Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Seite enthält Informationen zu Features, Fixes und Veralteten, die älter als sechs Monate sind. Informationen zu den neuesten Updates finden Sie unter What's new in Defender for Cloud?.
Juni 2025
| Date | Category | Update |
|---|---|---|
| 30. Juni | Preview | Defender für Container-DNS-Erkennungen basierend auf Helm (Preview) |
| 25. Juni | Preview | Optionale Indextags zum Speichern von Schadsoftwarescanergebnissen (Vorschau) |
| 25. Juni | Preview | API-Ermittlung und Sicherheitsstatus für APIs, die in Funktions-Apps und Logik-Apps gehostet werden (Vorschau) |
| 25. Juni | Preview | Agentlose Dateiintegritätsüberwachung (Vorschau) |
| 18. Juni | Preview | Agentless Code scanning – GitHub unterstützungs- und anpassbare Abdeckung jetzt verfügbar (Vorschau) |
Defender für Container-DNS-Erkennungen basierend auf Helm (Vorschau)
Angebotsumfang:
Helmbasierte Bereitstellungsunterstützung
Anweisungen zum Einrichten und weitere Details finden Sie unter Install Defender for Containers sensor using Helm.
DNS-Bedrohungserkennungen
Verbessert die Speichereffizienz und reduziert den CPU-Verbrauch für große Clusterbereitstellungen.
Weitere Informationen finden Sie unter: Sensor for Defender for Containers Changelog.
Optionale Indextags zum Speichern von Schadsoftwarescanergebnissen (Vorschau)
25. Juni 2025
Defender für die Überprüfung auf Speichersoftware führt optionale Indextags sowohl für On-Upload- als auch für On-Demand-Scans ein. Mit dieser neuen Funktion können Benutzer auswählen, ob Ergebnisse in Blob-Indextags veröffentlicht werden sollen, wenn ein Blob gescannt wird (Standard) oder keine Indextags verwendet werden sollen. Indextags können über das Azure Portal oder über die API auf Abonnement- und Speicherkontoebene aktiviert oder deaktiviert werden.
API-Ermittlung und Sicherheitsstatus für APIs, die in Funktions-Apps und Logik-Apps gehostet werden (Vorschau)
25. Juni 2025
Defender for Cloud erweitert nun die Funktionen für API-Ermittlung und Sicherheitsstatus, um APIs einzuschließen, die in Azure-Funktions-Apps und Logic Apps gehostet werden, zusätzlich zur vorhandenen Unterstützung für apIs, die in Azure API Management veröffentlicht wurden.
Diese Erweiterung ermöglicht Sicherheitsteams eine umfassende und fortlaufend aktualisierte Ansicht der API-Angriffsfläche ihrer Organisation. Wichtige Funktionen sind:
- Centralized API Inventory: Automatisches Ermitteln und Katalogen von APIs für unterstützte Azure Dienste.
- Sicherheitsrisikobewertungen: Identifizieren und Priorisieren von Risiken, einschließlich der Identifizierung ruhender APIs, die eine Entfernung rechtfertigen können, sowie unverschlüsselte APIs, die vertrauliche Daten verfügbar machen könnten.
Diese Funktionen sind automatisch verfügbar für alle Defender for Cloud Security Posture Management (DCSPM) Kunden, die die Erweiterung API Security Posture Management aktiviert haben.
Rolloutzeitachse: Der Rollout dieser Updates beginnt am 25. Juni 2025 und wird voraussichtlich alle unterstützten Regionen innerhalb einer Woche erreichen.
Agentlose Dateiintegritätsüberwachung (Vorschau)
25. Juni 2025
Das agentenlose File-Integrity-Monitoring (FIM) ist jetzt als Vorschau verfügbar. Diese Funktion ergänzt die allgemein verfügbare FIM-Lösung basierend auf dem Microsoft Defender for Endpoint-Agent und führt Unterstützung für die benutzerdefinierte Datei- und Registrierungsüberwachung ein.
Mit agentlosen FIM können Organisationen Datei- und Registrierungsänderungen in ihrer gesamten Umgebung überwachen, ohne andere Agents bereitzustellen. Es bietet eine einfache, skalierbare Alternative, während die Kompatibilität mit der vorhandenen agentbasierten Lösung beibehalten wird.
Wichtige Funktionen sind:
- Benutzerdefinierte Überwachung: Erfüllen Sie bestimmte Compliance- und Sicherheitsanforderungen, indem Sie benutzerdefinierte Dateipfade und Registrierungsschlüssel definieren und überwachen.
- Einheitliche Erfahrung: Ereignisse aus agentlosen und MDE-basierten FIM werden in derselben Arbeitsbereichstabelle mit klaren Quellindikatoren gespeichert.
Weitere Informationen zur Dateiintegritätsüberwachung und zum Aktivieren der Dateiintegritätsüberwachung.
Agentlose Codeüberprüfung – GitHub Unterstützung und anpassbare Abdeckung jetzt verfügbar (Vorschau)
18. Juni 2025
Wir haben das Feature zum Scannen von agentlosen Code aktualisiert, um wichtige Funktionen einzuschließen, die sowohl die Abdeckung als auch die Kontrolle erweitern. Zu diesen Updates gehören:
- Unterstützung für GitHub Repositorys zusätzlich zu Azure DevOps
- Anpassbare Scannerauswahl – Wählen Sie aus, welche Tools (z. B. Bandit, Checkov, ESLint) ausgeführt werden sollen.
- Granulare Bereichskonfiguration – Einschließen oder Ausschließen bestimmter Organisationen, Projekte oder Repositorys
Der Code-Scan ohne Agents ermöglicht skalierbare Sicherheitsüberprüfungen für Code und Infrastruktur-as-Code (IaC) ohne Änderungen an CI/CD-Pipelines. Es hilft Sicherheitsteams, Schwachstellen und Fehlkonfigurationen zu erkennen, ohne Entwicklerworkflows zu unterbrechen.
Erfahren Sie mehr über configuring agentless code scanning in Azure DevOps oder GitHub.
Mai 2025
| Date | Category | Update |
|---|---|---|
| 28. Mai | GA | General Availability for Customizeable On-Upload Malware Scanning Filters in Defender for Storage |
| Mai 5 | Preview | Aktiver Benutzer (öffentliche Vorschau) |
| 1. Mai | GA | Generale Verfügbarkeit für Defender for AI Services |
| 1. Mai | GA | |
| 1. Mai | GA | Dashboard für allgemeine Verfügbarkeitsdaten und KI-Sicherheit |
| 1. Mai | Bevorstehende Änderung | Defender CSPM startet die Abrechnung für Azure Database for MySQL Flexible Server- und Azure Database for PostgreSQL flexible Serverressourcen |
Allgemeine Verfügbarkeit für anpassbare On-Upload-Malware-Scanfilter in Defender für Speicher
28. Mai 2025
Die Schadsoftwareüberprüfung beim Hochladen unterstützt jetzt anpassbare Filter. Benutzer können Ausschlussregeln für On-Upload-Schadsoftwareüberprüfungen basierend auf Blobpfadpräfixen, Suffixen und nach Blobgröße festlegen. Durch Ausschließen bestimmter BLOB-Pfade und Typen, z. B. Protokolle oder temporäre Dateien, können Sie unnötige Scans vermeiden und Kosten senken.
Erfahren Sie, wie Sie anpassbare Filter zum Scannen von Schadsoftware beim Hochladen konfigurieren.
Aktiver Benutzer (öffentliche Vorschau)
Das Feature "Aktiver Benutzer" unterstützt Sicherheitsadministratoren bei der schnellen Identifizierung und Zuweisung von Empfehlungen für die relevantesten Benutzer basierend auf der letzten Aktivität der Steuerungsebene. Für jede Empfehlung werden bis zu drei potenzielle aktive Benutzer auf Ressourcen-, Ressourcengruppen- oder Abonnementebene vorgeschlagen. Administratoren können einen Benutzer aus der Liste auswählen, die Empfehlung zuweisen und ein Fälligkeitsdatum festlegen , wodurch eine Benachrichtigung an den zugewiesenen Benutzer ausgelöst wird. Dadurch werden Wartungsworkflows optimiert, die Untersuchungszeit reduziert und die Gesamtsicherheitslage gestärkt.
Allgemeine Verfügbarkeit für Defender for AI Services
1. Mai 2025
Defender for Cloud unterstützt jetzt Laufzeitschutz für Azure KI Services (zuvor als Bedrohungsschutz für KI-Workloads bezeichnet).
Der Schutz für Azure KI Services umfasst Bedrohungen speziell für KI-Dienste und -Anwendungen, wie Jailbreak, Brieftaschenmissbrauch, Datenexposition, verdächtige Zugriffsmuster und vieles mehr. Die Erkennungen verwenden Signale von Microsoft Threat Intelligence und Azure AI Prompt Shields und wenden maschinelles Lernen und KI an, um Ihre KI-Dienste zu schützen.
Erfahren Sie mehr über Defender for AI Services.
Microsoft Security Copilot ist jetzt allgemein verfügbar in Defender for Cloud
1. Mai 2025
Microsoft Security Copilot ist jetzt allgemein in Defender for Cloud verfügbar.
Security Copilot beschleunigt die Risikobehebung für Sicherheitsteams und erleichtert Administratoren die Bewältigung von Cloudrisiken. Sie bietet KI-generierte Zusammenfassungen, Wartungsaktionen und Delegierungs-E-Mails, die Benutzer durch jeden Schritt des Risikominderungsprozesses führen.
Sicherheitsadministratoren können empfehlungen schnell zusammenfassen, Wartungsskripts generieren und Aufgaben per E-Mail an Ressourcenbesitzer delegieren. Diese Funktionen reduzieren die Untersuchungszeit, helfen Sicherheitsteams, Risiken im Kontext zu verstehen und Ressourcen für schnelle Korrekturen zu identifizieren.
Erfahren Sie mehr über Microsoft Security Copilot in Defender for Cloud.
Dashboard für allgemeine Verfügbarkeitsdaten und KI-Sicherheit
1. Mai 2025
Defender for Cloud verbessert das Datensicherheitsdashboard, um KI-Sicherheit mit dem neuen Daten- und KI-Sicherheitsdashboard in GA einzuschließen. Das Dashboard bietet eine zentrale Plattform zum Überwachen und Verwalten von Daten und KI-Ressourcen sowie der damit verbundenen Risiken und dem Schutzstatus.
Zu den wichtigsten Vorteilen des Daten- und KI-Sicherheitsdashboards gehören:
- Einheitliche Ansicht: Erhalten Sie einen umfassenden Überblick über alle Organisationsdaten und KI-Ressourcen.
- Datenerkenntnisse: Erfahren Sie mehr zum Speicherort Ihrer Daten und zu den Ressourcentypen, die sie enthalten.
- Schutzabdeckung: Bewerten Sie die Schutzabdeckung Ihrer Daten und KI-Ressourcen.
- Kritische Probleme: Heben Sie basierend auf Empfehlungen mit hohem Schweregrad, Warnungen und Angriffspfaden Ressourcen hervor, die sofortige Aufmerksamkeit erfordern.
- Ermittlung vertraulicher Daten: Suchen Sie in Ihren Cloud- und KI-Ressourcen Ressourcen vertraulicher Daten, und fassen Sie diese zusammen.
- KI-Workloads: Entdecken Sie den Speicherbedarf von KI-Anwendungen, einschließlich Diensten, Containern, Datensätzen und Modellen.
Weitere Informationen finden Sie unter Dashboard „Daten- und KI-Sicherheit“.
Defender CSPM beginnt mit der Abrechnung für Azure Database for MySQL Flexible Server und Azure Database for PostgreSQL Flexible Server-Ressourcen
1. Mai 2025
Geschätztes Datum für Änderung: Juni 2025
Ab dem 1. Juni 2025 beginnt Microsoft Defender CSPM mit der Abrechnung für Azure Database for MySQL Flexible Server und Azure Database for PostgreSQL Flexible Serverressourcen in Ihrem Abonnement. Defender CSPM ist aktiviert. Diese Ressourcen sind bereits durch Defender CSPM geschützt, und es ist keine Benutzeraktion erforderlich. Nach dem Beginn der Abrechnung kann Ihre Rechnung erhöht werden.
Weitere Informationen finden Sie unter CSPM-Planpreise
der April 2025
| Date | Category | Update |
|---|---|---|
| 29. April | Preview | KI-Haltungsverwaltung in GCP Vertex AI (Preview) |
| 29. April | Preview | Defender for Cloud Integration mit Mend.io (Vorschau) |
| 29. April | Change | Updated GitHub Anwendungsberechtigungen |
| 28. April | Change | Update to Defender for SQL servers on Machines plan |
| 27. April | GA | Neue Standardkappe für die Überprüfung von Schadsoftware beim Hochladen in Microsoft Defender für Speicher |
| 24. April | GA | General Availability of API Security Posture Management native Integration in Defender CSPM Plan |
| 7. April | Bevorstehende Änderung | Enhancements für Defender für App-Dienstbenachrichtigungen |
KI-Haltungsverwaltung in GCP Vertex AI (Preview)
29. April 2025
die KI-Sicherheitsstatusverwaltungsfeatures von Defender for Cloud unterstützen jetzt KI-Workloads in der Google Cloud Platform (GCP) Vertex AI (Vorschau).
Zu den wichtigsten Features dieser Version gehören:
- Entdeckung von modernen KI-Anwendungen: Automatisches Ermitteln und Katalogisieren von KI-Anwendungskomponenten, Daten und KI-Artefakten, die in GCP Vertex AI bereitgestellt werden.
- Stärkung der Sicherheitslage: Erkennen Sie Fehlkonfigurationen, und erhalten Sie integrierte Empfehlungen und Abhilfemaßnahmen, um den Sicherheitsstatus Ihrer KI-Anwendungen zu verbessern.
- Angriffspfadanalyse: Identifizieren und Beheben von Risiken mithilfe erweiterter Angriffspfadanalyse, um Ihre KI-Workloads vor potenziellen Bedrohungen zu schützen.
Diese Features sind darauf ausgelegt, umfassende Sichtbarkeit, Fehlkonfigurationserkennung und Härtung für KI-Ressourcen bereitzustellen, um eine Verringerung der Risiken für KI-Workloads sicherzustellen, die auf der GCP-Vertex-KI-Plattform entwickelt wurden.
Erfahren Sie mehr über die KI-Sicherheitsstatusverwaltung.
Defender for Cloud Integration mit Mend.io (Vorschau)
29. April 2025
Defender for Cloud ist jetzt in der Vorschau in Mend.io integriert. Diese Integration verbessert die Sicherheit von Softwareanwendungen, indem Sicherheitsrisiken in Partnerabhängigkeiten identifiziert und beseitigt werden. Diese Integration optimiert Ermittlungs- und Korrekturprozesse, um die Gesamtsicherheit zu verbessern.
Erfahren Sie mehr über die Mend.io Integration.
Aktualisierung von anwendungsberechtigungen GitHub
29. April 2025
GitHub Connectors in Defender for Cloud werden aktualisiert, um Administratorberechtigungen für [Benutzerdefinierte Eigenschaften] einzuschließen. Diese Berechtigung wird verwendet, um neue Kontextisierungsfunktionen bereitzustellen und ist auf die Verwaltung des benutzerdefinierten Eigenschaftenschemas festgelegt. Berechtigungen können auf zwei verschiedene Arten erteilt werden:
Navigieren Sie in Ihrer GitHub Organisation zu den Microsoft Security DevOps-Anwendungen in Settings > GitHub Apps und akzeptieren Sie die Berechtigungsanforderung.
Wählen Sie in einer automatisierten E-Mail von GitHub Support Berechtigungsanforderung aus, um diese Änderung anzunehmen oder abzulehnen.
Hinweis: Vorhandene Connectors funktionieren weiterhin ohne die neue Funktionalität, wenn die oben genannte Aktion nicht ausgeführt wird.
Aktualisieren auf Defender für SQL-Server im Computerplan
28. April 2025
Die Defender für SQL Server auf Computerplänen in Microsoft Defender for Cloud schützt SQL Server Instanzen, die auf Azure-, AWS-, GCP- und lokalen Computern gehostet werden.
Ab heute veröffentlichen wir schrittweise eine verbesserte Agentenlösung für den Plan. Die agentbasierte Lösung beseitigt die Notwendigkeit, den Azure Monitor Agent (AMA) bereitzustellen, und verwendet stattdessen die vorhandene SQL-Infrastruktur. Die Lösung wurde entwickelt, um die Onboardingprozesse zu vereinfachen und die Schutzabdeckung zu verbessern.
Erforderliche Kundenaktionen:
Update-Defender für SQL Server auf Computerplankonfiguration: Kunden, die Defender für SQL Server auf Computerplänen aktiviert haben, müssen diese Anweisungen befolgen, um ihre Konfiguration nach der erweiterten Agent-Version zu aktualisieren.
Verify SQL Server Instanzschutzstatus: Mit einem geschätzten Anfangstermin vom Mai 2025 müssen Kunden den Schutzstatus ihrer SQL Server Instanzen in ihren Umgebungen überprüfen. Erfahren Sie, wie Sie alle Bereitstellungsprobleme troubleshooting für SQL auf Computerkonfigurationen Defender.
Note
Nachdem das Agentupgrade ausgeführt wurde, kann es zu einer Erhöhung der Abrechnung kommen, wenn zusätzliche SQL Server Instanzen mit ihrem aktivierten Defender für SQL Server auf Computerplänen geschützt sind. Informationen zur Abrechnung finden Sie auf der Defender for Cloud Preisseite.
Neue Standardgrenze für das Scannen von Schadsoftware beim Hochladen in Microsoft Defender für Speicher
27. April 2025
Der Standardwert für die Überprüfung von Schadsoftware beim Hochladen wurde von 5.000 GB auf 10.000 GB aktualisiert. Diese neue Obergrenze gilt für die folgenden Szenarien:
Neue Abonnements: Abonnements, in denen Defender zum ersten Mal aktiviert ist.
Reaktivierte Abonnements: Abonnements, in denen Defender für den Speicher zuvor deaktiviert und jetzt erneut aktiviert wurde.
Wenn Defender für die Speichersoftwareüberprüfung für diese Abonnements aktiviert ist, wird die Standardgrenze für die Überprüfung von Schadsoftware beim Hochladen auf 10.000 GB festgelegt. Diese Kappe ist anpassbar, um Ihren spezifischen Anforderungen gerecht zu werden.
Ausführlichere Informationen finden Sie im Abschnitt zum Scannen von Schadsoftware – Abrechnung pro GB, monatliches Kappen und Konfiguration
Allgemeine Verfügbarkeit der systemeigenen Integration von API Security Posture Management in Defender CSPM Plan
24. April 2025
Api Security Posture Management ist jetzt im Rahmen des Defender CSPM Plans allgemein verfügbar. Diese Version führt eine einheitliche Bestandsaufnahme Ihrer APIs zusammen mit Haltungserkenntnissen ein und hilft Ihnen, API-Risiken effektiver aus Ihrem Defender CSPM-Plan zu identifizieren und zu priorisieren. Sie können diese Funktion über die Seite "Umgebungseinstellungen" aktivieren, indem Sie die Erweiterung "API-Sicherheitsstatus" aktivieren.
Mit diesem Update wurden neue Risikofaktoren hinzugefügt, einschließlich Risikofaktoren für nicht authentifizierte APIs (AllowsAnonymousAccess) und APIs ohne Verschlüsselung (unverschlüsseltAccess). Darüber hinaus ermöglichen apIs, die über Azure API Management veröffentlicht wurden, jetzt die Zuordnung zu allen verbundenen Kubernetes Ingresses und VMs, die umfassende Einblicke in DIE API-Exposition bieten und die Risikobehebung durch die Analyse des Angriffspfads unterstützen.
Verbesserungen für Defender für App-Dienstbenachrichtigungen
7. April 2025
Am 30. April 2025 werden Defender für App Service-Benachrichtigungsfunktionen erweitert. Wir fügen Warnungen für verdächtige Codeausführungen und den Zugriff auf interne oder Remoteendpunkte hinzu. Darüber hinaus haben wir die Abdeckung verbessert und das Rauschen von relevanten Warnungen reduziert, indem wir unsere Logik erweitern und Warnungen entfernen, die unnötige Geräusche verursachten. Im Rahmen dieses Prozesses wird die Warnmeldung „Verdächtiger Aufruf eines WordPress-Designs erkannt“ veraltet sein.
März 2025
Erweiterter Containerschutz mit Sicherheitsrisikobewertung und Schadsoftwareerkennung für AKS-Knoten ist jetzt allgemein verfügbar
30. März 2025
Defender for Cloud bietet jetzt eine Sicherheitsrisikobewertung und Schadsoftwareerkennung für die Knoten in Azure Kubernetes Service (AKS) als GA. Durch die Bereitstellung von Sicherheitsschutz für diese Kubernetes-Knoten können Kunden Sicherheit und Compliance über den verwalteten Kubernetes-Dienst hinweg verwalten und ihren Teil in der gemeinsamen Sicherheitsverantwortung verstehen, die sie mit dem verwalteten Cloudanbieter haben. Um die neuen Funktionen zu erhalten, müssen Sie das Agentless-Scannen auf Computer" im Rahmen von Defender CSPM, Defender für Container oder Defender für Server P2-Plan in Ihrem Abonnement aktivieren.
Sicherheitsrisikobewertung
Eine neue Empfehlung steht jetzt im Azure Portal zur Verfügung: AKS-Knoten sollten Sicherheitsrisiken behoben haben. Mithilfe dieser Empfehlung können Sie nun Sicherheitsrisiken und CVEs überprüfen und beheben, die auf Azure Kubernetes Service (AKS) Knoten gefunden wurden.
Malware-Erkennung
Neue Sicherheitswarnungen werden ausgelöst, wenn die agentlose Schadsoftwareerkennungsfunktion Schadsoftware in AKS-Knoten erkennt. Die Erkennung von agentloser Schadsoftware verwendet das Microsoft Defender Antivirus-Antischadsoftwaremodul, um schädliche Dateien zu scannen und zu erkennen. Wenn Bedrohungen erkannt werden, werden Sicherheitswarnungen in Defender for Cloud und Defender XDR geleitet, wo sie untersucht und behoben werden können.
Note: Schadsoftwareerkennung für AKS-Knoten ist nur für Defender für Container oder Defender für Server P2-aktivierte Umgebungen verfügbar.
Eingeschränkte Kubernetes-Bereitstellung (Preview)
27. März 2025
Wir führen das Feature kubernetes gated deployment (Preview) in den Defender für Container-Plan ein. Die Kubernetes-gestützte Bereitstellung ist ein Mechanismus zur Verbesserung der Sicherheit von Kubernetes, indem die Bereitstellung von Containerimages kontrolliert wird, die gegen die Sicherheitsrichtlinien der Organisation verstoßen.
Diese Funktion basiert auf zwei neuen Funktionen:
- Artefakt für gefundene Sicherheitsrisiken: Generierung von Ergebnissen für jedes Containerimage, das auf Sicherheitsrisiken überprüft wurde.
- Sicherheitsregeln: Hinzufügen von Sicherheitsregeln zum Warnen oder Verhindern der Bereitstellung anfälliger Containerimages in Kubernetes-Clustern.
Angepasste Sicherheitsregeln: Kunden können Sicherheitsregeln für verschiedene Umgebungen, für Kubernetes-Cluster innerhalb ihrer Organisation oder für Namespaces anpassen, um Sicherheitskontrollen zu ermöglichen, die auf bestimmte Anforderungen und Complianceanforderungen zugeschnitten sind.
Konfigurierbare Aktionen für eine Sicherheitsregel:
Überwachung: Durch den Versuch, ein anfälliges Containerimage bereitzustellen, wird eine "Überwachung"-Aktion ausgelöst, wodurch eine Empfehlung mit Vertragsverletzungsdetails für das Containerimage generiert wird.
Verweigern: Beim Versuch, ein anfälliges Containerimage bereitzustellen, wird eine "Verweigern"-Aktion ausgelöst, um die Bereitstellung des Containerimages zu verhindern und sicherzustellen, dass nur sichere und kompatible Images bereitgestellt werden.
End-to-End-Sicherheit: Mit der Definition des Schutzes vor der Bereitstellung anfälliger Containerimages als erste Sicherheitsregel führen wir den End-to-End-Kubernetes-Sicherheitsmechanismus ein, um zu gewährleisten, dass anfällige Container nicht in die Kubernetes-Umgebung des Kunden gelangen.
Weitere Informationen zu diesem Feature finden Sie in der Übersicht über die Gated-Bereitstellungslösung.
Anpassbare Filter zum Scannen von Schadsoftware beim Hochladen in Defender für Speicher (Vorschau)
27. März 2025
Die Schadsoftwareüberprüfung beim Hochladen unterstützt jetzt anpassbare Filter. Benutzer können Ausschlussregeln für On-Upload-Schadsoftwareüberprüfungen basierend auf Blobpfadpräfixen, Suffixen und nach Blobgröße festlegen. Durch Ausschließen bestimmter BLOB-Pfade und Typen, z. B. Protokolle oder temporäre Dateien, können Sie unnötige Scans vermeiden und Kosten senken.
Erfahren Sie, wie Sie anpassbare Filter zum Scannen von Schadsoftware beim Hochladen konfigurieren.
Allgemeine Verfügbarkeit für agentlose VM-Scanunterstützung für CMK in Azure
26. März 2025
Agentlose Überprüfung auf Azure VMs mit CMK-verschlüsselten Datenträgern ist jetzt allgemein verfügbar. Sowohl der Defender CSPM-Plan als auch die Defender für Server P2 bieten Unterstützung für die agentlose Überprüfung auf VMs, jetzt mit CMK-Unterstützung für alle Clouds
Erfahren Sie, wie Sie enable agentless scanning for Azure VMs with CMK encrypted disks.
Bevorstehende Änderung an den Schweregraden der Empfehlung
11. März 2025
Wir verbessern die Schweregrad der Empfehlungen, um die Risikobewertung und Priorisierung zu verbessern. Im Rahmen dieses Updates haben wir alle Schweregradklassifizierungen neu bewertet und eine neue Stufe eingeführt – kritisch. Zuvor wurden Empfehlungen in drei Ebenen unterteilt: Niedrig, Mittel und Hoch. Mit diesem Update gibt es jetzt vier verschiedene Ebenen: Niedrig, Mittel, Hoch und Kritisch, die eine präzisere Risikobewertung bieten, um Kunden dabei zu helfen, sich auf die dringendsten Sicherheitsprobleme zu konzentrieren.
Kunden bemerken daher möglicherweise Änderungen im Schweregrad vorhandener Empfehlungen. Darüber hinaus kann die Risikobewertung, die nur für Defender CSPM Kunden verfügbar ist, ebenfalls betroffen sein, da sowohl der Schweregrad der Empfehlung als auch der Vermögenskontext berücksichtigt werden. Diese Anpassungen könnten sich auf das Gesamtrisikoniveau auswirken.
Die projizierte Änderung findet am 25. März 2025 statt.
Allgemeine Verfügbarkeit der Dateiintegritätsüberwachung (FIM) basierend auf Microsoft Defender for Endpoint in Azure Government
03. März 2025
Die Auf Microsoft Defender for Endpoint basierende Dateiintegritätsüberwachung ist nun GA in Azure Government (GCCH) als Teil von Defender für Server Plan 2.
- Erfüllen der Complianceanforderungen durch Überwachung kritischer Dateien und Registrierungen in Echtzeit sowie Überwachung der Änderungen
- Identifizieren potenzieller Sicherheitsprobleme durch Erkennen verdächtiger Änderungen an Dateiinhalten
Diese verbesserte FIM-Erfahrung ersetzt die vorhandene, die für die Deaktivierung durch die Einstellung des Log Analytics Agent (MMA) festgelegt wurde. Die FIM-Erfahrung über MMA wird bis Ende März 2023 in Azure Government unterstützt.
Mit dieser Version wird eine Produktinterne Erfahrung veröffentlicht, damit Sie Ihre FIM-Konfiguration über MMA in die neue FIM über Defender für Endpunktversion migrieren können.
Informationen zum Aktivieren von FIM über Defender für Endpunkt finden Sie unter File Integrity Monitoring using Microsoft Defender for Endpoint. Informationen zum Deaktivieren früherer Versionen und der Verwendung des Migrationstools finden Sie unter Migrieren der Dateiintegritätsüberwachung aus früheren Versionen.
Important
Die Verfügbarkeit der Dateiintegritätsüberwachung in Azure betrieben von 21Vianet und in GCCM-Clouds wird derzeit nicht unterstützt.
Februar 2025
| Date | Category | Update |
|---|---|---|
| 27. Februar | Change | Verbesserte Anzeige des AWS EC2-Ressourcennamens |
| 27. Februar | GA | On-demand Malware-Überprüfung in Microsoft Defender für Speicher |
| 27. Februar | GA | Defender für die Überprüfung von Speichersoftware auf Blobs bis zu 50 GB |
| 23. Februar | Preview | Agentenlose, von der Containerregistrierung unabhängige Sicherheitsbewertung für Laufzeitcontainer in AKS (Vorschau) |
| 23. Februar | Preview | Dashboard „Daten- und KI-Sicherheit“ (Vorschau) |
| 19. Februar | Preview | MDC-Kostenrechner (Vorschau) |
| 19. Februar | Preview | Abdeckung durch 31 neue und erweiterte Multicloudregulierungsstandards |
Verbesserte Anzeige des AWS EC2-Ressourcennamens
27. Februar 2025
Geschätztes Datum für Änderung: März 2025
Wir verbessern die Darstellung von Ressourcennamen für AWS EC2-Instanzen auf unserer Plattform. Wenn eine EC2-Instanz ein "Name"-Tag definiert hat, zeigt das Feld "Ressourcenname " nun den Wert dieses Tags an. Wenn kein "name"-Tag vorhanden ist, zeigt das Feld "Ressourcenname " weiterhin die Instanz-ID wie zuvor an. Die Ressourcen-ID steht weiterhin im Feld "Ressourcen-ID " zur Referenz zur Verfügung.
Mit dem EC2-Tag "Name" können Sie Ihre Ressourcen ganz einfach mit benutzerdefinierten, aussagekräftigen Namen anstelle von IDs identifizieren. Dadurch wird es schneller, bestimmte Instanzen zu finden und zu verwalten, wodurch die Zeit und der Aufwand für die Suche oder querverweisende Instanzdetails reduziert werden.
On-Demand-Schadsoftwareüberprüfung in Microsoft Defender für Speicher
27. Februar 2025
On-Demand Malware Scanning in Microsoft Defender für Speicher, jetzt in GA, ermöglicht das Scannen vorhandener Blobs in Azure Storage Konten bei Bedarf. Scans können über die Azure Portal-UI oder über die REST-API initiiert werden, die Automatisierung über Logik-Apps, Automatisierungs-Playbooks und PowerShell-Skripts unterstützen. Dieses Feature verwendet Microsoft Defender Antivirus mit den neuesten Schadsoftwaredefinitionen für jede Überprüfung und bietet vorab Kostenschätzungen im Azure Portal vor dem Scannen.
Anwendungsfälle:
- Reaktion auf Vorfälle: Scannen Sie bestimmte Speicherkonten nach dem Erkennen verdächtiger Aktivitäten.
- Security baseline: Scannen Sie alle gespeicherten Daten, wenn Sie Defender zum ersten Mal für den Speicher aktivieren.
- Compliance: Festlegen der Automatisierung zum Planen von Scans, die zur Einhaltung gesetzlicher und datenschutzrechtlicher Standards beitragen.
Weitere Informationen finden Sie unter Schadsoftwareüberprüfung nach Bedarf.
Defender für die Überprüfung von Schadsoftware auf Blobs von bis zu 50 GB
27. Februar 2025
Defender für die Speicher-Schadsoftwareüberprüfung unterstützt jetzt Blobs mit einer Größe von bis zu 50 GB (zuvor auf 2 GB beschränkt).
Bitte beachten Sie, dass bei Speicherkonten, bei denen große Blobs hochgeladen werden, die erhöhte Größenbeschränkung für Blobs zu höheren monatlichen Gebühren führt.
Um unerwartete hohe Gebühren zu vermeiden, sollten Sie eine entsprechende Obergrenze für die Gesamtzahl der pro Monat gescannten GB festlegen. Weitere Informationen finden Sie unter Kontrollieren der Kosten für die Schadsoftwareüberprüfung beim Hochladen.
Containerregistrierungs-unabhängige, agentenlose Bewertung von Sicherheitslücken für AKS-Laufzeitcontainer (Preview)
23. Februar 2025
Defender für Container und Defender for Cloud CsPM-Pläne (Security Posture Management) enthalten jetzt die Sicherheitsrisikobewertung für AKS-Laufzeitcontainer. Diese Erweiterung erweitert die Abdeckung der Sicherheitsrisikobewertung, um das Ausführen von Containern mit Bildern aus jeder Registrierung (nicht auf unterstützte Registrierungen beschränkt) zu umfassen, zusätzlich zum Scannen von Kubernetes-Add-Ons und Tools von Drittanbietern, die in Ihren AKS-Clustern ausgeführt werden. Um dieses Feature zu aktivieren, stellen Sie sicher, dass Agentless machine scanning in den Defender for Cloud Umgebungseinstellungen für Ihr Abonnement aktiviert ist.
Dashboard „Daten- und KI-Sicherheit“ (Vorschau)
23. Februar 2025
Defender for Cloud verbessert das Dashboard zur Datensicherheit, um KI-Sicherheit mit dem neuen Daten- und KI-Sicherheitsdashboard in der Vorschau einzuschließen. Das Dashboard bietet eine zentrale Plattform zum Überwachen und Verwalten von Daten und KI-Ressourcen sowie der damit verbundenen Risiken und dem Schutzstatus.
Wichtigste Vorteilen des Dashboards „Daten- und KI-Sicherheit“:
- Einheitliche Ansicht: Erhalten Sie einen umfassenden Überblick über alle Organisationsdaten und KI-Ressourcen.
- Datenerkenntnisse: Erfahren Sie mehr zum Speicherort Ihrer Daten und zu den Ressourcentypen, die sie enthalten.
- Schutzabdeckung: Bewerten Sie die Schutzabdeckung Ihrer Daten und KI-Ressourcen.
- Kritische Probleme: Heben Sie basierend auf Empfehlungen mit hohem Schweregrad, Warnungen und Angriffspfaden Ressourcen hervor, die sofortige Aufmerksamkeit erfordern.
- Ermittlung vertraulicher Daten: Suchen Sie in Ihren Cloud- und KI-Ressourcen Ressourcen vertraulicher Daten, und fassen Sie diese zusammen.
