Unterstützung und Voraussetzungen für die Datensicherheitsstatusverwaltung
Überprüfen Sie die Anforderungen auf dieser Seite, bevor Sie die Datensicherheitsstatusverwaltung in Microsoft Defender for Cloud einrichten.
Aktivieren der Ermittlung vertraulicher Daten
Die Ermittlung vertraulicher Daten ist in den Plänen Defender CSPM, Defender for Storage und Defender for Databases verfügbar.
- Wenn Sie einen dieser Pläne aktivieren, wird die Erweiterung für die Ermittlung vertraulicher Daten als Teil des Plans aktiviert.
- Wenn Pläne bereits ausgeführt werden, ist die Erweiterung zwar verfügbar, aber standardmäßig deaktiviert.
- Der vorhandene Planstatus wird als „Partial“ (Teilweise) und nicht als „Full“ (Vollständig) angezeigt, wenn eine oder mehrere Erweiterungen nicht aktiviert sind.
- Das Feature ist auf der Abonnementebene aktiviert.
- Wenn die Ermittlung vertraulicher Daten aktiviert ist, aber Defender CSPM nicht aktiviert ist, werden nur Speicherressourcen gescannt.
- Wenn ein Abonnement mit Defender CSPM aktiviert ist und Sie parallel die gleichen Ressourcen mit Purview gescannt haben, wird das Scanergebnis von Purview ignoriert, und standardmäßig werden die Scanergebnisse von Microsoft Defender for Cloud für den unterstützten Ressourcentyp angezeigt.
Unterstützte Funktionen
In der Tabelle werden die Verfügbarkeit und die unterstützten Szenarien für die Ermittlung vertraulicher Daten zusammengefasst.
Support | Details |
---|---|
Welche Azure-Datenressourcen kann ich ermitteln? | Objektspeicher: Block-BLOB-Speicherkonten in Azure Storage v1/v2 Azure Data Lake Storage Gen2 Speicherkonten hinter privaten Netzwerken werden unterstützt. Speicherkonten, die mit einem kundenseitig verwalteten serverseitigen Schlüssel verschlüsselt wurden, werden unterstützt. Konten werden nicht unterstützt, wenn ein Speicherkontoendpunkt einer benutzerdefinierten Domäne zugeordnet ist. Datenbanken Azure SQL-Datenbanken Azure SQL-Datenbank mit transparenter Datenverschlüsselung verschlüsselt |
Welche AWS-Datenressourcen kann ich ermitteln? | Objektspeicher: AWS S3-Buckets Defender for Cloud kann verschlüsselte KMS-Daten ermitteln, aber keine Daten, die mit einem kundenseitig verwalteten Schlüssel verschlüsselt wurden. Datenbanken - Amazon Aurora - Amazon RDS für PostgreSQL - Amazon RDS für MySQL - Amazon RDS für MariaDB - Amazon RDS für SQL Server (nicht benutzerdefiniert) - Amazon RDS für Oracle Database (nur nicht-benutzerdefinierte SE2 Edition) Voraussetzungen und Einschränkungen: - Automatisierte Sicherungen müssen aktiviert werden. - Die für die Überprüfungszwecke erstellte IAM-Rolle (DefenderForCloud-DataSecurityPostureDB standardmäßig) muss über Berechtigungen für den KMS-Schlüssel verfügen, der für die Verschlüsselung der RDS-Instanz verwendet wird. - Sie können keine DB-Momentaufnahme freigeben, die eine Optionsgruppe mit dauerhaften oder persistenten Optionen verwendet, mit Ausnahme von Oracle DB-Instanzen, für die die Option Zeitzone oder OLS (oder beides) festgelegt ist. Weitere Informationen |
Welche GCP-Datenressourcen kann ich ermitteln? | GCP-Speicherbuckets Standard-Klasse Geo: Region, zwei Regionen, mehrere Regionen |
