Anmerkung
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen, dich anzumelden oder die Verzeichnisse zu wechseln.
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen , die Verzeichnisse zu wechseln.
In diesem Artikel werden die Neuerungen in Sicherheitsempfehlungen, Warnungen und Incidents in Microsoft Defender for Cloud zusammengefasst. Er enthält Informationen zu neuen, geänderten und veralteten Empfehlungen und Warnungen.
Diese Seite wird häufig mit den neuesten Empfehlungen und Warnungen in Defender für Cloud aktualisiert.
Empfehlungen, die älter als sechs Monate sind, finden Sie in der relevanten Referenzliste für Empfehlungen.
Unter Neuerungen in Microsoft Defender for Cloud finden Sie die neuesten Informationen zu neuen und aktualisierten Defender for Cloud-Features.
Tipp
Sie können Benachrichtigungen erhalten, wenn diese Seite aktualisiert wird, indem Sie folgende URL kopieren und in Ihren Feedreader einfügen: https://aka.ms/mdc/rss-recommendations-alerts
- Hier finden Sie eine vollständige Liste der Multicloud-Sicherheitsempfehlungen und -warnungen:
Neuigkeiten zu Empfehlungen, Warnungen und Incidents
Neue und aktualisierte Empfehlungen, Warnungen und Incidents werden der Tabelle in der Datumsreihenfolge hinzugefügt.
| Angekündigtes Datum | Typ | Zustand | Name |
|---|---|---|---|
| 16. Februar 2026 | Empfehlung | Bevorstehende Einstellungen (19. März 2026) |
Die Vorschauempfehlung Machines should be configured securely (powered by MDVM), die auf Windows-Computern angewendet wird, wird als veraltet eingestuft. Die Empfehlung wird durch die folgenden betriebssystemspezifischen Empfehlungen ersetzt, die Linux-Unterstützung mithilfe der Gastkonfiguration enthalten: - Sicherheitsrisiken in der Sicherheitskonfiguration auf Ihren Linux-Computern sollten behoben werden (unterstützt durch Gastkonfiguration) - Sicherheitsrisiken in der Sicherheitskonfiguration auf Ihren Windows-Computern sollten behoben werden (unterstützt durch Gastkonfiguration). Diese Ersatzempfehlungen sind bereits in Defender für Cloud verfügbar. Wenn Sie Über Governanceregeln, Berichte oder Workflows verfügen, die auf die veraltete Empfehlung verweisen, aktualisieren Sie sie, um die Ersatzempfehlungen zu verwenden. Um sicherzustellen, dass die neuen Empfehlungen Ihre Computer bewerten können, überprüfen Sie, ob die erforderlichen Voraussetzungen vorhanden sind: - Azure-Computer sollten die Azure Machine Configuration-Erweiterung installiert haben. - Nicht-Azure-Computer sollten über Azure Arc integriert werden, einschließlich der Computerkonfigurationserweiterung standardmäßig. |
| 10. Februar 2026 | Empfehlung | Vorschau | Die folgenden Empfehlungen werden in der Vorschau veröffentlicht: * Ausführungsberechtigungen für xp_cmdshell von allen Benutzern (mit Ausnahme von dbo) sollten für SQL-Server widerrufen werden. * Neueste Updates sollten für SQL Server installiert werden * Database User GUEST sollte kein Mitglied einer Rolle in SQL-Datenbanken sein * Ad-hoc verteilte Abfragen sollten für SQL Server deaktiviert werden * CLR sollte für SQL-Server deaktiviert sein * Nicht verfolgte vertrauenswürdige Assemblys sollten für SQL Server entfernt werden * Die Datenbankbesitzverkettung sollte für alle Datenbanken deaktiviert werden, mit Ausnahme von „master“, „msdb“ und „tempdb“ auf SQL Servern * Principal GUEST sollte keinen Zugriff auf eine SQL-Benutzerdatenbank haben * Remoteadministratorverbindungen sollten deaktiviert werden, es sei denn, es ist ausdrücklich für SQL-Datenbanken erforderlich * Die Standardablaufverfolgung sollte für SQL-Server aktiviert sein. * CHECK_POLICY sollte für alle SQL-Anmeldungen für SQL Server aktiviert sein * Die Überprüfung des Ablaufs von Kennwörtern sollte für alle SQL-Anmeldungen auf SQL Servern aktiviert werden * Datenbankprinzipale sollten nicht dem Sa-Konto in SQL-Datenbanken zugeordnet werden * AUTO_CLOSE sollte für SQL-Datenbanken deaktiviert sein * BUILTIN\Administrators sollten als Serveranmeldung für SQL Server entfernt werden * Das Konto mit dem Standardnamen "sa" sollte auf SQL-Servern umbenannt und deaktiviert werden. * Übermäßige Berechtigungen sollten der PUBLIC-Rolle für Objekte oder Spalten in SQL-Datenbanken nicht gewährt werden. * "sa"-Anmeldung sollte für SQL Server deaktiviert sein * xp_cmdshell sollte für SQL Server deaktiviert sein * Nicht verwendete Dienstbroker-Endpunkte sollten für SQL Server entfernt werden * Erweiterte gespeicherte Prozeduren für Datenbank-E-Mail sollten bei Nichtverwendung auf SQL Servern deaktiviert werden * Serverberechtigungen sollten nicht direkt an Prinzipale für SQL Server erteilt werden * Datenbankbenutzer sollten nicht denselben Namen wie eine Serveranmeldung für die SQL-Modelldatenbank verwenden * Die Option „Gespeicherte Startprozeduren suchen“ sollte für SQL Server deaktiviert werden * Der Authentifizierungsmodus sollte die Windows-Authentifizierung für SQL-Server sein. * Die Überwachung von erfolgreichen und fehlgeschlagenen Anmeldeversuchen (Standardablaufverfolgung) sollte aktiviert sein, wenn "Login-Überprüfung" eingerichtet ist, um Anmeldungen für SQL Server zu überwachen. * Die SQL Server-Instanz sollte vom SQL Server-Browserdienst für SQL Server nicht angekündigt werden * Die maximale Anzahl von Fehlerprotokollen sollte 12 oder mehr für SQL Server sein. * Datenbankberechtigungen sollten nicht direkt an Prinzipale für SQL Server erteilt werden * Übermäßige Berechtigungen sollten der PUBLIC-Rolle in SQL-Datenbanken nicht erteilt werden * Principal Guest sollte in SQL-Datenbanken keine Berechtigungen erhalten * Principal GUEST sollte keine Berechtigungen für Objekte oder Spalten in SQL-Datenbanken erteilt werden * AES-Verschlüsselung sollte für alle vorhandenen Spiegelungs- oder SSB-Endpunkte in SQL-Datenbanken erforderlich sein * Gastbenutzer sollten keine Berechtigungen für SQL-Datenbank-Sicherungsobjekte gewährt werden. * Das vertrauenswürdige Bit sollte für alle Datenbanken mit Ausnahme von MSDB für SQL-Datenbanken deaktiviert werden. * "dbo"-Benutzer sollte nicht für den normalen Dienstbetrieb in SQL-Datenbanken verwendet werden * Nur 'dbo' sollte Zugriff auf die Sql-Modelldatenbank haben * Transparente Datenverschlüsselung sollte für SQL-Datenbanken aktiviert sein * Die Datenbankkommunikation mit TDS sollte über TLS für SQL Server geschützt werden. * Symmetrische Schlüssel der Datenbankverschlüsselung sollten AES-Algorithmus in SQL-Datenbanken verwenden * Cell-Level Verschlüsselungsschlüssel sollten AES-Algorithmus in SQL-Datenbanken verwenden * Zertifikatschlüssel sollten mindestens 2048 Bit für SQL-Datenbanken verwenden * Die Länge asymmetrischer Schlüssel sollte mindestens 2048 Bit in SQL-Datenbanken betragen. * Filestream sollte für SQL Server deaktiviert sein * Die Serverkonfiguration „Replikations-XPs“ sollte für SQL Server deaktiviert werden * Verwaiste Benutzer sollten aus SQL Server-Datenbanken entfernt werden * Die Datenbankbesitzerinformationen in der Datenbank sollten mit den entsprechenden Datenbankbesitzerinformationen in der Masterdatenbank für SQL-Datenbanken übereinstimmen. * Anwendungsrollen sollten nicht in SQL-Datenbanken verwendet werden * Es sollten keine SPs als automatisches Starten für SQL-Server markiert sein. * Benutzerdefinierte Datenbankrollen sollten keine Mitglieder fester Rollen in SQL-Datenbanken sein * Benutzer-CLR-Assemblys sollten nicht in SQL-Datenbanken definiert werden * Für SQL-Datenbanken sollten die Datenbankbesitzer wie erwartet sein * Die Überwachung von erfolgreichen und fehlgeschlagenen Anmeldeversuchen sollte für SQL Server aktiviert sein. * Die Überwachung der erfolgreichen und fehlgeschlagenen Anmeldeversuche für die enthaltene DB-Authentifizierung sollte für SQL-Datenbanken aktiviert sein. * Enthaltene Benutzer sollten die Windows-Authentifizierung in SQL Server-Datenbanken verwenden * Polybase-Netzwerkverschlüsselung sollte für SQL-Datenbanken aktiviert sein * Erstellen eines Basisplans für externe Schlüsselverwaltungsanbieter für SQL Server * Das Erzwingen der Verschlüsselung sollte für TDS für SQL Server aktiviert werden * Serverberechtigungen, die öffentlich erteilt werden, sollten für SQL Server minimiert werden * Alle Mitgliedschaften für benutzerdefinierte Rollen sollten in SQL-Datenbanken vorgesehen sein * Verwaiste Datenbankrollen sollten aus SQL-Datenbanken entfernt werden * Es sollte mindestens 1 aktive Überwachung im System für SQL Server vorhanden sein * Nur einer minimalen Gruppe von Prinzipalen sollten die datenbankbezogenen Berechtigungen ALTER oder ALTER ANY USER in SQL-Datenbanken erteilt werden * EXECUTE-Berechtigungen für Objekte oder Spalten in SQL-Datenbanken sollten auf eine minimale Gruppe von Prinzipalen beschränkt werden * SQL Threat Detection sollte auf SQL Server-Ebene aktiviert werden * Die Überwachung sollte auf Serverebene für SQL Server aktiviert sein. * Firewallregeln auf Datenbankebene sollten keinen übermäßigen Zugriff auf SQL Server gewähren * Firewallregeln auf Serverebene sollten keinen übermäßigen Zugriff auf SQL Server gewähren * Firewallregeln auf Datenbankebene sollten für SQL-Server streng überwacht und verwaltet werden. * Firewallregeln auf Serverebene sollten mindestens auf SQL-Servern nachverfolgt und verwaltet werden. * Unnötige Ausführungsberechtigungen für erweiterte gespeicherte Prozeduren sollten für SQL Server widerrufen werden * Nur eine minimale Gruppe von Prinzipalen sollte Mitglied von festen Masterdatenbankrollen der Azure SQL-Datenbank sein * Nur eine minimale Gruppe von Prinzipalen sollte Mitglied von festen Datenbankrollen mit großen Auswirkungen in SQL-Datenbanken sein * Nur eine minimale Gruppe von Prinzipalen sollte Mitglied von festen Datenbankrollen mit geringen Auswirkungen in SQL-Datenbanken sein * Ausführungsberechtigungen für den Zugriff auf die Registrierung sollten für SQL Servern eingeschränkt sein * Beispieldatenbanken sollten für SQL Server entfernt werden Berechtigungen für Datentransformationsdienste (DTS) sollten nur an SSIS-Rollen in der MSDB SQL-Datenbank erteilt werden. * Nur eine minimale Gruppe von Prinzipalen sollte Mitglied von festen Serverrollen für SQL Server sein * Features, die sich auf die Sicherheit auswirken