- KI-Workloads: Entdecken Sie den Speicherbedarf von KI-Anwendungen, einschließlich Diensten, Containern, Datensätzen und Modellen.
Weitere Informationen finden Sie unter Dashboard „Daten- und KI-Sicherheit“.
MDC-Kostenrechner (Vorschau)
19. Februar 2025
Wir freuen uns, den neuen MDC-Kostenrechner einzuführen, mit dem Sie die Kosten für den Schutz Ihrer Cloudumgebungen mühelos schätzen können. Dieses Tool ist darauf zugeschnitten, Ihnen ein klares und genaues Verständnis Ihrer Ausgaben zu bieten, damit Sie effektiv planen und die Kosten einkalkulieren können.
Gründe für die Verwendung des Kostenrechners
Der Kostenrechner vereinfacht den Prozess der Kostenschätzung dadurch, dass Sie den Umfang Ihrer Schutzanforderungen definieren können. Sie wählen die Umgebungen und Pläne aus, die Sie aktivieren möchten, und der Rechner füllt automatisch die abrechenbaren Ressourcen für jeden Plan auf, einschließlich aller anwendbaren Rabatte. Sie erhalten einen umfassenden Überblick über Ihre potenziellen Kosten ohne Überraschungen.
0:
Bereichsdefinition: Wählen Sie die Pläne und Umgebungen aus, die Sie interessieren. Der Rechner führt einen Ermittlungsprozess aus, um die Anzahl der abrechenbaren Einheiten für jeden Plan pro Umgebung automatisch aufzufüllen.
Automatische und manuelle Anpassungen: Das Tool ermöglicht die automatische Erfassung von Daten sowie manuelle Anpassungen. Sie können die Mengen- und Rabattstufen der Einheit ändern, um zu veranschaulichen, wie sich Änderungen auf die Gesamtkosten auswirken.
Umfassende Kostenschätzung: Der Rechner bietet eine Schätzung für jeden Plan und einen Bericht der Gesamtkosten. Sie erhalten eine detaillierte Aufschlüsselung der Kosten, mit der Sie Ihre Ausgaben leichter nachvollziehen und verwalten können.
Multicloud-Unterstützung: Unsere Lösung funktioniert für alle unterstützten Clouds, um sicherzustellen, dass Sie genaue Kostenschätzungen erhalten, unabhängig von Ihrem Cloudanbieter.
Exportieren und Teilen: Sobald Sie über Ihre Kostenschätzung verfügen, können Sie diese ganz einfach exportieren und für die Budgetplanung und Genehmigungen freigeben.
Abdeckung durch 31 neue und erweiterte Multicloudregulierungsstandards
19. Februar 2025
Wir freuen uns, die erweiterte Unterstützung von über 31 Sicherheits- und Regulierungsrahmen in Defender for Cloud in Azure, AWS & GCP. Diese Verbesserung vereinfacht den Weg zur Erreichung und Aufrechterhaltung der Compliance, verringert das Risiko von Datenschutzverletzungen und trägt dazu bei, Bußgelder und Rufschädigungen zu vermeiden.
Neue und erweiterte Bestimmungen:
| Standards | Clouds |
|---|---|
| EU 2022 2555 (NIS2) 2022 | Azure, AWS, GCP |
| EU-Datenschutz-Grundverordnung (DSGVO) 2016 679 | Azure, AWS, GCP |
| NIST CSF v2.0 | Azure, AWS, GCP |
| NIST 800 171 Rev3 | Azure, AWS, GCP |
| NIST SP 800 53 R5.1.1 | Azure, AWS, GCP |
| PCI-DSS v4.0.1 | Azure, AWS, GCP |
| CIS AWS Foundation v3.0.0 | AWS |
| CIS Azure Foundation v2.1.0 | Azure |
| CIS-Kontrollen v8.1 | Azure, AWS, GCP |
| CIS GCP Foundation v3.0 | GCP |
| HITRUST CSF v11.3.0 | Azure, AWS, GCP |
| SOC 2023 | Azure, AWS, GCP |
| SWIFT Customer Security Controls Framework 2024 | Azure, AWS, GCP |
| ISO IEC 27001:2022 | Azure, AWS, GCP |
| ISO IEC 27002:2022 | Azure, AWS, GCP |
| ISO IEC 27017:2015 | Azure, AWS, GCP |
| Cybersecurity Maturity Model Certification (CMMC) Level 2 v2.0 | Azure, AWS, GCP |
| AWS Well Architected Framework 2024 | AWS |
| Canada Federal PBMM 3.2020 | Azure, AWS, GCP |
| APRA CPS 234 2019 | Azure, AWS |
| CSA Cloud Controls Matrix v4.0.12 | Azure, AWS, GCP |
| Cyber Essentials v3.1 | Azure, AWS, GCP |
| Sicherheitsrichtlinie für Informationsdienste der Strafjustiz v5.9.5 | Azure, AWS, GCP |
| FFIEC CAT 2017 | Azure, AWS, GCP |
| Brasilianisches allgemeines Datenschutzgesetz (LGPD) 2018 | Azure |
| NZISM v3.7 | Azure, AWS, GCP |
| Sarbanes Oxley Act 2022 (SOX) | Azure, AWS |
| NCSC Cyber Assurance Framework (CAF) v3.2 | Azure, AWS, GCP |
Dies schließt sich den jüngsten Versionen von CIS Azure Kubernetes Service (AKS) v1.5, CIS Google Kubernetes Engine (GKE) v1.6 und CIS Amazon Elastic Kubernetes Service (EKS) v.15 von wenigen Monaten an.
Weitere Informationen zu Defender for Cloud Angebot zur Einhaltung gesetzlicher Vorschriften Learn mehr>
Januar 2025
| Date | Category | Update |
|---|---|---|
| 30. Januar | GA | Aktualisierung der Überprüfungskriterien für Containerregistrierungen |
| 29. Januar | Change | Verbesserungen beim Überprüfen der Sicherheitsrisikobewertung für Container unterstützt von MDVM |
| 27. Januar | GA | Berechtigungen zum GCP-Connector zur Unterstützung von KI-Plattformen hinzugefügt |
| 20. Januar | Change | Verbesserungen bei der Linux-Baselines-Empfehlung unterstützt von GC |
Aktualisierung der Überprüfungskriterien für Containerregistrierungen
30. Januar 2025
Wir aktualisieren eines der Scankriterien für Registrierungsbilder in der Vorschauempfehlung für Registrierungsbilder in allen Clouds und externen Registrierungen (Azure, AWS, GCP, Docker, JFrog).
Was ändert sich?
Derzeit werden Images 90 Tage lang nach dem Verschieben in eine Registrierung neu überprüft. Dies wird jetzt geändert, und die erneute Überprüfung erfolgt für einen Zeitraum von 30 Tagen zurück.
Note
Es gibt keine Änderungen bei den zugehörigen GA-Empfehlungen (allgemeine Verfügbarkeit) für die Sicherheitsrisikobewertung von Containern für Registrierungsimages.
Verbesserungen beim Überprüfen der Sicherheitsrisikobewertung für Container unterstützt von MDVM
29. Januar 2025
Wir freuen uns, mit den folgenden Updates Verbesserungen bei der Überprüfung der Sicherheitsrisikobewertung für Container bekannt zu geben:
Zusätzliche Programmiersprachen: Jetzt werden PHP, Ruby und Rust unterstützt.
Extended Java Sprachunterstützung: Umfasst das Scannen auf explodierte JARs.
Verbesserte Speicherauslastung: Optimierte Leistung beim Lesen großer Containerimagedateien.
Berechtigungen zum GCP-Connector zur Unterstützung von KI-Plattformen hinzugefügt
27. Januar 2025
Der GCP-Connector verfügt jetzt über zusätzliche Berechtigungen zur Unterstützung der GCP-KI-Plattform (Vertex AI):
- aiplatform.batchPredictionJobs.list
- aiplatform.customJobs.list
- aiplatform.datasets.list
- aiplatform.datasets.get
- aiplatform.endpoints.getIamPolicy
- aiplatform.endpoints.list
- aiplatform.indexEndpoints.list
- aiplatform.indexes.list
- aiplatform.models.list
- aiplatform.models.get
- aiplatform.pipelineJobs.list
- aiplatform.schedules.list
- aiplatform.tuningJobs.list
- discoveryengine.dataStores.list
- discoveryengine.documents.list
- discoveryengine.engines.list
- notebooks.instances.list
Verbesserungen bei der Linux-Baselines-Empfehlung unterstützt von GC
20. Januar 2025
Wir verbessern das Baselines-Feature von Linux (unterstützt von GC), um seine Genauigkeit und Abdeckung zu verbessern. Im Februar bemerken Sie möglicherweise Änderungen wie aktualisierte Regelnamen und zusätzliche Regeln. Diese Verbesserungen sollen die Baselines-Bewertung genauer und aktueller gestalten. Weitere Informationen zu den Änderungen finden Sie im entsprechenden Blog.
Einige der Änderungen können zusätzliche Änderungen in der öffentlichen Vorschau enthalten. Dieses Update bietet Ihnen Vorteile, und wir möchten Sie auf dem Laufenden halten. Wenn Sie es vorziehen, können Sie diese Empfehlung ablehnen, indem Sie sie von Ihrer Ressource ausnehmen oder die GC-Erweiterung entfernen.
Dezember 2024
| Date | Category | Update |
|---|---|---|
| 31. Dezember | GA | Änderungen am Scanintervall vorhandener Cloudconnectors |
| 22. Dezember | GA | Microsoft Defender for Endpoint Clientversionsupdate ist erforderlich, um die FiM-Erfahrung (File Integrity Monitoring) zu erhalten |
| 17. Dezember | Preview | Integrate Defender for Cloud CLI mit beliebten CI/CD-Tools |
| 10. Dezember | GA | Defender for Cloud Setup |
| 10. Dezember | GA | Intervalloptionen für Defender for Cloud Scan einer Cloudumgebung |
| 17. Dezember | GA | Sensitivity-Scanfunktionen umfassen jetzt Azure Dateifreigaben |
Änderungen am Scanintervall vorhandener Cloudconnectors
31. Dezember 2024
Anfang dieses Monats wurde ein Update veröffentlicht bezüglich der überarbeiteten Defender for Cloud Intervalloptionen zum Scannen einer Cloudumgebung. Die Einstellung des Scanintervalls bestimmt, wie oft Defender for Cloud Ermittlungsdienste Ihre Cloudressourcen scannen. Diese Änderung stellt einen ausgewogeneren Scanprozess sicher, optimiert die Leistung und minimiert das Risiko, dass API-Grenzwerte erreicht werden.
Scanintervalleinstellungen für vorhandene AWS- und GCP-Cloudconnectors werden aktualisiert, um sicherzustellen, dass Defender for Cloud ihre Cloudumgebungen scannen können.
Die folgenden Anpassungen werden vorgenommen:
- Intervalle, die derzeit auf 1–3 Stunden festgelegt sind, werden auf 4 Stunden aktualisiert.
- Intervalle, die derzeit auf 5 Stunden festgelegt sind, werden auf 6 Stunden aktualisiert.
- Intervalle, die derzeit auf 7–11 Stunden festgelegt sind, werden auf 12 Stunden aktualisiert.
- Intervalle, die derzeit auf 13 Stunden festgelegt sind, werden auf 24 Stunden aktualisiert.
Wenn Sie ein anderes Scanintervall bevorzugen, können Sie Cloudconnectors über die Seite mit den Umgebungseinstellungen anpassen. Diese Änderungen werden Anfang Februar 2025 automatisch auf alle Kunden angewendet, und es ist keine weitere Aktion erforderlich.
Funktionen für die Vertraulichkeitsüberprüfung umfassen jetzt Azure Dateifreigaben
17. Dezember 2024
Defender for Cloud-Vertraulichkeitsüberprüfungsfunktionen (Security Posture Management, CSPM) enthalten jetzt zusätzlich zu BLOB-Containern Azure Dateifreigaben in GA.
Vor diesem Update würde durch aktivieren des Defender CSPM Plans für ein Abonnement automatisch BLOB-Container in Speicherkonten auf vertrauliche Daten überprüft. Mit diesem Update enthält Defender für die Vertraulichkeitsüberprüfungsfunktion von CSPM jetzt Dateifreigaben in diesen Speicherkonten. Diese Erweiterung verbessert die Risikobewertung und den Schutz vertraulicher Speicherkonten und bietet eine umfassendere Analyse potenzieller Risiken.
Erfahren Sie mehr über die Vertraulichkeitsüberprüfung.
Integrieren Defender for Cloud CLI mit beliebten CI/CD-Tools
Defender for Cloud CLI-Scanintegration mit beliebten CI/CD-Tools in Microsoft Defender for Cloud ist jetzt für die öffentliche Vorschau verfügbar. Die CLI kann nun in CI/CD-Pipelines integriert werden, um Sicherheitsrisiken im containerisierten Quellcode zu scannen und zu identifizieren. Dieses Feature unterstützt Entwicklungsteams beim Erkennen und Beheben von Coderisiken während der Pipelineausführung. Es erfordert eine Authentifizierung zum Microsoft Defender for Cloud und Änderungen an dem Pipelineskript. Scanergebnisse werden in Microsoft Defender for Cloud hochgeladen, sodass Sicherheitsteams sie anzeigen und mit Containern in der Containerregistrierung korrelieren können. Diese Lösung bietet fortlaufende und automatisierte Erkenntnisse, um die Risikoerkennung und die entsprechende Reaktion zu beschleunigen und Sicherheit zu gewährleisten, ohne Workflows zu unterbrechen.
Anwendungsfälle:
- Pipelinescans in CI/CD-Tools: Überwachen Sie sicher alle Pipelines, die die CLI aufrufen.
- Frühe Erkennung von Sicherheitsrisiken: Ergebnisse werden in der Pipeline veröffentlicht und an Microsoft Defender for Cloud gesendet.
- Kontinuierliche Sicherheitserkenntnisse: Behalten Sie den Überblick, und reagieren Sie schnell über Entwicklungszyklen hinweg, ohne die Produktivität zu beeinträchtigen.
Weitere Informationen finden Sie unter Integrate Defender for Cloud CLI mit beliebten CI/CD-Tools.
Defender for Cloud Setupumgebung
10. Dezember 2024
Mit der Einrichtung können Sie Ihre ersten Schritte mit Microsoft Defender for Cloud starten, indem Sie Cloudumgebungen wie Cloudinfrastruktur, Coderepositorys und externe Containerregistrierungen verbinden.
Sie werden durch die Einrichtung Ihrer Cloudumgebung geführt, um Ihre Ressourcen mit erweiterten Sicherheitsplänen zu schützen, mühelos schnelle Aktionen auszuführen, um die Sicherheitsabdeckung im großen Stil zu erhöhen, sich über Konnektivitätsprobleme zu informieren und über neue Sicherheitsfunktionen benachrichtigt zu werden. Sie können über das Menü Defender for Cloud zur neuen Oberfläche navigieren, indem Sie Setup auswählen.
Überarbeitete Intervalloptionen für Defender for Cloud Scan einer Cloudumgebung
10. Dezember 2024
Die Scanintervalloptionen für Cloudconnectors, die AWS, GCP, Jfrog und DockerHub zugeordnet sind, wurden überarbeitet. Mit dem Scanintervallfeature können Sie die Häufigkeit steuern, mit der die Defender for Cloud eine Überprüfung der Cloudumgebung initiiert. Sie können das Scanintervall auf 4, 6, 12 oder 24 Stunden festlegen, wenn Sie einen Cloudconnector hinzufügen oder bearbeiten. Das standardmäßige Scanintervall für neue Connectors beträgt weiterhin 12 Stunden.
Microsoft Defender for Endpoint Aktualisierung der Clientversion ist erforderlich, um die FiM-Erfahrung (File Integrity Monitoring) zu erhalten.
Juni 2025
Ab Juni 2025 erfordert die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) mindestens Defender für die Clientversion von Endpunkt (MDE). Stellen Sie sicher, dass Sie mindestens die folgenden Clientversionen sind, um weiterhin von der FIM-Erfahrung in Microsoft Defender for Cloud profitieren zu können: für Windows: 10.8760, für Linux: 30.124082. Weitere Informationen
November 2024
Funktionen für die Vertraulichkeitsüberprüfung umfassen jetzt Azure Dateifreigaben (Vorschau)
28. November 2024
Defender for Cloud-Vertraulichkeitsüberprüfungsfunktionen (Security Posture Management, CSPM) enthalten nun zusätzlich zu Blobcontainern Azure Dateifreigaben (in der Vorschau).
Vor diesem Update würde durch aktivieren des Defender CSPM Plans für ein Abonnement automatisch BLOB-Container in Speicherkonten auf vertrauliche Daten überprüft. Mit diesem Update enthält Defender für die Vertraulichkeitsüberprüfungsfunktion von CSPM jetzt Dateifreigaben in diesen Speicherkonten. Diese Erweiterung verbessert die Risikobewertung und den Schutz vertraulicher Speicherkonten und bietet eine umfassendere Analyse potenzieller Risiken.
Erfahren Sie mehr über die Vertraulichkeitsüberprüfung.
Änderung der Zustimmung für Vertraulichkeitsbezeichnungen
26. November 2024
Sie müssen die dedizierte Zustimmungsschaltfläche nicht mehr im Abschnitt "Information Protection" auf der Seite "Bezeichnungen" auswählen, um von benutzerdefinierten Informationstypen und Vertraulichkeitsbezeichnungen zu profitieren, die im Microsoft 365 Defender-Portal oder Microsoft Purview-Portal konfiguriert sind.
Bei dieser Änderung werden alle benutzerdefinierten Informationstypen und Vertraulichkeitsbezeichnungen automatisch in das Microsoft Defender for Cloud-Portal importiert.
Informieren Sie sich ausführlicher über Vertraulichkeitseinstellungen für Daten.
Änderungen für Vertraulichkeitsbezeichnungen
26. November 2024
Bis vor kurzem Defender for Cloud alle Vertraulichkeitsbezeichnungen aus dem Microsoft 365 Defender-Portal importiert, die die folgenden beiden Bedingungen erfüllten:
- Vertraulichkeitsbezeichnungen, die ihren Bereich auf "Items -> Files" oder "Items -> E-Mails" festgelegt haben, unter dem Abschnitt "Definieren des Bereichs Ihrer Bezeichnung" im Abschnitt Information Protection.
- Für die Vertraulichkeitsbezeichnung ist eine automatische Bezeichnungsregel konfiguriert.
Seit dem 26. November 2024 wurden die Namen der Vertraulichkeitsbezeichnungsbereiche auf der Benutzeroberfläche sowohl im Microsoft 365 Defender-Portal als auch im Microsoft Purview-Portal aktualisiert. Defender for Cloud importiert jetzt nur Vertraulichkeitsbezeichnungen mit dem Bereich "Dateien und andere Datenressourcen", der auf sie angewendet wurde. Defender for Cloud keine Bezeichnungen mehr importiert, auf die der Bereich "E-Mails" angewendet wurde.
Note
Bezeichnungen, die mit „Elemente –> Dateien“ konfiguriert wurden, bevor diese Änderung erfolgte, werden automatisch in den neuen Bereich „Dateien und andere Datenressourcen“ migriert.
Erfahren Sie mehr über die Konfiguration von Vertraulichkeitsbezeichnungen.
Defender für das Scannen von Schadsoftware auf Blobs von bis zu 50 GB (Vorschau)
25 November 2024
Geschätztes Datum der Änderung: 1. Dezember 2024
Ab dem 1. Dezember 2024 Defender für die Überprüfung von Speichersoftware unterstützt Blobs mit einer Größe von bis zu 50 GB (zuvor auf 2 GB beschränkt).
Bitte beachten Sie, dass bei Speicherkonten, bei denen große Blobs hochgeladen werden, die erhöhte Größenbeschränkung für Blobs zu höheren monatlichen Gebühren führt.
Um unerwartete hohe Gebühren zu vermeiden, sollten Sie eine entsprechende Obergrenze für die Gesamtzahl der pro Monat gescannten GB festlegen. Weitere Informationen finden Sie unter Kontrollieren der Kosten für die Schadsoftwareüberprüfung beim Hochladen.
Aktualisierte Versionen von CIS-Standards für Managed Kubernetes-Umgebungen und neue Empfehlungen
19. November 2024
Defender for Cloud-Dashboard zur Einhaltung gesetzlicher Vorschriften bietet jetzt aktualisierte Versionen der Center for Internet Security (CIS)-Standards zur Bewertung des Sicherheitsstatus verwalteter Kubernetes-Umgebungen.
Im Dashboard können Sie Ihren AWS/EKS/GKE Kubernetes-Ressourcen die folgenden Standards zuweisen:
- CIS-Azure Kubernetes Service (AKS) v1.5.0
- CIS Google Kubernetes Engine (GKE) v1.6.0
- CIS Amazon Elastic Kubernetes Service (EKS) v1.5.0
Um die bestmögliche Tiefe der Abdeckung für diese Standards zu gewährleisten, haben wir unsere Abdeckung erweitert, indem wir auch 79 neue Kubernetes-zentrierte Empfehlungen veröffentlichten.
Um diese neuen Empfehlungen zu verwenden, weisen Sie entweder die oben aufgeführten Standards zu, oder erstellen Sie einen benutzerdefinierten Standard und fügen eine oder mehrere der neuen Bewertungen darin ein.
Öffentliche Vorschau von Kubernetes-Cloudprozessereignissen in der erweiterten Bedrohungssuche
Wir kündigen die Vorschauversion von Kubernetes-Cloudprozessereignissen in der erweiterten Bedrohungssuche an. Diese leistungsstarke Integration bietet detaillierte Informationen zu Kubernetes-Prozessereignissen, die in Ihren Multicloudumgebungen auftreten. Sie können es verwenden, um Bedrohungen zu erkennen, die durch Prozessdetails beobachtet werden können, z. B. bösartige Prozesse, die in Ihrer Cloudinfrastruktur aufgerufen werden. Weitere Informationen finden Sie unter CloudProcessEvents.
Einstellung des Features Bring your own License (BYOL) im Sicherheitsrisikomanagement
19. November 2024
Geschätztes Datum für die Änderung:
3. Februar 2025: Die Funktion wird für das Onboarding neuer Computer und Abonnements nicht mehr verfügbar sein.
1. Mai 2025: Die Funktion wird vollständig veraltet und nicht mehr verfügbar sein.
Im Rahmen unserer Bemühungen, die Defender for Cloud Sicherheitserfahrung zu verbessern, optimieren wir unsere Lösungen zur Sicherheitsrisikobewertung. Wir entfernen das Feature "Eigene Lizenz mitbringen" in Defender for Cloud. Sie verwenden jetzt Microsoft Security Exposure Management Connectors für eine nahtlose, integrierte und vollständige Lösung.
Es wird empfohlen, innerhalb Microsoft Security Exposure Management zur neuen Connectorlösung zu wechseln. Unser Team unterstützt Sie bei diesem Übergang.
Weitere Informationen zur Verwendung der Connectors finden Sie unter Overview of connecting data sources in Microsoft Security Exposure Management - Microsoft Security Exposure Management.
Agentlose Codeüberprüfung in Microsoft Defender for Cloud (Vorschau)
19. November 2024
Agentlose Codeüberprüfung in Microsoft Defender for Cloud ist jetzt für die öffentliche Vorschau verfügbar. Es bietet schnelle und skalierbare Sicherheit für alle Repositorys in Azure DevOps Organisationen mit einem Connector. Diese Lösung hilft Sicherheitsteams bei der Suche und Behebung von Sicherheitsrisiken in Code- und Infrastrukturkonfigurationen als Codekonfigurationen in Azure DevOps Umgebungen. Es sind keine Agents, Änderungen an Pipelines oder Unterbrechungen der Entwicklerworkflows erforderlich, was die Einrichtung und Wartung vereinfacht. Sie funktioniert unabhängig von CI/CD-Pipelines (Continuous Integration und Continuous Deployment). Die Lösung bietet fortlaufende und automatisierte Erkenntnisse, um die Risikoerkennung und die entsprechende Reaktion zu beschleunigen und Sicherheit zu gewährleisten, ohne Workflows zu unterbrechen.
Anwendungsfälle:
- Organization-wide scanning: Sie können alle Repositorys in Azure DevOps Organisationen sicher mit einem Connector überwachen.
- Frühzeitige Erkennung von Sicherheitsrisiken: Für proaktives Risikomanagement können Sie Code-und IaC-Risiken schnell identifizieren.
- Kontinuierliche Sicherheitserkenntnisse: Behalten Sie den Überblick, und reagieren Sie schnell über Entwicklungszyklen hinweg, ohne die Produktivität zu beeinträchtigen.
Weitere Informationen finden Sie unter Agentless Code scanning in Microsoft Defender for Cloud.
On-Demand-Schadsoftwareüberprüfung in Microsoft Defender für Speicher (Vorschau)
19. November 2024
On-Demand Malware-Überprüfung in Microsoft Defender für Speicher, jetzt in der öffentlichen Vorschau, ermöglicht das Scannen vorhandener Blobs in Azure Storage Konten bei Bedarf. Scans können über die Azure Portal-UI oder über die REST-API initiiert werden, die Automatisierung über Logik-Apps, Automatisierungs-Playbooks und PowerShell-Skripts unterstützen. Dieses Feature verwendet Microsoft Defender Antivirus mit den neuesten Schadsoftwaredefinitionen für jede Überprüfung und bietet vorab Kostenschätzungen im Azure Portal vor dem Scannen.
Anwendungsfälle:
- Reaktion auf Vorfälle: Scannen Sie bestimmte Speicherkonten nach dem Erkennen verdächtiger Aktivitäten.
- Security baseline: Scannen Sie alle gespeicherten Daten, wenn Sie Defender zum ersten Mal für den Speicher aktivieren.
- Compliance: Festlegen der Automatisierung zum Planen von Scans, die zur Einhaltung gesetzlicher und datenschutzrechtlicher Standards beitragen.
Weitere Informationen finden Sie unter Schadsoftwareüberprüfung nach Bedarf.
Unterstützung der JFrog Artifactory-Containerregistrierung durch Defender für Container (Vorschau)
18. November 2024
Dieses Feature erweitert Microsoft Defender für Containerabdeckung externer Registrierungen, um JFrog Artifactory einzuschließen. Ihre JFrog Artifactory-Containerimages werden mithilfe von Microsoft Defender Vulnerability Management gescannt, um Sicherheitsbedrohungen zu identifizieren und potenzielle Sicherheitsrisiken zu mindern.
KI-Sicherheitsstatusverwaltung ist jetzt allgemein verfügbar (GA).
18. November 2024
Defender for Cloud KI-Sicherheitsstatusverwaltungsfeatures sind jetzt allgemein verfügbar (GA).
Defender for Cloud reduziert das Risiko für cloudbasierte KI-Workloads durch:
Entdecken von generativen KI-Stücklisten (AI Bill of Materials, AI BOM), die Anwendungskomponenten, Daten und KI-Artefakte von Code bis Cloud umfassen.
Stärkung der Sicherheitsstrategie von generativen KI-Anwendungen durch integrierte Empfehlungen sowie das Erkunden und Beheben von Sicherheitsrisiken.
Verwenden der Angriffspfadanalyse, um Risiken zu identifizieren und zu beheben.
Erfahren Sie mehr über die KI-Sicherheitsstatusverwaltung.
Schutz kritischer Ressourcen in Microsoft Defender for Cloud
18. November 2024
Heute freuen wir uns, die allgemeine Verfügbarkeit des Schutz kritischer Ressourcen in Microsoft Defender for Cloud bekanntzugeben. Mit diesem Feature können Sicherheitsadministratoren die "Kronjuwel"-Ressourcen markieren, die für ihre Organisationen am wichtigsten sind, sodass Defender for Cloud ihnen das höchste Schutzniveau bieten und Sicherheitsprobleme für diese Ressourcen vor allem anderen priorisieren können. Erfahren Sie mehr über den Schutz kritischer Ressourcen.
Neben der Version "Allgemeine Verfügbarkeit" erweitern wir auch die Unterstützung für das Kategorisieren von Kubernetes und nicht humanen Identitätsressourcen.
Verbesserter Schutz kritischer Ressourcen für Container
18. November 2024
Schutz kritischer Ressourcen wurde erweitert, um zusätzliche Anwendungsfälle für Container zu unterstützen.
Benutzer können jetzt benutzerdefinierte Regeln erstellen, die von Kubernetes verwaltete Ressourcen (Workloads, Container usw.) basierend auf dem Kubernetes-Namespace und/oder der Kubernetes-Ressource-Bezeichnung als kritisch kennzeichnen.
Wie bei anderen Anwendungsfällen zum Schutz kritischer Ressourcen berücksichtigt Defender for Cloud die Ressourcenkritischität für die Risikopriorisierung, die Analyse des Angriffspfads und den Sicherheits-Explorer.
Verbesserungen bei der Erkennung und Reaktion auf Containerbedrohungen
18. November 2024
Defender for Cloud bietet eine Reihe neuer Features, mit denen SOC-Teams Containerbedrohungen tackle in cloudeigenen Umgebungen mit höherer Geschwindigkeit und Präzision > können. Zu diesen Verbesserungen gehören Threat Analytics, GoHunt-Funktionen, Microsoft Security Copilot geführte Antwort und cloudeigene Antwortaktionen für Kubernetes-Pods.
Einführung von Cloud-nativen Reaktionsmaßnahmen für Kubernetes-Pods (Vorschau)
Defender for Cloud bietet jetzt Multicloud-Antwortaktionen für Kubernetes-Pods, die ausschließlich über das Defender XDR-Portal zugänglich sind. Diese Funktionen verbessern die Reaktion auf Vorfälle für AKS-, EKS- und GKE-Cluster.
Die folgenden Aktionen sind neu:
Netzwerkisolation – Blockieren Sie sofort den gesamten Datenverkehr zu einem Pod, und verhindern Sie laterale Bewegungen und Datenexfiltration. Erfordert eine Netzwerkrichtlinienkonfiguration für Ihren Kubernetes-Cluster.
Pod-Beendigung – Schnelles Beenden verdächtiger Pods, Beenden bösartiger Aktivitäten, ohne die breitere Anwendung zu unterbrechen.
Diese Maßnahmen befähigen SOC-Teams, Bedrohungen in Cloud-Umgebungen effektiv einzudämmen.
Bedrohungsanalysebericht für Container
Wir führen einen dedizierten Bedrohungsanalysebericht ein, der umfassende Einblicke in Bedrohungen für containerisierte Umgebungen bietet. Dieser Bericht liefert SOC-Teams Erkenntnisse, um die neuesten Angriffsmuster auf AKS-, EKS- und GKE-Clustern zu erkennen und darauf zu reagieren.
Wichtige Highlights:
- Detaillierte Analyse der wichtigsten Bedrohungen und zugehörigen Angriffstechniken in Kubernetes-Umgebungen.
- Handlungsrelevante Empfehlungen, um Ihren cloudeigenen Sicherheitsstatus zu stärken und neue Risiken zu mindern.
GoHunt für Kubernetes-Pods & ressourcen Azure
GoHunt erweitert nun seine Suchfunktionen um Kubernetes-Pods und Azure Ressourcen im Defender XDR-Portal. Dieses Feature verbessert die proaktive Bedrohungssuche, sodass SOC-Analysten eingehende Untersuchungen über cloudnative Workloads durchführen können.
Wichtige Features:
- Erweiterte Abfragefunktionen zum Erkennen von Anomalien in Kubernetes-Pods und Azure Ressourcen, die einen umfassenderen Kontext für die Bedrohungsanalyse bieten.
- Nahtlose Integration mit Kubernetes-Entitäten für eine effiziente Bedrohungssuche und -untersuchung.
Security Copilot geführte Antwort für Kubernetes-Pods
Einführung in guided Response für Kubernetes-Pods, ein Feature, das von Security Copilot unterstützt wird. Diese neue Funktion bietet schrittweise Anleitungen in Echtzeit, die SOC-Teams helfen, schnell und effektiv auf Containerbedrohungen zu reagieren.
Hauptvorteile:
- Kontextbezogene Reaktions-Playbooks, die auf gängige Kubernetes-Angriffsszenarien zugeschnitten sind.
- Experten, Echtzeitunterstützung von Security Copilot, Überbrückung der Wissenslücke und schnellere Lösung.
Native Integration der API-Sicherheitsstatusverwaltung in Defender CSPM Plan jetzt in der öffentlichen Vorschau
15. November 2024
Api-Sicherheitsstatusverwaltungsfunktionen (Vorschau) sind jetzt im Defender CSPM Plan enthalten und können über Erweiterungen innerhalb des Plans unter Umgebungseinstellungen aktiviert werden. Weitere Informationen finden Sie unter Verbessern des API-Sicherheitsstatus (Vorschau).
Erweiterter Containerschutz mit Sicherheitsrisikobewertung und Schadsoftwareerkennung für AKS-Knoten (Preview)
13. November 2024
Defender for Cloud bietet jetzt sicherheitsrelevante Bewertung und Schadsoftwareerkennung für die Knoten in Azure Kubernetes Service (AKS) und bietet Kunden Klarheit in der gemeinsamen Sicherheitsverantwortung, die sie beim verwalteten Cloudanbieter haben.
Durch die Bereitstellung von Schutz und Sicherheit für diese Kubernetes-Knoten können Kunden Sicherheit und Compliance über den verwalteten Kubernetes-Dienst hinweg verwalten.
Um die neuen Funktionen zu erhalten, müssen Sie das agentloses Scannen auf Computer Option im Defender CSPM, Defender für Container oder Defender für Server P2-Plan in Ihrem Abonnement aktivieren.
Sicherheitsrisikobewertung
Eine neue Empfehlung ist jetzt im Azure Portal verfügbar: AKS nodes should have vulnerability findings resolved. Mit dieser Empfehlung können Sie jetzt Sicherheitsrisiken und CVEs überprüfen und beheben, die auf Azure Kubernetes Service (AKS) Knoten gefunden wurden.
Malware-Erkennung
Neue Sicherheitswarnungen werden ausgelöst, wenn die agentlose Schadsoftwareerkennungsfunktion Schadsoftware in AKS-Knoten erkennt.
Die Erkennung von agentloser Schadsoftware verwendet das Microsoft Defender Antivirus-Antischadsoftwaremodul, um schädliche Dateien zu scannen und zu erkennen. Wenn Bedrohungen erkannt werden, werden Sicherheitswarnungen in Defender for Cloud und Defender XDR geleitet, wo sie untersucht und behoben werden können.
Important
Schadsoftwareerkennung für AKS-Knoten ist nur für Defender für Container oder Defender für Server P2-aktivierte Umgebungen verfügbar.