Welche Berechtigungen benötige ich für die Ermittlung? | Speicherkonto: Abonnementbesitzer or Microsoft.Authorization/roleAssignments/* (Lesen, Schreiben, Löschen) und Microsoft.Security/pricings/* (Lesen, Schreiben, Löschen) undbMicrosoft.Security/pricings/SecurityOperators (Lesen, Schreiben)Amazon S3-Buckets und RDS-Instanzen: AWS-Kontoberechtigung zur Ausführung von CloudFormation (zum Erstellen einer Rolle). GCP-Speicherbuckets: Google-Kontoberechtigung zum Ausführen von Skripts (zum Erstellen von Rollen). |
Welche Dateitypen werden für die Ermittlung vertraulicher Daten unterstützt? | Unterstützte Dateitypen (Sie können keine Teilmenge auswählen): .doc, .docm, .docx, .dot, .gz, .odp, .ods, .odt, .pdf, .pot, .pps, .ppsx, .ppt, .pptm, .pptx, .xlc, .xls, .xlsb, .xlsm, .xlsx, .xlt, .csv, .json, .psv, .ssv, .tsv, .txt., xml, .parquet, .avro, .orc. |
Welche Azure-Regionen werden unterstützt? | Sie können Azure Storage-Konten an folgenden Orten ermitteln: Asien Ost; Asien Südost; Australien Zentral; Australien Zentral 2; Australien Ost; Australien Südost; Brasilien Süd; Brasilien Südost; Kanada Zentral; Kanada Ost; Europa Nord; Europa West; Frankreich Zentral; Frankreich Süd; Deutschland Nord; Deutschland Zentralwest; Indien Zentral; Indien Süd; Japan Ost; Japan West; Jio India West; Korea Zentral; Südkorea; Norwegen Ost; Norwegen West; Südafrika Nord; Südafrika West; Schweden Zentral; Schweiz Nord; Schweiz West; VAE Nord; UK Süd; UK West; USA Zentral; USA Ost; USA Ost 2; USA Zentralnord; USA Zentralsüd; USA West; USA West 2; USA West 3; USA Zentralwest; Sie können Azure SQL-Datenbanken in jeder Region ermitteln, in der Defender CSPM und Azure SQL-Datenbanken unterstützt werden. |
Welche AWS-Regionen werden unterstützt? | S3: Asien-Pazifik (Mumbai); Asien-Pazifik (Singapur); Asien-Pazifik (Sydney); Asien-Pazifik (Tokio); Kanada (Montreal); Europa (Frankfurt); Europa (Irland); Europa (London); Europa (Paris); Europa (Stockholm); Südamerika (São Paulo); USA, Osten (Ohio); USA, Osten (Nordvirginia); USA, Westen (Nordkalifornien); USA, Westen (Oregon). RDS: Afrika (Kapstadt); Asien-Pazifik (Hongkong SAR); Asien-Pazifik (Hyderabad); Asien-Pazifik (Melbourne); Asien-Pazifik (Mumbai); Asien-Pazifik (Osaka); Asien-Pazifik (Seoul); Asien-Pazifik (Singapur); Asien-Pazifik (Sydney); Asien-Pazifik (Tokio); Kanada (Mitte); Europa (Frankfurt); Europa (Irland); Europa (London); Europa (Paris); Europa (Stockholm); Europa (Zürich); Naher Osten (VAE); Südamerika (São Paulo); USA, Osten (Ohio); USA, Osten (N. Virginia); USA, Westen (N. Kalifornien): USA, Westen (Oregon). Die Ermittlung erfolgt lokal in der Region. |
Welche GCP-Regionen werden unterstützt? | europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1 |
Muss ich einen Agent installieren? | Nein, für die Ermittlung ist keine Agentinstallation erforderlich. |
Wie hoch sind die Kosten? | Das Feature ist in den Defender CSPM- und Defender für Storage-Plänen enthalten und verursacht keine zusätzlichen Kosten außer den jeweiligen Plankosten. |
Welche Berechtigungen benötige ich zum Anzeigen/Bearbeiten der Einstellungen für die Vertraulichkeit von Daten? | Sie benötigen eine der folgenden Microsoft Entra-Rollen: |