können, sollten für SQL Server deaktiviert werden. * Das Feature "OLE-Automatisierungsverfahren" sollte für SQL Server deaktiviert sein. * Das Feature 'Benutzeroptionen' sollte für SQL Server deaktiviert sein. * Erweiterbarkeitsfunktionen, die die Sicherheit beeinträchtigen können, sollten deaktiviert werden, wenn sie für SQL Server nicht benötigt werden. * Die Sicherheitsrisikobewertung sollte nur in SQL Server 2012 und höher konfiguriert werden. * Änderungen an signierten Modulen sollten für SQL-Datenbanken autorisiert werden * Nachverfolgen aller Benutzer mit Zugriff auf die Datenbank für SQL-Datenbanken * SQL-Anmeldungen mit häufig verwendeten Namen sollten für SQL Server deaktiviert werden * Siehe vollständige Zuordnung von Regeln und Empfehlungen |
| 11. Dezember 2025 | Warnung | Deprecated | Die folgenden Warnungen sind jetzt veraltet. * AppServices_AnomalerSeitenzugriff * AppServices_CurlToDisk * AppServices_WpThemeInjection * AppServices_SmartScreen * AppServices_ScanSensitivePage * AppServices_CommandlineSuspectDomain * AzureDNS_ThreatIntelSuspectDomain * AppServices_FilelessAttackBehaviorDetection * AppServices_Dateifreie Angriffstechnikerkennung * AppServices_FilelessAttackToolkitDetection * AppServices_Phishing-Inhalt * AppServices_ProcessWithKnownSuspiciousExtension Diese Warnungen werden als Teil eines Qualitätsverbesserungsprozesses eingestellt und durch neuere, komplexere Warnungen ersetzt, die eine höhere Genauigkeit und verbesserte Bedrohungserkennungsfunktionen bieten. Dieses Update stellt eine verbesserte Sicherheitsabdeckung und reduzierte Geräusche sicher. |
| 3. Dezember 2025 | Empfehlung | Bevorstehende Abschaffung (30 Tage Vorankündigung) | Die folgende Empfehlung gilt für die Abschaffung in 30 Tagen: Microsoft Defender for SQL status should be protected for Arc-enabled SQL Servers für Defender for SQL Servers on Machines Plan. |
| 1. Dezember 2025 | Empfehlung | Vorschau | (Vorschau) Code-Signierung sollte auf Lambda aktiviert werden. |
| 1. Dezember 2025 | Empfehlung | Vorschau | (Vorschau) Sicherheitsmechanismus sollte für das API-Gateway für Lambda-Funktionen verwendet werden |
| 1. Dezember 2025 | Empfehlung | Vorschau | (Vorschau) Die Authentifizierung sollte auf Lambda-Funktions-URLs aktiviert sein. |
| 1. Dezember 2025 | Empfehlung | Vorschau | (Vorschau) Lambda-Funktion sollte reservierte Parallelität implementieren, um die Ressourcenausschöpfung zu verhindern |
| 1. Dezember 2025 | Empfehlung | Vorschau | (Vorschau) Lambda-Funktion sollte mit automatischen Laufzeitversionsupdates konfiguriert werden |
| 1. Dezember 2025 | Empfehlung | Vorschau | (Vorschau) Die Authentifizierung sollte in Azure-Funktionen aktiviert sein |
| 1. Dezember 2025 | Empfehlung | Vorschau | (Vorschau) Übermäßig zulässige Berechtigungen sollten nicht für Funktions-App, Web App oder Logik-App konfiguriert werden. |
| 1. Dezember 2025 | Empfehlung | Vorschau | (Vorschau) Eingeschränkter Netzwerkzugriff muss auf der im Internet bereitgestellten Function-App konfiguriert sein. |
