysis (MSCA) už není funkční

28. února 2024

V únoru 2021 bylo vyřazení úkolu MSCA oznámeno všem zákazníkům a od března 2022 byla ukončena podpora konce životnosti. Od 26. února 2024 už MSCA oficiálně nebude funkční.

Zákazníci můžou získat nejnovější nástroje zabezpečení DevOps od Defender for Cloud přes zabezpečení od Microsoftu DevOps a další nástroje zabezpečení prostřednictvím GitHub Advanced Security for Azure DevOps.

Aktualizace: Správa zásad zabezpečení rozšiřuje podporu na AWS a GCP.

28. února 2024

Aktualizované prostředí pro správu zásad zabezpečení, které bylo původně vydáno ve verzi Preview pro Azure, rozšiřuje podporu pro prostředí AWS (AWS a GCP). Tato verze Preview zahrnuje:

Aktualizace: Podpora cloudu pro Defender pro kontejnery

26. února 2024

Azure Kubernetes Service (AKS) funkce detekce hrozeb v Defender pro kontejnery jsou teď plně podporované v komerčních cloudech, Azure Government a Azure China 21Vianet. Projděte si podporované funkce.

Aktualizace: Nová verze senzoru Defender pro Defender pro kontejnery

20. února 2024

A novou verzi senzoru Defender pro Defender pro kontejnery je k dispozici. Zahrnuje vylepšení výkonu a zabezpečení, podporu archových uzlů AMD64 i Arm64 (jenom Linux) a používá Inspektor Gadget jako agenta kolekce procesů místo sysdigu. Nová verze se podporuje jenom v linuxových jádrech verze 5.4 a vyšší, takže pokud máte starší verze jádra Linuxu, musíte upgradovat. Podpora pro Arm64 je dostupná jenom od AKS verze 1.29 a vyšší. Další informace naleznete v tématu Podporované hostitelské operační systémy.

Aktualizace: Podpora specifikace formátu image Open Container Initiative (OCI)

18. února 2024

Specifikace formátu image Open Container Initiative (OCI) teď podporuje posouzení ohrožení zabezpečení s využitím Microsoft Defender Správa zranitelností pro AWS, Azure & Cloudy GCP.

Vyřazení: Posouzení ohrožení zabezpečení kontejneru AWS založené na vyřazení trivy

13. února 2024

Posouzení ohrožení zabezpečení kontejneru založené na trivy bylo vyřazeno. Všechny zákazníky, kteří dříve používali toto posouzení, by měli upgradovat na nové posouzení ohrožení zabezpečení kontejneru AWS s využitím Microsoft Defender Správa zranitelností. Pokyny k upgradu najdete v tématu Jak provést upgrade z vyřazeného posouzení ohrožení zabezpečení Trivy na posouzení ohrožení zabezpečení AWS s využitím Microsoft Defender Správa zranitelností?

Aktualizace: Vyřazení Microsoft z provozu Poskytovatel prostředků SecurityDevOps

5. února 2024

Odhadované datum změny: 6. března 2024

Microsoft Defender for Cloud vyřadí poskytovatele prostředků z provozu Microsoft.SecurityDevOps, který se používal během veřejné verze Preview zabezpečení DevOps a migroval na existujícího poskytovatele Microsoft.Security. Důvodem změny je zlepšení zákaznických prostředí snížením počtu poskytovatelů prostředků přidružených ke konektorům DevOps.

Zákazníci, kteří stále používají verzi rozhraní API 2022-09-01-preview v části Microsoft.SecurityDevOps k dotazování Defender for Cloud dat zabezpečení DevOps, budou ovlivněni. Aby se zabránilo přerušení služby, zákazník bude muset aktualizovat novou verzi rozhraní API 2023-09-01-preview pod poskytovatelem Microsoft.Security.

Zákazníci, kteří aktuálně používají Defender for Cloud zabezpečení DevOps z portálu Azure, nebudou ovlivněni.

Leden 2024

Date Category Update
Leden 31 Update Nový přehled pro aktivní úložiště v Průzkumníku zabezpečení cloudu
30. ledna Nadcházející aktualizace Změna cen pro detekci hrozeb pro kontejnery s více cloudy

Očekávané: duben 2024
29. ledna Nadcházející aktualizace Enforcement of Defender CSPM for Premium DevOps Security Capabilities.

Očekává se: březen 2024
24. ledna Preview stav kontejneru Agentless pro GCP v Defender pro kontejnery a Defender CSPM.
Ledna 16 Preview Vyhledávání malwaru bez agentů pro servery
15. ledna GA integrace Defender for Cloud s Microsoft Defender XDR.
14. ledna Update Update pro kontrolu předdefinované role Azure virtuálních počítačů bez agentů

Očekává se: březen 2024
12. ledna Update pro konektory Azure DevOps jsou teď povolené poznámky k žádostem o přijetí změn zabezpečení DevOps.
9. ledna Deprecation Defender pro předdefinované cesty posouzení ohrožení zabezpečení (Qualys).

Očekávané: květen 2024
3. ledna Nadcházející aktualizace Chystaná změna požadavků na síť Defender for Cloud s více cloudy.

Očekává se: květen 2024.

Aktualizace: Nový přehled pro aktivní úložiště v Průzkumníku zabezpečení cloudu

31. ledna 2024

Do Průzkumníka zabezpečení cloudu jsme přidali nový přehled o Azure DevOps úložištích, aby bylo možné určit, jestli jsou úložiště aktivní. Tento přehled označuje, že úložiště kódu není archivované nebo zakázané, což znamená, že pro uživatele je stále k dispozici přístup k zápisu k kódu, sestavením a žádostem o přijetí změn. Archivovaná a zakázaná úložiště můžou být považována za nižší prioritu, protože kód se obvykle nepoužívá v aktivních nasazeních.

K otestování dotazu v Průzkumníku zabezpečení cloudu použijte tento odkaz na dotaz.

Aktualizace: Změna cen pro detekci hrozeb kontejnerů s více cloudy

30. ledna 2024**

Odhadované datum změny: duben 2024

Když se detekce hrozeb kontejnerů s více cloudy přesune do ga, už se vám nebude nic účtovat. Další informace najdete v tématu Microsoft Defender for Cloud ceny.

Aktualizace: Vynucení Defender CSPM pro hodnotu zabezpečení Premium DevOps

29. ledna 2024**

Odhadované datum změny: 7. března 2024

Defender for Cloud začne vynucovat kontrolu plánu Defender CSPM na hodnotu zabezpečení DevOps na začátku March 7. 7. 2024. Pokud máte plán Defender CSPM povolený v cloudovém prostředí (Azure, AWS, GCP) ve stejném tenantovi, ve kterých jsou vaše konektory DevOps vytvořené, budete dál dostávat prémiové funkce DevOps bez dalších poplatků. Pokud nejste zákazníkem Defender CSPM, máte před ztrátou přístupu k těmto funkcím zabezpečení March 7. 7. 2024 povolit Defender CSPM. Pokud chcete povolit Defender CSPM v připojeném cloudovém prostředí před 7. březnem 2024, postupujte podle dokumentace k povolení popsané .

Další informace o tom, které funkce zabezpečení DevOps jsou k dispozici v rámci základních plánů CSPM i plánů Defender CSPM, najdete v dokumentaci pokudování dostupnosti funkcí.

Další informace o zabezpečení DevOps v Defender for Cloud najdete v dokumentaci k přehled.

Další informace o možnostech zabezpečení cloudu v Defender CSPM najdete v tématu jak chránit prostředky pomocí Defender CSPM.

Preview: Stav kontejneru bez agentů pro GCP v Defender pro kontejnery a Defender CSPM

24. ledna 2024

Nové funkce stavu kontejneru bez agentů (Preview) jsou k dispozici pro GCP, včetně posouzení Vulnerability pro GCP s Microsoft Defender Správa zranitelností. Další informace o všech možnostech najdete v tématu o stavu kontejneru Agentless v Defender CSPM a možnostech Agentless v Defender pro kontejnery.

V tomto blogovém příspěvku si také můžete přečíst informace o správě stavu kontejneru bez agentů pro multicloud.

Preview: Vyhledávání malwaru bez agentů pro servery

16. ledna 2024

Oznamujeme vydání detekce malwaru bez agentů Defender for Cloud pro virtuální počítače Azure, instance AWS EC2 a instance virtuálních počítačů GCP jako novou funkci, která je součástí Defender pro servery Plan 2.

Detekce malwaru bez agentů pro virtuální počítače je teď součástí naší platformy pro kontrolu bez agentů. Kontrola malwaru bez agentů využívá Microsoft Defender Antivirus antimalwarový modul ke kontrole a detekci škodlivých souborů. Všechny zjištěné hrozby aktivují výstrahy zabezpečení přímo do Defender for Cloud a Defender XDR, kde je můžete prozkoumat a opravit. Skener malwaru bez agentů doplňuje pokrytí na základě agentů druhou vrstvou detekce hrozeb bez tření a nemá žádný vliv na výkon vašeho počítače.

Přečtěte si další informace o vyhledávání malwaru bez agentů pro servery a vyhledávání virtuálních počítačů bez agentů.

Obecná dostupnost integrace Defender for Cloud s Microsoft Defender XDR

15. ledna 2024

Oznamujeme obecnou dostupnost integrace mezi Defender for Cloud a Microsoft Defender XDR (dříve Office 365 Defender).

Integrace přináší konkurenční možnosti ochrany cloudu do každodenního centra Security Operations Center (SOC). Díky Microsoft Defender for Cloud a integraci Defender XDR můžou týmy SOC zjišťovat útoky, které kombinují detekce z několika pilířů, včetně cloudu, koncového bodu, identity, Microsoft 365 a dalších.

Přečtěte si další informace o alertech a incidentech v Microsoft Defender XDR.

Aktualizace: Kontrola předdefinované role Azure virtuálních počítačů bez agentů

14. ledna 2024**

Odhadované datum změny: únor 2024

V Azure používá kontrola virtuálních počítačů bez agentů integrovanou roli (označovanou jako operátor skeneru VM) s minimálními potřebnými oprávněními potřebnými ke kontrole a posouzení problémů se zabezpečením virtuálních počítačů. Pokud chcete nepřetržitě poskytovat relevantní doporučení ke stavu kontroly a konfigurace pro virtuální počítače se šifrovanými svazky, plánuje se aktualizace oprávnění této role. Součástí aktualizace je přidání oprávnění Microsoft.Compute/DiskEncryptionSets/read. Toto oprávnění umožňuje pouze vylepšenou identifikaci šifrovaného využití disků ve virtuálních počítačích. Neposkytuje Defender for Cloud žádné další možnosti pro dešifrování nebo přístup k obsahu těchto šifrovaných svazků nad rámec metod šifrování podporovaných před touto změnou. Očekává se, že tato změna proběhne v únoru 2024 a na konci se nevyžaduje žádná akce.

Aktualizace: Poznámky k žádosti o přijetí změn zabezpečení DevOps jsou ve výchozím nastavení povolené pro konektory Azure DevOps

12. ledna 2024

Zabezpečení DevOps zveřejňuje závěry zabezpečení jako poznámky v žádostech o přijetí změn, které vývojářům pomůžou zabránit a opravit potenciální ohrožení zabezpečení a chybné konfigurace před vstupem do produkčního prostředí. Od 12. ledna 2024 jsou teď poznámky k žádostem o přijetí změn ve výchozím nastavení povolené pro všechna nová a existující úložiště Azure DevOps, která jsou připojená k Defender for Cloud.

Ve výchozím nastavení jsou poznámky k žádosti o přijetí změn povolené pouze pro zjištění infrastruktury s vysokou závažností jako kódu (IaC). Zákazníci budou muset nakonfigurovat zabezpečení od Microsoftu pro DevOps (MSDO) tak, aby běžely v buildech PR, a povolit zásady ověřování sestavení pro sestavení CI v nastavení Azure DevOps úložiště. Zákazníci můžou zakázat funkci poznámky k žádosti o přijetí změn pro konkrétní úložiště v možnostech konfigurace úložiště podokna zabezpečení DevOps.

Přečtěte si další informace o nablování poznámek žádostí o přijetí změn pro Azure DevOps.

Vyřazení: Defender pro předdefinovaný postup posouzení ohrožení zabezpečení (Qualys) serverů

9. ledna 2024**

Odhadované datum změny: květen 2024

Defender pro integrované řešení posouzení ohrožení zabezpečení serverů využívající technologii Qualys je na cestě vyřazení, která se odhaduje na dokončení May 1st, 2024. Pokud aktuálně používáte řešení posouzení ohrožení zabezpečení využívající qualys, měli byste naplánovat přenos do integrovaného řešení pro správu ohrožení zabezpečení Microsoft Defender.

Další informace o našem rozhodnutí o sjednocení nabídky posouzení ohrožení zabezpečení s Microsoft Defender Správa zranitelností najdete v blogovém příspěvku.

Můžete se také podívat na příkazové otázky týkající se přechodu na řešení Microsoft Defender Správa zranitelností.

Aktualizace: požadavky na síť s více cloudy Defender for Cloud

3. ledna 2024**

Odhadované datum změny: květen 2024

Od května 2024 vyřazujeme staré IP adresy spojené s našimi službami zjišťování s více cloudy, abychom vyhověli vylepšením a zajistili bezpečnější a efektivnější prostředí pro všechny uživatele.

Pokud chcete zajistit nepřerušovaný přístup k našim službám, měli byste aktualizovat seznam povolených IP adres o nové rozsahy uvedené v následujících částech. Měli byste provést potřebné úpravy v nastavení brány firewall, skupinách zabezpečení nebo jakýchkoli jiných konfiguracích, které by mohly platit pro vaše prostředí.

Seznam se vztahuje na všechny plány a stačí k plné schopnosti základní nabídky CSPM (zdarma).

IP adresy, které se mají vyřadit:

  • GCP zjišťování: 104.208.29.200, 52.232.56.127
  • Zjišťování AWS: 52.165.47.219, 20.107.8.204
  • Onboarding: 13.67.139.3

Nové rozsahy IP adres pro konkrétní oblast, které se mají přidat:

  • Západní Evropa: 52.178.17.48/28
  • Severní Evropa: 13.69.233.80/28
  • USA – střed: 20.44.10.240/28
  • USA – východ 2: 20.44.19.128/28

Prosinec 2023

Date Update
Prosince 30 Konsolidace názvů úrovně služeb Defender for Cloud úrovně 2
24. prosince Defender pro servery na úrovni prostředků dostupné jako GA
Prosince 21 Vyřazení klasických konektorů pro multicloud
Prosince 21 Vydání sešitu Pokrytí
Prosince 14 General availability of Containers Vulnerability Assessment powered by Microsoft Defender Správa zranitelností in Azure Government and Azure provozovaný společností 21Vianet
Prosince 14 Public Preview podpory Windows posouzení ohrožení zabezpečení kontejnerů s využitím Microsoft Defender Správa zranitelností
Prosinec 13 Vyřazení posouzení ohrožení zabezpečení kontejnerů AWS s využitím trivy
Prosinec 13 stav kontejneru Agentless pro AWS v Defender pro kontejnery a Defender CSPM (Preview)
Prosinec 13 Generální dostupnost (GA) pro flexibilní server PostgreSQL v Defender pro plán opensourcových relačních databází
Prosince 12 Hodnocení ohrožení zabezpečeníContainer využívající Microsoft Defender Správa zranitelností teď podporuje Google Distroless

Konsolidace názvů úrovně služeb Defender for Cloud 2

30. prosince 2023

Slučujeme starší názvy úrovně služby 2 pro všechny plány Defender for Cloud do jednoho nového názvu úrovně služby Microsoft Defender for Cloud.

Dnes existují čtyři názvy úrovně služeb: Azure Defender, Advanced Threat Protection, Advanced Data Security a Security Center. Různé měřiče pro Microsoft Defender for Cloud jsou seskupené mezi tyto samostatné názvy úrovně služeb, vytváření složitostí při používání služby Cost Management + Billing, fakturace a dalších nástrojů souvisejících s fakturací Azure.

Tato změna zjednodušuje proces kontroly poplatků Defender for Cloud a poskytuje lepší přehlednost analýzy nákladů.

Abychom zajistili hladký přechod, provedli jsme opatření, abychom zachovali konzistenci názvu produktu/služby, skladové položky a ID měřičů. Ovlivnění zákazníci obdrží informační Azure oznámení služby ke sdělení změn.

Organizace, které načítají data nákladů voláním našich rozhraní API, budou muset aktualizovat hodnoty ve svých voláních tak, aby vyhovovaly změně. Například v této funkci filtru nebudou hodnoty vracet žádné informace:

"filter": {
          "dimensions": {
              "name": "MeterCategory",
              "operator": "In",
              "values": [
                  "Advanced Threat Protection",
                  "Advanced Data Security",
                  "Azure Defender",
                  "Security Center"
                ]
          }
      }
NÁZEV STARÉ ÚROVNĚ SLUŽBY 2 NÁZEV NOVÉ úrovně služby 2 Úroveň služby – úroveň služby 4 (beze změny)
Advanced Data Security Microsoft Defender for Cloud Defender pro SQL
Advanced Threat Protection Microsoft Defender for Cloud Defender pro registry kontejnerů
Advanced Threat Protection Microsoft Defender for Cloud Defender pro DNS
Advanced Threat Protection Microsoft Defender for Cloud Defender pro Key Vault
Advanced Threat Protection Microsoft Defender for Cloud Defender pro Kubernetes
Advanced Threat Protection Microsoft Defender for Cloud Defender for MySQL
Advanced Threat Protection Microsoft Defender for Cloud Defender for PostgreSQL
Advanced Threat Protection Microsoft Defender for Cloud Defender pro Resource Manager
Advanced Threat Protection Microsoft Defender for Cloud Defender pro úložiště
Azure Defender Microsoft Defender for Cloud Defender pro správu externích útoků Surface
Azure Defender Microsoft Defender for Cloud Defender for Azure Cosmos DB
Azure Defender Microsoft Defender for Cloud Defender pro kontejnery
Azure Defender Microsoft Defender for Cloud Defender pro MariaDB
Security Center Microsoft Defender for Cloud Defender pro App Service
Security Center Microsoft Defender for Cloud Defender pro servery
Security Center Microsoft Defender for Cloud Ochránce CSPM

Defender pro servery na úrovni prostředků, která je k dispozici jako obecná dostupnost

24. prosince 2023

Teď je možné spravovat Defender pro servery na konkrétních prostředcích v rámci vašeho předplatného, abyste měli plnou kontrolu nad strategií ochrany. Pomocí této funkce můžete nakonfigurovat konkrétní prostředky s vlastními konfiguracemi, které se liší od nastavení nakonfigurovaného na úrovni předplatného.

Přečtěte si další informace o nablování Defender pro servery na úrovni prostředků.

Vyřazení klasických konektorů pro multicloud

21. prosince 2023

Klasické prostředí multicloudového konektoru je vyřazené a data se už nebudou streamovat do konektorů vytvořených prostřednictvím daného mechanismu. Tyto klasické konektory se použily k připojení AWS Security Hubu a GCP Security Command Center k Defender for Cloud a připojení AWS EC2 k Defender pro servery.

Úplná hodnota těchto konektorů byla nahrazena nativním prostředím pro vícecloudové bezpečnostní konektory, které byly obecně dostupné pro AWS a GCP od března 2022 bez dalších poplatků.

Nové nativní konektory jsou součástí vašeho plánu a nabízejí automatizované prostředí pro onboarding s možnostmi onboardingu jednotlivých účtů, více účtů (s Terraformem) a onboardingu organizace s automatickým zřizováním pro následující plány Defender: bezplatné základní funkce CSPM, Defender správa stavu cloudového zabezpečení (CSPM), Defender pro servery, Defender pro SQL a Defender pro kontejnery.

Vydání sešitu Pokrytí

21. prosince 2023

Sešit Pokrytí umožňuje sledovat, které Defender for Cloud plány jsou aktivní na kterých částech prostředí. Tento sešit vám pomůže zajistit, aby vaše prostředí a předplatná byly plně chráněné. Když budete mít přístup k podrobným informacím o pokrytí, můžete také identifikovat všechny oblasti, které by mohly potřebovat jinou ochranu, a podniknout kroky k řešení těchto oblastí.

Přečtěte si další informace o sešitu Pokrytí.

Obecná dostupnost posouzení ohrožení zabezpečení kontejnerů využívajícího Microsoft Defender Správa zranitelností v Azure Government a Azure provozované společností 21Vianet

14. prosince 2023

Posouzení ohrožení zabezpečení (VA) pro image kontejnerů Linuxu v Azure registrech kontejnerů využívajících Microsoft Defender Správa zranitelností se vydává pro všeobecnou dostupnost (GA) v Azure Government a Azure provozované společností 21Vianet. Tato nová verze je dostupná v rámci Defender pro kontejnery a Defender pro plány Registrů kontejnerů.

  • V rámci této změny byly vydána nová doporučení pro ga a zahrnutá do výpočtu skóre zabezpečení. Kontrola nových a aktualizovaných doporučení zabezpečení
  • Kontrola imagí kontejnerů s využitím Microsoft Defender Správa zranitelností teď také účtuje poplatky podle cen plánu plán. Obrázky naskenované naší nabídkou VA kontejnerů využívající technologii Qualys a Container VA využívající Microsoft Defender Správa zranitelností se budou účtovat jenom jednou.

Doporučení Qualys pro posouzení ohrožení zabezpečení kontejnerů se přejmenovala a nadále je dostupná pro zákazníky, kteří povolili Defender pro kontejnery ve všech svých předplatných před touto verzí. Noví zákazníci, kteří po této verzi nasadí Defender pro kontejnery, uvidí pouze nová doporučení pro posouzení ohrožení zabezpečení kontejnerů, která využívají Microsoft Defender Správa zranitelností.

Public Preview podpory Windows posouzení ohrožení zabezpečení kontejnerů s využitím Microsoft Defender Správa zranitelností

14. prosince 2023

Podpora imagí Windows byla vydána ve verzi Public Preview jako součást posouzení ohrožení zabezpečení (VA) s podporou Microsoft Defender Správa zranitelností pro Azure registry kontejnerů a Azure Kubernetes Services.

Vyřazení posouzení ohrožení zabezpečení kontejnerů AWS s využitím trivy

13. prosince 2023

Posouzení ohrožení zabezpečení kontejneru využívající trivy je teď na cestě vyřazení, která se má dokončit do 13. února. Tato funkce je teď zastaralá a bude nadále dostupná stávajícím zákazníkům, kteří tuto funkci používají, až do 13. února. Doporučujeme zákazníkům, kteří tuto možnost používají k upgradu na nové posouzení ohrožení zabezpečení kontejnerů AWS, které využívá Microsoft Defender Správa zranitelností do 13. února.

Stav kontejneru bez agentů pro AWS v Defender pro kontejnery a Defender CSPM (Preview)

13. prosince 2023

Nové funkce stavu kontejneru bez agentů (Preview) jsou k dispozici pro AWS. Další informace najdete v tématu o stavu kontejneru Agentless v Defender CSPM a možnostech Agentless v Defender pro kontejnery.

Obecná podpora dostupnosti flexibilního serveru PostgreSQL v Defender pro plán opensourcových relačních databází

13. prosince 2023

Oznamujeme obecně dostupnou verzi podpory flexibilního serveru PostgreSQL v plánu Microsoft Defender pro opensourcové relační databáze. Microsoft Defender pro opensourcové relační databáze poskytuje rozšířenou ochranu před hrozbami flexibilním serverům PostgreSQL tím, že detekuje neobvyklé aktivity a generuje výstrahy zabezpečení security.

Zjistěte, jak Enable Microsoft Defender pro opensourcové relační databáze.

Posouzení ohrožení zabezpečení kontejnerů využívající Microsoft Defender Správa zranitelností teď podporuje Google Distroless

12. prosince 2023

Posouzení ohrožení zabezpečení kontejnerů založená na Microsoft Defender Správa zranitelností byla rozšířena o větší pokrytí balíčků operačního systému Linux, které teď podporují Google Distroless.

Seznam všech podporovaných operačních systémů najdete v tématu Registries a podpora imagí pro Azure – Posouzení ohrožení zabezpečení využívající Microsoft Defender Správa zranitelností.

Listopad 2023

Date Update
30. listopadu Čtyři upozornění jsou zastaralá.
Listopad 27 General availability of agentless secrets scan in Defender for Servers and Defender CSPM
Listopad 22 Správa oprávnění s Defender for Cloud (Preview)
Listopad 22 integrace Defender for Cloud s ServiceNow
Listopad 20 Obecná dostupnost procesu automatického zřizování pro SQL Servery na počítačích
Listopad 15 Generální dostupnost Defender pro rozhraní API
Listopad 15 Defender for Cloud je teď integrovaná s Microsoft 365 Defender (Preview)
Listopad 15 General availability of Containers Vulnerability Assessment powered by Microsoft Defender Správa zranitelností (MDVM) in Defender for Containers and Defender for Container Registry
Listopad 15 Změna názvů doporučení posouzení ohrožení zabezpečení kontejneru
Listopad 15 Pro doporučení je teď k dispozici stanovení priorit rizik.
Listopad 15 Analýza cesty útoku – nový modul a rozsáhlá vylepšení
Listopad 15 Changes to Attack Path Azure Resource Graph table scheme
Listopad 15 General Availability release of GCP support in Defender CSPM
Listopad 15 Obecná dostupnost řídicího panelu zabezpečení dat
Listopad 15 Obecná dostupnost zjišťování citlivých dat pro databáze
6. listopadu Nová verze doporučení pro vyhledání chybějících aktualizací systému je teď obecně dostupná.

Čtyři upozornění jsou zastaralá.

30. listopadu 2023

V rámci našeho procesu zlepšování kvality jsou následující výstrahy zabezpečení zastaralé:

  • Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)
  • Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)
  • Suspicious process termination burst (VM_TaskkillBurst)
  • PsExec execution detected (VM_RunByPsExec)

Obecná dostupnost kontroly tajných kódů bez agentů v Defender pro servery a Defender CSPM

27. listopadu 2023

Kontrola tajných kódů bez agentů vylepšuje cloudovou Virtual Machines zabezpečení tím, že identifikuje tajné kódy prostého textu na discích virtuálních počítačů. Kontrola tajných kódů bez agentů poskytuje komplexní informace, které pomáhají určit prioritu zjištěných zjištění a zmírnit rizika laterálního pohybu před jejich výskytem. Tento proaktivní přístup brání neoprávněnému přístupu a zajišťuje, aby vaše cloudové prostředí zůstalo zabezpečené.

Oznamujeme obecnou dostupnost kontroly tajných kódů bez agentů, která je součástí Defender pro servery P2 a plány Defender CSPM.

Kontrola tajných kódů bez agentů využívá cloudová rozhraní API k zachycení snímků disků a provádění vzdálené analýzy, která zajišťuje, že výkon virtuálního počítače nebude mít žádný vliv. Kontrola tajných kódů bez agentů rozšiřuje pokrytí nabízené Defender for Cloud prostřednictvím cloudových prostředků napříč prostředími Azure, AWS a GCP, aby se zlepšilo zabezpečení cloudu.

V této verzi teď funkce detekce Defender for Cloud podporují další typy databází, podepsané adresy URL úložiště dat, přístupové tokeny a další.

Zjistěte, jak spravovat tajné kódy pomocí kontroly tajných kódů bez agentů.

Povolení správy oprávnění pomocí Defender for Cloud (Preview)

22. listopadu 2023

Microsoft teď nabízí řešení Cloud-Native Application Protection Platforms (CNAPP) i ciEM (Cloud Infrastructure Entitlement Management) s Microsoft Defender for Cloud (CNAPP) a správu oprávnění Microsoft Entra (CIEM).

Správci zabezpečení můžou v rámci Defender for Cloud získat centralizované zobrazení nepoužívaných nebo nadměrných přístupových oprávnění.

Týmy zabezpečení můžou řídit řízení přístupu s nejnižšími oprávněními pro cloudové prostředky a přijímat užitečná doporučení pro řešení rizik oprávnění v cloudových prostředích Azure, AWS a GCP v rámci jejich Defender správy stavu zabezpečení cloudu (CSPM) bez jakýchkoli dalších licenčních požadavků.

Zjistěte, jak V Microsoft Defender for Cloud (Preview).

integrace Defender for Cloud s ServiceNow

22. listopadu 2023

ServiceNow je teď integrovaný s Microsoft Defender for Cloud, což zákazníkům umožňuje připojit ServiceNow ke svému Defender for Cloud prostředí, aby upřednostňovali nápravu doporučení, která ovlivňují vaši firmu. Microsoft Defender for Cloud se integruje s modulem ITSM (správa incidentů). V rámci tohoto připojení můžou zákazníci vytvářet a zobrazovat lístky ServiceNow (propojené s doporučeními) z Microsoft Defender for Cloud.

Další informace o integraci Defender for Cloud s ServiceNow.

Obecná dostupnost procesu automatického zřizování pro SQL Servery v plánu počítačů

20. listopadu 2023

V rámci přípravy na vyřazení agenta monitorování Microsoft (MMA) v srpnu 2024 Defender for Cloud vydal proces automatického zřizování SQL Server cílených Azure agentů monitorování (AMA). Nový proces je automaticky povolený a nakonfigurovaný pro všechny nové zákazníky a také umožňuje povolit úroveň prostředků pro virtuální počítače Azure SQL a SQL Servery s podporou arc.

Zákazníci, kteří používají proces automatického zřizování MMA, jsou požádáni o migrovat do nového agenta monitorování Azure pro SQL server na počítačích s automatickým zřizováním. Proces migrace je bezproblémový a zajišťuje nepřetržitou ochranu pro všechny počítače.

Obecná dostupnost Defender pro rozhraní API

15. listopadu 2023

Oznamujeme obecnou dostupnost (GA) Microsoft Defender pro rozhraní API. Defender pro rozhraní API je navržená tak, aby chránila organizace před bezpečnostními hrozbami rozhraní API.

Defender pro rozhraní API umožňuje organizacím chránit svá rozhraní API a data před škodlivými aktéry. Organizace můžou vyšetřovat a zlepšovat stav zabezpečení rozhraní API, určovat priority oprav ohrožení zabezpečení a rychle zjišťovat aktivní hrozby v reálném čase a reagovat na ně. Organizace můžou také integrovat výstrahy zabezpečení přímo do platformy siEM (Security Incident and Event Management), například Microsoft Sentinel, a prozkoumat a určit prioritu problémů.

Dozvíte se, jak Nastavení ochrany rozhraní API pomocí Defender pro rozhraní API. Další informace o About Microsoft Defender pro rozhraní API.

Můžete si také přečíst tento blog , kde najdete další informace o oznámení ga.

Defender for Cloud je teď integrovaná s Microsoft 365 Defender (Preview)

15. listopadu 2023

Firmy můžou chránit své cloudové prostředky a zařízení pomocí nové integrace mezi Microsoft Defender for Cloud a Microsoft Defender XDR. Tato integrace spojuje tečky mezi cloudovými prostředky, zařízeními a identitami, které dříve vyžadovaly více prostředí.

Integrace také přináší možnosti konkurenční ochrany cloudu do každodenního centra Security Operations Center (SOC). Díky Microsoft Defender XDR můžou týmy SOC snadno zjišťovat útoky, které kombinují detekce z několika pilířů, včetně cloudu, koncového bodu, identity, Microsoft 365 a dalších.

Mezi klíčové výhody patří:

  • Souhledné rozhraní pro týmy SOC: Díky upozorněním Defender for Cloud a cloudovým korelacím integrovaným do M365D můžou týmy SOC nyní přistupovat ke všem informacím o zabezpečení z jednoho rozhraní, což výrazně zlepšuje provozní efektivitu.

  • Jeden scénář útoku: Zákazníci můžou porozumět kompletnímu scénáři útoku, včetně jejich cloudového prostředí, pomocí předem připravených korelací, které kombinují výstrahy zabezpečení z více zdrojů.

  • Nové cloudové entity v Microsoft Defender XDR: Microsoft Defender XDR teď podporuje nové cloudové entity, které jsou jedinečné pro Microsoft Defender for Cloud, jako jsou cloudové prostředky. Zákazníci můžou spárovat entity virtuálních počítačů s entitami zařízení a poskytovat jednotné zobrazení všech relevantních informací o počítači, včetně výstrah a incidentů, které se na něm aktivovaly.

  • Unified API for zabezpečení od Microsoftu products: Zákazníci teď můžou exportovat data výstrah zabezpečení do svých systémů podle výběru pomocí jednoho rozhraní API, protože Microsoft Defender for Cloud výstrahy a incidenty jsou teď součástí veřejného rozhraní API Microsoft Defender XDR.

Integrace mezi Defender for Cloud a Microsoft Defender XDR je dostupná všem novým a stávajícím zákazníkům Defender for Cloud.

Obecná dostupnost posouzení ohrožení zabezpečení kontejnerů s využitím Microsoft Defender Správa zranitelností (MDVM) v Defender pro kontejnery a Defender pro registry kontejnerů

15. listopadu 2023

Posouzení ohrožení zabezpečení (VA) pro image kontejnerů Linuxu v Azure registrech kontejnerů využívajících Microsoft Defender Správa zranitelností (MDVM) se vydává pro všeobecnou dostupnost (GA) v Defender pro kontejnery a Defender pro registry kontejnerů.

V rámci této změny byly vydána následující doporučení pro obecně dostupnou verzi a přejmenována a nyní jsou zahrnuta do výpočtu skóre zabezpečení:

Aktuální název doporučení Nový název doporučení Description Klíč posouzení
Bitové kopie služby Container Registry by měly mít vyřešené závěry ohrožení zabezpečení (s využitím Microsoft Defender Správa zranitelností) Azure image kontejneru registru by měly mít vyřešené chyby zabezpečení (s využitím Microsoft Defender Správa zranitelností). Posouzeníohroženích Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení a zajistit bezpečné použití imagí před nasazením. c0b7cfc6-3172-465a-b378-53c7ff2cc0d5
Spuštěné image kontejnerů by měly mít vyřešené závěry ohrožení zabezpečení (s využitím Microsoft Defender Správa zranitelností) Azure spuštění imagí kontejnerů by měly být vyřešené chyby zabezpečení (založené na Microsoft Defender Správa zranitelností Posouzení ohrožení zabezpečení image kontejneru kontroluje běžně známá ohrožení zabezpečení (CVE) ve vašem registru a poskytuje podrobnou zprávu o ohrožení zabezpečení pro každou image. Toto doporučení poskytuje přehled o ohrožených imagích, které jsou aktuálně spuštěné v clusterech Kubernetes. Náprava ohrožení zabezpečení v imagích kontejnerů, které jsou aktuálně spuštěné, je klíčem ke zlepšení stavu zabezpečení, což výrazně snižuje prostor pro útoky pro kontejnerizované úlohy. c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

Při prohledávání imagí kontejnerů využívajících MDVM se teď účtují poplatky za ceny podle plánu.

Note

Obrázky naskenované naší nabídkou VA kontejnerů využívající technologii Qualys a Container VA s využitím MDVM se budou účtovat jenom jednou.

Níže uvedená doporučení Qualys pro posouzení ohrožení zabezpečení kontejnerů se přejmenovala a budou nadále dostupná pro zákazníky, kteří povolili Defender pro kontejnery ve všech svých předplatných před 15. listopadu. Noví zákazníci připojování Defender pro kontejnery po 15. listopadu uvidí pouze nová doporučení pro posouzení ohrožení zabezpečení kontejnerů, která využívají Microsoft Defender Správa zranitelností.

Aktuální název doporučení Nový název doporučení Description Klíč posouzení
Bitové kopie registru kontejnerů by měly mít vyřešené zjištění ohrožení zabezpečení (využívá technologii Qualys). Azure image kontejneru registru by měly mít vyřešené chyby zabezpečení (využívající Qualys). Posouzení ohrožení zabezpečení image kontejneru kontroluje ohrožení zabezpečení vašeho registru a zveřejňuje podrobná zjištění pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení kontejnerů a chránit je před útoky. dbd0cb49-b563-45e7-9724-889e799fa648
Spuštěné image kontejnerů by měly mít vyřešené zjištění ohrožení zabezpečení (využívá technologii Qualys). Azure spuštění imagí kontejnerů by měly mít vyřešené chyby zabezpečení – (využívá technologii Qualys). Posouzení ohrožení zabezpečení imagí kontejneru kontroluje image kontejnerů spuštěné v clusterech Kubernetes kvůli ohrožením zabezpečení a zveřejňuje podrobná zjištění pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení kontejnerů a chránit je před útoky. 41503391-efa5-47ee-9282-4eff6131462c

Změna názvů doporučení posouzení ohrožení zabezpečení kontejneru

Byla přejmenována následující doporučení posouzení ohrožení zabezpečení kontejneru:

Aktuální název doporučení Nový název doporučení Description Klíč posouzení
Bitové kopie registru kontejnerů by měly mít vyřešené zjištění ohrožení zabezpečení (využívá technologii Qualys). Azure image kontejneru registru by měly mít vyřešené chyby zabezpečení (využívající Qualys). Posouzení ohrožení zabezpečení image kontejneru kontroluje ohrožení zabezpečení vašeho registru a zveřejňuje podrobná zjištění pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení kontejnerů a chránit je před útoky. dbd0cb49-b563-45e7-9724-889e799fa648
Spuštěné image kontejnerů by měly mít vyřešené zjištění ohrožení zabezpečení (využívá technologii Qualys). Azure spuštění imagí kontejnerů by měly mít vyřešené chyby zabezpečení – (využívá technologii Qualys). Posouzení ohrožení zabezpečení imagí kontejneru kontroluje image kontejnerů spuštěné v clusterech Kubernetes kvůli ohrožením zabezpečení a zveřejňuje podrobná zjištění pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení kontejnerů a chránit je před útoky. 41503391-efa5-47ee-9282-4eff6131462c
Vyřešené bitové kopie registru elastického kontejneru by měly mít zjištěná ohrožení zabezpečení Image kontejnerů registru AWS by měly mít vyřešené chyby zabezpečení ( s využitím trivy) Posouzení ohrožení zabezpečení image kontejneru kontroluje ohrožení zabezpečení vašeho registru a zveřejňuje podrobná zjištění pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení kontejnerů a chránit je před útoky. 03587042-5d4b-44ff-af42-ae99e3c71c87

Pro doporučení je teď k dispozici stanovení priorit rizik.

15. listopadu 2023

Doporučení zabezpečení teď můžete určit prioritu podle úrovně rizika, kterou představují, a vzít v úvahu jak zneužití, tak potenciální obchodní účinek jednotlivých základních problémů zabezpečení.

Uspořádáním doporučení na základě jejich úrovně rizika (kritická, vysoká, střední, nízká), můžete řešit nejdůležitější rizika ve vašem prostředí a efektivně určit prioritu nápravy problémů se zabezpečením na základě skutečného rizika, jako je ohrožení internetu, citlivost dat, možnosti laterálního pohybu a potenciální cesty útoku, které by bylo možné zmírnit řešením doporučení.

Přečtěte si další informace o stanovení priorit rizik.

Analýza cesty útoku – nový modul a rozsáhlá vylepšení

15. listopadu 2023

Vydáváme vylepšení možností analýzy cest útoku v Defender for Cloud.

  • Nový modul – analýza cesty útoku má nový modul, který používá algoritmus hledání cest k detekci všech možných cest útoku, které existují ve vašem cloudovém prostředí (na základě dat, která máme v grafu). Ve vašem prostředí můžeme najít mnoho dalších cest útoku a zjistit složitější a sofistikovanější způsoby útoku, které útočníci můžou použít k narušení vaší organizace.

  • Vylepšení – Vydána jsou následující vylepšení:

    • Stanovení priority rizika – seznam tras útoku podle priority na základě rizika (zneužití a obchodní vliv).
    • Vylepšená náprava – určení konkrétních doporučení, která by se měla vyřešit, aby skutečně přerušila řetěz.
    • Cesty útoku mezi cloudy – detekce cest útoku, které jsou mezi cloudy (cesty, které začínají v jednom cloudu a končí v jiném).
    • MITRE – Mapování všech cest útoku na architekturu MITRE.
    • Aktualizované uživatelské prostředí – aktualizované prostředí se silnějšími možnostmi: pokročilé filtry, vyhledávání a seskupení cest útoku, které umožňují snadnější třídění.

Zjistěte , jak identifikovat a opravit cesty útoku.

Změny schématu tabulky Azure Resource Graph cesty útoku

15. listopadu 2023

Schéma tabulky Azure Resource Graph cesty útoku se aktualizuje. Vlastnost attackPathType se odebere a přidají se další vlastnosti.

Obecná dostupnost podpory GCP v Defender CSPM

15. listopadu 2023

Oznamujeme vydání obecně dostupné verze Defender CSPM kontextového grafu cloudového zabezpečení a analýzy cest útoku s podporou prostředků GCP. Výkon Defender CSPM můžete využít k komplexní viditelnosti a inteligentnímu zabezpečení cloudu napříč prostředky GCP.

Mezi klíčové funkce podpory GCP patří:

  • Analýza cesty útoku – Vysvětlení potenciálních tras, které by útočníci mohli provést.
  • Průzkumník zabezpečení cloudu – Proaktivně identifikujte rizika zabezpečení spuštěním dotazů založených na grafech v grafu zabezpečení.
  • Kontrola bez agentů – Prohledejte servery a identifikujte tajné kódy a ohrožení zabezpečení bez instalace agenta.
  • Stav zabezpečení pracující s daty – Zjišťování a náprava rizik pro citlivá data v kontejnerech Google Cloud Storage

Přečtěte si další informace o možnostech plánu Defender CSPM.

Note

1. února 2024 začne fakturace podpory GCP ve verzi ga v Defender CSPM.

Obecná dostupnost řídicího panelu zabezpečení dat

15. listopadu 2023

Řídicí panel zabezpečení dat je nyní k dispozici v obecné dostupnosti (GA) v rámci plánu Defender CSPM.

Řídicí panel zabezpečení dat umožňuje zobrazit data vaší organizace, rizika pro citlivá data a přehledy o vašich datových prostředcích.

Přečtěte si další informace o řídicím panelu zabezpečení dat.

Obecná dostupnost zjišťování citlivých dat pro databáze

15. listopadu 2023

Zjišťování citlivých dat pro spravované databáze, včetně Azure SQL databází a instancí AWS RDS (všech příchutí RDBMS), je nyní obecně dostupné a umožňuje automatické zjišťování důležitých databází, které obsahují citlivá data.

Pokud chcete tuto funkci povolit ve všech podporovaných úložištích dat ve vašich prostředích, musíte v Defender CSPM povolit Sensitive data discovery. Přečtěte si pokud povolit zjišťování citlivých dat v Defender CSPM.

Můžete se také dozvědět, jak se zjišťování citlivých dat používá v stavu zabezpečení s podporou dat.

Oznámení verze Public Preview: Nový přehled o zabezpečení vícecloudových dat v Microsoft Defender for Cloud

Nová verze doporučení pro vyhledání chybějících aktualizací systému je teď obecně dostupná.

6. listopadu 2023

Na virtuálních počítačích Azure a Azure Arc už není potřeba další agent, aby se zajistilo, že mají všechny nejnovější aktualizace zabezpečení nebo kritického systému.

Doporučení nových aktualizací systému, System updates should be installed on your machines (powered by Správce aktualizace Azure) v ovládacím prvku Apply system updates, je založené na Update Manager a je teď plně dostupný. Doporučení spoléhá na nativního agenta vloženého do každého virtuálního počítače Azure a Azure Arc počítačů místo nainstalovaného agenta. Rychlá oprava v novém doporučení vás provede jednorázovou instalací chybějících aktualizací na portálu Update Manager.

Staré a nové verze doporučení k vyhledání chybějících aktualizací systému budou k dispozici až do srpna 2024, což je v případě, že starší verze je zastaralá. Obě doporučení: System updates should be installed on your machines (powered by Správce aktualizace Azure)a System updates should be installed on your machines jsou k dispozici ve stejném ovládacím prvku: Apply system updates a mají stejné výsledky. Proto neexistuje žádná duplicita v důsledku bezpečnostního skóre.

Doporučujeme migrovat na nové doporučení a původní doporučení odebrat tak, že ho zakážete z integrované iniciativy Defender for Cloud v zásadách Azure.

Doporučení [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) je také obecná dostupnost a je předpokladem, který bude mít negativní vliv na vaše bezpečnostní skóre. Negativní účinek můžete napravit pomocí dostupné opravy.

Pokud chcete nové doporučení použít, musíte:

  1. Připojte počítače, které nejsou Azure, ke službě Arc.
  2. Zapněte vlastnost pravidelného hodnocení. Doporučení můžete opravit pomocí rychlé opravy v novém doporučení [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) .

Note

Povolení pravidelných hodnocení pro počítače s podporou Arc, které Defender pro servery – Plán 2 není povolené u souvisejících předplatných nebo konektorů, podléhá cenám Správce aktualizace Azure. Počítače s podporou služby Arc, které Defender pro servery Plan 2 jsou povolené u souvisejících předplatných nebo konektorů nebo jakéhokoli Azure virtuálního počítače, mají nárok na tuto funkci bez dalších nákladů.

Říjen 2023

Date Update
30. října Změna závažnosti výstrahy zabezpečení adaptivního řízení aplikací
Října 25 Revize Azure API Management Azure API Management odebrané z Defender pro rozhraní API
19. října Doporučení správy stavu zabezpečení DevOps dostupná ve verzi Public Preview
Říjen 18 Releasing CIS Azure Foundations Benchmark v2.0.0 na řídicím panelu dodržování právních předpisů

Změna závažnosti výstrah zabezpečení adaptivního řízení aplikací

Datum oznámení: 30. října 2023

V rámci procesu zlepšování kvality výstrah zabezpečení Defender pro servery a v rámci adaptivních ovládacích prvků aplikací se závažnost následující výstrahy zabezpečení mění na Informační:

Výstraha [Typ výstrahy] Popis výstrahy
Došlo k auditování porušení zásad adaptivního řízení aplikací. [VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] Následující uživatelé spustili aplikace, které na tomto počítači porušují zásady řízení aplikací vaší organizace. Počítač může potenciálně vystavit ohrožením zabezpečení malwaru nebo aplikace.

Pokud chcete tuto výstrahu dál zobrazovat na stránce Výstrahy zabezpečení na portálu Microsoft Defender for Cloud, změňte výchozí filtr zobrazení Severity tak, aby zahrnoval informace výstrahy v mřížce.

Snímek obrazovky, který ukazuje, kam přidat informační závažnost pro výstrahy

Offline Azure API Management revize odebrané z Defender pro rozhraní API

25. října 2023

Defender pro rozhraní API aktualizovala podporu revizí rozhraní API Azure API Management. Offline revize se už nezobrazují v nasazené Defender pro inventář rozhraní API a už se nezobrazují jako onboardované pro Defender pro rozhraní API. Offline revize neumožňují, aby se do nich odesílaly žádné přenosy a z hlediska zabezpečení nepředstavují žádné riziko.

Doporučení správy stavu zabezpečení DevOps dostupná ve verzi Public Preview

19. října 2023

Nová doporučení pro správu stavu DevOps jsou teď dostupná ve verzi Public Preview pro všechny zákazníky s konektorem pro Azure DevOps nebo GitHub. Správa stavu DevOps pomáhá snížit prostor pro útoky prostředí DevOps tím, že odhalí slabá místa v konfiguracích zabezpečení a řízení přístupu. Přečtěte si další informace o správě stavu DevOps.

Vydání srovnávacího testu CIS Azure Foundations v2.0.0 na řídicím panelu dodržování právních předpisů

18. října 2023

Microsoft Defender for Cloud teď podporuje nejnovější srovnávací test CIS Azure Security Foundations – verze 2.0.0 v dashboard a integrovanou iniciativu zásad v Azure Policy. Vydání verze 2.0.0 v Microsoft Defender for Cloud je společné úsilí o spolupráci mezi Microsoft, Centrem pro internetové zabezpečení (CIS) a uživatelskými komunitami. Verze 2.0.0 výrazně rozšiřuje rozsah hodnocení, který teď zahrnuje 90 a více integrovaných zásad Azure a úspěšně se dařilo předchozím verzím 1.4.0 a 1.3.0 a 1.0 v Microsoft Defender for Cloud a Azure Policy. Další informace najdete v tomto blogovém příspěvku.

Září 2023

Date Update
Září 30 Change na denní limit Log Analytics
27. září Řídicí panel zabezpečení dat dostupný ve verzi Public Preview
Září 21 verze Preview: Nový proces automatického zřizování pro SQL Server na počítačích
Září 20 GitHub Rozšířené zabezpečení pro výstrahy Azure DevOps v Defender for Cloud
Září 11 funkce Exempt jsou teď k dispozici pro Defender pro doporučení rozhraní API
Září 11 Create sample alerts for Defender for API detections
Září 6 verze Preview: Posouzení ohrožení zabezpečení kontejnerů využívající Microsoft Defender Správa zranitelností teď podporuje kontrolu při vyžádání obsahu
Září 6 Aktualizovaný formát pojmenování standardů Center for Internet Security (CIS) v dodržování právních předpisů
Září 5 Zjišťování citlivých dat pro databáze PaaS (Preview)
1. září General Availability (GA): Kontrola malwaru v Defender pro Storage

Změna denního limitu Log Analytics

Azure monitor nabízí možnost nastavit denní limit na data, která se ingestují v pracovních prostorech služby Log Analytics. V těchto vyloučeních se však v současné době nepodporují události zabezpečení Defender for Cloud.

Log Analytics Denní limit už nevyloučí následující sadu datových typů:

  • WindowsEvent
  • SecurityAlert
  • SecurityBaseline
  • SecurityBaselineSummary
  • SecurityDetection
  • SecurityEvent
  • WindowsFirewall
  • MaliciousIPCommunication
  • LinuxAuditLog
  • SysmonEvent
  • ProtectionStatus
  • Update
  • UpdateSummary
  • CommonSecurityLog
  • Syslog

Při splnění denního limitu budou všechny fakturovatelné datové typy omezeny. Tato změna zlepšuje schopnost plně obsahovat náklady z příjmu dat s vyššími než očekávanými náklady.

Přečtěte si další informace o workspaces s Microsoft Defender for Cloud.

Řídicí panel zabezpečení dat dostupný ve verzi Public Preview

27. září 2023

Řídicí panel zabezpečení dat je nyní k dispozici ve verzi Public Preview jako součást plánu Defender CSPM. Řídicí panel zabezpečení dat je interaktivní řídicí panel orientovaný na data, který svítí významným rizikům citlivých dat, upřednostňuje výstrahy a potenciální cesty útoku pro data napříč hybridními cloudovými úlohami. Přečtěte si další informace o řídicím panelu zabezpečení dat.

Verze Preview: Nový proces automatického zřizování pro SQL Server na plánech počítačů

21. září 2023

Microsoft agent monitorování (MMA) je v srpnu 2024 zastaralý. Defender for Cloud aktualizovat strategii nahrazením MMA vydáním SQL Server cíleného Azure procesu automatického zřizování agenta monitorování.

Během verze Preview se zákazníci, kteří používají proces automatického zřizování MMA s možností Azure Monitor Agent (Preview), požadují, aby migrovali na nový proces automatického zřizování agenta monitorování Azure pro SQL server na počítačích (Preview) s automatickým zřizováním. Proces migrace je bezproblémový a zajišťuje nepřetržitou ochranu pro všechny počítače.

