Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender für Cloud erfasst und verarbeitet sicherheitsbezogene Daten (einschließlich Konfigurationsinformationen, Metadaten, Ereignisprotokolle und Ähnliches), um Kunden bei der Vermeidung, Erkennung und Behandlung von Bedrohungen zu unterstützen. Microsoft hält strenge Compliance- und Sicherheitsrichtlinien ein – angefangen bei der Codierung bis hin zum Betreiben von Diensten.
In diesem Artikel erfahren Sie, wie Daten in Defender für Cloud verwaltet und geschützt werden.
Datenquellen
Defender für Cloud analysiert Daten aus den folgenden Quellen, um über den Sicherheitsstatus zu informieren, Sicherheitslücken zu identifizieren, Gegenmaßnahmen zu empfehlen und aktive Bedrohungen zu erkennen:
Azure-Dienste: Verwendet Informationen zur Konfiguration von Azure-Diensten, die Sie bereitgestellt haben. Hierzu wird mit dem Ressourcenanbieter des Diensts kommuniziert. Für Azure AI-Ressourcen umfasst dies KI-Eingabeaufforderungen und -antworten.
Netzwerkdatenverkehr: Verwendet Metadatenstichproben des Netzwerkdatenverkehrs aus der Infrastruktur von Microsoft wie etwa Quelle/Ziel, IP/Port, Paketgröße und Netzwerkprotokoll.
Partnerlösungen: Verwendet Sicherheitswarnungen von integrierten Partnerlösungen (beispielsweise Firewalls und Antischadsoftwarelösungen).
Ihre Computer: Verwendet Konfigurationsdetails und Informationen zu sicherheitsrelevanten Ereignissen, beispielsweise Ereignis- und -Überwachungsprotokolle unter Windows und Syslog-Nachrichten von Ihren Computern.
Datenfreigabe
Wenn Sie die Malwareüberprüfung von Defender for Storage aktivieren, werden möglicherweise Metadaten, einschließlich als Kundendaten (z. B. SHA-256-Hash) klassifiziere Metadaten, für Microsoft Defender for Endpoint freigegeben.
Microsoft Defender for Cloud mit dem Plan Defender for Cloud Security Posture Management (CSPM) teilt Daten, die in Microsoft Security Exposure Management-Empfehlungen integriert sind.
Hinweis
Microsoft Security Exposure Management befindet sich derzeit in der öffentlichen Vorschau.
Datenschutz
Trennung von Daten
Daten werden für jede Komponente des Diensts logisch getrennt verwaltet. Sämtliche Daten werden nach Organisation gekennzeichnet. Diese Kennzeichnung wird während des gesamten Datenlebenszyklus aufrechterhalten und auf jeder Ebene des Diensts erzwungen.
Datenzugriff
Um Sicherheitsempfehlungen bereitzustellen und potenzielle Sicherheitsbedrohungen zu untersuchen, greifen Microsoft-Mitarbeiter möglicherweise auf Von Azure-Diensten gesammelte oder analysierte Informationen zu, einschließlich Prozesserstellungsereignissen, KI-Eingabeaufforderungen und anderen Artefakten, die unbeabsichtigt Kundendaten oder personenbezogene Daten von Ihren Computern enthalten können.
Wir halten uns an den Microsoft Online Services-Nachtrag zum Schutz von Daten, welcher besagt, dass Microsoft keine Kundendaten verwenden oder aus ihnen Informationen für Werbung oder ähnliche kommerzielle Zwecke ableiten wird. Wir verwenden Kundendaten nur, wenn dies für die Bereitstellung Ihrer Azure-Dienste erforderlich ist. Dies gilt auch für Zwecke, die mit der Bereitstellung dieser Dienste kompatibel sind. Alle Rechte an den Kundendaten verbleiben bei Ihnen.
Datennutzung
Microsoft nutzt mandantenübergreifende Muster und Informationen zu Bedrohungen (Threat Intelligence), um die Funktionen für Prävention und Erkennung zu verbessern. Dies erfolgt in Übereinstimmung mit den in unserer Datenschutzerklärung beschriebenen Datenschutzzusagen.
Microsoft Defender für Cloud verwendet keine Kundendaten, um KI-Modelle ohne Zustimmung des Benutzers zu trainieren. Gemäß den Microsoft-Produktbedingungen: Microsoft Defender für Cloud- oder Microsoft Generative AI-Dienste verwenden Kundendaten nicht, um ein generatives KI-Foundation-Modell zu trainieren, es sei denn, gemäß den dokumentierten Anweisungen des Kunden.
Verwalten der Datensammlung von Maschinen
Wenn Sie Defender für Cloud in Azure aktivieren, wird die Datensammlung für alle Ihre Azure-Abonnements aktiviert. Sie können die Datensammlung für Ihre Abonnements auch in Defender für Cloud aktivieren. Wenn die Datensammlung aktiviert ist, stellt Defender für Cloud den Log Analytics-Agent auf allen vorhandenen unterstützten virtuellen Azure-Computern sowie auf allen neuen virtuellen Computern bereit, die erstellt werden.