Welche Berechtigungen benötige ich, um ein Onboarding durchführen zu können? | Sie benötigen eine der folgenden rollenbasierten Azure-Zugriffssteuerungsrollen (Azure RBAC): Sicherheitsadministrator, Mitwirkender, Besitzer auf Abonnementebene (wo sich das GCP-Projekt/die GCP-Projekte befinden). Für die Nutzung der Sicherheitsergebnisse: Sicherheitsleseberechtigter, Sicherheitsadministrator,Leser, Mitwirkender, Besitzer auf Abonnementebene (wo sich die GCP-Projekte befinden). |
Konfigurieren von Vertraulichkeitseinstellungen für Daten
Die wichtigsten Schritte zum Konfigurieren der Vertraulichkeitseinstellung für Daten sind die Folgenden:
- Importieren benutzerdefinierter Vertraulichkeitsinformationstypen/Bezeichnungen aus dem Microsoft Purview Compliance-Portal
- Anpassen von Kategorien/Typen vertraulicher Daten
- Festlegen des Schwellenwerts für Vertraulichkeitsbezeichnungen
Informieren Sie sich ausführlicher über Vertraulichkeitsbezeichnungen in Microsoft Purview.
Ermittlung
Defender for Cloud beginnt sofort nach der Aktivierung eines Plans oder nach der Aktivierung des Features in bereits ausgeführten Plänen mit der Ermittlung von Daten.
Für Objektspeicher:
- Es dauert bis zu 24 Stunden, bis die Ergebnisse für eine erste Ermittlung angezeigt werden.
- Nachdem Dateien in den ermittelten Ressourcen aktualisiert wurden, werden die Daten innerhalb von acht Tagen aktualisiert.
- Ein neues Azure-Speicherkonto, das einem bereits ermittelten Abonnement hinzugefügt wird, wird innerhalb von 24 Stunden oder weniger ermittelt.
- Ein neuer AWS S3-Bucket oder GCP-Speicherbucket, der einem bereits erkannten AWS-Konto oder Google-Konto hinzugefügt wird, wird innerhalb von höchstens 48 Stunden ermittelt.
- Die Ermittlung vertraulicher Daten für die Speicherung erfolgt lokal in Ihrer Region. Dadurch wird sichergestellt, dass Ihre Daten Ihre Region nicht verlassen. Nur Ressourcenmetadaten wie Dateien, Blobs, Bucketnamen, erkannte Vertraulichkeitsbezeichnungen und die Namen identifizierter Typen vertraulicher Informationen (Sensitive Information Types, SITs) werden an Defender for Cloud übertragen.
Datenbanken:
- Datenbanken werden wöchentlich überprüft.
- Bei neu aktivierten Abonnements werden die Ergebnisse innerhalb von 24 Stunden angezeigt.
Cloudsicherheits-Explorer
Wir zeigen alle Speichertypen an, einschließlich Azure Storage-Konten, AWS-Buckets und GCP-Buckets, unabhängig von ihren zugehörigen Erkenntnissen. Für Azure Storage-Konten, die Blobcontainer und Dateifreigaben umfassen, gelten die folgenden Regeln:
Blobcontainer werden angezeigt, wenn sie einem der folgenden Kriterien entsprechen:
Sie haben die Erkenntnis Enthält vertrauliche Daten.
Sie haben die Erkenntnis Öffentlicher Zugriff.
Sie verfügen über eine Replikationsregel zu oder von einem anderen Blob.
Dateifreigaben werden nur angezeigt, wenn sie über die Erkenntnis „Enthält vertrauliche Daten“ verfügen.
Ermitteln und Überprüfen von Azure-Speicherkonten
Zum Überprüfen von Azure-Speicherkonten erstellt Microsoft Defender for Cloud eine neue storageDataScanner
Ressource und weist sie der Rolle Storage Blob Data Reader zu. Diese Rolle erteilt die folgenden Berechtigungen:
- Liste
- Lesen Sie
Für Speicherkonten hinter privaten Netzwerken fügen wir in der Netzwerkregelkonfiguration des Speicherkontos den StorageDataScanner
in die Liste der zulässigen Ressourceninstanzen ein.