Erweiterte Kubernetes-Warnungsdokumentation und -Simulationstool (K8s)
7. November 2024
Wichtigste Funktionen
- Szenariobasierte Warnungsdokumentation: K8s-Warnungen werden jetzt basierend auf realen Szenarien dokumentiert und bieten klarere Leitfäden zu potenziellen Bedrohungen und empfohlenen Aktionen.
- Microsoft Defender for Endpoint(MDE)-Integration: Warnungen werden mit zusätzlichen Kontext- und Bedrohungserkennungen von MDE erweitert und verbessern die Fähigkeit, effektiv zu reagieren.
- Neues Simulationstool: Mit einem leistungsfähigen Simulationstool können Sie Ihren Sicherheitsstatus testen, indem verschiedene Angriffsszenarien simuliert und entsprechende Warnungen generiert werden.
Benefits
- Verbessertes Verständnis von Warnungen: Eine szenariobasierte Dokumentation bietet ein intuitiveres Verständnis von K8s-Warnungen.
- Verbesserte Reaktion auf Bedrohungen: Warnungen werden um hilfreichen Kontext erweitert und ermöglichen schnellere und genauere Reaktionen.
- Proaktive Sicherheitstests: Mit dem neuen Simulationstool können Sie Ihre Sicherheitsvorkehrungen testen und potenzielle Sicherheitsrisiken identifizieren, bevor sie ausgenutzt werden.
Erweiterter Support für die Klassifizierung vertraulicher API-Daten
6. November 2024
Microsoft Defender for Cloud erweitert die Funktionen für die Klassifizierung vertraulicher Daten der API-Sicherheit auf API-URL-Pfade und Abfrageparameter sowie API-Anforderungs- und -Antworten, einschließlich der Quelle vertraulicher Informationen, die in den API-Eigenschaften enthalten sind. Diese Informationen sind auf der Seite "Analyse des Angriffspfads", der Seite "Zusätzliche Details " des Cloud Security Explorers verfügbar, wenn API-Verwaltungsvorgänge mit vertraulichen Daten ausgewählt werden, und auf dem API-Sicherheitsdashboard unter der Seite "Workload Protections" in der API-Sammlungsdetailseite mit einem neuen seitenseitigen Kontextmenü, das detaillierte Einblicke in vertrauliche Daten liefert, die gefunden werden, Durch die effiziente Suche und Entschärfung von Risiken durch Datenrisiken können Sicherheitsteams aktiviert werden.
Note
Diese Änderung umfasst ein einmaliges Rollout für vorhandene Defender für APIs und Defender CSPM Kunden.
Neue Unterstützung für die Zuordnung Azure API Management API-Endpunkte zum Back-End-Compute
6. November 2024
Der API-Sicherheitsstatus von Defender for Cloud unterstützt jetzt die Zuordnung von API-Endpunkten, die über Azure API Management Gateway zu Computeressourcen wie virtuellen Computern veröffentlicht wurden, im Cloud Security Posture Management (Defender CSPM) Cloud Security Explorer Defender. Diese Sichtbarkeit hilft beim Identifizieren des API-Datenverkehrsroutings zu Back-End-Cloudcomputezielen, sodass Sie Risiken im Zusammenhang mit API-Endpunkten und deren verbundenen Back-End-Ressourcen erkennen und beheben können.
Erweiterte API-Sicherheitsunterstützung für multiregionale Azure API Management Bereitstellungen und Verwalten von API-Revisionen
6. November 2024
Die API-Sicherheitsabdeckung innerhalb Defender for Cloud verfügt jetzt über vollständige Unterstützung für Azure API Management Bereitstellungen mit mehreren Regionen, einschließlich vollständiger Sicherheitsstatus- und Bedrohungserkennungsunterstützung für primäre und sekundäre Regionen
Onboarding- und Offboarding-APIs in Defender für APIs werden jetzt auf Azure API Management API-Ebene verwaltet. Alle zugeordneten Azure API Management Revisionen werden automatisch in den Prozess einbezogen, sodass das Onboarding und Offboarding für jede API-Revision nicht einzeln verwaltet werden müssen.
Diese Änderung umfasst ein einmaliges Rollout für vorhandene Defender für APIs-Kunden.
Rolloutdetails:
- Der Rollout erfolgt während der Woche vom 6. November für vorhandene Defender für APIs-Kunden.
- Wenn die "aktuelle" Revision für eine Azure API Management-API bereits in Defender für APIs integriert ist, werden alle zugehörigen Überarbeitungen für diese API auch automatisch in Defender für APIs integriert.
- Wenn die "aktuelle" Revision für eine Azure API Management-API nicht in Defender für APIs integriert ist, werden alle zugehörigen API-Überarbeitungen, die in Defender für APIs integriert wurden, offboarded.
Oktober 2024
MMA-Migrationsumgebung jetzt verfügbar
28. Oktober 2024
Sie können jetzt sicherstellen, dass alle Ihre Umgebungen vollständig für den Post-Log Analytics Agent (MMA) vorbereitet sind, der ende November 2024 erwartet wird.
Defender for Cloud eine neue Oberfläche hinzugefügt, mit der Sie für alle betroffenen Umgebungen große Maßnahmen ergreifen können:
- Dies ist fehlende Voraussetzungen, die erforderlich sind, um die vollständige Sicherheitsabdeckung zu erhalten, die von Defender für Server Plan 2 angeboten wird.
- Dies ist verbindung mit Defender für Server Plan 2 mithilfe des älteren Onboarding-Ansatzes über Log Analytics Arbeitsbereich.
- Dies verwendet die alte FIM-Version (File Integrity Monitoring) mit dem Log Analytics-Agent (MMA), die zur neuen, improved FIM-Version mit Defender für Endpunkt (MDE) migriert werden muss.
Weitere Informationen finden Sie unter Verwenden der neuen MMA-Migrationsumgebung.
Sicherheitsergebnisse für GitHub Repositorys ohne GitHub Advanced Security ist jetzt GA
21. Oktober 2024
Die Möglichkeit, Sicherheitsergebnisse für Infrastruktur-as-Code(IaC)-Fehlkonfigurationen, Containerrisiken und Codeschwächen für GitHub Repositorys ohne GitHub Advanced Security zu erhalten, ist jetzt allgemein verfügbar.
Beachten Sie, dass geheime Überprüfungen, Codescans mit GitHub CodeQL und Abhängigkeitsscans weiterhin GitHub erweiterte Überprüfung erfordern.
Weitere Informationen zu erforderlichen Lizenzen finden Sie auf der DevOps-Supportseite. Wenn Sie erfahren möchten, wie Sie Ihre GitHub Umgebung in Defender for Cloud integrieren, folgen Sie dem GitHub Onboarding-Handbuch. Informationen zum Konfigurieren der Microsoft Security DevOps-GitHub-Aktion finden Sie in unserer GitHub Action-Dokumentation.
Veralterung von drei Compliancestandards
14. Oktober 2024
Geschätztes Datum für die Änderung: 17. November 2024
Drei Compliancestandards werden aus dem Produkt entfernt:
- SWIFT CSP-CSCF v2020 (für Azure) - Dies wurde von der Version v2022 ersetzt.
- CIS Microsoft Azure Foundations Benchmark v1.1.0 und v1.3.0 - Wir verfügen über zwei neuere Versionen (v1.4.0 und v2.0.0)
Erfahren Sie mehr über die in Defender for Cloud in Available Compliance Standards verfügbaren Compliancestandards.
Veraltet von drei Defender for Cloud Standards
8. Oktober 2024
Geschätztes Datum für die Änderung: 17. November 2024
Um die Verwaltung von Defender for Cloud mit AWS-Konten und GCP-Projekten zu vereinfachen, entfernen wir die folgenden drei Defender for Cloud Standards:
- Für AWS – AWS CSPM
- Für GCP – GCP CSPM und GCP-Standard
Der Standardstandard Microsoft Cloud Security Benchmark (MCSB) enthält nun alle Bewertungen, die für diese Standards eindeutig waren.
Binäre Drifterkennung als GA freigegeben
9. Oktober 2024
Die Binäre Drifterkennung wird nun als GA im Defender für containerplan veröffentlicht. Beachten Sie, dass die binäre Drifterkennung jetzt für alle AKS-Versionen funktioniert.
Aktualisierte Empfehlungen für die Containerruntime (Vorschau)
6. Oktober2024
Die Vorschauempfehlungen für "Container, die in AWS/Azure/GCP ausgeführt werden, sollten Sicherheitsrisiken behoben haben" werden aktualisiert, um alle Container zu gruppieren, die Teil derselben Workload sind, in einer einzigen Empfehlung zu gruppieren, Duplizierungen zu reduzieren und Schwankungen aufgrund neuer und beendeter Container zu vermeiden.
Ab dem 6. Oktober 2024 werden die folgenden Bewertungs-IDs für diese Empfehlungen ersetzt:
| Recommendation | Vorherige Bewertungs-ID | Neue Bewertungs-ID |
|---|---|---|
| -- | -- | -- |
| Container, die in Azure ausgeführt werden, sollten Sicherheitsrisiken behoben sein | e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0 | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
| Bei Containern, die in AWS ausgeführt werden, sollten Sicherheitsrisiken behoben worden sein | d5d1e526-363a-4223-b860-f4b6e710859f | 8749bb43-cd24-4cf9-848c-2a50f632043c |
| Bei Containern, die in GCP ausgeführt werden, sollten Sicherheitsrisiken behoben worden sein | c7c1d31d-a604-4b86-96df-63448618e165 | 1b3abfa4-9e53-46f1-9627-51f2957f8bba |
Wenn Sie derzeit Sicherheitsrisikoberichte aus diesen Empfehlungen über die API abrufen, stellen Sie sicher, dass Sie den API-Aufruf mit der neuen Bewertungs-ID aktualisieren.
Informationen zu Kubernetes-Identität und -Zugriff im Sicherheitsdiagramm (Vorschau)
6. Oktober2024
Kubernetes-Identitäts- und Zugriffsinformationen werden dem Sicherheitsdiagramm hinzugefügt, einschließlich Knoten, die alle kubernetes Role Based Access Control (RBAC) verwandte Entitäten (Dienstkonten, Rollen, Rollenbindungen usw.) darstellen, und Kanten, die die Berechtigungen zwischen Kubernetes-Objekten darstellen. Kunden können jetzt das Sicherheitsdiagramm für ihre Kubernetes-RBAC und verwandte Beziehungen zwischen Kubernetes-Entitäten abfragen („Kann sich authentifizieren als“, „Kann die Identität annehmen von“, „Gewährt die Rolle“, „Zugriff definiert durch“, „Gewährt Zugriff auf“, „Verfügt über die Berechtigung für“ usw.).
Auf Informationen zu Kubernetes-Identität und -Zugriff basierende Angriffspfade (Vorschau)
6. Oktober2024
Mithilfe der Kubernetes-RBAC-Daten im Sicherheitsdiagramm erkennt Defender for Cloud nun Kubernetes, Kubernetes für Cloud und innere Kubernetes laterale Bewegung und Berichte zu anderen Angriffspfaden, in denen Angreifer Kubernetes und Cloud-Autorisierung für laterale Bewegungen von, von und innerhalb von Kubernetes-Clustern missbrauchen können.
Verbesserte Angriffspfadanalyse für Container
6. Oktober2024
Das neue Modul für die Angriffspfadanalyse, das im letzten November veröffentlicht wurde, unterstützt jetzt auch Containeranwendungsfälle und erkennt basierend auf den dem Diagramm hinzugefügten Daten dynamisch neue Arten von Angriffspfaden in Cloudumgebungen. Wir können jetzt weitere Angriffspfade für Container ermitteln und komplexere Angriffsmuster erkennen, die von Angreifern verwendet werden, um Cloud- und Kubernetes-Umgebungen zu infiltrieren.
Vollständige Ermittlung von Containerimages in unterstützten Registrierungen
6. Oktober2024
Defender for Cloud sammelt jetzt Bestandsdaten für alle Containerimages in unterstützten Registrierungen und bietet vollständige Sichtbarkeit innerhalb des Sicherheitsdiagramms für alle Bilder in Ihren Cloudumgebungen, einschließlich Bildern, die derzeit keine Haltungsempfehlungen haben.
Abfragefunktionen über den Cloudsicherheits-Explorer wurden verbessert, sodass Benutzer jetzt basierend auf ihren Metadaten (Digest, Repository, Betriebssystem, Tag usw.) nach Containerimages suchen können.
Containersoftwarebestand mit Cloudsicherheits-Explorer
6. Oktober2024
Kunden können jetzt über den Cloudsicherheits-Explorer eine Liste der in ihren Containern und Containerimages installierten Softwareanwendungen abrufen. Diese Liste kann auch verwendet werden, um schnell andere Erkenntnisse zur Kundenumgebung zu erhalten. So können Sie etwa alle Container und Containerimages mit Software ermitteln, die von einem Zero-Day-Sicherheitsrisiko betroffen ist, sogar bevor eine CVE veröffentlicht wird.
Oktober 2024
Verbesserungen der Cloudsicherheits-Explorer-Benutzeroberfläche
22. September 2024
Geschätztes Datum für die Änderung: Oktober 2024
Der Cloudsicherheits-Explorer ist so eingestellt, dass die Leistung und die Rasterfunktionalität verbessert werden, umfassendere Datenanreicherung für jede Cloudressource bereitgestellt wird, Suchkategorien verbessert werden und der CSV-Exportbericht mit mehr Erkenntnissen zu den exportierten Cloudressourcen verbessert wird.
Allgemeine Verfügbarkeit der Dateiintegritätsüberwachung basierend auf Microsoft Defender for Endpoint
18. September 2024
Die neue Version der Dateiintegritätsüberwachung, die auf Microsoft Defender for Endpoint basiert, ist jetzt GA im Rahmen von Defender für Server Plan 2. FIM ermöglicht Folgendes:
- Erfüllen der Complianceanforderungen durch Überwachung kritischer Dateien und Registrierungen in Echtzeit sowie Überwachung der Änderungen
- Identifizieren potenzieller Sicherheitsprobleme durch Erkennen verdächtiger Änderungen an Dateiinhalten
Diese verbesserte FIM-Erfahrung ersetzt die vorhandene, die für die Deaktivierung durch die Einstellung des Log Analytics Agent (MMA) festgelegt wurde. Die FIM-Umgebung über MMA wird bis Ende November 2024 unterstützt.
Mit dieser Version wird eine Produktinterne Erfahrung veröffentlicht, mit der Sie Ihre FIM-Konfiguration über MMA in die neue FIM über Defender für Endpunktversion migrieren können.
Informationen zum Aktivieren von FIM über Defender für Endpunkt finden Sie unter File Integrity Monitoring using Microsoft Defender for Endpoint. Informationen zum Deaktivieren von früheren Versionen finden Sie unter Migrieren der Dateiintegritätsüberwachung von früheren Versionen.
FIM-Migrationserfahrung ist in Defender for Cloud verfügbar
18. September 2024
Eine produktinterne Erfahrung wird veröffentlicht, damit Sie Ihre FIM-Konfiguration über MMA in die neue FIM über Defender für Endpunktversion migrieren können. Mit dieser Erfahrung haben Sie folgende Möglichkeiten:
- Überprüfen Sie die betroffene Umgebung mit der vorherigen FIM-Version, bei der MMA aktiviert war und eine Migration erforderlich war.
- Exportieren Sie Ihre aktuellen FIM-Regeln aus MMA-basierten Erfahrungen, und arbeiten Sie in Arbeitsbereichen
- Migrieren Sie zu P2-aktivierten Abonnements mit neuem FIM über MDE.
Um die Migrationsumgebung zu verwenden, navigieren Sie zum Bereich "Umgebungseinstellungen ", und wählen Sie die MMA-Migrationsschaltfläche in der oberen Zeile aus.
Veraltete Funktion für die automatische MMA-Bereitstellung
18. September 2024: Im Rahmen der Einstellung des MMA-Agents wird die automatische Bereitstellungsfunktion, die die Installation und Konfiguration des Agents für MDC-Kunden ermöglicht, in zwei Phasen eingestellt:
Bis Ende September 2024 wird die automatische Bereitstellung von MMA für Kunden deaktiviert, die die Funktion nicht mehr nutzen, sowie für neu erstellte Abonnements. Nach Ende September kann die Funktion nicht mehr für diese Abonnements erneut aktiviert werden.
Ende November 2024: Die automatische Bereitstellung von MMA wird für Abonnements deaktiviert, die sie noch nicht deaktiviert haben. Ab diesem Zeitpunkt kann es nicht mehr möglich sein, die Funktion für vorhandene Abonnements zu aktivieren.
Integration mit Power BI
15. September 2024
Defender for Cloud kann jetzt in Power BI integriert werden. Mit dieser Integration können Sie benutzerdefinierte Berichte und Dashboards mithilfe der Daten aus Defender for Cloud erstellen. Sie können Power BI verwenden, um Ihren Sicherheitsstatus, Ihre Compliance- und Sicherheitsempfehlungen zu visualisieren und zu analysieren.
Erfahren Sie mehr über die neue integration mit Power BI.
Aktualisieren der Multi Cloud-Netzwerkanforderungen für CSPM
11. September 2024
Geschätztes Datum für die Änderung: Oktober 2024
Ab Oktober 2024 fügen wir unseren Multicloud-Ermittlungsdiensten zusätzliche IP-Adressen hinzu, um Verbesserungen zu ermöglichen und allen Benutzenden eine effizientere Erfahrung zu gewährleisten.
Um einen unterbrechungsfreien Zugriff von unseren Diensten zu gewährleisten, sollten Sie Ihre IP-Zulassungsliste mit den hier bereitgestellten neuen Bereichen aktualisieren. Sie sollten die erforderlichen Anpassungen in Ihren Firewalleinstellungen, Sicherheitsgruppen oder anderen Konfigurationen vornehmen, die möglicherweise für Ihre Umgebung gelten. Die Liste reicht aus, um die volle Leistungsfähigkeit des (kostenlosen) CSPM-Basisangebots zu gewährleisten.
Defender für veraltete Serverfeatures
9. September 2024
Sowohl die adaptive Anwendungssteuerung als auch die adaptive Netzwerkhärtung sind jetzt außer Betrieb genommen.
Spanisches nationales Sicherheitsframework (Esquema Nacional de Seguridad (ENS)) zum Compliance-Dashboard für Azure
9. September 2024
Organisationen, die ihre Azure Umgebungen auf Die Einhaltung des ENS-Standards überprüfen möchten, können jetzt Defender for Cloud verwenden.
Der ENS-Standard gilt für den gesamten öffentlichen Sektor in Spanien sowie für Anbieter, die mit Behörden zusammenarbeiten. Er legt grundlegende Prinzipien, Anforderungen und Sicherheitskennzahlen zum Schutz von elektronisch verarbeiteten Informationen und Diensten fest. Ziel ist es, Zugriff, Vertraulichkeit, Integrität, Rückverfolgbarkeit, Authentizität, Verfügbarkeit und Datenbewahrung zu gewährleisten.
Sehen Sie sich die vollständige Liste der unterstützten Compliance-Standards an.
Empfehlungen für System-Updates und Patches auf Ihren Maschinen korrigieren
8. September 2024
Sie können jetzt Empfehlungen zu Systemupdates und Patches auf Ihren Azure Arc-fähigen Computern und Azure VMs beheben. System-Updates und Patches sind entscheidend für die Sicherheit und den Zustand Ihrer Maschinen. Updates enthalten oft Patches für Schwachstellen, die von Angreifern ausgenutzt werden können, wenn sie nicht behoben werden.
Informationen zu fehlenden Computerupdates werden jetzt mithilfe von Azure Update Manager gesammelt.
Um die Sicherheit Ihrer Maschinen für System-Updates und Patches zu gewährleisten, müssen Sie die Einstellungen für die periodische Update-Bewertungen auf Ihren Maschinen festlegen.
Erfahren Sie, wie Sie Empfehlungen für System-Updates und Patches auf Ihren Maschinen korrigieren.
Die Integration von ServiceNow umfasst jetzt das Modul für Konfigurationscompliance.
4. September 2024
Defender for Cloud CSPM-Plan in ServiceNow integriert, umfasst jetzt das Konfigurationscompliance-Modul von ServiceNow. Mit diesem Feature können Sie Konfigurationsprobleme in Ihren Cloudressourcen identifizieren, priorisieren und beheben und gleichzeitig Sicherheitsrisiken reduzieren und Ihren gesamten Compliancestatus durch automatisierte Workflows und Echtzeiterkenntnisse verbessern.
Erfahren Sie mehr über die Integration von ServiceNow in Defender for Cloud.
Defender für den Speicherschutzplan pro Transaktion (klassisch) für neue Abonnements nicht verfügbar
4. September 2024
Geschätztes Datum für die Änderung: 5. Februar 2025
Nach dem 5. Februar 2025 können Sie den Legacy-Defender für speicherbasierten (klassischen) Speicherschutzplan nicht aktivieren, es sei denn, sie ist bereits in Ihrem Abonnement aktiviert. Weitere Informationen finden Sie unter Move zum neuen Defender für den Speicherplan.
Azure Policy Gastkonfiguration ist jetzt allgemein verfügbar (GA)
Sonntag, 1. September 2024
Defender für die Azure Policy Gastkonfiguration von Server ist jetzt allgemein für alle Multicloud-Defender für Server Plan 2-Kunden allgemein verfügbar. Die Gastkonfiguration bietet eine einheitliche Benutzeroberfläche für die Verwaltung von Sicherheitsbaselines in Ihrer gesamten Umgebung. Sie können Sicherheitskonfigurationen auf Ihren Servern bewerten und erzwingen, einschließlich Windows und Linux-Computern, Azure VMs, AWS EC2- und GCP-Instanzen.
Erfahren Sie, wie Sie fähige Azure Policy Computerkonfiguration in Ihrer Umgebung.
Vorschau auf Docker Hub Containerregistrierungsunterstützung durch Defender für Container
Sonntag, 1. September 2024
Wir führen die öffentliche Vorschau der Microsoft Defender für Containererweiterungen ein, um externe Registrierungen einzuschließen, beginnend mit Docker Hub Containerregistrierungen. Im Rahmen der Microsoft Cloud Security Posture Management Ihrer Organisation bietet die Erweiterung der Abdeckung auf Docker Hub Containerregistrierungen die Vorteile der Überprüfung Ihrer Docker Hub Containerimages mithilfe von Microsoft Defender Vulnerability Management, um Sicherheitsbedrohungen zu identifizieren und potenzielle Sicherheitsrisiken zu mindern.
Weitere Informationen zu diesem Feature finden Sie unter Vulnerability Assessment for Docker Hub
August 2024
| Date | Category | Update |
|---|---|---|
| 28. August | Preview | Neue Version der Dateiintegritätsüberwachung basierend auf Microsoft Defender for Endpoint |
| 22. August | Bevorstehendes Veraltetes | Retirement der Defender for Cloud Warnungsintegration mit Azure WAF-Warnungen |
| 1. August | GA | Enable Microsoft Defender für SQL-Server auf Computern im Maßstab |
Neue Version der Dateiintegritätsüberwachung basierend auf Microsoft Defender for Endpoint
28. August 2024
Die neue Version der Dateiintegritätsüberwachung basierend auf Microsoft Defender for Endpoint befindet sich jetzt in der öffentlichen Vorschau. Sie ist Teil von Defender für Server Plan 2. Dies erlaubt Ihnen:
- Erfüllen der Complianceanforderungen durch Überwachung kritischer Dateien und Registrierungen in Echtzeit sowie Überwachung der Änderungen
- Identifizieren potenzieller Sicherheitsprobleme durch Erkennen verdächtiger Änderungen an Dateiinhalten
Im Rahmen dieser Version ist die FIM-Erfahrung über AMA nicht mehr im Defender for Cloud-Portal verfügbar. Die FIM-Umgebung über MMA wird bis Ende November 2024 unterstützt. Anfang September wird eine produktinterne Erfahrung veröffentlicht, mit der Sie Ihre FIM-Konfiguration über MMA in die neue FIM über Defender für Endpunktversion migrieren können.
Informationen zum Aktivieren von FIM über Defender für Endpunkt finden Sie unter File Integrity Monitoring using Microsoft Defender for Endpoint. Informationen zum Migrieren von früheren Versionen finden Sie unter Migrieren der Dateiintegritätsüberwachung von früheren Versionen.
Einstellung der Defender for Cloud Warnungsintegration mit Azure WAF-Warnungen
22. August 2024
Geschätztes Änderungsdatum: 25. September 2024
Defender for Cloud Warnung integration mit Azure WAF-Warnungen wird am 25. September 2024 eingestellt. Sie müssen nichts tun. Für Microsoft Sentinel Kunden können Sie den Azure Web Application Firewall connector konfigurieren.
Aktivieren von Microsoft Defender für SQL-Server auf Computern im großen Maßstab
1. August 2024
Sie können jetzt Microsoft Defender für SQL-Server auf Computern in großen Umfang in Government-Clouds aktivieren. Mit diesem Feature können Sie Microsoft Defender für SQL auf mehreren Servern gleichzeitig aktivieren und Zeit und Aufwand sparen.
Erfahren Sie, wie Sie enable Microsoft Defender für SQL-Server auf Computern im Maßstab.
Juli 2024
| Date | Category | Update |
|---|---|---|
| 31. Juli | GA | Allgemeine Verfügbarkeit erweiterter Ermittlungs- und Konfigurationsempfehlungen für Endpunktschutz |
| 31. Juli | Bevorstehendes Update | Einstellung des adaptiven Erhöhens des Netzwerkschutzes |
| 22. Juli | Preview | Security-Bewertungen für GitHub benötigen keine zusätzliche Lizenzierung mehr |
| 18. Juli | Bevorstehendes Update | Updated-Zeitachsen in Richtung mmA-Veraltet in Defender für Server Plan 2 |
| 18. Juli | Bevorstehendes Update | Einstellen von MMA-bezogenen Features im Rahmen der Agent-Deaktivierung |
| 15. Juli | Preview | Binary Drift Public Preview in Defender für Container |
| 14. Juli | GA | Automatisierte Korrekturskripts für AWS und GCP sind jetzt GA |
| 11. Juli | Bevorstehendes Update | GitHub Anwendungsberechtigungen aktualisieren |
| 10. Juli | GA | Compliance-Standards sind jetzt GA |
| 9. Juli | Bevorstehendes Update | Verbesserung der Inventarbenutzeroberläche |
| 8. Juli | Bevorstehendes Update |
Allgemeine Verfügbarkeit erweiterter Ermittlungs- und Konfigurationsempfehlungen für Endpunktschutz
31. Juli 2024
Verbesserte Ermittlungsfeatures für Endpunktschutzlösungen und verbesserte Identifizierung von Konfigurationsproblemen sind jetzt allgemein und für Multicloud-Server verfügbar. Diese Updates sind im Defender für Server Plan 2 und Defender Cloud Security Posture Management (CSPM) enthalten.
Das erweiterte Empfehlungsfeature verwendet agentlose Computerscans und ermöglicht dadurch eine umfassende Ermittlung und Bewertung der Konfiguration unterstützter Endpunkterkennungs- und Reaktionslösungen. Wenn Konfigurationsprobleme identifiziert werden, werden Korrekturschritte bereitgestellt.
Mit dieser allgemeinen Verfügbarkeitsversion wird die Liste der unterstützten Lösungen um zwei weitere Endpunkterkennungs- und Antworttools erweitert:
- Singularity Platform von SentinelOne
- Cortex XDR
Einstellung des adaptiven Erhöhens des Netzwerkschutzes
31. Juli 2024
Geschätztes Datum der Änderung: 31. August 2024
Defender für die Härtung des adaptiven Netzwerks des Servers veraltet ist.
Die Einstellung der Funktion umfasst die folgenden Funktionen:
- Empfehlung: Empfehlungen für adaptive Netzwerkhärtung sollten auf virtuellen Computern mit Internetzugriff angewendet werden [Bewertungsschlüssel: f9f0eed0-f143-47bf-b856-671ea2eeed62]
- Warnung: Datenverkehr, der von IP-Adressen erkannt wurde, die zum Blockieren empfohlen werden
Vorschau: Sicherheitsbewertungen für GitHub erfordern keine zusätzliche Lizenzierung mehr
22. Juli 2024
GitHub Benutzer in Defender for Cloud benötigen keine GitHub Advanced Security-Lizenz mehr, um Sicherheitsergebnisse anzuzeigen. Dies gilt für Sicherheitsbewertungen für Codeschwächen, Infrastruktur-als-Code (IaC)-Fehlkonfigurationen und Sicherheitsrisiken in Containerimages, die während der Buildphase erkannt werden.
Kunden mit GitHub Advanced Security erhalten weiterhin zusätzliche Sicherheitsbewertungen in Defender for Cloud für verfügbar gemachte Anmeldeinformationen, Sicherheitsrisiken in Open Source Abhängigkeiten und CodeQL-Ergebnisse.
Weitere Informationen zur DevOps-Sicherheit in Defender for Cloud finden Sie unter DevOps Security Overview. Wenn Sie erfahren möchten, wie Sie Ihre GitHub Umgebung in Defender for Cloud integrieren, folgen Sie dem GitHub Onboarding-Handbuch. Informationen zum Konfigurieren der Microsoft Security DevOps-GitHub-Aktion finden Sie in unserer GitHub Action-Dokumentation.
Aktualisierte Zeitachsen zur Veraltetkeit von MMA in Defender für Server Plan 2
18. Juli 2024
Geschätztes Datum der Änderung: August 2024
Mit dem >verstehen der Log Analytics Agent im August wird der gesamte Sicherheitswert für den Serverschutz in Defender for Cloud auf die Integration mit Microsoft Defender for Endpoint (MDE) als einzelner Agent und auf agentlosen Funktionen, die von der Cloudplattform und agentlosen Computerscans bereitgestellt werden.
Die folgenden Funktionen haben aktualisierte Zeitachsen und Pläne, damit die Unterstützung für sie über MMA für Defender for Cloud Kunden bis Ende November 2024 verlängert wird:
Dateiintegritätsüberwachung (File Integrity Monitoring, FIM): Die neue Version für den öffentlichen Vorschaurelease für FIM über MDE ist für August 2024 geplant. Die GA-Version von FIM, die von Log Analytics Agent unterstützt wird, wird bis zum Ende November 2024 weiterhin unterstützt.
Security Baseline: als Alternative zur auf MMA basierenden Version, die aktuelle Vorschauversion basierend auf der Gastkonfiguration wird für die allgemeine Verfügbarkeit inSeptember 2024. Betriebssystemsicherheitsgrundsätzen, die von Log Analytics Agent unterstützt werden, bis zum Ende vonNovember 2024.
Weitere Informationen finden Sie unter Prepare zur Einstellung des Log Analytics Agents.
Einstellen von MMA-bezogenen Features im Rahmen der Agent-Deaktivierung
18. Juli 2024
Geschätztes Datum der Änderung: August 2024
Im Rahmen der Deprecation des Microsoft Monitoring Agent (MMA) und der aktualisierten Defender für die Bereitstellungsstrategie für Server werden nun alle Sicherheitsfeatures für Defender für Server über einen einzelnen Agent (Defender für Endpunkt) oder über agentlose Scanfunktionen bereitgestellt. Dies erfordert keine Abhängigkeit vom MMA oder Azure Monitoring Agent (AMA).
Bei der Einstellung des Agenten im August 2024 werden die folgenden MMA-bezogenen Features aus dem Defender for Cloud-Portal entfernt:
- Anzeige des MMA-Installationsstatus auf den Blatten Inventory und Resource Health.
- Die Möglichkeit zum Onboarding neuer nicht Azure Server in Defender für Server über Log Analytics Arbeitsbereiche werden sowohl von den Blatten Inventory und Getting Started entfernt.
Note
Es wird empfohlen, dass aktuelle Kunden, die lokale Server mit dem legacy-Ansatz integriert haben, jetzt diese Computer über Azure Arc-fähige Server verbinden sollten. Außerdem wird empfohlen, die Defender für Server Plan 2 für die Azure Abonnements zu aktivieren, mit denen diese Server verbunden sind.
Wenn Sie Defender für Server Plan 2 selektiv für bestimmte Azure VMs aktiviert haben, aktivieren Sie Defender für Server Plan 2 für die Azure Abonnements dieser Computer. Schließen Sie einzelne Computer aus dem Defender für die Serverabdeckung mithilfe der Defender für Server per-Resource-Konfiguration aus.
Durch diese Schritte wird sichergestellt, dass aufgrund der Einstellung des Log Analytics Agenten keine Sicherheitsabdeckung verloren geht.
Um die Sicherheitskontinuität aufrechtzuerhalten, beraten wir Kunden mit Defender für Server Plan 2, agentless machine scanning und integration mit Microsoft Defender for Endpoint in ihre Abonnements zu ermöglichen.
Sie können diese benutzerdefinierte Arbeitsmappe verwenden, um den Status Ihres Log Analytics Agent (MMA) nachzuverfolgen und den Bereitstellungsstatus von Defender für Server auf Azure VMs und Azure Arc Computern zu überwachen.
Weitere Informationen finden Sie unter Prepare zur Einstellung des Log Analytics Agents.
Binary Drift public preview now available in Defender for Containers
Wir führen die öffentliche Vorschau von Binary Drift für Defender für Container ein. Dieses Feature unterstützt das Identifizieren und Verringern potenzieller Sicherheitsrisiken, die mit nicht autorisierten Binärdateien in Ihren Containern verbunden sind. Binary Drift identifiziert und sendet Warnungen zu potenziell schädlichen binären Prozessen in Ihren Containern. Darüber hinaus ermöglicht sie die Implementierung einer neuen Binary Drift-Richtlinie zur Steuerung von Warnungseinstellungen und bietet die Möglichkeit, Benachrichtigungen an bestimmte Sicherheitsanforderungen anzupassen. Weitere Informationen zu diesem Feature finden Sie unter Binary Drift-Erkennung
Automatisierte Korrekturskripts für AWS und GCP sind jetzt GA
14. Juli 2024
Im März haben wir automatisierte Korrekturskripts für AWS & GCP für die öffentliche Vorschauversion veröffentlicht, mit denen Sie Empfehlungen für AWS & GCP programmgesteuert beheben können.
Heute veröffentlichen wir dieses Feature für die allgemeine Verfügbarkeit (GA). Erfahren Sie, wie Sie automatisierte Wartungsskripts verwenden.
Aktualisierung von Anwendungsberechtigungen GitHub
11. Juli 2024
Voraussichtliches Datum der Änderung: 18. Juli 2024
DevOps-Sicherheit in Defender for Cloud stellt ständig Updates bereit, die Kunden mit GitHub Connectors in Defender for Cloud benötigen, um die Berechtigungen für die Microsoft Security DevOps-Anwendung in GitHub zu aktualisieren.