| 21. Oktober 2025 | Warnung | Aktualisieren | Die folgenden Änderungen gelten für K8S.Node_* Benachrichtigungen für EKS- und GKE-Cluster. Die eigenschaft resourceIdentifiers verweist auf den MDC Connector Identifier: Microsoft.Security/securityConnectors/CONNECTOR_NAME/securityentitydata/EKS_CLUSTER_NAME anstelle der Arc-Ressourcen-ID "Microsoft.Kubernetes/connectedClusters/ARC_CLUSTER_NAME". Die Entities-Eigenschaft verweist auf den Cloud Native Identifier arn:aws:eks:AWS_REGION:AWS_ACCOUNT:cluster/CLUSTER_NAME oder container.googleapis.com/projects/PROJECT_ID/zones/ZONE/clusters/CLUSTER_NAME anstelle der Arc-Ressourcen-ID "Microsoft.Kubernetes/connectedClusters/ARC_CLUSTER_NAME". Das Feld "resourceType" unter "extendedProperties" wird von "Kubernetes – Azure Arc" zu der entsprechenden Resource Type "AWS EKS Cluster" oder "GCP GKE Cluster" wechseln. |
| 10. September 2025 | Warnung | Eingestellte Unterstützung | Die folgende Warnung ist veraltet: Verdächtiger Prozessname erkannt |
| 1. Juni 2025 | Warnung | Bevorstehende Einstellungen | Die folgende Warnung ist veraltet, da die Methode in PowerZure nicht mehr unterstützt wird: * Verwendung der PowerZure-Funktion zur Beibehaltung der Persistenz in Ihrer Azure-Umgebung |
| 15. Mai 2025 | Warnung | Bevorstehende Einstellungen | Die folgenden Warnungen sind veraltet und stehen nicht über die XDR-Integration zur Verfügung: * DDoS-Angriff für öffentliche IP erkannt * DDoS-Angriff entschärft für öffentliche IP Hinweis: Die Warnungen sind im Defender for Cloud-Portal verfügbar. |
| 1. Mai 2025 | Warnung | Allgemein verfügbar | KI-Warnungen wurden mit der offiziellen GA-Version des Plans für die GA (allgemeine Verfügbarkeit) veröffentlicht. |
| 20. April 2025 | Warnung | Vorschau | (Vorschau) KI – Verdächtige Anomalien, die in vertraulichen Daten erkannt wurden, die von der KI-Ressource verfügbar gemacht werden, ersetzt dies die vorherige Warnung zur Gefährdung vertraulicher Daten. |
| 29. April 2025 | Empfehlung | Allgemein verfügbar | Role-Based Zugriffssteuerung sollte für Keyvault Services verwendet werden |
| 20. April 2025 | Warnung | Vorschau | KI – Verdächtige Anomalie in vertraulichen Daten erkannt, die von der KI-Ressource verfügbar gemacht wurde; diese ersetzt die vorherige Warnung zur Gefährdung vertraulicher Daten. |
| 5. Februar 2025 | Empfehlung | Bevorstehende Einstellungen | Die folgenden Empfehlungen werden als veraltet markiert: * Konfigurieren zum Aktivieren von Microsoft Defender für Storage (klassisch) * Konfigurieren zum grundlegenden Aktivieren von Microsoft Defender für Storage (nur Aktivitätsüberwachung) |
| 29. Januar 2025 | Empfehlung | Allgemein verfügbar | Wir haben die folgende Empfehlung weiter gehärtet: Das Ausführen von Containern als Root-benutzende Person muss vermieden werden. Was ändert sich? Für „Als Gruppenregel ausführen“ muss jetzt mindestens ein Bereich angegeben werden. Diese Änderung war erforderlich, um sicherzustellen, dass Container keinen Zugriff auf Dateien im Besitz des Root-Benutzers und Gruppen mit Berechtigungen für die Root-Gruppe erhalten. |
| 13. Januar 2025 | Warnung | Vorschau | KI: Zugriff von einer verdächtigen IP-Adresse |
| 13. Januar 2025 | Warnung | Vorschau | KI: Mutmaßlicher Brieftaschenangriff |
| 19. Dezember 2024 | Warnung | Allgemein verfügbar | Die folgenden Azure Storage-Warnungen sind allgemein verfügbar: Bösartiges Blob wurde aus einem Speicherkonto heruntergeladen Ungewöhnliches SAS-Token wurde für den Zugriff auf ein Azure-Speicherkonto von einer öffentlichen IP-Adresse verwendet Verdächtiger externer Vorgang zu einem Azure-Speicherkonto mit übermäßig eingeschränktem SAS-Token Verdächtiger externer Zugriff auf ein Azure-Speicherkonto mit übermäßig eingeschränktem SAS-Token Ungewöhnlicher nicht