Erkennen und Überprüfen von AWS S3-Buckets
Zum Schutz von AWS-Ressourcen in Defender for Cloud richten Sie einen AWS-Connector ein, indem Sie das AWS-Konto mithilfe einer CloudFormation-Vorlage integrieren.
- Zur Ermittlung von AWS-Datenressourcen aktualisiert Defender for Cloud die CloudFormation-Vorlage.
- Die CloudFormation-Vorlage erstellt eine neue Rolle in AWS IAM, um dem Defender for Cloud-Scanner die Berechtigung für den Zugriff auf Daten in den S3-Buckets zu gewähren.
- Zum Verbinden von AWS-Konten benötigen Sie Administratorberechtigungen für das jeweilige Konto.
- Die Rolle gewährt die folgenden Berechtigungen: schreibgeschützter S3-Zugriff; KMS entschlüsseln.
Erkennen und Überprüfen der AWS RDS-Instanzen
Zum Schutz von AWS-Ressourcen in Defender for Cloud richten Sie einen AWS-Connector ein, indem Sie das AWS-Konto mithilfe einer CloudFormation-Vorlage integrieren.
- Zur Ermittlung von AWS RDS-Instanzen aktualisiert Defender for Cloud die CloudFormation-Vorlage.
- Die CloudFormation-Vorlage erstellt eine neue Rolle in AWS IAM, um dem Defender für Cloud-Scanner die Berechtigung zu gewähren, die letzte verfügbare automatisierte Momentaufnahme Ihrer Instanz in einer isolierten Scanumgebung innerhalb derselben AWS-Region online zu schalten.
- Zum Verbinden von AWS-Konten benötigen Sie Administratorberechtigungen für das jeweilige Konto.
- Automatisierte Momentaufnahmen müssen für die relevanten RDS-Instanzen/ -Cluster aktiviert werden.
- Die Rolle lässt diese Berechtigungen zu (genaue Definitionen finden Sie in der CloudFormation-Vorlage):
- Auflisten aller RDS-Datenbanken/ -Cluster
- Kopieren aller Datenbank-/ Cluster-Momentaufnahmen
- Löschen/ Aktualisieren von Datenbank- /Cluster-Momentaufnahme mit dem Präfix defenderfordatabases
- Auflisten aller KMS-Schlüssel
- Verwenden aller KMS-Schlüssel nur für RDS im Quellkonto
- Erstellen und Vollzugriff auf alle KMS-Schlüssel mit Tagpräfix DefenderForDatabases
- Erstellen eines Alias für KMS-Schlüssel
- KMS-Schlüssel werden einmal für jede Region erstellt, die RDS-Instanzen enthält. Die Erstellung eines KMS-Schlüssels könnte gemäß den AWS KMS-Preisen zu minimalen zusätzlichen Kosten führen.
Erkennen und Überprüfen der GCP-Storage-Buckets
Um GCP-Ressourcen in Defender for Cloud zu schützen, können Sie einen Google-Connector mithilfe einer Skriptvorlage für das Onboarding des GCP-Kontos einrichten.
- Zum Ermitteln der GCP-Speicherbuckets aktualisiert Defender for Cloud die Skriptvorlage.
- Die Skriptvorlage erstellt eine neue Rolle im Google-Konto, um dem Defender for Cloud-Scanner die Berechtigung für den Zugriff auf Daten in den GCP-Speicherbuckets zu gewähren.
- Zum Verbinden von Google-Konten benötigen Sie Administratorberechtigungen für das jeweilige Konto.
Im Internet verfügbar gemacht/ermöglicht den öffentlichen Zugriff
Defender CSPM-Angriffspfade und Erkenntnisse zu Cloud-Sicherheitsdiagrammen enthalten Informationen zu Speicherressourcen, die für das Internet verfügbar gemacht werden und den öffentlichen Zugriff ermöglichen. Die folgende Tabelle enthält weitere Einzelheiten.