Im Rahmen dieses Updates erfordert die GitHub Anwendung GitHub Copilot Business Leseberechtigungen. Diese Berechtigung wird verwendet, um Kunden dabei zu helfen, ihre GitHub Copilot Bereitstellungen besser zu schützen. Wir empfehlen, die Anwendung so schnell wie möglich zu aktualisieren.
Berechtigungen können auf zwei verschiedene Arten erteilt werden:
Navigieren Sie in Ihrer GitHub Organisation in Settings > GitHub Apps zur Microsoft Security DevOps-Anwendung, und akzeptieren Sie die Berechtigungsanforderung.
Wählen Sie in einer automatisierten E-Mail von GitHub Support Berechtigungsanforderung aus, um diese Änderung anzunehmen oder abzulehnen.
Compliance-Standards sind jetzt GA
10. Juli 2024
Im März haben wir Vorschauversionen vieler neuer Compliance-Standards für Kunden hinzugefügt, um ihre AWS- und GCP-Ressourcen zu überprüfen.
Zu diesen Standards gehören CIS Google Kubernetes Engine (GKE) Benchmark, ISO/IEC 27001 und ISO/IEC 27002, CRI Profile, CSA Cloud Controls Matrix (CCM), brasilianisches Allgemeines Datenschutzgesetz (LGPD), California Consumer Privacy Act (CCPA) und vieles mehr.
Diese Vorschaustandards sind jetzt allgemein verfügbar (GA).
Sehen Sie sich die vollständige Liste der unterstützten Compliance-Standards an.
Verbesserung der Inventarbenutzeroberläche
9. Juli 2024
Voraussichtliches Änderungsdatum: 11. Juli 2024
Die Bestandserfahrung wird aktualisiert, um die Leistung zu verbessern, einschließlich Verbesserungen der Abfragelogik des Bereichs "Offene Abfrage" in Azure Resource Graph. Aktualisierungen der Logik hinter Azure Ressourcenberechnung können dazu führen, dass andere Ressourcen gezählt und dargestellt werden.
Containerzuordnungstool, das standardmäßig in GitHub ausgeführt werden soll
8. Juli 2024
Geschätztes Änderungsdatum: 12. August 2024
Mit DevOps-Sicherheitsfunktionen in Microsoft Defender Cloud Security Posture Management (CSPM) können Sie Ihre cloudeigenen Anwendungen von Code zu Cloud zuordnen, um Entwicklerwartungsworkflows auf einfache Weise zu starten und die Zeit zur Behebung von Sicherheitsrisiken in Ihren Containerimages zu reduzieren. Derzeit müssen Sie das Containerimagezuordnungstool manuell so konfigurieren, dass es in der Microsoft Security DevOps-Aktion in GitHub ausgeführt wird. Bei dieser Änderung wird die Containerzuordnung standardmäßig als Teil der Microsoft Security DevOps-Aktion ausgeführt. Weitere Informationen zur Microsoft Security DevOps-Aktion.
Juni 2024
| Date | Category | Update |
|---|---|---|
| 27. Juni: | GA | Checkov IaC Scan in Defender for Cloud. |
| 24. Juni | Update | Change im Preis für Multicloud-Defender für Container |
| 20. Juni | Bevorstehendes Veraltetes |
Reminder der Veraltetkeit für adaptive Empfehlungen bei Microsoft Monitoring Agent (MMA)-Deprecation. Voraussichtliche Einstellung im August 2024 |
| 10. Juni | Preview | Copilot in Defender for Cloud |
| 10. Juni | Bevorstehendes Update |
Automatische Aktivierung der SQL-Sicherheitsrisikobewertung mithilfe der Expresskonfiguration auf nicht konfigurierten Servern Voraussichtliches Update: 10. Juli 2024 |
| 3. Juni | Bevorstehendes Update |
Änderungen des Verhaltens von Identitätsempfehlungen Voraussichtliches Update: 10. Juli 2024 |
GA: Checkov IaC Scan in Defender for Cloud
27. Juni 2024
Wir kündigen die allgemeine Verfügbarkeit der Checkov-Integration für die Überprüfung von Infrastructure-as-Code (IaC) durch Microsoft Security DevOps (MSDO) an. Im Rahmen dieses Release ersetzt Checkov TerraScan als Standard-IaC-Analysetool, das als Teil der MSDO-CLI (Befehlszeilenschnittstelle) ausgeführt wird. TerraScan kann weiterhin manuell über die Umgebungsvariablen von MSDO konfiguriert werden, wird aber nicht standardmäßig ausgeführt.
Sicherheitsergebnisse von Checkov sind als Empfehlungen sowohl für Azure DevOps als auch für GitHub Repositorys unter den Bewertungen Azure DevOps Repositorys sollten Infrastruktur aufweisen, da Codeergebnisse gelöst sind und GitHub Repositorys infrastrukturieren sollten, da Codeergebnisse aufgelöst wurden.
Weitere Informationen zur DevOps-Sicherheit in Defender for Cloud finden Sie unter DevOps Security Overview. Informationen zum Konfigurieren der MSDO CLI finden Sie in der Dokumentation Azure DevOps oder GitHub.
Update: Änderung der Preise für Defender für Container in Multicloud
24. Juni 2024
Da Defender für Container in Multicloud jetzt allgemein verfügbar ist, ist sie nicht mehr kostenlos. Weitere Informationen finden Sie unter Microsoft Defender for Cloud Pricing.
Einstellung: Erinnerung an die Einstellung von adaptiven Empfehlungen
20. Juni 2024
Geschätztes Datum der Änderung: August 2024
Im Rahmen der MMA-Deprecation und der Defender für server aktualisierte Bereitstellungsstrategie werden Defender für Server-Sicherheitsfeatures über den Microsoft Defender for Endpoint-Agent (MDE) oder über die agentless-Scanfunktionen bereitgestellt. Beide Optionen hängen nicht vom MMA oder Azure Monitoring Agent (AMA) ab.
Empfehlungen für adaptive Sicherheit, die als adaptive Anwendungssteuerelemente und Härtung des adaptiven Netzwerk bezeichnet werden, werden nicht mehr unterstützt. Die aktuelle GA-Version, die auf dem Microsoft Monitoring Agent basiert, und die Vorschauversion, die auf dem Azure Monitor-Agent basiert, werden im August 2024 eingestellt.
Vorschau: Copilot in Defender for Cloud
10. Juni 2024
Wir kündigen die Integration von Microsoft Security Copilot in Defender for Cloud in der öffentlichen Vorschau an. Copilot eingebettete Oberfläche in Defender for Cloud bietet Benutzern die Möglichkeit, Fragen zu stellen und Antworten in natürlicher Sprache zu erhalten. Copilot können Ihnen helfen, den Kontext einer Empfehlung zu verstehen, die Auswirkungen der Implementierung einer Empfehlung, die erforderlichen Schritte zur Implementierung einer Empfehlung, unterstützung bei der Delegierung von Empfehlungen und bei der Behebung von Fehlkonfigurationen im Code zu unterstützen.
Erfahren Sie mehr über Microsoft Security Copilot in Defender for Cloud.
Update: Automatische Aktivierung der SQL-Sicherheitsrisikobewertung
10. Juni 2024
Voraussichtliches Datum der Änderung: 10. Juli 2024
Ursprünglich wurde die SQL-Sicherheitsrisikobewertung (VA) mit Express-Konfiguration nur auf Servern automatisch aktiviert, auf denen Microsoft Defender für SQL nach der Einführung der Express-Konfiguration im Dezember 2022 aktiviert wurde.
Wir werden alle Azure SQL Server aktualisieren, die vor Dezember 2022 Microsoft Defender für SQL aktiviert hatten und keine SQL VA-Richtlinie vorhanden war, um SQL-Sicherheitsrisikobewertung (SQL VA) automatisch mit Express-Konfiguration aktiviert zu haben.
- Die Implementierung dieser Änderung erfolgt schrittweise über mehrere Wochen und erfordert keine Aktion seitens der Benutzenden.
- Diese Änderung gilt für Azure SQL Server, auf denen Microsoft Defender für SQL auf Azure Abonnementebene aktiviert wurde.
- Server mit einer vorhandenen klassischen Konfiguration (ob gültig oder ungültig) sind von dieser Änderung nicht betroffen.
- Nach der Aktivierung wird u. U. die Empfehlung „Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden“ angezeigt und wirkt sich möglicherweise auf Ihre Sicherheitsbewertung aus.
Update: Änderungen des Verhaltens von Identitätsempfehlungen
3. Juni 2024
Voraussichtliches Datum der Änderung: Juli 2024
Diese Änderungen:
- Die bewertete Ressource wird zur Identität statt des Abonnements
- Empfehlungen weisen keine „Unterempfehlungen“ mehr auf
- Der Wert des Felds „assessmentKey“ in der API wird für diese Empfehlungen geändert
Dies gilt für die folgenden Empfehlungen:
- Konten mit Besitzerberechtigungen für Azure Ressourcen sollten MFA aktiviert sein.
- Konten mit Schreibberechtigungen für Azure Ressourcen sollten MFA aktiviert sein.
- Konten mit Leseberechtigungen für Azure Ressourcen sollten MFA aktiviert sein.
- Gastkonten mit Besitzerberechtigungen für Azure Ressourcen sollten entfernt werden.
- Gastkonten mit Schreibberechtigungen für Azure Ressourcen sollten entfernt werden
- Gastkonten mit Leseberechtigungen für Azure Ressourcen sollten entfernt werden.
- Blockierte Konten mit Besitzerberechtigungen für Azure Ressourcen sollten entfernt werden.
- Blockierte Konten mit Lese- und Schreibberechtigungen für Azure Ressourcen sollten entfernt werden.
- Für Ihr Abonnement dürfen maximal drei Besitzer festgelegt werden
- Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein.
Mai 2024
| Date | Category | Update |
|---|---|---|
| 30. Mai | GA | Agentless Malware Detection in Defender for Servers Plan 2 |
| 22. Mai | Update | Konfigurieren von E-Mail-Benachrichtigungen für Angriffspfade |
| 21. Mai | Update | Advanced-Suche in Microsoft Defender XDR umfasst Defender for Cloud Warnungen und Vorfälle |
| 9. Mai | Preview | Checkov-Integration für die IaC-Überprüfung in Defender for Cloud |
| 7. Mai | GA | Permissionsverwaltung in Defender for Cloud |
| 6. Mai | Preview | AI Multicloud Security Posture Management steht für Azure und AWS zur Verfügung. |
| 6. Mai | Eingeschränkte Vorschau | Schutz für KI-Workloads in Azure. |
| Mai 2 | Update | Sicherheitsrichtlinienverwaltung |
| 1. Mai | Preview | Defender für Open-Source-Datenbanken ist jetzt auf AWS für Amazon-Instanzen verfügbar. |
| 1. Mai | Bevorstehendes Veraltetes |
Removal of FIM over AMA und release of new version over Defender for Endpoint. Voraussichtliche Einstellung im August 2024 |
GA: Agentlose Schadsoftwareerkennung in Defender für Server Plan 2
30. Mai 2024
Defender for Cloud agentlose Schadsoftwareerkennung für Azure VMs, AWS EC2-Instanzen und GCP-VM-Instanzen ist jetzt allgemein als neues Feature in Defender für Server Plan 2 verfügbar.
Die Erkennung von agentloser Schadsoftware verwendet das Microsoft Defender Antivirus Anti-Malware-Modul, um schädliche Dateien zu scannen und zu erkennen. Erkannte Bedrohungen lösen Sicherheitswarnungen direkt in Defender for Cloud und Defender XDR aus, wo sie untersucht und behoben werden können. Erfahren Sie mehr über Schadsoftwareüberprüfung ohne Agent für Server und Überprüfung ohne Agent für VMs.
Update: Konfigurieren von E-Mail-Benachrichtigungen für Angriffspfade
22. Mai 2024
Sie können nun E-Mail-Benachrichtigungen konfigurieren, wenn ein Angriffspfad mit einer bestimmten Risikostufe oder höher erkannt wird. Erfahren Sie, wie Sie E-Mail-Benachrichtigungen konfigurieren.
Update: Erweiterte Suche in Microsoft Defender XDR umfasst Defender for Cloud Warnungen und Vorfälle
21. Mai 2024
Defender for Cloud Warnungen und Vorfälle sind jetzt in Microsoft Defender XDR integriert und können im Microsoft Defender Portal aufgerufen werden. Diese Integration bietet einen umfassenderen Kontext für Untersuchungen, die sich über Cloud-Ressourcen, Geräte und Identitäten erstrecken. Weitere Informationen finden Sie unter Erweiterte Bedrohungssuche in der XDR-Integration.
Vorschau: Checkov-Integration für die IaC-Überprüfung in Defender for Cloud
9. Mai 2024
Checkov-Integration für DevOps-Sicherheit in Defender for Cloud befindet sich jetzt in der Vorschau. Diese Integration verbessert sowohl die Qualität als auch die Gesamtanzahl der Infrastructure-as-Code (IaC)-Überprüfungen, die von der Microsoft Security DevOps-Befehlszeilenschnittstelle (MSDO CLI, Command Line Interface) beim Überprüfen von IaC-Vorlagen ausgeführt werden.
Während der Vorschauphase muss Checkov explizit über den tools-Eingabeparameter für die MSDO CLI aufgerufen werden.
Erfahren Sie mehr über DevOps-Sicherheit in Defender for Cloud und konfigurieren Sie die MSDO CLI für Azure DevOps und GitHub.
GA: Berechtigungsverwaltung in Defender for Cloud
7. Mai 2024
Permissions management ist jetzt allgemein in Defender for Cloud verfügbar.
Preview: KI-Sicherheitsstatusverwaltung für Multiclouds
6. Mai 2024
Ki-Sicherheitsstatusverwaltung ist in der Vorschau in Defender for Cloud verfügbar. Es bietet KI-Sicherheitsstatusverwaltungsfunktionen für Azure und AWS, um die Sicherheit Ihrer KI-Pipelines und -Dienste zu verbessern.
Erfahren Sie mehr über die KI-Sicherheitsstatusverwaltung.
Eingeschränkte Vorschau: Bedrohungsschutz für KI-Workloads in Azure
6. Mai 2024
Bedrohungsschutz für KI-Workloads in Defender for Cloud ist in eingeschränkter Vorschau verfügbar. Dieser Plan hilft Ihnen, Ihre Azure OpenAI-basierten Anwendungen zur Laufzeit auf böswillige Aktivitäten zu überwachen, Sicherheitsrisiken zu identifizieren und zu beheben. Sie bietet kontextbezogene Einblicke in den Bedrohungsschutz von KI-Arbeitsauslastungen, die in Responsible AI und Microsoft Threat Intelligence integriert werden. Relevante Sicherheitswarnungen werden in das Defender Portal integriert.
Erfahren Sie mehr über den Bedrohungsschutz für KI-Workloads.
GA: Sicherheitsrichtlinienverwaltung
2. Mai 2024
Die Verwaltung von Sicherheitsrichtlinien in allen Clouds (Azure, AWS, GCP) ist jetzt allgemein verfügbar. Damit können Sicherheitsteams ihre Sicherheitsrichtlinien einheitlich und mit neuen Features verwalten.
Erfahren Sie mehr über security policies in Microsoft Defender for Cloud.
Vorschau: Defender für Open-Source-Datenbanken, die in AWS verfügbar sind
1. Mai 2024
Defender für Open-Source-Datenbanken auf AWS ist jetzt in der Vorschau verfügbar. Hiermit wird Unterstützung für verschiedene Typen von Amazon Relational Database Service-Instanzen (RDS) hinzugefügt.
Erfahren Sie mehr über Defender für Open-Source-Datenbanken und enable Defender für Open-Source-Datenbanken auf AWS.
Einstellung: Entfernen der Dateiintegritätsüberwachung (mit dem Azure Monitor-Agent)
1. Mai 2024
Geschätztes Datum der Änderung: August 2024
Im Rahmen der MMA-Deprecation und der Defender für server aktualisierte Bereitstellungsstrategie werden alle Defender für Server-Sicherheitsfeatures über einen einzelnen Agent (MDE) oder über agentlose Scanfunktionen bereitgestellt, und ohne Abhängigkeit von mmA oder AMA.
Mit der neuen Version der Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) über Microsoft Defender for Endpoint (MDE) können Sie Complianceanforderungen erfüllen, indem Sie kritische Dateien und Registrierungen in Echtzeit überwachen, Änderungen überwachen und verdächtige Dateiinhaltsänderungen erkennen.
Im Rahmen dieser Version wird FIM-Erfahrung über AMA ab August 2024 nicht mehr über das Defender for Cloud-Portal verfügbar sein. Weitere Informationen finden Sie unter Dateiintegritätsüberwachung – Änderungen und Migrationsleitfaden.
Ausführliche Informationen zur neuen API-Version finden Sie unter Microsoft Defender for Cloud REST-APIs.
der April 2024
| Date | Category | Update |
|---|---|---|
| 16. April | Bevorstehendes Update |
Änderung der CIEM-Bewertungs-IDs Voraussichtliches Update: Mai 2024 |
| 15. April | GA | Defender für Container ist jetzt für AWS und GCP verfügbar. |
| 3. April | Update | Risk-Priorisierung ist jetzt die Standardoberfläche in Defender for Cloud |
| 3. April | Update | Defender für Updates relationaler Open-Source-Datenbanken. |
Update: Änderung der CIEM-Bewertungs-IDs
16. April 2024
Geschätztes Datum für die Änderung: Mai 2024
Für die folgenden Empfehlungen ist eine Umgestaltung geplant, die zu Änderungen an ihren Bewertungs-IDs führt:
Azure overprovisioned identities should have only the necessary permissionsAWS Overprovisioned identities should have only the necessary permissionsGCP overprovisioned identities should have only the necessary permissionsSuper identities in your Azure environment should be removedUnused identities in your Azure environment should be removed
GA: Defender für Container für AWS und GCP
15. April 2024
Laufzeit-Bedrohungserkennung und agentlose Ermittlung für AWS und GCP in Defender für Container sind jetzt allgemein verfügbar. Darüber hinaus gibt es eine neue Authentifizierungsfunktion in AWS, die die Bereitstellung vereinfacht.
Erfahren Sie mehr über container unterstützen Matrix in Defender for Cloud und wie Sie konfigurieren Defender für Containerkomponenten.
Update: Risikopriorisierung
3. April 2024
Die Risikopriorisierung ist jetzt die Standardoberfläche in Defender for Cloud. Dieses Feature hilft Ihnen, sich auf die wichtigsten Sicherheitsprobleme in Ihrer Umgebung zu konzentrieren, indem Sie Empfehlungen basierend auf den Risikofaktoren jeder Ressource priorisieren. Zu den Risikofaktoren gehören die potenziellen Auswirkungen des Sicherheitsproblems, die Risikokategorien und der Angriffspfad, zu dem das Sicherheitsproblem gehört. Erfahren Sie mehr über die Risikopriorisierung.
Update: Defender für Open-Source relationale Datenbanken
3. April 2024
- Defender for PostgreSQL Flexible Servers post-GA updates – Das Update ermöglicht Es Kunden, den Schutz für vorhandene flexible PostgreSQL-Server auf Abonnementebene zu erzwingen, sodass vollständige Flexibilität zum Schutz pro Ressource oder zum automatischen Schutz aller Ressourcen auf Abonnementebene ermöglicht wird.
- Defender für die Verfügbarkeit von flexiblen MySQL-Servern und GA – Defender for Cloud erweiterte seine Unterstützung für Azure Open-Source-relationale Datenbanken, indem MySQL Flexible Server integriert werden.
Diese Version umfasst:
- Warnungskompatibilität mit vorhandenen Warnungen für Defender für MySQL Single Servers.
- Aktivierung einzelner Ressourcen.
- Aktivierung auf Abonnementebene.
- Updates für Azure Database for MySQL flexible Server werden in den nächsten Wochen bereitgestellt. Wenn der Fehler
The server <servername> is not compatible with Erweiterter Schutz vor Bedrohungenangezeigt wird, können Sie entweder auf das Update warten oder ein Supportticket öffnen, um den Server früher auf eine unterstützte Version zu aktualisieren.
Wenn Sie Ihr Abonnement bereits mit Defender für relationale Open Source-Datenbanken schützen, werden Ihre flexiblen Serverressourcen automatisch aktiviert, geschützt und in Rechnung gestellt. Bestimmte Abrechnungsbenachrichtigungen wurden per E-Mail für betroffene Abonnements gesendet.
Erfahren Sie mehr über Microsoft Defender für relationale Open-Source-Datenbanken.
März 2024
GA: Windows Containerimages scannen
31. März 2024
Wir kündigen die allgemeine Verfügbarkeit der Windows Containerimages an, die durch Defender für Container überprüft werden können.
Update: Der fortlaufende Export umfasst jetzt Angriffspfaddaten
25. März 2024
Wir kündigen an, dass der fortlaufende Export jetzt Angriffspfaddaten enthält. Mit diesem Feature können Sie Sicherheitsdaten streamen, um Log Analytics in Azure Monitor, zu Azure Event Hubs oder zu einer anderen SIEM-Lösung (Security Information and Event Management, Security Orchestration Automated Response, SOAR) oder einer klassischen IT-Bereitstellungsmodelllösung zu streamen.
Erfahren Sie mehr über den kontinuierlichen Export.
Vorschau: Agentless Scanning unterstützt CMK-verschlüsselte VMs in Azure
21. März 2024
Bis jetzt behandelte die Überprüfung ohne Agent mit CMK verschlüsselte virtuelle Computer in AWS und GCP. Mit dieser Version wird auch unterstützung für Azure abgeschlossen. Die Funktion verwendet einen einzigartigen Scanansatz für CMK in Azure:
- Defender for Cloud behandelt den Schlüssel- oder Entschlüsselungsprozess nicht. Schlüssel und Entschlüsselung werden nahtlos von Azure Compute verarbeitet und sind transparent für den agentlosen Scandienst Defender for Cloud.
- Die unverschlüsselten VM-Datenträgerdaten werden niemals kopiert oder mit einem anderen Schlüssel erneut verschlüsselt.
- Der ursprüngliche Schlüssel wird während des Prozesses nicht repliziert. Durch das Löschen werden die Daten sowohl auf Ihrer Produktions-VM als auch auf der temporären Momentaufnahme Defender for Cloud beseitigt.
Während der öffentlichen Vorschau wird diese Funktion nicht automatisch aktiviert. Wenn Sie Defender für Server P2 oder Defender CSPM verwenden und In Ihrer Umgebung VMs mit CMK-verschlüsselten Datenträgern vorhanden sind, können Sie diese nun nach Sicherheitsrisiken, geheimen Schlüsseln und Schadsoftware durchsucht haben, die diesen schritten enablement folgen.
Vorschau: Benutzerdefinierte Empfehlungen basierend auf KQL für Azure
17. März 2024
Benutzerdefinierte Empfehlungen, die auf KQL für Azure basieren, befinden sich jetzt in der öffentlichen Vorschau und werden für alle Clouds unterstützt. Erstellen von benutzerdefinierten Sicherheitsstandards und Empfehlungen in Microsoft Defender für Cloud.
Update: Einbeziehung von DevOps-Empfehlungen in den Microsoft Cloudsicherheits-Benchmark
13. März 2024
Heute werden wir angekündigt, dass Sie zusätzlich zu Azure, AWS und GCP Ihren DevOps-Sicherheitsstatus im Microsoft Cloud Security Benchmark (MCSB) überwachen können. DevOps-Bewertungen sind Teil der DevOps-Sicherheitskontrolle im MCSB.
Der MCSB ist ein Framework, das grundlegende Cloudsicherheitsprinzipien definiert, die auf allgemeinen Branchenstandards und Complianceframeworks basieren, Der MCSB enthält detaillierte Vorgaben zur Implementierung seiner cloudunabhängigen Sicherheitsempfehlungen.
Erfahren Sie mehr über die empfehlungen für DevOps, die einbezogen werden, und den Microsoft Cloud Security Benchmark.
GA: ServiceNow-Integration ist jetzt allgemein verfügbar
12. März 2024
Wir kündigen die allgemeine Verfügbarkeit (GA) der ServiceNow-Integration an.
Vorschau: Schutz kritischer Ressourcen in Microsoft Defender for Cloud
12. März 2024
Defender for Cloud umfasst jetzt ein Feature für unternehmenskritische Funktionen, das Microsoft Security Exposure Management-Modul für kritische Ressourcen verwendet, um wichtige Ressourcen durch Risikopriorisierung, Angriffspfadanalyse und Cloudsicherheits-Explorer zu identifizieren und zu schützen. Weitere Informationen finden Sie unter Critical assets protection in Microsoft Defender for Cloud (Preview).
Update: Verbesserte AWS- und GCP-Empfehlungen mit automatisierten Wartungsskripts
12. März 2024
Wir verbessern die AWS- und GCP-Empfehlungen mit automatisierten Wartungsskripts, mit denen Sie Wartungen programmgesteuert und im großen Stil durchführen können. Erfahren Sie mehr über automatisierte Wartungsskripts.
Preview: Compliance-Standards zum Compliancedashboard hinzugefügt
6. März 2024
Basierend auf Kundenfeedback haben wir Compliancestandards in der Vorschau zu Defender for Cloud hinzugefügt.
Sehen Sie sich die vollständige Liste der unterstützten Compliance-Standards an
Wir arbeiten kontinuierlich daran, neue Standards für Azure-, AWS- und GCP-Umgebungen hinzuzufügen und zu aktualisieren.
Hier erfahren Sie, wie Sie einen Sicherheitsstandard zuweisen.
Update: Defender für Updates relationaler Open-Source-Datenbanken
6. März 2024**
Geschätztes Datum der Änderung: April 2024
Defender for PostgreSQL Flexible Servers post-GA updates – Das Update ermöglicht Es Kunden, den Schutz für vorhandene flexible PostgreSQL-Server auf Abonnementebene zu erzwingen, sodass vollständige Flexibilität zum Schutz pro Ressource oder zum automatischen Schutz aller Ressourcen auf Abonnementebene ermöglicht wird.
Defender für die Verfügbarkeit von flexiblen MySQL-Servern und GA – Defender for Cloud wird die Unterstützung für Azure open-source relationalen Datenbanken durch Die Einbindung von MySQL Flexible Servers erweitern. Diese Version enthält Folgendes:
- Warnungskompatibilität mit vorhandenen Warnungen für Defender für MySQL Single Servers.
- Aktivierung einzelner Ressourcen.
- Aktivierung auf Abonnementebene.
Wenn Sie Ihr Abonnement bereits mit Defender für relationale Open Source-Datenbanken schützen, werden Ihre flexiblen Serverressourcen automatisch aktiviert, geschützt und in Rechnung gestellt. Bestimmte Abrechnungsbenachrichtigungen wurden per E-Mail für betroffene Abonnements gesendet.
Erfahren Sie mehr über Microsoft Defender für relationale Open-Source-Datenbanken.
Update: Änderungen an Complianceangeboten und Microsoft Aktionseinstellungen
3. März 2024
Geschätztes Datum für die Änderung: September 30, 2025
Am 30. September 2025 werden sich die Speicherorte, an denen Sie auf zwei Vorschaufeatures zugreifen, das Complianceangebot und Microsoft Aktionen ändern.
In der Tabelle, in der der Konformitätsstatus der Produkte Microsoft aufgelistet ist (auf die über das Compliance-Angebot zugegriffen wirdschaltfläche auf der Symbolleiste des regulatory Compliance-Dashboards von Defender). Nachdem diese Schaltfläche aus Defender for Cloud entfernt wurde, können Sie weiterhin über das Service Trust Portal auf diese Informationen zugreifen.
Für eine Teilmenge von Steuerelementen wurde auf Microsoft Aktionen über die Schaltfläche Microsoft Aktionen (Vorschau) im Detailbereich der Steuerelemente zugegriffen. Nachdem diese Schaltfläche entfernt wurde, können Sie Microsoft Aktionen anzeigen, Microsoft indem Sie das Service Trust Portal für FedRAMP besuchen und auf das Azure Systemsicherheitsplan-Dokument zugreifen.
Update: Änderungen an der Stelle, an der Sie auf Complianceangebote und Microsoft Aktionen zugreifen
3. März 2024**
Voraussichtliches Änderungsdatum: September 2025
Am 30. September 2025 werden sich die Speicherorte, an denen Sie auf zwei Vorschaufeatures zugreifen, das Complianceangebot und Microsoft Aktionen ändern.
In der Tabelle, in der der Konformitätsstatus der Produkte Microsoft aufgelistet ist (auf die über das Compliance-Angebot zugegriffen wirdschaltfläche auf der Symbolleiste des regulatory Compliance-Dashboards von Defender). Nachdem diese Schaltfläche aus Defender for Cloud entfernt wurde, können Sie weiterhin über das Service Trust Portal auf diese Informationen zugreifen.
Für eine Teilmenge von Steuerelementen wurde auf Microsoft Aktionen über die Schaltfläche Microsoft Aktionen (Vorschau) im Detailbereich der Steuerelemente zugegriffen. Nachdem diese Schaltfläche entfernt wurde, können Sie Microsoft Aktionen anzeigen, Microsoft indem Sie das Service Trust Portal für FedRAMP besuchen und auf das Azure Systemsicherheitsplan-Dokument zugreifen.
Veraltet: Defender for Cloud Container-Sicherheitsrisikobewertung, die durch die Deaktivierung von Qualys unterstützt wird
3. März 2024
Die von Qualys unterstützte Defender for Cloud-Container-Sicherheitsrisikobewertung wird eingestellt. Die Ausmusterung wird bis zum 6. März abgeschlossen sein, und bis dahin können noch Teilergebnisse sowohl in den Qualys-Empfehlungen als auch in den Qualys-Ergebnissen im Sicherheitsdiagramm erscheinen. Alle Kunden, die diese Bewertung zuvor verwendet haben, sollten ein Upgrade auf Vulnerability-Bewertungen für Azure mit Microsoft Defender Vulnerability Management durchführen. Informationen zum Übergang zum Angebot zur Bewertung von Containerrisiken, das von Microsoft Defender Vulnerability Management unterstützt wird, finden Sie unter Transition from Qualys to Microsoft Defender Vulnerability Management.
Februar 2024
| Date | Category | Update |
|---|---|---|
| 28. Februar | Deprecation | Microsoft Security Code Analysis (MSCA) ist nicht mehr betriebsbereit. |
| 28. Februar | Update | Aktualisierte Sicherheitsrichtlinienverwaltung erweitert Unterstützung auf AWS und GCP |
| 26. Februar | Update | Cloud-Unterstützung für Defender für Container |
| 20. Februar | Update | Neue Version des Defender Sensors für Defender für Container |
| 18. Februar | Update | Unterstützung der Spezifikation für das Imageformat Open Container Initiative (OCI) |
| 13. Februar | Deprecation | Von Trivy unterstützte Sicherheitsrisikobewertung für AWS-Container eingestellt |
| 5. Februar | Bevorstehendes Update |
Demission von Microsoft. SecurityDevOps-Ressourcenanbieter Erwartet: 6. März 2024 |
Veraltet: Microsoft Security Code Analysis (MSCA) ist nicht mehr betriebsbereit
28. Februar 2024
Im Februar 2021 wurde der Ablauf der MSCA-Aufgabe allen Kunden mitgeteilt und seit März 2022 bereits seit Ende des Lebenszyklus unterstützt. Seit dem 26. Februar 2024 ist MSCA offiziell nicht mehr einsatzbereit.
Kunden können die neuesten DevOps-Sicherheitstools von Defender for Cloud über Microsoft Security DevOps und mehr Sicherheitstools über GitHub Advanced Security for Azure DevOps abrufen.
Update: Sicherheitsrichtlinienverwaltung erweitert Unterstützung auf AWS und GCP
28. Februar 2024
Die aktualisierte Benutzeroberfläche für die Verwaltung von Sicherheitsrichtlinien, die zunächst in Preview für Azure veröffentlicht wurden, erweitert seine Unterstützung für cloudübergreifende Umgebungen (AWS und GCP). Diese Vorschauversion umfasst Folgendes:
- Verwalten von regulatory Compliance-Standards in Defender for Cloud in Azure-, AWS- und GCP-Umgebungen.
- Die gleiche Benutzeroberfläche für die cloudübergreifende Benutzeroberfläche zum Erstellen und Verwalten von Microsoft Cloud Security Benchmark(MCSB)-benutzerdefinierten Empfehlungen.
- Die aktualisierte Umgebung wird auf AWS und GCP angewendet, um benutzerdefinierte Empfehlungen mit einer KQL-Abfrage zu erstellen.
Update: Cloudunterstützung für Defender für Container
26. Februar 2024
Azure Kubernetes Service (AKS) Features zur Bedrohungserkennung in Defender für Container werden jetzt vollständig in kommerziellen, Azure Government und Azure China 21Vianet Clouds unterstützt. Überprüfen Sie unterstützte Features.
Update: Neue Version des Defender Sensors für Defender für Container
20. Februar 2024
A new version of the Defender sensor for Defender for Containers is available. Es umfasst Leistungs- und Sicherheitsverbesserungen, Unterstützung für AMD64- und Arm64-Bogenknoten (nur Linux) und verwendet Inspektor Gadget als Prozesssammlungs-Agent anstelle von Sysdig. Die neue Version wird nur unter Linux-Kernelversionen 5.4 und höher unterstützt, wenn Sie also ältere Versionen des Linux-Kernels haben, müssen Sie ein Upgrade durchführen. Unterstützung für Arm64 ist erst ab AKS V1.29 verfügbar. Weitere Informationen finden Sie unter Unterstützte Hostbetriebssysteme.
Update: Unterstützung der Spezifikation für das Imageformat der Open Container Initiative (OCI)
18. Februar 2024
Die
Einstellung: Von Trivy unterstützte Sicherheitsrisikobewertung für AWS-Container eingestellt
13. Februar 2024
Die Container-Sicherheitsrisikobewertung mit Trivy wurde eingestellt. Alle Kunden, die diese Bewertung zuvor verwendet haben, sollten ein Upgrade auf die neue AWS-Container-Sicherheitsrisikobewertung durchführen, die von Microsoft Defender Vulnerability Management unterstützt wird. Anweisungen zum Upgrade finden Sie unter
Update: Außerbetriebnahme von Microsoft. SecurityDevOps-Ressourcenanbieter
5. Februar 2024
Geschätztes Datum der Änderung: 6. März 2024
Microsoft Defender for Cloud wird der Ressourcenanbieter Microsoft.SecurityDevOps außer Betrieb genommen, der während der öffentlichen Vorschau der DevOps-Sicherheit verwendet wurde, nachdem er zum vorhandenen Microsoft.Security-Anbieter migriert wurde. Der Grund für die Änderung besteht darin, die Kundenfreundlichkeit zu verbessern, indem die Anzahl der Ressourcenanbieter in Verbindung mit DevOps-Connectors reduziert wird.