Další informace najdete v tématu Migrate na sql server cílený Azure proces automatického zřizování agenta monitorování.

GitHub rozšířené zabezpečení pro výstrahy Azure DevOps v Defender for Cloud

20. září 2023

V Defender for Cloud teď můžete zobrazit výstrahy GitHub Advanced Security for Azure DevOps (GHAzDO) související s kódem CodeQL, tajnými kódy a závislostmi. Výsledky se zobrazují na stránce DevOps a v doporučeních. Pokud chcete zobrazit tyto výsledky, připojte úložiště s podporou GHAzDO k Defender for Cloud.

Přečtěte si další informace o GitHub Advanced Security pro Azure DevOps.

Funkce vyloučení jsou nyní k dispozici pro Defender pro doporučení rozhraní API.

11. září 2023

Doporučení pro následující Defender pro doporučení k zabezpečení rozhraní API teď můžete vyloučit.

Recommendation Popis a související zásady Severity
(Preview) Koncové body rozhraní API, které se nepoužívají, by se měly zakázat a odebrat ze služby Azure API Management Osvědčeným postupem zabezpečení jsou koncové body rozhraní API, které nepřijaly provoz po dobu 30 dnů, považovány za nepoužité a měly by se odebrat ze služby Azure API Management. Zachování nepoužívaných koncových bodů rozhraní API může představovat bezpečnostní riziko. Můžou se jednat o rozhraní API, která by měla být ze služby Azure API Management zastaralá, ale omylem byla aktivní. Tato rozhraní API obvykle nedostávají nejaktuálnější pokrytí zabezpečení. Low
(Preview) Koncové body rozhraní API v Azure API Management by se měly ověřovat. Koncové body rozhraní API publikované v rámci Azure API Management by měly vynutit ověřování, aby se minimalizovalo bezpečnostní riziko. Mechanismy ověřování se někdy implementují nesprávně nebo chybí. To umožňuje útočníkům zneužít chyby implementace a přistupovat k datům. U rozhraní API publikovaných v Azure API Management toto doporučení posuzuje provádění ověřování prostřednictvím klíčů předplatného, JWT a klientského certifikátu nakonfigurovaného v rámci Azure API Management. Pokud se během volání rozhraní API nespustí žádný z těchto mechanismů ověřování, rozhraní API toto doporučení obdrží. High

Přečtěte si další informace o exempting doporučení v Defender for Cloud.

Vytváření ukázkových upozornění pro Defender pro detekce rozhraní API

11. září 2023

Teď můžete vygenerovat ukázková upozornění pro detekce zabezpečení, které byly vydány jako součást Defender pro rozhraní API ve verzi Public Preview. Přečtěte si další informace o generování ukázkových výstrah v Defender for Cloud.

Verze Preview: Posouzení ohrožení zabezpečení kontejnerů využívající Microsoft Defender Správa zranitelností teď podporuje kontrolu při přijetí změn.

6. září 2023

Posouzení ohrožení zabezpečení kontejnerů využívající Microsoft Defender Správa zranitelností teď podporuje další trigger pro skenování imagí načítaných z ACR. Tato nově přidaná aktivační událost poskytuje další pokrytí aktivních imagí kromě existujících triggerů, které kontrolují image vložené do služby ACR za posledních 90 dnů a image, které jsou aktuálně spuštěné v AKS.

Nový trigger se začne zavádět dnes a očekává se, že bude dostupný pro všechny zákazníky do konce září.

Další informace.

Aktualizovaný formát pojmenování standardů Center for Internet Security (CIS) v dodržování právních předpisů

6. září 2023

Formát pojmenování základních srovnávacích testů CIS (Center for Internet Security) na řídicím panelu dodržování předpisů se změní na [Cloud] CIS [version number]CIS [Cloud] Foundations v[version number]. Informace najdete v následující tabulce:

Aktuální název Nový název
Azure CIS 1.1.0 CIS Azure Foundations v1.1.0
Azure CIS 1.3.0 CIS Azure Foundations v1.3.0
Azure CIS 1.4.0 CIS Azure Foundations v1.4.0
AWS CIS 1.2.0 CIS AWS Foundations v1.2.0
AWS CIS 1.5.0 CIS AWS Foundations v1.5.0
GCP CIS 1.1.0 CIS GCP Foundations v1.1.0
GCP CIS 1.2.0 CIS GCP Foundations v1.2.0

Zjistěte, jak zlepšit dodržování právních předpisů.

Zjišťování citlivých dat pro databáze PaaS (Preview)

5. září 2023

Funkce zabezpečení s podporou dat pro bezproblémové zjišťování citlivých dat pro databáze PaaS (databáze Azure SQL a instance Amazon RDS libovolného typu) jsou teď ve verzi Public Preview. Tato verze Public Preview umožňuje vytvořit mapu důležitých dat bez ohledu na to, kde se nacházejí, a typ dat nalezených v těchto databázích.

Zjišťování citlivých dat pro databáze Azure a AWS, přidává se ke sdílené taxonomii a konfiguraci, která je už veřejně dostupná pro prostředky cloudového úložiště objektů (Azure Blob Storage, kontejnery AWS S3 a kontejnery úložiště GCP) a poskytuje jednotné prostředí konfigurace a povolení.

Databáze se naskenují každý týden. Pokud povolíte sensitive data discovery, zjišťování se spustí do 24 hodin. Výsledky můžete zobrazit v Průzkumníku zabezpečení cloudu nebo si projděte nové cesty útoku pro spravované databáze s citlivými daty.

Stav zabezpečení s podporou dat pro databáze je k dispozici prostřednictvím plánu Defender CSPM a je automaticky povolený u předplatných, u kterých je povolená možnost sensitive data discovery.

Další informace o stavu zabezpečení s podporou dat najdete v následujících článcích:

Obecná dostupnost (GA): Kontrola malwaru ve službě Defender pro úložiště

1. září 2023

Vyhledávání malwaru je teď obecně dostupné (GA) jako doplněk pro Defender pro úložiště. Kontrola malwaru v Defender pro službu Storage pomáhá chránit účty úložiště před škodlivým obsahem provedením úplné kontroly malwaru na nahraném obsahu téměř v reálném čase pomocí funkcí Microsoft Defender Antivirové ochrany. Je navržená tak, aby splňovala požadavky na zabezpečení a dodržování předpisů pro zpracování nedůvěryhodného obsahu. Funkce kontroly malwaru je řešení SaaS bez agentů, které umožňuje nastavení ve velkém měřítku a podporuje automatizaci odezvy ve velkém měřítku.

Přečtěte si další informace o kontrole malwaru v Defender pro storage.

Kontrola malwaru je cenová podle využití dat a rozpočtu. Fakturace začíná 3. září 2023. Další informace najdete na stránce s cenami .

Pokud používáte předchozí plán, musíte proaktivně migrovat na nový plán , aby bylo možné kontrolu malwaru povolit.

Přečtěte si blog Microsoft Defender for Cloud blogovém příspěvku.

Srpen 2023

Mezi aktualizace v srpnu patří:

Date Update
30. srpna Defender pro kontejnery: Zjišťování bez agentů pro Kubernetes
Srpen 22 Poručovací verze: Microsoft Defender pro Storage by se mělo povolit s kontrolou malwaru a detekcí citlivých dat
17. srpna Obslužné vlastnosti v výstrahách zabezpečení Defender for Cloud se maskují z protokolů aktivit
15. srpna Přehled podpory GCP v Defender CSPM
7. srpna Znovení výstrah zabezpečení v Defender pro servery – Plán 2: Zjišťování potenciálních útoků, které zneužívají rozšíření virtuálních počítačů Azure
1. srpna Podnikový model a aktualizace cen pro plány Defender for Cloud

Defender pro kontejnery: Zjišťování bez agentů pro Kubernetes

30. srpna 2023

S radostí vám představíme Defender pro kontejnery: zjišťování bez agentů pro Kubernetes. Tato verze představuje významný krok vpřed v zabezpečení kontejnerů, což vám umožní využívat pokročilé přehledy a komplexní možnosti inventáře pro prostředí Kubernetes. Nová nabídka kontejnerů využívá Defender for Cloud kontextový graf zabezpečení. Tady je seznam toho, co můžete očekávat od této nejnovější aktualizace:

  • Zjišťování Kubernetes bez agentů
  • Komplexní možnosti inventáře
  • Přehledy zabezpečení specifické pro Kubernetes
  • Vylepšený proaktivní vyhledávání rizik pomocí Průzkumníka zabezpečení cloudu

Zjišťování bez agentů pro Kubernetes je teď dostupné všem zákazníkům Defender For Containers. Tyto pokročilé funkce můžete začít používat ještě dnes. Doporučujeme vám aktualizovat předplatná tak, aby byla povolena úplná sada rozšíření, a využívat nejnovější doplňky a funkce. Pokud chcete rozšíření povolit, přejděte na podokno Environment a nastavení vašeho předplatného Defender for Containers.

Note

Pokud povolíte nejnovější doplňky, nebudou zákazníkům s kontejnery účtovány nové náklady na aktivní Defender.

Další informace najdete v tématu Přehled zabezpečení kontejneru Microsoft Defender pro kontejnery.

Verze doporučení: Microsoft Defender pro úložiště by se mělo povolit s kontrolou malwaru a detekcí citlivých dat.

úterý 22. srpna 2023

Vydali jsme nové doporučení v Defender pro úložiště. Toto doporučení zajišťuje, že Defender pro službu Storage je povolená na úrovni předplatného s možnostmi kontroly malwaru a detekce citlivých hrozeb pro data.

Recommendation Description
Microsoft Defender pro službu Storage by se mělo povolit s kontrolou malwaru a detekcí citlivých dat. Microsoft Defender pro službu Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nová Defender pro plán úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. Při jednoduchém nastavení bez agentů ve velkém měřítku se při povolení na úrovni předplatného budou automaticky chránit všechny existující a nově vytvořené účty úložiště v rámci daného předplatného. Můžete také vyloučit konkrétní účty úložiště z chráněných předplatných.

Toto nové doporučení nahrazuje aktuální doporučení Microsoft Defender for Storage should be enabled (klíč posouzení 1be22853-8ed1-4005-9907-ddad64cb1417). Toto doporučení ale bude stále dostupné v Azure Government cloudech.

Přečtěte si další informace o Microsoft Defender pro storage.

Rozšířené vlastnosti v Defender for Cloud výstrah zabezpečení se maskují z protokolů aktivit.

17. srpna 2023

Nedávno jsme změnili způsob integrace výstrah zabezpečení a protokolů aktivit. Abychom mohli lépe chránit citlivé informace o zákazníci, tyto informace už nezahrneme do protokolů aktivit. Místo toho ho maskujeme hvězdičkami. Tyto informace jsou ale stále dostupné prostřednictvím rozhraní API upozornění, průběžného exportu a portálu Defender for Cloud.

Zákazníci, kteří spoléhají na protokoly aktivit k exportu výstrah do svých řešení SIEM, by měli zvážit použití jiného řešení, protože se nejedná o doporučenou metodu exportu výstrah zabezpečení Defender for Cloud.

Pokyny k exportu výstrah zabezpečení Defender for Cloud do aplikací SIEM, SOAR a jiných aplikací třetích stran najdete v tématu Streamová upozornění do řešení SIEM, SOAR nebo IT Service Management.

Verze Preview podpory GCP v Defender CSPM

15. srpna 2023

Oznamujeme verzi Preview Defender CSPM kontextového grafu cloudového zabezpečení a analýzy cest útoku s podporou prostředků GCP. Výkon Defender CSPM můžete využít k komplexní viditelnosti a inteligentnímu zabezpečení cloudu napříč prostředky GCP.

Mezi klíčové funkce podpory GCP patří:

  • Analýza cesty útoku – Vysvětlení potenciálních tras, které by útočníci mohli provést.
  • Průzkumník zabezpečení cloudu – Proaktivně identifikujte rizika zabezpečení spuštěním dotazů založených na grafech v grafu zabezpečení.
  • Kontrola bez agentů – Prohledejte servery a identifikujte tajné kódy a ohrožení zabezpečení bez instalace agenta.
  • Stav zabezpečení pracující s daty – Zjišťování a náprava rizik pro citlivá data v kontejnerech Google Cloud Storage

Přečtěte si další informace o možnostech plánu Defender CSPM.

Nové výstrahy zabezpečení v Defender pro servery – Plán 2: Detekce potenciálních útoků, které zneužívají rozšíření Azure virtuálních počítačů

7. srpna 2023

Tato nová série výstrah se zaměřuje na detekci podezřelých aktivit rozšíření virtuálních počítačů Azure a poskytuje přehled o pokusech útočníků o ohrožení a provádění škodlivých aktivit na virtuálních počítačích.

Microsoft Defender pro servery teď můžou detekovat podezřelou aktivitu rozšíření virtuálních počítačů, což vám umožní získat lepší pokrytí zabezpečení úloh.

Azure rozšíření virtuálních počítačů jsou malé aplikace, které spouštějí po nasazení na virtuálních počítačích a poskytují možnosti, jako je konfigurace, automatizace, monitorování, zabezpečení a další. Rozšíření jsou sice výkonným nástrojem, ale můžou je použít aktéři hrozeb pro různé škodlivé záměry, například:

  • Pro shromažďování a monitorování dat.
  • Pro spouštění kódu a nasazení konfigurace s vysokými oprávněními.
  • Pro resetování přihlašovacích údajů a vytváření správců.
  • Pro šifrování disků.

Tady je tabulka nových upozornění.

Výstraha (typ výstrahy) Description Taktika MITRE Severity
Podezřelá chyba při instalaci rozšíření GPU ve vašem předplatném (Preview)
(VM_GPUExtensionSuspiciousFailure)		 Podezřelý záměr instalace rozšíření GPU na nepodporované virtuální počítače Toto rozšíření by mělo být nainstalované na virtuálních počítačích vybavených grafickým procesorem a v tomto případě tyto virtuální počítače nejsou vybaveny. Tato selhání se dají vidět, když nežádoucí uživatelé se zlými úmysly spouštějí několik instalací takového rozšíření pro účely kryptografického dolování. Impact Medium
Na virtuálním počítači (Preview) byla zjištěna podezřelá instalace rozšíření GPU.
(VM_GPUDriverExtensionUnusualExecution)
Tato výstraha byla vydána v červenci 2023.		 Podezřelá instalace rozšíření GPU byla na virtuálním počítači zjištěna analýzou operací Azure Resource Manager ve vašem předplatném. Útočníci můžou rozšíření ovladače GPU použít k instalaci ovladačů GPU na virtuální počítač prostřednictvím Azure Resource Manager k provádění kryptografických útoků. Tato aktivita se považuje za podezřelou, protože chování objektu se odchází od obvyklých vzorů. Impact Low
Spuštění příkazu s podezřelým skriptem se zjistilo na virtuálním počítači (Preview)
(VM_RunCommandSuspiciousScript)		 Na virtuálním počítači se zjistil příkaz Spustit s podezřelým skriptem pomocí analýzy operací Azure Resource Manager ve vašem předplatném. Útočníci můžou pomocí příkazu Spustit příkaz spouštět škodlivý kód s vysokými oprávněními na virtuálním počítači prostřednictvím Azure Resource Manager. Skript se považuje za podezřelé, protože některé části byly identifikovány jako potenciálně škodlivé. Execution High
Na vašem virtuálním počítači (Preview) se zjistilo podezřelé neoprávněné použití příkazu spustit.
(VM_RunCommandSuspiciousFailure)		 Podezřelé neoprávněné použití příkazu Spustit selhalo a na virtuálním počítači se zjistilo analýzou operací Azure Resource Manager ve vašem předplatném. Útočníci se můžou pokusit pomocí příkazu Spustit spustit škodlivý kód s vysokými oprávněními na virtuálních počítačích prostřednictvím Azure Resource Manager. Tato aktivita se považuje za podezřelou, protože se dříve nesrozudila. Execution Medium
Na vašem virtuálním počítači (Preview) se zjistilo podezřelé využití příkazů spuštění.
(VM_RunCommandSuspiciousUsage)		 Podezřelé použití příkazu Run Command bylo na virtuálním počítači zjištěno analýzou operací Azure Resource Manager ve vašem předplatném. Útočníci můžou pomocí příkazu Spustit spustit škodlivý kód s vysokými oprávněními na virtuálních počítačích prostřednictvím Azure Resource Manager. Tato aktivita se považuje za podezřelou, protože se dříve nesrozudila. Execution Low
Na virtuálních počítačích se zjistilo podezřelé použití několika rozšíření monitorování nebo shromažďování dat (Preview).
(VM_SuspiciousMultiExtensionUsage)		 Podezřelé využití několika rozšíření monitorování nebo shromažďování dat bylo zjištěno na virtuálních počítačích analýzou operací Azure Resource Manager ve vašem předplatném. Útočníci můžou tato rozšíření zneužít pro shromažďování dat, monitorování síťového provozu a další možnosti ve vašem předplatném. Toto použití se považuje za podezřelé, protože ho ještě nebylo běžně vidět. Reconnaissance Medium
Na virtuálních počítačích (Preview) byla zjištěna podezřelá instalace rozšíření šifrování disků.
(VM_DiskEncryptionSuspiciousUsage)		 Podezřelá instalace rozšíření šifrování disků byla na virtuálních počítačích zjištěna analýzou operací Azure Resource Manager ve vašem předplatném. Útočníci můžou zneužít rozšíření šifrování disku k nasazení úplného šifrování disků na virtuálních počítačích prostřednictvím Azure Resource Manager při pokusu o provedení aktivity ransomware. Tato aktivita se považuje za podezřelou, protože nebyla často viditelná dříve a kvůli vysokému počtu instalací rozšíření. Impact Medium
Na virtuálních počítačích se zjistilo podezřelé použití rozšíření přístupu k virtuálním počítačům (Preview).
(VM_VMAccessSuspiciousUsage)		 Na virtuálních počítačích se zjistilo podezřelé použití rozšíření přístupu k virtuálním počítačům. Útočníci můžou zneužít rozšíření přístupu k virtuálnímu počítači, aby získali přístup k virtuálním počítačům s vysokými oprávněními, a to resetováním přístupu nebo správou uživatelů s právy pro správu. Tato aktivita se považuje za podezřelou, protože chování objektu se odchází od obvyklých vzorů a vzhledem k vysokému počtu instalací rozšíření. Persistence Medium
rozšíření Desired State Configuration (DSC) s podezřelým skriptem bylo zjištěno na virtuálním počítači (Preview)
(VM_DSCExtensionSuspiciousScript)		 rozšíření Desired State Configuration (DSC) s podezřelým skriptem bylo na virtuálním počítači zjištěno analýzou operací Azure Resource Manager ve vašem předplatném. Útočníci můžou pomocí rozšíření Desired State Configuration (DSC) nasazovat škodlivé konfigurace, jako jsou mechanismy trvalosti, škodlivé skripty a další, s vysokými oprávněními, na virtuálních počítačích. Skript se považuje za podezřelé, protože některé části byly identifikovány jako potenciálně škodlivé. Execution High
Uspicious usage of a Desired State Configuration (DSC) extension was detected on your virtual machines (Preview)
(VM_DSCExtensionSuspiciousUsage)		 Podezřelé použití rozšíření Desired State Configuration (DSC) bylo na virtuálních počítačích zjištěno analýzou operací Azure Resource Manager ve vašem předplatném. Útočníci můžou pomocí rozšíření Desired State Configuration (DSC) nasazovat škodlivé konfigurace, jako jsou mechanismy trvalosti, škodlivé skripty a další, s vysokými oprávněními, na virtuálních počítačích. Tato aktivita se považuje za podezřelou, protože chování objektu se odchází od obvyklých vzorů a vzhledem k vysokému počtu instalací rozšíření. Impact Low
Rozšíření vlastních skriptů s podezřelým skriptem se zjistilo na virtuálním počítači (Preview)
(VM_CustomScriptExtensionSuspiciousCmd)
(Tato výstraha již existuje a byla vylepšena s vylepšenými metodami logiky a detekce.)		 Rozšíření vlastních skriptů s podezřelým skriptem bylo na virtuálním počítači zjištěno analýzou operací Azure Resource Manager ve vašem předplatném. Útočníci můžou pomocí rozšíření vlastních skriptů spouštět škodlivý kód s vysokými oprávněními na virtuálním počítači prostřednictvím Azure Resource Manager. Skript se považuje za podezřelé, protože některé části byly identifikovány jako potenciálně škodlivé. Execution High

Viz výstrahy založené na extension v Defender pro servery.

Úplný seznam výstrah najdete v tabulce reference pro všechny výstrahy zabezpečení v Microsoft Defender for Cloud.

Aktualizace obchodního modelu a cen pro plány Defender for Cloud

1. srpna 2023

Microsoft Defender for Cloud má tři plány, které nabízejí ochranu vrstvy služeb:

  • Defender pro Key Vault

  • Defender pro Resource Manager

  • Defender pro DNS

Tyto plány přešly na nový obchodní model s různými cenami a balením, aby vyřešily zpětnou vazbu zákazníků ohledně předvídatelnosti útraty a zjednodušily strukturu celkových nákladů.

Souhrn změn obchodního modelu a cen:

Stávající zákazníci Defender pro Key-Vault, Defender pro Resource Manager a Defender pro DNS zachovávají svůj aktuální obchodní model a ceny, pokud se aktivně nerozhodnou přejít na nový obchodní model a cenu.

  • Defender pro Resource Manager: Tento plán má pevnou cenu za předplatné za měsíc. Zákazníci můžou přejít na nový obchodní model výběrem Defender pro Resource Manager nový model předplatného.

Stávající zákazníci Defender pro Key-Vault, Defender pro Resource Manager a Defender pro DNS zachovávají svůj aktuální obchodní model a ceny, pokud se aktivně nerozhodnou přejít na nový obchodní model a cenu.

  • Defender pro Resource Manager: Tento plán má pevnou cenu za předplatné za měsíc. Zákazníci můžou přejít na nový obchodní model výběrem Defender pro Resource Manager nový model předplatného.
  • Defender pro Key Vault: Tento plán má pevnou cenu za trezor za měsíc bez poplatků za nadlimitní využití. Zákazníci můžou přejít na nový obchodní model výběrem Defender pro Key Vault nový model trezoru.
  • Defender pro DNS: Defender pro servery Plan 2 zákazníci získají přístup k Defender pro hodnotu DNS jako součást Defender pro servery Plan 2 bez dalších poplatků. Zákazníci, kteří mají Defender pro Server Plan 2 i Defender DNS, se už neúčtují za Defender dns. Defender pro DNS už není k dispozici jako samostatný plán.

Další informace o cenách těchto plánů najdete na stránce s cenami Defender for Cloud.

Červenec 2023

Mezi aktualizace v červenci patří:

Date Update
Červenec 31 Preview verze posouzení ohrožení zabezpečení kontejnerů s využitím Microsoft Defender Správa zranitelností v Defender pro kontejnery a Defender pro registry kontejnerů
Červenec 30 Stav kontejneru Agentless v Defender CSPM je teď obecně dostupný
Červenec 20 Spravování automatických aktualizací pro Defender pro koncový bod pro Linux
Červenec 18 Skenování tajných kódů bez agentů pro virtuální počítače v Defender pro servery P2 a Defender CSPM
Červenec 12 Znovení výstrahy zabezpečení v Defender pro servery – plán 2: Detekce potenciálních útoků využívajících rozšíření ovladačů GPU virtuálního počítače Azure
Červenec 9 Podpora zakázání konkrétních zjištění ohrožení zabezpečení
1. červenec Stav zabezpečení s podporou dat je nyní obecně dostupný.

Posouzení ohrožení zabezpečení kontejnerů ve verzi Preview s využitím Microsoft Defender Správa zranitelností

31. července 2023

Oznamujeme vydání posouzení ohrožení zabezpečení (VA) pro image kontejnerů Linuxu v Azure registrech kontejnerů využívajících Microsoft Defender Správa zranitelností v Defender pro kontejnery a Defender pro registry kontejnerů. Nová nabídka VA kontejnerů bude poskytována společně s naší stávající nabídkou kontejnerů VA, která využívá Qualys v Defender pro kontejnery i Defender pro registry kontejnerů, a zahrnuje každodenní prohledat image kontejnerů, informace o zneužití, podporu operačního systému a programovacích jazyků (SCA) a další.

Tato nová nabídka se začne zavádět dnes a očekává se, že bude dostupná pro všechny zákazníky do 7. srpna.

Přečtěte si další informace o hodnocení ohrožení zabezpečení pomocí Microsoft Defender Správa zranitelností.

Stav kontejneru bez agentů v Defender CSPM je teď obecně dostupný

30. července 2023

Funkce stavu kontejneru bez agentů jsou nyní obecně dostupné (GA) v rámci plánu Defender CSPM (Správa stavu zabezpečení cloudu).

Další informace o stavu kontejneru agentless najdete v Defender CSPM.

Správa automatických aktualizací pro Defender pro koncový bod pro Linux

20. července 2023

Ve výchozím nastavení se Defender for Cloud pokusí aktualizovat Defender pro agenty koncového bodu pro Linux nasazené s rozšířením MDE.Linux. V této verzi můžete toto nastavení spravovat a odhlásit se od výchozí konfigurace a spravovat cykly aktualizací ručně.

Kontrola tajných kódů bez agentů pro virtuální počítače v Defender pro servery P2 & Defender CSPM

18. července 2023

Kontrola tajných kódů je nyní k dispozici jako součást kontroly bez agentů v Defender pro servery P2 a Defender CSPM. Tato funkce pomáhá zjišťovat nespravované a nezabezpečené tajné kódy uložené na virtuálních počítačích v Azure nebo prostředcích AWS, které je možné použít k pozdějšímu přesunu v síti. Pokud se tajné kódy zjistí, Defender for Cloud vám můžou pomoct určit prioritu a podniknout kroky nápravy, které minimalizují riziko laterálního pohybu, a to vše bez ovlivnění výkonu vašeho počítače.

Další informace o ochraně tajných kódů pomocí skenování tajných kódů najdete v tématu Správa tajných kódů s kontrolou tajných kódů bez agentů.

Nová výstraha zabezpečení v Defender pro servery – plán 2: Detekce potenciálních útoků využívajících rozšíření ovladačů GPU virtuálního počítače Azure

12. července 2023

Tato výstraha se zaměřuje na identifikaci podezřelých aktivit s využitím Azure virtuálních počítačů rozšíření ovladačůGPU a poskytuje přehled o pokusech útočníků o ohrožení vašich virtuálních počítačů. Výstraha cílí na podezřelá nasazení rozšíření ovladačů GPU; tato rozšíření jsou často zneužívané aktéry hrozeb, aby využili plnou sílu karty GPU a prováděli cryptojacking.

Zobrazovaný název upozornění
(Typ výstrahy)		 Description Severity Taktika MITRE
Podezřelá instalace rozšíření GPU ve virtuálním počítači (Preview)
(VM_GPUDriverExtensionUnusualExecution)		 Podezřelá instalace rozšíření GPU se na vašem virtuálním počítači zjistila analýzou operací Azure Resource Manager ve vašem předplatném. Útočníci můžou rozšíření ovladače GPU použít k instalaci ovladačů GPU na virtuální počítač prostřednictvím Azure Resource Manager k provádění kryptografických útoků. Low Impact

Úplný seznam výstrah najdete v tabulce reference pro všechny výstrahy zabezpečení v Microsoft Defender for Cloud.

Podpora zakázání konkrétních zjištění ohrožení zabezpečení

9. července 2023

Vydání podpory pro zakázání zjištění ohrožení zabezpečení pro image registru kontejneru nebo spouštění imagí v rámci stavu kontejneru bez agentů Pokud potřebujete, aby organizace ignorovala hledání ohrožení zabezpečení v imagi registru kontejneru, místo aby ji opravili, můžete ji volitelně zakázat. Zakázaná zjištění nemají vliv na vaše skóre zabezpečení ani negenerují nežádoucí šum.

Zjistěte, jak zakázat zjištění posouzení ohrožení zabezpečení u imagí registru kontejnerů.

Stav zabezpečení s podporou dat je nyní obecně dostupný.

1\. července 2023

Stav zabezpečení pracující s daty v Microsoft Defender for Cloud je nyní obecně dostupný. Pomáhá zákazníkům snížit riziko dat a reagovat na porušení zabezpečení dat. S využitím stavu zabezpečení s podporou dat můžete:

  • Automatické zjišťování citlivých datových prostředků napříč Azure a AWS
  • Vyhodnoťte citlivost dat, vystavení dat a způsob toku dat v celé organizaci.
  • Proaktivně a nepřetržitě odkryjte rizika, která můžou vést k porušení zabezpečení dat.
  • Detekce podezřelých aktivit, které můžou indikovat probíhající hrozby pro citlivé datové prostředky

Další informace najdete v tématu Stav zabezpečení s podporou dat v Microsoft Defender for Cloud.

Červen 2023

Mezi aktualizace v červnu patří:

Date Update
Červen 26 Zjednodušené onboardingu účtů s více cloudy s rozšířenými nastaveními
Červen 25 Podpora koncového boduPrivate pro kontrolu malwaru v Defender pro Storage
Červen 15 Byly provedeny aktualizace kontrol standardů NIST 800-53 v dodržování právních předpisů
Červen 11 Plánování migrace do cloudu s Azure Migrate obchodním případem teď zahrnuje Defender for Cloud
Červen 7 Konfigurace Express pro posouzení ohrožení zabezpečení v Defender pro SQL je nyní obecně dostupná
Červen 6 Náklady přidané do stávajících konektorů Azure DevOps
Červen 4 Replacing zjišťování na základě agenta s využitím zjišťování bez agentů pro funkce kontejnerů v Defender CSPM

Zjednodušené onboardingu účtů s více cloudy s rozšířenými nastaveními

26. června 2023

Defender for Cloud vylepšila možnosti onboardingu tak, aby obsahovala nové zjednodušené uživatelské rozhraní a pokyny kromě nových funkcí, které vám umožní připojit prostředí AWS a GCP a zároveň poskytovat přístup k pokročilým funkcím onboardingu.

Pro organizace, které přijaly Hashicorp Terraform pro automatizaci, Defender for Cloud teď zahrnuje možnost používat Terraform jako metodu nasazení společně s AWS CloudFormation nebo GCP Cloud Shell. Při vytváření integrace teď můžete přizpůsobit požadované názvy rolí. Můžete také vybrat mezi těmito možnostmi:

  • Default přístup – umožňuje Defender for Cloud kontrolovat prostředky a automaticky zahrnovat budoucí funkce.

  • -Grants Defender for Cloud přístup pouze k aktuálním oprávněním potřebným pro vybrané plány.

Pokud vyberete nejméně privilegovaná oprávnění, budete dostávat oznámení jenom o všech nových rolích a oprávněních, která jsou nutná k získání úplné funkčnosti stavu konektoru.

Defender for Cloud umožňuje rozlišovat mezi cloudovými účty podle jejich nativních názvů od dodavatelů cloudu. Například aliasy účtů AWS a názvy projektů GCP.

Podpora privátního koncového bodu pro kontrolu malwaru v Defender pro službu Storage

25. června 2023

Podpora privátních koncových bodů je teď dostupná jako součást kontroly malwaru ve verzi Public Preview ve verzi Defender pro službu Storage. Tato funkce umožňuje povolit kontrolu malwaru u účtů úložiště, které používají privátní koncové body. Není potřeba žádná další konfigurace.

Malware scan (Preview) v Defender for Storage pomáhá chránit účty úložiště před škodlivým obsahem provedením úplné kontroly malwaru na nahraném obsahu téměř v reálném čase pomocí funkcí Microsoft Defender Antivirus. Je navržená tak, aby splňovala požadavky na zabezpečení a dodržování předpisů pro zpracování nedůvěryhodného obsahu. Jedná se o řešení SaaS bez agentů, které umožňuje jednoduché nastavení ve velkém měřítku s nulovou údržbou a podporuje automatizaci odezvy ve velkém měřítku.

Privátní koncové body poskytují zabezpečené připojení ke službám Azure Storage, účinně eliminují vystavení veřejného internetu a považují se za osvědčený postup zabezpečení.

U účtů úložiště s privátními koncovými body, které už mají povolenou kontrolu malwaru, budete muset zakázat a povolit plán s vyhledáváním malwaru, aby to fungovalo.

Přečtěte si další informace o používání koncových bodů private v Defender pro službu Storage a o tom, jak dál zabezpečit služby úložiště.

Doporučení vydané ve verzi Preview: Spuštění imagí kontejnerů by mělo mít vyřešené zjištění ohrožení zabezpečení (s využitím Microsoft Defender Správa zranitelností)

21. června 2023

Ve verzi Preview se vydává nové doporučení ke kontejneru v Defender CSPM využívajících Microsoft Defender Správa zranitelností:

Recommendation Description Klíč posouzení
Spuštěné image kontejnerů by měly mít vyřešené závěry ohrožení zabezpečení (s využitím Microsoft Defender Správa zranitelností)(Preview) Posouzení ohrožení zabezpečení image kontejneru kontroluje běžně známá ohrožení zabezpečení (CVE) ve vašem registru a poskytuje podrobnou zprávu o ohrožení zabezpečení pro každou image. Toto doporučení poskytuje přehled o ohrožených imagích, které jsou aktuálně spuštěné v clusterech Kubernetes. Náprava ohrožení zabezpečení v imagích kontejnerů, které jsou aktuálně spuštěné, je klíčem ke zlepšení stavu zabezpečení, což výrazně snižuje prostor pro útoky pro kontejnerizované úlohy. c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

Toto nové doporučení nahrazuje aktuální doporučení stejného názvu, které využívá Qualys, pouze v Defender CSPM (nahrazení klíče posouzení 4150391-efa5-47ee-9282-4eff6131462c).

Byly provedeny aktualizace kontrol standardů NIST 800-53 v dodržování právních předpisů

15. června 2023

Standardy NIST 800-53 (R4 i R5) byly nedávno aktualizovány o změny kontroly v Microsoft Defender for Cloud dodržování právních předpisů. Ovládací prvky spravované Microsoft byly ze standardu odebrány a informace o implementaci Microsoft odpovědnosti (jako součást modelu sdílené odpovědnosti cloudu) jsou nyní k dispozici pouze v podokně podrobností ovládacích prvků v části Microsoft Actions.

Tyto ovládací prvky se dříve vypočítaly jako předané ovládací prvky, takže mezi dubnem 2023 a květnem 2023 se může zobrazit výrazný pokles skóre dodržování předpisů pro standardy NIST.

Další informace o kontrolách dodržování předpisů najdete v tématu Tutorial: Kontroly dodržování právních předpisů – Microsoft Defender for Cloud.

Plánování migrace do cloudu s obchodním případem Azure Migrate teď zahrnuje Defender for Cloud

11. června 2023

Nyní můžete zjistit potenciální úspory nákladů v zabezpečení použitím Defender for Cloud v kontextu Azure Migrate obchodního případu.

Expresní konfigurace posouzení ohrožení zabezpečení v Defender pro SQL je teď obecně dostupná

7. června 2023

Expresní konfigurace posouzení ohrožení zabezpečení v Defender pro SQL je teď obecně dostupná. Expresní konfigurace poskytuje zjednodušené možnosti onboardingu pro posouzení ohrožení zabezpečení SQL pomocí konfigurace jedním kliknutím (nebo volání rozhraní API). Nejsou potřeba žádná další nastavení ani závislosti na spravovaných účtech úložiště.

Další informace o expresní konfiguraci najdete na tomto blogu .

Můžete se seznámit s rozdíly mezi expresní a klasickou konfigurací.

Další obory přidané do existujících konektorů Azure DevOps

6. června 2023

Defender for DevOps do aplikace Azure DevOps (ADO) přidali následující další obory:

  • Pokročilá správa zabezpečení: vso.advsec_manage. To je potřeba, abyste mohli povolit, zakázat a spravovat GitHub Advanced Security for ADO.

  • Mapování kontejnerů: vso.extension_manage, vso.gallery_manager; To je potřeba, abyste mohli sdílet rozšíření dekorátoru s organizací ADO.

Tato změna ovlivní jenom nové Defender for DevOps zákazníky, kteří se pokoušejí připojit prostředky ADO k Microsoft Defender for Cloud.

Onboarding přímo (bez Azure Arc) pro Defender pro servery je teď obecně dostupný.

5. června 2023

Dříve bylo nutné Azure Arc připojit servery, které nejsou Azure, aby se Defender pro servery. S nejnovější verzí ale můžete místní servery připojit k Defender pro servery jenom pomocí agenta Microsoft Defender for Endpoint.

Tato nová metoda zjednodušuje proces onboardingu pro zákazníky zaměřené na základní ochranu koncových bodů a umožňuje využít výhod Defender pro fakturaci na základě spotřeby serverů pro cloudové i necloudové prostředky. Možnost přímého onboardingu prostřednictvím Defender pro koncový bod je teď dostupná s fakturací pro onboardované počítače od 1. července.

Další informace najdete v tématu Pojení počítačů, které nejsou Azure, k Microsoft Defender for Cloud pomocí Defender pro koncový bod.

Nahrazení zjišťování na základě agenta zjišťováním bez agentů pro funkce kontejnerů v Defender CSPM

4. června 2023

Díky funkcím stavu kontejneru bez agentů, které jsou dostupné v Defender CSPM, jsou teď možnosti zjišťování založené na agentech vyřazené. Pokud aktuálně používáte možnosti kontejneru v rámci Defender CSPM, ujistěte se, že jsou povolená rozšíření relevant, aby nadále přijímala hodnotu související s kontejnery nových funkcí bez agentů, jako jsou cesty útoku související s kontejnery, přehledy a inventář. (Zobrazení účinků povolení rozšíření může trvat až 24 hodin).

Přečtěte si další informace o stavu kontejneru bez agentů.

Květen 2023

Mezi aktualizace v květnu patří:

Nová výstraha v Defender pro Key Vault

Výstraha (typ výstrahy) Description Taktika MITRE Severity
Unusný přístup k trezoru klíčů z podezřelé IP adresy (ne Microsoft nebo externí)
(KV_UnusualAccessSuspiciousIP)		 Uživatel nebo instanční objekt se pokusil za posledních 24 hodin o neobvyklý přístup k trezorům klíčů z jiné než Microsoft IP adresy. Tento neobvyklý vzor přístupu může být legitimní aktivitou. Může to být označení možného pokusu o získání přístupu k trezoru klíčů a tajných kódů obsažených v něm. Doporučujeme provést další šetření. Přístup k přihlašovacím údajům Medium

Všechny dostupné výstrahy najdete v tématu Alerts pro Azure Key Vault.

Kontrola bez agentů teď podporuje šifrované disky v AWS.

Vyhledávání virtuálních počítačů bez agentů teď podporuje zpracování instancí se šifrovanými disky v AWS pomocí CMK i PMK.

Tato rozšířená podpora zvyšuje pokrytí a viditelnost vašich cloudových aktiv, aniž by to mělo vliv na spuštěné úlohy. Podpora šifrovaných disků udržuje stejnou metodu nulového dopadu na spuštěné instance.

  • Pro nové zákazníky, kteří umožňují kontrolu bez agentů v AWS – pokrytí šifrovaných disků je ve výchozím nastavení integrované a podporované.
  • Pro stávající zákazníky, kteří už mají konektor AWS s povolenou kontrolou bez agentů, musíte znovu použít zásobník CloudFormation pro vaše připojené účty AWS, abyste mohli aktualizovat a přidat nová oprávnění potřebná ke zpracování šifrovaných disků. Aktualizovaná šablona CloudFormation obsahuje nová přiřazení, která umožňují Defender for Cloud zpracovávat šifrované disky.

Další informace o oprávněních používaných ke kontrole instancí AWS.

Opětovné použití zásobníku CloudFormation:

  1. Přejděte do Defender for Cloud nastavení prostředí a otevřete konektor AWS.
  2. Přejděte na kartu Konfigurovat přístup .
  3. Kliknutím stáhnete šablonu CloudFormation.
  4. Přejděte do prostředí AWS a použijte aktualizovanou šablonu.

Přečtěte si další informace o kontrole bez agentů a povolení kontroly bez agentů v AWS.

Revidované zásady vytváření názvů pravidel JIT (Just-In-Time) v Defender for Cloud

Upravili jsme pravidla JIT (Just-In-Time) tak, aby odpovídala značce Microsoft Defender for Cloud. Změnili jsme zásady vytváření názvů pro pravidla Azure Firewall a skupiny zabezpečení sítě (NSG).

Změny jsou uvedeny takto:

Description Starý název Nový název
Názvy pravidel JIT (povolit a odepřít) ve skupině zabezpečení sítě (skupina zabezpečení sítě) SecurityCenter-JITRule MicrosoftDefenderForCloud-JITRule
Popisy pravidel JIT ve skupině zabezpečení sítě Pravidlo síťového přístupu PODLE POTŘEBY ASC Pravidlo síťového přístupu MDC JIT
Názvy kolekcí pravidel brány firewall JIT ASC-JIT MDC-JIT
Názvy pravidel brány firewall JIT ASC-JIT MDC-JIT

Zjistěte, jak zabezpečit porty pro správu pomocí přístupu za běhu.

Onboarding vybraných oblastí AWS

Abyste mohli spravovat náklady a požadavky na dodržování předpisů AWS CloudTrail, můžete teď při přidávání nebo úpravách cloudového konektoru vybrat oblasti AWS, které se mají zkontrolovat. Při připojení účtů AWS k Defender for Cloud teď můžete zkontrolovat konkrétní oblasti AWS nebo všechny dostupné oblasti (výchozí). Další informace najdete v tématu Připojení účtu AWS k Microsoft Defender for Cloud.

Několik změn doporučení k identitě

Následující doporučení jsou nyní vydána jako obecná dostupnost (GA) a nahrazují doporučení verze 1, která jsou teď zastaralá.

Obecná dostupnost (GA) – verze doporučení pro identity v2

Verze v2 doporučení pro identity přináší následující vylepšení:

  • Rozsah kontroly byl rozšířen tak, aby zahrnoval všechny Azure prostředky, nejen předplatná. Správci zabezpečení tak můžou zobrazit přiřazení rolí na účet.
  • Z vyhodnocení teď můžou být vyloučené konkrétní účty. Účty, jako je rozbité sklo nebo účty služeb, můžou správci zabezpečení vyloučit.
  • Četnost kontrol byla zvýšena z 24 hodin na 12 hodin, čímž se zajistí, že doporučení identit budou aktuální a přesnější.

V ga jsou k dispozici následující doporučení zabezpečení a nahraďte doporučení verze 1:

Recommendation Klíč posouzení
Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování 6240402e-f77c-46fa-9060-a7ce53997754
Účty s oprávněním k zápisu u prostředků Azure by měly být povolené vícefaktorové ověřování c0cb17b2-0607-48a7-b0e0-903ed22de39b
Účty s oprávněním ke čtení Azure prostředků by měly být povolené vícefaktorové ověřování dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. 20606e75-05c4-48c0-9d97-add6daa2109a
Účty hostů s oprávněním k zápisu u prostředků Azure by se měly odebrat. 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
Účty hostů s oprávněním ke čtení Azure prostředků by se měly odebrat. fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. 050ac097-3dda-4d24-ab6d-82568e7a50cf
Blokované účty s oprávněním ke čtení a zápisu u Azure prostředků by se měly odebrat. 1ff0b4c9-ed56-4de6-be9c-d7ab39645926

Vyřazení doporučení identit v1

Následující doporučení zabezpečení jsou teď zastaralá:

Recommendation Klíč posouzení
U účtů s oprávněními vlastníka k předplatným by mělo být povolené vícefaktorové ověřování. 94290b00-4d0c-d7b4-7cea-064a9554e681
U účtů s oprávněními k zápisu u předplatných by mělo být povolené vícefaktorové ověřování. 57e98606-6b1e-6193-0e3d-fe621387c16b
U účtů s oprávněními ke čtení u předplatných by mělo být povolené vícefaktorové ověřování. 151e82c5-5341-a74b-1eb0-bc38d2c84bb5
Externí účty s oprávněními vlastníka by se měly z předplatných odebrat. c3b6ae71-f1f0-31b4-e6c1-d5951285d03d
Externí účty s oprávněním k zápisu by se měly z předplatných odebrat. 04e7147b-0deb-9796-2e5c-0336343ceb3d
Externí účty s oprávněním ke čtení by se měly z předplatných odebrat. a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b
Zastaralé účty s oprávněními vlastníka by se měly z předplatných odebrat. e52064aa-6853-e252-a11e-dffc675689c2
Zastaralé účty by se měly z předplatných odebrat. 00c6d40b-e990-6acf-d4f3-471e747a27c4

Doporučujeme aktualizovat vlastní skripty, pracovní postupy a pravidla zásad správného řízení tak, aby odpovídaly doporučením verze 2.

Vyřazení starších standardů na řídicím panelu dodržování předpisů

Starší verze PCI DSS v3.2.1 a starší verze TSP SOC jsou plně zastaralá na řídicím panelu dodržování předpisů Defender for Cloud a nahradila SOC 2 typ 2 iniciativa a PCI DSS v4 standardy dodržování předpisů založené na iniciativách. Plně zastaralá podpora PCI DSS standard/initiative v Microsoft Azure provozovaných společností 21Vianet.

Zjistěte, jak přizpůsobit sadu standardů na řídicím panelu dodržování právních předpisů.

Defender for DevOps zahrnuje zjištění kontroly Azure DevOps

Defender for DevOps Code a IaC rozšířily své doporučení v Microsoft Defender for Cloud tak, aby zahrnovaly Azure DevOps zjištění zabezpečení pro následující dvě doporučení:

  • Code repositories should have code scanning findings resolved

  • Code repositories should have infrastructure as code scanning findings resolved

Dříve zahrnovalo pokrytí kontroly zabezpečení Azure DevOps pouze doporučení tajných kódů.

Přečtěte si další informace o Defender for DevOps.

Nové výchozí nastavení pro Defender pro řešení posouzení ohrožení zabezpečení serverů

Řešení posouzení ohrožení zabezpečení (VA) jsou nezbytná k ochraně počítačů před kybernetickými útoky a porušeními zabezpečení dat.

Microsoft Defender Správa zranitelností je teď povolené jako výchozí integrované řešení pro všechna předplatná chráněná Defender pro servery, které ještě nemají vybrané řešení VA.

Pokud má předplatné na některém z jeho virtuálních počítačů povolené řešení VA, neprovedou se žádné změny a Microsoft Defender Správa zranitelností se ve výchozím nastavení nepovolí na zbývajících virtuálních počítačích v daném předplatném. U zbývajících virtuálních počítačů ve vašich předplatných můžete povolit řešení VA.

Zjistěte, jak najít ohrožení zabezpečení a shromažďovat inventář softwaru pomocí kontroly bez agentů (Preview).

Stažení sestavy CSV výsledků dotazu v Průzkumníku zabezpečení cloudu (Preview)

Defender for Cloud přidala možnost stáhnout sestavu CSV výsledků dotazu v Průzkumníku zabezpečení cloudu.

Po spuštění hledání dotazu můžete na stránce Průzkumníka zabezpečení cloudu v Defender for Cloud vybrat tlačítko Stahovat sestavu CSV (Preview).

Naučte se vytvářet dotazy pomocí Průzkumníka zabezpečení cloudu.

Posouzení ohrožení zabezpečení kontejnerů s využitím Microsoft Defender Správa zranitelností

Oznamujeme vydání posouzení ohrožení zabezpečení pro image Linuxu v Azure registrech kontejnerů využívajících Microsoft Defender Správa zranitelností v Defender CSPM. Tato verze zahrnuje každodenní skenování obrázků. Zjištění použitá v Průzkumníku zabezpečení a cestách útoku se místo kontroly Qualys spoléhají na posouzení ohrožení zabezpečení Microsoft Defender.

Stávající doporučení Container registry images should have vulnerability findings resolved se nahrazuje novým doporučením:

Recommendation Description Klíč posouzení
Bitové kopie služby Container Registry by měly mít vyřešené závěry ohrožení zabezpečení (s využitím Microsoft Defender Správa zranitelností) Posouzení ohrožení zabezpečení image kontejneru kontroluje běžně známá ohrožení zabezpečení (CVE) ve vašem registru a poskytuje podrobnou zprávu o ohrožení zabezpečení pro každou image. Toto doporučení poskytuje přehled o ohrožených imagích, které jsou aktuálně spuštěné v clusterech Kubernetes. Náprava ohrožení zabezpečení v imagích kontejnerů, které jsou aktuálně spuštěné, je klíčem ke zlepšení stavu zabezpečení, což výrazně snižuje prostor pro útoky pro kontejnerizované úlohy. dbd0cb49-b563-45e7-9724-889e799fa648 je nahrazen c0b7cfc6-3172-465a-b378-53c7ff2cc0d5.

Další informace o stavu kontejnerů Agentless najdete v Defender CSPM.

Přečtěte si další informace o Microsoft Defender Správa zranitelností.

Přejmenování doporučení kontejnerů využívajících Qualys

Aktuální doporučení kontejnerů v Defender pro kontejnery se přejmenovávat následujícím způsobem:

Recommendation Description Klíč posouzení
Bitové kopie registru kontejnerů by měly mít vyřešené zjištění ohrožení zabezpečení (využívá technologii Qualys). Posouzení ohrožení zabezpečení image kontejneru kontroluje ohrožení zabezpečení vašeho registru a zveřejňuje podrobná zjištění pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení kontejnerů a chránit je před útoky. dbd0cb49-b563-45e7-9724-889e799fa648
Spuštěné image kontejnerů by měly mít vyřešené zjištění ohrožení zabezpečení (využívá technologii Qualys). Posouzení ohrožení zabezpečení imagí kontejneru kontroluje image kontejnerů spuštěné v clusterech Kubernetes kvůli ohrožením zabezpečení a zveřejňuje podrobná zjištění pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení kontejnerů a chránit je před útoky. 41503391-efa5-47ee-9282-4eff6131462c

aktualizace aplikace Defender for DevOps GitHub

Microsoft Defender for DevOps neustále provádí změny a aktualizace, které vyžadují Defender for DevOps zákazníky, kteří v Defender for Cloud nasadili svá GitHub prostředí, aby mohli poskytovat oprávnění jako součást aplikace nasazené v jejich GitHub Organizace. Tato oprávnění jsou nezbytná k zajištění, aby všechny funkce zabezpečení Defender for DevOps fungovaly normálně a bez problémů.

Doporučujeme aktualizovat oprávnění co nejdříve, abyste zajistili nepřetržitý přístup ke všem dostupným funkcím Defender for DevOps.

Oprávnění se dají udělit dvěma různými způsoby:

  • Ve vaší organizaci vyberte GitHub Apps. Vyhledejte svoji organizaci a vyberte Zkontrolovat žádost.

  • Z podpory GitHub dostanete automatizovaný e-mail. V e-mailu vyberte Zkontrolovat žádost o oprávnění pro přijetí nebo odmítnutí této změny.

Po provedení některé z těchto možností přejdete na obrazovku kontroly, na které byste měli žádost zkontrolovat. Výběrem možnosti Přijmout nová oprávnění žádost schválíte.