authentifizierter öffentlicher Zugriff auf einen vertraulichen Blobcontainer Ungewöhnliche Menge an Daten, die aus einem vertraulichen Blobcontainer extrahiert wurde Ungewöhnliche Anzahl von Blobs, die aus einem vertraulichen Blobcontainer extrahiert wurden Zugriff von einem ungewöhnlichen Speicherort auf einen vertraulichen Blobcontainer Access von einer bekannten verdächtigen BLOB-Container Zugriff von einer bekannten verdächtigen IP-Adresse auf einen vertraulichen Blobcontainer Zugriff von einem Tor-Exitknoten auf einen vertraulichen Blobcontainer |
| 16. Dezember 2024 | Warnung | Vorschau | KI – Zugriff von einer Tor-IP |
| 19. November 2024 | Eingestellte Unterstützung | Allgemein verfügbar |
MFA-Empfehlungen wurden als veraltet markiert, da Azure sie jetzt erfordert. Die folgenden Empfehlungen werden eingestellt: * Für Konten mit Leseberechtigungen für Azure-Ressourcen sollte MFA aktiviert sein * Für Konten mit Schreibberechtigungen für Azure-Ressourcen sollte MFA aktiviert sein * Für Konten mit Besitzerberechtigungen für Azure-Ressourcen sollte MFA aktiviert sein. |
| 19. November 2024 | Warnung | Vorschau | KI – verdächtiger Benutzer-Agent erkannt |
| 19. November 2024 | Warnung | Vorschau | ASCII Smuggling-Prompteinfügung erkannt |
| 30. Oktober 2024 | Warnung | Allgemein verfügbar | Verdächtige Extraktion von Azure Cosmos DB-Kontoschlüsseln |
| 30. Oktober 2024 | Warnung | Allgemein verfügbar | Die Zugriffsebene eines vertraulichen Speicherblobcontainers wurde geändert, um nicht authentifizierten öffentlichen Zugriff zuzulassen |
| 30. Oktober 2024 | Empfehlung | Bevorstehende Einstellungen |
MFA-Empfehlungen wurden als veraltet markiert, da Azure sie jetzt erfordert. Die folgenden Empfehlungen werden eingestellt: * Für Konten mit Leseberechtigungen für Azure-Ressourcen sollte MFA aktiviert sein * Für Konten mit Schreibberechtigungen für Azure-Ressourcen sollte MFA aktiviert sein * Für Konten mit Besitzerberechtigungen für Azure-Ressourcen sollte MFA aktiviert sein. |
| 12. Oktober 2024 | Empfehlung | Allgemein verfügbar | Für Azure Database for PostgreSQL – Flexibler Server sollte nur die Microsoft Entra-Authentifizierung aktiviert sein |
| 6. Oktober2024 | Empfehlung | Aktualisieren | [Vorschau] Bei in GCP ausgeführten Containern sollten ermittelte Sicherheitsrisiken behoben sein. |
| 6. Oktober2024 | Empfehlung | Aktualisieren | [Vorschau] Bei in AWS ausgeführten Containern sollten ermittelte Sicherheitsrisiken behoben sein. |
| 6. Oktober2024 | Empfehlung | Aktualisieren | [Vorschau] Bei in Azure ausgeführten Containern sollten ermittelte Sicherheitsrisiken behoben sein. |
| 10. September 2024 | Warnung | Vorschau | Beschädigte KI-Anwendung\beschädigtes Modell\beschädigte Daten steuerten einen Phishingversuch bei einem Benutzer |
| 10. September 2024 | Warnung | Vorschau | Phishing-URL in einer KI-Anwendung freigegeben |
| 10. September 2024 | Warnung | Vorschau | Phishingversuch in einer KI-Anwendung erkannt |
| 5. September 2024 | Empfehlung | Allgemein verfügbar | Systemupdates sollten auf Ihren Computern installiert werden (unterstützt von Azure Update Manager) |
| 5. September 2024 | Empfehlung | Allgemein verfügbar | Computer sollten so konfiguriert werden, dass regelmäßig nach fehlenden Systemupdates gesucht wird |
Verwandte Inhalte
Informationen zu neuen Features finden Sie unter Neuerungen in Defender for Cloud-Features.