Kunden, die noch die API-Version 2022-09-01-preview unter Microsoft.SecurityDevOps verwenden, um Defender for Cloud DevOps-Sicherheitsdaten abzufragen, sind betroffen. Um Unterbrechungen des Diensts zu vermeiden, muss der Kunde auf die neue API-Version 2023-09-01-preview unter dem Anbieter Microsoft.Security aktualisieren.
Kunden, die derzeit Defender for Cloud DevOps-Sicherheit aus Azure Portal verwenden, sind nicht betroffen.
Januar 2024
Update: Neue Erkenntnis für aktive Repositorys im Cloudsicherheits-Explorer
31. Januar 2024
Dem Cloud Security Explorer wurde ein neuer Einblick für Azure DevOps Repositorys hinzugefügt, um anzugeben, ob Repositorys aktiv sind. Dieser Einblick gibt an, dass das Code-Repository nicht archiviert oder deaktiviert ist, was bedeutet, dass der Schreibzugriff auf Code, Builds und Pullanforderungen für Benutzer weiterhin verfügbar ist. Archivierte und deaktivierte Repositorys werden möglicherweise als niedrigere Priorität betrachtet, da der Code in der Regel nicht in aktiven Bereitstellungen verwendet wird.
Verwenden Sie diesen Abfragelink, um die Abfrage über Cloudsicherheits-Explorer zu testen.
Update: Änderung der Preise für die Bedrohungserkennung von Multicloudcontainern
30. Januar 2024**
Geschätztes Datum der Änderung: April 2024
Wenn die Bedrohungserkennung von Multicloud-Containern zu GA wechselt, ist sie nicht mehr kostenlos. Weitere Informationen finden Sie unter Microsoft Defender for Cloud Pricing.
Update: Erzwingung von Defender CSPM für Premium DevOps-Sicherheitswert
29. Januar 2024**
Geschätztes Datum der Änderung: März 7, 2024
Defender for Cloud beginnt mit der Erzwingung der Defender CSPM Planüberprüfung auf premium DevOps-Sicherheitswert ab March 7. 2024. Wenn Sie den Defender CSPM Plan in einer Cloudumgebung (Azure, AWS, GCP) innerhalb desselben Mandanten aktiviert haben, in dem Ihre DevOps-Connectors erstellt werden, erhalten Sie weiterhin premium DevOps-Funktionen ohne zusätzliche Kosten. Wenn Sie kein Defender CSPM Kunde sind, haben Sie bis March 7th, 2024, um Defender CSPM zu aktivieren, bevor der Zugriff auf diese Sicherheitsfeatures verloren geht. Um Defender CSPM in einer verbundenen Cloudumgebung vor dem 7. März 2024 zu aktivieren, folgen Sie der aktivierungsdokumentation, die here beschrieben ist.
Weitere Informationen dazu, welche DevOps-Sicherheitsfeatures sowohl für die Foundational-CSPM- als auch für Defender CSPM-Pläne verfügbar sind, finden Sie in dokumentation zur Bereitstellung von Features.
Weitere Informationen zu DevOps Security in Defender for Cloud finden Sie in der dokumentation overview.
Weitere Informationen zum Code zu Cloudsicherheitsfunktionen in Defender CSPM finden Sie unter how to protect your resources with Defender CSPM.
Vorschau: Agentloser Containerstatus für GCP in Defender für Container und Defender CSPM
24. Januar 2024
Die neuen Funktionen für agentlose Containerstatus (Vorschau) sind für GCP verfügbar, einschließlich Vulnerability-Bewertungen für GCP mit Microsoft Defender Vulnerability Management. Weitere Informationen zu allen Funktionen finden Sie unter Agentless Containerstatus in Defender CSPM und Agentless-Funktionen in Defender für Container.
In diesem Blogbeitrag können Sie sich auch über die Verwaltung von Containerstatus ohne Agent für Multicloud informieren.
Preview: Schadsoftwarescanning ohne Agent für Server
16. Januar 2024
Wir kündigen die Veröffentlichung der agentlosen Schadsoftwareerkennung Defender for Cloud für Azure virtuelle Computer (VM), AWS EC2-Instanzen und GCP-VM-Instanzen als neues Feature an, das in Defender für Server Plan 2 enthalten ist.
Die Schadsoftwareerkennung ohne Agent für VMs ist jetzt in unserer Plattform für Überprüfung ohne Agent enthalten. Agentlose Schadsoftwareüberprüfung verwendet Microsoft Defender Antivirus Anti-Malware-Modul, um schädliche Dateien zu scannen und zu erkennen. Alle erkannten Bedrohungen, lösen Sicherheitswarnungen direkt in Defender for Cloud und Defender XDR aus, wo sie untersucht und behoben werden können. Die Schadsoftwareüberprüfung ohne Agent ergänzt die agentbasierte Abdeckung durch eine zweite Ebene der Bedrohungserkennung mit reibungslosem Onboarding und hat keine Auswirkungen auf die Leistung Ihres Computers.
Erfahren Sie mehr über Schadsoftwareüberprüfung ohne Agent für Server und Überprüfung ohne Agent für VMs.
Allgemeine Verfügbarkeit der Integration von Defender for Cloud mit Microsoft Defender XDR
15. Januar 2024
Wir kündigen die allgemeine Verfügbarkeit (GA) der Integration zwischen Defender for Cloud und Microsoft Defender XDR (ehemals Office 365 Defender) an.
Die Integration bietet wettbewerbsfähige Cloudschutzfunktialitäten in den Alltag des Security Operations Center (SOC). Mit Microsoft Defender for Cloud und der Defender XDR Integration können SOC-Teams Angriffe entdecken, die Erkennungen aus mehreren Säulen kombinieren, einschließlich Cloud, Endpunkt, Identität, Microsoft 365 und mehr.
Erfahren Sie mehr über alerts und Vorfälle in Microsoft Defender XDR.
Update: Agentless VM scannt integrierte Azure Rolle
14. Januar 2024**
Geschätztes Datum der Änderung: Februar 2024
In Azure verwendet die agentlose Überprüfung auf VMs eine integrierte Rolle (als VM-Scanneroperator) mit den minimal erforderlichen Berechtigungen, die zum Scannen und Bewerten Ihrer VMs für Sicherheitsprobleme erforderlich sind. Um fortlaufend relevante Integritäts- und Konfigurationsempfehlungen aus dem Scan für VMs mit verschlüsselten Volumes bereitzustellen, ist eine Aktualisierung der Berechtigungen dieser Rolle geplant. Das Update enthält das Hinzufügen der Berechtigung Microsoft.Compute/DiskEncryptionSets/read. Diese Berechtigung ermöglicht ausschließlich eine verbesserte Identifizierung der verschlüsselten Datenträgernutzung in VMs. Es bietet Defender for Cloud keine weiteren Funktionen zum Entschlüsseln oder Zugreifen auf den Inhalt dieser verschlüsselten Volumes über die Verschlüsselungsmethoden hinaus already unterstützt vor dieser Änderung. Diese Änderung wird voraussichtlich im Februar 2024 stattfinden, und es sind keine Maßnahmen Ihrerseits erforderlich.
Update: DevOps-Sicherheitsanmerkungen für Pullanforderung standardmäßig für Azure DevOps Connectors aktiviert
12. Januar 2024
DevOps-Sicherheit macht Sicherheitsergebnisse als Anmerkungen in Pull Requests (PR) verfügbar, um Entwicklern zu helfen, potenzielle Sicherheitsrisiken und Fehlkonfigurationen zu verhindern und zu beheben, bevor sie in die Produktion gelangen. Seit dem 12. Januar 2024 sind PR-Anmerkungen jetzt für alle neuen und vorhandenen Azure DevOps Repositorys, die mit Defender for Cloud verbunden sind, standardmäßig aktiviert.
PR-Anmerkungen sind standardmäßig nur für Ergebnisse mit hohem Schweregrad für Infrastruktur als Code (Infrastructure as Code, IaC) aktiviert. Kunden müssen weiterhin Microsoft Security für DevOps (MSDO) für die Ausführung in PR-Builds konfigurieren und die Buildüberprüfungsrichtlinie für CI-Builds in Azure DevOps Repositoryeinstellungen aktivieren. Kunden können die PR-Anmerkungsfunktion für bestimmte Repositorys innerhalb der DevOps-Sicherheitsbereich-Repositorykonfigurationsoptionen deaktivieren.
Erfahren Sie mehr über abling Pull Request Anmerkungen für Azure DevOps.
Veraltet: Defender für die integrierte Sicherheitsrisikobewertung (Qualys) von Servern
9. Januar 2024**
Geschätztes Datum für die Änderung: Mai 2024
Die von Qualys unterstützte Defender für server integrierte Lösung zur Sicherheitsrisikobewertung befindet sich auf einem Einstellungspfad, der auf May 1st, 2024 abgeschlossen ist. Wenn Sie derzeit die lösung für die Sicherheitsrisikobewertung verwenden, die von Qualys unterstützt wird, sollten Sie Ihre Transition in die integrierte lösung für das Microsoft Defender Sicherheitsrisikoverwaltung planen.
Weitere Informationen zu unserer Entscheidung, unser Angebot zur Sicherheitsrisikobewertung mit Microsoft Defender Vulnerability Management zu vereinheitlichen, können Sie diesen Blogbeitrag lesen.
Sie können auch die Fragen zu common über den Übergang zu Microsoft Defender Vulnerability Management Lösung auschecken.
Update: Anforderungen an multicloud-Netzwerke von Defender for Cloud
3. Januar 2024
Geschätztes Datum für die Änderung: Mai 2024
Ab Mai 2024 werden wir die alten IP-Adressen, die unseren Multicloud-Ermittlungsdienst zugeordnet sind, ausgemustert, um Verbesserungen zu ermöglichen und eine sicherere und effizientere Erfahrung für alle Benutzer*innen zu gewährleisten.
Um den unterbrechungsfreien Zugriff auf unsere Dienste sicherzustellen, sollten Sie Ihre Liste zugelassener IP-Adressen mit den neuen Bereichen aktualisieren, die in den folgenden Abschnitten bereitgestellt werden. Sie sollten die erforderlichen Anpassungen in Ihren Firewalleinstellungen, Sicherheitsgruppen oder anderen Konfigurationen vornehmen, die möglicherweise für Ihre Umgebung gelten.
Die Liste gilt für alle Pläne und ausreichend für die volle Funktionalität des (kostenlosen) CSPM-Grundlagenangebots.
IP-Adressen, die ausgemustert werden:
- Discovery GCP: 104.208.29.200, 52.232.56.127
- Discovery AWS: 52.165.47.219, 20.107.8.204
- Onboarding: 13.67.139.3
Neue regionsspezifische IP-Bereiche, die hinzugefügt werden sollen:
- Europa, Westen: 52.178.17.48/28
- Europa, Norden: 13.69.233.80/28
- USA, Mitte: 20.44.10.240/28
- USA, Osten 2: 20.44.19.128/28
Dezember 2023
Konsolidierung der Namen der Dienstebene 2 von Defender for Cloud
30. Dezember 2023
Wir konsolidieren die älteren Service Level 2-Namen für alle Defender for Cloud Pläne in einem einzigen neuen Service Level 2-Namen, Microsoft Defender for Cloud.
Heute gibt es vier Namen der Serviceebene 2: Azure Defender, Erweiterter Schutz vor Bedrohungen, Erweiterte Datensicherheit und Security Center. Die verschiedenen Meter für Microsoft Defender for Cloud werden über diese separaten Service Level 2-Namen gruppiert, wodurch Komplexitäten bei Verwendung von Kostenverwaltung + Abrechnung, Rechnungsstellung und anderen Azure abrechnungsbezogenen Tools entstehen.
Die Änderung vereinfacht den Prozess der Überprüfung Defender for Cloud Gebühren und bietet bessere Klarheit bei der Kostenanalyse.
Um einen reibungslosen Übergang zu gewährleisten, haben wir Maßnahmen ergriffen, um die Konsistenz des Produkt-/Service-Namens, der SKU und der Zähler-IDs zu wahren. Betroffene Kunden erhalten eine informationale Azure Dienstbenachrichtigung, um die Änderungen zu kommunizieren.
Organisationen, die Kostendaten durch Aufrufen unserer APIs abrufen, müssen die Werte in ihren Aufrufen aktualisieren, um die Änderung zu berücksichtigen. In dieser Filterfunktion geben die Werte zum Beispiel keine Informationen zurück:
"filter": {
"dimensions": {
"name": "MeterCategory",
"operator": "In",
"values": [
"Advanced Threat Protection",
"Advanced Data Security",
"Azure Defender",
"Security Center"
]
}
}
| ALTER Service Level 2-Name | NEUER Service Level 2-Name | Dienstebene – Service Level 4 (Keine Änderung) |
|---|---|---|
| Erweiterte Datensicherheit | Microsoft Defender for Cloud | Defender für SQL |
| Erweiterter Schutz vor Bedrohungen | Microsoft Defender for Cloud | Defender für Containerregistrierungen |
| Erweiterter Schutz vor Bedrohungen | Microsoft Defender for Cloud | Defender für DNS |
| Erweiterter Schutz vor Bedrohungen | Microsoft Defender for Cloud | Defender für Key Vault |
| Erweiterter Schutz vor Bedrohungen | Microsoft Defender for Cloud | Defender für Kubernetes |
| Erweiterter Schutz vor Bedrohungen | Microsoft Defender for Cloud | Defender für MySQL |
| Erweiterter Schutz vor Bedrohungen | Microsoft Defender for Cloud | Defender für PostgreSQL |
| Erweiterter Schutz vor Bedrohungen | Microsoft Defender for Cloud | Defender für Resource Manager |
| Erweiterter Schutz vor Bedrohungen | Microsoft Defender for Cloud | Defender für Speicher |
| Azure Defender | Microsoft Defender for Cloud | Defender für die Verwaltung externer Angriffe Surface |
| Azure Defender | Microsoft Defender for Cloud | Defender für Azure Cosmos DB |
| Azure Defender | Microsoft Defender for Cloud | Defender für Container |
| Azure Defender | Microsoft Defender for Cloud | Defender für MariaDB |
| Security Center | Microsoft Defender for Cloud | Defender für App Service |
| Security Center | Microsoft Defender for Cloud | Defender für Server |
| Security Center | Microsoft Defender for Cloud | Defender CSPM |
Defender für Server auf Ressourcenebene, die als GA verfügbar sind
24. Dezember 2023
Es ist jetzt möglich, Defender für Server auf bestimmten Ressourcen in Ihrem Abonnement zu verwalten, sodass Sie die vollständige Kontrolle über Ihre Schutzstrategie erhalten. Mit dieser Funktion können Sie bestimmte Ressourcen mit benutzerdefinierten Konfigurationen konfigurieren, die sich von den auf Abonnementebene konfigurierten Einstellungen unterscheiden.
Erfahren Sie mehr über abling Defender für Server auf Ressourcenebene.
Einstellung von klassischen Connectors für Multicloud
21. Dezember 2023
Der klassische Multicloud-Connector hat ausgedient und die Daten werden nicht mehr zu den über diesen Mechanismus erstellten Konnektoren gestreamt. Diese klassischen Connectors wurden verwendet, um AWS Security Hub- und GCP Security Command Center-Empfehlungen zu Defender for Cloud und aws EC2s in Defender für Server zu integrieren.
Der volle Wert dieser Connectors wurde durch die nativen Multicloud-Sicherheitsconnectors ersetzt, die seit März 2022 ohne weitere Kosten für AWS und GCP allgemein verfügbar sind.
Die neuen nativen Connectors sind in Ihrem Plan enthalten und bieten eine automatisierte Onboarding-Erfahrung mit Optionen für das Onboarding einzelner Konten, mehrerer Konten (mit Terraform) und das Onboarding der Organisation mit automatischer Bereitstellung für die folgenden Defender Pläne: kostenlose grundlegende CSPM-Funktionen, Defender Cloud Security Posture Management (CSPM), Defender für Server, Defender für SQL und Defender für Container.
Freigabe der Abdeckungsarbeitsmappe
21. Dezember 2023
Mit der Arbeitsmappe "Abdeckung" können Sie nachverfolgen, welche Defender for Cloud Pläne für welche Teile Ihrer Umgebungen aktiv sind. Diese Arbeitsmappe kann Ihnen helfen, sicherzustellen, dass Ihre Umgebungen und Abonnements vollständig geschützt sind. Wenn Sie Zugriff auf detaillierte Abdeckungsinformationen haben, können Sie auch alle Bereiche identifizieren, die möglicherweise einen anderen Schutz benötigen, und Maßnahmen ergreifen, um diese Bereiche zu adressieren.
Erfahren Sie mehr über die Abdeckungsarbeitsmappe.
Allgemeine Verfügbarkeit der Sicherheitsrisikobewertung von Containern, die von Microsoft Defender Vulnerability Management in Azure Government und Azure betrieben von 21Vianet unterstützt wird
14. Dezember 2023
Die Sicherheitsrisikobewertung (VA) für Linux-Containerimages in Azure Containerregistrierungen, die von Microsoft Defender Vulnerability Management unterstützt werden, wird in Azure Government und Azure veröffentlicht, die von 21Vianet betrieben werden. Diese neue Version ist unter dem Defender für Container und Defender für Containerregistrierungspläne verfügbar.
- Im Rahmen dieser Änderung wurden neue Empfehlungen für GA veröffentlicht und in die Berechnung von Sicherheitsbewertungen einbezogen. Überprüfen neuer und aktualisierter Sicherheitsempfehlungen
- Der Von Microsoft Defender Vulnerability Management unterstützte Containerimagescan verursacht jetzt auch Gebühren gemäß planen der Preise. Bilder, die sowohl von unserem Va-Angebot des Containers gescannt wurden, das von Qualys und Container VA angeboten wird, das von Microsoft Defender Vulnerability Management unterstützt wird, werden nur einmal in Rechnung gestellt.
Qualys-Empfehlungen für die Bewertung der Sicherheitsanfälligkeit in Containern wurden umbenannt und stehen weiterhin für Kunden zur Verfügung, die vor dieser Version Defender für Container aktiviert haben. Neue Kunden, die Defender für Container integrieren, werden nach dieser Version nur die neuen Empfehlungen zur Bewertung der Sicherheitsanfälligkeit in Containern angezeigt, die von Microsoft Defender Vulnerability Management unterstützt werden.
Öffentliche Vorschau der Windows Unterstützung für Container-Sicherheitsrisikobewertung, unterstützt von Microsoft Defender Vulnerability Management
14. Dezember 2023
Die Unterstützung für Windows-Images wurde in der öffentlichen Vorschau als Teil der Sicherheitsrisikobewertung (VA) veröffentlicht, die von Microsoft Defender Vulnerability Management für Azure Containerregistrierungen und Azure Kubernetes Services unterstützt wird.
Auslaufen der AWS-Container-Sicherheitsrisikobewertung, die von Trivy unterstützt wird
13. Dezember 2023
Die von Trivy unterstützte Container-Sicherheitsrisikobewertung ist nun auf dem Weg in den Ruhestand und soll bis zum 13. Februar abgeschlossen sein. Diese Funktion ist nun veraltet und wird für bestehende Kunden, die diese Funktion nutzen, bis zum 13. Februar weiterhin verfügbar sein. Wir ermutigen Kunden, diese Funktion zum Upgrade auf die neue AWS-Container-Sicherheitsrisikobewertung zu verwenden, die von Microsoft Defender Vulnerability Management bis zum 13. Februar unterstützt wird.
Agentless Container-Haltung für AWS in Defender für Container und Defender CSPM (Vorschau)
13. Dezember 2023
Die neuen Funktionen für Agentless Containerstatus (Vorschau) sind für AWS verfügbar. Weitere Informationen finden Sie unter Agentless Container-Haltung in Defender CSPM und Agentless-Funktionen in Defender für Container.
Allgemeine Verfügbarkeitsunterstützung für PostgreSQL Flexible Server in Defender für Open-Source-relationale Datenbanken Plan
13. Dezember 2023
Wir kündigen die allgemeine Verfügbarkeit (GA)-Version der PostgreSQL Flexible Server-Unterstützung im Microsoft Defender für relationale Open-Source-Datenbanken Plan an. Microsoft Defender für relationale Open-Source-Datenbanken bietet erweiterten Bedrohungsschutz für Flexible Server von PostgreSQL, indem anomale Aktivitäten erkannt und Security Alerts generiert werden.
Erfahren Sie, wie Sie Enable-Microsoft Defender für relationale Open-Source-Datenbanken.
Container-Sicherheitsrisikobewertung unterstützt von Microsoft Defender Vulnerability Management unterstützt jetzt Google Distroless
12. Dezember 2023
Container-Sicherheitsrisikobewertungen, die von Microsoft Defender Vulnerability Management unterstützt werden, wurden mit mehr Abdeckung für Linux-Betriebssystempakete erweitert, die jetzt Google Distroless unterstützen.
Eine Liste aller unterstützten Betriebssysteme finden Sie unter Registries- und Images-Unterstützung für Azure – Sicherheitsrisikobewertung unterstützt von Microsoft Defender Vulnerability Management.
November 2023
Vier Warnungen sind veraltet
30. November 2023
Im Rahmen unseres Qualitätsverbesserungsprozesses sind die folgenden Sicherheitswarnungen veraltet:
Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)Suspicious process termination burst (VM_TaskkillBurst)PsExec execution detected (VM_RunByPsExec)
Allgemeine Verfügbarkeit von agentlosen geheimen Schlüsseln in Defender für Server und Defender CSPM
27. November 2023
Die Überprüfung von geheimen Schlüsseln ohne Agenten verbessert die sicherheitsbasierte Virtual Machines (VM), indem geheime Schlüssel auf VM-Datenträgern identifiziert werden. Agentless Secrets Scanning liefert umfassende Informationen, die dabei helfen, entdeckte Befunde zu priorisieren und Risiken von Seitwärtsbewegungen zu mindern, bevor sie auftreten. Dieser proaktive Ansatz verhindert nicht autorisierten Zugriff, um sicherzustellen, dass Ihre Cloudumgebung sicher bleibt.
Wir kündigen die allgemeine Verfügbarkeit (GENERAL Availability, GA) der Überprüfung von geheimen Geheimschlüsseln an, die sowohl in den Defender für Server P2 als auch in den Defender CSPM-Plänen enthalten sind.
Agentless Secrets Scanning nutzt Cloud-APIs, um Snapshots Ihrer Festplatten zu erfassen und eine Out-of-Band-Analyse durchzuführen, die sicherstellt, dass es keine Auswirkungen auf die Leistung Ihrer VM gibt. Agentless Secrets Scanning erweitert die Abdeckung, die von Defender for Cloud über Cloudressourcen in Azure-, AWS- und GCP-Umgebungen angeboten wird, um Ihre Cloudsicherheit zu verbessern.
Mit dieser Version unterstützen die Erkennungsfunktionen von Defender for Cloud jetzt andere Datenbanktypen, signierte URLs, Zugriffstoken und vieles mehr.
Erfahren Sie, wie Sie geheime Schlüssel mit Agentless Secrets Scanning verwalten.
Aktivieren der Berechtigungsverwaltung mit Defender for Cloud (Vorschau)
22. November 2023
Microsoft bietet jetzt sowohl Cloud-Native Application Protection Platforms (CNAPP) als auch CIEM-Lösungen (Cloud Infrastructure Entitlement Management) mit Microsoft Defender for Cloud (CNAPP) und Microsoft Entra Permissions Management (CIEM).
Sicherheitsadministratoren können eine zentrale Ansicht ihrer nicht verwendeten oder übermäßigen Zugriffsberechtigungen innerhalb Defender for Cloud erhalten.
Sicherheitsteams können die geringsten Berechtigungszugriffskontrollen für Cloudressourcen fördern und handlungsrelevante Empfehlungen zur Lösung von Berechtigungsrisiken in Azure, AWS- und GCP-Cloudumgebungen als Teil ihrer Defender Cloud Security Posture Management (CSPM) erhalten, ohne dass zusätzliche Lizenzierungsanforderungen erforderlich sind.
Erfahren Sie, wie Sie die Berechtigungsverwaltung in Microsoft Defender for Cloud (Vorschau)
Defender for Cloud Integration in ServiceNow
22. November 2023
ServiceNow ist jetzt in Microsoft Defender for Cloud integriert, sodass Kunden ServiceNow mit ihrer Defender for Cloud Umgebung verbinden können, um Korrekturen von Empfehlungen zu priorisieren, die Sich auf Ihr Unternehmen auswirken. Microsoft Defender for Cloud in das ITSM-Modul (Vorfallverwaltung) integriert. Im Rahmen dieser Verbindung können Kunden ServiceNow-Tickets (verknüpft mit Empfehlungen) aus Microsoft Defender for Cloud erstellen/anzeigen.
Weitere Informationen zur Integration von Defender for Cloud in ServiceNow.
Allgemeine Verfügbarkeit des Prozesses zur automatischen Bereitstellung für SQL Server-Plan auf Computern
20. November 2023
In Vorbereitung auf das Ende der Microsoft Monitoring Agent (MMA) im August 2024 hat Defender for Cloud einen SQL Server automatischen Azure Monitoring Agent (AMA)-Prozess veröffentlicht. Der neue Prozess wird automatisch für alle neuen Kunden aktiviert und konfiguriert und bietet auch die Möglichkeit, ressourcenbasierte Aktivierung für Azure SQL VMs und arc-fähigen SQL-Server zu ermöglichen.
Kunden, die den MMA-Prozess für die automatische Bereitstellung verwenden, werden aufgefordert, < den neuen Azure Monitoring Agent für SQL Server auf Computern zu migrieren>. Der Migrationsprozess ist nahtlos und bietet kontinuierlichen Schutz für alle Computer.
Allgemeine Verfügbarkeit von Defender für APIs
15. November 2023
Wir kündigen die allgemeine Verfügbarkeit von Microsoft Defender für APIs an. Defender für APIs wurde entwickelt, um Organisationen vor API-Sicherheitsbedrohungen zu schützen.
Defender für APIs ermöglicht Organisationen, ihre APIs und Daten vor böswilligen Akteuren zu schützen. Organisationen können ihren API-Sicherheitsstatus untersuchen und verbessern, Sicherheitskorrekturen priorisieren und schnell aktive Echtzeitbedrohungen erkennen und darauf reagieren. Organisationen können Sicherheitswarnungen auch direkt in ihre SIEM-Plattform (Security Incident and Event Management) integrieren, z. B. Microsoft Sentinel, um Probleme zu untersuchen und zu triagen.
Erfahren Sie, wie Sie Ihre APIs mit Defender für APIs
Sie können diesen Blog auch lesen, um mehr über die GA-Ankündigung zu erfahren.
Defender for Cloud ist jetzt in Microsoft 365 Defender integriert (Vorschau)
15. November 2023
Unternehmen können ihre Cloudressourcen und -geräte mit der neuen Integration zwischen Microsoft Defender for Cloud und Microsoft Defender XDR schützen. Diese Integration verbindet die Punkte zwischen Cloudressourcen, Geräten und Identitäten, für die bisher mehrere Erfahrungen erforderlich waren.
Die Integration bietet auch wettbewerbsfähige Cloudschutzfunktialitäten in den Alltag des Security Operations Center (SOC). Mit Microsoft Defender XDR können SOC-Teams auf einfache Weise Angriffe erkennen, die Erkennungen aus mehreren Säulen kombinieren, einschließlich Cloud, Endpunkt, Identität, Microsoft 365 und mehr.
Einige der wichtigsten Vorteile sind:
One easy-to-use interface for SOC teams: Mit in M365D integrierten Warnungen und Cloudkorrelationen von Defender for Cloud können SOC-Teams jetzt von einer einzigen Schnittstelle aus auf alle Sicherheitsinformationen zugreifen, wodurch die Betriebseffizienz erheblich verbessert wird.
Eine Angriffsstory: Kunden können die vollständige Angriffsstory, einschließlich ihrer Cloudumgebung, mithilfe vorgefertigter Korrelationen verstehen, die Sicherheitswarnungen aus mehreren Quellen kombinieren.
Neue Cloudentitäten in Microsoft Defender XDR: Microsoft Defender XDR unterstützt jetzt neue Cloudentitäten, die nur für Microsoft Defender for Cloud gelten, z. B. Cloudressourcen. Kunden können Entitäten von virtuellen Computern (VMs) mit Geräteentitäten abgleichen und eine einheitliche Ansicht aller relevanten Informationen zu einem Computer bereitstellen, einschließlich Warnungen und Vorfällen, die darauf ausgelöst wurden.
Unified-API für Microsoft Security Produkte: Kunden können jetzt ihre Sicherheitswarnungsdaten mithilfe einer einzelnen API in ihre Systeme exportieren, da Microsoft Defender for Cloud Warnungen und Vorfälle jetzt Teil der öffentlichen API von Microsoft Defender XDR sind.
Die Integration zwischen Defender for Cloud und Microsoft Defender XDR steht allen neuen und vorhandenen Defender for Cloud Kunden zur Verfügung.
Allgemeine Verfügbarkeit der Sicherheitsrisikobewertung von Containern, die von Microsoft Defender Vulnerability Management (MDVM) in Defender für Container und Defender für Containerregistrierungen unterstützt wird
15. November 2023
Die Sicherheitsrisikobewertung (VA) für Linux-Containerimages in Azure Containerregistrierungen, die von Microsoft Defender Vulnerability Management (MDVM) unterstützt werden, wird für allgemeine Verfügbarkeit (GA) in Defender für Container und Defender für Containerregistrierungen veröffentlicht.
Im Rahmen dieser Änderung wurden die folgenden Empfehlungen für GA veröffentlicht und umbenannt und sind jetzt in der Berechnung des Sicherheitsscores enthalten:
| Aktueller Empfehlungsname | Neuer Empfehlungsname | Description | Bewertungsschlüssel |
|---|---|---|---|
| Containerregistrierungsimages sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management) | Azure Registrierungscontainerimages sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management) | Sicherheitsrisikobewertungen für Containerimages scannen Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellen einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Das Beheben von Sicherheitsrisiken kann Ihren Sicherheitsstatus erheblich verbessern und sicherstellen, dass Images vor der Bereitstellung gefahrlos verwendet werden können. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Das Ausführen von Containerimages sollte Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management) | Azure ausgeführte Containerimages sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management | Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Diese Empfehlung bietet Sichtbarkeit für anfällige Images, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden. Das Beheben von Sicherheitsrisiken in Containerimages, die derzeit ausgeführt werden, ist der Schlüssel zur Verbesserung Ihres Sicherheitsstatus, wodurch die Angriffsoberfläche für Ihre Containerworkloads erheblich reduziert wird. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Containerimagescans, die von MDVM unterstützt werden, fallen jetzt auch Gebühren pro Planpreis an.
Note
Images, die sowohl von unserem von Qualys unterstützten Container-VA-Angebot als auch unserem von MDVM unterstützten Container-VA-Angebot gescannt werden, werden nur einmal in Rechnung gestellt.
Die folgenden Qualys-Empfehlungen für die Bewertung der Sicherheitsrisikobewertung für Container wurden umbenannt und stehen weiterhin für Kunden zur Verfügung, die Defender für Container auf einem ihrer Abonnements vor dem 15. November aktiviert haben. Neue Kunden, die Defender für Container nach dem 15. November integrieren, werden nur die neuen Empfehlungen zur Bewertung der Sicherheitsanfälligkeit in Containern angezeigt, die von Microsoft Defender Vulnerability Management unterstützt werden.
| Aktueller Empfehlungsname | Neuer Empfehlungsname | Description | Bewertungsschlüssel |
|---|---|---|---|
| Sicherheitsrisiken bei Images für die Containerregistrierung sollten behoben werden (unterstützt von Qualys) | Azure Registrierungscontainerimages sollten Sicherheitsrisiken behoben haben (unterstützt von Qualys) | Die Sicherheitsrisikobewertung für Containerimages scannt Ihre Registrierung auf Sicherheitsrisiken und macht für jedes Image detaillierte Ergebnisse verfügbar. Durch die Beseitigung der Sicherheitsrisiken können Sie den Sicherheitsstatus Ihrer Container erheblich verbessern und die Container vor Angriffen schützen. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Ausgeführte Containerimages sollten Sicherheitsrisikoergebnisse behoben haben (unterstützt von Qualys) | Azure ausgeführte Containerimages sollten Sicherheitsrisiken behoben haben ( unterstützt von Qualys) | Die Sicherheitsrisikobewertung für Containerimages scannt Containerimages, die auf Ihren Kubernetes-Clustern ausgeführt werden, und macht für jedes Image detaillierte Ergebnisse verfügbar. Durch die Beseitigung der Sicherheitsrisiken können Sie den Sicherheitsstatus Ihrer Container erheblich verbessern und die Container vor Angriffen schützen. | 41503391-efa5-47ee-9282-4eff6131462c |
Ändern von Empfehlungsnamen für Containersicherheitsrisikobewertungen
Die folgenden Empfehlungen für Containersicherheitsrisikobewertungen wurden umbenannt:
| Aktueller Empfehlungsname | Neuer Empfehlungsname | Description | Bewertungsschlüssel |
|---|---|---|---|
| Sicherheitsrisiken bei Images für die Containerregistrierung sollten behoben werden (unterstützt von Qualys) | Azure Registrierungscontainerimages sollten Sicherheitsrisiken behoben haben (unterstützt von Qualys) | Die Sicherheitsrisikobewertung für Containerimages scannt Ihre Registrierung auf Sicherheitsrisiken und macht für jedes Image detaillierte Ergebnisse verfügbar. Durch die Beseitigung der Sicherheitsrisiken können Sie den Sicherheitsstatus Ihrer Container erheblich verbessern und die Container vor Angriffen schützen. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Ausgeführte Containerimages sollten Sicherheitsrisikoergebnisse behoben haben (unterstützt von Qualys) | Azure ausgeführte Containerimages sollten Sicherheitsrisiken behoben haben ( unterstützt von Qualys) | Die Sicherheitsrisikobewertung für Containerimages scannt Containerimages, die auf Ihren Kubernetes-Clustern ausgeführt werden, und macht für jedes Image detaillierte Ergebnisse verfügbar. Durch die Beseitigung der Sicherheitsrisiken können Sie den Sicherheitsstatus Ihrer Container erheblich verbessern und die Container vor Angriffen schützen. | 41503391-efa5-47ee-9282-4eff6131462c |
| Sicherheitsrisikoergebnisse für Images für die elastische Containerregistrierung sollten behoben sein | Sicherheitsrisiken für Containerimages in der AWS-Registrierung sollten behoben sein – (unterstützt von Trivy) | Die Sicherheitsrisikobewertung für Containerimages scannt Ihre Registrierung auf Sicherheitsrisiken und macht für jedes Image detaillierte Ergebnisse verfügbar. Durch die Beseitigung der Sicherheitsrisiken können Sie den Sicherheitsstatus Ihrer Container erheblich verbessern und die Container vor Angriffen schützen. | 03587042-5d4b-44ff-af42-ae99e3c71c87 |
Die Risikopriorisierung ist jetzt für Empfehlungen verfügbar
15. November 2023
Sie können jetzt Ihre Sicherheitsempfehlungen nach ihrem Risikograd priorisieren, wobei Sie sowohl die Ausnutzbarkeit als auch die potenziellen geschäftlichen Auswirkungen jedes zugrunde liegenden Sicherheitsproblems berücksichtigen.