Pokud potřebujete pomoc s aktualizací oprávnění, můžete vytvořit žádost o podpora Azure.

Další informace o Defender for DevOps. Pokud má předplatné na některém z jeho virtuálních počítačů povolené řešení VA, neprovedou se žádné změny a Microsoft Defender Správa zranitelností se ve výchozím nastavení nepovolí na zbývajících virtuálních počítačích v daném předplatném. U zbývajících virtuálních počítačů ve vašich předplatných můžete povolit řešení VA.

Zjistěte, jak najít ohrožení zabezpečení a shromažďovat inventář softwaru pomocí kontroly bez agentů (Preview).

Defender for DevOps poznámky žádosti o přijetí změn v úložištích Azure DevOps teď zahrnují infrastrukturu jako chybné konfigurace kódu.

Defender for DevOps rozšířili pokrytí poznámek žádostí o přijetí změn v Azure DevOps tak, aby zahrnovaly chybné konfigurace infrastruktury jako kódu (IaC), které se detekují v šablonách Azure Resource Manager a Bicep.

Vývojáři teď vidí poznámky pro chybné konfigurace IaC přímo ve svých žádostech o přijetí změn. Vývojáři můžou také napravit důležité problémy se zabezpečením, než se infrastruktura zřídí do cloudových úloh. Pro zjednodušení nápravy jsou vývojáři k dispozici s úrovní závažnosti, popisem chybné konfigurace a pokyny k nápravě v rámci každé poznámky.

Dříve zahrnovalo pokrytí Defender for DevOps poznámek k žádostem o přijetí změn v Azure DevOps obsahovalo pouze tajné kódy.

Přečtěte si další informace o Defender for DevOps a Požadavek.

Duben 2023

Mezi aktualizace v dubnu patří:

Stav kontejneru bez agentů v Defender CSPM (Preview)

Nové funkce stavu kontejneru bez agentů (Preview) jsou k dispozici jako součást plánu Defender CSPM (Cloud Security Posture Management).

Stav kontejneru bez agentů umožňuje týmům zabezpečení identifikovat rizika zabezpečení v kontejnerech a sférách Kubernetes. Přístup bez agentů umožňuje týmům zabezpečení získat přehled o registrech Kubernetes a kontejnerů napříč SDLC a modulem runtime, čímž se z úloh odstraní tření a nároky.

Stav kontejneru bez agentů nabízí posouzení ohrožení zabezpečení kontejnerů, která v kombinaci s analýzou cesty útoku umožňují týmům zabezpečení určit prioritu a přiblížit konkrétní ohrožení zabezpečení kontejnerů. Průzkumníka zabezpečení cloudu můžete použít také k odhalení rizik a vyhledávání přehledů o stavu kontejnerů, jako je zjišťování aplikací s ohroženými obrázky nebo vystavené na internetu.

Přečtěte si další informace o stavu kontejneru bez agentů (Preview).

Doporučení služby Unified Disk Encryption (Preview)

Ve verzi Preview jsou k dispozici nová doporučení pro jednotné šifrování disků.

  • Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost
  • Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.

Tato doporučení nahrazují Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, které zjistily Azure Disk Encryption a zásady Virtual machines and virtual machine scale sets should have encryption at host enabled, které detekovaly EncryptionAtHost. ADE a EncryptionAtHost poskytují srovnatelné pokrytí neaktivních uložených dat a doporučujeme povolit jeden z nich na každém virtuálním počítači. Nová doporučení zjistí, jestli jsou povolené ADE nebo EncryptionAtHost, a varují se pouze v případě, že nejsou povoleny. Upozorňujeme také, jestli je u některých povolených ADE, ale ne všechny disky virtuálního počítače (tato podmínka se nevztahuje na EncryptionAtHost).

Nová doporučení vyžadují konfiguraci počítače Azure Automanage.

Tato doporučení jsou založená na následujících zásadách:

Přečtěte si další informace o ADE a EncryptionAtHost a o tom, jak jednu z nich povolit.

Bezpečné konfigurace změn v počítačích s doporučeními

Doporučení Machines should be configured securely bylo aktualizováno. Aktualizace zlepšuje výkon a stabilitu doporučení a vyrovná své zkušenosti s obecným chováním doporučení Defender for Cloud.

V rámci této aktualizace se ID doporučení změnilo z 181ac480-f7c4-544b-9865-11b8ffe87f47 hodnoty na c476dc48-8110-4139-91af-c8d940896b98.

Na straně zákazníka není nutná žádná akce a na bezpečnostní skóre neexistuje žádný očekávaný vliv.

Vyřazení zásad monitorování jazyka služby App Service

Následující zásady monitorování jazyka služby App Service jsou zastaralé kvůli jejich schopnosti generovat falešně negativní hodnoty a protože neposkytují lepší zabezpečení. Vždy byste měli zajistit, abyste používali jazykovou verzi bez známých ohrožení zabezpečení.

Název zásady ID zásady
aplikace App Service, které používají Java, by měly používat nejnovější verzi Java 496223c3-ad65-4ecd-878a-bae78737e9ed
aplikace App Service, které používají Python, by měly používat nejnovější verzi Python 7008174a-fd10-4ef0-817e-fc820a951d73
Funkční aplikace, které používají Java, by měly používat nejnovější verzi Java 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc
Funkční aplikace, které používají Python, by měly používat nejnovější verzi 7238174a-fd10-4ef0-817e-fc820a951d73
Aplikace App Service, které používají PHP, by měly používat nejnovější verzi PHP. 7261b898-8a84-4db8-9e04-18527132abb3

Zákazníci můžou pomocí alternativních předdefinovaných zásad monitorovat jakoukoli zadanou jazykovou verzi služby App Services.

Tyto zásady už nejsou k dispozici v předdefinovaných doporučeních Defender for Cloud. Můžete je přidat jako vlastní doporučení abyste je mohli monitorovat Defender for Cloud.

Nová výstraha v Defender pro Resource Manager

Defender pro Resource Manager má následující novou výstrahu:

Výstraha (typ výstrahy) Description Taktika MITRE Severity
PREVIEW – Zjištění podezřelého vytvoření výpočetních prostředků
(ARM_SuspiciousComputeCreation)		 Microsoft Defender pro Resource Manager identifikovali podezřelé vytváření výpočetních prostředků ve vašem předplatném s využitím škálovací sady Virtual Machines/Azure. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí nasazením nových prostředků v případě potřeby. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít k provádění kryptografických dolování.
Aktivita se považuje za podezřelou, protože škálování výpočetních prostředků je vyšší než dříve v předplatném.
To může znamenat, že objekt zabezpečení je ohrožený a používá se se zlými úmysly.		 Impact Medium

Zobrazí se seznam všech alertů dostupných pro Resource Manager.

Tři upozornění v Defender plánu Resource Manager už jsou zastaralá.

Následující tři výstrahy pro Defender pro plán Resource Manager jsou zastaralé:

  • Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)
  • Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)
  • Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)

Ve scénáři, kdy se detekuje aktivita z podezřelé IP adresy, bude k dispozici jeden z následujících výstrah defenderů pro Resource Manager plánu Azure Resource Manager operation from suspicious IP address nebo Azure Resource Manager operation from suspicious proxy IP address.

Upozornění automatického exportu do pracovního prostoru Log Analytics jsou zastaralá

Defender for Cloud výstrahy zabezpečení se automaticky exportují do výchozího pracovního prostoru Log Analytics na úrovni prostředku. To způsobuje nedeterministické chování, a proto jsme tuto funkci zastaralí.

Místo toho můžete výstrahy zabezpečení exportovat do vyhrazeného pracovního prostoru Log Analytics pomocí Exportovat.

Pokud jste už nakonfigurovali průběžný export výstrah do Log Analytics pracovního prostoru, nevyžaduje se žádná další akce.

Vyřazení a vylepšení vybraných výstrah pro servery Windows a Linux

Proces zlepšování kvality výstrah zabezpečení pro Defender pro servery zahrnuje vyřazení některých výstrah pro servery Windows i Linux. Zastaralá upozornění jsou nyní zdrojem a jsou pokryta Defender pro výstrahy hrozeb koncového bodu.

Pokud už máte Defender pro integraci koncového bodu povolená, nevyžaduje se žádná další akce. V dubnu 2023 může dojít ke snížení objemu upozornění.

Pokud nemáte Defender pro integraci koncových bodů povolenou v Defender pro servery, budete muset povolit Defender pro integraci koncového bodu, aby se zachovalo a zlepšilo pokrytí výstrah.

Všichni Defender pro zákazníky se servery mají úplný přístup k integraci Defender pro koncový bod jako součást plánu Defender pro plán Servery.

Další informace o možnostech onboardingu Microsoft Defender for Endpoint.

Můžete také zobrazit úplný seznam upozornění , která jsou nastavená tak, aby byla zastaralá.

Přečtěte si blog Microsoft Defender for Cloud.

Přidali jsme čtyři nová doporučení pro ověřování Microsoft Entra pro Azure Data Services.

Název doporučení Popis doporučení Policy
Azure SQL Managed Instance režim ověřování by měl být jenom Microsoft Entra ID Zakázání místních metod ověřování a povolení pouze ověřování Microsoft Entra zlepšuje zabezpečení tím, že zajišťuje, aby ke spravovaným instancím Azure SQL měly přístup výhradně Microsoft Entra ID identity. Azure SQL Managed Instance by měly mít povolené Microsoft Entra ID pouze ověřování
Azure Synapse režim ověřování pracovního prostoru by měl být pouze Microsoft Entra ID Microsoft Entra ID pouze metody ověřování vylepšují zabezpečení tím, že zajišťují, aby pracovní prostory Synapse k ověřování výhradně vyžadovaly Microsoft Entra ID identit. Další informace. pracovní prostory Synapse by měly používat pouze Microsoft Entra ID identity pro ověřování
Azure Database for MySQL by měl mít zřízený správce Microsoft Entra Pokud chcete povolit ověřování Microsoft Entra, zřiďte správce Microsoft Entra pro Azure Database for MySQL. ověřování Microsoft Entra umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft správce A Microsoft Entra by měl být zřízený pro servery MySQL
Azure Database for PostgreSQL by měl mít zřízený správce Microsoft Entra Pokud chcete povolit ověřování Microsoft Entra, zřiďte správce Microsoft Entra pro Azure Database for PostgreSQL. ověřování Microsoft Entra umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft správce A Microsoft Entra by měl být zřízený pro servery PostgreSQL

Doporučení System updates should be installed on your machines (powered by Správce aktualizace Azure) a Machines should be configured to periodically check for missing system updates byla vydána pro obecnou dostupnost.

Pokud chcete nové doporučení použít, musíte:

  • Připojte počítače, které nejsou Azure, ke službě Arc.
  • Povolte vlastnost pravidelného hodnocení. Můžete použít tlačítko Opravit. v novém doporučení Machines should be configured to periodically check for missing system updates opravte doporučení.

Po dokončení těchto kroků můžete staré doporučení odebrat System updates should be installed on your machines tím, že ho zakážete z integrované iniciativy Defender for Cloud v zásadách Azure.

Dvě verze doporučení:

Obě verze budou k dispozici < až do 31. srpna 2024Log Analytics>, kdy bude starší verze () doporučení zastaralá. Obě doporučení vrací stejné výsledky a jsou k dispozici ve stejném ovládacím prvku Apply system updates.

Nové doporučení System updates should be installed on your machines (powered by Správce aktualizace Azure) má k dispozici tok nápravy prostřednictvím tlačítka Opravit, které lze použít k nápravě všech výsledků prostřednictvím Update Manageru (Preview). Tento proces nápravy je stále ve verzi Preview.

Nové doporučení System updates should be installed on your machines (powered by Správce aktualizace Azure) nemá vliv na vaše skóre zabezpečení, protože má stejné výsledky jako původní doporučení System updates should be installed on your machines.

Doporučení k předpokladu (povolení vlastnosti pravidelného hodnocení) má negativní vliv na vaše skóre zabezpečení. Negativní efekt můžete napravit pomocí dostupného tlačítka Opravit.

Defender pro rozhraní API (Preview)

Microsoft Defender for Cloud oznamujeme, že nová Defender pro rozhraní API je dostupná ve verzi Preview.

Defender pro rozhraní API nabízí úplnou ochranu životního cyklu, detekci a pokrytí odpovědí pro rozhraní API.

Defender pro rozhraní API vám pomůže získat přehled o důležitých obchodních rozhraních API. Můžete prozkoumat a vylepšit stav zabezpečení rozhraní API, určit prioritu oprav ohrožení zabezpečení a rychle detekovat aktivní hrozby v reálném čase.

Přečtěte si další informace o Defender pro rozhraní API.

Březen 2023

Mezi aktualizace v březnu patří:

K dispozici je nový Defender pro plán úložiště, včetně kontroly malwaru téměř v reálném čase a detekce citlivých hrozeb pro data.

Cloudové úložiště hraje klíčovou roli v organizaci a ukládá velké objemy cenných a citlivých dat. Dnes oznamujeme nový Defender pro plán úložiště. Pokud používáte předchozí plán (teď se přejmenujete na "Defender for Storage (classic)"), musíte proaktivně migrovat do nového plánu, aby bylo možné používat nové funkce a výhody.

Nový plán obsahuje pokročilé možnosti zabezpečení, které pomáhají chránit před škodlivými nahráváním souborů, exfiltrací citlivých dat a poškozením dat. Poskytuje také předvídatelnější a flexibilnější cenovou strukturu pro lepší kontrolu nad pokrytím a náklady.

Nový plán má nyní nové funkce ve verzi Public Preview:

  • Detekce ohrožení citlivých dat a událostí exfiltrace

  • Kontrola malwaru téměř v reálném čase při nahrávání malwaru napříč všemi typy souborů

  • Detekce entit bez identit pomocí tokenů SAS

Tyto funkce vylepšují stávající funkce monitorování aktivit na základě analýzy protokolů řídicích a rovin dat a modelování chování za účelem identifikace počátečních známek porušení zabezpečení.

Všechny tyto funkce jsou k dispozici v novém předvídatelném a flexibilním cenovém plánu, který poskytuje podrobnou kontrolu nad ochranou dat na úrovni předplatného i prostředků.

Další informace najdete v Přehled Microsoft Defender pro storage.

Stav zabezpečení pracující s daty (Preview)

Microsoft Defender for Cloud pomáhá týmům zabezpečení zvýšit produktivitu při snižování rizik a reagování na porušení zabezpečení v cloudu. Umožňuje jim snížit šum s kontextem dat a určit prioritu nejdůležitějších bezpečnostních rizik, což brání nákladnému úniku dat.

  • Automaticky zjišťovat datové prostředky napříč cloudovými aktivy a vyhodnocovat jejich přístupnost, citlivost dat a nakonfigurované toky dat. -Nepřetržitě odkryjte rizika pro porušení zabezpečení citlivých prostředků dat, vystavení nebo cesty útoku, které by mohly vést k datovému prostředku pomocí techniky laterálního pohybu.
  • Detekujte podezřelé aktivity, které můžou znamenat probíhající hrozbu pro citlivé datové prostředky.

Přečtěte si další informace o stavu zabezpečení s podporou dat.

Vylepšené prostředí pro správu výchozích zásad zabezpečení Azure

Zavádíme vylepšené prostředí pro správu zásad zabezpečení Azure pro integrovaná doporučení, která zjednodušují způsob, jakým Defender for Cloud zákazníci dolaďují požadavky na zabezpečení. Nové prostředí zahrnuje následující nové funkce:

  • Jednoduché rozhraní umožňuje lepší výkon a prostředí při správě výchozích zásad zabezpečení v rámci Defender for Cloud.
  • Jediné zobrazení všech předdefinovaných doporučení zabezpečení nabízených srovnávacím testem zabezpečení cloudu Microsoft (dříve srovnávací test zabezpečení Azure). Doporučení jsou uspořádaná do logických skupin, což usnadňuje pochopení typů zahrnutých prostředků a vztah mezi parametry a doporučeními.
  • Byly přidány nové funkce, jako jsou filtry a vyhledávání.

Zjistěte, jak spravovat zásady zabezpečení.

Přečtěte si blog Microsoft Defender for Cloud.

Defender CSPM (správa stavu cloudového zabezpečení) je nyní obecně dostupná (GA)

Oznamujeme, že Defender CSPM je nyní obecně dostupná (GA). Defender CSPM nabízí všechny služby dostupné v rámci základních funkcí CSPM a přináší následující výhody:

  • Analýza cest útoku a rozhraní ARG API – Analýza cest útoku používá algoritmus založený na grafech, který prohledá graf cloudového zabezpečení, aby zpřístupnil cesty útoku a navrhl doporučení týkající se nejlepší nápravy problémů, které přerušují cestu útoku a brání úspěšnému porušení zabezpečení. Cesty útoku můžete také využívat programově dotazováním rozhraní API Azure Resource Graph (ARG). Naučte se používat analýzu cest útoku.
  • Průzkumník zabezpečení cloudu – Pomocí Průzkumníka zabezpečení cloudu můžete spouštět dotazy založené na grafech v grafu cloudového zabezpečení k proaktivní identifikaci bezpečnostních rizik ve vícecloudových prostředích. Přečtěte si další informace o Průzkumníku zabezpečení cloudu.

Přečtěte si další informace o Defender CSPM.

Možnost vytvoření vlastních doporučení a standardů zabezpečení v Microsoft Defender for Cloud

Microsoft Defender for Cloud poskytuje možnost vytvářet vlastní doporučení a standardy pro AWS a GCP pomocí dotazů KQL. Pomocí editoru dotazů můžete vytvářet a testovat dotazy nad daty. Tato funkce je součástí plánu Defender CSPM (Správa stavu zabezpečení cloudu). Naučte se vytvářet vlastní doporučení a standardy.

Microsoft srovnávací test cloudového zabezpečení (MCSB) verze 1.0 je nyní obecně dostupný (GA).

Microsoft Defender for Cloud oznamujeme, že srovnávací test Microsoft cloudového zabezpečení (MCSB) verze 1.0 je nyní obecně dostupný (GA).

MCSB verze 1.0 nahrazuje Azure Security Benchmark (ASB) verze 3 jako výchozí zásady zabezpečení Defender for Cloud. McSB verze 1.0 se zobrazí jako výchozí standard dodržování předpisů na řídicím panelu dodržování předpisů a je ve výchozím nastavení povolený pro všechny zákazníky Defender for Cloud.

Dozvíte se také, Pokud Microsoft srovnávací test zabezpečení cloudu (MCSB) vám pomůže úspěšně na cestě zabezpečení cloudu.

Přečtěte si další informace o MCSB.

Některé standardy dodržování právních předpisů jsou teď dostupné v cloudech pro státní správu.

Tyto standardy aktualizujeme pro zákazníky v Azure Government a Microsoft Azure provozované společností 21Vianet.

Azure Government:

Microsoft Azure provozovaný společností 21Vianet:

Zjistěte, jak přizpůsobit sadu standardů na řídicím panelu dodržování právních předpisů.

Nové doporučení preview pro servery Azure SQL

Přidali jsme nové doporučení pro servery Azure SQL, Azure SQL Server authentication mode should be Azure Active Directory Only (Preview).

Doporučení vychází ze stávajících zásad Azure SQL Database should have Azure Active Directory Only Authentication enabled

Toto doporučení zakazuje místní metody ověřování a umožňuje pouze ověřování Microsoft Entra, což zlepšuje zabezpečení tím, že zajišťuje, aby k databázím Azure SQL bylo možné přistupovat výhradně Microsoft Entra ID identitami.

Zjistěte, jak vytvořit servery s povoleným ověřováním jen pro Azure AD v Azure SQL.

Nová výstraha v Defender pro Key Vault

Defender pro Key Vault má následující novou výstrahu:

Výstraha (typ výstrahy) Description Taktika MITRE Severity
Odepření přístupu z podezřelé IP adresy k trezoru klíčů
(KV_SuspiciousIPAccessDenied)		 Neúspěšný přístup k trezoru klíčů se pokusil ip adresa, kterou Microsoft Analýza hrozeb identifikovala jako podezřelou IP adresu. I když byl tento pokus neúspěšný, znamená to, že vaše infrastruktura mohla být ohrožena. Doporučujeme provést další šetření. Přístup k přihlašovacím údajům Low

Zobrazí se seznam všech alertů dostupných pro Key Vault.

Únor 2023

Mezi aktualizace v únoru patří:

Enhanced Cloud Security Explorer

Vylepšená verze Průzkumníka zabezpečení cloudu zahrnuje aktualizované uživatelské prostředí, které výrazně odstraňuje tření dotazů, přidala možnost spouštět vícecloudové a vícefaktorové dotazy a vloženou dokumentaci pro každou možnost dotazu.

Průzkumník cloudových zabezpečení teď umožňuje spouštět dotazy abstrahované v cloudu napříč prostředky. Můžete použít předem připravené šablony dotazů nebo použít vlastní vyhledávání k vytvoření dotazu filtry. Zjistěte , jak spravovat Průzkumníka zabezpečení cloudu.

Defender kontroly ohrožení zabezpečení kontejnerů při spouštění imagí Linuxu teď obecně dostupné

Defender pro kontejnery detekuje ohrožení zabezpečení ve spuštěných kontejnerech. Podporují se kontejnery Windows i Linuxu.

V srpnu 2022 byla tato funkce vydána ve verzi Preview pro Windows a Linux. Teď ji vydáváme pro obecnou dostupnost (GA) pro Linux.

Po zjištění ohrožení zabezpečení Defender for Cloud vygeneruje následující doporučení zabezpečení se seznamem zjištění kontroly: V imagích kontejnerů by se měla vyřešit zjištění ohrožení zabezpečení.

Přečtěte si další informace o zobrazení ohrožení zabezpečení pro spouštění imagí.

Oznámení podpory standardu dodržování předpisů AWS CIS 1.5.0

Defender for Cloud nyní podporuje standard dodržování předpisů CIS Amazon Web Services Foundations v1.5.0. Standard je možné přidat na řídicí panel dodržování právních předpisů a staví na stávajících nabídkách MDC pro doporučení a standardy pro vícecloudové prostředí.

Tento nový standard zahrnuje stávající i nová doporučení, která rozšiřují pokrytí Defender for Cloud na nové služby a prostředky AWS.

Naučte se spravovat posouzení a standardy AWS.

Microsoft Defender for DevOps (Preview) je nyní k dispozici v jiných oblastech.

Microsoft Defender for DevOps rozšířil svou verzi Preview a je nyní k dispozici v oblastech Západní Evropa a Východní Austrálie, když nasadíte prostředky Azure DevOps a GitHub.

Přečtěte si další informace o Microsoft Defender for DevOps.

Předdefinované zásady [Preview]: Privátní koncový bod by měl být nakonfigurovaný pro Key Vault je zastaralý.

Předdefinovaná zásada [Preview]: Private endpoint should be configured for Key Vault je zastaralá a nahrazená zásadami [Preview]: Azure Key Vaults should use private link.

Přečtěte si další informace o integraci Azure Key Vault s Azure Policy.

leden 2023

Mezi aktualizace v lednu patří:

K komponentě Endpoint Protection (Microsoft Defender for Endpoint) se teď přistupuje na stránce Nastavení a monitorování.

Pokud chcete získat přístup ke službě Endpoint Protection, přejděte na NastaveníEnvironmentu>Defender plány>Nastavení a monitorování. Tady můžete nastavit ochranu koncového bodu na Zapnuto. Můžete také zobrazit další spravované komponenty.

Přečtěte si další informace o nabídání Microsoft Defender for Endpoint na serverech s Defender pro servery.

Nová verze doporučení pro vyhledání chybějících aktualizací systému (Preview)

Už na virtuálních počítačích Azure a Azure Arc nepotřebujete agenta, abyste měli jistotu, že mají všechny nejnovější aktualizace zabezpečení nebo důležitého systému.

Doporučení nových aktualizací systému, System updates should be installed on your machines (powered by Správce aktualizace Azure) v ovládacím prvku Apply system updates, je založeno na Update Manager (Preview). Doporučení spoléhá na nativního agenta vloženého do každého virtuálního počítače Azure a Azure Arc počítačů místo nainstalovaného agenta. Rychlá oprava v novém doporučení vás povede k jednorázové instalaci chybějících aktualizací na portálu Update Manager.

Pokud chcete nové doporučení použít, musíte:

  • Připojení počítačů, které nejsou Azure, ke službě Arc
  • Zapněte vlastnost pravidelného hodnocení. Doporučení můžete opravit pomocí rychlé opravy v novém doporučení Machines should be configured to periodically check for missing system updates .

Stávající doporučení "Aktualizace systému by se měly nainstalovat na vaše počítače", které závisí na agentu Log Analytics, jsou stále dostupné pod stejným řízením.

Vyčištění odstraněných Azure Arc počítačů v připojených účtech AWS a GCP

Počítač připojený k účtu AWS a GCP, na který se vztahuje Defender pro servery nebo Defender pro SQL na počítačích, je reprezentován v Defender for Cloud jako počítač Azure Arc. Doteď se tento počítač neodstranil z inventáře, když byl počítač odstraněn z účtu AWS nebo GCP. Vede k zbytečným Azure Arc prostředkům, které zůstaly v Defender for Cloud, které představují odstraněné počítače.

Defender for Cloud teď automaticky odstraní Azure Arc počítače, když se tyto počítače odstraní v připojeném účtu AWS nebo GCP.

Povolení průběžného exportu do služby Event Hubs za bránou firewall

Teď můžete povolit průběžný export výstrah a doporučení jako důvěryhodnou službu do služby Event Hubs, které jsou chráněné bránou firewall Azure.

Průběžný export můžete povolit při generování výstrah nebo doporučení. Můžete také definovat plán pro odesílání pravidelných snímků všech nových dat.

Zjistěte, jak povolit kontinuózní export do služby Event Hubs za bránou firewall Azure.

Název ovládacího prvku Bezpečnostní skóre Ochrana aplikací pomocí Azure pokročilých síťových řešení se změní.

Ovládací prvek zabezpečeného skóre Protect your applications with Azure advanced networking solutions se změní na Protect applications against DDoS attacks.

Aktualizovaný název se projeví v rozhraní API pro Azure Resource Graph (ARG), rozhraní API pro ovládací prvky skóre zabezpečení a Download CSV report.

Nastavení posouzení ohrožení zabezpečení zásad pro SQL Server by měla obsahovat e-mailovou adresu pro příjem sestav kontroly, která je zastaralá.

Zásada Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports je zastaralá.

E-mailová sestava posouzení ohrožení zabezpečení SQL Defender je stále dostupná a stávající konfigurace e-mailu se nezměnily.

Doporučení k povolení diagnostických protokolů pro Virtual Machine Scale Sets je zastaralé

Doporučení Diagnostic logs in Virtual Machine Scale Sets should be enabled je zastaralé.

Definice souvisejících zásad byla také vyřazena ze všech standardů zobrazených na řídicím panelu dodržování právních předpisů.

Recommendation Description Severity
Diagnostické protokoly v Virtual Machine Scale Sets by měly být povolené. Povolte protokoly a zachovejte je až na rok, abyste mohli znovu vytvořit záznamy aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. Low

Prosinec 2022

Mezi aktualizace v prosinci patří:

Oznámení expresní konfigurace pro posouzení ohrožení zabezpečení v Defender pro SQL

Expresní konfigurace posouzení ohrožení zabezpečení v Microsoft Defender pro SQL poskytuje týmům zabezpečení zjednodušené prostředí konfigurace pro Azure SQL databáze a vyhrazené fondy SQL mimo pracovní prostory Synapse.

Díky expresní konfiguraci posouzení ohrožení zabezpečení můžou bezpečnostní týmy:

  • Dokončete konfiguraci posouzení ohrožení zabezpečení v konfiguraci zabezpečení prostředku SQL bez dalších nastavení nebo závislostí na účtech úložiště spravovaných zákazníkem.
  • Okamžitě přidejte výsledky kontroly do směrných plánů, aby se stav hledání změn z stavu Není v pořádku na V pořádku bez opětovného prohledání databáze.
  • Přidejte více pravidel do směrných plánů najednou a použijte nejnovější výsledky kontroly.
  • Povolte posouzení ohrožení zabezpečení pro všechny servery Azure SQL, když zapnete Microsoft Defender pro databáze na úrovni předplatného.

Přečtěte si další informace o posouzení ohrožení zabezpečení SQL Defender.

Listopad 2022

Mezi aktualizace v listopadu patří:

Ochrana kontejnerů v organizaci GCP pomocí Defender pro kontejnery

Teď můžete pro vaše prostředí GCP povolit Defender pro kontejnery a chránit tak standardní clustery GKE v celé organizaci GCP. Stačí vytvořit nový konektor GCP s povoleným Defender pro kontejnery nebo povolit Defender pro kontejnery na existujícím konektoru GCP na úrovni organizace.

Přečtěte si další informace o pojování projektů a organizací GCP k Defender for Cloud.

Ověření Defender pro ochranu kontejnerů pomocí ukázkových upozornění

Teď můžete vytvořit ukázková upozornění také pro plán Defender pro kontejnery. Nová ukázková upozornění se zobrazují jako clustery AKS, clustery připojené ke službě Arc, EKS a GKE s různými závažnostmi a taktikou MITRE. Ukázková upozornění můžete použít k ověření konfigurací výstrah zabezpečení, jako jsou integrace SIEM, automatizace pracovních postupů a e-mailová oznámení.

Přečtěte si další informace o ověřování upozornění.

Pravidla zásad správného řízení ve velkém měřítku (Preview)

S radostí oznamujeme novou možnost používat pravidla zásad správného řízení ve velkém měřítku (Preview) v Defender for Cloud.

Díky tomuto novému prostředí můžou týmy zabezpečení hromadně definovat pravidla zásad správného řízení pro různé obory (předplatná a konektory). Týmy zabezpečení můžou tuto úlohu provést pomocí oborů správy, jako jsou skupiny pro správu Azure, účty nejvyšší úrovně AWS nebo organizace GCP.

Stránka Pravidla zásad správného řízení (Preview) navíc obsahuje všechna dostupná pravidla zásad správného řízení, která jsou platná v prostředích organizace.

Přečtěte si další informace o nových pravidlech zásad správného řízení ve velkém měřítku.

Note

Od 1. ledna 2023 musíte mít pro předplatné nebo konektor povolený plán Defender CSPM pro vaše předplatné nebo konektor.

Možnost vytvářet vlastní posouzení v AWS a GCP (Preview) je zastaralá.

Možnost vytvářet vlastní hodnocení pro účty AWS a projekty GCP, což byla funkce Preview, je zastaralá.

Doporučení ke konfiguracifrontch

Doporučení Lambda functions should have a dead-letter queue configured je zastaralé.

Recommendation Description Severity
Funkce lambda by měly mít nakonfigurovanou frontu nedoručených zpráv. Tento ovládací prvek zkontroluje, jestli je funkce Lambda nakonfigurovaná s frontou nedoručených zpráv. Pokud není funkce Lambda nakonfigurovaná s frontou nedoručených zpráv, ovládací prvek selže. Jako alternativu k cíli při selhání můžete funkci nakonfigurovat s frontou nedoručených zpráv, která ukládá zahozené události pro další zpracování. Fronta nedoručených zpráv funguje stejně jako cíl selhání. Používá se, když událost selže všechny pokusy o zpracování nebo vyprší bez zpracování. Fronta nedoručených zpráv umožňuje podívat se na chyby nebo neúspěšné požadavky na funkci Lambda za účelem ladění nebo identifikace neobvyklého chování. Z hlediska zabezpečení je důležité pochopit, proč vaše funkce selhala, a zajistit, aby vaše funkce v důsledku toho nezahazovala data ani neohrožovala zabezpečení dat. Pokud například vaše funkce nemůže komunikovat s podkladovým prostředkem, který může být příznakem útoku doS (DoS) jinde v síti. Medium

Říjen 2022

Mezi aktualizace v říjnu patří:

Oznámení srovnávacího testu zabezpečení cloudu Microsoft

Srovnávací test zabezpečení cloudu Microsoft (MCSB) je nová architektura definující základní principy zabezpečení cloudu založené na běžných oborových standardech a architekturách dodržování předpisů. Spolu s podrobnými technickými pokyny pro implementaci těchto osvědčených postupů napříč cloudovými platformami. MCSB nahrazuje Azure Security Benchmark. MCSB poskytuje podrobné podrobnosti o tom, jak implementovat doporučení týkající se zabezpečení nezávislé na cloudu na několika platformách cloudových služeb, které zpočátku pokrývají Azure a AWS.

Stav dodržování předpisů zabezpečení cloudu teď můžete monitorovat na jednom integrovaném řídicím panelu. McSB můžete vidět jako výchozí standard dodržování předpisů, když přejdete na řídicí panel dodržování právních předpisů Defender for Cloud.

Microsoft srovnávací test cloudového zabezpečení se při registraci Defender for Cloud automaticky přiřadí k vašim předplatným Azure a účtům AWS.

Přečtěte si další informace o srovnávacím testu zabezpečení cloudu Microsoft.

Analýza cesty útoku a kontextové možnosti zabezpečení v Defender for Cloud (Preview)

Nový graf zabezpečení cloudu, analýza cest útoku a kontextové možnosti zabezpečení cloudu jsou nyní k dispozici v Defender for Cloud ve verzi Preview.

Jedním z největších problémů, kterým dnes čelí bezpečnostní týmy, je počet bezpečnostních problémů, kterým čelí každý den. Existuje mnoho problémů se zabezpečením, které je potřeba vyřešit, a nikdy dostatek prostředků k jejich řešení.

Defender for Cloud nový graf zabezpečení cloudu a možnosti analýzy cest útoku poskytují týmům zabezpečení možnost vyhodnotit riziko za každým problémem zabezpečení. Týmy zabezpečení také můžou identifikovat nejvyšší rizikové problémy, které je potřeba vyřešit co nejdříve. Defender for Cloud spolupracuje s bezpečnostními týmy, aby co nejefektivnějším způsobem snížil riziko ovlivněného porušení zabezpečení jejich prostředí.

Přečtěte si další informace o novém grafu zabezpečení cloudu, analýze cest útoku a Průzkumníku zabezpečení cloudu.

Kontrola bez agentů pro počítače Azure a AWS (Preview)

Doteď Defender for Cloud na základě posouzení stavu virtuálních počítačů na řešeních založených na agentech. Abychom zákazníkům pomohli maximalizovat pokrytí a snížit zatížení při onboardingu a správě, vydáváme kontrolu bez agentů pro virtuální počítače ve verzi Preview.

Díky prohledávání virtuálních počítačů bez agentů získáte široký přehled o nainstalovaných softwarových a softwarových cves. Získáte přehled bez problémů s instalací a údržbou agenta, požadavky na připojení k síti a vlivem na výkon vašich úloh. Analýza je založená na Microsoft Defender Správa zranitelností.

Kontrola ohrožení zabezpečení bez agentů je dostupná v Defender Správě stavu zabezpečení cloudu (CSPM) i v Defender pro servery P2 s nativní podporou AWS a Azure virtuálních počítačů.

Defender for DevOps (Preview)

Microsoft Defender for Cloud umožňuje komplexní viditelnost, správu stavu a ochranu před hrozbami napříč hybridními a multicloudovými prostředími, včetně Azure, AWS, Googlu a místních prostředků.

Nový plán Defender for DevOps teď integruje systémy správy zdrojového kódu, jako jsou GitHub a Azure DevOps, do Defender for Cloud. Díky této nové integraci umožňujeme týmům zabezpečení chránit své prostředky před kódem do cloudu.

Defender for DevOps vám umožní získat přehled o propojených vývojářských prostředích a prostředcích kódu a spravovat je. V současné době můžete připojit systémy Azure DevOps a GitHub k Defender for Cloud a připojit úložiště DevOps k Inventáři a nové stránce zabezpečení DevOps. Poskytuje týmům zabezpečení základní přehled zjištěných problémů zabezpečení, které v nich existují, na sjednocené stránce zabezpečení DevOps.

U žádostí o přijetí změn můžete nakonfigurovat poznámky, které vývojářům pomůžou řešit zjištění kontroly tajných kódů v Azure DevOps přímo na jejich žádostech o přijetí změn.

Nástroje zabezpečení od Microsoftu DevOps můžete nakonfigurovat na pracovních postupech Azure Pipelines a GitHub, abyste povolili následující kontroly zabezpečení:

Name Jazyk License
Bandit Python Apache License 2.0
BinSkim Binární – Windows, ELF Licence MIT
ESlint JavaScript Licence MIT
CredScan (jenom Azure DevOps) Credential Scanner (označovaný také jako CredScan) je nástroj vyvinutý a udržovaný Microsoft k identifikaci nevracení přihlašovacích údajů, jako jsou ty ve zdrojovém kódu a běžných typech konfiguračních souborů: výchozí hesla, připojovací řetězce SQL, certifikáty s privátními klíči. Není open source
Template Analyze Šablona ARM, soubor Bicep Licence MIT
Terrascan Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, cloudová tvorba Apache License 2.0
Trivy Image kontejnerů, systémy souborů, úložiště Git Apache License 2.0

Pro DevOps jsou teď k dispozici následující nová doporučení:

Recommendation Description Severity
(Preview) Úložiště kódu by měla mít vyřešená zjištění kontroly kódu. Defender for DevOps v úložištích kódu se objevila ohrožení zabezpečení. Pokud chcete zlepšit stav zabezpečení úložišť, důrazně doporučujeme tyto chyby zabezpečení napravit. (Žádné související zásady) Medium
(Preview) Úložiště kódu by měla mít vyřešená zjištění kontroly tajných kódů. Defender for DevOps našla tajný kód v úložištích kódu.  Mělo by se to napravit okamžitě, aby se zabránilo narušení zabezpečení.  Tajné kódy nalezené v úložištích můžou být únikem nebo zjištěním nežádoucími osobami, což vede k ohrožení aplikace nebo služby. Pro Azure DevOps nástroj zabezpečení od Microsoftu DevOps CredScan kontroluje pouze sestavení, na kterých je nakonfigurovaná ke spuštění. Výsledky proto nemusí odrážet úplný stav tajných kódů ve vašich úložištích. (Žádné související zásady) High
(Preview) Úložiště kódu by měla mít vyřešené zjištění kontroly Dependabotu. Defender for DevOps v úložištích kódu se objevila ohrožení zabezpečení. Pokud chcete zlepšit stav zabezpečení úložišť, důrazně doporučujeme tyto chyby zabezpečení napravit. (Žádné související zásady) Medium
(Preview) Úložiště kódu by měla mít infrastrukturu, protože zjištěná zjištění kontroly kódu (Preview) Úložiště kódu by měla mít infrastrukturu, protože zjištěná zjištění kontroly kódu Medium
(Preview) úložiště GitHub by měla mít povolenou kontrolu kódu GitHub používá ke kontrole kódu analýzu kódu, aby bylo možné najít ohrožení zabezpečení a chyby v kódu. Kontrolu kódu je možné použít k vyhledání, třídění a určení priorit oprav stávajících problémů v kódu. Kontrola kódu může také zabránit vývojářům v zavedení nových problémů. Kontroly je možné naplánovat na konkrétní dny a časy nebo se můžou aktivovat kontroly, když v úložišti dojde k určité události, jako je například nabízení. Pokud kontrola kódu najde potenciální ohrožení zabezpečení nebo chybu v kódu, GitHub zobrazí výstrahu v úložišti. Ohrožení zabezpečení je problém v kódu projektu, který by mohl být zneužit k poškození důvěrnosti, integrity nebo dostupnosti projektu. (Žádné související zásady) Medium
(Preview) úložiště GitHub by měla mít povolenou kontrolu tajných kódů GitHub prohledává úložiště známých typů tajných kódů, aby se zabránilo podvodnému použití tajných kódů, které byly omylem potvrzeny do úložišť. Kontrola tajných kódů zkontroluje celou historii Gitu na všech větvích, které jsou v úložišti GitHub, a zobrazí všechny tajné kódy. Příklady tajných kódů jsou tokeny a privátní klíče, které může poskytovatel služeb vydávat za účely ověřování. Pokud je tajný kód vrácený do úložiště, může každý, kdo má k úložišti přístup pro čtení, použít tajný kód pro přístup k externí službě s těmito oprávněními. Tajné kódy by měly být uložené ve vyhrazeném zabezpečeném umístění mimo úložiště projektu. (Žádné související zásady) High
(Preview) úložiště GitHub by měla mít povolenou kontrolu Dependabot GitHub odesílá upozornění Dependabota, když detekuje ohrožení zabezpečení v závislostech kódu, které ovlivňují úložiště. Ohrožení zabezpečení je problém v kódu projektu, který by mohl být zneužit k poškození důvěrnosti, integrity nebo dostupnosti projektu nebo jiných projektů, které používají jeho kód. Ohrožení zabezpečení se liší v typu, závažnosti a metodě útoku. Pokud kód závisí na balíčku, který má ohrožení zabezpečení, může tato ohrožená závislost způsobit celou řadu problémů. (Žádné související zásady) Medium

Doporučení Defender for DevOps nahradila zastaralou kontrolu ohrožení zabezpečení pro pracovní postupy CI/CD, které byly součástí Defender pro kontejnery.

Další informace o Defender for DevOps

Řídicí panel dodržování právních předpisů teď podporuje správu ručního řízení a podrobné informace o stavu dodržování předpisů Microsoft

Řídicí panel dodržování předpisů v Defender for Cloud je klíčovým nástrojem, který zákazníkům pomůže pochopit a sledovat jejich stav dodržování předpisů. Zákazníci můžou nepřetržitě monitorovat prostředí v souladu s požadavky z mnoha různých standardů a předpisů.

Stav dodržování předpisů teď můžete plně spravovat ručním testováním provozu a dalších kontrolních mechanismů. Pro kontroly, které nejsou automatizované, nyní můžete poskytnout důkaz o dodržování předpisů. Spolu s automatizovanými hodnoceními nyní můžete vygenerovat úplnou sestavu dodržování předpisů v rámci vybraného oboru, která se týká celého souboru kontrol pro daný standard.

Kromě toho s bohatšími informacemi o kontrole a podrobnými informacemi a důkazy o stavu dodržování předpisů Microsoft teď máte všechny informace potřebné pro audity na dosah ruky.

Mezi výhody patří:

  • Ruční akce zákazníka poskytují mechanismus pro ruční testování dodržování předpisů s neautomatizovanými ovládacími prvky. Včetně možnosti propojit důkazy, nastavte datum dodržování předpisů a datum vypršení platnosti.

  • Podrobnější informace o řízení podporovaných standardů, které ukazují akce Microsoft a manual customer actions kromě již existujících automatizovaných akcí zákazníků.

  • Microsoft akce poskytují transparentnost stavu dodržování předpisů Microsoft, který zahrnuje postupy posuzování auditu, výsledky testů a Microsoft odpovědi na odchylky.

  • Nabídky pro dodržování předpisů poskytují centrální umístění pro kontrolu Azure, Dynamics 365 a produktů Power Platform a příslušných certifikací dodržování právních předpisů.

Přečtěte si další informace o tom, jak Pokudovat dodržování právních předpisů s Defender for Cloud.

Automatické zřizování se přejmenuje na Nastavení a monitorování a má aktualizované prostředí.

Přejmenovali jsme stránku automatického zřizování na Nastavení a monitorování.

Automatické zřizování bylo určeno k povolení požadavků ve velkém měřítku, které jsou potřeba pokročilými funkcemi a možnostmi Defender for Cloud. Pro lepší podporu našich rozšířených možností spouštíme nové prostředí s následujícími změnami:

Stránka plánů Defender for Cloud teď obsahuje:

  • Když povolíte plán Defender, který vyžaduje monitorování komponent, jsou tyto komponenty povolené pro automatické zřizování s výchozím nastavením. Tato nastavení je možné kdykoli upravit.
  • Na stránce plánu Defender můžete přistupovat k nastavení součástí monitorování pro každý plán Defender.
  • Stránka Defender plány jasně označuje, jestli jsou pro každý plán Defender zavedeny všechny komponenty monitorování nebo jestli je pokrytí monitorování neúplné.

Stránka Nastavení a monitorování:

  • Každá komponenta monitorování označuje Defender plány, se kterými souvisí.

Přečtěte si další informace o správě nastavení monitorování.

správa stavu zabezpečení cloudu Defender (CSPM)

Jedním z hlavních pilířů Microsoft Defender for Cloud zabezpečení cloudu je správa stavu zabezpečení cloudu (CSPM). CSPM poskytuje pokyny k posílení zabezpečení, které vám pomůžou efektivně a efektivně zlepšit zabezpečení. CSPM vám také poskytne přehled o vaší aktuální situaci v oblasti zabezpečení.

Oznamujeme nový plán Defender: Defender CSPM. Tento plán vylepšuje možnosti zabezpečení Defender for Cloud a zahrnuje následující nové a rozšířené funkce:

  • Průběžné posuzování konfigurace zabezpečení cloudových prostředků
  • Doporučení zabezpečení k opravě chybných konfigurací a slabých stránek
  • Bezpečnostní skóre
  • Governance
  • Dodržování právních předpisů
  • Graf zabezpečení cloudu
  • Analýza cesty útoku
  • Kontrola počítačů bez agentů

Přečtěte si další informace o plánu Defender CSPM.

Mapování architektury MITRE ATT&CK je nyní k dispozici také pro doporučení zabezpečení AWS a GCP.

U analytiků zabezpečení je důležité identifikovat potenciální rizika spojená s doporučeními zabezpečení a porozumět vektorům útoku, aby mohli efektivně určit prioritu svých úkolů.

Defender for Cloud usnadňuje stanovení priorit mapováním doporučení zabezpečení Azure, AWS a GCP proti MITRE ATT& CK framework. Architektura MITRE ATT&CK je globálně přístupná znalostní báze nežádoucí taktiky a technik založených na skutečných pozorováních, což zákazníkům umožňuje posílit zabezpečenou konfiguraci jejich prostředí.

Architektura MITRE ATT&CK je integrovaná třemi způsoby:

  • Doporučení mapují taktiku a techniky MITRE ATT&CK.
  • Dotaz MITRE ATT& Taktika a techniky CK týkající se doporučení s využitím Azure Resource Graph

Screenshot, který ukazuje, kde na portálu Azure existuje útok MITRE.

Defender pro kontejnery teď podporuje posouzení ohrožení zabezpečení pro Elastic Container Registry (Preview)

Microsoft Defender pro kontejnery teď poskytuje kontrolu posouzení ohrožení zabezpečení bez agentů pro Elastic Container Registry (ECR) v Amazon AWS. Rozšíření pokrytí prostředí s více cloudy, které vychází z verze staršího roku rozšířené ochrany před hrozbami a posílení zabezpečení prostředí Kubernetes pro AWS a Google GCP. Model bez agentů vytvoří ve vašich účtech prostředky AWS, které budou prohledávat image bez extrahování imagí z účtů AWS a bez jakýchkoli nároků na vaši úlohu.

Kontrola posouzení ohrožení zabezpečení bez agentů pro image v úložištích ECR pomáhá snížit prostor pro útoky na kontejnerizovaná aktiva tím, že nepřetržitě kontroluje image za účelem identifikace a správy ohrožení zabezpečení kontejnerů. V této nové verzi Defender for Cloud prohledá image kontejnerů, jakmile se nasdílí do úložiště, a průběžně znovu posoudí image kontejnerů ECR v registru. Tato zjištění jsou k dispozici v Microsoft Defender for Cloud jako doporučení a můžete použít integrované automatizované pracovní postupy Defender for Cloud k provedení akcí na zjištěních, jako je otevření lístku pro opravu ohrožení zabezpečení s vysokou závažností na obrázku.

Přečtěte si další informace o posouzení ohrožení zabezpečení pro image Amazon ECR.

září 2022

Mezi aktualizace v září patří:

Potlačení upozornění na základě entit kontejneru a Kubernetes

  • Obor názvů Kubernetes
  • Kubernetes Pod
  • Tajný kód Kubernetes
  • Kubernetes ServiceAccount
  • Sada replik Kubernetes
  • Stavová sada Kubernetes
  • Kubernetes DaemonSet
  • Úloha Kubernetes
  • Kubernetes CronJob

Přečtěte si další informace o pravidlech potlačení upozornění.

Defender pro servery podporuje monitorování integrity souborů pomocí agenta Azure Monitor

Monitorování integrity souborů (FIM) zkoumá soubory operačního systému a registry změn, které můžou značí útok.

FIM je teď k dispozici v nové verzi na základě agenta Azure Monitor (AMA), který můžete deploy prostřednictvím Defender for Cloud.

Vyřazení starších rozhraní API pro posouzení

Následující rozhraní API jsou zastaralá:

  • Úlohy zabezpečení
  • Stavy zabezpečení
  • Souhrny zabezpečení

Tato tři rozhraní API odhalila staré formáty posouzení a nahrazují se rozhraními API pro posouzení a rozhraními API dílčích posouzení. Všechna data vystavená těmito staršími rozhraními API jsou také k dispozici v nových rozhraních API.

Přidání dalších doporučení k identitě

Defender for Cloud doporučení pro zlepšení správy uživatelů a účtů.

Nová doporučení

Nová verze obsahuje následující funkce:

  • Obslužný rozsah vyhodnocení – Pokrytí účtů identit bez vícefaktorového ověřování a externích účtů u prostředků Azure (místo předplatných), které správcům zabezpečení umožňuje zobrazit přiřazení rolí na účet.

  • Vylepšený interval aktuálnosti – Doporučení identit teď mají interval aktuálnosti 12 hodin.

  • Pokudost výjimky – Defender for Cloud nabízí mnoho funkcí, které můžete použít k přizpůsobení prostředí a zajištění, aby vaše bezpečnostní skóre odráželo priority zabezpečení vaší organizace. Můžete například vyloučit prostředky a doporučení ze skóre zabezpečení.

    Tato aktualizace umožňuje vyloučit konkrétní účty z vyhodnocení se šesti doporučeními uvedenými v následující tabulce.

    Obvykle byste z doporučení vícefaktorového ověřování vyloučili účty pro nouzové přerušení, protože tyto účty jsou často záměrně vyloučené z požadavků organizace na vícefaktorové ověřování. Případně můžete mít externí účty, ke kterým chcete povolit přístup, které nemají povolené vícefaktorové ověřování.

    Tip

    Když účet vyjmete, nezobrazí se jako v pořádku a také nezpůsobí, že předplatné není v pořádku.

    Recommendation Klíč posouzení
    Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování 6240402e-f77c-46fa-9060-a7ce53997754
    Účty s oprávněním k zápisu u prostředků Azure by měly být povolené vícefaktorové ověřování c0cb17b2-0607-48a7-b0e0-903ed22de39b
    Účty s oprávněním ke čtení Azure prostředků by měly být povolené vícefaktorové ověřování dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
    Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. 20606e75-05c4-48c0-9d97-add6daa2109a
    Účty hostů s oprávněním k zápisu u prostředků Azure by se měly odebrat. 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
    Účty hostů s oprávněním ke čtení Azure prostředků by se měly odebrat. fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
    Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. 050ac097-3dda-4d24-ab6d-82568e7a50cf
    Blokované účty s oprávněním ke čtení a zápisu u Azure prostředků by se měly odebrat. 1ff0b4c9-ed56-4de6-be9c-d7ab39645926

Doporučení, i když jsou ve verzi Preview, se zobrazí vedle doporučení, která jsou aktuálně ve verzi GA.