State | Azure-Speicherkonten | AWS S3-Buckets | GCP-Speicherbuckets |
---|---|---|---|
Im Internet verfügbar gemacht | Ein Azure-Speicherkonto gilt als verfügbar für das Internet, wenn eine der folgenden Einstellungen aktiviert ist: Storage_account_name >Netzwerk>Öffentlicher Netzwerkzugriff>Über alle Netzwerk aktiviert oder Storage_account_name >Netzwerk>Öffentlicher Netzwerkzugriff>Über ausgewählte virtuelle Netzwerke und IP-Adressen aktivieren. |
Ein AWS S3-Bucket gilt als verfügbar für das Internet, wenn für die AWS-Konto-/AWS S3-Bucket-Richtlinien keine Bedingung für IP-Adressen festgelegt ist. | Standardmäßig werden alle GCP-Speicherbuckets für das Internet verfügbar gemacht. |
Ermöglicht den öffentlichen Zugriff | Ein Azure-Speicherkontocontainer gilt als öffentlich zugänglich, wenn diese Einstellungen für das Speicherkonto aktiviert sind: Speicherkontoname >Konfiguration>Anonymen Zugriff auf Blob zulassen>Aktiviert. und eine der folgenden Einstellungen: Storage_account_name >Container> container_name >Öffentliche Zugriffsebene ist festgelegt auf BLOB (anonymer Lesezugriff nur für BLOBs) Oder storage_account_name >Container> container_name >Öffentliche Zugriffsebene ist festgelegt auf Container (anonymer Lesezugriff für Container und BLOBs). |
Ein AWS S3-Bucket gilt als öffentlich zugänglich, wenn sowohl für das AWS-Konto als auch für den AWS S3-Bucket Blockieren aller öffentlichen ZugriffeDeaktiviert und eine der folgenden Einstellungen festgelegt ist: In der Richtlinie ist RestrictPublicBuckets nicht aktiviert, und die Einstellung Prinzipal ist auf * und Auswirkung auf Zulassen festgelegt. Oder in der Zugriffssteuerungsliste ist IgnorePublicAcl nicht aktiviert, und die Berechtigung ist für Alle oder für Authentifizierte Benutzer zulässig. |
Ein GCP-Speicherbucket gilt als öffentlich zugänglich, wenn Folgends gilt: Er verfügt über eine IAM-Rolle (Identitäts- und Zugriffsverwaltung), die die folgenden Kriterien erfüllt: Die Rolle wird dem Prinzipal allUsers oder allAuthenticatedUsers zugewiesen. Die Rolle verfügt über mindestens eine Speicherberechtigung, bei der es sich nicht um storage.buckets.create oder storage.buckets.list handelt. Der öffentliche Zugriff in GCP wird als Öffentlich zum Internet bezeichnet. |
Datenbankressourcen erlauben keinen öffentlichen Zugriff, können aber dennoch für das Internet verfügbar sein.
Erkenntnisse zur Internetexposition sind für die folgenden Ressourcen verfügbar:
Azure:
- Azure SQL Server
- Azure Cosmos DB
- Verwaltete Azure SQL-Datenbank-Instanz
- Azure MySQL-Einzelserver
- Azure MySQL flexibler Server
- Azure PostgreSQL-Einzelserver
- PostgreSQL flexibler Server
- Azure MariaDB-Einzelserver
- Synapse-Arbeitsbereich
AWS:
- RDS-instanz
Hinweis
- Expositionsregeln, die 0.0.0.0/0 enthalten, werden als „übermäßige Offenlegung“betrachtet, was bedeutet, dass auf sie von jeder öffentlichen IP-Adresse aus zugegriffen werden kann.
- Auf Azure-Ressourcen mit der Gefährdungsregel „0.0.0.0“ kann von jeder Ressource in Azure (unabhängig vom Mandanten oder Abonnement) zugegriffen werden.
Nächster Schritt
Aktivieren der Sicherheitsstatusverwaltung.