Indem Sie Ihre Empfehlungen basierend auf ihrem Risikograd (kritisch, hoch, mittel, niedrig) organisieren, können Sie die kritischsten Risiken in Ihrer Umgebung adressieren und die Wartung von Sicherheitsproblemen basierend auf dem tatsächlichen Risiko effizient priorisieren, z. B. Internetexposition, Datenvertraulichkeit, Möglichkeiten der Lateralbewegung und potenzielle Angriffspfade, die durch die Behebung der Empfehlungen entschärft werden könnten.
Erfahren Sie mehr über die Risikopriorisierung.
Neue Engine und umfangreiche Verbesserungen für die Angriffspfadanalyse
15. November 2023
Wir veröffentlichen Verbesserungen an den Angriffspfadanalysefunktionen in Defender for Cloud.
Neues Modul – Die Analyse des Angriffspfads verfügt über ein neues Modul, das den Pfadsuche-Algorithmus verwendet, um jeden möglichen Angriffspfad zu erkennen, der in Ihrer Cloudumgebung vorhanden ist (basierend auf den Daten, die wir in unserem Diagramm haben). Wir können viele weitere Angriffspfade in Ihrer Umgebung finden und komplexere und anspruchsvollere Angriffsmuster erkennen, die Angreifer nutzen können, um in Ihre Organisation einzudringen.
Verbesserungen – Die folgenden Verbesserungen werden veröffentlicht:
- Risikopriorisierung – priorisierte Liste der Angriffspfade basierend auf Risiko (Exploitability & Business Affect).
- Verbesserte Wartung – Die spezifischen Empfehlungen, die gelöst werden sollten, um die Kette tatsächlich zu unterbrechen.
- Cloudübergreifende Angriffspfade – Erkennung von Angriffspfaden, die cloudübergreifend sind (Pfade, die in einer Cloud beginnen und in einer anderen enden).
- MITRE – Zuordnen aller Angriffspfade zum MITRE-Framework.
- Aktualisierte Benutzererfahrung – Aktualisierte Erfahrung mit stärkeren Funktionalitäten: erweiterte Filter, Suche und Gruppierung von Angriffspfaden, um eine einfachere Selektierung zu ermöglichen.
Erfahren Sie mehr über das Identifizieren und Warten von Angriffspfaden.
Änderungen am Azure Resource Graph Tabellenschema des Angriffspfads
15. November 2023
Das Azure Resource Graph Tabellenschema des Angriffspfads wird aktualisiert. Die attackPathType-Eigenschaft wird entfernt, und andere Eigenschaften werden hinzugefügt.
Allgemeine Verfügbarkeitsfreigabe der GCP-Unterstützung in Defender CSPM
15. November 2023
Wir kündigen die GA-Version (Allgemeine Verfügbarkeit) des Defender CSPM kontextbezogenen Cloud-Sicherheitsdiagramms und die Analyse des Angriffspfads mit Unterstützung für GCP-Ressourcen an. Sie können die Leistungsfähigkeit von Defender CSPM für umfassende Sichtbarkeit und intelligente Cloudsicherheit über GCP-Ressourcen hinweg anwenden.
Zu den wichtigsten Features unserer GCP-Unterstützung gehören:
- Analyse des Angriffspfads: Verstehen der potenziellen Routen, die Angreifer nehmen können.
- Cloudsicherheits-Explorer: Identifizieren Sie proaktiv Sicherheitsrisiken, indem Sie graphbasierte Abfragen für das Sicherheitsdiagramm ausführen.
- Agentloses Scannen – Scannen von Servern und Identifizieren von geheimen Schlüsseln und Sicherheitsrisiken, ohne einen Agent zu installieren.
- Datenfähiger Sicherheitsstatus: Ermitteln und Beheben von Risiken für vertrauliche Daten in Google Cloud Storage-Buckets.
Erfahren Sie mehr über Defender CSPM Planoptionen.
Note
Die Abrechnung für die GA-Veröffentlichung des GCP-Supports in Defender CSPM beginnt am 1. Februar 2024.
GA-Release des Dashboards zur Datensicherheit
15. November 2023
Das Sicherheitsdashboard ist jetzt im Rahmen des Defender CSPM-Plans in der allgemeinen Verfügbarkeit (GA) verfügbar.
Mit dem Dashboard zur Datensicherheit können Sie den Datenbestand Ihrer Organisation, Risiken für vertrauliche Daten und Einblicke in Ihre Datenressourcen anzeigen.
Erfahren Sie mehr über das Datensicherheitsdashboard.
GA-Release der Ermittlung vertraulicher Daten für Datenbanken
15. November 2023
Die Ermittlung vertraulicher Daten für verwaltete Datenbanken, einschließlich Azure SQL Datenbanken und AWS RDS-Instanzen (alle RDBMS-Varianten), ist jetzt allgemein verfügbar und ermöglicht die automatische Ermittlung kritischer Datenbanken, die vertrauliche Daten enthalten.
Um dieses Feature in allen unterstützten Datenspeichern in Ihren Umgebungen zu aktivieren, müssen Sie Sensitive data discovery in Defender CSPM aktivieren. Erfahren Sie, wie Sie die Ermittlung vertraulicher Daten in Defender CSPM ermöglichen.
Sie können auch erfahren, wie die vertrauliche Datenermittlung im datenbewussten Sicherheitsstatus verwendet wird.
Ankündigung der öffentlichen Vorschau: Neue erweiterte Sichtbarkeit der Mehrcloud-Datensicherheit in Microsoft Defender for Cloud.
Neue Version der Empfehlung zum Ermitteln fehlender Systemupdates ist jetzt GA
6. November 2023
Ein zusätzlicher Agent ist nicht mehr auf Ihren Azure VMs und Azure Arc Computern erforderlich, um sicherzustellen, dass die Computer über alle neuesten Sicherheits- oder kritischen Systemupdates verfügen.
Die neue Empfehlung für Systemupdates, System updates should be installed on your machines (powered by Azure Update Manager) im steuerelement Apply system updates, basiert auf dem Update Manager und ist jetzt vollständig GA. Die Empfehlung basiert auf einem systemeigenen Agent, der in jede Azure VM eingebettet ist, und Azure Arc Computer anstelle eines installierten Agents. Über die schnelle Problembehebung in der neuen Empfehlung werden Sie zu einer einmaligen Installation der fehlenden Updates im Portal des Update Managers weitergeleitet.
Die alten und die neuen Versionen der Empfehlungen zur Suche fehlender Systemupdates sind beide bis August 2024 verfügbar, was der Zeitpunkt ist, an dem die ältere Version veraltet wird. Beide Empfehlungen: System updates should be installed on your machines (powered by Azure Update Manager)und System updates should be installed on your machines stehen unter demselben Steuerelement zur Verfügung: Apply system updates und hat dieselben Ergebnisse. Daher gibt es keine Duplizierung in der Auswirkung auf die Sicherheitsbewertung.
Es wird empfohlen, zu der neuen Empfehlung zu migrieren und die alte zu entfernen, indem Sie sie aus der integrierten Initiative Defender for Cloud in Azure Richtlinie deaktivieren.
Die Empfehlung [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) ist auch GA und eine Voraussetzung, die sich negativ auf Ihre Sicherheitsbewertung auswirkt. Sie können den negativen Effekt mit dem verfügbaren Fix beheben.
Zur Anwendung der neuen Empfehlung müssen Sie die folgenden Schritte ausführen:
- Verbinden Sie Ihre Nicht-Azure-Computer mit Arc.
- Aktivieren Sie die Eigenschaft „Periodische Bewertung“. Sie können die schnelle Problembehebung in der neuen Empfehlung verwenden (
[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)), um die Empfehlung zu beheben.
Note
Das Aktivieren regelmäßiger Bewertungen für arc-aktivierte Computer, die für Server Plan 2 Defender, ist für ihr zugehöriges Abonnement oder Connector nicht aktiviert, unterliegt Azure Update Manager-Preise. Arc-fähige Computer, die Defender für Server Plan 2 auf ihrem zugehörigen Abonnement oder connectors aktiviert sind, oder für alle Azure VM, sind für diese Funktion ohne zusätzliche Kosten berechtigt.
Oktober 2023
Ändern des Schweregrads der Sicherheitswarnung für adaptive Anwendungssteuerung
Ankündigungsdatum: 30. Oktober 2023
Im Rahmen des Prozesses zur Verbesserung der Sicherheitswarnungsqualität von Defender für Server und im Rahmen der adaptive Anwendungssteuerelemente ändert sich der Schweregrad der folgenden Sicherheitswarnung in "Informational":
| Warnung [Warnungstyp] | Warnungsbeschreibung |
|---|---|
| Verstöße gegen Richtlinien für adaptive Anwendungssteuerung wurden überwacht. [VM_AdaptiveApplicationControlWindowsViolationAudited; VM_AdaptiveApplicationControlWindowsViolationAudited] | Die folgenden Benutzer haben Anwendungen ausgeführt, die die Richtlinie für Anwendungssteuerung Ihrer Organisation auf diesem Computer verletzen. Dadurch kann der Computer möglicherweise für Malware oder Anwendungsschwachstellen anfällig werden. |
Um diese Warnung weiterhin auf der Seite "Sicherheitswarnungen" im Microsoft Defender for Cloud-Portal anzuzeigen, ändern Sie den Standardansichtsfilter um informational Warnungen in das Raster einzuschließen.
Offline-Azure API Management Überarbeitungen, die aus Defender für APIs entfernt wurden
25. Oktober 2023
Defender für APIs hat die Unterstützung für Azure API Management API-Revisionen aktualisiert. Offlinerevisionen werden nicht mehr im integrierten Defender für den BESTAND von APIs angezeigt und scheinen nicht mehr in Defender für APIs integriert zu werden. Offlinerevisionen lassen keinen Datenverkehr zu und stellen aus Sicherheitssicht kein Risiko dar.
DevOps-Sicherheitsstatusverwaltungsempfehlungen, die in der öffentlichen Vorschau verfügbar sind
19. Oktober 2023
Neue Empfehlungen zur Verwaltung von DevOps-Haltungen sind jetzt in der öffentlichen Vorschau für alle Kunden mit einem Connector für Azure DevOps oder GitHub verfügbar. DevOps Posture Management trägt dazu bei, die Angriffsfläche von DevOps-Umgebungen zu reduzieren, indem Schwachstellen in Sicherheitskonfigurationen und Zugriffssteuerungen aufgedeckt werden. Erfahren Sie mehr über die Verwaltung von DevOps Posture Management.
Veröffentlichen von CIS Azure Foundation Benchmark v2.0.0 im Dashboard zur Einhaltung gesetzlicher Vorschriften
18. Oktober 2023
Microsoft Defender for Cloud unterstützt jetzt den neuesten CIS Azure Security Foundation Benchmark – Version 2.0.0 im Compliance-dashboard und einer integrierten Richtlinieninitiative in Azure Policy. Die Version 2.0.0 in Microsoft Defender for Cloud ist eine gemeinsame Zusammenarbeit zwischen Microsoft, dem Center for Internet Security (CIS) und den Benutzergemeinschaften. Die Version 2.0.0 erweitert den Bewertungsbereich erheblich, der nun 90+ integrierte Azure-Richtlinien enthält und die vorherigen Versionen 1.4.0 und 1.3.0 und 1.0 in Microsoft Defender for Cloud und Azure Policy erfolgreich ist. Weitere Informationen finden Sie in diesem Blogbeitrag.
September 2023
In die Log Analytics Tagesgrenze ändern
Azure Monitor bietet die Möglichkeit, eine tägliche Obergrenze set für die Daten zu erstellen, die in Ihren Log Analytics-Arbeitsbereichen aufgenommen werden. Sicherheitsrelevante Defender for Cloud-Ereignisse werden in diesen Ausschlüssen derzeit jedoch nicht unterstützt.
Die Log Analytics Tages cap schließt nicht mehr die folgenden Datentypen aus:
- WindowsEvent
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- MaliciousIPCommunication
- LinuxAuditLog
- SysmonEvent
- ProtectionStatus
- Update
- UpdateSummary
- CommonSecurityLog
- Syslog
Alle abrechnenden Datentypen werden begrenzt, wenn die tägliche Obergrenze erreicht ist. Dank dieser Änderung können Sie die Kosten durch eine höher als erwartete Datenerfassung vollständig eindämmen.
Erfahren Sie mehr über workspaces mit Microsoft Defender for Cloud.
Datensicherheitsdashboard als öffentliche Vorschau verfügbar
27. September 2023
Das Dashboard zur Datensicherheit ist jetzt im Rahmen des Defender CSPM Plans in der öffentlichen Vorschau verfügbar. Das Datensicherheitsdashboard ist ein interaktives, datenorientiertes Dashboard, das wesentliche Risiken für vertrauliche Daten aufzeigt und dadurch Warnungen und potenzielle Angriffspfade für Daten in Hybrid Cloud-Workloads priorisiert. Erfahren Sie mehr über das Datensicherheitsdashboard.
Vorschauversion: Neuer Prozess für die automatische Bereitstellung für SQL Server auf Computern plan
21. September 2023
Microsoft Monitoring Agent (MMA) ist im August 2024 veraltet. Defender for Cloud updated it's strategy by replacing MMA with the release of a SQL Server-targeted Azure Monitoring Agent autoprovisioning process.
Während der Vorschau werden Kunden, die den MMA-Prozess für die automatische Bereitstellung mit Azure Monitor Agent -Option (Vorschau) verwenden, aufgefordert, den neuen Azure Monitoring Agent für SQL Server auf Computern (Vorschau)-Prozess zu
Weitere Informationen finden Sie unter Migrate to SQL server-targeted Azure Monitoring Agent autoprovisioning process.
GitHub Advanced Security für Azure DevOps Warnungen in Defender for Cloud
20. September 2023
Sie können jetzt GitHub Advanced Security for Azure DevOps (GHAzDO)-Warnungen im Zusammenhang mit CodeQL, geheimen Schlüsseln und Abhängigkeiten in Defender for Cloud anzeigen. Die Ergebnisse werden auf der DevOps-Seite und unter „Empfehlungen“ angezeigt. Um diese Ergebnisse anzuzeigen, integrieren Sie Ihre GHAzDO-fähigen Repositorys in Defender for Cloud.
Erfahren Sie mehr über GitHub Advanced Security for Azure DevOps.
Ausgenommene Funktionen sind jetzt für Defender für APIs-Empfehlungen verfügbar
11. September 2023
Sie können jetzt Empfehlungen für die folgenden Defender für APIs-Sicherheitsempfehlungen ausnehmen.
| Recommendation | Beschreibung und zugehörige Richtlinie | Severity |
|---|---|---|
| (Vorschau) NICHT verwendete API-Endpunkte sollten deaktiviert und aus dem Azure API Management-Dienst entfernt werden. | Als bewährte Methode für sicherheit gelten API-Endpunkte, die keinen Datenverkehr für 30 Tage erhalten haben, als nicht verwendet und sollten aus dem Azure API Management Dienst entfernt werden. Die Beibehaltung nicht verwendeter API-Endpunkte kann ein Sicherheitsrisiko darstellen. Dies können APIs sein, die vom Azure API Management-Dienst veraltet sein sollten, aber versehentlich aktiv geblieben sind. Solche APIs erhalten in der Regel nicht die aktuellste Sicherheitsabdeckung. | Low |
| (Vorschau) API-Endpunkte in Azure API Management sollten authentifiziert werden | API-Endpunkte, die in Azure API Management veröffentlicht wurden, sollten die Authentifizierung erzwingen, um das Sicherheitsrisiko zu minimieren. Authentifizierungsmechanismen werden manchmal falsch implementiert oder fehlen. Dies erlaubt Angreifern, Implementierungsfehler auszunutzen und auf Daten zuzugreifen. Bei apIs, die in Azure API Management veröffentlicht wurden, bewertet diese Empfehlung die Ausführung der Authentifizierung über die Abonnementschlüssel, JWT und Das Clientzertifikat, das innerhalb Azure API Management konfiguriert ist. Wenn keiner dieser Authentifizierungsmechanismen während des API-Aufrufs ausgeführt wird, wird die API diese Empfehlung erhalten. | High |
Erfahren Sie mehr über Exempting-Empfehlungen in Defender for Cloud.
Erstellen von Beispielwarnungen für Defender für APIs-Erkennungen
11. September 2023
Sie können jetzt Beispielwarnungen für die Sicherheitserkennungen generieren, die als Teil der Defender für APIs öffentliche Vorschau veröffentlicht wurden. Erfahren Sie mehr über Generieren von Beispielwarnungen in Defender for Cloud.
Vorschauversion: Container-Sicherheitsrisikobewertung, die von Microsoft Defender Vulnerability Management unterstützt jetzt scan on Pull
6. September 2023
Container-Sicherheitsrisikobewertung, die von Microsoft Defender Vulnerability Management unterstützt wird, unterstützt jetzt einen zusätzlichen Auslöser für das Scannen von Bildern, die von einem ACR abgerufen werden. Dieser neu hinzugefügte Trigger deckt zusätzlich zu den bestehenden Triggern, die Bilder scannen, die in den letzten 90 Tagen an einen ACR übertragen wurden, und Bilder, die derzeit in AKS laufen, auch aktive Bilder ab.
Dieser neue Trigger wird heute eingeführt und wird voraussichtlich ab Ende September für alle Kunden verfügbar sein.
Aktualisieren des Benennungsformats von Center for Internet Security (CIS)-Standards unter Einhaltung gesetzlicher Bestimmungen
6. September 2023
Das Benennungsformat von CIS (Center for Internet Security) Foundations-Benchmarks auf dem Compliance-Dashboard wird von [Cloud] CIS [version number] in CIS [Cloud] Foundations v[version number] geändert. Beachten Sie hierzu die folgende Tabelle:
| Aktueller Name | Neuer Name |
|---|---|
| Azure CIS 1.1.0 | CIS Azure Stiftungen v1.1.0 |
| Azure CIS 1.3.0 | CIS Azure Foundation v1.3.0 |
| Azure CIS 1.4.0 | CIS Azure Foundation v1.4.0 |
| AWS CIS 1.2.0 | CIS AWS Foundation v1.2.0 |
| AWS CIS 1.5.0 | CIS AWS Foundation v1.5.0 |
| GCP CIS 1.1.0 | CIS GCP Foundation v1.1.0 |
| GCP CIS 1.2.0 | CIS GCP Foundation v1.2.0 |
Erfahren Sie, wie Sie die Einhaltung gesetzlicher Bestimmungen verbessern.
Ermittlung vertraulicher Daten für PaaS-Datenbanken (Vorschau)
5. September 2023
Datenbasierte Sicherheitsstatusfunktionen für die reibungslose Ermittlung vertraulicher Daten für PaaS-Datenbanken (Azure SQL Datenbanken und Amazon RDS-Instanzen eines beliebigen Typs) befinden sich jetzt in der öffentlichen Vorschau. Mit dieser öffentlichen Vorschauversion können Sie eine Karte Ihrer kritischen Daten erstellen, unabhängig davon, wo sie sich befinden, und unabhängig vom Typ der Daten, die sich in diesen Datenbanken befinden.
Die Ermittlung vertraulicher Daten für Azure- und AWS-Datenbanken fügt der freigegebenen Taxonomie und Konfiguration hinzu, die bereits öffentlich für Cloudobjektspeicherressourcen (Azure Blob Storage, AWS S3-Buckets und GCP-Speicher-Buckets) verfügbar ist und eine einzige Konfiguration und Aktivierung bietet.
Datenbanken werden wöchentlich überprüft. Wenn Sie sensitive data discovery aktivieren, wird die Ermittlung innerhalb von 24 Stunden ausgeführt. Die Ergebnisse können im Cloudsicherheits-Explorer oder durch Überprüfen der neuen Angriffspfade für verwaltete Datenbanken mit vertraulichen Daten angezeigt werden.
Der sicherheitsrelevante Sicherheitsstatus für Datenbanken ist über den Plan Defender CSPM verfügbar und wird automatisch für Abonnements aktiviert, in denen sensitive data discovery Option aktiviert ist.
Weitere Informationen zum datenbasierten Sicherheitsstatus finden Sie in den folgenden Artikeln:
- Unterstützung und Voraussetzungen für den datenfähigen Sicherheitsstatus
- Aktivieren des datenfähigen Sicherheitsstatus
- Untersuchen von Risiken für vertrauliche Daten
Allgemeine Verfügbarkeit (GA): Schadsoftwareüberprüfung in Defender für Speicher
1. September 2023
Malware-Überprüfung ist jetzt allgemein verfügbar (GA) als Add-On zum Defender für den Speicher. Malware-Überprüfung in Defender auf Speicher hilft, Ihre Speicherkonten vor bösartigen Inhalten zu schützen, indem sie eine vollständige Malware-Überprüfung auf hochgeladene Inhalte in nahezu Echtzeit durchführen, indem Microsoft Defender Antivirus-Funktionen verwendet werden. Diese Funktion wurde entwickelt, um Sicherheits- und Complianceanforderungen für die Verarbeitung von nicht vertrauenswürdigen Inhalten zu erfüllen. Die Funktion zur Überprüfung auf Schadsoftware ist eine agentenlose SaaS-Lösung, die die Einrichtung in großem Umfang ermöglicht und die Automatisierung der Reaktion in großem Umfang unterstützt.
Erfahren Sie mehr über Malware-Überprüfung in Defender für Speicher.
Der Preis für die Überprüfung auf Schadsoftware richtet sich nach Ihrer Datennutzung und Ihrem Budget. Die Abrechnung beginnt am 3. September 2023. Weitere Informationen finden Sie auf der Preisseite .
Wenn Sie den vorherigen Plan verwenden, müssen Sie proaktiv zum neuen Plan migrieren, um schadsoftwareüberprüfungen zu ermöglichen.
Lesen Sie den Blogbeitrag Microsoft Defender for Cloud Ankündigung.
August 2023
Updates im August:
Defender für Container: Agentless Discovery für Kubernetes
30. August 2023
Wir freuen uns, Defender für Container einzuführen: Agentless Discovery für Kubernetes. Dieses Release ist ein wichtiger Schritt nach vorn bei der Containersicherheit und ermöglicht Ihnen erweiterte Erkenntnisse und umfassende Bestandsfunktionen für Kubernetes-Umgebungen. Das neue Containerangebot wird durch das Defender for Cloud Kontextsicherheitsdiagramm unterstützt. Hier sehen Sie, was Sie von diesem neuesten Update erwarten können:
- Agentenlose Kubernetes-Ermittlung
- Umfassende Bestandsfunktionen
- Kubernetes-spezifische Sicherheitseinblicke
- Erweiterte Risikosuche mit Cloudsicherheits-Explorer
Agentless Discovery für Kubernetes ist jetzt für alle Defender für Containerkunden verfügbar. Sie können diese erweiterten Funktionen noch heute verwenden. Wir empfehlen Ihnen, Ihre Abonnements zu aktualisieren, um den vollständigen Satz von Erweiterungen zu aktivieren und von den neuesten Ergänzungen und Features zu profitieren. Besuchen Sie den Bereich Environment und Einstellungen Ihres Defender für Containerabonnements, um die Erweiterung zu aktivieren.
Note
Das Aktivieren der neuesten Ergänzungen verursacht keine neuen Kosten für aktive Defender für Containerkunden.
Weitere Informationen finden Sie unter Overview of Container Security Microsoft Defender for Containers.
Empfehlungsversion: Microsoft Defender für den Speicher sollte mit Schadsoftwareüberprüfung und erkennung vertraulicher Daten aktiviert werden
22. August 2023
Es wurde eine neue Empfehlung in Defender für Speicher veröffentlicht. Diese Empfehlung stellt sicher, dass Defender für den Speicher auf Abonnementebene mit Schadsoftwareüberprüfungsfunktionen und funktionen für die Erkennung vertraulicher Daten aktiviert ist.
| Recommendation | Description |
|---|---|
| Microsoft Defender für den Speicher sollte mit Schadsoftwareüberprüfung und erkennung vertraulicher Daten aktiviert werden. | Microsoft Defender für Speicher erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Die neue Defender für den Speicherplan umfasst schadsoftwareüberprüfung und die Erkennung vertraulicher Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. Der Plan lässt sich in großem Umfang ohne Agents einrichten. Wenn er auf Abonnementebene aktiviert wird, sind alle vorhandenen und neu erstellten Speicherkonten in diesem Abonnement automatisch geschützt. Sie können auch bestimmte Speicherkonten aus geschützten Abonnements ausschließen. |
Diese neue Empfehlung ersetzt die aktuelle Empfehlung Microsoft Defender for Storage should be enabled (Bewertungsschlüssel 1be22853-8ed1-4005-9907-ddad64cb1417). Diese Empfehlung ist jedoch weiterhin in Azure Government Clouds verfügbar.
Erfahren Sie mehr über Microsoft Defender for Storage.
Erweiterte Eigenschaften in Defender for Cloud Sicherheitswarnungen werden aus Aktivitätsprotokollen maskiert
17. August 2023
Wir haben kürzlich die Art und Weise geändert, in der Sicherheitswarnungen und Aktivitätsprotokolle integriert werden. Um vertrauliche Kundeninformationen besser zu schützen, fügen wir diese Informationen nicht mehr in Aktivitätsprotokolle ein. Stattdessen maskieren wir sie mit Sternchen. Diese Informationen sind jedoch weiterhin über die Warnungs-API, den kontinuierlichen Export und das Defender for Cloud Portal verfügbar.
Kunden, die auf Aktivitätsprotokollen angewiesen sind, um Warnungen in ihre SIEM-Lösungen zu exportieren, sollten die Verwendung einer anderen Lösung in Betracht ziehen, da es nicht die empfohlene Methode zum Exportieren Defender for Cloud Sicherheitswarnungen ist.
Anweisungen zum Exportieren von Defender for Cloud Sicherheitswarnungen in SIEM-, SOAR- und andere Drittanbieteranwendungen finden Sie unter Stream-Warnungen zu einer SIEM-, SOAR- oder IT-Dienstverwaltungslösung.
Vorschauversion der GCP-Unterstützung in Defender CSPM
15. August 2023
Wir kündigen die Vorschauversion des Defender CSPM kontextbezogenen Cloud-Sicherheitsdiagramms und die Analyse des Angriffspfads mit Unterstützung für GCP-Ressourcen an. Sie können die Leistungsfähigkeit von Defender CSPM für umfassende Sichtbarkeit und intelligente Cloudsicherheit über GCP-Ressourcen hinweg anwenden.
Zu den wichtigsten Features unserer GCP-Unterstützung gehören:
- Analyse des Angriffspfads: Verstehen der potenziellen Routen, die Angreifer nehmen können.
- Cloudsicherheits-Explorer: Identifizieren Sie proaktiv Sicherheitsrisiken, indem Sie graphbasierte Abfragen für das Sicherheitsdiagramm ausführen.
- Agentloses Scannen – Scannen von Servern und Identifizieren von geheimen Schlüsseln und Sicherheitsrisiken, ohne einen Agent zu installieren.
- Datenfähiger Sicherheitsstatus: Ermitteln und Beheben von Risiken für vertrauliche Daten in Google Cloud Storage-Buckets.
Erfahren Sie mehr über Defender CSPM Planoptionen.
Neue Sicherheitswarnungen in Defender für Server Plan 2: Erkennen potenzieller Angriffe, die Azure Erweiterungen virtueller Computer missbrauchen
7. August 2023
Diese neue Reihe von Warnungen konzentriert sich auf die Erkennung verdächtiger Aktivitäten von Azure Erweiterungen virtueller Computer und bietet Einblicke in die Versuche von Angreifern, böswillige Aktivitäten auf Ihren virtuellen Computern zu kompromittieren und auszuführen.
Microsoft Defender für Server können jetzt verdächtige Aktivitäten der Erweiterungen des virtuellen Computers erkennen, sodass Sie eine bessere Abdeckung der Arbeitsauslastungssicherheit erhalten können.
Azure Erweiterungen virtueller Computer sind kleine Anwendungen, die nach der Bereitstellung auf virtuellen Computern ausgeführt werden, und bieten Funktionen wie Konfiguration, Automatisierung, Überwachung, Sicherheit und vieles mehr. Erweiterungen sind nützlich, können jedoch von Angreifer*innen für verschiedene schädliche Zwecke verwendet werden, darunter:
- Für die Datensammlung und -überwachung.
- Für die Codeausführung und die Konfigurationsbereitstellung mit hohen Berechtigungen.
- Zum Zurücksetzen von Anmeldeinformationen und zum Erstellen von Administrativen Benutzern.
- Zum Verschlüsseln von Datenträgern.
Hier finden Sie eine Tabelle der neuen Warnungen.
| Warnung (Warnungstyp) | Description | MITRE-Taktiken | Severity |
|---|---|---|---|
|
Verdächtiger Fehler bei der Installation der GPU-Erweiterung in Ihrem Abonnement (Vorschau) (VM_GPUExtensionSuspiciousFailure) |
Verdächtige Absicht, eine GPU-Erweiterung auf nicht unterstützten VMs zu installieren. Diese Erweiterung sollte auf VMs installiert werden, die mit einem Grafikprozessor ausgestattet sind. Dies ist bei den aktuellen VMs nicht der Fall. Diese Fehler treten auf, wenn Angreifer*innen mehrere Installationen einer solchen Erweiterung zu Cryptominingzwecken ausführen. | Impact | Medium |
|
Verdächtige Installation einer GPU-Erweiterung auf Ihrer VM erkannt (Vorschau) (VM_GPUDriverExtensionUnusualExecution) Diese Warnung wurde im Juli 2023 veröffentlicht. |
Verdächtige Installation einer GPU-Erweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können die GPU-Treibererweiterung verwenden, um GPU-Treiber auf Ihrem virtuellen Computer über die Azure Resource Manager zu installieren, um Kryptojacking durchzuführen. Diese Aktivität wird als verdächtig eingestuft, weil das Verhalten des Prinzipals von seinen üblichen Mustern abweicht. | Impact | Low |
|
Befehlsausführung mit verdächtigem Skript auf Ihrer VM erkannt (Vorschau) (VM_RunCommandSuspiciousScript) |
Ein Befehl "Ausführen" mit einem verdächtigen Skript wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager Vorgänge in Ihrem Abonnement analysiert werden. Angreifer verwenden den Befehl "Ausführen", um bösartigen Code mit hohen Rechten auf Ihrem virtuellen Computer über die Azure Resource Manager auszuführen. Das Skript wird als verdächtig eingestuft, weil bestimmte Teile als möglicherweise schädlich identifiziert wurden. | Execution | High |
|
Verdächtige nicht autorisierte Nutzung der Skriptausführung auf Ihrer VM erkannt (Vorschau) (VM_RunCommandSuspiciousFailure) |
Verdächtige nicht autorisierte Verwendung des Ausführungsbefehls ist fehlgeschlagen und wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager Vorgänge in Ihrem Abonnement analysiert werden. Angreifer versuchen möglicherweise, den Befehl ausführen, um bösartigen Code mit hohen Rechten auf Ihren virtuellen Computern über die Azure Resource Manager auszuführen. Diese Aktivität wird als verdächtig eingestuft, weil sie bisher nicht häufig festgestellt wurde. | Execution | Medium |
|
Verdächtige Nutzung der Skriptausführung auf Ihrer VM erkannt (Vorschau) (VM_RunCommandSuspiciousUsage) |
Verdächtige Verwendung des Ausführungsbefehls wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager Vorgänge in Ihrem Abonnement analysiert werden. Angreifer verwenden den Befehl "Ausführen", um bösartigen Code mit hohen Rechten auf Ihren virtuellen Computern über die Azure Resource Manager auszuführen. Diese Aktivität wird als verdächtig eingestuft, weil sie bisher nicht häufig festgestellt wurde. | Execution | Low |
|
Verdächtige Verwendung mehrerer Überwachungs- oder Datensammlungserweiterungen auf Ihren VMs erkannt (Vorschau) (VM_SuspiciousMultiExtensionUsage) |
Verdächtige Verwendung mehrerer Überwachungs- oder Datensammlungserweiterungen wurde auf Ihren virtuellen Computern erkannt, indem die Azure Resource Manager Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten solche Erweiterungen für die Datensammlung, die Überwachung des Netzwerkdatenverkehrs und weitere Aktionen in Ihrem Abonnement missbrauchen. Diese Nutzung wird als verdächtig eingestuft, weil sie bisher nicht häufig festgestellt wurde. | Reconnaissance | Medium |
|
Verdächtige Installation von Datenträgerverschlüsselungserweiterungen auf Ihren VMs erkannt (Vorschau) (VM_DiskEncryptionSuspiciousUsage) |
Verdächtige Installation von Datenträgerverschlüsselungserweiterungen wurde auf Ihren virtuellen Computern erkannt, indem die Azure Resource Manager Vorgänge in Ihrem Abonnement analysiert werden. Angreifer missbrauchen möglicherweise die Datenträgerverschlüsselungserweiterung, um vollständige Datenträgerverschlüsselungen auf Ihren virtuellen Computern über die Azure Resource Manager bereitzustellen, um Ransomware-Aktivitäten auszuführen. Diese Aktivität wird als verdächtig eingestuft, weil sie bisher nicht häufig festgestellt wurde und sehr viele Erweiterungen installiert wurden. | Impact | Medium |
|
Verdächtige Nutzung der VM Access-Erweiterung auf Ihren VMs erkannt (Vorschau) (VM_VMAccessSuspiciousUsage) |
Auf Ihren VMs wurde eine verdächtige Nutzung der VM Access-Erweiterung erkannt. Angreifer könnten die VM-Zugriffserweiterung missbrauchen, um Zugriff zu erhalten und Ihre VMs mit hohen Berechtigungen zu kompromittieren, indem sie den Zugriff zurücksetzen oder Administratoren verwalten. Diese Aktivität wird als verdächtig angesehen, weil das Verhalten des Prinzipals von seinen üblichen Mustern abweicht und sehr viele Erweiterungen installiert wurden. | Persistence | Medium |
(VM_DSCExtensionSuspiciousScript) |
Desired State Configuration(DSC)-Erweiterung mit einem verdächtigen Skript wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können die Erweiterung Desired State Configuration (DSC) verwenden, um böswillige Konfigurationen wie Persistenzmechanismen, böswillige Skripts und mehr, mit hohen Berechtigungen, auf Ihren virtuellen Computern bereitzustellen. Das Skript wird als verdächtig eingestuft, weil bestimmte Teile als möglicherweise schädlich identifiziert wurden. | Execution | High |
|
Suspicious usage of a Desired State Configuration (DSC) extension was detected on your virtual machines (Preview) (VM_DSCExtensionSuspiciousUsage) |
Verdächtige Verwendung einer Desired State Configuration-Erweiterung (DSC) wurde auf Ihren virtuellen Computern erkannt, indem die Azure Resource Manager Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können die Erweiterung Desired State Configuration (DSC) verwenden, um böswillige Konfigurationen wie Persistenzmechanismen, böswillige Skripts und mehr, mit hohen Berechtigungen, auf Ihren virtuellen Computern bereitzustellen. Diese Aktivität wird als verdächtig angesehen, weil das Verhalten des Prinzipals von seinen üblichen Mustern abweicht und sehr viele Erweiterungen installiert wurden. | Impact | Low |
|
Benutzerdefinierte Skripterweiterung mit verdächtigem Skript auf Ihrer VM erkannt (Vorschau) (VM_CustomScriptExtensionSuspiciousCmd) (Diese Warnung ist bereits vorhanden und wurde mit verbesserter Logik und verbesserten Erkennungsmethoden ausgestattet.) |
Benutzerdefinierte Skripterweiterung mit einem verdächtigen Skript wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können benutzerdefinierte Skripterweiterung verwenden, um bösartigen Code mit hohen Rechten auf Ihrem virtuellen Computer über die Azure Resource Manager auszuführen. Das Skript wird als verdächtig eingestuft, weil bestimmte Teile als möglicherweise schädlich identifiziert wurden. | Execution | High |
Siehe Extension-basierte Warnungen in Defender für Server.