Odebrání výstrah zabezpečení pro počítače hlásící se do pracovních prostorů Log Analytics mezi tenanty

V minulosti Defender for Cloud umožňují zvolit pracovní prostor, do kterého Log Analytics agenti hlásí. Když počítač patří jednomu tenantovi (tenantovi A), ale jeho Log Analytics agent hlášený do pracovního prostoru v jiném tenantovi (tenant B), výstrahy zabezpečení o počítači byly nahlášeny prvnímu tenantovi (tenant A).

Díky této změně se upozornění na počítače připojené k pracovnímu prostoru Log Analytics v jiném tenantovi už nezobrazují v Defender for Cloud.

Pokud chcete pokračovat v přijímání výstrah v Defender for Cloud, připojte Log Analytics agenta příslušných počítačů k pracovnímu prostoru ve stejném tenantovi jako počítač.

Přečtěte si další informace o výstrahách zabezpečení.

Srpen 2022

Mezi aktualizace v srpnu patří:

V kontejnerech Windows se teď zobrazují ohrožení zabezpečení spuštěných imagí pomocí Defender pro kontejnery Windows

Defender pro kontejnery teď zobrazuje ohrožení zabezpečení pro spouštění kontejnerů Windows.

Když se zjistí ohrožení zabezpečení, Defender for Cloud vygeneruje následující doporučení zabezpečení se seznamem zjištěných problémů: V imagích kontejnerů by se měla vyřešit zjištění ohrožení zabezpečení.

Přečtěte si další informace o zobrazení ohrožení zabezpečení pro spouštění imagí.

integrace agenta Azure Monitor ve verzi Preview

Defender for Cloud teď zahrnuje podporu verze Preview pro agenta Azure Monitor (AMA). AMA je určen k nahrazení starší verze agenta Log Analytics (označovaného také jako agent Microsoft Monitoring Agent (MMA), který je na cestě k vyřazení. AMA poskytuje mnoho výhod oproti starším agentům.

Když v Defender for Cloud nastavitelné automatické zřizování pro AMA, agent se nasadí na existující a nové virtuální počítače a počítače s povolenými Azure Arc ve vašich předplatných. Pokud jsou povolené plány Defender for Cloud, AMA shromažďuje informace o konfiguraci a protokoly událostí z Azure virtuálních počítačů a Azure Arc počítačů. Integrace AMA je ve verzi Preview, takže ji doporučujeme používat v testovacích prostředích, nikoli v produkčních prostředích.

Následující tabulka uvádí upozornění, která jsou zastaralá:

Název upozornění Description Tactics Severity
Zjištěná operace sestavení Dockeru na uzlu Kubernetes
(VM_ImageBuildOnNode)		 Protokoly počítačů označují operaci sestavení image kontejneru na uzlu Kubernetes. I když toto chování může být legitimní, útočníci můžou místně vytvářet škodlivé image, aby se vyhnuli detekci. Obrana před únikem Low
Podezřelý požadavek na rozhraní Kubernetes API
(VM_KubernetesAPI)		 Protokoly počítačů indikují, že se do rozhraní Kubernetes API provedl podezřelý požadavek. Požadavek byl odeslán z uzlu Kubernetes, pravděpodobně z jednoho z kontejnerů spuštěných v uzlu. I když toto chování může být záměrné, může to znamenat, že uzel spouští ohrožený kontejner. LateralMovement Medium
Server SSH běží v kontejneru.
(VM_ContainerSSH)		 Protokoly počítačů označují, že server SSH běží v kontejneru Dockeru. I když toto chování může být záměrné, často značí, že kontejner je chybně nakonfigurovaný nebo porušený. Execution Medium

Tato upozornění slouží k upozorňování uživatele na podezřelou aktivitu připojenou ke clusteru Kubernetes. Výstrahy budou nahrazeny odpovídajícími výstrahami, které jsou součástí výstrah kontejneru Microsoft Defender for Cloud (K8S.NODE_ImageBuildOnNode, K8S.NODE_ KubernetesAPI a K8S.NODE_ ContainerSSH), které poskytují vylepšenou věrnost a komplexní kontext pro zkoumání a práci s výstrahami. Přečtěte si další informace o upozorněních pro clustery Kubernetes.

Ohrožení zabezpečení kontejnerů teď obsahují podrobné informace o balíčku.

Defender pro posouzení ohrožení zabezpečení kontejneru teď obsahuje podrobné informace o balíčku pro každé hledání, včetně názvu balíčku, typu balíčku, cesty, nainstalované verze a opravené verze. Informace o balíčku vám umožní najít ohrožené balíčky, abyste mohli opravit ohrožení zabezpečení nebo balíček odebrat.

Tyto podrobné informace o balíčku jsou k dispozici pro nové kontroly obrázků.

Snímek obrazovky s informacemi o balíčku pro ohrožení zabezpečení kontejneru

Červenec 2022

Mezi aktualizace v červenci patří:

Obecná dostupnost agenta zabezpečení nativního pro cloud pro ochranu modulu runtime Kubernetes

S radostí sdílíme, že agent zabezpečení nativní pro cloud pro ochranu modulu runtime Kubernetes je teď obecně dostupný (GA)!

Produkční nasazení clusterů Kubernetes stále roste, protože zákazníci budou nadále kontejnerizovat své aplikace. Pro usnadnění tohoto růstu vyvinul tým Defender for Containers cloudový agent zabezpečení orientovaného na Kubernetes.

Nový agent zabezpečení je daemonSet Kubernetes založený na technologii eBPF a je plně integrovaný do clusterů AKS jako součást profilu zabezpečení AKS.

Povolení agenta zabezpečení je k dispozici prostřednictvím automatického zřizování, toku doporučení, poskytovatele prostředků AKS nebo škálování pomocí Azure Policy.

V clusterech AKS můžete deploy agenta Defender.

Díky tomuto oznámení je teď obecně dostupná také ochrana za běhu – detekce hrozeb (úloha).

Přečtěte si další informace o Defender dostupnosti feature kontejneru.

Můžete také zkontrolovat všechna dostupná upozornění.

Poznámka: Pokud používáte verzi Preview, AKS-AzureDefender příznak funkce se už nevyžaduje.

Defender pro VA kontejneru přidává podporu pro detekci balíčků specifických pro jazyk (Preview)

Defender pro posouzení ohrožení zabezpečení kontejneru (VA) dokáže detekovat ohrožení zabezpečení v balíčcích operačního systému nasazených prostřednictvím správce balíčků operačního systému. Teď jsme rozšířili možnosti posouzení ohrožení zabezpečení, která jsou součástí balíčků specifických pro jazyk.

Tato funkce je ve verzi Preview a je dostupná jenom pro image Linuxu.

Pokud chcete zobrazit všechny přidané balíčky specifické pro jazyk, podívejte se Defender na úplný seznam features a jejich dostupnost.

Ochrana před ohrožením zabezpečení infrastruktury provozní správy CVE-2022-29149

Infrastruktura OMI (Operations Management Infrastructure) je kolekce cloudových služeb pro správu místních a cloudových prostředí z jednoho místa. Místo nasazení a správy místních prostředků jsou komponenty OMI hostované výhradně v Azure.

Log Analytics integrované se systémem OMI verze 13 Azure HDInsight vyžaduje opravu CVE-2022-29149. Projděte si sestavu o této chybě zabezpečení v průvodci aktualizací zabezpečení od Microsoftu informace o tom, jak identifikovat prostředky ovlivněné tímto postupem ohrožení zabezpečení a nápravy.

Pokud máte Defender pro servery s povoleným posouzením ohrožení zabezpečení, můžete k identifikaci ovlivněných prostředků použít sešit this.

Integrace se správou oprávnění Entra

Defender for Cloud má integrované řešení Správa oprávnění Microsoft Entra, řešení pro správu nároků na cloudovou infrastrukturu (CIEM), které poskytuje komplexní přehled a kontrolu nad oprávněními pro všechny identity a všechny prostředky v Azure, AWS a GCP.

Každý Azure předplatné, účet AWS a projekt GCP, které jste nasadíte, vám teď ukáže zobrazení Permission Creep Index (PCI).

Další informace o službě Entra Permission Management (dříve Cloudknox)

Key Vault doporučení se změnila na audit

Účinek pro zde uvedená doporučení Key Vault se změnila na audit:

Název doporučení ID doporučení
Doba platnosti certifikátů uložených v Azure Key Vault by neměla překročit 12 měsíců. fc84abc0-eee6-4758-8372-a7681965ca44
Key Vault tajné kódy by měly mít datum vypršení platnosti 14257785-9437-97fa-11ae-898cfb24302b
Key Vault klíče by měly mít datum vypršení platnosti 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2

Vyřazení zásad aplikací API pro App Service

Následující zásady jsme zastaralí pro odpovídající zásady, které už existují pro zahrnutí aplikací API:

Zastaralá Změna na
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' App Service apps should have 'Client Certificates (Incoming client certificates)' enabled
Ensure that 'Python version' is the latest, if used as a part of the API app App Service apps that use Python should use the latest Python version'
CORS should not allow every resource to access your API App App Service apps should not have CORS configured to allow every resource to access your apps
Managed identity should be used in your API App App Service apps should use managed identity
Remote debugging should be turned off for API Apps App Service apps should have remote debugging turned off
Ensure that 'PHP version' is the latest, if used as a part of the API app App Service apps that use PHP should use the latest 'PHP version'
FTPS only should be required in your API App App Service apps should require FTPS only
Ensure that 'Java version' is the latest, if used as a part of the API app App Service apps that use Java should use the latest 'Java version'
Latest TLS version should be used in your API App App Service apps should use the latest TLS version

Červen 2022

Mezi aktualizace v červnu patří:

Obecná dostupnost (GA) pro Microsoft Defender pro Azure Cosmos DB

Microsoft Defender pro Azure Cosmos DB je teď obecně dostupná (GA) a podporuje typy účtů rozhraní SQL (Core) API.

Tato nová verze ga je součástí sady ochrany databáze Microsoft Defender for Cloud, která zahrnuje různé typy databází SQL a MariaDB. Microsoft Defender pro Azure Cosmos DB je nativní vrstva zabezpečení Azure, která zjišťuje pokusy o zneužití databází ve vašich účtech Azure Cosmos DB.

Když tento plán povolíte, budete upozorněni na potenciální injektáže SQL, známé špatné aktéry, vzory podezřelého přístupu a potenciální průzkumy vaší databáze prostřednictvím ohrožených identit nebo škodlivých insiderů.

Při zjištění potenciálně škodlivých aktivit se vygenerují výstrahy zabezpečení. Tyto výstrahy poskytují podrobnosti o podezřelé aktivitě spolu s příslušnými kroky šetření, akcemi nápravy a doporučeními zabezpečení.

Microsoft Defender pro Azure Cosmos DB nepřetržitě analyzuje datový proud telemetrie generovaný službami Azure Cosmos DB a kříží je s Microsoft analýzami hrozeb a behaviorálními modely za účelem zjištění podezřelých aktivit. Defender pro Azure Cosmos DB nemá přístup k datům účtu Azure Cosmos DB a nemá žádný vliv na výkon vaší databáze.

Přečtěte si další informace o Microsoft Defender pro Azure Cosmos DB.

Díky podpoře Azure Cosmos DB teď Defender for Cloud nabízí jednu z nejkomplexnějších nabídek ochrany úloh pro cloudové databáze. Týmy zabezpečení a vlastníci databází teď můžou mít centralizované prostředí pro správu zabezpečení databáze svých prostředí.

Zjistěte, jak povolit ochranu vašich databází.

Obecná dostupnost Defender pro SQL na počítačích pro prostředí AWS a GCP

Možnosti ochrany databáze poskytované Microsoft Defender for Cloud přidaly podporu pro vaše SQL servery hostované v prostředích AWS nebo GCP.

Defender pro SQL teď podniky můžou chránit celá databázová aktiva hostovaná v Azure, AWS, GCP a místních počítačích.

Microsoft Defender pro SQL poskytuje jednotné prostředí pro vícecloudové prostředí pro zobrazení doporučení zabezpečení, výstrah zabezpečení a zjištění posouzení ohrožení zabezpečení pro SQL server i podtržení Windows operačního systému.

Pomocí prostředí pro zprovoznění multicloudu můžete povolit a vynutit ochranu databází pro SQL servery spuštěné na AWS EC2, RDS Custom pro SQL Server a výpočetní modul GCP. Jakmile povolíte některý z těchto plánů, budou chráněné všechny podporované prostředky, které existují v rámci předplatného. Budou také chráněny budoucí prostředky vytvořené ve stejném předplatném.

Zjistěte, jak chránit a propojit prostředí AWS a vaši organizaci GCP s Microsoft Defender for Cloud.

Podpora implementace doporučení zabezpečení k vylepšení stavu zabezpečení

Dnešní rostoucí hrozby pro organizace rozšiřují limity bezpečnostních pracovníků, aby chránili své rozšiřující se úlohy. Týmy zabezpečení jsou vyzvány k implementaci ochrany definované v jejich zásadách zabezpečení.

Díky prostředí zásad správného řízení ve verzi Preview můžou týmy zabezpečení přiřadit k vlastníkům prostředků nápravu doporučení zabezpečení a vyžadovat plán nápravy. Můžou mít plnou transparentnost průběhu nápravy a dostávat oznámení, když jsou úkoly nadprůhledné.

Přečtěte si další informace o prostředí zásad správného řízení při řízení vaší organizace k nápravě problémů se zabezpečením s využitím zásad správného řízení doporučení.

Filtrování výstrah zabezpečení podle IP adresy

V mnoha případech útoků chcete sledovat výstrahy na základě IP adresy entity, která je součástí útoku. Až doteď se IP adresa zobrazila pouze v části Související entity v podokně s jedním upozorněním. Teď můžete výstrahy na stránce výstrah zabezpečení filtrovat, abyste viděli výstrahy související s IP adresou a mohli vyhledat konkrétní IP adresu.

Screenshot filtru pro I P adresu v Defender for Cloud alerts.

Upozornění podle skupiny prostředků

Možnost filtrovat, řadit a seskupovat podle skupiny prostředků se přidá na stránku Výstrahy zabezpečení.

Do mřížky výstrah se přidá sloupec skupiny prostředků.

Snímek obrazovky s nově přidanou sloupcem skupiny prostředků

Přidá se nový filtr, který umožňuje zobrazit všechna upozornění pro konkrétní skupiny prostředků.

Snímek obrazovky znázorňující filtr nové skupiny prostředků

Teď můžete také seskupit výstrahy podle skupiny prostředků a zobrazit tak všechna upozornění pro každou z vašich skupin prostředků.

Snímek obrazovky znázorňující, jak zobrazit upozornění, když jsou seskupené podle skupiny prostředků

Automatické zřizování sjednoceného řešení Microsoft Defender for Endpoint

Doteď integrace s Microsoft Defender for Endpoint (MDE) zahrnovala automatickou instalaci nového sjednoceného řešení MDE pro počítače (Azure předplatná a multicloudové konektory) s povoleným Defender pro servery Plan 1 a pro konektory s vícecloudovými konektory s Defender pro servery s povoleným plánem 2. Plán 2 pro předplatná Azure povolila jednotné řešení pro počítače s Linuxem a pouze servery Windows 2019 a 2022. Windows servery 2012R2 a 2016 používaly starší řešení MDE závislé na agentovi Log Analytics.

Nové sjednocené řešení je teď dostupné pro všechny počítače v obou plánech, a to jak pro předplatná Azure, tak pro konektory s více cloudy. U Azure předplatných se servery Plan 2, které povolily integraci MDE after 20. června, 2022, jednotné řešení je ve výchozím nastavení povolené pro všechny počítače Azure předplatná s Defender pro servery Plan 2 s integrací MDE before 20. června 2022 teď může povolit jednotnou instalaci řešení pro Windows servery 2012R2 a 2016 prostřednictvím vyhrazeného tlačítka na stránce Integrace:

Přečtěte si další informace o integraci MDE s Defender pro servery.

Vyřazení zásady "Aplikace API by měla být přístupná jenom přes PROTOKOL HTTPS".

Zásada API App should only be accessible over HTTPS je zastaralá. Tato zásada je nahrazena zásadou Web Application should only be accessible over HTTPS , která je přejmenována na App Service apps should only be accessible over HTTPS.

Další informace o definicích zásad pro Azure App Service najdete v tématu Azure Policy předdefinované definice pro Azure App Service.

Nová upozornění Key Vault

Abychom rozšířili ochranu před hrozbami poskytovanou Microsoft Defender pro Key Vault, přidali jsme dvě nová upozornění.

Tyto výstrahy vás informují o anomálii odepření přístupu, zjistí se pro všechny vaše trezory klíčů.

Výstraha (typ výstrahy) Description Taktika MITRE Severity
Neobvyklý přístup odepřen – Uživatel přistupující k velkému objemu trezorů klíčů zamítl
(KV_DeniedAccountVolumeAnomaly)		 Uživatel nebo instanční objekt se v posledních 24 hodinách pokusil získat přístup k neobvyklým velkým objemům trezorů klíčů. Tento neobvyklý vzor přístupu může být legitimní aktivitou. I když byl tento pokus neúspěšný, mohlo by to být označení možného pokusu o získání přístupu k trezoru klíčů a tajných kódů obsažených v něm. Doporučujeme provést další šetření. Discovery Low
Neobvyklý přístup odepřen – Neobvyklý přístup uživatelů při přístupu k trezoru klíčů byl odepřen
(KV_UserAccessDeniedAnomaly)		 O přístup k trezoru klíčů se pokusil uživatel, který k němu obvykle nemá přístup, může to být neobvyklá přístupová aktivita. I když byl tento pokus neúspěšný, mohlo by to být označení možného pokusu o získání přístupu k trezoru klíčů a tajných kódů obsažených v něm. Počáteční přístup, zjišťování Low

Květen 2022

Mezi aktualizace v květnu patří:

Nastavení vícecloudového plánu Servery jsou nyní k dispozici na úrovni konektoru.

Pro servery v multicloudu jsou teď k dispozici nastavení na úrovni konektoru pro Defender.

Nové nastavení na úrovni konektoru poskytují členitost pro ceny a konfiguraci automatického zřizování na konektor nezávisle na předplatném.

Ve výchozím nastavení jsou povolené všechny komponenty automatického zřizování dostupné na úrovni konektoru (Azure Arc, MDE a posouzení ohrožení zabezpečení) a nová konfigurace podporuje cenové úrovně Plan 1 a Plan 2.

Aktualizace v uživatelském rozhraní zahrnují odraz vybrané cenové úrovně a nakonfigurovaných požadovaných součástí.

Snímek obrazovky se stránkou hlavního plánu s nastavením plánu serveru s vícecloudovými nastaveními

Snímek obrazovky se stránkou automatického zřizování s povoleným konektorem pro více cloudů

Změny posouzení ohrožení zabezpečení

Defender pro kontejnery teď zobrazují ohrožení zabezpečení se střední a nízkou závažností, která se nedají opravit.

V rámci této aktualizace se teď zobrazují chyby zabezpečení se střední a nízkou závažností bez ohledu na to, jestli jsou k dispozici opravy. Tato aktualizace poskytuje maximální viditelnost, ale přesto umožňuje filtrovat nežádoucí ohrožení zabezpečení pomocí poskytnutého pravidla Zakázat.

Snímek obrazovky pro zakázání pravidla

Další informace o správě ohrožení zabezpečení

Přístup ZA běhu (JIT) pro virtuální počítače je teď k dispozici pro instance AWS EC2 (Preview).

Když připojíte účty AWS, JIT automaticky vyhodnotí konfiguraci sítě skupin zabezpečení vaší instance a doporučí, které instance potřebují ochranu pro vystavené porty pro správu. Podobá se tomu, jak JIT funguje s Azure. Když nasadíte nechráněné instance EC2, JIT zablokuje veřejný přístup k portům pro správu a otevře je jenom s autorizovanými žádostmi po omezenou dobu.

Zjistěte, jak JIT chrání vaše instance AWS EC2.

Přidání a odebrání senzoru Defender pro clustery AKS pomocí rozhraní příkazového řádku

Agent Defender je vyžadován pro Defender pro kontejnery, aby poskytoval ochranu za běhu a shromažďuje signály z uzlů. Teď můžete pomocí Azure CLI přidat a odebrat agenta Defender pro cluster AKS.

Note

Tato možnost je součástí Azure CLI 3,7 a vyšší.

Duben 2022

Mezi aktualizace v dubnu patří:

Nové Defender pro plány Serverů

Microsoft Defender pro servery se teď nabízí ve dvou přírůstkových plánech:

  • Defender pro servery Plan 2, dříve Defender pro servery
  • Defender pro servery Plan 1 poskytuje podporu pouze pro Microsoft Defender for Endpoint

I když Defender pro servery Plan 2 i nadále poskytuje ochranu před hrozbami a ohroženími zabezpečení vašich cloudových a místních úloh, Defender pro servery Plan 1 poskytuje ochranu koncových bodů pouze s využitím nativně integrovaného Defender pro koncový bod. Přečtěte si další informace o Defender pro plány serverů.

Pokud jste dosud používali Defender pro servery, nevyžaduje se žádná akce.

Kromě toho Defender for Cloud také začíná postupně podporovat Defender pro sjednoceného agenta koncového bodu pro Windows Server 2012 R2 a 2016. Defender pro servery Plan 1 nasadí nového sjednoceného agenta do úloh Windows Server 2012 R2 a 2016.

Přemístění vlastních doporučení

Vlastní doporučení jsou vytvořená uživateli a nemají žádný vliv na bezpečnostní skóre. Vlastní doporučení se teď dají najít na kartě Všechna doporučení.

Pomocí nového filtru "typ doporučení" vyhledejte vlastní doporučení.

Další informace najdete v článku Vytváření vlastních iniciativ zabezpečení a zásad.

Skript PowerShellu pro streamování upozornění na Splunk a IBM QRadar

Ke exportu výstrah zabezpečení do Splunku a IBM QRadar doporučujeme použít Event Hubs a integrovaný konektor. Teď můžete pomocí skriptu PowerShellu nastavit Azure prostředky potřebné k exportu výstrah zabezpečení pro vaše předplatné nebo tenanta.

Stačí stáhnout a spustit powershellový skript. Po zadání několika podrobností o vašem prostředí skript nakonfiguruje prostředky za vás. Skript pak vytvoří výstup, který použijete na platformě SIEM k dokončení integrace.

Další informace najdete v tématu Upozornění služby Stream na Splunk a QRadar.

Zastaralá doporučení Azure Cache for Redis

Doporučení Azure Cache for Redis should reside within a virtual network (Preview) je zastaralé. Změnili jsme naše pokyny pro zabezpečení Azure Cache for Redis instancí. K omezení přístupu k instanci Azure Cache for Redis místo virtuální sítě doporučujeme použít privátní koncový bod.

Nová varianta upozornění pro Microsoft Defender pro storage (Preview) pro detekci ohrožení citlivých dat

Microsoft Defender pro upozornění služby Storage vás upozorní, když se aktéři hrozeb pokusí vyhledat a vystavit, úspěšně nebo ne, nesprávně nakonfigurované, veřejně otevřené kontejnery úložiště, aby se pokusili exfiltrovat citlivé informace.

Abychom umožnili rychlejší třídění a dobu odezvy, když mohlo dojít k exfiltraci potenciálně citlivých dat, vydali jsme novou variantu existující Publicly accessible storage containers have been exposed výstrahy.

Nová výstraha Publicly accessible storage containers with potentially sensitive data have been exposedse aktivuje s High úrovní závažnosti po úspěšném zjištění veřejně otevřených kontejnerů úložiště s názvy, které byly statisticky veřejně vystaveny, což naznačuje, že mohou uchovávat citlivé informace.

Výstraha (typ výstrahy) Description Taktika MITRE Severity
PREVIEW – Veřejně přístupné kontejnery úložiště s potenciálně citlivými daty byly zpřístupněny.
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive)		 Někdo naskenoval váš účet Azure Storage a zveřejnil kontejnery, které umožňují veřejný přístup. Jeden nebo více vystavených kontejnerů má názvy, které označují, že můžou obsahovat citlivá data.

Obvykle to značí rekognoskaci aktérem hrozeb, který hledá chybně nakonfigurované veřejně přístupné kontejnery úložiště, které můžou obsahovat citlivá data.

Jakmile objekt actor hrozby úspěšně zjistí kontejner, může pokračovat exfiltrací dat.
✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2		 Collection High

Název upozornění kontroly kontejneru rozšířený o reputaci IP adres

Reputace IP adresy může znamenat, jestli aktivita kontroly pochází ze známého objektu actor hrozby, nebo od objektu actor, který ke skrytí identity používá síť Tor. Oba tyto indikátory naznačují, že existuje škodlivý záměr. Reputaci IP adresy poskytuje Microsoft Analýza hrozeb.

Přidání reputace IP adresy k názvu výstrahy poskytuje způsob, jak rychle vyhodnotit záměr objektu actor, a tím závažnost hrozby.

Tyto informace budou obsahovat následující výstrahy:

  • Publicly accessible storage containers have been exposed

  • Publicly accessible storage containers with potentially sensitive data have been exposed

  • Publicly accessible storage containers have been scanned. No publicly accessible data was discovered

Přidané informace do názvu Publicly accessible storage containers have been exposed výstrahy budou vypadat například takto:

  • Publicly accessible storage containers have been exposedby a suspicious IP address

  • Publicly accessible storage containers have been exposedby a Tor exit node

Všechna upozornění pro Microsoft Defender pro úložiště budou dál obsahovat informace o analýze hrozeb v entitě IP v části Související entity výstrahy.

Prohlédněte si protokoly aktivit, které souvisejí s výstrahou zabezpečení.

V rámci akcí, které můžete provést k vyhodnocení výstrahy zabezpečení, najdete související protokoly platformy v kontextu Kontroly prostředků a získat kontext o ovlivněném prostředku. Microsoft Defender for Cloud identifikuje protokoly platformy, které jsou v jednom dni výstrahy.

Protokoly platformy vám můžou pomoct vyhodnotit bezpečnostní hrozbu a identifikovat kroky, které můžete provést ke zmírnění zjištěného rizika.

Březen 2022

Mezi aktualizace v březnu patří:

Globální dostupnost skóre zabezpečení pro prostředí AWS a GCP

Možnosti správy stavu zabezpečení cloudu poskytované Microsoft Defender for Cloud teď přidaly podporu pro vaše prostředí AWS a GCP v rámci skóre zabezpečení.

Podniky teď můžou zobrazit celkový stav zabezpečení v různých prostředích, jako jsou Azure, AWS a GCP.

Stránka Skóre zabezpečení je nahrazena řídicím panelem Stav zabezpečení. Řídicí panel Stav zabezpečení umožňuje zobrazit celkové kombinované skóre pro všechna vaše prostředí nebo rozpis stavu zabezpečení na základě libovolné kombinace vámi zvolených prostředí.

Stránka Doporučení byla také přepracována tak, aby poskytovala nové funkce, jako je například výběr cloudového prostředí, pokročilé filtry založené na obsahu (skupina prostředků, účet AWS, projekt GCP a další), vylepšené uživatelské rozhraní s nízkým rozlišením, podpora otevřených dotazů v grafu prostředků a další. Další informace o celkovém stavu zabezpečení a doporučeních zabezpečení.

Zastaralá doporučení pro instalaci agenta shromažďování dat síťového provozu

Změny v našem plánu a prioritách odstranily potřebu agenta shromažďování dat síťového provozu. Následující dvě doporučení a jejich související zásady byly zastaralé.

Recommendation Description Severity
Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. Defender for Cloud využívá agenta závislostí Microsoft ke shromažďování dat síťového provozu z vašich virtuálních počítačů Azure k povolení pokročilých funkcí ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. Medium
Agent shromažďování dat síťového provozu by měl být nainstalovaný na Windows virtuálních počítačích. Defender for Cloud využívá agenta Microsoft Dependency ke shromažďování dat síťového provozu z vašich virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. Medium

Defender pro kontejnery teď můžou vyhledat ohrožení zabezpečení v imagích Windows (Preview)

Defender pro kontrolu imagí kontejneru teď podporuje Windows image hostované v Azure Container Registry. Tato funkce je bezplatná ve verzi Preview a v případě, že bude obecně dostupná, bude se vám za ni účtují náklady.

Další informace najdete v Použít Microsoft Defender kontejneru ke kontrole ohrožení zabezpečení imagí.

Nová výstraha pro Microsoft Defender pro storage (Preview)

Abychom rozšířili ochranu před hrozbami poskytovanou Microsoft Defender pro úložiště, přidali jsme nové upozornění ve verzi Preview.

Aktéři hrozeb používají aplikace a nástroje ke zjišťování a přístupu k účtům úložiště. Microsoft Defender pro Službu Storage tyto aplikace a nástroje detekuje, abyste je mohli zablokovat a napravit stav.

Tato výstraha ve verzi Preview se volá Access from a suspicious application. Výstraha je relevantní jenom pro Azure Blob Storage a pouze ADLS Gen2.

Výstraha (typ výstrahy) Description Taktika MITRE Severity
PREVIEW – Přístup z podezřelé aplikace
(Storage.Blob_SuspiciousApp)		 Označuje, že podezřelá aplikace úspěšně získala přístup ke kontejneru účtu úložiště s ověřováním.
To může znamenat, že útočník získal přihlašovací údaje potřebné pro přístup k účtu a zneužije ho. Může to být také označení penetračního testu prováděného ve vaší organizaci.
Platí pro: Azure Blob Storage, Azure Data Lake Storage Gen2		 Počáteční přístup Medium

Konfigurace nastavení e-mailových oznámení z výstrahy

Do uživatelského rozhraní upozornění byla přidána nová část, která umožňuje zobrazit a upravit, kdo bude dostávat e-mailová oznámení pro výstrahy aktivované v aktuálním předplatném.

Snímek obrazovky s novým uživatelským rozhraním znázorňující, jak nakonfigurovat e-mailové oznámení

Zjistěte, jak nakonfigurovat e-mailová oznámení pro výstrahy zabezpečení.

Zastaralá výstraha ve verzi Preview: ARM MCAS_ActivityFromAnonymousIPAddresses

Následující výstraha ve verzi Preview je zastaralá:

Název upozornění Description
PREVIEW – Aktivita z rizikové IP adresy
(ARM.MCAS_ActivityFromAnonymousIPAddresses)		 Byla zjištěna aktivita uživatelů z IP adresy, která byla identifikována jako ip adresa anonymního proxy serveru.
Tyto proxy servery používají lidé, kteří chtějí skrýt IP adresu svého zařízení a dají se použít ke škodlivému záměru. Tato detekce používá algoritmus strojového učení, který snižuje falešně pozitivní výsledky, jako jsou nesprávně označené IP adresy, které uživatelé v organizaci široce používají.
Vyžaduje aktivní Microsoft Defender for Cloud Apps licenci.

Byla vytvořena nová výstraha, která poskytuje tyto informace a přidá do ní. Novější výstrahy (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) navíc nevyžadují licenci na Microsoft Defender for Cloud Apps (dříve označované jako Microsoft Cloud App Security).

Další výstrahy pro Resource Manager

Přesunuté doporučení Ohrožení zabezpečení v konfiguracích zabezpečení kontejnerů by se mělo napravit z skóre zabezpečení na osvědčené postupy.

Doporučení Vulnerabilities in container security configurations should be remediated bylo přesunuto z části skóre zabezpečení do části osvědčené postupy.

Aktuální uživatelské prostředí poskytuje skóre pouze v případech, kdy prošly všechny kontroly dodržování předpisů. Většina zákazníků má potíže se splněním všech požadovaných kontrol. Pracujeme na vylepšeném prostředí pro toto doporučení a po vydání doporučení se doporučení přesune zpět do skóre zabezpečení.

Zastaralá doporučení používat instanční objekty k ochraně předplatných

Vzhledem k tomu, že organizace odcházejí od používání certifikátů pro správu ke správě svých předplatných a pokud jsme nedávno oznámili, že vyřazujeme model nasazení Cloud Services (Classic), vyřadili jsme následující doporučení Defender for Cloud a související zásady:

Recommendation Description Severity
Instanční objekty by se měly používat k ochraně předplatných místo certifikátů pro správu. Certifikáty pro správu umožňují všem uživatelům, kteří se s nimi ověřují, spravovat předplatná, ke kterým jsou přidružená. Pokud chcete bezpečněji spravovat předplatná, doporučujeme použít instanční objekty s Resource Manager omezit poloměr výbuchu v případě ohrožení zabezpečení certifikátu. Automatizuje také správu prostředků.
(Související zásady: Instanční objekty by se měly použít k ochraně předplatných místo certifikátů pro správu.		 Medium

Další informace:

Starší implementace ISO 27001 nahrazena novou iniciativou ISO 27001:2013

Starší implementace ISO 27001 byla odebrána z řídicího panelu dodržování právních předpisů Defender for Cloud. Pokud sledujete dodržování předpisů ISO 27001 s Defender for Cloud, připojte novou normu ISO 27001:2013 pro všechny příslušné skupiny pro správu nebo předplatná.

řídicí panel dodržování právních předpisů Defender for Cloud se zprávou o odebrání starší implementace ISO 27001.

Zastaralá doporučení pro Microsoft Defender for IoT zařízení

Microsoft Defender for IoT doporučení zařízení se už v Microsoft Defender for Cloud nezobrazují. Tato doporučení jsou stále dostupná na stránce Doporučení Microsoft Defender for IoT.

Následující doporučení jsou zastaralá:

Klíč posouzení Recommendations
1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: Zařízení IoT Otevření portů na zařízení
ba975338-f956-41e7-a9f2-7614832d382d382d: Zařízení IoT Bylo nalezeno pravidlo brány firewall pro permisivní v vstupním řetězci.
beb62be3-5e78-49bd-ac5f-099250ef3c7c: Zařízení IoT Byly nalezeny zásady brány firewall pro permisivní v jednom z řetězů.
d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: Zařízení IoT Zjistilo se pravidlo brány firewall, které je permissivní v výstupním řetězci.
5f65e47f-7a00-4bf3-acae-90e441ee876: Zařízení IoT Selhání ověřování směrného plánu operačního systému
a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: Zařízení IoT Agent odesílající nevyužité zprávy
2acc27c6-5fdb-405e-9080-cb66b850c8f5: Zařízení IoT Vyžaduje se upgrade šifrovací sady TLS.
d74d2738-2485-4103-9919-69c7e63776ec: Zařízení IoT Auditd proces přestal odesílat události

Zastaralá upozornění Microsoft Defender for IoT zařízení

V Microsoft Defender for Cloud se už nezobrazují všechny Microsoft Defender pro upozornění zařízení IoT. Tato upozornění jsou stále dostupná na stránce výstrahy Microsoft Defender for IoT a v Microsoft Sentinel.

Správa stavu a ochrana před hrozbami pro AWS a GCP vydané pro obecnou dostupnost (GA)

  • Defender for Cloud funkce CSPM rozšiřují prostředky AWS a GCP. Tento plán bez agentů vyhodnocuje vaše vícecloudové prostředky podle doporučení zabezpečení specifických pro cloud, která jsou součástí vašeho skóre zabezpečení. Prostředky se vyhodnocují kvůli dodržování předpisů pomocí předdefinovaných standardů. stránka inventáře prostředků Defender for Cloud je funkce s podporou multicloudu, která umožňuje spravovat prostředky AWS společně s prostředky Azure.

  • Microsoft Defender pro servery přináší detekci hrozeb a pokročilou ochranu výpočetních instancí v AWS a GCP. Plán Defender pro servery zahrnuje integrovanou licenci pro Microsoft Defender for Endpoint, kontrolu posouzení ohrožení zabezpečení a další. Seznamte se se všemi podporovanými funkcemi pro virtuální počítače a servery. Funkce automatického onboardingu umožňují snadno připojit všechny existující nebo nové výpočetní instance zjištěné ve vašem prostředí.

Zjistěte, jak chránit a propojit prostředí AWS a GCP s Microsoft Defender for Cloud.

Kontrola Windows imagí v ACR přidala podporu pro národní cloudy

Vyhledávání Windows imagí registru je nyní podporováno v Azure Government a Microsoft Azure provozovaných společností 21Vianet. Tento doplněk je aktuálně ve verzi Preview.

Přečtěte si další informace o dostupnosti naší funkce.

Únor 2022

Mezi aktualizace v únoru patří:

Ochrana úloh Kubernetes pro clustery Kubernetes s podporou Arc

Defender pro kontejnery dříve chráněné pouze úlohy Kubernetes spuštěné v Azure Kubernetes Service. Nyní jsme rozšířili ochranné pokrytí tak, aby zahrnovalo clustery Kubernetes s podporou Azure Arc.

Zjistěte, jak nastavte ochranu úloh Kubernetes pro clustery Kubernetes a Azure Arc povolených clusterů Kubernetes.

Nativní csPM pro GCP a ochranu před hrozbami pro výpočetní instance GCP

Nové automatizované onboarding prostředí GCP umožňuje chránit úlohy GCP pomocí Microsoft Defender for Cloud. Defender for Cloud chrání vaše prostředky pomocí následujících plánů:

  • funkce CSPM Defender for Cloud rozšiřují prostředky GCP. Tento plán bez agentů vyhodnocuje vaše prostředky GCP podle doporučení zabezpečení specifických pro GCP, která jsou k dispozici s Defender for Cloud. Doporučení GCP jsou zahrnutá ve vašem skóre zabezpečení a prostředky se budou vyhodnocovat z hlediska dodržování integrovaného standardu GCP CIS. stránka inventáře prostředků Defender for Cloud je funkce s podporou multicloudu, která vám pomůže spravovat prostředky napříč Azure, AWS a GCP.

  • Microsoft Defender pro servery přináší detekci hrozeb a pokročilou ochranu výpočetních instancí GCP. Tento plán zahrnuje integrovanou licenci pro Microsoft Defender for Endpoint, kontrolu posouzení ohrožení zabezpečení a další.

    Úplný seznam dostupných funkcí najdete v tématu Podporované funkce pro virtuální počítače a servery. Funkce automatického onboardingu vám umožní snadno připojit všechny existující a nové výpočetní instance zjištěné ve vašem prostředí.

Zjistěte, jak chránit a propojit projekty GCP pomocí Microsoft Defender for Cloud.

Microsoft Defender pro plán Azure Cosmos DB vydaný pro verzi Preview

Rozšířili jsme pokrytí databáze Microsoft Defender for Cloud. Teď můžete povolit ochranu vašich databází Azure Cosmos DB.

Microsoft Defender pro Azure Cosmos DB je Azure nativní vrstva zabezpečení, která detekuje všechny pokusy o zneužití databází ve vašich účtech Azure Cosmos DB. Microsoft Defender pro Azure Cosmos DB detekuje potenciální injektáže SQL, známé špatné aktéry založené na Microsoft analýzy hrozeb, vzorech podezřelého přístupu a potenciálním zneužití databáze prostřednictvím ohrožených identit nebo škodlivých insiderů.

Průběžně analyzuje datový proud zákazníků vygenerovaný službami Azure Cosmos DB.

Při zjištění potenciálně škodlivých aktivit se vygenerují výstrahy zabezpečení. Tyto výstrahy se zobrazují v Microsoft Defender for Cloud spolu s podrobnostmi o podezřelé aktivitě spolu s příslušnými kroky šetření, nápravnými akcemi a doporučeními zabezpečení.

Při povolování služby nemá žádný vliv na výkon databáze, protože Defender pro Azure Cosmos DB nemá přístup k datům účtu Azure Cosmos DB.

Další informace najdete v Přehled Microsoft Defender pro Azure Cosmos DB.

Zavádíme také nové prostředí pro povolení zabezpečení databáze. Teď můžete povolit ochranu Microsoft Defender for Cloud ve vašem předplatném, abyste ochránili všechny typy databází, jako jsou Azure Cosmos DB, Azure SQL Database, Azure SQL servery na počítačích a Microsoft Defender pro opensourcové relační databáze prostřednictvím jednoho procesu povolení. Konkrétní typy prostředků je možné zahrnout nebo vyloučit konfigurací plánu.

Zjistěte, jak povolit zabezpečení databáze na úrovni předplatného.

Ochrana před hrozbami pro clustery GKE (Google Kubernetes Engine)

Po nedávném oznámení Native CSPM for GCP and threat protection for GCP compute instances, Microsoft Defender for Containers rozšířil svou ochranu před hrozbami Kubernetes, analýzu chování a integrované zásady řízení přístupu na clustery Kubernetes Engine (GKE) Google. Prostřednictvím našich možností automatického onboardingu můžete do svého prostředí snadno připojit všechny existující nebo nové clustery GKE Standard. Úplný seznam dostupných funkcí najdete v Bezpečenícontainer s Microsoft Defender for Cloud.

leden 2022

Mezi aktualizace v lednu patří:

Microsoft Defender pro Resource Manager aktualizované o nová upozornění a větší důraz na vysoce rizikové operace mapované na MITRE ATT& Matice CK®

Vrstva správy cloudu je klíčovou službou připojenou ke všem vašim cloudovým prostředkům. Z tohoto důvodu je to také potenciální cíl pro útočníky. Doporučujeme týmy operací zabezpečení pečlivě monitorovat vrstvu správy prostředků.

Microsoft Defender pro Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci bez ohledu na to, jestli se provádějí prostřednictvím portálu Azure, Azure rozhraní REST API, Azure CLI nebo jiných programových klientů Azure. Defender for Cloud spouští pokročilou analýzu zabezpečení, která detekuje hrozby a upozorní vás na podezřelou aktivitu.

Ochrana plánu výrazně zvyšuje odolnost organizace proti útokům z aktérů hrozeb a výrazně zvyšuje počet Azure prostředků chráněných Defender for Cloud.

V prosinci 2020 jsme představili verzi Preview Defender pro Resource Manager a v květnu 2021 byl plán vydaný pro obecnou dostupnost.

V této aktualizaci jsme komplexně upravili zaměření Microsoft Defender pro plán Resource Manager. Aktualizovaný plán obsahuje mnoho nových výstrah, které se zaměřují na identifikaci podezřelého vyvolání vysoce rizikových operací. Tyto nové výstrahy poskytují rozsáhlé monitorování útoků napříč kompletnímaticí MITRE ATT&CK® pro cloudové techniky.

Tato matice popisuje následující rozsah potenciálních záměrů účastníků hrozeb, kteří můžou cílit na prostředky vaší organizace: počáteční přístup, spuštění, trvalost, eskalace oprávnění, únik obrany, přístup k přihlašovacím údajům, zjišťování, laterální pohyb, kolekce, exfiltrace a dopad.

Nová upozornění pro tento plán Defender pokrývají tyto záměry, jak je znázorněno v následující tabulce.

Tip

Tyto výstrahy se také zobrazí na stránce s odkazem na výstrahy.

Výstraha (typ výstrahy) Description Taktika MITRE (záměry) Severity
Podezřelé vyvolání vysoce rizikové operace počátečního přístupu (Preview)
(ARM_AnomalousOperation.InitialAccess)		 Microsoft Defender pro Resource Manager zjistila podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o přístup k omezeným prostředkům. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivní přístup k jejich prostředím. I když tato aktivita může být legitimní, aktér hrozeb může tyto operace využít k získání počátečního přístupu k omezeným prostředkům ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. Počáteční přístup Medium
Zjištění podezřelého vyvolání vysoce rizikové operace provádění (Preview)
(ARM_AnomalousOperation.Execution)		 Microsoft Defender pro Resource Manager identifikovala podezřelé vyvolání vysoce rizikové operace na počítači ve vašem předplatném, což může znamenat pokus o spuštění kódu. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může tyto operace využít k přístupu k omezeným přihlašovacím údajům a ohrožení prostředků ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. Execution Medium
Zjištění podezřelého vyvolání vysoce rizikové operace trvalosti (Preview)
(ARM_AnomalousOperation.Persistence)		 Microsoft Defender pro Resource Manager identifikovalo podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o vytvoření trvalosti. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít k vytvoření trvalosti ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. Persistence Medium
Zjištění podezřelého vyvolání vysoce rizikové operace Eskalace oprávnění (Preview)
(ARM_AnomalousOperation.PrivilegeEscalation)		 Microsoft Defender pro Resource Manager zjistila podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o eskalaci oprávnění. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít k eskalaci oprávnění a zároveň ohrozit prostředky ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. Eskalace oprávnění Medium
Zjištění podezřelého vyvolání vysoce rizikové operace "Obranná úniková ochrana" (Preview)
(ARM_AnomalousOperation.DefenseEvasion)		 Microsoft Defender pro Resource Manager identifikovali podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o vyhýbání obrany. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat stav zabezpečení svých prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít, aby se zabránilo zjištění a ohrožení prostředků ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. Obrana před únikem Medium
Podezřelé vyvolání vysoce rizikové operace přístupu k přihlašovacím údajům (Preview)
(ARM_AnomalousOperation.CredentialAccess)		 Microsoft Defender pro Resource Manager zjistila podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o přístup k přihlašovacím údajům. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivní přístup k jejich prostředím. I když tato aktivita může být legitimní, aktér hrozeb může tyto operace využít k přístupu k omezeným přihlašovacím údajům a ohrožení prostředků ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. Přístup k přihlašovacím údajům Medium
Zjištění podezřelého vyvolání vysoce rizikové operace laterálního pohybu (Preview)
(ARM_AnomalousOperation.LateralMovement)		 Microsoft Defender pro Resource Manager zjistila podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o provedení laterálního pohybu. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít k ohrožení dalších prostředků ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. Laterální pohyb Medium
Zjištění podezřelého vyvolání vysoce rizikové operace shromažďování dat (Preview)
(ARM_AnomalousOperation.Collection)		 Microsoft Defender pro Resource Manager zjistila podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o shromáždění dat. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít ke shromažďování citlivých dat o prostředcích ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. Collection Medium
Zjištění podezřelého vyvolání vysoce rizikové operace Impact (Preview)
(ARM_AnomalousOperation.Impact)		 Microsoft Defender pro Resource Manager zjistila podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o změnu konfigurace. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může tyto operace využít k přístupu k omezeným přihlašovacím údajům a ohrožení prostředků ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. Impact Medium

Kromě toho tyto dvě výstrahy z tohoto plánu pocházejí z verze Preview:

Výstraha (typ výstrahy) Description Taktika MITRE (záměry) Severity
operace Azure Resource Manager z podezřelé IP adresy
(ARM_OperationFromSuspiciousIP)		 Microsoft Defender pro Resource Manager zjistil operaci z IP adresy, která byla označena jako podezřelá v informačních kanálech analýzy hrozeb. Execution Medium
operace Azure Resource Manager z podezřelé IP adresy proxy
(ARM_OperationFromSuspiciousProxyIP)		 Microsoft Defender pro Resource Manager zjistili operaci správy prostředků z IP adresy, která je přidružená ke službám proxy, jako je NAPŘÍKLAD TOR. I když toto chování může být legitimní, často se to projevuje ve škodlivých aktivitách, když se aktéři hrozeb pokusí skrýt zdrojovou IP adresu. Obrana před únikem Medium

Doporučení k povolení plánů Microsoft Defender v pracovních prostorech (ve verzi Preview)

Abyste mohli využívat všechny funkce zabezpečení dostupné v Microsoft Defender pro servery a Microsoft Defender pro SQL na počítačích, musí být plány povolené na both úrovních předplatného a pracovního prostoru.

Pokud je počítač v předplatném s povoleným jedním z těchto plánů, budou se vám účtovat úplné ochrany. Pokud se ale tento počítač hlásí pracovnímu prostoru bez povoleného plánu, tyto výhody ve skutečnosti nedostanete.

Přidali jsme dvě doporučení, která zvýrazňují pracovní prostory bez povolení těchto plánů, ale mají počítače , které se jim hlásí z předplatných s povoleným plánem.

Dvě doporučení, která nabízejí automatizovanou nápravu (akci Opravit), jsou:

Recommendation Description Severity
Microsoft Defender pro servery by měly být povolené v pracovních prostorech Microsoft Defender pro servery přináší detekci hrozeb a pokročilou obranu vašich Windows a počítačů s Linuxem.
S tímto Defender plánem povoleným pro vaše předplatná, ale ne v pracovních prostorech, platíte za plnou funkci Microsoft Defender pro servery, ale chybí vám některé výhody.
Když povolíte Microsoft Defender pro servery v pracovním prostoru, budou se všem počítačům, které hlásí tento pracovní prostor, účtovat Microsoft Defender pro servery – i když jsou v předplatných bez povolení Defender plánů. Pokud také nepovolíte Microsoft Defender pro servery v předplatném, nebudou tyto počítače moct využívat přístup k virtuálním počítačům za běhu, adaptivní řízení aplikací a zjišťování sítě pro Azure prostředky.
Další informace najdete v Přehled Microsoft Defender pro servery.
(Žádné související zásady)		 Medium
Microsoft Defender pro SQL na počítačích by měly být povolené v pracovních prostorech Microsoft Defender pro servery přináší detekci hrozeb a pokročilou obranu vašich Windows a počítačů s Linuxem.
S tímto Defender plánem povoleným pro vaše předplatná, ale ne v pracovních prostorech, platíte za plnou funkci Microsoft Defender pro servery, ale chybí vám některé výhody.
Když povolíte Microsoft Defender pro servery v pracovním prostoru, budou se všem počítačům, které hlásí tento pracovní prostor, účtovat Microsoft Defender pro servery – i když jsou v předplatných bez povolení Defender plánů. Pokud také nepovolíte Microsoft Defender pro servery v předplatném, nebudou tyto počítače moct využívat přístup k virtuálním počítačům za běhu, adaptivní řízení aplikací a zjišťování sítě pro Azure prostředky.
Další informace najdete v Přehled Microsoft Defender pro servery.
(Žádné související zásady)		 Medium

Automatické zřízení agenta Log Analytics pro počítače s podporou Azure Arc (Preview)

Defender for Cloud používá agenta Log Analytics ke shromažďování dat souvisejících se zabezpečením z počítačů. Agent čte různé konfigurace a protokoly událostí souvisejících se zabezpečením a kopíruje data do pracovního prostoru pro účely analýzy.

nastavení automatického zřizování Defender for Cloud má přepínač pro každý typ podporovaného rozšíření, včetně agenta Log Analytics.

V dalším rozšíření našich hybridních cloudových funkcí jsme přidali možnost automatického zřízení agenta Log Analytics na počítače připojené k Azure Arc.

Stejně jako u ostatních možností automatického zřizování se toto nastavení konfiguruje na úrovni předplatného.

Když tuto možnost povolíte, zobrazí se výzva k zadání pracovního prostoru.

Note

Pro tuto verzi Preview nemůžete vybrat výchozí pracovní prostor vytvořený Defender for Cloud. Abyste měli jistotu, že obdržíte úplnou sadu funkcí zabezpečení dostupných pro servery s podporou Azure Arc, ověřte, že máte ve vybraném pracovním prostoru nainstalované příslušné řešení zabezpečení.

Screenshot automatického zřízení agenta Log Analytics pro počítače s podporou Azure Arc.

Vyřazení doporučení ke klasifikaci citlivých dat v databázích SQL

Odebrali jsme doporučení Hodnocená data ve vašich databázích SQL by se měla klasifikovat v rámci opravy toho, jak Defender for Cloud identifikuje a chrání citlivé datum ve vašich cloudových prostředcích.