Der Log Analytics-Agent sucht in ETW-Ablaufverfolgungen (Event Tracing for Windows, Ereignisablaufverfolgung für Windows) nach verschiedenen sicherheitsbezogenen Konfigurationen und Ereignissen. Darüber hinaus löst das Betriebssystem während der Ausführung des Computers Ereignisprotokollereignisse aus. Beispiele für Daten dieser Art: Betriebssystemtyp und -version, Betriebssystemprotokolle (Windows-Ereignisprotokolle), ausgeführte Prozesse, Computername, IP-Adressen, angemeldeter Benutzer und Mandanten-ID. Der Log Analytics-Agent liest Ereignisprotokolleinträge und ETW-Ablaufverfolgungen und kopiert diese zur Analyse in Ihren Arbeitsbereich bzw. in Ihre Arbeitsbereiche. Der Log Analytics-Agent ermöglicht auch Prozesserstellungsereignisse und die Befehlszeilenüberwachung.
Wenn Sie die erweiterten Sicherheitsfeatures von Microsoft Defender für Cloud nicht verwenden, können Sie die Datensammlung von virtuellen Computern auch in der Sicherheitsrichtlinie deaktivieren. Die Datensammlung ist für Abonnements erforderlich, die durch die erweiterten Sicherheitsfeatures geschützt werden. Momentaufnahmen von VM-Datenträgern sowie die Artefaktsammlung sind auch bei deaktivierter Datensammlung aktiviert.
Sie können den Arbeitsbereich und die Region angeben, in dem bzw. der die von Ihren Computern gesammelten Daten gespeichert werden. Standardmäßig werden auf Ihren Computern gesammelte Daten im nächstgelegenen Arbeitsbereich gespeichert, wie in der folgenden Tabelle gezeigt:
| Geografischer Raum VM | Geografischer Raum Arbeitsbereich |
|---|---|
| USA, Brasilien, Südafrika | USA |
| Canada | Canada |
| Europa (außer Vereinigtes Königreich) | Europa |
| United Kingdom | United Kingdom |
| Asien (außer Indien, Japan, Südkorea, China) | Asien-Pazifik |
| Korea | Asien-Pazifik |
| Indien | Indien |
| Japan | Japan |
| China | China |
| Australien | Australien |
Hinweis
Microsoft Defender für Storage speichert Artefakte entsprechend dem Standort der verknüpften Azure-Ressource regional. Weitere Informationen erhalten Sie unter Übersicht über Microsoft Defender für Storage.
Nutzung der Daten
Kunden können auf Daten im Zusammenhang mit Defender für Cloud über die folgenden Datenströme zugreifen:
| Stream | Datentypen |
|---|---|
| Azure-Aktivitätsprotokoll | Alle Sicherheitswarnhinweise, genehmigte Defender for Cloud Just-in-Time-Zugriffsanfragen. |
| Azure Monitor-Protokolle | Alle Sicherheitswarnungen |
| Azure Resource Graph | Sicherheitswarnungen, Sicherheitsempfehlungen, Ergebnisse der Sicherheitsrisikobewertung, sichere Bewertungsinformationen, Status von Konformitätsprüfungen und mehr |
| Microsoft Defender für Cloud-REST-API | Sicherheitswarnungen, Sicherheitsempfehlungen und vieles mehr |
Hinweis
Wenn keine Defender-Pläne für das Abonnement aktiviert sind, werden Daten nach 30 Tagen Inaktivität im Microsoft Defender for Cloud-Portal aus Azure Resource Graph entfernt. Nach der Interaktion mit Artefakten im Portal für das Abonnement sollten die Daten innerhalb von 24 Stunden wieder sichtbar sein.
Beibehaltung von Daten
Wenn der Cloudsicherheitsgraph Daten aus Azure- und Multi-Cloud-Umgebungen und anderen Datenquellen sammelt, werden die Daten für einen Zeitraum von 14 Tagen aufbewahrt. Nach 14 Tagen werden die Daten gelöscht.
Berechnete Daten, z. B. Angriffspfade, können für weitere 14 Tage aufbewahrt werden. Berechnete Daten bestehen aus Daten, die aus den in der Umgebung gesammelten Rohdaten abgeleitet werden. Beispielsweise wird der Angriffspfad von den Rohdaten abgeleitet, die in der Umgebung gesammelt werden.
Diese Informationen werden gemäß den in unserer Datenschutzerklärungbeschriebenen Datenschutzverpflichtungen gesammelt.
Defender for Cloud KI-Bedrohungsschutzplan umfasst das Speichern von Eingabeaufforderungen und Modellantworten der geschützten Abonnements. Die Daten werden sicher gespeichert und zur Mustererkennung und Anomalieerkennung aufbewahrt und für eine Dauer von 30 Tagen gespeichert.
Defender for Cloud- und Microsoft Defender 365 Defender-Integration
Wenn Sie einen der kostenpflichtigen Pläne von Defender for Cloud aktivieren, erhalten Sie automatisch alle Vorteile von Microsoft Defender XDR. Informationen aus Defender for Cloud werden mit Microsoft Defender XDR geteilt. Diese Daten könnten Kundendaten enthalten und werden gemäß den Microsoft 365-Richtlinien zur Datenverarbeitung gespeichert.