Eine vollständige Liste der Warnungen finden Sie in der Tabelle Reference für alle Sicherheitswarnungen in Microsoft Defender for Cloud.
Geschäftsmodell- und Preisupdates für Defender for Cloud Pläne
1. August 2023
Microsoft Defender for Cloud verfügt über drei Pläne, die Service Layer-Schutz bieten:
Defender für Key Vault
Defender für Resource Manager
Defender für DNS
Basierend auf Kundenfeedback in Bezug auf die Vorhersagbarkeit von Ausgaben und die Vereinfachung der Gesamtkostenstruktur haben wir diese Pläne in ein neues Geschäftsmodell mit anderen Preisen und Paketen überführt.
Zusammenfassung von Geschäftsmodell- und Preisänderungen:
Bestehende Kunden von Defender für Key-Vault, Defender für Resource Manager und Defender für DNS behalten ihr aktuelles Geschäftsmodell und ihre Preise bei, es sei denn, sie entscheiden sich aktiv für den Umstieg auf das neue Geschäftsmodell und den Preis.
- Defender für Resource Manager: Dieser Plan hat einen festen Preis pro Abonnement pro Monat. Kunden können zum neuen Geschäftsmodell wechseln, indem Sie die Defender für Resource Manager neues Abonnementmodell auswählen.
Bestehende Kunden von Defender für Key-Vault, Defender für Resource Manager und Defender für DNS behalten ihr aktuelles Geschäftsmodell und ihre Preise bei, es sei denn, sie entscheiden sich aktiv für den Umstieg auf das neue Geschäftsmodell und den Preis.
- Defender für Resource Manager: Dieser Plan hat einen festen Preis pro Abonnement pro Monat. Kunden können zum neuen Geschäftsmodell wechseln, indem Sie die Defender für Resource Manager neues Abonnementmodell auswählen.
- Defender für Key Vault: Dieser Plan hat einen festen Preis pro Tresor pro Monat ohne Überlastungsgebühr. Kunden können zum neuen Geschäftsmodell wechseln, indem sie die Defender für Key Vault neuen Key Vault pro Tresormodell auswählen.
- Defender für DNS: Defender für Server Plan 2-Kunden erhalten Zugriff auf Defender für DNS-Wert als Teil von Defender für Server Plan 2 ohne zusätzliche Kosten. Kunden mit Defender für Server Plan 2 und Defender für DNS werden für Defender für DNS nicht mehr in Rechnung gestellt. Defender für DNS ist nicht mehr als eigenständiger Plan verfügbar.
Erfahren Sie mehr über die Preise für diese Pläne auf der Defender for Cloud Preisseite.
Juli 2023
Zu den Updates im Juli gehören:
| Date | Update |
|---|---|
| 31. Juli | Vorschauversion der Sicherheitsrisikobewertung von Containern, die von Microsoft Defender Vulnerability Management in Defender für Container und Defender für Containerregistrierungen unterstützt wird |
| 30. Juli | Agentless Containerstatus in Defender CSPM ist jetzt allgemein verfügbar |
| 20. Juli | Management automatischer Updates für Defender für Endpunkt für Linux |
| 18. Juli | |
| 12. Juli | Neue Sicherheitswarnung in Defender für Server plan 2: Erkennen potenzieller Angriffe, die Azure VM GPU-Treibererweiterungen nutzen |
| 9. Juli | Unterstützung für die Deaktivierung bestimmter Sicherheitsrisikobewertungen |
| 1. Juli | Datenfähiger Sicherheitsstatus jetzt allgemein verfügbar |
Vorschauversion der Container-Sicherheitsrisikobewertung mit Microsoft Defender Vulnerability Management
31. Juli 2023
Wir kündigen die Veröffentlichung der Sicherheitsrisikobewertung (VA) für Linux-Containerimages in Azure Containerregistrierungen an, die von Microsoft Defender Vulnerability Management in Defender für Container und Defender für Containerregistrierungen unterstützt werden. Das neue Container-VA-Angebot wird neben unserem bestehenden Container VA-Angebot bereitgestellt, das von Qualys sowohl in Defender für Container und Defender für Containerregistries unterstützt wird, als auch tägliche Überprüfungen von Containerimages, Exploitability-Informationen, Unterstützung für Betriebssystem- und Programmiersprachen (SCA) und vieles mehr.
Dieses neue Angebot wird heute eingeführt und wird voraussichtlich bis zum 7. August für alle Kunden verfügbar sein.
Erfahren Sie mehr über Container-Sicherheitsrisikobewertung mit Microsoft Defender Vulnerability Management.
Agentloser Containerstatus in Defender CSPM ist jetzt allgemein verfügbar
30. Juli 2023
Agentless Container-Haltungsfunktionen sind jetzt allgemein verfügbar (GA) als Teil des Defender CSPM (Cloud Security Posture Management)-Plans.
Erfahren Sie mehr über agentless Container-Haltung in Defender CSPM.
Verwaltung automatischer Updates für Defender für Endpunkt für Linux
20. Juli 2023
Standardmäßig versucht Defender for Cloud, Ihre Defender für Endpunkt für Linux-Agents zu aktualisieren, die mit der Erweiterung MDE.Linux integriert sind. Bei diesem Release können Sie diese Einstellung verwalten und die Standardkonfiguration deaktivieren, um Ihre Updatezyklen manuell zu verwalten.
Agentlose geheime Suche nach virtuellen Computern in Defender für Server P2 & Defender CSPM
18. Juli 2023
Das Scannen geheimer Schlüssel ist jetzt im Rahmen der agentlosen Überprüfung in Defender für Server P2 und Defender CSPM verfügbar. Diese Funktion hilft, nicht verwaltete und unsichere Geheimschlüssel zu erkennen, die auf virtuellen Computern in Azure oder AWS-Ressourcen gespeichert sind, die verwendet werden können, um später im Netzwerk zu wechseln. Wenn geheime Schlüssel erkannt werden, können Defender for Cloud helfen, maßnahmenfähige Korrekturschritte zu priorisieren und zu ergreifen, um das Risiko der Lateralbewegung zu minimieren, und zwar alle, ohne die Leistung Ihres Computers zu beeinträchtigen.
Weitere Informationen dazu, wie Sie Ihre Geheimnisse mit geheimen Überprüfungen schützen, finden Sie unter Verwalten von geheimen Schlüsseln mit agentlosen Geheimschlüsselscans.
Neue Sicherheitswarnung in Defender für Server Plan 2: Erkennen potenzieller Angriffe, die Azure VM GPU-Treibererweiterungen nutzen
12. Juli 2023
Diese Warnung konzentriert sich auf die Identifizierung verdächtiger Aktivitäten, die Azure virtuellen Computer GPU-Treibererweiterungen nutzen, und bietet Einblicke in die Versuche von Angreifern, Ihre virtuellen Computer zu kompromittieren. Die Warnung zielt auf verdächtige Bereitstellungen von GPU-Treibererweiterungen ab. Solche Erweiterungen werden häufig von Bedrohungsakteuren missbraucht, um die volle Leistungsfähigkeit der GPU-Karte zu nutzen und Kryptojacking durchzuführen.
| Anzeigename der Warnung (Warnungstyp) |
Description | Severity | MITRE-Taktik |
|---|---|---|---|
| Verdächtige Installation der GPU-Erweiterung auf Ihrem virtuellen Computer (Vorschau) (VM_GPUDriverExtensionUnusualExecution) |
Verdächtige Installation einer GPU-Erweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können die GPU-Treibererweiterung verwenden, um GPU-Treiber auf Ihrem virtuellen Computer über die Azure Resource Manager zu installieren, um Kryptojacking durchzuführen. | Low | Impact |
Eine vollständige Liste der Warnungen finden Sie in der Tabelle Reference für alle Sicherheitswarnungen in Microsoft Defender for Cloud.
Unterstützung für die Deaktivierung bestimmter Sicherheitsrisikobewertungen
9. Juli 2023
Freigabe der Unterstützung für die Deaktivierung von Sicherheitsrisikobewertungen für Ihre Containerregistrierungsimages oder ausgeführten Images als Teil des Containerstatus ohne Agent. Wenn in Ihrer Organisation eine Sicherheitsrisikobewertung ignoriert werden muss, anstatt sie zu beheben, können Sie sie optional deaktivieren. Deaktivierte Ergebnisse haben keine Auswirkung auf Ihre Sicherheitsbewertung oder erzeugen kein unerwünschtes Rauschen.
Weitere Informationen zum Deaktivieren von Sicherheitsrisikobewertungen für Containerregistrierungsimages.
Datenfähiger Sicherheitsstatus jetzt allgemein verfügbar
1. Juli 2023
Der sicherheitsbewusste Sicherheitsstatus in Microsoft Defender for Cloud ist jetzt allgemein verfügbar. Er hilft Kund*innen, das Datenrisiko zu reduzieren und auf Datenschutzverletzungen zu reagieren. Mithilfe des datenfähigen Sicherheitsstatus können Sie Folgendes ausführen:
- Automatisches Ermitteln vertraulicher Datenressourcen in Azure und AWS.
- Werten Sie die Datenvertraulichkeit, die Offenlegung von Daten und den Datenfluss in der Organisation aus.
- Decken Sie proaktiv und kontinuierlich Risiken auf, die zu Datenschutzverletzungen führen könnten.
- Erkennen Sie verdächtige Aktivitäten, die auf laufende Bedrohungen für vertrauliche Datenressourcen hinweisen könnten.
Weitere Informationen finden Sie unter Datenbasierte Sicherheitsstatus in Microsoft Defender for Cloud.
Juni 2023
Zu den Updates im Juni gehören:
Optimiertes Onboarding von Multicloudkonten mit erweiterten Einstellungen
26. Juni 2023
Defender for Cloud hat die Onboarding-Erfahrung verbessert, um zusätzlich zu neuen Funktionen eine neue optimierte Benutzeroberfläche und Anweisungen einzuschließen, mit denen Sie Ihre AWS- und GCP-Umgebungen integrieren können und gleichzeitig Zugriff auf erweiterte Onboarding-Features bieten.
Für Organisationen, die Hashicorp Terraform für die Automatisierung eingeführt haben, umfasst Defender for Cloud jetzt die Möglichkeit, Terraform zusammen mit AWS CloudFormation oder GCP-Cloud Shell als Bereitstellungsmethode zu verwenden. Sie können jetzt die erforderlichen Rollennamen beim Erstellen der Integration anpassen. Außerdem steht Folgendes zur Auswahl:
Default access – Ermöglicht Defender for Cloud, Ihre Ressourcen zu scannen und zukünftige Funktionen automatisch einzuschließen.
Least privileged access -Grants Defender for Cloud nur auf die aktuellen Berechtigungen zugreifen, die für die ausgewählten Pläne erforderlich sind.
Wenn Sie die Berechtigungen mit den geringsten Rechten auswählen, erhalten Sie nur Benachrichtigungen zu allen neuen Rollen und Berechtigungen, die erforderlich sind, um den vollständigen Funktionsumfang in Connectorintegrität zu erhalten.
mit Defender for Cloud können Sie zwischen Ihren Cloudkonten anhand ihrer nativen Namen von den Cloudanbietern unterscheiden. Beispielsweise AWS-Kontoaliase und GCP-Projektnamen.
Private Endpunkt-Unterstützung für schadsoftwareüberprüfung in Defender für Speicher
25. Juni 2023
Die Unterstützung für private Endpunkte ist jetzt als Teil der öffentlichen Vorschau der Schadsoftwareüberprüfung in Defender für den Speicher verfügbar. Diese Funktion ermöglicht das Aktivieren der Schadsoftwareüberprüfung auf Speicherkonten, die private Endpunkte verwenden. Es ist keine weitere Konfiguration erforderlich.
Malware-Überprüfung (Vorschau) in Defender für Den Speicher hilft, Ihre Speicherkonten vor schädlichen Inhalten zu schützen, indem sie eine vollständige Malware-Überprüfung auf hochgeladene Inhalte in nahezu Echtzeit durchführen, indem Microsoft Defender Antivirus-Funktionen verwendet werden. Diese Funktion wurde entwickelt, um Sicherheits- und Complianceanforderungen für die Verarbeitung von nicht vertrauenswürdigen Inhalten zu erfüllen. Die Funktion ist eine SaaS-Lösung ohne Agent, die eine einfache Einrichtung im großen Stil ohne Wartungsaufwand ermöglicht und die Automatisierung von Reaktionen im großen Stil unterstützt.
Private Endpunkte bieten eine sichere Konnektivität zu Ihren Azure Storage-Diensten, wodurch die Gefährdung des öffentlichen Internets effektiv beseitigt wird und als bewährte Sicherheitsverfahren angesehen wird.
Für Speicherkonten mit privaten Endpunkten mit bereits aktivierter Schadsoftwareüberprüfung müssen Sie den Plan mit Schadsoftwareüberprüfung deaktivieren und aktivieren, damit dies funktioniert.
Erfahren Sie mehr über die Verwendung von Private-Endpunkten in Defender for Storage und wie Sie Ihre Speicherdienste weiter sichern.
Empfehlung, die für die Vorschau veröffentlicht wurde: Das Ausführen von Containerimages sollte Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management)
21. Juni 2023
Für die Vorschau wird eine neue Containerempfehlung in Defender CSPM veröffentlicht, die von Microsoft Defender Vulnerability Management unterstützt wird:
| Recommendation | Description | Bewertungsschlüssel |
|---|---|---|
| Das Ausführen von Containerimages sollte Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management)(Vorschau) | Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Diese Empfehlung bietet Sichtbarkeit für anfällige Images, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden. Das Beheben von Sicherheitsrisiken in Containerimages, die derzeit ausgeführt werden, ist der Schlüssel zur Verbesserung Ihres Sicherheitsstatus, wodurch die Angriffsoberfläche für Ihre Containerworkloads erheblich reduziert wird. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Diese neue Empfehlung ersetzt die aktuelle Empfehlung desselben Namens, die von Qualys unterstützt wird, nur in Defender CSPM (ersetzt den Bewertungsschlüssel 41503391-efa5-47ee-9282-4eff6131462c).
Kontrollaktualisierungen an den NIST 800-53-Standards zur Einhaltung gesetzlicher Bestimmungen
15. Juni 2023
Die NIST 800-53-Standards (sowohl R4 als auch R5) wurden kürzlich mit Kontrolländerungen in Microsoft Defender for Cloud Einhaltung gesetzlicher Vorschriften aktualisiert. Die Microsoft verwalteten Steuerelemente wurden aus dem Standard entfernt, und die Informationen zur Implementierung der Microsoft Verantwortung (im Rahmen des Modells für gemeinsame Verantwortung in der Cloud) sind jetzt nur im Bereich "Steuerelementdetails" unter Microsoft Actions verfügbar.
Diese Kontrollen wurden zuvor als bestandene Kontrollen berechnet, so dass Sie zwischen April 2023 und Mai 2023 möglicherweise einen deutlichen Rückgang Ihrer Konformitätsbewertung für NIST-Standards feststellen werden.
Weitere Informationen zu Compliance-Kontrollen finden Sie unter Tutorial: Behördliche Complianceprüfungen – Microsoft Defender for Cloud.
Die Planung der Cloudmigration mit einem Azure Migrate Geschäftsfall umfasst jetzt Defender for Cloud
11. Juni 2023
Jetzt können Sie potenzielle Kosteneinsparungen in Der Sicherheit entdecken, indem Sie Defender for Cloud im Kontext eines Azure Migrate Business Case anwenden.
Expresskonfiguration für Sicherheitsrisikobewertungen in Defender für SQL ist jetzt allgemein verfügbar
7. Juni 2023
Expresskonfiguration für Sicherheitsrisikobewertungen in Defender für SQL ist jetzt allgemein verfügbar. Die Express-Konfiguration bietet ein optimiertes Onboarding für SQL-Sicherheitsrisikobewertungen mithilfe einer 1-Klick-Konfiguration (oder eines API-Aufrufs). Es sind keine zusätzlichen Einstellungen oder Abhängigkeiten von verwalteten Speicherkonten erforderlich.
Weitere Informationen zur Expresskonfiguration finden Sie in diesem Blog .
Sie können die Unterschiede zwischen Expresskonfiguration und klassischer Konfiguration kennenlernen.
Weitere Bereiche, die vorhandenen Azure DevOps Connectors hinzugefügt wurden
6. Juni 2023
Defender for DevOps der Azure DevOps-Anwendung (ADO) die folgenden zusätzlichen Bereiche hinzugefügt:
Advanced Security-Verwaltung:
vso.advsec_manage. Dies ist erforderlich, damit Sie GitHub Advanced Security für ADO aktivieren, deaktivieren und verwalten können.Containerzuordnung:
vso.extension_manage,vso.gallery_manager; Dies ist erforderlich, damit Sie die Dekorateurerweiterung für die ADO-Organisation freigeben können.
Nur neue Defender for DevOps Kunden, die versuchen, ADO-Ressourcen in Microsoft Defender for Cloud zu integrieren, sind von dieser Änderung betroffen.
Das direkte Onboarding (ohne Azure Arc) zum Defender für Server ist jetzt allgemein verfügbar.
5. Juni 2023
Zuvor war Azure Arc erforderlich, um nicht Azure Server in Defender für Server zu integrieren. Mit der neuesten Version können Sie ihre lokalen Server jedoch auch in Defender für Server integrieren, die nur den Microsoft Defender for Endpoint-Agent verwenden.
Diese neue Methode vereinfacht den Onboardingprozess für Kunden, die sich auf den Kernendpunktschutz konzentriert haben, und ermöglicht es Ihnen, Defender für die verbrauchsbasierte Abrechnung von Servern sowohl für Cloud- als auch für Nichtcloudressourcen zu nutzen. Die option für das direkte Onboarding über Defender für Endpunkt ist jetzt verfügbar, wobei die Abrechnung für integrierte Computer ab dem 1. Juli erfolgt.
Weitere Informationen finden Sie unter Connect your non-Azure machines to Microsoft Defender for Cloud with Defender for Endpoint.
Ersetzen der agentbasierten Ermittlung durch agentlose Ermittlung für Containerfunktionen in Defender CSPM
4. Juni 2023
Mit den in Defender CSPM verfügbaren Funktionen für den agentlosen Containerstatus werden die agentbasierten Ermittlungsfunktionen jetzt eingestellt. Wenn Sie derzeit Containerfunktionen in Defender CSPM verwenden, stellen Sie sicher, dass die relevant-Erweiterungen aktiviert sind, um weiterhin containerbezogene Werte der neuen agentlosen Funktionen wie containerbezogene Angriffspfade, Einblicke und Bestand zu erhalten. (Es kann bis zu 24 Stunden dauern, bis die Auswirkungen der Aktivierung der Erweiterungen angezeigt werden.)
Erfahren Sie mehr über den Containerstatus ohne Agent.
Mai 2023
Zu den Updates im Mai gehören:
- A new alert in Defender for Key Vault.
- Unterstützung für die agentlose Überprüfung von verschlüsselten Datenträgern in AWS.
- Changes in JIT (Just-In-Time) Benennungskonventionen in Defender for Cloud.
- Das Onboarding ausgewählter AWS-Regionen.
- Änderungen an Identitätsempfehlungen.
- Veraltete Standards im Compliance-Dashboard.
- Update von zwei Defender for DevOps Empfehlungen für Azure DevOps Scanergebnisse
- Neue Standardeinstellung für die Defender für die Lösung für die Sicherheitsrisikobewertung für Server.
- Möglichkeit zum Herunterladen eines CSV-Berichts ihrer Abfrageergebnisse im CloudSicherheits-Explorer (Vorschau).
- Die Veröffentlichung der Sicherheitsrisikobewertung von Containern mit Microsoft Defender Vulnerability Management.
- Die Umbenennung von Containerempfehlungen, die von Qualys unterstützt werden.
- An update to Defender for DevOps GitHub Application.
- Änderung in Defender for DevOps Pullanforderungsanmerkungen in Azure DevOps Repositorys, die jetzt Infrastruktur als Code-Fehlkonfigurationen enthalten.
Neue Warnung in Defender für Key Vault
| Warnung (Warnungstyp) | Description | MITRE-Taktiken | Severity |
|---|---|---|---|
|
Unusualer Zugriff auf den Schlüsseltresor von einer verdächtigen IP (nicht Microsoft oder extern) (KV_UnusualAccessSuspiciousIP) |
Ein Benutzer oder Dienstprinzipal hat versucht, in den letzten 24 Stunden anomale Zugriff auf Schlüsseltresor von einer nicht Microsoft IP zu erhalten. Dieses anomale Zugriffsmuster könnte eine legitime Aktivität sein. Dies könnte ein Hinweis auf einen möglichen Versuch sein, sich Zugang zum Schlüsseltresor und den darin enthaltenen Geheimnissen zu verschaffen. Weitere Untersuchungen werden empfohlen. | Zugriff auf Anmeldeinformationen | Medium |
Alle verfügbaren Warnungen finden Sie unter Alerts für Azure Key Vault.
Überprüfung ohne Agent unterstützt jetzt verschlüsselte Datenträger in AWS
Die Überprüfung ohne Agent für virtuelle Computer unterstützt jetzt die Verarbeitung von Instanzen mit verschlüsselten Datenträgern in AWS mithilfe von kundenseitig und plattformseitig verwalteten Schlüsseln.
Dieser erweiterte Support erhöht die Abdeckung und Sichtbarkeit Ihrer Cloudumgebung, ohne dass sich dies auf Ihre ausgeführten Workloads auswirkt. Der Support für verschlüsselte Datenträger behält die gleiche Methode ohne Auswirkungen auf ausgeführte Instanzen bei.
- Für neue Kunden, die Überprüfungen ohne Agent in AWS aktivieren, ist die Abdeckung verschlüsselter Datenträger standardmäßig integriert und unterstützt.
- Für Bestandskund*innen, die bereits über einen AWS-Connector mit aktivierter Überprüfung ohne Agent verfügen, müssen Sie den CloudFormation-Stapel erneut auf Ihre integrierten AWS-Konten anwenden, um die neuen Berechtigungen zu aktualisieren und hinzuzufügen, die zum Verarbeiten verschlüsselter Datenträger erforderlich sind. Die aktualisierte CloudFormation-Vorlage enthält neue Zuordnungen, mit denen Defender for Cloud verschlüsselte Datenträger verarbeiten können.
Erhalten Sie weitere Informationen zu den Berechtigungen, die zum Überprüfen von AWS-Instanzen verwendet werden.
So wenden Sie Ihren CloudFormation-Stapel erneut an:
- Wechseln Sie zu Defender for Cloud Umgebungseinstellungen, und öffnen Sie Ihren AWS-Connector.
- Navigieren Sie zur Registerkarte " Access konfigurieren ".
- Wählen Sie Klicken Sie hier, um die CloudFormation-Vorlage herunterzuladen aus.
- Navigieren Sie zu Ihrer AWS-Umgebung, und wenden Sie die aktualisierte Vorlage an.
Erfahren Sie mehr über agentloses Scannen und aktivieren Sie agentloses Scannen in AWS.
Überarbeitete JIT(Just-In-Time)-Regelbenennungskonventionen in Defender for Cloud
Wir haben die JIT-Regeln (Just-In-Time) überarbeitet, um sich an die Marke Microsoft Defender for Cloud anzupassen. Wir haben die Benennungskonventionen für Azure Firewall- und NSG-Regeln (Network Security Group) geändert.
Die Änderungen sind wie folgt aufgeführt:
| Description | Alter Name | Neuer Name |
|---|---|---|
| JIT-Regelnamen (zulassen und verweigern) in NSG (Netzwerksicherheitsgruppe) | SecurityCenter-JITRule | MicrosoftDefenderForCloud-JITRule |
| JIT-Regelbeschreibungen in NSG | ASC-JIT-Netzwerkzugriffsregel | MDC-JIT-Netzwerkzugriffsregel |
| Namen der JIT-Firewallregelsammlung | ASC-JIT | MDC-JIT |
| Namen von JIT-Firewallregeln | ASC-JIT | MDC-JIT |
Weitere Informationen finden Sie unter Sichern Ihrer Verwaltungsports mit Just-in-Time-Zugriff.
Onboarding ausgewählter AWS-Regionen
Um Ihnen bei der Verwaltung Ihrer AWS CloudTrail-Kosten und Complianceanforderungen zu helfen, können Sie jetzt auswählen, welche AWS-Regionen beim Hinzufügen oder Bearbeiten eines Cloudconnectors überprüft werden sollen. Sie können jetzt ausgewählte bestimmte AWS-Regionen oder alle verfügbaren Regionen (Standard) scannen, wenn Sie Ihre AWS-Konten in Defender for Cloud integrieren. Weitere Informationen finden Sie unter Verbinden Sie Ihr AWS-Konto mit Microsoft Defender for Cloud.
Mehrere Änderungen an Identitätsempfehlungen
Die folgenden Empfehlungen werden jetzt für die Allgemeinheit veröffentlicht und ersetzen die V1-Empfehlungen, die jetzt veraltet sind.
Allgemeine Verfügbarkeit (GA)-Release der Identitätsempfehlungen V2
Mit der V2-Version von Identitätsempfehlungen werden die folgenden Verbesserungen eingeführt:
- Der Umfang der Überprüfung wurde erweitert, um alle Azure Ressourcen, nicht nur Abonnements, einzuschließen. Dadurch können Sicherheitsadministratoren Rollenzuweisungen pro Konto anzeigen.
- Bestimmte Konten können jetzt von der Auswertung ausgenommen werden. Beispielsweise können Konten für den Notfallzugriff oder Dienstkonten von Sicherheitsadministratoren ausgeschlossen werden.
- Die Überprüfungshäufigkeit wurde von 24 Stunden auf 12 Stunden erhöht, wodurch sichergestellt wird, dass die Identitätsempfehlungen aktueller und genauer sind.
Die folgenden Sicherheitsempfehlungen sind allgemein verfügbar und ersetzen die V1-Empfehlungen:
| Recommendation | Bewertungsschlüssel |
|---|---|
| Konten mit Besitzerberechtigungen für Azure Ressourcen sollten MFA aktiviert sein. | 6240402e-f77c-46fa-9060-a7ce53997754 |
| Konten mit Schreibberechtigungen für Azure Ressourcen sollten MFA aktiviert sein. | c0cb17b2-0607-48a7-b0e0-903ed22de39b |
| Konten mit Leseberechtigungen für Azure Ressourcen sollten MFA aktiviert sein. | dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c |
| Gastkonten mit Besitzerberechtigungen für Azure Ressourcen sollten entfernt werden. | 20606e75-05c4-48c0-9d97-add6daa2109a |
| Gastkonten mit Schreibberechtigungen für Azure Ressourcen sollten entfernt werden | 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb |
| Gastkonten mit Leseberechtigungen für Azure Ressourcen sollten entfernt werden. | fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 |
| Blockierte Konten mit Besitzerberechtigungen für Azure Ressourcen sollten entfernt werden. | 050ac097-3dda-4d24-ab6d-82568e7a50cf |
| Blockierte Konten mit Lese- und Schreibberechtigungen für Azure Ressourcen sollten entfernt werden. | 1ff0b4c9-ed56-4de6-be9c-d7ab39645926 |
Veralterung von Identitätsempfehlungen V1
Die folgenden Sicherheitsempfehlungen sind jetzt veraltet:
| Recommendation | Bewertungsschlüssel |
|---|---|
| MFA sollte für Konten mit Besitzerberechtigungen für Abonnements aktiviert werden. | 94290b00-4d0c-d7b4-7cea-064a9554e681 |
| MFA sollte für Konten mit Schreibberechtigungen für Abonnements aktiviert werden. | 57e98606-6b1e-6193-0e3d-fe621387c16b |
| MFA sollte für Konten mit Leseberechtigungen für Abonnements aktiviert werden. | 151e82c5-5341-a74b-1eb0-bc38d2c84bb5 |
| Externe Konten mit Besitzerberechtigungen sollten aus Abonnements entfernt werden. | c3b6ae71-f1f0-31b4-e6c1-d5951285d03d |
| Externe Konten mit Schreibberechtigungen sollten aus Abonnements entfernt werden. | 04e7147b-0deb-9796-2e5c-0336343ceb3d |
| Externe Konten mit Leseberechtigungen sollten aus Abonnements entfernt werden. | a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b |
| Veraltete Konten mit Besitzerberechtigungen sollten aus Abonnements entfernt werden. | e52064aa-6853-e252-a11e-dffc675689c2 |
| Veraltete Konten müssen aus Abonnements entfernt werden. | 00c6d40b-e990-6acf-d4f3-471e747a27c4 |
Es wird empfohlen, benutzerdefinierte Skripts, Workflows und Governanceregeln zu aktualisieren, damit sie den V2-Empfehlungen entsprechen.
Einstellung der Legacystandards im Compliance-Dashboard
Ältere PCI DSS v3.2.1 und ältere SOC-TSP sind im Defender for Cloud Compliance-Dashboard vollständig veraltet und durch SOC 2 Typ 2 typ 2 Initiative und PCI DSS v4 initiativebasierte Compliancestandards ersetzt. Wir haben PCI DSS Standard/Initiative in Microsoft Azure betrieben von 21Vianet vollständig veraltet.
Erfahren Sie mehr über das Anpassen der Gruppe von Standards in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen.
Defender for DevOps umfasst Azure DevOps Scanergebnisse
Defender for DevOps Code und IaC haben ihre Empfehlungsabdeckung in Microsoft Defender for Cloud erweitert, um Azure DevOps Sicherheitsergebnisse für die folgenden beiden Empfehlungen einzubeziehen:
Code repositories should have code scanning findings resolvedCode repositories should have infrastructure as code scanning findings resolved
Bisher enthielt die Abdeckung für Azure DevOps Sicherheitsüberprüfung nur die Empfehlung für geheime Schlüssel.
Erfahren Sie mehr über Defender for DevOps.
Neue Standardeinstellung für Defender für die Lösung zur Sicherheitsrisikobewertung für Server
Lösungen zur Sicherheitsrisikobewertung (VA) sind unerlässlich, um Computer vor Cyberangriffen und Datenschutzverletzungen zu schützen.
Microsoft Defender Vulnerability Management ist jetzt als Standardmäßige integrierte Lösung für alle Abonnements aktiviert, die durch Defender für Server geschützt sind, für die noch keine VA-Lösung ausgewählt ist.
Wenn für ein Abonnement eine VA-Lösung auf einem seiner virtuellen Computer aktiviert ist, werden keine Änderungen vorgenommen, und Microsoft Defender Vulnerability Management werden für die verbleibenden virtuellen Computer in diesem Abonnement nicht standardmäßig aktiviert. Sie können eine VA-Lösung auf den verbleibenden VMs in Ihren Abonnements aktivieren.
Erfahren Sie, wie Sie Sicherheitsrisiken ermitteln und den Softwarebestand mit agentloser Überprüfung (Vorschau) erfassen.
Herunterladen eines CSV-Berichts der Abfrageergebnisse Ihres Cloudsicherheits-Explorers (Vorschau)
Defender for Cloud hat die Möglichkeit zum Herunterladen eines CSV-Berichts Ihrer Abfrageergebnisse im CloudSicherheits-Explorer hinzugefügt.
Nachdem Sie eine Suche nach einer Abfrage ausgeführt haben, können Sie den csv-Bericht Download (Vorschau) auf der Seite "Cloud Security Explorer" in Defender for Cloud auswählen.
Informationen zum Erstellen von Abfragen mit dem Cloudsicherheits-Explorer
Die Veröffentlichung der Sicherheitsrisikobewertung von Containern mit Microsoft Defender Vulnerability Management
Wir kündigen die Veröffentlichung der Sicherheitsrisikobewertung für Linux-Images in Azure Containerregistrierungen an, die von Microsoft Defender Vulnerability Management in Defender CSPM unterstützt werden. Diese Version umfasst das tägliche Scannen von Images. Im Sicherheits-Explorer verwendete Ergebnisse und Angriffspfade basieren auf Microsoft Defender Sicherheitsrisikobewertung anstelle des Qualys-Scanners.
Die bestehende Empfehlung wird durch eine neue Empfehlung Container registry images should have vulnerability findings resolved ersetzt:
| Recommendation | Description | Bewertungsschlüssel |
|---|---|---|
| Containerregistrierungsimages sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management) | Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Diese Empfehlung bietet Sichtbarkeit für anfällige Images, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden. Das Beheben von Sicherheitsrisiken in Containerimages, die derzeit ausgeführt werden, ist der Schlüssel zur Verbesserung Ihres Sicherheitsstatus, wodurch die Angriffsoberfläche für Ihre Containerworkloads erheblich reduziert wird. | dbd0cb49-b563-45e7-9724-889e799fa648 wird durch c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 ersetzt. |
Erfahren Sie mehr über Agentless Container-Haltung in Defender CSPM.