V Chystané změny na stránce Microsoft Defender for Cloud se zobrazily předem.

Následující výstraha byla dříve dostupná jenom organizacím, které povolily plán Microsoft Defender pro DNS.

V této aktualizaci se upozornění zobrazí také pro předplatná s povoleným plánem Microsoft Defender pro servery nebo Defender pro plán služby App Service.

Kromě toho Microsoft Analýza hrozeb rozšířila seznam známých škodlivých domén, aby zahrnoval domény spojené s zneužitím široce publicizovaných ohrožení zabezpečení spojených s Log4j.

Výstraha (typ výstrahy) Description Taktika MITRE Severity
Komunikace s podezřelou doménou identifikovanou analýzou hrozeb
(AzureDNS_ThreatIntelSuspectDomain)		 Komunikace s podezřelou doménou byla zjištěna analýzou transakcí DNS z vašeho prostředku a porovnáním se známými škodlivými doménami identifikovanými informačními kanály analýzy hrozeb. Komunikace se škodlivými doménami se často provádí útočníky a může to znamenat, že dojde k ohrožení vašeho prostředku. Počáteční přístup / trvalost / spuštění / příkaz a řízení / zneužití Medium

Tlačítko Kopírovat json upozornění přidané do podokna podrobností výstrah zabezpečení

Abychom našim uživatelům pomohli rychle sdílet podrobnosti výstrahy s ostatními (například analytiky SOC, vlastníky prostředků a vývojáře), přidali jsme možnost snadného extrahování všech podrobností konkrétní výstrahy jedním tlačítkem z podokna podrobností výstrahy zabezpečení.

Nové tlačítko JSON pro kopírování upozornění vloží podrobnosti výstrahy ve formátu JSON do schránky uživatele.

Snímek obrazovky s tlačítkem Kopírovat JSON upozornění v podokně podrobností výstrahy

Přejmenování dvou doporučení

Kvůli konzistenci s jinými názvy doporučení jsme přejmenovali následující dvě doporučení:

  • Doporučení k řešení ohrožení zabezpečení zjištěných ve spuštěných imagích kontejnerů

    • Předchozí název: Chyby zabezpečení ve spuštěných imagích kontejnerů by se měly napravit (s využitím Qualys).
    • Nový název: Řešení spuštěných imagí kontejnerů by mělo mít zjištěná ohrožení zabezpečení.

  • Doporučení k povolení diagnostických protokolů pro Azure App Service

    • Předchozí název: Diagnostické protokoly by se měly povolit ve službě App Service.
    • Nový název: Diagnostické protokoly ve službě App Service by měly být povolené.

Vyřazení kontejnerů clusteru Kubernetes by mělo naslouchat pouze na povolených zásadách portů

Kontejnery clusteru Kubernetes už by se měly vyslouchat jenom na doporučení povolených portů .

Název zásady Description Effect(s) Version
Kontejnery clusteru Kubernetes by měly naslouchat jenom na povolených portech. Omezte kontejnery tak, aby naslouchaly jenom na povolených portech pro zabezpečení přístupu ke clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro modul AKS a Azure Arc povolené Kubernetes. Další informace najdete v tématu Understand Azure Policy pro clustery Kubernetes. audit, odepřít, zakázáno 6.1.2

Služby by měly naslouchat pouze na povolených portech, mělo by se použít k omezení portů, které aplikace zveřejňuje na internetu.

Přidání sešitu Aktivní výstraha

Abychom našim uživatelům pomohli pochopit aktivní hrozby pro svá prostředí a určit prioritu mezi aktivními výstrahami během procesu nápravy, přidali jsme sešit Aktivní výstrahy.

Snímek obrazovky znázorňující přidání sešitu Aktivní výstrahy

Sešit aktivních výstrah umožňuje uživatelům zobrazit jednotný řídicí panel agregovaných výstrah podle závažnosti, typu, značky, taktiky MITRE ATT&CK a umístění. Další informace najdete v sešitu Aktivní upozornění.

Doporučení aktualizace systému přidané do cloudu státní správy

Doporučení "Aktualizace systému by se měly nainstalovat na vaše počítače" je teď dostupné ve všech cloudech státní správy.

Je pravděpodobné, že tato změna bude mít vliv na bezpečnostní skóre vašeho cloudového předplatného státní správy. Očekáváme, že změna povede ke snížení skóre, ale je možné, že zahrnutí doporučení může v některých případech vést ke zvýšení skóre.

Prosinec 2021

Mezi aktualizace v prosinci patří:

plán Microsoft Defender pro kontejnery vydaný pro obecnou dostupnost (GA)

Před dvěma lety jsme zavedli Defender pro Kubernetes a Defender pro registry kontejnerů jako součást nabídky Azure Defender v rámci Microsoft Defender for Cloud.

S vydáním Microsoft Defender pro kontejnery jsme tyto dva stávající plány Defender sloučili.

Nový plán:

  • Kombinuje funkce dvou stávajících plánů – detekce hrozeb pro clustery Kubernetes a posouzení ohrožení zabezpečení pro image uložené v registrech kontejnerů.
  • Přináší nové a vylepšené funkce , včetně podpory multicloudu, detekce hrozeb na úrovni hostitele s více než šedesáti novými analýzami podporujícími Kubernetes a posouzení ohrožení zabezpečení pro spouštění imagí.
  • Zavádí onboarding nativní pro Kubernetes – ve výchozím nastavení když povolíte plán, aby se všechny relevantní komponenty nasazovaly automaticky.

V této verzi se dostupnost a prezentace Defender pro Kubernetes a Defender pro registry kontejnerů změnila následujícím způsobem:

  • Nová předplatná – Dva předchozí plány kontejnerů už nejsou k dispozici.
  • Existující předplatná – kdekoli se zobrazují na portálu Azure, plány se zobrazují jako Deprecated s pokyny, jak upgradovat na novější plán Defender pro registry kontejnerů a Defender pro plány Kubernetes se zobrazenými informacemi o vyřazení a upgradu.

Nový plán je zdarma pro měsíc prosinec 2021. Možné změny fakturace ze starých plánů na Defender pro kontejnery a další informace o výhodách zavedených v tomto plánu najdete v tématu Introducing Microsoft Defender pro kontejnery.

Další informace naleznete v tématu:

Nová upozornění pro Microsoft Defender pro úložiště vydaná pro obecnou dostupnost (GA)

Aktéři hrozeb používají nástroje a skripty ke kontrole veřejně otevřených kontejnerů v naději, že najdou chybně nakonfigurované otevřené kontejnery úložiště s citlivými daty.

Microsoft Defender pro službu Storage tyto skenery detekuje, abyste je mohli zablokovat a napravit stav.

Upozornění verze Preview, které zjistilo, že se jedná o anonymní kontrolu kontejnerů veřejného úložiště. Abychom získali větší přehled o zjištěných podezřelých událostech, rozdělili jsme je na dvě nová upozornění. Tato upozornění jsou relevantní jenom pro Azure Blob Storage.

Vylepšili jsme logiku detekce, aktualizovali metadata upozornění a změnili jsme název a typ upozornění.

Toto jsou nová upozornění:

Výstraha (typ výstrahy) Description Taktika MITRE Severity
Veřejně přístupné kontejnery úložiště byly úspěšně zjištěny.
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)		 Úspěšné zjištění veřejně otevřených kontejnerů úložiště ve vašem účtu úložiště proběhlo za poslední hodinu pomocí skenovacího skriptu nebo nástroje.

Obvykle to značí útok na rekognoskaci, kdy se objekt actor hrozby pokusí vypsat objekty blob odhadem názvů kontejnerů v naději, že vyhledá chybně nakonfigurované otevřené kontejnery úložiště s citlivými daty.

Objekt actor hrozby může použít vlastní skript nebo použít známé skenovací nástroje, jako je Microburst, ke kontrole veřejně otevřených kontejnerů.

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2		 Collection Medium
Veřejně přístupné kontejnery úložiště, které se nepodařilo zkontrolovat
(Storage.Blob_OpenContainersScanning.FailedAttempt)		 V poslední hodině se provedla řada neúspěšných pokusů o vyhledání veřejně otevřených kontejnerů úložiště.

Obvykle to značí útok na rekognoskaci, kdy se objekt actor hrozby pokusí vypsat objekty blob odhadem názvů kontejnerů v naději, že vyhledá chybně nakonfigurované otevřené kontejnery úložiště s citlivými daty.

Objekt actor hrozby může použít vlastní skript nebo použít známé skenovací nástroje, jako je Microburst, ke kontrole veřejně otevřených kontejnerů.

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2		 Collection Low

Další informace naleznete v tématu:

Vylepšení výstrah pro Microsoft Defender pro úložiště

Upozornění na počáteční přístup teď mají vylepšenou přesnost a další data, která podporují šetření.

Aktéři hrozeb používají různé techniky v počátečním přístupu k získání zápatí v síti. Dvě výstrahy Microsoft Defender pro úložiště, které v této fázi detekují anomálie chování, teď mají vylepšenou logiku detekce a další data pro podporu vyšetřování.

Pokud jste v minulosti nakonfigurovali automatizace nebo definovali pravidla potlačení upozornění pro tato upozornění, aktualizujte je v souladu s těmito změnami.

Zjištění přístupu z výstupního uzlu Tor

Přístup z výstupního uzlu Tor může znamenat, že herec hrozeb, který se pokouší skrýt svou identitu.

Upozornění je teď vyladěné tak, aby se vygenerovalo jenom pro ověřený přístup, což vede k vyšší přesnosti a spolehlivosti, že aktivita je škodlivá. Toto vylepšení snižuje neškodnou pozitivní míru.

Odlévý vzor bude mít vysokou závažnost, zatímco méně neobvyklých vzorů bude mít střední závažnost.

Aktualizoval se název a popis upozornění. Typ výstrahy zůstává beze změny.

  • Název upozornění (starý): Přístup z výstupního uzlu Tor k účtu úložiště
  • Název upozornění (nový): Ověřený přístup z výstupního uzlu Tor
  • Typy výstrah: Storage.Blob_TorAnomaly / Storage.Files_TorAnomaly
  • Popis: Jeden nebo více kontejnerů úložiště / sdílených složek ve vašem účtu úložiště se úspěšně přistupovalo z IP adresy, o které je známo, že se jedná o aktivní výstupní uzel Tor (anonymizující proxy server). Aktéři hrozeb používají Tor, aby bylo obtížné sledovat aktivitu zpět k nim. Ověřený přístup z výstupního uzlu Tor pravděpodobně značí, že se objekt actor hrozby pokouší skrýt svou identitu. Platí pro: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
  • Taktika MITRE: Počáteční přístup
  • Závažnost: vysoká/střední

Neobvyklý neověřený přístup

Změna vzorů přístupu může znamenat, že aktér hrozeb mohl zneužít veřejný přístup ke čtení ke kontejnerům úložiště, a to buď zneužitím chyby v konfiguracích přístupu, nebo změnou přístupových oprávnění.

Toto upozornění střední závažnosti je teď vyladěné s vylepšenou logikou chování, vyšší přesností a jistotou, že aktivita je škodlivá. Toto vylepšení snižuje neškodnou pozitivní míru.

Aktualizoval se název a popis upozornění. Typ výstrahy zůstává beze změny.

  • Název upozornění (starý): Anonymní přístup k účtu úložiště
  • Název upozornění (nový): Neobvyklý neověřený přístup ke kontejneru úložiště
  • Typy výstrah: Storage.Blob_AnonymousAccessAnomaly
  • Popis: Tento účet úložiště byl přístupný bez ověřování, což je změna v modelu běžného přístupu. Přístup pro čtení k tomuto kontejneru se obvykle ověřuje. To může znamenat, že objekt actor hrozby mohl zneužít veřejný přístup pro čtení ke kontejnerům úložiště v těchto účtech úložiště. Platí pro: Azure Blob Storage
  • Taktika MITRE: Kolekce
  • Závažnost: Střední

Další informace naleznete v tématu:

Výstraha PortSweeping odebraná z upozornění na vrstvu sítě

Z upozornění na vrstvu sítě byla odebrána následující výstraha z důvodu nevýslednosti:

Výstraha (typ výstrahy) Description Taktika MITRE Severity
Byla zjištěna možná aktivita prohledávání odchozích portů.
(PortSweeping)		 Analýza síťového provozu zjistila podezřelý odchozí provoz z %{Ohroženého hostitele}. Tento provoz může být výsledkem aktivity prohledávání portů. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo aplikační brána, podezřelý odchozí provoz pochází z jednoho nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány). Pokud je toto chování úmyslné, mějte na paměti, že provádění kontroly portů je v rozporu s Azure podmínkami služby. Pokud toto chování není neúmyslné, může to znamenat, že došlo k ohrožení vašeho prostředku. Discovery Medium

Listopad 2021

Naše verze Ignite zahrnuje:

Mezi další změny v listopadu patří:

Azure Security Center a Azure Defender se stanou Microsoft Defender for Cloud

Podle zprávy o stavu cloudu z roku 2021 má nyní 92 % organizací strategii s více cloudy. V Microsoft je naším cílem centralizovat zabezpečení napříč prostředími a pomáhat týmům zabezpečení efektivněji pracovat.

Microsoft Defender for Cloud je řešení CWPP (Cloud Security Posture Management) a Cloud Workload Protection Platform (CWPP), které zjišťuje slabá místa v konfiguraci cloudu, pomáhá posílit celkový stav zabezpečení vašeho prostředí a chrání úlohy napříč multicloudovými a hybridními prostředími.

Na konferenci Ignite 2019 jsme se podělili o naši vizi, abychom vytvořili nejúplnější přístup k zabezpečení digitálních aktiv a integraci technologií XDR pod značkou Microsoft Defender. Sjednocení Azure Security Center a Azure Defender pod novým názvem Microsoft Defender for Cloud odráží integrované možnosti naší nabídky zabezpečení a schopnost podporovat jakoukoli cloudovou platformu.

Nativní CSPM pro AWS a ochranu před hrozbami pro Amazon EKS a AWS EC2

Nová stránka nastavení prostředí poskytuje větší viditelnost a kontrolu nad vašimi skupinami pro správu, předplatnými a účty AWS. Stránka je navržená pro připojení účtů AWS ve velkém měřítku: propojte svůj účet pro správu AWS a automaticky nasadíte stávající a budoucí účty.

Pomocí nové stránky nastavení prostředí připojte účty AWS.

Po přidání účtů AWS Defender for Cloud chrání vaše prostředky AWS pomocí libovolného nebo všech následujících plánů:

  • Defender for Cloud funkce CSPM rozšiřují prostředky AWS. Tento plán bez agentů vyhodnocuje vaše prostředky AWS podle doporučení zabezpečení specifických pro AWS a jsou součástí vašeho skóre zabezpečení. Tyto prostředky se také vyhodnotí za dodržování předdefinovaných standardů specifických pro AWS (AWS CIS, AWS PCI DSS a AWS Foundational Security Best Practices). Defender for Cloud stránka inventáře sestavy je funkce s podporou vícecloudu, která vám pomůže spravovat prostředky AWS společně s prostředky Azure.
  • Microsoft Defender pro Kubernetes rozšiřuje detekci hrozeb kontejnerů a pokročilou obranu na clustery Amán EKS Linux.
  • Microsoft Defender pro servery přináší detekci hrozeb a pokročilou ochranu vašich instancí EC2 Windows a Linuxu. Tento plán zahrnuje integrovanou licenci pro Microsoft Defender for Endpoint, standardní hodnoty zabezpečení a posouzení na úrovni operačního systému, kontrolu posouzení ohrožení zabezpečení, adaptivní řízení aplikací (AAC), monitorování integrity souborů (FIM) a další.

Přečtěte si další informace o připojení účtů AWS k Microsoft Defender for Cloud.

Stanovení priority akcí zabezpečení podle citlivosti dat (s využitím Microsoft Purview) (ve verzi Preview)

Datové prostředky zůstávají oblíbeným cílem pro aktéry hrozeb. Proto je důležité, aby týmy zabezpečení identifikovaly, upřednostnily a zabezpečily citlivé datové prostředky v cloudových prostředích.

Abychom tento problém vyřešili, Microsoft Defender for Cloud teď integruje informace o citlivosti z Microsoft Purview. Microsoft Purview je sjednocená služba zásad správného řízení dat, která poskytuje bohaté přehledy o citlivosti vašich dat v rámci vícecloudových a místních úloh.

Integrace s Microsoft Purview rozšiřuje viditelnost zabezpečení v Defender for Cloud od úrovně infrastruktury až po data, což umožňuje zcela nový způsob, jak určit prioritu prostředků a aktivit zabezpečení pro vaše bezpečnostní týmy.

Přečtěte si další informace o nastavení priority akcí zabezpečení podle citlivosti dat.

Rozšířené posouzení kontroly zabezpečení s využitím srovnávacího testu zabezpečení Azure v3

Doporučení zabezpečení v Defender for Cloud jsou podporována srovnávacím testem zabezpečení Azure.

Azure Srovnávací test zabezpečení je Microsoft vytvořený Azure specifická sada pokynů pro osvědčené postupy zabezpečení a dodržování předpisů na základě běžných architektur dodržování předpisů. Tento široce respektovaný srovnávací test vychází z kontrolních mechanismů centra pro internetové zabezpečení (CIS) a národního institutu NIST (National Institute of Standards and Technology) se zaměřením na zabezpečení zaměřeném na cloud.

Od konference Ignite 2021 je Azure srovnávací test zabezpečení v3 dostupný na řídicím panelu dodržování právních předpisů Defender for Cloud a je povolený jako nová výchozí iniciativa pro všechna předplatná Azure chráněná pomocí Microsoft Defender for Cloud.

Mezi vylepšení pro v3 patří:

  • Další mapování na oborové architektury PCI-DSS v3.2.1 a ovládací prvky CIS v8.

  • Podrobnější a použitelné pokyny pro ovládací prvky s uvedením:

    • Principy zabezpečení – poskytuje přehled o celkových cílech zabezpečení, které tvoří základ pro naše doporučení.
    • Azure Pokyny – technické postupy pro splnění těchto cílů.

  • Mezi nové kontroly patří zabezpečení DevOps pro problémy, jako je modelování hrozeb a zabezpečení dodavatelského řetězce softwaru, a také správa klíčů a certifikátů pro osvědčené postupy v Azure.

Další informace najdete v Introduction a Azure Srovnávací test zabezpečení.

volitelná obousměrná synchronizace upozornění konektoru Microsoft Sentinel vydaná pro obecnou dostupnost (GA)

V červenci jsme oznámili funkci Preview, bi-directional alert sync integrovaného konektoru v Microsoft Sentinel (řešení SIEM nativní pro cloud Microsoft a SOAR). Tato funkce je nyní vydána pro obecnou dostupnost (GA).

Když připojíte Microsoft Defender for Cloud k Microsoft Sentinel, stav výstrah zabezpečení se synchronizuje mezi těmito dvěma službami. Pokud je například výstraha uzavřena v Defender for Cloud, zobrazí se tato výstraha také jako uzavřená v Microsoft Sentinel. Změna stavu výstrahy v Defender for Cloud neovlivní stav žádné Microsoft Sentinel incidents, které obsahují synchronizovanou výstrahu Microsoft Sentinel, pouze na samotné synchronizované výstrahy.

Když povolíte synchronizaci bi-directional alert automaticky synchronizujete stav původních výstrah Defender for Cloud s Microsoft Sentinel incidenty, které obsahují kopie těchto výstrah. Pokud je například uzavřen incident Microsoft Sentinel obsahující výstrahu Defender for Cloud, Defender for Cloud automaticky zavře odpovídající původní výstrahu.

Další informace najdete v Pojení výstrah Azure Defender z Azure Security Center a Stream upozornění na Microsoft Sentinel.

Nové doporučení pro nabízení protokolů Azure Kubernetes Service (AKS) do Microsoft Sentinel

V dalším vylepšení kombinované hodnoty Defender for Cloud a Microsoft Sentinel teď zvýrazníme Azure Kubernetes Service instance, které neodesílají data protokolu do Microsoft Sentinel.

Týmy SecOps můžou zvolit příslušný pracovní prostor Microsoft Sentinel přímo ze stránky s podrobnostmi doporučení a okamžitě povolit streamování nezpracovaných protokolů. Díky tomuto bezproblémovému propojení mezi těmito dvěma produkty je pro bezpečnostní týmy snadné zajistit úplné pokrytí protokolování napříč svými úlohami, aby zůstaly nad celým prostředím.

Nové doporučení: Diagnostické protokoly ve službách Kubernetes by měly být povolené, obsahuje možnost Opravit pro rychlejší nápravu.

Vylepšili jsme také doporučení Auditování na SQL Serveru se stejnými možnostmi streamování Microsoft Sentinel.

Doporučení mapovaná na architekturu MITRE ATT&CK® – vydaná pro obecnou dostupnost (GA)

Vylepšili jsme doporučení zabezpečení Defender for Cloud, abychom ukázali jejich pozici v MITRE ATT& CK® framework. Tato globálně přístupná znalostní báze taktik a technik subjektů hrozeb na základě pozorování z reálného světa poskytuje další kontext, který vám pomůže porozumět souvisejícím rizikům doporučení pro vaše prostředí.

Tyto taktiky najdete všude, kde se dostanete k informacím o doporučení:

  • Azure Resource Graph výsledky dotazů pro relevantní doporučení zahrnují MITRE ATT& Taktika a techniky CK®.

  • Stránky s podrobnostmi doporučení zobrazují mapování všech relevantních doporučení:

  • Stránka s doporučeními v Defender for Cloud má nový filtr pro výběr doporučení podle jejich přidružené taktiky:

Další informace najdete v tématu Kontrola doporučení zabezpečení.

Microsoft Řešení pro posouzení ohrožení zabezpečení a ohrožení zabezpečení bylo přidáno jako řešení pro posouzení ohrožení zabezpečení – vydáno pro obecnou dostupnost (GA)

V říjnu jsme oznámili rozšíření integrace mezi Microsoft Defender pro servery a Microsoft Defender for Endpoint a podporovat nového poskytovatele posouzení ohrožení zabezpečení pro vaše počítače: Microsoft správu hrozeb a ohrožení zabezpečení. Tato funkce je nyní vydána pro obecnou dostupnost (GA).

Pomocí správy ohrožení zabezpečení a správy ohrožení zabezpečení můžete zjišťovat ohrožení zabezpečení a chybné konfigurace téměř v reálném čase pomocí integration s povoleným Microsoft Defender for Endpoint a bez nutnosti dalších agentů nebo pravidelných kontrol. Hrozby a správa ohrožení zabezpečení upřednostňují ohrožení zabezpečení na základě prostředí hrozeb a detekcí ve vaší organizaci.

Pomocí doporučení zabezpečení "Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení" můžete odhalit ohrožení zabezpečení zjištěná hrozbou a správa ohrožení zabezpečení pro vaše podporované počítače.

Pokud chcete na stávajících a nových počítačích automaticky zobrazit ohrožení zabezpečení, aniž byste museli doporučení opravovat ručně, přečtěte si téma Řešení posouzení ohrožení zabezpečení, která se teď dají automaticky povolit (ve verzi Preview).

Další informace najdete v Investigate slabých stránek se správou hrozeb a ohrožení zabezpečení Microsoft Defender for Endpoint.

Microsoft Defender for Endpoint pro Linux teď podporuje Microsoft Defender pro servery – vydáno pro obecnou dostupnost (GA)

V srpnu jsme oznámili podporu verze Preview pro nasazení senzoru Defender pro koncový bod pro Linux na podporované počítače s Linuxem. Tato funkce je nyní vydána pro obecnou dostupnost (GA).

Microsoft Defender pro servery zahrnuje integrovanou licenci pro Microsoft Defender for Endpoint. Společně poskytují komplexní možnosti detekce a reakce u koncových bodů (EDR).

Když Defender pro koncový bod zjistí hrozbu, aktivuje výstrahu. Výstraha se zobrazí v Defender for Cloud. Z Defender for Cloud můžete také přejít na Defender konzoly Endpoint a provést podrobné šetření, které odhalí rozsah útoku.

Další informace najdete v Nastavení koncových bodů pomocí integrovaného řešení EDR služby Security Center: Microsoft Defender for Endpoint.

Export snímků pro doporučení a zjištění zabezpečení (ve verzi Preview)

Defender for Cloud generuje podrobné výstrahy zabezpečení a doporučení. Můžete je zobrazit na portálu nebo prostřednictvím programových nástrojů. Můžete také potřebovat exportovat některé nebo všechny tyto informace pro sledování s jinými monitorovacími nástroji ve vašem prostředí.

Funkce Defender for Cloud kontinuás export umožňuje plně přizpůsobit co se exportuje a where přejde. Další informace najdete v Kontinuálně exportovat Microsoft Defender for Cloud data.

I když se tato funkce nazývá nepřetržitě, existuje také možnost exportu týdenních snímků. Do této chvíle byly tyto týdenní snímky omezené na bezpečnostní skóre a data dodržování právních předpisů. Přidali jsme možnost exportu doporučení a zjištění zabezpečení.

Automatické zřízení řešení posouzení ohrožení zabezpečení vydaná pro obecnou dostupnost (GA)

V říjnu jsme oznámili přidání řešení posouzení ohrožení zabezpečení Defender for Cloud na stránku automatického zřizování. To je relevantní pro Azure virtuální počítače a Azure Arc počítače v předplatných chráněných Azure Defender pro servery. Tato funkce je nyní vydána pro obecnou dostupnost (GA).

Pokud je povolené integration with Microsoft Defender for Endpoint, Defender for Cloud zobrazí volbu řešení posouzení ohrožení zabezpečení:

Zvolené řešení se automaticky povolí na podporovaných počítačích.

Další informace najdete v tématu Automatické konfigurace posouzení ohrožení zabezpečení pro vaše počítače.

Filtry inventáře softwaru v inventáři prostředků vydané pro obecnou dostupnost (GA)

V říjnu jsme oznámili nové filtry pro stránku inventáře aktiv pro výběr počítačů, na kterých běží konkrétní software , a dokonce jsme určili verze zájmu. Tato funkce je nyní vydána pro obecnou dostupnost (GA).

Data inventáře softwaru můžete dotazovat v průzkumníku Azure Resource Graph.

Pokud chcete tyto funkce používat, budete muset povolit integration s Microsoft Defender for Endpoint.

Úplné podrobnosti, včetně ukázkových dotazů Kusto pro Azure Resource Graph, najdete v tématu Přístup inventáře softwaru.

Nové zásady zabezpečení AKS přidané do výchozí iniciativy

Aby byly úlohy Kubernetes ve výchozím nastavení zabezpečené, Defender for Cloud zahrnuje zásady na úrovni Kubernetes a doporučení k posílení zabezpečení, včetně možností vynucení s řízením přístupu Kubernetes.

V rámci tohoto projektu jsme přidali zásadu a doporučení (ve výchozím nastavení zakázáno) pro gating deployment v clusterech Kubernetes. Zásady jsou ve výchozí iniciativě, ale jsou relevantní jenom pro organizace, které si zaregistrují související verzi Preview.

Zásady a doporučení můžete bezpečně ignorovat (clustery Kubernetes by měly vrátná nasazení ohrožených imagí) a na vaše prostředí to nebude mít žádný vliv.

Pokud se chcete zúčastnit verze Preview, budete muset být členem okruhu Preview. Pokud ještě nejste členem, odešlete sem žádost. Členové budou upozorněni na zahájení náhledu.

Zobrazení inventáře místníchpočítačůch

Abychom zlepšili prezentaci prostředků v inventáři prostředků, odebrali jsme ze šablony element "source-computer-IP" pro pojmenování místních počítačů.

  • Předchozí formát:machine-name_source-computer-id_VMUUID
  • Z této aktualizace:machine-name_VMUUID

Říjen 2021

Mezi aktualizace v říjnu patří:

Microsoft Řešení pro posouzení ohrožení zabezpečení a ohrožení zabezpečení bylo přidáno jako řešení pro posouzení ohrožení zabezpečení (ve verzi Preview)

Rozšířili jsme integraci mezi Azure Defender pro servery a Microsoft Defender for Endpoint, abychom podporovali nového poskytovatele posouzení ohrožení zabezpečení pro vaše počítače: Microsoft pro správu hrozeb.

Pomocí správy ohrožení zabezpečení a správy ohrožení zabezpečení můžete zjišťovat ohrožení zabezpečení a chybné konfigurace téměř v reálném čase pomocí integration s povoleným Microsoft Defender for Endpoint a bez nutnosti dalších agentů nebo pravidelných kontrol. Hrozby a správa ohrožení zabezpečení upřednostňují ohrožení zabezpečení na základě prostředí hrozeb a detekcí ve vaší organizaci.

Pomocí doporučení zabezpečení "Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení" můžete odhalit ohrožení zabezpečení zjištěná hrozbou a správa ohrožení zabezpečení pro vaše podporované počítače.

Pokud chcete na stávajících a nových počítačích automaticky zobrazit ohrožení zabezpečení, aniž byste museli doporučení opravovat ručně, přečtěte si téma Řešení posouzení ohrožení zabezpečení, která se teď dají automaticky povolit (ve verzi Preview).

Další informace najdete v Investigate slabých stránek se správou hrozeb a ohrožení zabezpečení Microsoft Defender for Endpoint.

Řešení posouzení ohrožení zabezpečení teď můžou být povolená automaticky (ve verzi Preview).

Stránka automatického zřizování služby Security Center teď obsahuje možnost automatického povolení řešení posouzení ohrožení zabezpečení pro Azure virtuální počítače a Azure Arc počítače v předplatných chráněných Azure Defender pro servery.

Pokud je povolené integration with Microsoft Defender for Endpoint, Defender for Cloud zobrazí volbu řešení posouzení ohrožení zabezpečení:

Konfigurování automatického zřízení hrozby Microsoft a správy ohrožení zabezpečení z Azure Security Center.

Zvolené řešení se automaticky povolí na podporovaných počítačích.

Další informace najdete v tématu Automatické konfigurace posouzení ohrožení zabezpečení pro vaše počítače.

Filtry inventáře softwaru přidané do inventáře prostředků (ve verzi Preview)

Stránka inventáře prostředků teď obsahuje filtr pro výběr počítačů, na kterých běží konkrétní software, a dokonce i určit verze zájmu.

Kromě toho můžete dotazovat data inventáře softwaru v Azure Resource Graph Exploreru.

Pokud chcete tyto nové funkce používat, budete muset povolit integration s Microsoft Defender for Endpoint.

Úplné podrobnosti, včetně ukázkových dotazů Kusto pro Azure Resource Graph, najdete v tématu Přístup inventáře softwaru.

Pokud jste povolili řešení ohrožení zabezpečení a ohrožení zabezpečení, inventář prostředků služby Security Center nabízí filtr pro výběr prostředků podle nainstalovaného softwaru.

Změna předpony některých typů výstrah z ARM_ na VM_

V červenci 2021 jsme oznámili logickou reorganizaci Azure Defender pro výstrahy Resource Manager

Během přeuspořádání plánů Defender jsme přesunuli upozornění z Azure Defender pro Resource Manager na Azure Defender pro servery.

V této aktualizaci jsme změnili předpony těchto upozornění tak, aby odpovídaly tomuto opětovnému přiřazení, a nahradili jsme "ARM_" za "VM_", jak je znázorněno v následující tabulce:

Původní název Z této změny
ARM_AmBroadFilesExclusion VM_AmBroadFilesExclusion
ARM_AmDisablementAndCodeExecution VM_AmDisablementAndCodeExecution
ARM_AmDisablement VM_AmDisablement
ARM_AmFileExclusionAndCodeExecution VM_AmFileExclusionAndCodeExecution
ARM_AmTempFileExclusionAndCodeExecution VM_AmTempFileExclusionAndCodeExecution
ARM_AmTempFileExclusion VM_AmTempFileExclusion
ARM_AmRealtimeProtectionDisabled VM_AmRealtimeProtectionDisabled
ARM_AmTempRealtimeProtectionDisablement VM_AmTempRealtimeProtectionDisablement
ARM_AmRealtimeProtectionDisablementAndCodeExec VM_AmRealtimeProtectionDisablementAndCodeExec
ARM_AmMalwareCampaignRelatedExclusion VM_AmMalwareCampaignRelatedExclusion
ARM_AmTemporarilyDisablement VM_AmTemporarilyDisablement
ARM_UnusualAmFileExclusion VM_UnusualAmFileExclusion
ARM_CustomScriptExtensionSuspiciousCmd VM_CustomScriptExtensionSuspiciousCmd
ARM_CustomScriptExtensionSuspiciousEntryPoint VM_CustomScriptExtensionSuspiciousEntryPoint
ARM_CustomScriptExtensionSuspiciousPayload VM_CustomScriptExtensionSuspiciousPayload
ARM_CustomScriptExtensionSuspiciousFailure VM_CustomScriptExtensionSuspiciousFailure
ARM_CustomScriptExtensionUnusualDeletion VM_CustomScriptExtensionUnusualDeletion
ARM_CustomScriptExtensionUnusualExecution VM_CustomScriptExtensionUnusualExecution
ARM_VMAccessUnusualConfigReset VM_VMAccessUnusualConfigReset
ARM_VMAccessUnusualPasswordReset VM_VMAccessUnusualPasswordReset
ARM_VMAccessUnusualSSHReset VM_VMAccessUnusualSSHReset

Přečtěte si další informace o Azure Defender pro plány Resource Manager a Azure Defender pro servery.

Změny logiky doporučení zabezpečení pro clustery Kubernetes

Doporučení Clustery Kubernetes by neměly používat výchozí obor názvů, brání použití výchozího oboru názvů pro celou řadu typů prostředků. Byly odebrány dva typy prostředků, které byly zahrnuty v tomto doporučení: ConfigMap a Secret.

Přečtěte si další informace o tomto doporučení a posílení zabezpečení clusterů Kubernetes v Podporné Azure Policy pro clustery Kubernetes.

Abychom upřesnili vztahy mezi různými doporučeními, přidali jsme do stránek s podrobnostmi mnoha doporučení oblast Související doporučení .

Existují tři typy relací, které se zobrazují na těchto stránkách:

  • Předpoklad – Doporučení, které musí být dokončeno před vybraným doporučením
  • Alternativní – jiné doporučení, které poskytuje jiný způsob, jak dosáhnout cílů vybraného doporučení
  • Závislý – doporučení, pro které je vybrané doporučení předpokladem

U každého souvisejícího doporučení se počet prostředků, které nejsou v pořádku, zobrazuje ve sloupci Ovlivněné prostředky.

Tip

Pokud je související doporučení neaktivní, její závislost ještě není dokončená a není k dispozici.

Příklad souvisejících doporučení:

  1. Security Center zkontroluje podporovaná řešení posouzení ohrožení zabezpečení na vašich počítačích:
    Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení.

  2. Pokud se některý z nich najde, dostanete oznámení o zjištěných ohroženích zabezpečení:
    Měla by se napravit ohrožení zabezpečení ve vašich virtuálních počítačích.

Security Center vás samozřejmě nemůže informovat o zjištěných ohroženích zabezpečení, pokud nenajde podporované řešení posouzení ohrožení zabezpečení.

Therefore:

  • Doporučení č. 1 je předpokladem pro doporučení č. 2.
  • Doporučení č. 2 závisí na doporučení č. 1.

Snímek obrazovky s doporučením k nasazení řešení posouzení ohrožení zabezpečení

Snímek obrazovky s doporučením k řešení zjištěných ohrožení zabezpečení

Nová upozornění pro Azure Defender pro Kubernetes (ve verzi Preview)

Abychom rozšířili ochranu před hrozbami poskytovanou Azure Defender pro Kubernetes, přidali jsme dvě upozornění ve verzi Preview.

Tato upozornění se generují na základě nového modelu strojového učení a pokročilé analýzy Kubernetes, měření atributů nasazení a přiřazení rolí proti předchozím aktivitám v clusteru a napříč všemi clustery monitorovanými Azure Defender.

Výstraha (typ výstrahy) Description Taktika MITRE Severity
Neobvyklé nasazení podu (Preview)
(K8S_AnomalousPodDeployment)		 Analýza protokolu auditu Kubernetes zjistila neobvyklé nasazení podu na základě předchozí aktivity nasazení. Tato aktivita se považuje za neobvyklou při zkoumání vztahu různých funkcí operace nasazení k sobě navzájem. Monitorované funkce zahrnují použitý registr imagí kontejneru, účet nasazení, den v týdnu, frekvenci nasazení pro tento účet, použitý uživatelský agent, vzory nasazení oboru názvů a další charakteristiky. Rozšířené vlastnosti výstrahy podrobně uvádějí hlavní důvody pro identifikaci této neobvyklé aktivity. Execution Medium
Nadměrné oprávnění role přiřazená v clusteru Kubernetes (Preview)
(K8S_ServiceAcountPermissionAnomaly)		 Analýza protokolů auditu Kubernetes zjistila nadměrné přiřazení role oprávnění ke clusteru. Od zkoumání přiřazení rolí jsou uvedená oprávnění pro konkrétní účet služby neobvyklá. Tato detekce bere v úvahu předchozí přiřazení rolí ke stejnému účtu služby napříč clustery monitorovanými Azure, svazkem na oprávnění a dopadem konkrétního oprávnění. Model detekce anomálií používaný pro tuto výstrahu bere v úvahu způsob použití tohoto oprávnění napříč všemi clustery monitorovanými Azure Defender. Eskalace oprávnění Low

Úplný seznam upozornění Kubernetes najdete v tématu Výstrahy pro clustery Kubernetes.

Září 2021

V září byla vydána následující aktualizace:

Dvě nová doporučení pro audit konfigurací operačního systému pro Azure dodržování standardních hodnot zabezpečení (ve verzi Preview)

Vydali jsme následující dvě doporučení k posouzení dodržování předpisů vašich počítačů se standardními hodnotami zabezpečení Windows a standardními hodnotami zabezpečení Linux:

Tato doporučení využívají funkci konfigurace hosta Azure Policy k porovnání konfigurace operačního systému počítače se standardními hodnotami definovanými v Azure srovnávacím testu zabezpečení.

Přečtěte si další informace o použití těchto doporučení v konfiguraci operačního systému počítače pomocí konfigurace hosta.

Srpen 2021

Mezi aktualizace v srpnu patří:

Microsoft Defender for Endpoint pro Linux teď podporuje Azure Defender pro servery (ve verzi Preview)

Azure Defender pro servery zahrnuje integrovanou licenci pro Microsoft Defender for Endpoint. Společně poskytují komplexní možnosti detekce a reakce u koncových bodů (EDR).

Když Defender pro koncový bod zjistí hrozbu, aktivuje výstrahu. Výstraha se zobrazí ve službě Security Center. Ze služby Security Center můžete také přejít na Defender pro konzolu Endpoint a provést podrobné šetření, které odhalí rozsah útoku.

Během období Preview nasadíte senzor Defender pro koncový bod pro Linux na podporované počítače s Linuxem jedním ze dvou způsobů v závislosti na tom, jestli jste ho už nasadili na Windows počítače:

Další informace najdete v Nastavení koncových bodů pomocí integrovaného řešení EDR služby Security Center: Microsoft Defender for Endpoint.

Dvě nová doporučení pro správu řešení ochrany koncových bodů (ve verzi Preview)

Přidali jsme dvě doporučení preview pro nasazení a údržbu řešení ochrany koncových bodů na vašich počítačích. Obě doporučení zahrnují podporu Azure virtuálních počítačů a počítačů připojených k Azure Arc serverům.

Recommendation Description Severity
Ochrana koncových bodů by měla být nainstalovaná na vašich počítačích. Pokud chcete chránit počítače před hrozbami a ohroženími zabezpečení, nainstalujte podporované řešení ochrany koncových bodů. Přečtěte si další informace o tom, jak se vyhodnocuje Endpoint Protection pro počítače.
(Související zásady: Monitor chybějící endpoint Protection v Azure Security Center)		 High
Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích. Vyřešte problémy se stavem služby Endpoint Protection na virtuálních počítačích, abyste je ochránili před nejnovějšími hrozbami a ohroženími zabezpečení. Azure Security Center podporovaná řešení ochrany koncových bodů jsou zdokumentovaná . Posouzení ochrany koncových bodů je zde popsané.
(Související zásady: Monitor chybějící endpoint Protection v Azure Security Center)		 Medium

Note

Doporučení ukazují jejich interval aktuálnosti jako 8 hodin, ale některé scénáře, ve kterých to může trvat výrazně déle. Například při odstranění místního počítače trvá security Center 24 hodin, než odstranění identifikuje. Potom posouzení bude trvat až 8 hodin, než informace vrátí. V této konkrétní situaci proto může trvat 32 hodin, než se počítač odebere ze seznamu ovlivněných prostředků.

Indikátor intervalu aktuálnosti těchto dvou nových doporučení služby Security Center

Integrované řešení potíží a pokyny pro řešení běžných problémů

Nová vyhrazená oblast stránek služby Security Center na portálu Azure poskytuje kompletovanou a stále rostoucí sadu materiálů samoobslužné pomoci pro řešení běžných problémů se službou Security Center a Azure Defender.

Pokud máte problém nebo hledáte radu od našeho týmu podpory, diagnostika a řešení problémů je dalším nástrojem, který vám pomůže najít řešení:

Stránka Diagnostika a řešení problémů ve službě Security Center

Řídicí panel dodržování právních předpisů Azure sestavy auditu vydané pro obecnou dostupnost (GA)

Panel nástrojů řídicího panelu dodržování právních předpisů nabízí Azure a Dynamics certifikační sestavy pro standardy použité u vašich předplatných.

Panel nástrojů řídicího panelu dodržování právních předpisů zobrazující tlačítko pro generování sestav auditu

Můžete vybrat kartu relevantních typů sestav (PCI, SOC, ISO a další) a pomocí filtrů najít konkrétní sestavy, které potřebujete.

Další informace najdete v tématu Generování zpráv o stavu dodržování předpisů a certifikátů.

Tabbed lists of available Azure Audit reports. Zobrazené karty pro sestavy ISO, sestavy SOC, PCI a další.

Zastaralé doporučení ,Log Analytics problémy se stavem agenta by se měly vyřešit na vašich počítačích.

Zjistili jsme, že na vašich počítačích by se měly vyřešit problémy se stavem agenta Log Analytics mají vliv na skóre zabezpečení způsobem, který je nekonzistentní se zaměřením služby Security Center na správu stavu zabezpečení cloudu (CSPM). CsPM obvykle souvisí s identifikací chybných konfigurací zabezpečení. Problémy se stavem agenta se nevejdou do této kategorie problémů.

Doporučení je také anomálie ve srovnání s ostatními agenty souvisejícími se službou Security Center: toto je jediný agent s doporučením souvisejícím s problémy se stavem.

Doporučení bylo zastaralé.

V důsledku tohoto vyřazení jsme také provedli menší změny doporučení pro instalaci agenta Log Analytics (Log Analytics agent by se měl nainstalovat na... ).

Je pravděpodobné, že tato změna ovlivní vaše skóre zabezpečení. U většiny předplatných očekáváme, že změna povede ke zvýšení skóre, ale je možné, že aktualizace doporučení k instalaci můžou v některých případech vést ke snížení skóre.

Tip

Tato změna ovlivnila také stránku inventáře aktiv , protože zobrazuje monitorovaný stav počítačů (monitorovaný, nemonitorovaný nebo částečně monitorovaný – stav, který odkazuje na agenta s problémy se stavem).

Azure Defender pro registry kontejnerů zahrnuje kontrolu ohrožení zabezpečení pro skenování imagí ve vašich registrech Azure Container Registry. Přečtěte si, jak v Použít Azure Defender pro registry kontejnerů kontrolovat ohrožení zabezpečení vašich imagí a opravovat je.

Pokud chcete omezit přístup k registru hostovaného v Azure Container Registry, přiřaďte k koncovým bodům registru privátní IP adresy virtuální sítě a použijte Azure Private Link, jak je vysvětleno v Privátní připojení k Azure container registry pomocí Azure Private Link.

V rámci našeho průběžného úsilí o podporu dalších prostředí a případů použití teď Azure Defender také prohledává registry kontejnerů chráněné pomocí Azure Private Link.

Security Center teď může automaticky zprostředkovat rozšíření konfigurace hosta Azure Policy (ve verzi Preview).

Azure Policy může auditovat nastavení uvnitř počítače, a to jak pro počítače spuštěné v Azure, tak i v počítačích připojených k Arc. Ověřování se provádí pomocí rozšíření Konfigurace hosta a prostřednictvím klienta. Další informace najdete v Podstatné konfiguraci hosta Azure Policy.

S touto aktualizací teď můžete security Center nastavit tak, aby toto rozšíření automaticky zřizovat pro všechny podporované počítače.

Povolte automatické nasazení rozšíření Konfigurace hosta.

Další informace o tom, jak funguje automatické zřizování, najdete v tématu Konfigurace automatického zřizování pro agenty a rozšíření.

Doporučení teď podporují vynucení.

Security Center obsahuje dvě funkce, které pomáhají zajistit, aby se nově vytvořené prostředky zřídily zabezpečeným způsobem: vynucování a zamítnutí. Když doporučení nabízí tyto možnosti, můžete zajistit splnění požadavků na zabezpečení, kdykoli se někdo pokusí vytvořit prostředek:

  • Zakázat , aby se nevytvořily prostředky, které nejsou v pořádku
  • Vynucování automaticky opraví prostředky, které nedodržují předpisy, když se vytvoří

V této aktualizaci je teď možnost vynucení dostupná na doporučeních, která umožňují povolit plány Azure Defender (například Azure Defender pro službu App Service, Azure Defender pro Key Vault by se měly povolit Azure Defender pro úložiště by mělo být povolené).

Další informace otěchtoch

Exporty csv s daty doporučení jsou teď omezené na 20 MB.

Při exportu dat doporučení služby Security Center zavádíme limit 20 MB.

Tlačítko Stáhnout sestavu CSV ve službě Security Center pro export dat doporučení

Pokud potřebujete exportovat větší objemy dat, použijte před výběrem dostupné filtry nebo vyberte podmnožinu vašich předplatných a stáhněte si data v dávkách.

Filtrování předplatných na portálu Azure portal.

Přečtěte si další informace o exportu sdíleného svazku clusteru s doporučeními zabezpečení.

Stránka Doporučení teď obsahuje více zobrazení.

Stránka s doporučeními teď obsahuje dvě karty, které poskytují alternativní způsoby zobrazení doporučení relevantních pro vaše prostředky:

  • Doporučení k skóre zabezpečení – Na této kartě můžete zobrazit seznam doporučení seskupených podle ovládacího prvku zabezpečení. Přečtěte si další informace o těchto ovládacích prvcích zabezpečení a jejich doporučeních.
  • Všechna doporučení – na této kartě můžete zobrazit seznam doporučení jako plochý seznam. Tato karta je také skvělá pro pochopení toho, která iniciativa (včetně standardů dodržování právních předpisů) doporučení vygenerovala. Přečtěte si další informace o iniciativách a jejich vztahu k doporučením v tématu Co jsou zásady zabezpečení, iniciativy a doporučení?

Tabs to change the view of the recommendations list in Azure Security Center.

Červenec 2021

Mezi aktualizace v červenci patří:

konektor Microsoft Sentinel teď zahrnuje volitelnou obousměrnou synchronizaci upozornění (ve verzi Preview).

Security Center se nativně integruje s Microsoft Sentinel, Azure řešení SIEM a SOAR nativní pro cloud.

Microsoft Sentinel zahrnuje integrované konektory pro Azure Security Center na úrovni předplatného a tenanta. Další informace najdete v upozorněních na Stream na Microsoft Sentinel.

Když připojíte Azure Defender k Microsoft Sentinel, stav Azure Defender výstrah, které se ingestují do Microsoft Sentinel, se synchronizuje mezi těmito dvěma službami. Pokud je například výstraha uzavřena v Azure Defender, zobrazí se tato výstraha také jako uzavřená v Microsoft Sentinel. Změna stavu výstrahy v Azure Defender "nebude"* mít vliv na stav žádné Microsoft Sentinel incidents, které obsahují synchronizovanou Microsoft Sentinel výstrahu, pouze na samotné synchronizované výstrahy.

Když povolíte funkci preview směrová synchronizace výstrah, automaticky synchronizuje stav původních Azure Defender výstrah s Microsoft Sentinel incidenty, které obsahují kopie těchto výstrah Azure Defender. Pokud je například uzavřen incident Microsoft Sentinel obsahující výstrahu Azure Defender, Azure Defender automaticky zavře odpovídající původní výstrahu.

Další informace najdete v Pojení upozornění Azure Defender z Azure Security Center.

Logická změna uspořádání Azure Defender pro výstrahy Resource Manager

Níže uvedené výstrahy byly poskytnuty jako součást plánu Azure Defender pro plán Resource Manager.

V rámci logické reorganizace některých plánů Azure Defender jsme přesunuli některá upozornění z Azure Defender pro Resource Manager na Azure Defender pro servery.

Výstrahy jsou uspořádány podle dvou hlavních principů:

  • Výstrahy, které poskytují ochranu roviny řízení – napříč mnoha typy prostředků Azure – jsou součástí Azure Defender pro Resource Manager
  • Výstrahy, které chrání konkrétní úlohy, jsou v plánu Azure Defender, který souvisí s odpovídající úlohou

Toto jsou výstrahy, které byly součástí Azure Defender pro Resource Manager a které v důsledku této změny jsou nyní součástí Azure Defender pro servery:

  • ARM_AmBroadFilesExclusion
  • ARM_AmDisablementAndCodeExecution
  • ARM_AmDisablement
  • ARM_AmFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusion
  • ARM_AmRealtimeProtectionDisabled
  • ARM_AmTempRealtimeProtectionDisablement
  • ARM_AmRealtimeProtectionDisablementAndCodeExec
  • ARM_AmMalwareCampaignRelatedExclusion
  • ARM_AmTemporarilyDisablement
  • ARM_UnusualAmFileExclusion
  • ARM_CustomScriptExtensionSuspiciousCmd
  • ARM_CustomScriptExtensionSuspiciousEntryPoint
  • ARM_CustomScriptExtensionSuspiciousPayload
  • ARM_CustomScriptExtensionSuspiciousFailure
  • ARM_CustomScriptExtensionUnusualDeletion
  • ARM_CustomScriptExtensionUnusualExecution
  • ARM_VMAccessUnusualConfigReset
  • ARM_VMAccessUnusualPasswordReset
  • ARM_VMAccessUnusualSSHReset

Přečtěte si další informace o Azure Defender pro plány Resource Manager a Azure Defender pro servery.

Vylepšení doporučení pro povolení Azure Disk Encryption (ADE)

Po odeslání zpětné vazby uživatelů jsme přejmenovali na virtuální počítače doporučené šifrování disků.

Nové doporučení používá stejné ID posouzení a označuje se jako Virtuální počítače, měly by šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště.

Popis byl také aktualizován, aby lépe vysvětlil účel tohoto doporučení posílení zabezpečení:

Recommendation Description Severity
Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. Ve výchozím nastavení se operační systém a datové disky virtuálního počítače šifrují neaktivní uložená data pomocí klíčů spravovaných platformou; dočasné disky a mezipaměti dat nejsou šifrované a při toku mezi výpočetními prostředky a prostředky úložiště se data nešifrují. Další informace najdete v comparison různých technologií šifrování disků v Azure.
K šifrování všech těchto dat použijte Azure Disk Encryption. Toto doporučení ignorujte, pokud (1) používáte funkci šifrování na hostiteli nebo (2) šifrování na straně serveru na Spravované disky splňuje vaše požadavky na zabezpečení. Další informace najdete v šifrování Azure Disk Storage na straně serveru.		 High

Průběžný export dat o skóre zabezpečení a dodržování právních předpisů vydaných pro obecnou dostupnost (GA)

Průběžný export poskytuje mechanismus pro export výstrah zabezpečení a doporučení pro sledování s dalšími monitorovacími nástroji ve vašem prostředí.

Když nastavíte průběžný export, nakonfigurujete, co se exportuje a kam se přesune. Další informace najdete v přehledu průběžného exportu.

Tuto funkci jsme v průběhu času vylepšili a rozšířili:

  • V listopadu 2020 jsme přidali možnost preview streamovat změny ve vašem skóre zabezpečení.

  • V prosinci 2020 jsme přidali možnost preview streamovat změny v datech posouzení dodržování právních předpisů.

V této aktualizaci jsou tyto dvě možnosti vydány pro obecnou dostupnost (GA).

Automatizace pracovních postupů se dají aktivovat změnami posouzení dodržování právních předpisů (GA).

V únoru 2021 jsme do možností triggeru pro automatizaci pracovních postupů přidali třetí datový typ preview : změny v posouzení dodržování právních předpisů. Další informace o automatizacích pracovních postupů můžou aktivovat změny v posouzení dodržování právních předpisů.

V této aktualizaci je tato možnost triggeru vydána pro obecnou dostupnost (GA).

Naučte se používat nástroje pro automatizaci pracovních postupů v automatizaci odpovědí na triggery služby Security Center.

Použití změn v posouzení dodržování právních předpisů k aktivaci automatizace pracovního postupu

Pole rozhraní API pro posouzení FirstEvaluationDate a StatusChangeDate je teď dostupné ve schématech pracovních prostorů a aplikacích logiky.

V květnu 2021 jsme aktualizovali rozhraní API pro posouzení o dvě nová pole FirstEvaluationDate a StatusChangeDate. Úplné podrobnosti najdete v rozbaleném rozhraní API pro posouzení se dvěma novými poli.

Tato pole byla přístupná prostřednictvím rozhraní REST API, Azure Resource Graph, průběžného exportu a v exportech CSV.

Díky této změně zpřístupňujeme informace ve schématu pracovního prostoru Log Analytics a z aplikací logiky.

V březnu jsme oznámili integrované prostředí Azure Monitor Workbooks ve službě Security Center (viz Azure Monitor Sešity integrované do služby Security Center a tři poskytnuté šablony).

Počáteční verze obsahovala tři šablony pro vytváření dynamických a vizuálních sestav o stavu zabezpečení vaší organizace.

Teď jsme přidali sešit vyhrazený ke sledování dodržování předpisů nebo oborových standardů předplatného.

Seznamte se s používáním těchto sestav nebo vytvářením vlastních sestav v bohatých interaktivních sestavách dat služby Security Center.

Azure Security Center dodržování předpisů v průběhu času sešitu

Červen 2021

Mezi aktualizace v červnu patří:

Nová výstraha pro Azure Defender pro Key Vault

Abychom rozšířili ochranu před hrozbami poskytovanou Azure Defender pro Key Vault, přidali jsme následující výstrahu:

Výstraha (typ výstrahy) Description Taktika MITRE Severity
Přístup z podezřelé IP adresy k trezoru klíčů
(KV_SuspiciousIPAccess)		 Trezor klíčů byl úspěšně přístupný IP identifikovanou službou Microsoft Threat Intelligence jako podezřelou IP adresou. To může znamenat, že vaše infrastruktura byla ohrožena. Doporučujeme provést další šetření. Přístup k přihlašovacím údajům Medium

Další informace naleznete v tématu:

Doporučení k šifrování pomocí klíčů spravovaných zákazníkem (CMK) ve výchozím nastavení

Security Center obsahuje několik doporučení k šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem, například:

  • Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem (CMK).
  • Azure Cosmos DB účty by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.
  • Azure Machine Learning pracovních prostorů by se měly šifrovat pomocí klíče spravovaného zákazníkem (CMK).

Data v Azure se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by se mělo použít jenom v případě, že se vyžaduje dodržování konkrétních zásad, které se vaše organizace rozhodnete vynutit.

Při této změně jsou teď doporučení k používání sad CMK ve výchozím nastavení zakázaná. Pokud jsou relevantní pro vaši organizaci, můžete je povolit změnou parametru Efekt odpovídajících zásad zabezpečení na AuditIfNotExists nebo Enforce. Další informace najdete v článku Povolení doporučení zabezpečení.

Tato změna se projeví v názvech doporučení s novou předponou [Povolit v případě potřeby], jak je znázorněno v následujících příkladech:

  • [Povolit v případě potřeby] Účty úložiště by měly k šifrování neaktivních uložených dat používat klíč spravovaný zákazníkem.
  • [Povolit v případě potřeby] Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem (CMK).
  • [Povolit v případě potřeby] Azure Cosmos DB účty by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.

Doporučení CMK služby Security Center budou ve výchozím nastavení zakázaná.

Předpona pro upozornění Kubernetes se změnila z "AKS_" na "K8S_"

Azure Defender pro Kubernetes se nedávno rozšířily o ochranu clusterů Kubernetes hostovaných místně a v prostředích s více cloudy. Další informace najdete v Použití Azure Defender pro Kubernetes k ochraně hybridních a multicloudových nasazení Kubernetes (ve verzi Preview) .

Abychom odráželi skutečnost, že výstrahy zabezpečení poskytované Azure Defender pro Kubernetes už nejsou omezené na clustery na Azure Kubernetes Service, změnili jsme předponu pro typy výstrah z "AKS_" na "K8S_". V případě potřeby se také aktualizovaly názvy a popisy. Například tato výstraha:

Výstraha (typ výstrahy) Description
Zjistil se nástroj pro penetrační testování Kubernetes.
(AKS_PenTestToolsKubeHunter)		 Analýza protokolu auditu Kubernetes zjistila využití nástroje pro penetrační testování Kubernetes v clusteru AKS . I když toto chování může být legitimní, útočníci můžou takové veřejné nástroje používat pro škodlivé účely.

Změna na tuto výstrahu:

Výstraha (typ výstrahy) Description
Zjistil se nástroj pro penetrační testování Kubernetes.
(K8S_PenTestToolsKubeHunter)		 Analýza protokolu auditu Kubernetes zjistila využití nástroje pro penetrační testování Kubernetes v clusteru Kubernetes . I když toto chování může být legitimní, útočníci můžou takové veřejné nástroje používat pro škodlivé účely.

Všechna pravidla potlačení, která odkazují na výstrahy začínající na "AKS_", byly automaticky převedeny. Pokud jste nastavili exporty SIEM nebo vlastní automatizační skripty, které odkazují na výstrahy Kubernetes podle typu upozornění, budete je muset aktualizovat pomocí nových typů upozornění.

Úplný seznam upozornění Kubernetes najdete v tématu Výstrahy pro clustery Kubernetes.

Zastaralá dvě doporučení z ovládacího prvku Zabezpečení Použít aktualizace systému

Následující dvě doporučení jsou zastaralá:

  • verze OS by se měla aktualizovat pro role cloudové služby – ve výchozím nastavení Azure pravidelně aktualizuje hostovaný operační systém na nejnovější podporovanou image v rámci řady operačních systémů, kterou jste zadali v konfiguraci služby (.cscfg), například Windows Server 2016.
  • Služby Kubernetes by se měly upgradovat na verzi Kubernetes , která není ohrožená . Hodnocení tohoto doporučení nejsou tak široké, jak bychom chtěli. Plánujeme nahradit doporučení vylepšenou verzí, která je lépe v souladu s vašimi potřebami zabezpečení.

Květen 2021

Mezi aktualizace v květnu patří:

Azure Defender pro DNS a Azure Defender pro Resource Manager vydané pro obecnou dostupnost (GA)

Tyto dva plány ochrany před hrozbami nativní pro cloud jsou teď obecně dostupné.

Tyto nové ochrany výrazně zvyšují odolnost proti útokům z aktérů hrozeb a výrazně zvyšují počet Azure prostředků chráněných Azure Defender.

Pokud chcete zjednodušit proces povolování těchto plánů, použijte doporučení:

  • Azure Defender pro Resource Manager by se mělo povolit
  • Azure Defender pro DNS by mělo být povolené

Note

Povolením plánů Azure Defender se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center.

Azure Defender pro opensourcové relační databáze vydané pro obecnou dostupnost (GA)

Azure Security Center rozšiřuje svou nabídku pro ochranu SQL novou sadou, která pokrývá vaše opensourcové relační databáze:

  • Azure Defender pro databázové servery Azure SQL – chrání vaše Azure nativní SQL Servery.
  • Azure Defender pro SQL servery na počítačích – rozšiřuje stejnou ochranu na servery SQL v hybridních, multicloudových a místních prostředích.
  • Azure Defender pro opensourcové relační databáze – chrání vaše izolované servery Azure Database for MySQL, PostgreSQL a MariaDB.

Azure Defender pro opensourcové relační databáze neustále monitorují vaše servery pro bezpečnostní hrozby a detekuje neobvyklé databázové aktivity označující potenciální hrozby pro Azure Database for MySQL, PostgreSQL a MariaDB. Zde je několik příkladů:

  • Granular detekce útoků hrubou silou – Azure Defender pro opensourcové relační databáze poskytuje podrobné informace o pokusech a úspěšných útocích hrubou silou. Díky tomu můžete prozkoumat a reagovat s podrobnějším pochopením povahy a stavu útoku na vaše prostředí.
  • Detekce upozorněníBehavioral – Azure Defender pro opensourcové relační databáze vás upozorní na podezřelé a neočekávané chování na vašich serverech, například na změny v modelu přístupu k databázi.
  • Detekce na základě inteligentních funkcí – Azure Defender použije Microsoft analýzu hrozeb a rozsáhlou znalostní bázi na upozornění na hrozby, abyste s nimi mohli jednat.

Další informace najdete v Introduction pro Azure Defender pro opensourcové relační databáze.

Nová upozornění pro Azure Defender pro Resource Manager

Abychom rozšířili ochranu před hrozbami poskytovanou Azure Defender pro Resource Manager, přidali jsme následující výstrahy:

Výstraha (typ výstrahy) Description Taktika MITRE Severity
Permissions udělené pro roli RBAC neobvyklým způsobem pro vaše prostředí Azure (Preview)
(ARM_AnomalousRBACRoleAssignment)		 Azure Defender pro Resource Manager zjistil přiřazení role RBAC, které je neobvyklé v porovnání s jinými přiřazeními prováděnými stejným přiřazovačem / provedeným pro stejného přiřazeného uživatele / ve vašem tenantovi z důvodu následujících anomálií: čas přiřazení, umístění přiřazovače, přiřazovač, metoda ověřování, přiřazené entity, použitý klientský software, rozsah přiřazení. Tato operace mohla být provedena legitimním uživatelem ve vaší organizaci. Případně to může znamenat, že došlo k porušení zabezpečení účtu ve vaší organizaci a že se aktér hrozby pokouší udělit oprávnění dalšímu uživatelskému účtu, který vlastní. Laterální pohyb, obrana před únikem Medium
Privilegovaná vlastní role vytvořená pro vaše předplatné podezřelým způsobem (Preview)
(ARM_PrivilegedRoleDefinitionCreation)		 Azure Defender pro Resource Manager zjistila podezřelé vytvoření definice privilegované vlastní role ve vašem předplatném. Tato operace mohla být provedena legitimním uživatelem ve vaší organizaci. Případně to může znamenat, že došlo k porušení zabezpečení účtu ve vaší organizaci a že se aktér hrozby pokouší vytvořit privilegovanou roli, která se použije v budoucnu k odstranění detekce. Laterální pohyb, obrana před únikem Low
operace Azure Resource Manager z podezřelé IP adresy (Preview)
(ARM_OperationFromSuspiciousIP)		 Azure Defender pro Resource Manager zjistili operaci z IP adresy, která byla označena jako podezřelá v informačních kanálech analýzy hrozeb. Execution Medium
operace Azure Resource Manager z podezřelé IP adresy proxy serveru (Preview)
(ARM_OperationFromSuspiciousProxyIP)		 Azure Defender pro Resource Manager zjistil operaci správy prostředků z IP adresy přidružené ke službám proxy, jako je TOR. I když toto chování může být legitimní, často se to projevuje ve škodlivých aktivitách, když se aktéři hrozeb pokusí skrýt zdrojovou IP adresu. Obrana před únikem Medium

Další informace naleznete v tématu:

Kontrola ohrožení zabezpečení CI/CD s využitím pracovních postupů GitHub a Azure Defender (Preview)

Azure Defender pro registry kontejnerů teď poskytuje týmům DevSecOps pozorovatelnost v pracovních postupech GitHub Actions.

Nová funkce kontroly ohrožení zabezpečení pro image kontejnerů, která využívá Trivy, vám pomůže vyhledat běžná ohrožení zabezpečení v jejich imagích kontejnerů před nasdílením imagí do registrů kontejnerů.

Sestavy kontroly kontejnerů jsou shrnuté v Azure Security Center a poskytují týmům zabezpečení lepší přehled a porozumění zdroji ohrožených imagí kontejnerů a pracovních postupů a úložišť, ze kterých pocházejí.

Další informace najdete v článku Identifikace ohrožených imagí kontejnerů v pracovních postupech CI/CD.

Pro některá doporučení jsou k dispozici další dotazy Resource Graphu.

Všechna doporučení služby Security Center mají možnost zobrazit informace o stavu ovlivněných prostředků pomocí Azure Resource Graph z dotazu Otevření dotazu. Úplné podrobnosti o této výkonné funkci najdete v tématu Recenze dat doporučení v průzkumníku Azure Resource Graph.

Security Center obsahuje integrované kontroly ohrožení zabezpečení pro kontrolu virtuálních počítačů, SQL serverů a jejich hostitelů a registrů kontejnerů z hlediska ohrožení zabezpečení. Tato zjištění se vrátí jako doporučení se všemi jednotlivými zjištěními jednotlivých typů prostředků shromážděnými do jednoho zobrazení. Doporučení jsou:

  • Chyby zabezpečení v imagích Azure Container Registry by se měly napravit (s využitím Qualys).
  • Měla by se napravit ohrožení zabezpečení ve vašich virtuálních počítačích.
  • Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení
  • Vyřešené zjištění ohrožení zabezpečení u SQL serverů na počítačích

Pomocí této změny můžete pomocí tlačítka Otevřít dotaz otevřít také dotaz zobrazující zjištění zabezpečení.

Tlačítko Otevřít dotaz teď nabízí možnosti pro hlubší dotaz zobrazující zjištění zabezpečení pro doporučení související se skenerem ohrožení zabezpečení.

Tlačítko Otevřít dotaz nabízí další možnosti pro některá další doporučení, pokud jsou relevantní.

Další informace o skenerech ohrožení zabezpečení služby Security Center:

Změna závažnosti doporučení klasifikace dat SQL

Závažnost doporučení Citlivá data v databázích SQL by se měla klasifikovat z vysoké na nízká.

Toto je součástí probíhající změny tohoto doporučení oznámené na naší stránce nadcházejících změn.

Nová doporučení pro povolení důvěryhodných možností spouštění (ve verzi Preview)

Azure nabízí důvěryhodné spuštění jako bezproblémový způsob, jak zlepšit zabezpečení virtuálních počítačů generace 2. Důvěryhodné spuštění chrání před pokročilými a trvalými technikami útoku. Důvěryhodné spuštění se skládá z několika koordinovaných technologií infrastruktury, které lze povolit nezávisle. Každá technologie poskytuje další vrstvu ochrany před sofistikovanými hrozbami. Přečtěte si další informace o spuštění Trusted pro virtuální počítače Azure.

Important

Důvěryhodné spuštění vyžaduje vytvoření nových virtuálních počítačů. U existujících virtuálních počítačů, které byly původně vytvořeny bez něj, nelze povolit důvěryhodné spuštění.

Důvěryhodné spuštění je aktuálně ve verzi Public Preview. Verze Preview se poskytuje bez smlouvy o úrovni služeb a nedoporučuje se pro produkční úlohy. Některé funkce se nemusí podporovat nebo mohou mít omezené možnosti.

Doporučení služby Security Center, vTPM by měly být povolené na podporovaných virtuálních počítačích, zajistí, aby virtuální počítače Azure používaly virtuální počítač vTPM. Tato virtualizovaná verze hardwarového modulu Trusted Platform Module umožňuje ověření pomocí měření celého spouštěcího řetězce vašeho virtuálního počítače (UEFI, OS, systému a ovladačů).

S povoleným virtuálním heslem může rozšíření Ověření identity hosta vzdáleně ověřit zabezpečené spouštění. Následující doporučení zajišťují, že je toto rozšíření nasazené:

  • Na podporovaných virtuálních počítačích Windows musí být povolené nezabezpečené spouštění
  • rozšíření ověření identity Na podporovaných virtuálních počítačích Windows by se mělo nainstalovat rozšířeníGuest Attestation
  • Rozšíření Ověření identity by se mělo nainstalovat na podporované Windows Virtual Machine Scale Sets
  • Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Linuxem.
  • Rozšíření Ověření identity by se mělo nainstalovat na podporované linuxové Virtual Machine Scale Sets

Přečtěte si další informace o spuštění Trusted pro virtuální počítače Azure.

Nová doporučení pro posílení zabezpečení clusterů Kubernetes (ve verzi Preview)

Následující doporučení umožňují ještě více posílit zabezpečení clusterů Kubernetes.

  • Clustery Kubernetes by neměly používat výchozí obor názvů – Pokud chcete chránit před neoprávněným přístupem pro typy prostředků ConfigMap, Pod, Secret, Service a ServiceAccount, zabraňte použití výchozího oboru názvů v clusterech Kubernetes.
  • Clustery Kubernetes by měly zakázat automatické připojování přihlašovacích údajů rozhraní API – Pokud chcete zabránit potenciálně ohroženým prostředkům podu ve spouštění příkazů rozhraní API pro clustery Kubernetes, zakažte přihlašovací údaje rozhraní API pro automatické připojování.
  • Clustery Kubernetes by neměly udělovat možnosti zabezpečení CAPSYSADMIN

Zjistěte, jak security Center dokáže chránit kontejnerizovaná prostředí v zabezpečení kontejnerů ve službě Security Center.

Rozbalené rozhraní API pro posouzení se dvěma novými poli

Do rozhraní REST API pro posouzení jsme přidali následující dvě pole:

  • FirstEvaluationDate – čas vytvoření a vyhodnocení doporučení. Vráceno jako čas UTC ve formátu ISO 8601.
  • StatusChangeDate – čas poslední změny stavu doporučení. Vráceno jako čas UTC ve formátu ISO 8601.

Počáteční výchozí hodnota pro tato pole – pro všechna doporučení – je 2021-03-14T00:00:00+0000000Z.

Pro přístup k tomuto informacím můžete použít některou z metod v následující tabulce.

Tool Details
Volání rozhraní REST API GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates
Azure Resource Graph securityresources
where type == "microsoft.security/assessments"
Průběžný export Dvě vyhrazená pole budou k dispozici data pracovního prostoru Log Analytics.
Export CSV Dvě pole jsou zahrnutá v souborech CSV.

Přečtěte si další informace o rozhraní REST API pro posouzení.

Inventář prostředků získá filtr cloudového prostředí.

Stránka inventáře prostředků služby Security Center nabízí mnoho filtrů pro rychlé upřesnění seznamu zobrazených prostředků. Další informace najdete v části Prozkoumání a správa prostředků pomocí inventáře prostředků.

Nový filtr nabízí možnost upřesnit seznam podle cloudových účtů, které jste připojili k multicloudové funkci služby Security Center.

Další informace o možnostech s více cloudy:

duben 2021

Mezi aktualizace v dubnu patří:

Obnovená stránka stavu prostředku (ve verzi Preview)

Služba Resource Health byla rozšířena, vylepšena a vylepšena tak, aby poskytovala přehled o celkovém stavu jednoho prostředku.

Můžete si projít podrobné informace o prostředku a všechna doporučení, která se na tento prostředek vztahují. Pokud používáte také plán rozšířené ochrany Microsoft Defender, můžete také zobrazit nevyřízených výstrah zabezpečení pro daný prostředek.

Pokud chcete otevřít stránku stavu prostředku pro prostředek, vyberte na stránce inventáře prostředků libovolný prostředek.

Tato stránka náhledu na stránkách portálu služby Security Center zobrazuje:

  1. Informace o prostředku – skupina prostředků a předplatné, ke kterému je připojená, zeměpisné umístění a další.
  2. Aplied security feature – určuje, jestli je pro prostředek povolený Azure Defender.
  3. Počet nevyřízených doporučení a výstrah – počet nevyřízených doporučení zabezpečení a výstrah Azure Defender.
  4. Doporučení a upozornění s možností akce – Dvě karty uvádějí doporučení a výstrahy, které se vztahují na prostředek.

stránka stavu prostředků Azure Security Center zobrazující informace o stavu virtuálního počítače

Další informace najdete v kurzu: Prozkoumání stavu vašich prostředků.

Image registru kontejneru, které byly nedávno staženy, se teď znovu naskenují každý týden (vydané pro obecnou dostupnost (GA))

Azure Defender pro registry kontejnerů zahrnuje integrovanou kontrolu ohrožení zabezpečení. Tento skener okamžitě naskenuje všechny image, které nasdílíte do registru, a všechny image načítané během posledních 30 dnů.

Nová ohrožení zabezpečení se zjistila každý den. V této aktualizaci se image kontejnerů, které byly načítané z vašich registrů během posledních 30 dnů, znovu naskenují každý týden. Tím se zajistí, že se na obrázcích identifikují nově zjištěná ohrožení zabezpečení.

Skenování se účtuje na základě obrázku, takže za tyto opakované prohledávání se neúčtují žádné další poplatky.

Další informace o tomto skeneru najdete v Použít Azure Defender registrů kontejnerů ke kontrole ohrožení zabezpečení imagí.

Použití Azure Defender pro Kubernetes k ochraně hybridních a multicloudových nasazení Kubernetes (ve verzi Preview)

Azure Defender pro Kubernetes rozšiřuje své možnosti ochrany před hrozbami a chrání vaše clustery bez ohledu na to, kde jsou nasazené. To bylo povoleno integrací s Azure Arc s podporou Kubernetes a s novými možnostmi extensions.

Když povolíte Azure Arc na clusterech Kubernetes, které nejsou Azure Kubernetes, nabídne vám nové doporučení od Azure Security Center nasazení agenta Azure Defender do nich jenom několika kliknutími.

Použijte doporučení (Azure Arc clustery Kubernetes s podporou Azure Defender by měly mít nainstalované rozšíření Azure Defender) a rozšíření pro ochranu clusterů Kubernetes nasazených v jiných poskytovatelích cloudu, i když ne ve spravovaných službách Kubernetes.

Tato integrace mezi Azure Security Center, Azure Defender a Azure Arc podporou Kubernetes přináší:

  • Snadné zřizování agenta Azure Defender pro nechráněné clustery Kubernetes s podporou Azure Arc (ručně i ve velkém)
  • Monitorování agenta Azure Defender a jeho stavu zřizování z portálu Azure Arc
  • Doporučení zabezpečení ze služby Security Center se hlásí na nové stránce Zabezpečení portálu Azure Arc Portal.
  • Zjištěné bezpečnostní hrozby z Azure Defender jsou hlášeny na nové stránce Zabezpečení na portálu Azure Arc Portal.
  • Azure Arc clustery Kubernetes jsou integrované do Azure Security Center platformy a prostředí.

Další informace najdete v Použití Azure Defender pro Kubernetes s místními a multicloudovými clustery Kubernetes.

doporučení Azure Security Center pro nasazení agenta Azure Defender pro clustery Kubernetes s podporou Azure Arc.

integrace Microsoft Defender for Endpoint s Azure Defender teď podporuje Windows Server 2019 a Windows 10 ve službě Windows Virtual Desktop vydané pro obecnou dostupnost (GA).

Microsoft Defender for Endpoint je ucelené cloudové řešení zabezpečení koncových bodů. Poskytuje správa ohrožení zabezpečení a hodnocení na základě rizik a také detekce a reakce u koncových bodů (EDR). Úplný seznam výhod používání Defender pro koncový bod společně s Azure Security Center najdete v tématu Nastavení koncových bodů pomocí integrovaného řešení EDR služby Security Center: Microsoft Defender for Endpoint.

Když povolíte Azure Defender pro servery, na kterých běží Windows Server, bude součástí plánu licence pro Defender pro koncový bod. Pokud jste už povolili Azure Defender pro servery a máte Windows Server 2019 servery ve vašem předplatném, automaticky obdrží Defender pro koncový bod s touto aktualizací. Nevyžaduje se žádná ruční akce.

Podpora je teď rozšířená tak, aby zahrnovala Windows Server 2019 a Windows 10 na Windows Virtual Desktop.

Note

Pokud na serveru Windows Server 2019 povolíte Defender pro koncový bod, ujistěte se, že splňuje požadavky popsané v Požte si integraci Microsoft Defender for Endpoint.

Doporučení k povolení Azure Defender pro DNS a Resource Manager (ve verzi Preview)

Přidali jsme dvě nová doporučení, která zjednodušují proces povolení Azure Defender pro Resource Manager a Azure Defender pro DNS:

  • Azure Defender pro Resource Manager by měla být povolená – Defender pro Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu.
  • Azure Defender pro DNS by mělo být povolené – Defender pro DNS poskytuje další vrstvu ochrany vašich cloudových prostředků nepřetržitým monitorováním všech dotazů DNS z vašich Azure prostředků. Azure Defender vás upozorní na podezřelou aktivitu ve vrstvě DNS.

Povolením plánů Azure Defender se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center.

Tip

Doporučení ve verzi Preview nevykreslují prostředek, který není v pořádku, a nejsou součástí výpočtů vašeho skóre zabezpečení. Opravte je tam, kde je to možné, aby po skončení období preview přispěli k vašemu skóre. Přečtěte si další informace o tom, jak reagovat na tato doporučení v Remediate doporučení v Azure Security Center.

Byly přidány tři standardy dodržování právních předpisů: Azure CIS 1.3.0, CMMC Level 3 a Nový Zéland ISM restricted

Přidali jsme tři standardy pro použití s Azure Security Center. Pomocí řídicího panelu dodržování právních předpisů teď můžete sledovat dodržování předpisů:

Můžete je přiřadit svým předplatným, jak je popsáno v části Přizpůsobení sady standardů na řídicím panelu dodržování právních předpisů.

Sb0>Sb0 přidané standardy pro použití s řídicím panelem pro dodržování právních předpisů Azure Security Center.

Další informace najdete v:

Azure sestavy sestavy služby Security Center, které pomáhají zajistit posílení nastavení v hostu virtuálních počítačů. U serverů s podporou služby Arc se toto rozšíření nevyžaduje, protože je součástí agenta Arc Connected Machine Agent. Rozšíření vyžaduje na počítači identitu spravovanou systémem.

Do služby Security Center jsme přidali čtyři nová doporučení, která toto rozšíření navýšili na maximum.

  • Dvě doporučení vás vyzve k instalaci rozšíření a požadované systémové spravované identity:

    • Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích.
    • Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem.

  • Když je rozšíření nainstalované a spuštěné, začne auditovat počítače a zobrazí se výzva k posílení nastavení, jako je konfigurace operačního systému a nastavení prostředí. Tato dvě doporučení vás vyzve k posílení zabezpečení Windows a počítačů s Linuxem, jak je popsáno:

    • Microsoft Defender Na vašich počítačích by měla být povolená ochrana Exploit Guard
    • Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH.

Další informace najdete v Podstatné konfiguraci hosta Azure Policy.

Doporučení CMK se přesunula na řízení zabezpečení osvědčených postupů

Součástí programu zabezpečení každé organizace jsou požadavky na šifrování dat. Ve výchozím nastavení se data zákazníků Azure neaktivní uložená data šifrují pomocí klíčů spravovaných službou. Klíče spravované zákazníkem (CMK) se ale běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče CMK umožňují šifrovat data pomocí klíče Azure Key Vault vytvořeného a vlastněného vámi. To vám dává plnou kontrolu a zodpovědnost za životní cyklus klíčů, včetně obměně a správy.

Azure Security Center kontrolní mechanismy zabezpečení jsou logické skupiny souvisejících doporučení zabezpečení a odrážejí vaše ohrožené útoky. Každý ovládací prvek má maximální počet bodů, které můžete přidat do skóre zabezpečení, pokud opravíte všechna doporučení uvedená v ovládacím prvku pro všechny vaše prostředky. Implementace kontrolního prvku zabezpečení osvědčených postupů zabezpečení stojí za nula bodů. Doporučení v tomto ovládacím prvku tedy neovlivní vaše skóre zabezpečení.

Níže uvedená doporučení se přesunou do kontroly zabezpečení Implement security best practices , aby lépe odrážela jejich volitelnou povahu. Tento krok zajišťuje, aby tato doporučení byla v nejvhodnější kontrole, aby splňovala jejich cíl.

  • Azure Cosmos DB účty by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.
  • Azure Machine Learning pracovních prostorů by se měly šifrovat pomocí klíče spravovaného zákazníkem (CMK).
  • Služby Azure AI účty by měly povolit šifrování dat pomocí klíče spravovaného zákazníkem (CMK).
  • Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem (CMK).
  • Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.
  • Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.
  • Účty úložiště by pro šifrování měly používat klíč spravovaný zákazníkem (CMK).

Zjistěte, která doporučení se nacházejí v jednotlivých bezpečnostních prvcích v bezpečnostních prvcích a jejich doporučeních.

11 Azure Defender upozornění jsou zastaralá

Jedenáct Azure Defender upozornění uvedená níže jsou zastaralá.

  • Nové výstrahy nahradí tyto dvě výstrahy a zajistí lepší pokrytí:

    AlertType AlertDisplayName
    ARM_MicroBurstDomainInfo PREVIEW – Zjištění spuštění funkce Get-AzureDomainInfo v sadě nástrojů MicroBurst
    ARM_MicroBurstRunbook PREVIEW – Zjištění spuštění funkce Get-AzurePasswords v sadě nástrojů MicroBurst

  • Tato devět upozornění se týkají konektoru Microsoft Entra Identity Protection (IPC), který už je zastaralý:

    AlertType AlertDisplayName
    UnfamiliarLocation Neznámé vlastnosti přihlášení
    AnonymousLogin Anonymní IP adresa
    InfectedDeviceLogin IP adresa související s malwarem
    ImpossibleTravel Neobvyklá cesta
    MaliciousIP Škodlivá IP adresa
    LeakedCredentials Uniklé přihlašovací údaje
    PasswordSpray Password Spray
    LeakedCredentials Microsoft Entra ID analýzy hrozeb
    AADAI Microsoft Entra ID AI

    Tip

    Tyto devět výstrah IPC nikdy nebyly výstrahy služby Security Center. Jsou součástí konektoru Microsoft Entra Identity Protection (IPC), který je odesílal do služby Security Center. V posledních dvou letech jsou jedinými zákazníky, kteří viděli tato upozornění, organizace, které v roce 2019 nebo dříve nakonfigurovaly export (z konektoru do ASC). Microsoft Entra ID IPC je dál zobrazovat ve svých vlastních systémech upozornění a nadále jsou k dispozici v Microsoft Sentinel. Jedinou změnou je, že se už nezobrazují ve službě Security Center.

Byla zastaralá dvě doporučení z ovládacího prvku "Použít aktualizace systému".

Následující dvě doporučení jsou zastaralá a změny můžou vést k mírnému dopadu na vaše bezpečnostní skóre:

  • Aby se nainstalovaly aktualizace systému, měly by se vaše počítače restartovat.
  • Agent monitorování by měl být nainstalovaný na vašich počítačích. Toto doporučení se týká jenom místních počítačů a některá z jeho logiky se přenesou na jiné doporučení, Log Analytics problémy se stavem agenta by se měly vyřešit na vašich počítačích

Doporučujeme zkontrolovat konfigurace průběžného exportu a automatizace pracovních postupů a zjistit, jestli jsou tato doporučení zahrnutá. Všechny řídicí panely nebo jiné monitorovací nástroje, které je můžou používat, by se také měly odpovídajícím způsobem aktualizovat.

Azure Defender pro SQL na dlaždici počítače odebrané z řídicího panelu Azure Defender

Oblast pokrytí řídicího panelu Azure Defender obsahuje dlaždice pro příslušné plány Azure Defender pro vaše prostředí. Kvůli problému s hlášením počtu chráněných a nechráněných prostředků jsme se rozhodli dočasně odebrat stav pokrytí prostředků pro Azure Defender pro SQL na počítačích, dokud se problém nevyřeší.

Doporučení se přesunula mezi ovládacími prvky zabezpečení

Následující doporučení se přesunula do různých bezpečnostních prvků. Kontrolní mechanismy zabezpečení jsou logické skupiny souvisejících doporučení k zabezpečení a odrážejí vaše ohrožené oblasti útoku. Tento krok zajišťuje, aby každé z těchto doporučení bylo v nejvhodnější kontrole, aby splňovalo její cíl.

Zjistěte, která doporučení se nacházejí v jednotlivých bezpečnostních prvcích v bezpečnostních prvcích a jejich doporučeních.

Recommendation Změna a dopad
Na vašich serverech SQL by mělo být povolené hodnocení ohrožení zabezpečení.
Ve spravovaných instancích SQL by se mělo povolit posouzení ohrožení zabezpečení.
Ohrožení zabezpečení ve vašich databázích SQL by se měla napravit novými
Měla by se napravit ohrožení zabezpečení vašich databází SQL ve virtuálních počítačích.		 Přechod z nápravných ohrožení zabezpečení (stojí šest bodů)
k nápravě konfigurací zabezpečení (stojí za čtyři body).
Tato doporučení budou mít v závislosti na vašem prostředí snížený dopad na vaše skóre.
K vašemu předplatnému by měl být přiřazený více než jeden vlastník.
Proměnné účtu Automation by měly být šifrované.
Zařízení IoT – Auditovaný proces přestal odesílat události
Zařízení IoT – Selhání ověřování standardních hodnot operačního systému
Zařízení IoT – Vyžaduje se upgrade šifrovací sady TLS
Zařízení IoT – Otevření portů na zařízení
Zařízení IoT – Byly nalezeny zásady brány firewall pro výkon v jednom z řetězců.
Zařízení IoT – Zjistilo se pravidlo brány firewall, které je v vstupním řetězci.
Zařízení IoT – Bylo nalezeno pravidlo brány firewall s oprávněním k výkonu ve výstupním řetězci.
Diagnostické protokoly v IoT Hub by měly být povolené.
Zařízení IoT – Agent odesílající nevyužité zprávy
Zařízení IoT – Výchozí zásady filtru IP adres by měly být odepření
Zařízení IoT – Pravidlo filtru IP adres – Velký rozsah IP adres
Zařízení IoT – Intervaly a velikost zpráv agenta by se měly upravit
Zařízení IoT – Identické přihlašovací údaje pro ověřování
Zařízení IoT – Auditovaný proces přestal odesílat události
Zařízení IoT – Základní konfigurace operačního systému (OS) by měla být opravena.		 Přechod na implementaci osvědčených postupů zabezpečení
Když se doporučení přesune na implementaci řízení zabezpečení osvědčených postupů zabezpečení, které nestojí za žádné body, doporučení už nebude mít vliv na vaše skóre zabezpečení.

Březen 2021

Mezi aktualizace v březnu patří:

Azure Firewall správa integrovaná do služby Security Center

Když otevřete Azure Security Center, zobrazí se první stránka přehledu.

Tento interaktivní řídicí panel poskytuje jednotný přehled o stavu zabezpečení hybridních cloudových úloh. Kromě toho zobrazuje výstrahy zabezpečení, informace o pokrytí a další.

Abychom vám pomohli zobrazit stav zabezpečení z centrálního prostředí, integrovali jsme Azure Firewall Manager do tohoto řídicího panelu. Teď můžete zkontrolovat stav pokrytí branou firewall ve všech sítích a centrálně spravovat zásady Azure Firewall počínaje službou Security Center.

Další informace o tomto řídicím panelu najdete na stránce přehledu Azure Security Center.

řídicí panel Přehled centra zabezpečení Security Center s dlaždicí pro Azure Firewall

Posouzení ohrožení zabezpečení SQL teď zahrnuje prostředí Zakázat pravidlo (Preview).

Security Center obsahuje integrovanou kontrolu ohrožení zabezpečení, která vám pomůže zjišťovat, sledovat a opravovat potenciální ohrožení zabezpečení databáze. Výsledky kontrol posouzení poskytují přehled o stavu zabezpečení vašich počítačů SQL a podrobnosti o všech zjištěních zabezpečení.

Pokud potřebujete, aby organizace hledání ignorovala a nemusela ji opravovat, můžete ji volitelně zakázat. Zakázaná zjištění nemají vliv na vaše skóre zabezpečení ani negenerují nežádoucí šum.

Další informace najdete v článku Zákaz konkrétních zjištění.

Azure Monitor Sešity integrované do služby Security Center a tři poskytnuté šablony

V rámci konference Ignite Spring 2021 jsme oznámili integrované prostředí Azure Monitor Workbooks ve službě Security Center.

Pomocí nové integrace můžete začít používat předefinované šablony z galerie služby Security Center. Pomocí šablon sešitů můžete přistupovat k dynamickým a vizuálním sestavám a sledovat stav zabezpečení vaší organizace. Kromě toho můžete vytvářet nové sešity založené na datech služby Security Center nebo na jiných podporovaných datových typech a rychle nasazovat komunitní sešity ze služby Security Center GitHub komunity.

K dispozici jsou tři šablony:

  • Skóre zabezpečení v průběhu času – Sledování skóre vašich předplatných a změny doporučení pro vaše prostředky
  • Aktualizace systému – Zobrazení chybějících aktualizací systému podle prostředků, operačního systému, závažnosti a dalších
  • Vulnerability Assessment Findings – Podívejte se na zjištění kontrol ohrožení zabezpečení vašich prostředků Azure

Seznamte se s používáním těchto sestav nebo vytvářením vlastních sestav v bohatých interaktivních sestavách dat služby Security Center.

Zabezpečte skóre v průběhu času.

Řídicí panel dodržování právních předpisů teď zahrnuje sestavy auditu Azure (Preview)

Na panelu nástrojů řídicího panelu dodržování právních předpisů si teď můžete stáhnout Azure a Dynamics certifikačních sestav.

Panel nástrojů řídicího panelu dodržování právních předpisů

Můžete vybrat kartu relevantních typů sestav (PCI, SOC, ISO a další) a pomocí filtrů najít konkrétní sestavy, které potřebujete.

Přečtěte si další informace o správě standardů na řídicím panelu dodržování právních předpisů.

Filtring seznamu dostupných Azure Sestavy auditu.

Data doporučení se dají zobrazit v Azure Resource Graph pomocí možnosti Prozkoumat v ARG.

Stránky s podrobnostmi doporučení teď obsahují tlačítko panelu nástrojů Prozkoumat v ARG. Pomocí tohoto tlačítka otevřete Azure Resource Graph dotaz a prozkoumejte, exportujte a sdílejte data doporučení.

Azure Resource Graph (ARG) poskytuje okamžitý přístup k informacím o prostředcích v cloudových prostředích s robustními možnostmi filtrování, seskupování a řazení. Je to rychlý a efektivní způsob, jak dotazovat informace v rámci Azure předplatných prostřednictvím kódu programu nebo z portálu Azure.

Přečtěte si další informace o Azure Resource Graph.

Explore data doporučení v Azure Resource Graph.

Aktualizace zásad pro nasazení automatizace pracovních postupů

Automatizace procesů monitorování a reakce na incidenty ve vaší organizaci může výrazně zlepšit dobu potřebnou k prošetření a zmírnění incidentů zabezpečení.

Poskytujeme tři Azure Policy zásady DeployIfNotExist, které vytvářejí a konfigurují postupy automatizace pracovních postupů, abyste mohli automatizace nasadit v celé organizaci:

Goal Policy ID zásady
Automatizace pracovních postupů pro výstrahy zabezpečení Deploy Workflow Automation for Azure Security Center alerts f1525828-9a90-4fcf-be48-268cdd02361e
Automatizace pracovních postupů pro doporučení zabezpečení Deploy Workflow Automation for Azure Security Center recommendations 73d6ab6c-2475-4850-afd6-43795f3492ef
Automatizace pracovních postupů pro změny dodržování právních předpisů Deploy Workflow Automation for Azure Security Center compliance 509122b9-ddd9-47ba-a5f1-d0dac20be63c

Existují dvě aktualizace funkcí těchto zásad:

  • Po přiřazení zůstanou povolené vynucením.
  • Tyto zásady teď můžete přizpůsobit a aktualizovat kterýkoli z parametrů i po jejich nasazení. Můžete například přidat nebo upravit klíč posouzení.

Začněte používat šablony automatizace workflow.

Přečtěte si další informace o automatizaci odpovědí na triggery služby Security Center.

Dvě starší doporučení už nezapisuje data přímo do Azure protokolu aktivit.

Security Center předává data pro téměř všechna doporučení zabezpečení, která Azure Advisor se následně zapisují do protokolu aktivit Azure.

Pro dvě doporučení jsou data současně zapsána přímo do Azure protokolu aktivit. Díky této změně přestane Security Center zapisovat data pro tato starší doporučení zabezpečení přímo do protokolu aktivit. Místo toho exportujeme data do Azure Advisor stejně jako u všech ostatních doporučení.

Dvě starší doporučení:

  • Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích.
  • V konfiguraci zabezpečení na počítačích by se měla napravit ohrožení zabezpečení.

Pokud k těmto dvěma doporučením přistupujete v kategorii Doporučení typu TaskDiscovery v protokolu aktivit, tato možnost už není dostupná.

Vylepšení stránky Doporučení

Vydali jsme vylepšenou verzi seznamu doporučení, abychom mohli na první pohled prezentovat další informace.

Teď na stránce uvidíte:

  1. Maximální skóre a aktuální skóre pro každý bezpečnostní prvek.
  2. Ikony nahrazující značky, jako je Oprava a Náhled
  3. Nový sloupec zobrazující iniciativu Zásad související s jednotlivými doporučeními – zobrazí se, když je zakázaná možnost Seskupit podle ovládacích prvků.

Enhancements na stránku s doporučeními Azure Security Center – březen 2021

Enhancements pro Azure Security Center 'plochý' seznam - březen 2021

Další informace najdete v doporučeních k zabezpečení v Azure Security Center.

2021. únor

Mezi aktualizace v únoru patří:

Nová stránka výstrah zabezpečení na portálu Azure vydaná pro obecnou dostupnost (GA)

Stránka výstrah zabezpečení Azure Security Center byla přepracovaná tak, aby poskytovala:

  • Vylepšené možnosti třídění výstrah – pomáhá snižovat únavu výstrah a zaměřit se na nejrelevantní hrozby, seznam obsahuje přizpůsobitelné filtry a možnosti seskupení.
  • Další informace v seznamu výstrah , jako jsou taktiky MITRE ATT&ACK.
  • Button pro vytváření ukázkových upozornění – k vyhodnocení možností Azure Defender a otestování výstrah. konfigurace (pro integraci SIEM, e-mailová oznámení a automatizace pracovních postupů) můžete vytvářet ukázková upozornění ze všech plánů Azure Defender.
  • Alignment s prostředím incidentů služby Azure Sentinel – pro zákazníky, kteří používají oba produkty, je teď jednodušší přepínat mezi nimi a je snadné se navzájem učit.
  • Lepší výkon pro velké seznamy výstrah.
  • Navigace pomocí klávesnice v seznamu upozornění
  • Alerts from Azure Resource Graph – můžete dotazovat upozornění v Azure Resource Graph, rozhraní API podobné Kusto pro všechny vaše prostředky. To je také užitečné, pokud vytváříte vlastní řídicí panely upozornění. Uučte se více o Azure Resource Graph.
  • Vytvoření funkce ukázkových upozornění – Pokud chcete vytvořit ukázková upozornění z nového prostředí upozornění, přečtěte si Generate ukázkové Azure Defender výstrahy.

Doporučení ochrany úloh Kubernetes vydaná pro obecnou dostupnost (GA)

S radostí oznamujeme obecnou dostupnost (GA) sady doporučení pro ochranu úloh Kubernetes.

Aby se zajistilo, že jsou úlohy Kubernetes ve výchozím nastavení zabezpečené, služba Security Center přidala doporučení pro posílení úrovně Kubernetes, včetně možností vynucení s řízením přístupu Kubernetes.

Při instalaci Azure Policy pro Kubernetes do vašeho clusteru Azure Kubernetes Service (AKS) se všechny požadavky na server rozhraní Kubernetes API budou monitorovat s předdefinovanou sadou osvědčených postupů – zobrazí se jako doporučení zabezpečení 13 – před tím, než se uloží do clusteru. Pak můžete nakonfigurovat, abyste vynucovali osvědčené postupy a nařídili je pro budoucí úlohy.

Můžete například nařídit, aby se privilegované kontejnery neměly vytvářet a všechny budoucí požadavky na to budou blokované.

Další informace najdete v osvědčených postupech ochrany úloh pomocí řízení přístupu Kubernetes.

Note

I když byla doporučení ve verzi Preview, nevykreslili prostředek clusteru AKS, který není v pořádku, a nebyly zahrnuty do výpočtů vašeho skóre zabezpečení. S tímto oznámením ga se tyto hodnoty zahrnou do výpočtu skóre. Pokud jste je ještě nenapravili, může to vést k mírnému dopadu na vaše bezpečnostní skóre. Opravte je, kdykoli je to možné, jak je popsáno v Remediate doporučení v Azure Security Center.

integrace Microsoft Defender for Endpoint s Azure Defender teď podporuje Windows Server 2019 a Windows 10 na Windows Virtual Desktopu (ve verzi Preview)

Microsoft Defender for Endpoint je ucelené cloudové řešení zabezpečení koncových bodů. Poskytuje správa ohrožení zabezpečení a hodnocení na základě rizik a také detekce a reakce u koncových bodů (EDR). Úplný seznam výhod používání Defender pro koncový bod společně s Azure Security Center najdete v tématu Nastavení koncových bodů pomocí integrovaného řešení EDR služby Security Center: Microsoft Defender for Endpoint.

Když povolíte Azure Defender pro servery, na kterých běží Windows Server, bude součástí plánu licence pro Defender pro koncový bod. Pokud jste už povolili Azure Defender pro servery a máte Windows Server 2019 servery ve vašem předplatném, automaticky obdrží Defender pro koncový bod s touto aktualizací. Nevyžaduje se žádná ruční akce.

Podpora je teď rozšířená tak, aby zahrnovala Windows Server 2019 a Windows 10 na Windows Virtual Desktop.

Note

Pokud na serveru Windows Server 2019 povolíte Defender pro koncový bod, ujistěte se, že splňuje požadavky popsané v Požte si integraci Microsoft Defender for Endpoint.

Přímý odkaz na zásadu ze stránky s podrobnostmi doporučení

Při kontrole podrobností doporučení je často užitečné vidět základní zásady. Pro každé doporučení podporované zásadami je na stránce s podrobnostmi doporučení nový odkaz:

Link to Azure Policy page for the specific policy supporting a recommendation.

Pomocí tohoto odkazu můžete zobrazit definici zásady a zkontrolovat logiku vyhodnocení.

Doporučení klasifikace dat SQL už nemá vliv na vaše skóre zabezpečení.

Doporučení Citlivá data v databázích SQL by už neměla mít vliv na vaše skóre zabezpečení. Bezpečnostní ovládací prvek Použít klasifikaci dat, která obsahuje, má nyní hodnotu zabezpečeného skóre 0.

Úplný seznam všech kontrolních mechanismů zabezpečení společně s jejich skóre a seznamem doporučení v každé z nich najdete v tématu Kontrolní mechanismy zabezpečení a jejich doporučení.

Automatizace pracovních postupů se dají aktivovat změnami v posouzení dodržování právních předpisů (ve verzi Preview).

Do možností triggeru pro automatizaci pracovních postupů jsme přidali třetí datový typ: změny v posouzení dodržování právních předpisů.

Naučte se používat nástroje pro automatizaci pracovních postupů v automatizaci odpovědí na triggery služby Security Center.

Použití změn v posouzení dodržování právních předpisů k aktivaci automatizace pracovního postupu

Vylepšení stránky inventáře prostředků

Vylepšili jsme stránku inventáře prostředků služby Security Center:

  • Souhrny v horní části stránky teď zahrnují neregistrovaná předplatná, která zobrazují počet předplatných bez povolení služby Security Center.

    Počet neregistrovaných předplatných v souhrnech v horní části stránky inventáře prostředků

  • Filtry byly rozšířeny a rozšířeny tak, aby zahrnovaly:

    • Počty – Každý filtr zobrazuje počet prostředků, které splňují kritéria jednotlivých kategorií.

      Counts ve filtrech na stránce inventáře prostředků Azure Security Center.

    • Obsahuje filtr výjimek (volitelné) – výsledky zúží na prostředky, u kterých nedošlo k výjimce. Tento filtr se ve výchozím nastavení nezobrazuje, ale je přístupný z tlačítka Přidat filtr .

      Adding filtru

Přečtěte si další informace o tom , jak prozkoumat a spravovat prostředky pomocí inventáře prostředků.

Leden 2021

Mezi aktualizace v lednu patří:

Azure srovnávací test zabezpečení je teď výchozí iniciativou zásad pro Azure Security Center

Azure srovnávací test zabezpečení je Microsoft vytvořený, Azure specifická sada pokynů pro osvědčené postupy zabezpečení a dodržování předpisů na základě běžných architektur dodržování předpisů. Tento široce respektovaný srovnávací test vychází z kontrolních mechanismů centra pro internetové zabezpečení (CIS) a národního institutu NIST (National Institute of Standards and Technology) se zaměřením na zabezpečení zaměřeném na cloud.

V posledních měsících se seznam předdefinovaných doporučení zabezpečení ve službě Security Center výrazně zvýšil, aby rozšířil naše pokrytí tohoto srovnávacího testu.

Z této verze je srovnávací test základem doporučení služby Security Center a plně integrovaný jako výchozí iniciativa zásad.

Všechny služby Azure mají v dokumentaci stránku standardních hodnot zabezpečení. Tyto směrné plány jsou založené na srovnávacím testu zabezpečení Azure.

Pokud používáte řídicí panel dodržování právních předpisů služby Security Center, uvidíte během přechodného období dvě instance srovnávacího testu:

řídicí panel dodržování právních předpisů Azure Security Center zobrazující Azure srovnávací test zabezpečení

Stávající doporučení nejsou ovlivněná a s rostoucím srovnávacím testem se změny automaticky projeví ve službě Security Center.

Další informace najdete na následujících stránkách:

Posouzení ohrožení zabezpečení pro místní počítače a počítače s více cloudy se vydává pro obecnou dostupnost (GA).

V říjnu jsme oznámili verzi Preview pro kontrolu serverů s podporou Azure Arc s Azure Defender pro servery integrovaným skenerem posouzení ohrožení zabezpečení (využívající technologii Qualys).

Nyní je vydána pro obecnou dostupnost (GA).

Když na počítačích, které nejsou Azure, povolíte Azure Arc, security Center na ně nabídne nasazení integrované kontroly ohrožení zabezpečení – ručně i ve velkém měřítku.

Díky této aktualizaci můžete využít možnosti Azure Defender pro servery ke konsolidaci programu pro správu ohrožení zabezpečení napříč všemi vašimi Azure a prostředky, které nejsou Azure.

Hlavní možnosti:

  • Monitorování stavu zřizování kontroly posouzení ohrožení zabezpečení na Azure Arc počítačích
  • Zřízení integrovaného agenta VA pro nechráněné počítače s Windows a Linuxem Azure Arc (ručně a ve velkém)
  • Příjem a analýza zjištěných ohrožení zabezpečení z nasazených agentů (ručně i ve velkém)
  • Jednotné prostředí pro virtuální počítače Azure a počítače Azure Arc

Přečtěte si další informace o nasazení integrované kontroly ohrožení zabezpečení Qualys do hybridních počítačů.

Vyučte další informace o serverech s podporou Azure Arc.

Bezpečnostní skóre pro skupiny pro správu je teď k dispozici ve verzi Preview

Stránka skóre zabezpečení teď zobrazuje agregované skóre zabezpečení pro vaše skupiny pro správu kromě úrovně předplatného. Teď si můžete prohlédnout seznam skupin pro správu ve vaší organizaci a skóre pro každou skupinu pro správu.

Zobrazení skóre zabezpečení pro vaše skupiny pro správu

Přečtěte si další informace o nezabezpečeném skóre a bezpečnostních prvcích v Azure Security Center.

Rozhraní API pro bezpečnostní skóre je vydáno pro obecnou dostupnost (GA)

K skóre se teď dostanete přes rozhraní API pro skóre zabezpečení. Metody rozhraní API poskytují flexibilitu při dotazování na data a vytváření vlastního mechanismu generování sestav bezpečnostních skóre v průběhu času. Například:

  • získání skóre pro konkrétní předplatné pomocí rozhraní API pro skóre zabezpečení
  • Pomocí rozhraní API pro bezpečnostní skóre zobrazíte seznam bezpečnostních prvků a aktuálního skóre vašich předplatných.

Seznamte se s externími nástroji, které je možné pomocí rozhraní API pro skóre zabezpečení v oblasti skóre zabezpečení naší komunity GitHub.

Přečtěte si další informace o nezabezpečeném skóre a bezpečnostních prvcích v Azure Security Center.

Rozšíření ochrany DNS přidané do Azure Defender pro App Service

Převzetí subdomény představují běžnou hrozbu s vysokou závažností pro organizace. Převzetí subdomény může nastat, když máte záznam DNS, který odkazuje na zrušený web. Tyto záznamy DNS se také označují jako položky nepropojené DNS. Záznamy CNAME jsou vůči této hrozbě obzvláště zranitelné.

Převzetí subdomény umožňuje hercům hrozeb přesměrovat provoz určený pro doménu organizace na web provádějící škodlivou aktivitu.

Azure Defender pro Službu App Service teď zjistí, že se při vyřazení webu App Service z provozu prosadí položky DNS. Toto je okamžik, kdy položka DNS ukazuje na prostředek, který neexistuje, a váš web je ohrožený převzetím subdomény. Tato ochrana je dostupná bez ohledu na to, jestli jsou vaše domény spravované pomocí Azure DNS nebo externího doménového registrátora a platí pro službu App Service na Windows i App Service v Linuxu.

Další informace:

Konektory pro více cloudů se vydávají pro obecnou dostupnost (GA)

U cloudových úloh, které často pokrývají více cloudových platforem, musí služby cloudového zabezpečení provádět totéž.

Azure Security Center chrání úlohy v Azure, Amazon Web Services (AWS) a Google Cloud Platform (GCP).

Propojení projektů AWS nebo GCP integruje své nativní nástroje zabezpečení, jako je AWS Security Hub a GCP Security Command Center, do Azure Security Center.

Tato funkce znamená, že Security Center poskytuje viditelnost a ochranu ve všech hlavních cloudových prostředích. Mezi výhody této integrace patří:

  • Automatické zřizování agentů – Security Center používá Azure Arc k nasazení agenta Log Analytics do vašich instancí AWS.
  • Správa politiky
  • Správa zranitelností
  • Detekce a odezva vloženého koncového bodu (EDR)
  • Detekce chybných konfigurací zabezpečení
  • Jedno zobrazení zobrazující doporučení zabezpečení od všech poskytovatelů cloudu
  • Začlenění všech vašich prostředků do výpočtů se skóre zabezpečení služby Security Center
  • Posouzení dodržování právních předpisů vašich prostředků AWS a GCP

V nabídce Defender for Cloud vyberte konektory Multicloud a zobrazí se možnosti pro vytváření nových konektorů:

Tlačítko Přidat účet AWS na stránce konektorů služby Security Center pro vícecloud

Další informace najdete v:

Vyloučení celých doporučení ze skóre zabezpečení pro předplatná a skupiny pro správu

Rozšiřujeme možnost výjimky tak, aby zahrnovala celá doporučení. Poskytuje další možnosti pro vyladění doporučení zabezpečení, která Security Center zajišťuje pro vaše předplatná, skupinu pro správu nebo prostředky.

V některých případech se prostředek zobrazí jako poškozený, když víte, že problém vyřeší nástroj třetí strany, který Security Center nerozpoznal. Nebo se doporučení zobrazí v oboru, ve kterém se cítíte, že nepatří. Doporučení může být nevhodné pro konkrétní předplatné. Nebo se vaše organizace rozhodla přijmout rizika související s konkrétním prostředkem nebo doporučením.

Díky této funkci Preview teď můžete vytvořit výjimku pro doporučení, která vám umožní:

  • Vyněžte prostředek , abyste zajistili, že není uvedený v seznamu prostředků, které nejsou v pořádku v budoucnu, a nemá vliv na vaše skóre zabezpečení. Zdroj bude uveden jako nepoužitý a důvod se zobrazí jako "vyloučený" s konkrétním odůvodněním, které vyberete.

  • Vyněžte předplatné nebo skupinu pro správu, abyste měli jistotu, že doporučení nemá vliv na vaše skóre zabezpečení a nebude se zobrazovat pro předplatné nebo skupinu pro správu v budoucnu. To souvisí s existujícími prostředky a všemi prostředky, které vytvoříte v budoucnu. Doporučení se označí konkrétním odůvodněním, které vyberete pro vybraný obor.

Přečtěte si další informace o vyloučení prostředků a doporučení z vašeho skóre zabezpečení.

Uživatelé teď můžou požádat o přehled celého tenanta od globálního správce.

Pokud uživatel nemá oprávnění k zobrazení dat služby Security Center, zobrazí se mu odkaz na žádost o oprávnění od globálního správce organizace. Požadavek zahrnuje roli, kterou by chtěli, a odůvodnění, proč je potřeba.

Banner s informacemi o uživateli, který může požádat o oprávnění na úrovni tenanta

Další informace najdete v části Žádosti o oprávnění pro celého tenanta, pokud vaše oprávnění nejsou dostatečná.

35 doporučení ve verzi Preview přidaná pro zvýšení pokrytí srovnávacího testu zabezpečení Azure

Azure srovnávací test zabezpečení je výchozí iniciativa zásad v Azure Security Center.

Abychom zvýšili pokrytí tohoto srovnávacího testu, přidali jsme do služby Security Center následující doporučení ve verzi Preview 35.

Tip

Doporučení ve verzi Preview nevykreslují prostředek, který není v pořádku, a nejsou součástí výpočtů vašeho skóre zabezpečení. Opravte je tam, kde je to možné, aby po skončení období preview přispěli k vašemu skóre. Přečtěte si další informace o tom, jak reagovat na tato doporučení v Remediate doporučení v Azure Security Center.

Řízení zabezpečení Nová doporučení
Povolení šifrování neaktivních uložených dat – Azure Cosmos DB účty by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.
– Azure Machine Learning pracovních prostorů by se měly šifrovat pomocí klíče spravovaného zákazníkem (CMK).
– Pro servery MySQL by měla být povolená ochrana dat vlastního klíče.
– U serverů PostgreSQL by měla být povolená ochrana dat s vlastním klíčem.
– Služby Azure AI účty by měly povolit šifrování dat pomocí klíče spravovaného zákazníkem (CMK).
– Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem (CMK).
– Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.
– SQL servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.
– Účty úložiště by pro šifrování měly používat klíč spravovaný zákazníkem (CMK).
Implementace osvědčených postupů zabezpečení – Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením.
– Automatické zřizování agenta Log Analytics by mělo být ve vašem předplatném povolené.
– E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené.
– E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno.
– Trezory klíčů by měly mít povolenou ochranu před vymazáním.
– Trezory klíčů by měly mít povolené obnovitelné odstranění.
Správa přístupu a oprávnění – Aplikace funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty).
Ochrana aplikací před útoky DDoS – Web Application Firewall (WAF) by měla být pro službu Application Gateway povolená.
– pro službu Azure Front Door Service by měla být povolená Web Application Firewall (WAF).
Omezení neoprávněného síťového přístupu – Brána firewall by měla být povolená na Key Vault
– Privátní koncový bod by měl být nakonfigurovaný pro Key Vault
– Konfigurace aplikace by měla používat privátní propojení.
– Azure Cache for Redis by se měla nacházet ve virtuální síti.
– Azure Event Grid domény by měly používat privátní propojení.
- Azure Event Grid témata by měla používat privátní propojení
– Azure Machine Learning pracovních prostorů by měly používat privátní propojení
– Azure SignalR Service používat privátní propojení
– Azure Spring Cloud by měl používat injektáž sítě
– Registry kontejnerů by neměly umožňovat neomezený síťový přístup
– Registry kontejnerů by měly používat privátní propojení.
– Přístup k veřejné síti by měl být pro servery MariaDB zakázaný.
– Pro servery MySQL by měl být zakázaný přístup k veřejné síti.
– Pro servery PostgreSQL by měl být zakázaný přístup k veřejné síti.
– Účet úložiště by měl používat připojení privátního propojení.
– Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě.
– Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení.

Související odkazy:

Export filtrovaného seznamu doporučení ve formátu CSV

V listopadu 2020 jsme na stránku s doporučeními přidali filtry.

V tomto oznámení měníme chování tlačítka Stáhnout na CSV tak, aby export csv obsahoval pouze doporučení aktuálně zobrazená ve filtrovaném seznamu.

Například na následujícím obrázku vidíte, že seznam je filtrovaný na dvě doporučení. Vygenerovaný soubor CSV obsahuje podrobnosti o stavu každého prostředku ovlivněného těmito dvěma doporučeními.

Export filtrovaných doporučení do souboru CSV

Další informace najdete v doporučeních k zabezpečení v Azure Security Center.

Prostředky, které nejsou použitelné, se teď v posouzeních Azure Policy hlásí jako vyhovující

Dříve se prostředky, které se vyhodnotily jako doporučení, a zjistily se, že nejsou použitelné se v Azure Policy zobrazily jako nevyhovující předpisům. Žádné akce uživatele by nemohly změnit stav na Vyhovující. Díky této změně se oznamují jako "Kompatibilní", aby byly přehlednější.

Jediným dopadem bude Azure Policy, kde se zvýší počet vyhovujících prostředků. V Azure Security Center nebude mít bezpečnostní skóre žádný vliv.

Export týdenních snímků s údaji o dodržování právních předpisů a bezpečnostním skóre s průběžným exportem (Preview)

Do nástrojů pro průběžný export jsme přidali novou funkci Preview pro export týdenních snímků zabezpečených skóre a dat dodržování právních předpisů.

Při definování průběžného exportu nastavte frekvenci exportu:

Výběr frekvence průběžného exportu

  • Streamování – hodnocení se odešle při aktualizaci stavu prostředku (pokud nedojde k žádným aktualizacím, nebudou odeslána žádná data).
  • Snímky – snímek aktuálního stavu všech posouzení dodržování právních předpisů se odešle každý týden (jedná se o funkci Preview pro týdenní snímky bezpečnostních skóre a dat dodržování právních předpisů).

Přečtěte si další informace o všech možnostech této funkce v průběžném exportu dat služby Security Center.

Prosinec 2020

Mezi aktualizace v prosinci patří:

Azure Defender pro SQL servery na počítačích je obecně k dispozici

Azure Security Center nabízí dva plány Azure Defender pro SQL Servery:

  • Azure Defender pro databázové servery Azure SQL – chrání vaše Azure nativní SQL Servery.
  • Azure Defender pro SQL servery na počítačích – rozšiřuje stejnou ochranu na servery SQL v hybridních, multicloudových a místních prostředích.

Díky tomuto oznámení teď Azure Defender pro SQL chrání vaše databáze a jejich data, ať jsou kdekoli.

Azure Defender pro SQL zahrnuje možnosti posouzení ohrožení zabezpečení. Nástroj pro posouzení ohrožení zabezpečení obsahuje následující pokročilé funkce:

  • Základní konfigurace (Nový!) umožňuje inteligentně upřesnit výsledky kontrol ohrožení zabezpečení na ty, které můžou představovat skutečné problémy se zabezpečením. Po vytvoření základního stavu zabezpečení nástroj pro posouzení ohrožení zabezpečení hlásí pouze odchylky od tohoto stavu směrného plánu. Výsledky, které odpovídají směrnému plánu, se považují za předávání následných kontrol. Díky tomu se vy i vaši analytici zaměříte na to, kde je to důležité.
  • Podrobné informace o srovnávacích testech, které vám pomůžou pochopit zjištěná zjištění a proč souvisí s vašimi prostředky.
  • Skripty pro nápravu , které vám pomůžou zmírnit zjištěná rizika.

Přečtěte si další informace o Azure Defender pro SQL.

Azure Defender pro podporu SQL pro Azure Synapse Analytics vyhrazený fond SQL je obecně dostupný

Azure Synapse Analytics (dříve SQL DW) je analytická služba, která kombinuje podnikové datové sklady a analýzy velkých objemů dat. Vyhrazené fondy SQL jsou funkce podnikových datových skladů Azure Synapse. Další informace najdete v Co je Azure Synapse Analytics (dříve SQL DW)?.

Azure Defender pro SQL chrání vyhrazené fondy SQL pomocí:

  • Rozšířená ochrana před hrozbami pro detekci hrozeb a útoků
  • Možnosti posouzení ohrožení zabezpečení pro identifikaci a nápravu chybných konfigurací zabezpečení

Azure Defender pro podporu SQL pro fondy SQL Azure Synapse Analytics se automaticky přidá do sady Azure SQL databází v Azure Security Center. Na stránce pracovního prostoru Synapse na portálu Azure je nová karta Azure Defender pro SQL.

Přečtěte si další informace o Azure Defender pro SQL.

Globální správci teď můžou udělit oprávnění na úrovni tenanta.

Uživatel s rolí Microsoft Entra ID Global Administrator může mít povinnosti v rámci celého tenanta, ale nemá oprávnění Azure k zobrazení informací v celé organizaci v Azure Security Center.

Pokud si chcete přiřadit oprávnění na úrovni tenanta, postupujte podle pokynů v části Udělení oprávnění pro celého tenanta sami sobě.

Dva nové plány Azure Defender: Azure Defender pro DNS a Azure Defender pro Resource Manager (ve verzi Preview)

Přidali jsme dvě nové možnosti ochrany před internetovými útoky nativní pro cloud pro vaše Azure prostředí.

Tyto nové ochrany výrazně zvyšují odolnost proti útokům z aktérů hrozeb a výrazně zvyšují počet Azure prostředků chráněných Azure Defender.

Nová stránka výstrah zabezpečení na portálu Azure (Preview)

Stránka výstrah zabezpečení Azure Security Center byla přepracovaná tak, aby poskytovala:

  • Vylepšené možnosti třídění výstrah – pomáhá snížit únavu výstrah a zaměřit se na nejrelevavantnější hrozby, seznam obsahuje přizpůsobitelné filtry a možnosti seskupení.
  • Další informace v seznamu výstrah – například taktika MITRE ATT&ACK
  • Button k vytvoření ukázkových upozornění – k vyhodnocení možností Azure Defender a otestování konfigurace výstrah (pro integraci SIEM, e-mailová oznámení a automatizace pracovních postupů) můžete vytvořit ukázková upozornění ze všech plánů Azure Defender.
  • Alignment s prostředím incidentů služby Azure Sentinel – pro zákazníky, kteří používají oba produkty, je teď jednodušší přepínat mezi nimi a je snadné se navzájem učit.
  • Lepší výkon u rozsáhlých seznamů výstrah
  • Navigace pomocí klávesnice v seznamu upozornění
  • Alerts from Azure Resource Graph – můžete dotazovat upozornění v Azure Resource Graph, rozhraní API podobné Kusto pro všechny vaše prostředky. To je také užitečné, pokud vytváříte vlastní řídicí panely upozornění. Uučte se více o Azure Resource Graph.

Pokud chcete získat přístup k novému prostředí, použijte odkaz Vyzkoušet hned z banneru v horní části stránky výstrah zabezpečení.

Banner s odkazem na nové prostředí upozornění ve verzi Preview

Pokud chcete vytvořit ukázková upozornění z nového prostředí upozornění, přečtěte si téma Generate ukázkové Azure Defender výstrahy.

Aktivované zkušenosti se službou Security Center v Azure SQL Database & SQL Managed Instance

Prostředí Security Center v rámci SQL poskytuje přístup k následujícím funkcím služby Security Center a Azure Defender:

  • Doporučení k zabezpečení – Security Center pravidelně analyzuje stav zabezpečení všech připojených Azure prostředků, aby identifikoval potenciální chybné konfigurace zabezpečení. Pak poskytuje doporučení k nápravě těchto ohrožení zabezpečení a zlepšení stavu zabezpečení organizací.
  • Pozory zabezpečení – služba detekce, která nepřetržitě monitoruje Azure SQL aktivity pro hrozby, jako jsou injektáž SQL, útoky hrubou silou a zneužití oprávnění. Tato služba aktivuje podrobné výstrahy zabezpečení orientované na akce ve službě Security Center a poskytuje možnosti pro pokračování vyšetřování s využitím Microsoft Sentinel, Microsoft řešení SIEM nativního pro Azure.
  • Findings – služba posouzení ohrožení zabezpečení, která nepřetržitě monitoruje konfigurace Azure SQL a pomáhá napravit ohrožení zabezpečení. Kontroly posouzení poskytují přehled Azure SQL stavů zabezpečení společně s podrobnými zjištěními zabezpečení.

Funkce zabezpečení <>Azure Security Center pro SQL jsou k dispozici v rámci Azure SQL

Aktualizované nástroje a filtry inventáře prostředků

Stránka inventáře v Azure Security Center byla aktualizována s následujícími změnami:

  • Vodítka a zpětná vazba přidaná na panel nástrojů Otevře se podokno s odkazy na související informace a nástroje.

  • Filtr předplatných přidaný do výchozích filtrů dostupných pro vaše prostředky

  • Otevření dotazu odkaz pro otevření aktuálních možností filtru jako dotazu Azure Resource Graph (dříve označovaný jako Zobrazení v Průzkumníku grafu prostředků).

  • Možnosti operátorů pro každý filtr Teď si můžete vybrat z více logických operátorů než =. Můžete například chtít najít všechny prostředky s aktivními doporučeními, jejichž názvy obsahují řetězec "encrypt".

    Ovládací prvky pro možnost operátora ve filtrech inventáře aktiv

Další informace o inventáři najdete v tématu Prozkoumání a správa prostředků pomocí inventáře prostředků.

Doporučení týkající se webových aplikací, které požadují certifikáty SSL, už nejsou součástí skóre zabezpečení

Doporučení "Web apps should request an SSL certificate for all incoming requests" (Webové aplikace by měly požadovat certifikát SSL pro všechny příchozí požadavky) byl přesunut z řízení zabezpečení Spravovat přístup a oprávnění (stojí za maximálně 4 body) do implementace osvědčených postupů zabezpečení (které stojí za žádné body).

Zajištění, že webová aplikace požaduje certifikát, je jistě bezpečnější. U veřejných webových aplikací je ale irelevantní. Pokud k webu přistupujete přes PROTOKOL HTTP a ne HTTPS, nebudete dostávat žádný klientský certifikát. Takže pokud vaše aplikace vyžaduje klientské certifikáty, neměli byste povolit požadavky na vaši aplikaci přes protokol HTTP. Další informace najdete v Konfigurování vzájemného ověřování TLS pro Azure App Service.

Při této změně je teď doporučení doporučeným osvědčeným postupem, který nemá vliv na vaše skóre.

Zjistěte, která doporučení se nacházejí v jednotlivých bezpečnostních prvcích v bezpečnostních prvcích a jejich doporučeních.

Stránka Doporučení obsahuje nové filtry pro prostředí, závažnost a dostupné odpovědi.

Azure Security Center monitoruje všechny připojené prostředky a generuje doporučení zabezpečení. Pomocí těchto doporučení můžete posílit stav hybridního cloudu a sledovat dodržování zásad a standardů, které jsou relevantní pro vaši organizaci, odvětví a zemi/oblast.

Vzhledem k tomu, že Security Center stále rozšiřuje své pokrytí a funkce, roste každý měsíc seznam doporučení zabezpečení. Podívejte se například na Twenty devět doporučení ve verzi Preview, která se přidala ke zvýšení pokrytí srovnávacího testu zabezpečení Azure.

S rostoucím seznamem je potřeba filtrovat doporučení, abyste našli ty, které mají největší zájem. V listopadu jsme na stránku doporučení přidali filtry (viz seznam doporučení teď obsahuje filtry).

Filtry přidané tento měsíc poskytují možnosti pro upřesnění seznamu doporučení podle následujících:

  • Environment – zobrazení doporučení pro prostředky AWS, GCP nebo Azure (nebo libovolnou kombinaci)

  • Závažnost – Zobrazení doporučení podle klasifikace závažnosti nastavené službou Security Center

  • Akce odpovědi – Zobrazení doporučení podle dostupnosti možností odpovědi služby Security Center: Oprava, Zamítnutí a Vynucení

    Tip

    Filtr akcí odpovědi nahrazuje filtr Rychlá oprava dostupná (Ano/Ne).

    Přečtěte si další informace o každé z těchto možností odpovědi:

Doporučení seskupené podle ovládacího prvku zabezpečení

Průběžný export získává nové datové typy a vylepšené zásady deployifnotexist

nástroje pro průběžný export Azure Security Center umožňují exportovat doporučení a výstrahy služby Security Center pro použití s dalšími monitorovacími nástroji ve vašem prostředí.

Průběžný export umožňuje plně přizpůsobit, co se bude exportovat a kam se bude exportovat. Úplné podrobnosti najdete v tématu Nepřetržitý export dat služby Security Center.

Tyto nástroje byly vylepšeny a rozšířeny následujícími způsoby:

  • Rozšířené zásady deployifnotexist pro průběžné exporty Zásady teď:

    • Zkontrolujte, jestli je povolená konfigurace. Pokud tomu tak není, zásada se zobrazí jako nevyhovující a vytvoří vyhovující prostředek. Další informace o zadaných šablonách Azure Policy najdete na kartě Nasazení ve velkém měřítku pomocí karty Azure Policy v Nastavte průběžný export.

    • Podpora exportu zjištění zabezpečení Při použití šablon Azure Policy můžete nakonfigurovat průběžný export tak, aby zahrnoval závěry. To je relevantní při exportu doporučení s dílčími doporučeními, jako jsou zjištění z kontrol posouzení ohrožení zabezpečení nebo konkrétní aktualizace systému pro doporučení nadřazeného doporučení "Aktualizace systému by se měly nainstalovat na vaše počítače".

    • Podpora exportu dat skóre zabezpečení

  • Přidaná data posouzení dodržování právních předpisů (ve verzi Preview) Do pracovního prostoru Log Analytics nebo do služby Event Hubs teď můžete průběžně exportovat aktualizace do posouzení dodržování právních předpisů, včetně jakýchkoli vlastních iniciativ. Tato funkce není k dispozici v národních cloudech.

    Možnosti zahrnutí informací o posouzení dodržování právních předpisů do dat průběžného exportu.

Listopad 2020

Mezi aktualizace v listopadu patří:

29 doporučení ve verzi Preview přidaná pro zvýšení pokrytí srovnávacího testu zabezpečení Azure

Azure srovnávací test zabezpečení je Microsoft vytvořený, Azure specifický, sada pokynů pro osvědčené postupy zabezpečení a dodržování předpisů na základě běžných architektur dodržování předpisů. Vyučte si další informace o Azure srovnávacím testu zabezpečení.

Do služby Security Center jsme přidali následující doporučení ve verzi Preview 29, aby se zvýšilo pokrytí tohoto srovnávacího testu.

Doporučení ve verzi Preview nevykreslují prostředek, který není v pořádku, a nejsou součástí výpočtů vašeho skóre zabezpečení. Opravte je tam, kde je to možné, aby po skončení období preview přispěli k vašemu skóre. Přečtěte si další informace o tom, jak reagovat na tato doporučení v Remediate doporučení v Azure Security Center.

Řízení zabezpečení Nová doporučení
Šifrování přenášených dat – Vynucování připojení SSL by mělo být povolené pro databázové servery PostgreSQL.
– Vynucování připojení SSL by mělo být povolené pro databázové servery MySQL.
– Protokol TLS by se měl aktualizovat na nejnovější verzi aplikace API.
– Protokol TLS by se měl aktualizovat na nejnovější verzi vaší aplikace funkcí.
– Protokol TLS by se měl aktualizovat na nejnovější verzi vaší webové aplikace.
– Protokol FTPS by měl být vyžadován ve vaší aplikaci API.
– Protokol FTPS by měl být vyžadován ve vaší aplikaci funkcí.
– Protokol FTPS by měl být vyžadován ve webové aplikaci.
Správa přístupu a oprávnění – Webové aplikace by měly požadovat certifikát SSL pro všechny příchozí požadavky.
– Spravovaná identita by se měla používat ve vaší aplikaci API.
– Spravovaná identita by se měla používat ve vaší aplikaci funkcí.
– Spravovaná identita by se měla používat ve vaší webové aplikaci.
Omezení neoprávněného síťového přístupu – Pro servery PostgreSQL by měl být povolený privátní koncový bod.
– Privátní koncový bod by měl být povolený pro servery MariaDB.
– Pro servery MySQL by měl být povolený privátní koncový bod.
Povolení auditování a protokolování – Diagnostické protokoly ve službě App Services by měly být povolené.
Implementace osvědčených postupů zabezpečení – Azure Backup by měly být povolené pro virtuální počítače.
– Geograficky redundantní zálohování by mělo být povolené pro Azure Database for MariaDB
– Geograficky redundantní zálohování by mělo být povolené pro Azure Database for MySQL
– Geograficky redundantní zálohování by mělo být povolené pro Azure Database for PostgreSQL
– PHP by se měl aktualizovat na nejnovější verzi vaší aplikace API.
– PHP by se měl aktualizovat na nejnovější verzi vaší webové aplikace.
– Java by se měla aktualizovat na nejnovější verzi vaší aplikace API.
– Java by se měla aktualizovat na nejnovější verzi aplikace funkcí.
– Java by se měla aktualizovat na nejnovější verzi vaší webové aplikace.
– Python by se měla aktualizovat na nejnovější verzi vaší aplikace API.
– Python by se měla aktualizovat na nejnovější verzi vaší aplikace funkcí.
– Python by se měla aktualizovat na nejnovější verzi vaší webové aplikace.
– Uchovávání auditů pro SQL servery by mělo být nastaveno alespoň na 90 dnů.

Související odkazy:

NisT SP 800 171 R2 přidaný na řídicí panel dodržování právních předpisů služby Security Center

Standard NIST SP 800-171 R2 je nyní k dispozici jako integrovaná iniciativa pro použití s řídicím panelem dodržování předpisů Azure Security Center. Mapování ovládacích prvků jsou popsána v podrobnostech integrované iniciativy nist SP 800-171 R2 pro dodržování právních předpisů.

Pokud chcete použít standard pro vaše předplatná a průběžně monitorovat stav dodržování předpisů, použijte pokyny v části Přizpůsobení sady standardů na řídicím panelu dodržování právních předpisů.

Standard NIST SP 800 171 R2 na řídicím panelu dodržování právních předpisů služby Security Center

Další informace o této normě dodržování předpisů naleznete v tématu NIST SP 800-171 R2.

Seznam doporučení teď obsahuje filtry.

Seznam doporučení zabezpečení teď můžete filtrovat podle rozsahu kritérií. V následujícím příkladu je seznam doporučení filtrovaný tak, aby zobrazoval doporučení, která:

  • jsou obecně dostupné (to znamená ne ve verzi Preview).
  • jsou určené pro účty úložiště.
  • podpora rychlé opravy nápravy

Filtry pro seznam doporučení

Vylepšené a rozšířené možnosti automatického zřizování

Funkce automatického zřizování pomáhá snížit režijní náklady na správu instalací požadovaných rozšíření na nové a existující virtuální počítače Azure, aby mohly využívat ochranu služby Security Center.

Jak Azure Security Center roste, bylo vyvinuto více rozšíření a Security Center může monitorovat větší seznam typů prostředků. Nástroje pro automatické zřizování byly nyní rozšířeny tak, aby podporovaly další rozšíření a typy prostředků pomocí možností Azure Policy.

Teď můžete nakonfigurovat automatické zřizování těchto možností:

  • agent Log Analytics
  • (Nový) Azure Policy pro Kubernetes
  • (Nový) agent závislostí Microsoft

Další informace najdete v Autoprovisioning agentů a rozšířeních z Azure Security Center.

Skóre zabezpečení je teď dostupné v průběžném exportu (Preview)

Díky průběžnému exportu skóre zabezpečení můžete streamovat změny skóre v reálném čase do Azure Event Hubs nebo pracovního prostoru Log Analytics. Tato funkce se dá využít pro:

  • sledování skóre zabezpečení v průběhu času pomocí dynamických sestav
  • export dat skóre zabezpečení do Microsoft Sentinel (nebo jiného SIEM)
  • integrovat tato data se všemi procesy, které už možná používáte k monitorování skóre zabezpečení ve vaší organizaci

Přečtěte si další informace o tom, jak průběžně exportovat data služby Security Center.

Doporučení "Aktualizace systému by se měly nainstalovat na vaše počítače" teď zahrnují dílčí doporučení.

Na doporučení k počítačům by se měly nainstalovat aktualizace systému. Nová verze obsahuje dílčí pokyny pro každou chybějící aktualizaci a přináší následující vylepšení:

  • Přepracované prostředí na Azure Security Center stránkách portálu Azure. Na počítačích by se měla nainstalovat stránka s podrobnostmi o doporučení pro aktualizace systému, která obsahuje seznam zjištění, jak je znázorněno níže. Když vyberete jedno hledání, otevře se podokno podrobností s odkazem na informace o nápravě a seznam ovlivněných prostředků.

    Otevření některého z dílčích doporučení v prostředí portálu pro aktualizované doporučení

  • Rozšířená data pro doporučení z Azure Resource Graph (ARG). ARG je služba Azure, která je navržená tak, aby poskytovala efektivní zkoumání prostředků. ARG můžete použít k dotazování ve velkém měřítku napříč danou sadou předplatných, abyste mohli efektivně řídit své prostředí.

    Pro Azure Security Center můžete použít ARG a dotazovací jazyk KQL (Kusto Query Language (KQL) k dotazování na širokou škálu dat stavu zabezpečení.

    Pokud jste se dříve dotazovali na toto doporučení v ARG, jediné dostupné informace byly, že doporučení je potřeba opravit na počítači. Následující dotaz rozšířené verze vrátí všechny chybějící aktualizace systému seskupené podle počítače.

    securityresources
| where type =~ "microsoft.security/assessments/subassessments"
| where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27"
| where properties.status.code == "Unhealthy"

Na stránce správa zásad na portálu Azure se teď zobrazuje stav výchozích přiřazení zásad.

Na stránce < Azure portálu Azure> portálu Security Center teď můžete zjistit, jestli mají vaše předplatná přiřazenou výchozí zásadu Security Center.

Správa zásad Azure Security Center zobrazující výchozí přiřazení zásad.

Říjen 2020

Mezi aktualizace v říjnu patří:

Posouzení ohrožení zabezpečení pro místní a multicloudové počítače (Preview)

Azure Defender pro servery integrovaný skener posouzení ohrožení zabezpečení (využívající Qualys) teď kontroluje servery s podporou Azure Arc.

Když na počítačích, které nejsou Azure, povolíte Azure Arc, security Center na ně nabídne nasazení integrované kontroly ohrožení zabezpečení – ručně i ve velkém měřítku.

Díky této aktualizaci můžete využít možnosti Azure Defender pro servery ke konsolidaci programu pro správu ohrožení zabezpečení napříč všemi vašimi Azure a prostředky, které nejsou Azure.

Hlavní možnosti:

  • Monitorování stavu zřizování kontroly posouzení ohrožení zabezpečení na Azure Arc počítačích
  • Zřízení integrovaného agenta VA pro nechráněné počítače s Windows a Linuxem Azure Arc (ručně a ve velkém)
  • Příjem a analýza zjištěných ohrožení zabezpečení z nasazených agentů (ručně i ve velkém)
  • Jednotné prostředí pro virtuální počítače Azure a počítače Azure Arc

Přečtěte si další informace o nasazení integrované kontroly ohrožení zabezpečení Qualys do hybridních počítačů.

Vyučte další informace o serverech s podporou Azure Arc.

přidání doporučení Azure Firewall (Preview)

Přidali jsme nové doporučení pro ochranu všech vašich virtuálních sítí pomocí Azure Firewall.

Doporučení, Virtuální sítě by měly být chráněny Azure Firewall doporučuje omezit přístup k virtuálním sítím a zabránit potenciálním hrozbám pomocí Azure Firewall.

Přečtěte si další informace o Azure Firewall.

Autorizované rozsahy IP adres by se měly definovat v doporučení služby Kubernetes Services aktualizované pomocí rychlé opravy.

V Kubernetes Services by teď měly být definované rozsahy autorizovaných IP adres.

Autorizované rozsahy IP adres by se měly definovat v doporučení ke službě Kubernetes Services pomocí možnosti Rychlá oprava.

Řídicí panel dodržování právních předpisů teď obsahuje možnost odebrat standardy.

Řídicí panel dodržování právních předpisů ve službě Security Center poskytuje přehled o stavu dodržování předpisů na základě toho, jak splňujete konkrétní kontroly dodržování předpisů a požadavky.

Řídicí panel obsahuje výchozí sadu regulačních standardů. Pokud některý ze zadaných standardů není pro vaši organizaci relevantní, je teď jednoduchý postup, jak je odebrat z uživatelského rozhraní předplatného. Standardy je možné odebrat pouze na úrovni předplatného ; nikoli obor skupiny pro správu.

Další informace najdete v části Odebrání standardu z řídicího panelu.

Microsoft. Tabulka security/securityStatuses odebraná z Azure Resource Graph (ARG)

Azure Resource Graph je služba v Azure, která je navržená tak, aby poskytovala efektivní zkoumání prostředků s možností dotazovat se ve velkém měřítku napříč danou sadou předplatných, abyste mohli efektivně řídit vaše prostředí.

Pro Azure Security Center můžete použít ARG a dotazovací jazyk KQL (Kusto Query Language (KQL) k dotazování na širokou škálu dat stavu zabezpečení. Například:

V rámci ARG existují tabulky dat, které můžete použít v dotazech.

Azure Resource Graph Explorer a dostupné tabulky.

Tip

Dokumentace k ARG obsahuje seznam všech dostupných tabulek v tabulce Azure Resource Graph a odkazech na typ prostředku.

Z této aktualizace Microsoft. Byla odebrána tabulka Security/securityStatuses. Rozhraní SECURITYStatuses API je stále dostupné.

Nahrazení dat může používat Microsoft. Tabulka Zabezpečení/Posouzení

Hlavní rozdíl mezi Microsoft. Security/securityStatuses a Microsoft. Zabezpečení/posouzení spočívá v tom, že zatímco první zobrazuje agregaci posouzení, sekundy pro každý z nich obsahuje jeden záznam.

Například Microsoft. Funkce Security/securityStatuses by vrátila výsledek s polem dvou zásadAssessments:

{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties:  {
    policyAssessments: [
        {assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
        {assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
    ],
    securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
    name: "GenericResourceHealthProperties",
    type: "VirtualNetwork",
    securitystate: "High"
}

vzhledem k tomu, že Microsoft. Zabezpečení/Posouzení uchovávají záznam pro každé takové posouzení zásad následujícím způsobem:

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties:  {
    resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
    displayName: "Azure DDOS Protection should be enabled",
    status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
    resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
    displayName: "Audit diagnostic setting",
    status:  {code: "Unhealthy"}
}

Příklad převodu existujícího dotazu ARG pomocí securityStatuses pro použití tabulky hodnocení:

Dotaz, který odkazuje na SecurityStatuses:

SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails

Náhradní dotaz pro tabulku Hodnocení:

securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData

Další informace najdete na následujících odkazech:

září 2020

Mezi aktualizace v září patří:

Security Center získá nový vzhled

Vydali jsme aktualizované uživatelské rozhraní pro stránky portálu služby Security Center. Nové stránky obsahují novou stránku přehledu a řídicí panely pro bezpečnostní skóre, inventář prostředků a Azure Defender.

Přepracovaná stránka přehledu má teď dlaždici pro přístup k skóre zabezpečení, inventáři prostředků a řídicím panelům Azure Defender. Obsahuje také dlaždici odkazující na řídicí panel dodržování právních předpisů.

Přečtěte si další informace o stránce s přehledem.

vydáno Azure Defender

Azure Defender je platforma ochrany cloudových úloh (CWPP) integrovaná ve službě Security Center pro pokročilé, inteligentní ochranu vašich Azure a hybridních úloh. Nahrazuje možnost standardní cenové úrovně Security Center.

Když povolíte Azure Defender z oblasti oblasti Azure Security Center, jsou všechny následující plány Defender povolené současně a poskytují komplexní obranu výpočetních, datových a servisních vrstev vašeho prostředí:

Každý z těchto plánů je vysvětlen samostatně v dokumentaci ke službě Security Center.

Díky svému vyhrazenému řídicímu panelu Azure Defender poskytuje výstrahy zabezpečení a rozšířenou ochranu před hrozbami pro virtuální počítače, databáze SQL, kontejnery, webové aplikace, vaši síť a další.

Uučte se více o Azure Defender

Azure Defender pro Key Vault je obecně dostupná

Azure Key Vault je cloudová služba, která chrání šifrovací klíče a tajné kódy, jako jsou certifikáty, připojovací řetězce a hesla.

Azure Defender pro Key Vault poskytuje Azure nativní pokročilou ochranu před hrozbami pro Azure Key Vault a poskytuje další vrstvu inteligentních funkcí zabezpečení. V důsledku toho Azure Defender pro Key Vault chrání mnoho prostředků závislých na vašich účtech Key Vault.

Volitelný plán je teď obecně dostupný. Tato funkce byla ve verzi Preview jako rozšířená ochrana před hrozbami pro Azure Key Vault.

Stránky Key Vault na portálu Azure teď obsahují vyhrazenou stránku Security pro Security Center doporučení a upozornění.

Další informace najdete v Azure Defender pro Key Vault.

Azure Defender pro ochranu úložiště pro soubory a ADLS Gen2 je obecně dostupná

Azure Defender pro úložiště detekuje potenciálně škodlivé aktivity u vašich účtů Azure Storage. Vaše data je možné chránit bez ohledu na to, jestli jsou uložená jako kontejnery objektů blob, sdílené složky nebo datová jezera.

Podpora pro Azure Files a Azure Data Lake Storage Gen2 je teď obecně dostupná.

Od 1. října 2020 začneme účtovat poplatky za ochranu prostředků na těchto službách.

Další informace najdete v Azure Defender pro úložiště.

Nástroje inventáře prostředků jsou teď obecně dostupné.

Stránka inventáře prostředků Azure Security Center poskytuje jednu stránku pro zobrazení stavu zabezpečení prostředků, které jste připojili ke službě Security Center.

Security Center pravidelně analyzuje stav zabezpečení vašich Azure prostředků za účelem identifikace potenciálních ohrožení zabezpečení. Pak vám poskytne doporučení, jak tato ohrožení zabezpečení napravit.

Pokud má některý prostředek nevyrovnaná doporučení, zobrazí se v inventáři.

Další informace najdete v části Prozkoumání a správa prostředků pomocí inventáře prostředků.

Zakázání konkrétního hledání ohrožení zabezpečení pro vyhledávání registrů kontejnerů a virtuálních počítačů

Azure Defender zahrnuje kontroly ohrožení zabezpečení ke kontrole imagí ve vašich Azure Container Registry a virtuálních počítačích.

Pokud potřebujete, aby organizace hledání ignorovala a nemusela ji opravovat, můžete ji volitelně zakázat. Zakázaná zjištění nemají vliv na vaše skóre zabezpečení ani negenerují nežádoucí šum.

Když hledání odpovídá kritériím definovaným v pravidlech zákazu, nezobrazí se v seznamu zjištění.

Tato možnost je k dispozici na stránkách s podrobnostmi doporučení pro:

  • Vulnerabilities v imagích Azure Container Registry by se měly napravit
  • Měla by se napravit ohrožení zabezpečení ve vašich virtuálních počítačích.

Vyloučení prostředku z doporučení

V některých případech bude prostředek uveden v pořádku ohledně konkrétního doporučení (a tím snížení skóre zabezpečení), i když se cítíte, že by neměl být. Je možné, že byl opraven procesem, který není sledován službou Security Center. Nebo se vaše organizace rozhodla přijmout riziko pro tento konkrétní prostředek.

V takových případech můžete vytvořit pravidlo výjimky a zajistit, aby prostředek nebyl v budoucnu uveden mezi prostředky, které nejsou v pořádku. Tato pravidla můžou obsahovat zdokumentované odůvodnění, jak je popsáno níže.

Další informace najdete v článku Vyloučení prostředku z doporučení a skóre zabezpečení.

Konektory AWS a GCP ve službě Security Center přinášejí vícecloudové prostředí

U cloudových úloh, které často pokrývají více cloudových platforem, musí služby cloudového zabezpečení provádět totéž.

Azure Security Center teď chrání úlohy v Azure, Amazon Web Services (AWS) a Google Cloud Platform (GCP).

Při onboardingu projektů AWS a GCP do služby Security Center integruje AWS Security Hub, GCP Security Command a Azure Security Center.

Další informace najdete v Pojení účtů AWS k Azure Security Center a Popojte své projekty GCP k Azure Security Center.

Sada doporučení ochrany úloh Kubernetes

Aby se zajistilo, že úlohy Kubernetes jsou ve výchozím nastavení zabezpečené, security Center přidává doporučení pro posílení úrovně Kubernetes, včetně možností vynucení s řízením přístupu Kubernetes.

Po instalaci Azure Policy pro Kubernetes v clusteru AKS se všechny požadavky na server rozhraní API Kubernetes budou monitorovat s předdefinovanou sadou osvědčených postupů před tím, než se zachovají do clusteru. Pak můžete nakonfigurovat, abyste vynucovali osvědčené postupy a nařídili je pro budoucí úlohy.

Můžete například nařídit, aby se privilegované kontejnery neměly vytvářet a všechny budoucí požadavky na to budou blokované.

Další informace najdete v osvědčených postupech ochrany úloh pomocí řízení přístupu Kubernetes.

Zjištění posouzení ohrožení zabezpečení jsou nyní k dispozici v průběžném exportu.

Pomocí průběžného exportu můžete streamovat upozornění a doporučení pro Azure Event Hubs, Log Analytics pracovní prostory nebo Azure Monitor. Odtud můžete tato data integrovat se siEM, jako jsou Microsoft Sentinel, Power BI, Azure Data Explorer a další.

Integrované nástroje pro posouzení ohrožení zabezpečení ve službě Security Center vrací závěry o vašich prostředcích jako užitečná doporučení v rámci doporučení nadřazeného objektu, jako je například Ohrožení zabezpečení ve virtuálních počítačích by se měla napravit.

Když vyberete doporučení a povolíte možnost zahrnout závěry zabezpečení, jsou teď k dispozici pro export prostřednictvím průběžného exportu.

Do konfigurace průběžného exportu zahrňte přepínač zjištění zabezpečení.

Související stránky:

Zabránění chybným konfiguracím zabezpečení vynucením doporučení při vytváření nových prostředků

Chybná konfigurace zabezpečení jsou hlavní příčinou incidentů zabezpečení. Security Center teď má možnost zabránit chybným konfiguracím nových prostředků s ohledem na konkrétní doporučení.

Tato funkce vám může pomoct udržet vaše úlohy zabezpečené a stabilizovat skóre zabezpečení.

Zabezpečenou konfiguraci můžete vynutit na základě konkrétního doporučení ve dvou režimech:

  • Pomocí režimu odepření Azure Policy můžete zastavit vytváření prostředků, které nejsou v pořádku.

  • Pomocí vynucované možnosti můžete využít výhod DeployIfNotExist efektu Azure Policy a automaticky napravit nevyhovující prostředky při vytváření.

Tato možnost je k dispozici pro vybraná doporučení zabezpečení a najdete ji v horní části stránky podrobností o prostředku.

Další informace najdete v článku Prevence chybných konfigurací s doporučeními k vynucení a zamítnutí.

Vylepšená doporučení skupin zabezpečení sítě

Vylepšili jsme následující doporučení zabezpečení související se skupinami zabezpečení sítě, aby se snížily některé výskyty falešně pozitivních výsledků.

  • Všechny síťové porty by měly být omezené na skupinu zabezpečení sítě přidruženou k vašemu virtuálnímu počítači.
  • Ve virtuálních počítačích by se měly uzavřít porty pro správu.
  • Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě.
  • Podsítě by měly mít přiřazenou skupinu zabezpečení sítě

Zastaralé doporučení AKS ve verzi Preview : Zásady zabezpečení podů by se měly definovat ve službách Kubernetes

Doporučení verze Preview Zásady zabezpečení podů by se měly definovat ve službách Kubernetes Services, jak je popsáno v dokumentaci k Azure Kubernetes Service.

Funkce zásad zabezpečení podů (Preview) je nastavená pro vyřazení a po 15. říjnu 2020 už nebude k dispozici ve prospěch Azure Policy pro AKS.

Po vyřazení zásad zabezpečení podů (Preview) je nutné tuto funkci zakázat u všech existujících clusterů pomocí zastaralé funkce, abyste mohli provádět budoucí upgrady clusterů a zůstat v podpora Azure.

E-mailová oznámení z Azure Security Center vylepšená

Vylepšili jsme následující oblasti e-mailů týkajících se výstrah zabezpečení:

  • Přidání možnosti odesílat e-mailová oznámení o výstrahách pro všechny úrovně závažnosti
  • Přidání možnosti upozorňovat uživatele s různými rolemi Azure v předplatném
  • Vlastníci předplatného ve výchozím nastavení aktivně upozorňují na výstrahy s vysokou závažností (které mají vysokou pravděpodobnost skutečného porušení zabezpečení).
  • Odebrali jsme pole telefonního čísla ze stránky konfigurace e-mailových oznámení.

Další informace najdete v článku Nastavení e-mailových oznámení pro výstrahy zabezpečení.

Skóre zabezpečení nezahrnuje doporučení verze Preview.

Security Center nepřetržitě vyhodnocuje vaše prostředky, předplatná a organizaci, jestli nedochází k problémům se zabezpečením. Následně agreguje všechna zjištění do jednoho skóre, abyste mohli na první pohled zjistit aktuální situaci v oblasti zabezpečení: čím vyšší je skóre, tím nižší je zjištěná úroveň rizika.

Při zjištění nových hrozeb se v Security Center zpřístupní nová doporučení týkající se zabezpečení prostřednictvím nových doporučení. Abyste se vyhnuli překvapivým změnám skóre zabezpečení a poskytli období odkladu, ve kterém můžete prozkoumat nová doporučení, než ovlivní vaše skóre, doporučení označená příznakem Preview se už do výpočtů vašeho skóre zabezpečení nezahrnou. Měly by se napravit všude, kde je to možné, aby po skončení období preview přispěly k vašemu skóre.

Doporučení verze Preview také nevykreslují prostředek, který není v pořádku.

Příklad doporučení verze Preview:

Doporučení s příznakem náhledu

Přečtěte si další informace o skóre zabezpečení.

Doporučení teď obsahují indikátor závažnosti a interval aktuálnosti.

Stránka podrobností doporučení teď obsahuje indikátor intervalu aktuálnosti (kdykoli je to relevantní) a jasné zobrazení závažnosti doporučení.

Stránka doporučení zobrazující aktuálnost a závažnost

Srpen 2020

Mezi aktualizace v srpnu patří:

Inventář prostředků – výkonné nové zobrazení stavu zabezpečení vašich prostředků

Inventář prostředků služby Security Center (aktuálně ve verzi Preview) poskytuje způsob, jak zobrazit stav zabezpečení prostředků, které jste připojili ke službě Security Center.

Security Center pravidelně analyzuje stav zabezpečení vašich Azure prostředků za účelem identifikace potenciálních ohrožení zabezpečení. Pak vám poskytne doporučení, jak tato ohrožení zabezpečení napravit. Pokud má některý prostředek nevyrovnaná doporučení, zobrazí se v inventáři.

Pomocí zobrazení a jejích filtrů můžete prozkoumat data stavu zabezpečení a provádět další akce na základě vašich zjištění.

Přečtěte si další informace o inventáři prostředků.

Přidání podpory výchozích hodnot zabezpečení Microsoft Entra ID (pro vícefaktorové ověřování)

Security Center přidala úplnou podporu výchozích hodnot zabezpečení Microsoft bezplatné ochrany zabezpečení identit.

Výchozí nastavení zabezpečení poskytují předkonfigurovaná nastavení zabezpečení identit pro ochranu vaší organizace před běžnými útoky souvisejícími s identitami. Výchozí nastavení zabezpečení již chrání více než 5 milionů tenantů; Security Center také chrání 50 000 tenantů.

Security Center teď poskytuje doporučení zabezpečení vždy, když identifikuje Azure předplatné bez povoleného výchozího nastavení zabezpečení. Doteď služba Security Center doporučila povolit vícefaktorové ověřování pomocí podmíněného přístupu, což je součást licence Microsoft Entra ID Premium. Pro zákazníky, kteří používají Microsoft Entra ID zdarma, teď doporučujeme povolit výchozí nastavení zabezpečení.

Naším cílem je povzbuzovat další zákazníky k zabezpečení cloudových prostředí pomocí vícefaktorového ověřování a zmírnit jedno z největších rizik, která jsou pro vaše bezpečnostní skóre také nejvýraznější.

Přečtěte si další informace o výchozích nastaveních zabezpečení.

Přidání doporučení pro instanční objekty

Přidali jsme nové doporučení, které zákazníkům služby Security Center doporučilo, aby ke správě svých předplatných používali certifikáty pro správu, a přešli na instanční objekty.

Doporučení Stanční objekty by se měly použít k ochraně předplatných místo certifikátů pro správu doporučuje používat instanční objekty nebo Azure Resource Manager k bezpečnější správě předplatných.

Přečtěte si další informace o Application a instančních objektech v Microsoft Entra ID.

Posouzení ohrožení zabezpečení na virtuálních počítačích – konsolidované zásady a doporučení

Security Center zkontroluje vaše virtuální počítače a zjistí, jestli používají řešení posouzení ohrožení zabezpečení. Pokud se nenajde žádné řešení posouzení ohrožení zabezpečení, security Center nabízí doporučení pro zjednodušení nasazení.

Při nalezení ohrožení zabezpečení poskytuje Security Center doporučení shrnující zjištění, která můžete podle potřeby prošetřit a napravit.

Abychom zajistili konzistentní prostředí pro všechny uživatele bez ohledu na typ skeneru, který používají, jsme sjednotili čtyři doporučení do následujících dvou:

Jednotné doporučení Změna popisu
Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. Nahradí následující dvě doporučení:
Povolení integrovaného řešení posouzení ohrožení zabezpečení na virtuálních počítačích (s využitím Qualys (nyní zastaralé) (součástí úrovně Standard)
Řešení posouzení ohrožení zabezpečení by se mělo nainstalovat na virtuální počítače (nyní zastaralé) (úrovně Standard a Free).
Měla by se napravit ohrožení zabezpečení ve vašich virtuálních počítačích. Nahradí následující dvě doporučení:
Náprava ohrožení zabezpečení nalezených na vašich virtuálních počítačích (využívajících Qualys) (nyní zastaralé)
Ohrožení zabezpečení by mělo být odstraněno řešením posouzení ohrožení zabezpečení (nyní zastaralé).

Teď použijete stejné doporučení k nasazení rozšíření posouzení ohrožení zabezpečení služby Security Center nebo soukromého licencovaného řešení (BYOL) od partnera, jako je Qualys nebo Rapid 7.

Při nalezení a nahlášení ohrožení zabezpečení službě Security Center vás na zjištění upozorní jedno doporučení bez ohledu na řešení posouzení ohrožení zabezpečení, které je identifikovalo.

Aktualizace závislostí

Pokud máte skripty, dotazy nebo automatizace odkazující na předchozí doporučení nebo klíče/názvy zásad, aktualizujte odkazy pomocí následujících tabulek:

Před srpnem 2020
Recommendation Scope
Povolení integrovaného řešení posouzení ohrožení zabezpečení na virtuálních počítačích (využívajících Qualys)
Klíč: 550e890b-e652-4d22-8274-60b3bdb24c63		 Built-in
Náprava ohrožení zabezpečení zjištěných na virtuálních počítačích (s využitím Qualys)
Klíč: 1195afff-c881-495e-9bc5-1486211ae03f		 Built-in
Na virtuální počítače by mělo být nainstalované řešení posouzení ohrožení zabezpečení.
Klíč: 01b1ed4c-b733-4fee-b145-f23236e70cf3		 BYOL
Ohrožení zabezpečení by se měla napravit řešením posouzení ohrožení zabezpečení.
Klíč: 71992a2a2a-d168-42e0-b10e-6b45fa2ecddb		 BYOL
Policy Scope
Na virtuálních počítačích by mělo být povolené posouzení ohrožení zabezpečení.
ID zásady: 501541f7-f7e7-4cd6-868c-4190fdad3ac9		 Built-in
Ohrožení zabezpečení by se měla napravit řešením posouzení ohrožení zabezpečení.
ID zásady: 760a85ff-6162-42b3-8d70-698e268f648c		 BYOL
Od srpna 2020
Recommendation Scope
Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení.
Klíč: ffff0522-1e88-47fc-8382-2a80ba848f5d		 Integrované + BYOL
Měla by se napravit ohrožení zabezpečení ve vašich virtuálních počítačích.
Klíč: 1195afff-c881-495e-9bc5-1486211ae03f		 Integrované + BYOL
Policy Scope
Na virtuálních počítačích by mělo být povolené posouzení ohrožení zabezpečení.
ID zásady: 501541f7-f7e7-4cd6-868c-4190fdad3ac9		 Integrované + BYOL

Nové zásady zabezpečení AKS přidané do iniciativy ASC_default

Aby se zajistilo, že jsou úlohy Kubernetes ve výchozím nastavení zabezpečené, security Center přidává zásady na úrovni Kubernetes a doporučení k posílení zabezpečení, včetně možností vynucení s řízením přístupu Kubernetes.

Počáteční fáze tohoto projektu zahrnuje verzi Preview a přidání nových (ve výchozím nastavení zakázaných) zásad do iniciativy ASC_default.

Tyto zásady můžete bezpečně ignorovat a vaše prostředí nebude mít žádný vliv. Pokud je chcete povolit, zaregistrujte si verzi Preview prostřednictvím služby Microsoft Cloud Security Private Community a vyberte některou z následujících možností:

  1. Single Preview – Pokud se chcete připojit jenom k této verzi Preview. Explicitně zmiňte "ASC Continuous Scan" jako náhled, ke které se chcete připojit.
  2. Průběžný program – bude přidán do této a budoucí verze Preview. Budete muset dokončit smlouvu s profilem a ochranou osobních údajů.

Červenec 2020

Mezi aktualizace v červenci patří:

Posouzení ohrožení zabezpečení pro virtuální počítače nově k dispozici pro image mimo marketplace

Když jste nasadili řešení posouzení ohrožení zabezpečení, služba Security Center předtím před nasazením provedla kontrolu ověření. Kontrolou bylo potvrzení skladové položky marketplace cílového virtuálního počítače.

Z této aktualizace se kontrola odebere a teď můžete nasadit nástroje pro posouzení ohrožení zabezpečení do vlastních Windows a počítačů s Linuxem. Vlastní image jsou ty, které jste upravili z výchozích hodnot Marketplace.

I když teď můžete nasadit integrované rozšíření posouzení ohrožení zabezpečení (využívající Qualys) na mnoho dalších počítačů, podpora je dostupná jenom v případě, že používáte operační systém uvedený v části Nasazení integrované kontroly ohrožení zabezpečení na virtuální počítače úrovně Standard.

Přečtěte si další informace o integrované skeneru ohrožení zabezpečení pro virtuální počítače (vyžaduje Azure Defender).

Přečtěte si další informace o používání vlastního soukromého licencovaného řešení posouzení ohrožení zabezpečení od Qualys nebo Rapid7 nasazení řešení kontroly ohrožení zabezpečení partnera.

Ochrana před hrozbami pro Azure Storage rozšířená tak, aby zahrnovala Azure Files a Azure Data Lake Storage Gen2 (Preview)

Ochrana před hrozbami pro Azure Storage detekuje potenciálně škodlivé aktivity na vašich účtech Azure Storage. Security Center zobrazí výstrahy, když zjistí pokusy o přístup k účtům úložiště nebo jejich zneužití.

Vaše data je možné chránit bez ohledu na to, jestli jsou uložená jako kontejnery objektů blob, sdílené složky nebo datová jezera.

Osm nových doporučení pro povolení funkcí ochrany před hrozbami

Přidali jsme osm nových doporučení, která poskytují jednoduchý způsob, jak povolit funkce ochrany před hrozbami Azure Security Center pro následující typy prostředků: virtuální počítače, plány služby App Service, Azure SQL Database servery, servery SQL na počítačích, účty Azure Storage, Azure Kubernetes Service clustery, Azure Container Registry registry a trezory Azure Key Vault.

Nová doporučení jsou:

  • Advanced zabezpečení dat by mělo být povolené na Azure SQL Database serverech
  • Na serverech SQL na počítačích by se mělo povolit pokročilé zabezpečení dat.
  • Advanced ochrana před hrozbami by měla být povolena v plánech Azure App Service
  • Advanced ochrana před hrozbami by měla být povolená u Azure Container Registry registrů
  • Advanced ochrana před hrozbami by měla být povolená u trezorů Azure Key Vault
  • Advanced ochrana před hrozbami by měla být povolená v clusterech Azure Kubernetes Service
  • Advanced ochrana před hrozbami by měla být povolená u účtů Azure Storage
  • Rozšířená ochrana před internetovými útoky by měla být povolená na virtuálních počítačích.

Doporučení zahrnují také funkci rychlé opravy.

Important

Náprava kteréhokoli z těchto doporučení způsobí, že se budou účtovat poplatky za ochranu příslušných prostředků. Pokud máte související prostředky v aktuálním předplatném, začnou se tyto poplatky okamžitě účtovat. Nebo v budoucnu, pokud je přidáte později.

Pokud například ve svém předplatném nemáte žádné Azure Kubernetes Service clustery a povolíte ochranu před hrozbami, nebudou vám účtovány žádné poplatky. Pokud v budoucnu přidáte cluster do stejného předplatného, bude automaticky chráněn a poplatky začnou v tuto chvíli.

Přečtěte si další informace o ochraně v Azure Security Center.

Vylepšení zabezpečení kontejnerů – rychlejší prohledávání registru a aktualizovaná dokumentace

V rámci průběžných investic do domény zabezpečení kontejneru s radostí sdílíme významné zlepšení výkonu při dynamických kontrolách imagí kontejnerů uložených v Azure Container Registry služby Security Center. Kontroly se teď obvykle dokončí přibližně za dvě minuty. V některých případech může trvat až 15 minut.

Abychom zlepšili přehlednost a pokyny týkající se možností zabezpečení kontejnerů Azure Security Center, aktualizovali jsme také stránky dokumentace zabezpečení kontejneru.

Aktualizace adaptivního řízení aplikací s novým doporučením a podporou pro zástupné znaky v pravidlech cest

Funkce adaptivního řízení aplikací obdržela dvě významné aktualizace:

  • Nové doporučení identifikuje potenciálně legitimní chování, které ještě nebylo povoleno. Nové doporučení, pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat, vyzve vás k přidání nových pravidel do stávajících zásad, aby se snížil počet falešně pozitivních výsledků v upozorněních na porušení adaptivního řízení aplikací.

  • Pravidla cesty teď podporují zástupné cardy. Z této aktualizace můžete nakonfigurovat povolená pravidla cest pomocí zástupných znaků. Existují dva podporované scénáře:

    • Pomocí zástupného znaku na konci cesty povolíte všem spustitelným souborům v této složce a podsložkách.

    • Použití zástupného znaku uprostřed cesty k povolení známého spustitelného názvu se změněným názvem složky (např. osobní uživatelské složky se známým spustitelným souborem, automaticky vygenerovanými názvy složek atd.).

Vyřazení šesti zásad pro rozšířené zabezpečení dat SQL

Šest zásad souvisejících s pokročilým zabezpečením dat pro počítače SQL se nepoužívá:

  • Rozšířené typy ochrany před internetovými útoky by měly být v pokročilém nastavení zabezpečení dat sql spravované instance nastaveny na Vše.
  • Rozšířené typy ochrany před internetovými útoky by měly být nastavené na All (Vše) na sql serveru advanced data security settings
  • Rozšířená nastavení zabezpečení dat pro spravovanou instanci SQL by měla obsahovat e-mailovou adresu pro příjem výstrah zabezpečení.
  • Rozšířená nastavení zabezpečení dat pro SQL Server by měla obsahovat e-mailovou adresu pro příjem výstrah zabezpečení.
  • E-mailová oznámení správcům a vlastníkům předplatného by se měla povolit v rozšířených nastaveních zabezpečení dat spravované instance SQL.
  • V nastaveních pokročilého zabezpečení dat serverů SQL by měla být povolená e-mailová oznámení pro správce a vlastníky předplatného.

Přečtěte si další informace o předdefinovaných zásadách.

Červen 2020

Mezi aktualizace v červnu patří:

Rozhraní API pro skóre zabezpečení (Preview)

K skóre se teď dostanete přes rozhraní API pro skóre zabezpečení (aktuálně ve verzi Preview). Metody rozhraní API poskytují flexibilitu při dotazování na data a vytváření vlastního mechanismu generování sestav bezpečnostních skóre v průběhu času. Pomocí rozhraní API skóre zabezpečení můžete například získat skóre pro konkrétní předplatné. Kromě toho můžete použít rozhraní API pro bezpečnostní skóre k výpisu bezpečnostních prvků a aktuálního skóre vašich předplatných.

Příklady externích nástrojů, které je možné s rozhraním API pro bezpečnostní skóre, najdete v tématu náklady v oblasti skóre zabezpečení naší komunity GitHub.

Přečtěte si další informace o nezabezpečeném skóre a bezpečnostních prvcích v Azure Security Center.

Pokročilé zabezpečení dat pro počítače SQL (Azure, další cloudy a místní prostředí) (Preview)

Azure Security Center pokročilé zabezpečení dat pro počítače SQL teď chrání SQL Servery hostované v Azure, v jiných cloudových prostředích a dokonce i na místních počítačích. Tím se rozšíří ochrana vašich Azure nativních SQL Serverů tak, aby plně podporovala hybridní prostředí.

Pokročilé zabezpečení dat poskytuje posouzení ohrožení zabezpečení a rozšířenou ochranu před hrozbami pro vaše počítače SQL všude, kde se nacházejí.

Nastavení zahrnuje dva kroky:

  1. Nasazení agenta Log Analytics do hostitelského počítače SQL Server za účelem poskytnutí připojení k Azure účtu.

  2. Povolení volitelné sady na stránce s cenami a nastavením služby Security Center

Přečtěte si další informace o pokročilém zabezpečení dat pro počítače SQL.

Dvě nová doporučení pro nasazení agenta Log Analytics do Azure Arc počítačů (Preview)

Přidali jsme dvě nová doporučení, která vám pomůžou nasadit agenta Log Analytics do Azure Arc počítačů a zajistit jejich ochranu pomocí Azure Security Center:

  • Log Analytics agent by měl být nainstalovaný na Windows počítačích Azure Arc (Preview)
  • Log Analytics agent by měl být nainstalovaný na počítačích s Linuxem Azure Arc (Preview)

Tato nová doporučení se zobrazí ve stejných čtyřech kontrolních prvcích zabezpečení jako existující (související) doporučení, agent monitorování by měl být nainstalovaný na vašich počítačích: opravte konfigurace zabezpečení, použijte adaptivní řízení aplikací, použijte aktualizace systému a povolte ochranu koncových bodů.

Doporučení zahrnují také funkci Rychlá oprava, která proces nasazení urychlí.

Přečtěte si další informace o tom, jak Azure Security Center používá agenta v Co je agent Log Analytics?.

Přečtěte si další informace o extension pro Azure Arc počítače.

Nové zásady pro vytváření konfigurací průběžného exportu a automatizace pracovních postupů ve velkém měřítku

Automatizace procesů monitorování a reakce na incidenty ve vaší organizaci může výrazně zlepšit dobu potřebnou k prošetření a zmírnění incidentů zabezpečení.

Pokud chcete nasadit konfigurace automatizace v celé organizaci, použijte tyto integrované zásady DeployIfdNotExist Azure k vytvoření a konfiguraci kontinuózního exportu a automatizace pracovního toku postupy:

Definice zásad najdete v Azure Policy:

Goal Policy ID zásady
Průběžný export do služby Event Hubs Deploy export do služby Event Hubs pro upozornění a doporučení Azure Security Center cdfcce10-4578-4ecd-9703-530938e4abcb
Průběžný export do pracovního prostoru Log Analytics Deploy export do pracovního prostoru Log Analytics pro upozornění a doporučení Azure Security Center ffb6f416-7bd2-4488-8828-56585fef2be9
Automatizace pracovních postupů pro výstrahy zabezpečení Deploy Workflow Automation for Azure Security Center alerts f1525828-9a90-4fcf-be48-268cdd02361e
Automatizace pracovních postupů pro doporučení zabezpečení Deploy Workflow Automation for Azure Security Center recommendations 73d6ab6c-2475-4850-afd6-43795f3492ef

Začněte používat šablony automatizace workflow.

Přečtěte si další informace o použití dvou zásad exportu ve velkém měřítku při konfiguraci automatizace pracovního postupu pomocí zadaných zásad a nastavení průběžného exportu.

Nové doporučení pro použití skupin zabezpečení sítě k ochraně ne internetových virtuálních počítačů

Ovládací prvek zabezpečení implementuje osvědčené postupy zabezpečení, teď obsahuje následující nové doporučení:

  • Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě.

Existující doporučení: Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě, nerozlišily mezi internetovými a ne internetovými virtuálními počítači. U obou se vygenerovalo doporučení s vysokou závažností, pokud se virtuální počítač nepřiřadil ke skupině zabezpečení sítě. Toto nové doporučení odděluje počítače, které nejsou přístupné z internetu, aby se snížily falešně pozitivní výsledky a zabránilo zbytečným výstrahám s vysokou závažností.

Nové zásady pro povolení ochrany před hrozbami a pokročilé zabezpečení dat

Následující nové definice zásad byly přidány do výchozí iniciativy ASC a jsou navržené tak, aby pomohly s povolením ochrany před hrozbami nebo pokročilým zabezpečením dat pro příslušné typy prostředků.

Definice zásad najdete v Azure Policy:

Policy ID zásady
Advanced zabezpečení dat by mělo být povolené na Azure SQL Database serverech 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2
Na serverech SQL na počítačích by se mělo povolit pokročilé zabezpečení dat. 6581d072-105e-4418-827f-bd446d56421b
Advanced ochrana před hrozbami by měla být povolená u účtů Azure Storage 308fbb08-4ab8-4e67-9b29-592e93fb94fa
Advanced ochrana před hrozbami by měla být povolená u trezorů Azure Key Vault 0e6763cc-5078-4e64-889d-ff4d9a839047
Advanced ochrana před hrozbami by měla být povolena v plánech Azure App Service 2913021d-f2fd-4f3d-b958-22354e2bdbcb
Advanced ochrana před hrozbami by měla být povolená u Azure Container Registry registrů c25d9a16-bc35-4e15-a7e5-9db606bf9ed4
Advanced ochrana před hrozbami by měla být povolená v clusterech Azure Kubernetes Service 523b5cd1-3e23-492f-a539-13118b6d1e3a
Advanced ochrana před hrozbami by měla být povolená na Virtual Machines 4da35fc9-c9e7-4960-aec9-797fe7d9051d

Přečtěte si další informace o ochraně V Azure Security Center.

Květen 2020

Mezi aktualizace v květnu patří:

Pravidla potlačení upozornění (Preview)

Tato nová funkce (aktuálně ve verzi Preview) pomáhá snižovat únavu výstrah. Pomocí pravidel můžete automaticky skrýt výstrahy, o kterých je známo, že jsou neškodné nebo související s běžnými aktivitami ve vaší organizaci. Díky tomu se můžete zaměřit na nejrelevantní hrozby.

Upozornění, která odpovídají vašim povoleným pravidlům potlačení, se budou dál generovat, ale jejich stav se nastaví na zavření. Stav můžete zobrazit na portálu Azure nebo se ale dostanete k upozorněním zabezpečení služby Security Center.

Pravidla potlačení definují kritéria, pro která se mají výstrahy automaticky zavřít. Obvykle byste použili pravidlo potlačení k:

  • potlačení výstrah, které jste identifikovali jako falešně pozitivní

  • potlačení upozornění, která se aktivují příliš často, aby byla užitečná

Přečtěte si další informace o stisku výstrah z ochrany před hrozbami Azure Security Center.

Posouzení ohrožení zabezpečení virtuálních počítačů je teď obecně dostupné

Úroveň Standard služby Security Center teď zahrnuje integrované posouzení ohrožení zabezpečení pro virtuální počítače bez dalšího poplatku. Toto rozšíření využívá Qualys, ale hlásí svá zjištění přímo do služby Security Center. Nepotřebujete licenci Qualys ani účet Qualys – všechno se bezproblémově zpracovává uvnitř security Center.

Nové řešení může nepřetržitě kontrolovat virtuální počítače a vyhledávat ohrožení zabezpečení a prezentovat zjištění ve službě Security Center.

Pokud chcete řešení nasadit, použijte nové doporučení zabezpečení:

Povolení integrovaného řešení posouzení ohrožení zabezpečení na virtuálních počítačích (využívajících Qualys)

Přečtěte si další informace o integrovaném posouzení ohrožení zabezpečení služby Security Center pro virtuální počítače.

Změny přístupu k virtuálním počítačům za běhu (JIT)

Security Center obsahuje volitelnou funkci pro ochranu portů pro správu virtuálních počítačů. To poskytuje ochranu proti nejběžnější formě útoků hrubou silou.

Tato aktualizace přináší následující změny této funkce:

  • Doporučení, které doporučuje povolit JIT na virtuálním počítači, se přejmenovalo. Dříve by se mělo na virtuálních počítačích použít řízení přístupu k síti za běhu: "Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu".

  • Doporučení se aktivuje jenom v případě, že jsou otevřené porty pro správu.

Přečtěte si další informace o funkci přístupu JIT.

Přesun vlastních doporučení do samostatného ovládacího prvku zabezpečení

Jedním z kontrolních mechanismů zabezpečení zavedených s vylepšeným skóre zabezpečení bylo "Implementace osvědčených postupů zabezpečení". Všechna vlastní doporučení vytvořená pro vaše předplatná se automaticky umístila do daného ovládacího prvku.

Abychom vám usnadnili nalezení vlastních doporučení, přesunuli jsme je do vyhrazeného ovládacího prvku zabezpečení " Vlastní doporučení". Tento ovládací prvek nemá žádný vliv na vaše bezpečnostní skóre.

Přečtěte si další informace o bezpečnostních prvcích v Pozorované skóre zabezpečení (Preview) v Azure Security Center.

Přidání přepínače pro zobrazení doporučení v ovládacích prvcích nebo v plochém seznamu

Kontrolní mechanismy zabezpečení jsou logické skupiny souvisejících doporučení zabezpečení. Odrážejí vaše ohrožené prostory útoku. Ovládací prvek je sada doporučení zabezpečení s pokyny, které vám pomůžou tato doporučení implementovat.

Pokud chcete okamžitě zjistit, jak dobře vaše organizace zabezpečuje jednotlivé prostory útoku, zkontrolujte skóre jednotlivých kontrolních mechanismů zabezpečení.

Ve výchozím nastavení se doporučení zobrazují v bezpečnostních prvcích. Z této aktualizace je můžete také zobrazit jako seznam. Pokud je chcete zobrazit jako jednoduchý seznam seřazený podle stavu ovlivněných prostředků, použijte nový přepínač Seskupit podle ovládacích prvků. Přepínač je nad seznamem na portálu.

Bezpečnostní prvky – a tento přepínač – jsou součástí nového prostředí bezpečnostních skóre. Nezapomeňte nám poslat zpětnou vazbu z portálu.

Přečtěte si další informace o bezpečnostních prvcích v Pozorované skóre zabezpečení (Preview) v Azure Security Center.

Přepínač seskupování podle ovládacích prvků pro doporučení

Rozšíření ovládacího prvku zabezpečení Implementace osvědčených postupů zabezpečení

Jednou z bezpečnostních kontrol zavedených s vylepšeným skóre zabezpečení je Implementace osvědčených postupů zabezpečení. Pokud je v tomto ovládacím prvku doporučení, nemá to vliv na skóre zabezpečení.

V této aktualizaci se tři doporučení přesunula z ovládacích prvků, ve kterých byly původně umístěny, a do tohoto řízení osvědčených postupů. Tento krok jsme provedli, protože jsme zjistili, že riziko těchto tří doporučení je nižší, než bylo původně napadlo.

Kromě toho byly zavedeny a přidány do tohoto ovládacího prvku dvě nová doporučení.

Mezi tři přesunutá doporučení patří:

  • U účtů s oprávněními ke čtení ve vašem předplatném by mělo být povolené vícefaktorové ověřování (původně v ovládacím prvku Povolit MFA).
  • Externí účty s oprávněními ke čtení by se měly z vašeho předplatného odebrat (původně v ovládacím prvku Správa přístupu a oprávnění).
  • Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky (původně v ovládacím prvku Správa přístupu a oprávnění).

Dvě nová doporučení přidaná do ovládacího prvku jsou:

  • rozšíření konfigurace Na virtuální počítače Windows (Preview) – Použití Azure Policy Konfigurace hosta poskytuje viditelnost virtuálních počítačů do nastavení serveru a aplikací (jenom Windows).

  • Microsoft Defender Na vašich počítačích (Preview) – Microsoft Defender Exploit Guard využívá agenta konfigurace hosta Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (pouze Windows).

Přečtěte si další informace o Microsoft Defender Exploit Guard v Vytvoření a nasazení zásad Exploit Guard.

Další informace o bezpečnostních prvcích v rozšířeném skóre zabezpečení (Preview)

Vlastní zásady s vlastními metadaty jsou teď obecně dostupné

Vlastní zásady jsou teď součástí prostředí doporučení služby Security Center, skóre zabezpečení a řídicího panelu standardů dodržování právních předpisů. Tato funkce je teď obecně dostupná a umožňuje rozšířit pokrytí posouzení zabezpečení vaší organizace ve službě Security Center.

Vytvořte vlastní iniciativu v Azure Policy, přidejte do ní zásady a připojte ji k Azure Security Center a vizualizovat ji jako doporučení.

Přidali jsme také možnost upravit vlastní metadata doporučení. Mezi možnosti metadat patří závažnost, kroky nápravy, informace o hrozbách a další.

Přečtěte si další informace o vylepšení vlastních doporučení s podrobnými informacemi.

Možnosti analýzy výpisu stavu systému migrace na detekci útoků bez souborů

Integrujeme možnosti detekce Windows analýzy výpisu stavu systému (CDA) do detekce útoků bez souborů. Analýza detekce útoků bez souborů přináší vylepšené verze následujících výstrah zabezpečení pro Windows počítače: Zjištěná injektáž kódu, maskování Windows modul zjištěn, zjištěný kód shellu a zjištěný podezřelý segment kódu.

Některé z výhod tohoto přechodu:

  • Proaktivní a včasné zjišťování malwaru – Přístup CDA zahrnoval čekání na chybové ukončení a následné spuštění analýzy pro vyhledání škodlivých artefaktů. Použití detekce útoků bez souborů přináší proaktivní identifikaci hrozeb v paměti, když jsou spuštěné.

  • Rozšířená upozornění – Výstrahy zabezpečení z detekce útoků bez souborů zahrnují rozšíření, která nejsou k dispozici z CDA, jako jsou například informace o aktivních síťových připojeních.

  • Agregace výstrah – Když CDA zjistila více vzorů útoku v rámci jednoho výpisu stavu systému, aktivovala několik výstrah zabezpečení. Detekce útoků bez souborů kombinuje všechny identifikované vzory útoku ze stejného procesu do jediné výstrahy a odstraňuje potřebu korelovat více výstrah.

  • Redukované požadavky na váš pracovní prostor Log Analytics – výpisy stavu systému obsahující potenciálně citlivá data se už do pracovního prostoru Log Analytics nenahrají.

duben 2020

Mezi aktualizace v dubnu patří:

Balíčky dynamického dodržování předpisů jsou teď obecně dostupné.

Řídicí panel Azure Security Center dodržování právních předpisů teď zahrnuje balíčky dynamické dodržování předpisů (nyní obecně dostupné) ke sledování dalších oborových a regulačních standardů.

Dynamické balíčky pro dodržování obsahu můžete do svého předplatného nebo skupiny pro správu přidat na stránce zásad zabezpečení služby Security Center. Jakmile připojíte standard nebo srovnávací test, zobrazí se na řídicím panelu dodržování právních předpisů se všemi přidruženými daty dodržování předpisů namapovanými jako posouzení. Souhrnné sestavy pro jednotlivé připojené standardy budou k dispozici ke stažení.

Teď můžete přidat standardy, jako jsou:

  • NIST SP 800-53 R4
  • SWIFT CSP CSCF-v2020
  • Uk Official a UK NHS
  • Canada Federal PBMM
  • Azure CIS 1.1.0 (nový) (což je ucelenější reprezentace Azure CIS 1.1.0)

Kromě toho jsme nedávno přidali srovnávací test zabezpečení Azure, Microsoft Azure vytvořené pokyny pro osvědčené postupy zabezpečení a dodržování předpisů na základě běžných architektur dodržování předpisů. Řídicí panel bude podporovat další standardy, jakmile budou k dispozici.

Přečtěte si další informace o přizpůsobení sady standardů na řídicím panelu dodržování právních předpisů.

Doporučení identit jsou teď součástí úrovně Free Azure Security Center

Doporučení zabezpečení pro identitu a přístup k Azure Security Center úrovni Free jsou teď obecně dostupná. To je součástí úsilí o bezplatné funkce správy stavu zabezpečení cloudu (CSPM). Až do teď byla tato doporučení dostupná jenom na cenové úrovni Standard.

Příklady doporučení pro identitu a přístup:

  • Pro účty s oprávněními vlastníka v předplatném by se mělo povolit MFA.
  • Pro vaše předplatné by se měli určit nanejvýš 3 vlastníci.
  • Z předplatného by se měly odebrat zastaralé účty.

Pokud máte předplatná na cenové úrovni Free, skóre zabezpečení pro tato předplatná budou touto změnou ovlivněná, protože se ještě z hlediska zabezpečení pro identitu a přístup ještě nikdy neposuzovala.

Březen 2020

Mezi aktualizace v březnu patří:

Automatizace pracovních postupů je teď obecně dostupná.

Funkce automatizace pracovního postupu Azure Security Center je teď obecně dostupná. Použijte ji k automatické aktivaci Logic Apps pro výstrahy a doporučení zabezpečení. Kromě toho je k dispozici ruční aktivace pro výstrahy a všechna doporučení, která mají k dispozici možnost Rychlá oprava.

Každý program zabezpečení zahrnuje několik pracovních postupů reakce na incidenty. Tyto postupy mohou zahrnovat vyrozumění relevantních účastníků, spuštění procesu správy změn a použití specifických kroků k nápravě. Odborníci na zabezpečení doporučují automatizovat co nejvíc kroků těchto postupů. Automatizace snižuje režijní náklady a může zvýšit zabezpečení zajištěním, že kroky procesu budou provedeny rychle, konzistentně a podle vašich předdefinovaných požadavků.

Další informace o automatických a ručních možnostech služby Security Center pro spouštění pracovních postupů najdete v tématu Automatizace pracovních postupů.

Přečtěte si další informace o vytváření Logic Apps.

Integrace Azure Security Center s Windows Admin Center

Teď je možné přesunout místní Windows servery z Windows Admin Center přímo do Azure Security Center. Security Center se pak stane jediným podoknem skla a zobrazí informace o zabezpečení všech vašich Windows Admin Center prostředků, včetně místních serverů, virtuálních počítačů a dalších úloh PaaS.

Po přesunutí serveru ze Windows Admin Center do Azure Security Center budete moct:

  • Zobrazte výstrahy zabezpečení a doporučení v rozšíření Security Center Windows Admin Center.
  • Prohlédněte si stav zabezpečení a načtěte další podrobné informace o spravovaných serverech Windows Admin Center ve službě Security Center na portálu Azure (nebo prostřednictvím rozhraní API).

Přečtěte si další informace o , jak integrovat Azure Security Center s Windows Admin Center.

Ochrana pro Azure Kubernetes Service

Azure Security Center rozšiřuje své funkce zabezpečení kontejnerů za účelem ochrany Azure Kubernetes Service (AKS).

Populární opensourcová platforma Kubernetes se přijímá tak široce, že se jedná o oborový standard pro orchestraci kontejnerů. I přes tuto rozšířenou implementaci stále chybí znalost toho, jak zabezpečit prostředí Kubernetes. Omezení potenciální oblasti útoku pro kontejnerizované aplikace vyžaduje odborné znalosti, aby se pro infrastrukturu zajistila bezpečná konfigurace a průběžné monitorování potenciálních hrozeb.

Ochrana služby Security Center zahrnuje tyto možnosti:

  • Zjišťování a viditelnost – Průběžné zjišťování spravovaných instancí AKS v rámci předplatných zaregistrovaných ve službě Security Center
  • Doporučení zabezpečení – užitečná doporučení, která vám pomůžou dodržovat osvědčené postupy zabezpečení pro AKS. Tato doporučení jsou součástí vašeho skóre zabezpečení, aby se zajistilo, že se budou zobrazovat jako součást stavu zabezpečení vaší organizace. Příkladem doporučení souvisejícího s AKS se může zobrazit "Řízení přístupu na základě role by se mělo použít k omezení přístupu ke clusteru služby Kubernetes".
  • Ochrana před hrozbami – prostřednictvím průběžné analýzy nasazení AKS vás Security Center upozorní na hrozby a škodlivou aktivitu zjištěnou na úrovni hostitele a clusteru AKS.

Přečtěte si další informace o integraci Azure služby Kubernetes Services se službou Security Center.

Přečtěte si další informace o funkcích zabezpečení kontejnerů ve službě Security Center.

Vylepšené prostředí za běhu

Funkce, operace a uživatelské rozhraní pro nástroje Azure Security Center just-in-time, které zajišťují porty pro správu, byly vylepšeny následujícím způsobem:

  • – Při vyžádání přístupu k virtuálnímu počítači prostřednictvím stránky za běhu portálu Azure je k dispozici nové volitelné pole pro zadání odůvodnění žádosti. Informace zadané do tohoto pole lze sledovat v protokolu aktivit.
  • Automatické vyčištění redundantních pravidel JIT (just-in-Time) – Kdykoli aktualizujete zásady JIT, nástroj pro vyčištění se automaticky spustí a zkontroluje platnost celé sady pravidel. Nástroj vyhledá neshody mezi pravidly v zásadách a pravidly v NSG. Pokud nástroj pro vyčištění najde neshodu, určí příčinu a v případě, že je to bezpečné, odebere předdefinovaná pravidla, která už nepotřebujete. Nástroj pro vyčištění nikdy neodstraní pravidla, která jste vytvořili.

Přečtěte si další informace o funkci přístupu JIT.

Dvě doporučení zabezpečení pro zastaralé webové aplikace

Dvě doporučení k zabezpečení související s webovými aplikacemi se vyřazují:

  • Pravidla pro webové aplikace ve skupinách NSG IaaS by se měla posílit. (Související zásady: Pravidla skupin zabezpečení sítě pro webové aplikace v IaaS by měla být posílena.

  • Přístup ke službám App Service by se měl omezit. (Související zásady: Přístup ke službě App Services by měl být omezený [Preview])

Tato doporučení se už nebudou zobrazovat v seznamu doporučení služby Security Center. Související zásady už nebudou zahrnuty do iniciativy s názvem "Security Center Default".

2020. únor

Detekce útoků bez souborů pro Linux (Preview)

S tím, jak útočníci zvyšují neviditelné metody, aby se zabránilo detekci, Azure Security Center rozšiřuje detekci útoků bez souborů pro Linux kromě Windows. Útoky bez souborů zneužívají chyby softwaru, vkládají škodlivé datové části do neškodných systémových procesů a skrývají se v paměti. Tyto techniky:

  • minimalizace nebo eliminace trasování malwaru na disku
  • výrazně snižuje riziko detekce pomocí řešení pro kontrolu malwaru založeného na disku.

Abychom mohli tuto hrozbu vyřešit, Azure Security Center vydali detekci útoků bez souborů pro Windows v říjnu 2018 a rozšířili detekci útoků bez souborů i v Linuxu.

Leden 2020

Vylepšené skóre zabezpečení (Preview)

Vylepšená verze funkce skóre zabezpečení Azure Security Center je nyní dostupná ve verzi Preview. V této verzi se doporučení seskupují do ovládacích prvků zabezpečení, které lépe odpovídají potenciálním rovinám útoku (například omezují přístup k portům pro správu).

Seznamte se se změnami skóre zabezpečení ve fázi Preview a určete další nápravu, která vám pomůže lépe zabezpečit vaše prostředí.

Další informace o vylepšeném skóre zabezpečení (Preview)

Listopad 2019

Mezi aktualizace v listopadu patří:

Ochrana před hrozbami pro Azure Key Vault v oblastech Severní Ameriky (Preview)

Azure Key Vault je základní služba pro ochranu dat a zlepšení výkonu cloudových aplikací tím, že nabízí možnost centrálně spravovat klíče, tajné kódy, kryptografické klíče a zásady v cloudu. Vzhledem k tomu, že Azure Key Vault ukládá citlivá a důležitá obchodní data, vyžaduje maximální zabezpečení trezorů klíčů a dat uložených v nich.

Azure Security Center podpora ochrany před internetovými útoky pro Azure Key Vault poskytuje další vrstvu inteligentních funkcí zabezpečení, která detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k trezorům klíčů nebo jejich zneužití. Tato nová vrstva ochrany umožňuje zákazníkům řešit hrozby pro trezory klíčů, aniž by přitom museli být odborníky na zabezpečení nebo museli spravovat systémy monitorování zabezpečení. Tato funkce je v oblastech Severní Ameriky ve verzi Public Preview.

Ochrana před hrozbami pro Azure Storage zahrnuje blokování reputace malwaru

Ochrana před hrozbami pro Azure Storage nabízí nové detekce založené na Microsoft Analýza hrozeb pro detekci nahrání malwaru do Azure Storage pomocí analýzy reputace hash a podezřelého přístupu z aktivního výstupního uzlu Tor (anonymizující proxy server). Pomocí Azure Security Center teď můžete zobrazit zjištěný malware napříč účty úložiště.

Automatizace pracovních postupů pomocí Logic Apps (Preview)

Organizace s centrálně spravovaným zabezpečením a provozem IT implementují interní procesy pracovních postupů, které při zjištění nesrovnalostí v daném prostředí povedou k požadované akci v rámci organizace. V mnoha případech jsou tyto pracovní postupy opakovatelné procesy a automatizace může výrazně zjednodušit procesy v rámci organizace.

Dnes představujeme novou funkci ve službě Security Center, která zákazníkům umožňuje vytvářet konfigurace automatizace s využitím Azure Logic Apps a vytvářet zásady, které je automaticky aktivují na základě konkrétních zjištění ASC, jako jsou doporučení nebo upozornění. Azure aplikaci logiky je možné nakonfigurovat tak, aby všechna vlastní akce podporovaná rozsáhlou komunitou konektorů aplikace logiky nebo používala některou ze šablon poskytovaných službou Security Center, jako je odeslání e-mailu nebo otevření lístku ServiceNow™.

Další informace o automatických a ručních možnostech služby Security Center pro spouštění pracovních postupů najdete v tématu Automatizace pracovních postupů.

Další informace o vytváření Logic Apps najdete v tématu Azure Logic Apps.

Rychlá oprava pro obecně dostupné hromadné prostředky

Vzhledem k tomu, kolik úkolů uživatel obvykle dostane v rámci skóre Secure Score, může být v případě rozsáhlé infrastruktury náročné efektivně napravit všechny problémy.

Opravou rychlé opravy můžete opravit chybné konfigurace zabezpečení, napravit doporučení pro více prostředků a zlepšit skóre zabezpečení.

Tato operace umožňuje vybrat prostředky, pro které chcete využít nápravu, a spustit nápravnou akci, která nakonfiguruje příslušné nastavení za vás.

Rychlá oprava je obecně dostupná pro zákazníky jako součást stránky s doporučeními služby Security Center.

Kontrola ohrožení zabezpečení imagí kontejnerů (Preview)

Azure Security Center teď můžou kontrolovat image kontejnerů v Azure Container Registry ohrožení zabezpečení.

Kontrola imagí funguje na principu analýzy souboru image kontejneru a následné kontroly toho, jestli obsahuje nějaká známá ohrožení zabezpečení (zajišťuje společnost Qualys).

Samotná kontrola se automaticky aktivuje při odesílání nových imagí kontejneru do Azure Container Registry. Zjištěná ohrožení zabezpečení se objeví jako doporučení služby Security Center, která jsou součástí bezpečnostního skóre, společně s informacemi o tom, jak je opravit, aby se snížila úroveň útoku, kterou povolili.

Další standardy dodržování právních předpisů (Preview)

Řídicí panel Dodržování právních předpisů poskytuje přehled o stavu dodržování předpisů na základě hodnocení služby Security Center. Řídicí panel udává, jak vaše prostředí dodržuje kontroly a požadavky uložené různými zákonnými standardy a oborovými srovnávacími testy, a poskytuje preskriptivní doporučení, jak těmto požadavkům vyhovět.

Řídicí panel dodržování právních předpisů zatím podporoval čtyři integrované standardy: Azure CIS 1.1.0, PCI-DSS, ISO 27001 a SOC-TSP. Oznamujeme vydání verze Public Preview dalších podporovaných standardů: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM a UK Official společně s UK NHS. Vydáváme také aktualizovanou verzi Azure CIS 1.1.0, která pokrývá více ovládacích prvků ze standardu a rozšíření.

Přečtěte si další informace o přizpůsobení sady standardů na řídicím panelu dodržování právních předpisů.

Ochrana před internetovými útoky pro Azure Kubernetes Service (Preview)

Kubernetes se rychle stává novým standardem v oblasti nasazování a správy softwaru v cloudu. S prostředím Kubernetes má rozsáhlé zkušenosti jen málokdo a řada lidí se soustředí jenom na obecné technické aspekty a správu a přehlíží aspekty zabezpečení. Prostředí Kubernetes je potřeba pečlivě nakonfigurovat, aby bylo bezpečné a aby nezůstaly otevřené žádné dveře, které by mohly umožnit útok na kontejnery. Security Center rozšiřuje podporu v prostoru kontejnerů na jednu z nejrychleji rostoucích služeb v Azure – Azure Kubernetes Service (AKS).

Toto jsou některé z nových funkcí v této veřejné verzi Preview:

  • Zjišťování a viditelnost – průběžné zjišťování spravovaných instancí AKS v rámci registrovaných předplatných služby Security Center
  • Doporučení k skóre zabezpečení – Použitelné položky, které zákazníkům pomůžou dodržovat osvědčené postupy zabezpečení pro AKS a zvýšit skóre zabezpečení Mezi doporučení patří například "Řízení přístupu na základě role by se mělo použít k omezení přístupu ke clusteru Kubernetes Service".
  • Detekce hrozeb – analýza založená na hostitelích a clusterech, například "Zjištěn privilegovaný kontejner".

Posouzení ohrožení zabezpečení virtuálního počítače (Preview)

Aplikace nainstalované na virtuálních počítačích můžou často obsahovat ohrožení zabezpečení, která by mohla vést k napadení virtuálního počítače. Oznamujeme, že úroveň Security Center Standard zahrnuje integrované posouzení ohrožení zabezpečení pro virtuální počítače bez dalšího poplatku. Posouzení ohrožení zabezpečení založené na Qualys ve verzi Public Preview vám umožní nepřetržitě kontrolovat všechny nainstalované aplikace na virtuálním počítači a vyhledávat ohrožené aplikace a prezentovat závěry v prostředí portálu Security Center. Security Center se stará o všechny operace nasazení, takže od uživatele nevyžaduje žádné kroky navíc. V budoucnu plánujeme poskytnout možnosti posouzení ohrožení zabezpečení pro podporu jedinečných obchodních potřeb našich zákazníků.

Využívejte další informace o posouzeních ohrožení zabezpečení Azure Virtual Machines.

Pokročilé zabezpečení dat pro SQL servery na Azure Virtual Machines (Preview)

Azure Security Center podpora ochrany před hrozbami a posouzení ohrožení zabezpečení pro databáze SQL běžící na virtuálních počítačích IaaS je teď ve verzi Preview.

Posouzení ohrožení zabezpečení je snadno konfigurovatelná služba, která může zjišťovat, sledovat a pomáhat opravovat potenciální ohrožení zabezpečení databáze. Poskytuje přehled o stavu zabezpečení v rámci skóre zabezpečení a obsahuje kroky pro řešení problémů se zabezpečením a vylepšení fortifikace databáze.

Advanced Threat Protection zjišťuje nezvyklé aktivity, které můžou ukazovat na neobvyklé a potenciálně škodlivé pokusy o přístup k vašim databázím nebo zneužití SQL Serveru. Tato služba nepřetržitě monitoruje podezřelé aktivity v databázi a poskytuje výstrahy zabezpečení, které se zaměřují na možnosti reakce a upozorňují na neobvyklé vzory přístupu k databázi. Výstrahy obsahují podrobnosti o podezřelé aktivitě a doporučené akce k prozkoumání a zmírnění hrozby.

Podpora vlastních zásad (Preview)

Azure Security Center teď podporuje vlastní zásady (ve verzi Preview).

Naši zákazníci chtějí rozšířit své aktuální pokrytí posouzení zabezpečení ve službě Security Center o vlastní posouzení zabezpečení na základě zásad, které vytvářejí v Azure Policy. To je teď možné díky podpoře vlastních zásad.

Tyto nové zásady budou součástí prostředí pro doporučení služby Security Center, skóre Secure Score a řídicího panelu standardů pro dodržování předpisů. Díky podpoře vlastních zásad teď můžete vytvořit vlastní iniciativu v Azure Policy a pak ji přidat jako zásadu ve službě Security Center a vizualizovat ji jako doporučení.

Rozšíření pokrytí Azure Security Center platformou pro komunitu a partnery

Security Center umožňuje přijímat doporučení nejen z Microsoft, ale také od stávajících řešení od partnerů, jako je Check Point, Tenable a CyberArk s mnoha dalšími přicházejícími integracemi. Jednoduchý tok onboardingu ve službě Security Center umožňuje propojit vaše stávající řešení se službou Security Center, která vám umožní zobrazit doporučení stavu zabezpečení na jednom místě, spouštět sjednocené sestavy a využívat všechny možnosti služby Security Center proti integrovaným i partnerským doporučením. Můžete také exportovat doporučení služby Security Center do partnerských produktů.

Uučte se více o Microsoft Intelligent Security Association.

Pokročilé integrace s exportem doporučení a upozornění (Preview)

Pokud chcete povolit scénáře na podnikové úrovni nad službou Security Center, je teď možné využívat výstrahy a doporučení služby Security Center na dalších místech s výjimkou portálu Azure nebo rozhraní API. Ty je možné exportovat přímo do centra událostí a do Log Analytics pracovních prostorů. Tady je několik pracovních postupů, které můžete díky těmto novým funkcím vytvořit:

  • S exportem do Log Analytics pracovního prostoru můžete vytvářet vlastní řídicí panely pomocí Power BI.
  • Při exportu do služby Event Hubs budete moct exportovat výstrahy a doporučení služby Security Center do prostředí SIEM třetích stran, do řešení třetích stran nebo Azure Data Explorer.

Připojení místních serverů ke službě Security Center z Windows Admin Center (Preview)

Windows Admin Center je portál pro správu pro servery Windows, které nejsou nasazené v Azure nabízejí několik možností správy Azure, jako jsou zálohování a aktualizace systému. Nedávno jsme přidali možnost připojit tyto servery, které nejsou Azure chráněné službou ASC přímo z Windows Admin Center prostředí.

Uživatelé teď můžou připojit server WAC k Azure Security Center a povolit zobrazování výstrah zabezpečení a doporučení přímo v prostředí Windows Admin Center.

Září 2019

Mezi aktualizace v září patří:

Správa pravidel s využitím vylepšení adaptivního řízení aplikací

Prostředí správy pravidel pro virtuální počítače pomocí adaptivního řízení aplikací se zlepšilo. Azure Security Center adaptivní řízení aplikací vám pomůže řídit, které aplikace se můžou spouštět na virtuálních počítačích. Kromě obecného vylepšení správy pravidel umožňují nové funkce řídit, které typy souborů budou chráněné, když přidáte nové pravidlo.

Přečtěte si další informace o adaptivních řízeních aplikací.

Řízení doporučení zabezpečení kontejneru pomocí Azure Policy

Azure Security Center doporučení k nápravě ohrožení zabezpečení kontejneru je teď možné povolit nebo zakázat prostřednictvím Azure Policy.

Pokud chcete zobrazit povolené zásady zabezpečení, otevřete ve službě Security Center stránku Zásady zabezpečení.

Srpen 2019

Mezi aktualizace v srpnu patří:

Přístup k virtuálnímu počítači za běhu (JIT) pro Azure Firewall

Přístup k virtuálním počítačům podle potřeby (JIT) pro Azure Firewall je teď obecně dostupný. Použijte ho k zabezpečení Azure Firewall chráněných prostředí kromě prostředí chráněných skupinou zabezpečení sítě.

Přístup k virtuálním počítačům JIT snižuje vystavení síťovým útokům s volumetric tím, že poskytuje řízený přístup k virtuálním počítačům pouze v případě potřeby pomocí skupiny zabezpečení sítě a pravidel Azure Firewall.

Když pro vaše virtuální počítače povolíte přístup podle potřeby (JIT), vytvoříte zásadu určující, které porty se mají chránit a jak dlouho mají zůstat otevřené, a také schválené IP adresy, z nichž se k těmto portům může přistupovat. Tyto zásady vám pomohou mít pod kontrolou, co uživatelé mohou dělat, když si vyžádají přístup.

Požadavky se protokolují do protokolu aktivit Azure, takže můžete snadno monitorovat a auditovat přístup. Stránka just-in-time vám také pomůže rychle identifikovat existující virtuální počítače s povoleným JIT a virtuálními počítači, ve kterých se doporučuje JIT.

Uučte se více o Azure Firewall.

Náprava jedním kliknutím pro zvýšení stavu zabezpečení (Preview)

Secure Score je nástroj, který pomáhá vyhodnotit stav zabezpečení vašich úloh. Projde vaše doporučení k zabezpečení a nastaví jim prioritu, abyste věděli, která doporučení máte realizovat jako první. Pomáhá tak najít nejzávažnější ohrožení zabezpečení a nastavit prioritu šetření.

Abychom zjednodušili nápravu chybných konfigurací zabezpečení a pomohli vám rychle zlepšit skóre zabezpečení, přidali jsme novou funkci, která umožňuje napravit doporučení pro velké množství prostředků jediným kliknutím.

Tato operace umožňuje vybrat prostředky, pro které chcete využít nápravu, a spustit nápravnou akci, která nakonfiguruje příslušné nastavení za vás.

Správa napříč tenanty

Security Center teď podporuje scénáře správy napříč tenanty v rámci Azure Lighthouse. Umožní vám to ve službě Security Center získat přehled a spravovat stav zabezpečení pro víc tenantů.

Přečtěte si další informace o prostředích pro správu napříč tenanty.

Červenec 2019

Aktualizace doporučení sítě

Azure Security Center (ASC) spustila nová doporučení k sítím a vylepšila některé stávající. Použití služby Security Center teď zajišťuje ještě lepší síťovou ochranu pro vaše prostředky.

červen 2019

Adaptivní posílení zabezpečení sítě – obecně dostupné

U úloh běžících ve veřejném cloudu patří mezi místa nejvíce ohrožená potenciálními útoky připojení k veřejnému internetu a z něj. Naši zákazníci zjistili, která pravidla skupiny zabezpečení sítě (NSG) by měla být zavedená, aby se zajistilo, že Azure úlohy jsou dostupné jenom pro požadované rozsahy zdrojů. Díky této funkci se Security Center učí vzory síťového provozu a připojení Azure úloh a poskytuje doporučení pro pravidla NSG pro internetové virtuální počítače. To našim zákazníkům pomáhá lépe nakonfigurovat zásady přístupu k síti a omezit svoji zranitelnost vůči útokům.

  • Last updated on