Erfahren Sie mehr über Microsoft Defender Vulnerability Management.
Umbenennung von Containerempfehlungen, die von Qualys unterstützt werden
Die aktuellen Containerempfehlungen in Defender für Container werden wie folgt umbenannt:
| Recommendation | Description | Bewertungsschlüssel |
|---|---|---|
| Sicherheitsrisiken bei Images für die Containerregistrierung sollten behoben werden (unterstützt von Qualys) | Die Sicherheitsrisikobewertung für Containerimages scannt Ihre Registrierung auf Sicherheitsrisiken und macht für jedes Image detaillierte Ergebnisse verfügbar. Durch die Beseitigung der Sicherheitsrisiken können Sie den Sicherheitsstatus Ihrer Container erheblich verbessern und die Container vor Angriffen schützen. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Ausgeführte Containerimages sollten Sicherheitsrisikoergebnisse behoben haben (unterstützt von Qualys) | Die Sicherheitsrisikobewertung für Containerimages scannt Containerimages, die auf Ihren Kubernetes-Clustern ausgeführt werden, und macht für jedes Image detaillierte Ergebnisse verfügbar. Durch die Beseitigung der Sicherheitsrisiken können Sie den Sicherheitsstatus Ihrer Container erheblich verbessern und die Container vor Angriffen schützen. | 41503391-efa5-47ee-9282-4eff6131462c |
Defender for DevOps GitHub Anwendungsupdate
Microsoft Defender for DevOps nimmt ständig Änderungen und Updates vor, die Defender for DevOps Kunden erfordern, die ihre GitHub Umgebungen in Defender for Cloud integriert haben, um Berechtigungen als Teil der anwendung bereitzustellen, die in ihrer GitHub Organisation. Diese Berechtigungen sind erforderlich, um sicherzustellen, dass alle Sicherheitsfeatures von Defender for DevOps normal und ohne Probleme funktionieren.
Wir empfehlen, die Berechtigungen so bald wie möglich zu aktualisieren, um den fortgesetzten Zugriff auf alle verfügbaren Features von Defender for DevOps sicherzustellen.
Berechtigungen können auf zwei verschiedene Arten erteilt werden:
Wählen Sie in Ihrer Organisation GitHub Apps aus. Suchen Sie Ihre Organisation, und wählen Sie " Anfrage überprüfen" aus.
Sie erhalten eine automatisierte E-Mail von GitHub Support. Wählen Sie in der E-Mail die Option Berechtigungsanforderung überprüfen, um diese Änderung zu akzeptieren oder abzulehnen.
Nachdem Sie eine dieser beiden Optionen gewählt haben, werden Sie zum Überprüfungsbildschirm weitergeleitet, wo Sie die Anforderung überprüfen sollten. Wählen Sie die Option Neue Berechtigungen annehmen, um die Anforderung zu genehmigen.
Wenn Sie Unterstützung beim Aktualisieren von Berechtigungen benötigen, können Sie eine Azure-Support Anforderung erstellen.
Weitere Informationen zu Defender for DevOps finden Sie auch. Wenn für ein Abonnement eine VA-Lösung auf einem seiner virtuellen Computer aktiviert ist, werden keine Änderungen vorgenommen, und Microsoft Defender Vulnerability Management werden für die verbleibenden virtuellen Computer in diesem Abonnement nicht standardmäßig aktiviert. Sie können eine VA-Lösung auf den verbleibenden VMs in Ihren Abonnements aktivieren.
Erfahren Sie, wie Sie Sicherheitsrisiken ermitteln und den Softwarebestand mit agentloser Überprüfung (Vorschau) erfassen.
Defender for DevOps Anmerkungen zur Pullanforderung in Azure DevOps Repositorys enthalten jetzt Infrastruktur als Falschkonfigurationen von Code
Defender for DevOps hat die Anmerkungsabdeckung von Pull Request (PR) in Azure DevOps erweitert, um Infrastruktur als Code (IaC) Falschkonfigurationen einzuschließen, die in Azure Resource Manager- und Bicep-Vorlagen erkannt werden.
Entwickler können jetzt Anmerkungen für IaC-Fehlkonfigurationen direkt in ihren PRs anzeigen. Entwickler können auch kritische Sicherheitsprobleme beheben, bevor die Infrastruktur in Cloudworkloads bereitgestellt wird. Um die Wartung zu vereinfachen, werden den Entwicklern in jeder Anmerkung ein Schweregrad, eine Beschreibung der Fehlkonfiguration und Anweisungen zur Wartung angezeigt.
Zuvor waren die Abdeckungen für Defender for DevOps PR-Anmerkungen in Azure DevOps nur geheime Schlüssel enthalten.
Erfahren Sie mehr über Defender for DevOps und Pull Request annotations.
April 2023
Zu den Updates im April gehören:
- Agentless Container-Haltung in Defender CSPM (Vorschau)
- Neue Vorschau der Unified Disk Encryption-Empfehlung
- Änderungen an der Empfehlung „Computer müssen sicher konfiguriert sein“
- Einstellung von Richtlinien zur Sprachüberwachung für App Service
- Neue Warnung in Defender für Resource Manager
- Benachrichtigungen im Defender für Resource Manager Plan sind veraltet
- Alerts ist der automatische Export in Log Analytics Arbeitsbereich veraltet
- Deprecation und Verbesserung ausgewählter Warnungen für Windows- und Linux-Server
- Neue Microsoft Entra Authentifizierungsbezogene Empfehlungen für Azure Data Services
- Zwei Empfehlungen im Zusammenhang mit fehlenden Betriebssystemupdates wurden für GA veröffentlicht.
- Defender für APIs (Vorschau)
Agentless Container-Haltung in Defender CSPM (Vorschau)
Die neuen Funktionen für den agentlosen Containerstatus (Vorschau) sind im Rahmen des Defender CSPM -Plans (Cloud Security Posture Management) verfügbar.
Der Containerstatus ohne Agent ermöglicht es Sicherheitsteams, Sicherheitsrisiken in Containern und Kubernetes-Bereichen zu identifizieren. Ein Ansatz ohne Agent ermöglicht es Sicherheitsteams, Einblick in ihre Kubernetes- und Containerregistrierungen in SDLC und Runtime zu erhalten, wodurch die Reibung und der Speicherbedarf von Workloads verringert werden.
Der Containerstatus ohne Agent bietet Sicherheitsrisikobewertungen für Container, die es Sicherheitsteams in Kombination mit der Analyse des Angriffspfads ermöglichen, bestimmte Sicherheitsrisiken in Bezug auf Container zu priorisieren und näher zu betrachten. Sie können auch den Cloud-Sicherheits-Explorer verwenden, um Risiken aufzudecken und Erkenntnisse zum Containerstatus zu ermitteln, z. B. Ermittlung von Anwendungen, die anfällige Images ausführen oder im Internet verfügbar gemacht werden.
Weitere Informationen finden Sie unter Containerstatus ohne Agent (Vorschau).
Unified Disk Encryption-Empfehlung (Vorschau)
Es gibt neue Empfehlungen für die einheitliche Datenträgerverschlüsselung in der Vorschau.
Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost-
Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.
Diese Empfehlungen ersetzen Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, die Azure Disk Encryption und die Richtlinie Virtual machines and virtual machine scale sets should have encryption at host enabled erkannt hat, die EncryptionAtHost erkannt hat. ADE und EncryptionAtHost bieten eine vergleichbare Verschlüsselung bei der Testabdeckung, und es wird empfohlen, eine davon auf jedem virtuellen Computer zu aktivieren. Die neuen Empfehlungen erkennen, ob Azure Disk Encryption oder EncryptionAtHost aktiviert sind, und warnen nur, wenn keine aktiviert ist. Es wird ebenfalls gewarnt, wenn Azure Disk Encryption auf einigen, aber nicht auf allen Datenträgern eines virtuellen Computers aktiviert ist (diese Bedingung gilt nicht für EncryptionAtHost).
Die neuen Empfehlungen erfordern Azure Automanage Computerkonfiguration.
Diese Empfehlungen basieren auf den folgenden Richtlinien:
(Vorschau) Windows virtuellen Computern sollten Azure Disk Encryption oder EncryptionAtHost (Preview) Virtuelle Linux-Computer sollten Azure Disk Encryption oder EncryptionAtHost
Weitere Informationen finden Sie unter Azure Disk Encryption und EncryptionAtHost und wie Sie eine davon aktivieren.
Änderungen an der Empfehlung „Computer müssen sicher konfiguriert sein“
Die Empfehlung Machines should be configured securely wurde aktualisiert. Das Update verbessert die Leistung und Stabilität der Empfehlung und richtet seine Erfahrung mit dem allgemeinen Verhalten der Empfehlungen Defender for Cloud aus.
Als Teil dieses Updates wurde die ID der Empfehlung von 181ac480-f7c4-544b-9865-11b8ffe87f47 in c476dc48-8110-4139-91af-c8d940896b98 geändert.
Auf Kundenseite ist keine Aktion erforderlich, und es gibt keine erwarteten Auswirkungen auf die Sicherheitsbewertung.
Einstellung von Richtlinien zur Sprachüberwachung für App Service
Die folgenden Richtlinien zur Sprachüberwachung für App Service wurden aufgrund dessen als veraltet gekennzeichnet, da sie falsch negative Ergebnisse generieren können und keine bessere Sicherheit bieten. Sie sollten immer sicherstellen, dass Sie eine Sprachversion ohne bekannte Sicherheitsrisiken verwenden.
| Richtlinienname | Richtlinien-ID |
|---|---|
| 496223c3-ad65-4ecd-878a-bae78737e9ed | |
| 7008174a-fd10-4ef0-817e-fc820a951d73 | |
| 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc | |
| 7238174a-fd10-4ef0-817e-fc820a951d73 | |
| App Service-Apps, die PHP verwenden, sollten die neueste „PHP-Version“ verwenden | 7261b898-8a84-4db8-9e04-18527132abb3 |
Kunden können alternative integrierte Richtlinien verwenden, um jede angegebene Sprachversion für ihre App Services zu überwachen.
Diese Richtlinien sind in den integrierten Empfehlungen Defender for Cloud nicht mehr verfügbar. Sie können sie als benutzerdefinierte Empfehlungen anfügen, um sie Defender for Cloud überwachen zu lassen.
Neue Warnung in Defender für Resource Manager
Defender für Resource Manager hat die folgende neue Warnung:
| Warnung (Warnungstyp) | Description | MITRE-Taktiken | Severity |
|---|---|---|---|
|
VORSCHAU – Verdächtige Erstellung von Compute-Ressourcen erkannt (ARM_SuspiciousComputeCreation) |
Microsoft Defender für Resource Manager eine verdächtige Erstellung von Computeressourcen in Ihrem Abonnement mit Virtual Machines/Azure Scale Set identifiziert. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können, indem sie bei Bedarf neue Ressourcen bereitstellen. Obwohl diese Aktivität legitim sein könnte, könnte ein Bedrohungsakteur solche Vorgänge nutzen, um Cryptomining durchzuführen. Die Aktivität wird als verdächtig eingestuft, da die Skalierung der Compute-Ressourcen höher ist als zuvor im Abonnement beobachtet. Dies kann darauf hinweisen, dass der Prinzipal kompromittiert ist und mit böswilliger Absicht benutzt wird. |
Impact | Medium |
Sie können eine Liste aller alerts anzeigen, die für Resource Manager verfügbar sind.
Drei Warnungen im Defender für Resource Manager Plan sind veraltet.
Die folgenden drei Warnungen für die Defender für Resource Manager Plan sind veraltet:
Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
In einem Szenario, in dem Aktivitäten von einer verdächtigen IP-Adresse erkannt werden, ist einer der folgenden Defenders für Resource Manager Planwarnungen Azure Resource Manager operation from suspicious IP address oder Azure Resource Manager operation from suspicious proxy IP address vorhanden.
Warnungen für den automatischen Export in Log Analytics Arbeitsbereich sind veraltet.
Defenders for Cloud Security Alerts werden automatisch in einen Standardarbeitsbereich Log Analytics Auf Ressourcenebene exportiert. Dies führt zu einem indeterministischen Verhalten, und daher wurde dieses Feature als veraltet gekennzeichnet.
Stattdessen können Sie Ihre Sicherheitswarnungen in einen dedizierten Log Analytics Arbeitsbereich mit Continuous Export exportieren.
Wenn Sie den kontinuierlichen Export Ihrer Warnungen bereits in einen Log Analytics Arbeitsbereich konfiguriert haben, ist keine weitere Aktion erforderlich.
Veraltete und Verbesserung ausgewählter Warnungen für Windows und Linux-Server
Der Prozess zur Verbesserung der Sicherheitswarnungsqualität für Defender für Server umfasst die Veraltetkeit einiger Warnungen für Windows- und Linux-Server. Die veralteten Warnungen stammen jetzt aus und werden von Defender für Endpunkt-Bedrohungswarnungen abgedeckt.
Wenn Die Defender für die Endpunktintegration bereits aktiviert ist, ist keine weitere Aktion erforderlich. Im April 2023 kann es zu einem Rückgang der Warnungsmenge kommen.
Wenn die Defender für die Endpunktintegration in Defender für Server nicht aktiviert ist, müssen Sie die Defender für die Endpunktintegration aktivieren, um Ihre Warnungsabdeckung aufrechtzuerhalten und zu verbessern.
Alle Defender für Serverkunden haben vollzugriff auf die Defender für die Integration von Endpunkt als Teil des Defender für Server-Plan.
Weitere Informationen zu Microsoft Defender for Endpoint Onboarding-Optionen.
Sie können auch die vollständige Liste der Warnungen anzeigen, die als veraltet festgelegt sind.
Lesen Sie den Blog Microsoft Defender for Cloud.
Neue Microsoft Entra Authentifizierungsbezogene Empfehlungen für Azure Data Services
Wir haben vier neue Microsoft Entra-Authentifizierungsempfehlungen für Azure Data Services hinzugefügt.
| Empfehlungsname | Empfehlungsbeschreibung | Policy |
|---|---|---|
| Azure SQL Managed Instance Authentifizierungsmodus sollte nur Microsoft Entra ID werden | Das Deaktivieren lokaler Authentifizierungsmethoden und das Zulassen von Microsoft Entra Authentifizierung verbessert die Sicherheit, indem sichergestellt wird, dass Azure SQL verwaltete Instanzen ausschließlich von Microsoft Entra ID Identitäten aufgerufen werden können. | Azure SQL Managed Instance sollte Microsoft Entra ID Nur Authentifizierung aktiviert sein |
| Azure Synapse Arbeitsbereichauthentifizierungsmodus sollte nur Microsoft Entra ID werden | Microsoft Entra ID nur Authentifizierungsmethoden verbessern die Sicherheit, indem sichergestellt wird, dass Synapse-Arbeitsbereiche ausschließlich Microsoft Entra ID Identitäten für die Authentifizierung benötigen. Erfahren Sie mehr. | Synapse-Arbeitsbereiche sollten nur Microsoft Entra ID Identitäten für die Authentifizierung verwenden |
| Azure Database for MySQL sollte einen Microsoft Entra Administrator bereitgestellt haben | Stellen Sie einen Microsoft Entra Administrator für Ihre Azure Database for MySQL bereit, um Microsoft Entra Authentifizierung zu aktivieren. Microsoft Entra Authentifizierung ermöglicht vereinfachte Berechtigungsverwaltung und zentrale Identitätsverwaltung von Datenbankbenutzern und anderen Microsoft-Dienste | A-Microsoft Entra-Administrator sollte für MySQL-Server bereitgestellt werden |
| Azure Database for PostgreSQL sollte einen Microsoft Entra Administrator bereitgestellt haben | Stellen Sie einen Microsoft Entra Administrator für Ihre Azure Database for PostgreSQL bereit, um Microsoft Entra Authentifizierung zu aktivieren. Microsoft Entra Authentifizierung ermöglicht vereinfachte Berechtigungsverwaltung und zentrale Identitätsverwaltung von Datenbankbenutzern und anderen Microsoft-Dienste | A-Microsoft Entra Administrator sollte für PostgreSQL-Server bereitgestellt werden |
Zwei Empfehlungen im Zusammenhang mit fehlenden Betriebssystemupdates wurden für GA veröffentlicht
Die Empfehlungen System updates should be installed on your machines (powered by Azure Update Manager) und Machines should be configured to periodically check for missing system updates wurden für die allgemeine Verfügbarkeit veröffentlicht.
Zur Verwendung der neuen Empfehlung müssen Sie die folgenden Schritte ausführen:
- Verbinden Sie Ihre Nicht-Azure-Computer mit Arc.
-
Aktivieren Sie die Eigenschaft für die regelmäßige Bewertung. Sie können die Schaltfläche "Korrigieren" verwenden.
in der neuen Empfehlung (
Machines should be configured to periodically check for missing system updates) verwenden, um die Empfehlung zu korrigieren.
Nach Abschluss dieser Schritte können Sie die alte Empfehlung System updates should be installed on your machines entfernen, indem Sie sie aus der integrierten Initiative Defender for Cloud in Azure Richtlinie deaktivieren.
Die beiden Versionen der Empfehlungen:
System updates should be installed on your machinesSystem updates should be installed on your machines (powered by Azure Update Manager)
Beide werden verfügbar sein, bis der Log Analytics Agent am 31. August 2024 veraltet ist. Dies ist der Zeitpunkt, an dem die ältere Version (System updates should be installed on your machines) der Empfehlung ebenfalls veraltet ist. Beide Empfehlungen geben die gleichen Ergebnisse zurück und stehen unter demselben Steuerelement Apply system updates zur Verfügung.
Die neue Empfehlung System updates should be installed on your machines (powered by Azure Update Manager) verfügt über die Schaltfläche "Korrigieren", die zum Beheben von Ergebnissen über den Update-Manager (Vorschau) verwendet werden kann. Dieser Korrekturvorgang befindet sich noch in der Vorschauphase.
Die neue Empfehlung System updates should be installed on your machines (powered by Azure Update Manager) wird nicht erwartet, dass sie sich auf Ihre Sicherheitsbewertung auswirkt, da sie dieselben Ergebnisse wie die alte Empfehlung System updates should be installed on your machines hat.
Die erforderliche Empfehlung (Aktivieren Sie die Eigenschaft für die regelmäßige Bewertung) wirkt sich negativ auf Ihre Sicherheitsbewertung aus. Sie können den negativen Effekt mit der verfügbaren Schaltfläche "Korrigieren" beheben.
Defender für APIs (Vorschau)
Microsoft Defender for Cloud kündigt die neue Defender für APIs in der Vorschau an.
Defender für APIs bietet vollständige Lebenszyklusschutz-, Erkennungs- und Reaktionsabdeckung für APIs.
Defender für APIs hilft Ihnen, Einblicke in geschäftskritische APIs zu erhalten. Sie können den API-Sicherheitsstatus untersuchen und verbessern, Sicherheitskorrekturen priorisieren und aktive Echtzeitbedrohungen schnell erkennen.
Erfahren Sie mehr über Defender für APIs.
März 2023
Zu den Updates im März gehören:
- A new Defender for Storage plan is available, including near-echtzeit malware scanning and sensitive data threat detection
- Datenfähiger Sicherheitsstatus (Vorschau)
- Improved experience for managing the default Azure security policies
- Defender CSPM (Cloud Security Posture Management) ist jetzt allgemein verfügbar (GA)
- Option zum Erstellen von benutzerdefinierten Empfehlungen und Sicherheitsstandards in Microsoft Defender for Cloud
- Microsoft Cloud Security Benchmark (MCSB) Version 1.0 ist jetzt allgemein verfügbar (GA)
- Einige Standards zur Einhaltung gesetzlicher Bestimmungen sind jetzt in Government-Clouds verfügbar
- Neue Vorschauempfehlung für Azure SQL Server
- Neue Warnung in Defender für Key Vault
Ein neuer Defender für den Speicherplan ist verfügbar, einschließlich der Nah-Echtzeit-Schadsoftwareüberprüfung und der Erkennung vertraulicher Daten
Cloudspeicher spielt eine wichtige Rolle in der Organisation und speichert große Mengen wertvoller und vertraulicher Daten. Heute kündigen wir eine neue Defender für den Speicherplan an. Wenn Sie den vorherigen Plan verwenden (jetzt in "Defender für Speicher (klassisch)" umbenannt), müssen Sie proaktiv migration in den neuen Plan, um die neuen Features und Vorteile nutzen zu können.
Der neue Plan umfasst erweiterte Sicherheitsfunktionen zum Schutz vor böswilligen Dateiuploads, Exfiltration von vertraulichen Daten und Datenbeschädigung. Außerdem bietet er eine vorhersagbarere und flexiblere Preisstruktur für eine bessere Kontrolle über Abdeckung und Kosten.
Der neue Plan verfügt jetzt über neue Funktionen in der öffentlichen Vorschau:
Erkennen von Ereignissen zur Offenlegung und Exfiltration vertraulicher Daten
Überprüfung auf Schadsoftware beim Hochladen von Blobs nahezu in Echtzeit für alle Dateitypen
Erkennen von Entitäten ohne Identitäten mithilfe von SAS-Token
Diese Funktionen erweitern die vorhandene Aktivitätsüberwachungsfunktion, die auf der Protokollanalyse und Verhaltensmodellierung auf Steuerungs- und Datenebene basiert, um frühe Anzeichen von Sicherheitsverletzungen zu erkennen.
Alle diese Funktionen sind in einem neuen vorhersagbaren und flexiblen Preisplan verfügbar, der eine präzise Kontrolle über den Datenschutz auf Abonnement- und Ressourcenebene bietet.
Weitere Informationen finden Sie unter Overview of Microsoft Defender for Storage.
Datenfähiger Sicherheitsstatus (Vorschau)
Microsoft Defender for Cloud hilft Sicherheitsteams, produktiver zu sein, um Risiken zu reduzieren und auf Datenschutzverletzungen in der Cloud zu reagieren. Es ermöglicht ihnen, Stördaten mit Datenkontext zu reduzieren und die kritischsten Sicherheitsrisiken zu priorisieren, um kostspielige Datenverletzungen zu verhindern.
- Automatisches Ermitteln von Datenressourcen in der gesamten Cloudumgebung und Bewerten ihrer Zugänglichkeit, Datenvertraulichkeit und konfigurierten Datenflüsse. –Kontinuierliches Aufdecken von Risiken für Datenschutzverletzungen bei vertraulichen Datenressourcen, Offenlegung oder Angriffspfaden, die mithilfe einer Lateral-Movement-Technik zu einer Datenressource führen können.
- Erkennen Sie verdächtige Aktivitäten, die auf eine fortlaufende Bedrohung für vertrauliche Datenressourcen hinweisen könnten.
Erfahren Sie mehr über den sicherheitsrelevanten Sicherheitsstatus.
Verbesserte Benutzeroberfläche für die Verwaltung der Standard-Azure Sicherheitsrichtlinien
Wir stellen eine verbesserte Azure Sicherheitsrichtlinienverwaltung für integrierte Empfehlungen vor, die die Art und Weise vereinfacht, wie Defender for Cloud Kunden ihre Sicherheitsanforderungen optimieren. Die neue Benutzeroberfläche umfasst die folgenden neuen Funktionen:
- Eine einfache Schnittstelle ermöglicht eine bessere Leistung und Erfahrung beim Verwalten von Standardsicherheitsrichtlinien innerhalb Defender for Cloud.
- Eine einzige Ansicht aller integrierten Sicherheitsempfehlungen, die vom Microsoft Cloud-Sicherheits-Benchmark (vormals der Azure Sicherheits-Benchmark) angeboten werden. Empfehlungen sind in logische Gruppen unterteilt, sodass die abgedeckten Ressourcentypen und die Beziehung zwischen Parametern und Empfehlungen leichter zu verstehen sind.
- Neue Features wie Filter und Suche wurden hinzugefügt.
Erfahren Sie mehr über das Verwalten von Sicherheitsrichtlinien.
Lesen Sie den Blog Microsoft Defender for Cloud.
Defender CSPM (Cloud Security Posture Management) ist jetzt allgemein verfügbar (GA)
Wir kündigen an, dass Defender CSPM jetzt allgemein verfügbar (GA) ist. Defender CSPM bietet alle unter den Foundational CSPM-Funktionen verfügbaren Dienste und bietet die folgenden Vorteile:
- Analyse des Angriffspfads und ARG-API: Die Analyse des Angriffspfads verwendet einen graphbasierten Algorithmus, der den Cloud-Sicherheitsgraphen überprüft, um Angriffspfade aufzudecken. Zudem werden Sie anhand von Empfehlungen darüber informiert, wie Sie Probleme am besten behandeln, um den Angriffspfad zu unterbrechen und ein erfolgreiches Eindringen zu verhindern. Sie können Angriffspfade auch programmgesteuert nutzen, indem Sie Azure Resource Graph -API (ARG) abfragen. Erfahren Sie mehr über die Verwendung der Angriffspfadanalyse.
- Cloudsicherheits-Explorer: Mit dem Cloudsicherheits-Explorer können Sie graphbasierte Abfragen für den Cloudsicherheitsgraphen ausführen, um Sicherheitsrisiken in Ihren Multicloudumgebungen proaktiv zu identifizieren. Informieren Sie sich ausführlicher über den Cloudsicherheits-Explorer.
Erfahren Sie mehr über Defender CSPM.
Option zum Erstellen von benutzerdefinierten Empfehlungen und Sicherheitsstandards in Microsoft Defender for Cloud
Microsoft Defender for Cloud bietet die Möglichkeit, benutzerdefinierte Empfehlungen und Standards für AWS und GCP mithilfe von KQL-Abfragen zu erstellen. Sie können einen Abfrage-Editor verwenden, um Abfragen für Ihre Daten zu erstellen und zu testen. Dieses Feature ist Teil des Defender CSPM (Cloud Security Posture Management)-Plans. Erfahren Sie mehr über das Erstellen von benutzerdefinierten Empfehlungen und Standards.
Microsoft Cloud Security Benchmark (MCSB) Version 1.0 ist jetzt allgemein verfügbar (GA)
Microsoft Defender for Cloud kündigt an, dass der Microsoft Cloud Security Benchmark (MCSB) Version 1.0 jetzt allgemein verfügbar (GA) ist.
MCSB Version 1.0 ersetzt die Azure Security Benchmark (ASB) Version 3 als Defender for Cloud Standardsicherheitsrichtlinie. MCSB, Version 1.0, wird als Standardcompliancestandard im Compliance-Dashboard angezeigt und ist standardmäßig für alle Defender for Cloud Kunden aktiviert.
Sie können auch How Microsoft Cloud Security Benchmark (MCSB) ihnen helfen, in Ihrer Cloud Security Journey erfolgreich zu sein.
Erfahren Sie mehr über MCSB.
Einige Standards für die Einhaltung gesetzlicher Bestimmungen sind jetzt in Government-Clouds verfügbar
Wir aktualisieren diese Standards für Kunden in Azure Government und Microsoft Azure, betrieben von 21Vianet.
Azure Government:
Microsoft Azure betrieben von 21Vianet:
Erfahren Sie mehr über das Anpassen der Standards in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen.
Neue Vorschauempfehlung für Azure SQL Server
Wir haben eine neue Empfehlung für Azure SQL Server Azure SQL Server authentication mode should be Azure Active Directory Only (Preview) hinzugefügt.
Die Empfehlung basiert auf der vorhandenen Richtlinie Azure SQL-Datenbank should have Azure Active Directory Only Authentication enabled
Diese Empfehlung deaktiviert lokale Authentifizierungsmethoden und ermöglicht nur Microsoft Entra Authentifizierung, wodurch die Sicherheit verbessert wird, indem sichergestellt wird, dass Azure SQL Datenbanken ausschließlich von Microsoft Entra ID Identitäten aufgerufen werden können.
Erfahren Sie, wie Sie Server create server with Azure AD-only authentication enabled in Azure SQL.
Neue Warnung in Defender für Key Vault
Defender für Key Vault weist die folgende neue Warnung auf:
| Warnung (Warnungstyp) | Description | MITRE-Taktiken | Severity |
|---|---|---|---|
|
Zugriff auf einen Schlüsseltresor von einer verdächtigen IP-Adresse verweigert (KV_SuspiciousIPAccessDenied) |
Ein erfolgloser Schlüsseltresorzugriff wurde von einer IP versucht, die von Microsoft Threat Intelligence als verdächtige IP-Adresse identifiziert wurde. Obwohl dieser Versuch nicht erfolgreich war, deutet dies darauf hin, dass Ihre Infrastruktur möglicherweise kompromittiert wurde. Weitere Untersuchungen werden empfohlen. | Zugriff auf Anmeldeinformationen | Low |
Sie können eine Liste aller alerts anzeigen, die für Key Vault verfügbar sind.
Februar 2023
Updates im Februar:
- Verbesserter Cloudsicherheits-Explorer
- Defender für Container-Sicherheitsrisiken von ausgeführten Linux-Images jetzt GA
- Ankündigung der Unterstützung für den AWS CIS 1.5.0-Compliancestandard
- Microsoft Defender for DevOps (Vorschau) ist jetzt in anderen Regionen verfügbar
- Die integrierte Richtlinie [Vorschau]: Privater Endpunkt sollte für Key Vault als veraltet konfiguriert werden
Verbesserter Cloudsicherheits-Explorer
Eine verbesserte Version des Cloudsicherheits-Explorers umfasst eine aktualisierte Benutzeroberfläche, die die Reibungsverluste bei Abfragen deutlich verringert. Außerdem wurden eine Möglichkeit zum Ausführen von Abfragen für mehrere Clouds und mehrere Ressourcen sowie eine eingebettete Dokumentation für jede Abfrageoption hinzugefügt.
Mit dem Cloudsicherheits-Explorer können Sie jetzt cloudabstrakte Abfragen ressourcenübergreifend ausführen. Sie können entweder die vordefinierten Abfragevorlagen oder die benutzerdefinierte Suche verwenden, um Filter zum Erstellen Ihrer Abfrage anzuwenden. Erfahren Sie mehr über das Verwalten des Cloudsicherheits-Explorers.
Defender für die Sicherheitsrisikoüberprüfungen von Containern für ausgeführte Linux-Images jetzt GA
Defender für Container erkennt Sicherheitsrisiken in ausgeführten Containern. Sowohl Windows als auch Linux-Container werden unterstützt.
Im August 2022 wurde diese Funktion in der Vorschau für Windows und Linux veröffentlicht. Diese Funktion wird jetzt für Linux allgemein verfügbar gemacht.
Wenn Sicherheitsrisiken erkannt werden, generiert Defender for Cloud die folgende Sicherheitsempfehlung, in der die Ergebnisse der Überprüfung aufgelistet werden: Running-Containerimages sollten Sicherheitsrisiken behoben sein.
Informieren Sie sich ausführlicher über das Anzeigen von Sicherheitsrisiken für zurzeit ausgeführte Images.
Ankündigung der Unterstützung für den AWS CIS 1.5.0-Compliancestandard
Defender for Cloud unterstützt jetzt den CIS Amazon Web Services Foundation v1.5.0 Compliance-Standard. Der Standard kann Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen hinzugefügt werden. Er basiert auf den vorhandenen MDC-Angeboten für Multicloudempfehlungen und -standards.
Dieser neue Standard umfasst sowohl vorhandene als auch neue Empfehlungen, die die Abdeckung Defender for Cloud auf neue AWS-Dienste und -Ressourcen erweitern.
Weitere Informationen finden Sie unter Verwalten von AWS-Bewertungen und -Standards.
Microsoft Defender for DevOps (Vorschau) ist jetzt in anderen Regionen verfügbar
Microsoft Defender for DevOps hat seine Vorschau erweitert und ist jetzt in den Regionen Westeuropa und Ost australien verfügbar, wenn Sie Ihre Azure DevOps und GitHub Ressourcen integrieren.
Erfahren Sie mehr über Microsoft Defender for DevOps.
Die integrierte Richtlinie [Vorschau]: Privater Endpunkt sollte für Key Vault als veraltet konfiguriert werden.
Die integrierte Richtlinie [Preview]: Private endpoint should be configured for Key Vault ist veraltet und wird durch die richtlinie [Preview]: Azure Key Vaults should use private link ersetzt.
Erfahren Sie mehr über integrieren Azure Key Vault mit Azure Policy.
Januar 2023
Die Updates im Januar umfassen Folgendes:
- Die Endpunktschutzkomponente (Microsoft Defender for Endpoint) wird jetzt auf der Seite "Einstellungen und Überwachung" zugegriffen
- Neue Version der Empfehlung zum Ermitteln fehlender Systemupdates (Vorschau)
- Cleanup gelöschter Azure Arc Maschinen in verbundenen AWS- und GCP-Konten
- Zulassen des fortlaufenden Exports in Event Hubs hinter einer Firewall
- Die Namen des Sicherheitsbewertungssteuerelements Schützen Sie Ihre Anwendungen mit Azure erweiterten Netzwerklösungen wurde geändert
- Die Richtlinieneinstellungen der Sicherheitsrisikobewertung für SQL Server, bei denen eine E-Mail-Adresse zum Empfangen von Überprüfungsberichten enthalten sein muss, sind veraltet.
- Recommendation zum Aktivieren von Diagnoseprotokollen für Virtual Machine Scale Sets veraltet ist
Auf die Endpunktschutzkomponente (Microsoft Defender for Endpoint) wird jetzt auf der Seite "Einstellungen und Überwachung" zugegriffen.
Um auf Endpunktschutz zuzugreifen, navigieren Sie zu Einstellungen>Defender plans>Settings and monitoring. Von hier aus können Sie Endpunktschutz auf "Ein" festlegen. Sie können auch die anderen Komponenten anzeigen, die verwaltet werden.
Erfahren Sie mehr über abling Microsoft Defender for Endpoint auf Ihren Servern mit Defender für Server.
Neue Version der Empfehlung zum Ermitteln fehlender Systemupdates (Vorschau)
Sie benötigen keinen Agent mehr auf Ihren Azure VMs und Azure Arc Computern, um sicherzustellen, dass die Computer über alle neuesten Sicherheits- oder kritischen Systemupdates verfügen.
Die neue Empfehlung für Systemupdates, System updates should be installed on your machines (powered by Azure Update Manager) im steuerelement Apply system updates, basiert auf dem Update Manager (Vorschau). Die Empfehlung basiert auf einem systemeigenen Agent, der in jede Azure VM eingebettet ist, und Azure Arc Computer anstelle eines installierten Agents. Über die schnelle Problembehebung in der neuen Empfehlung werden Sie zu einer einmaligen Installation der fehlenden Updates im Portal des Update Managers weitergeleitet.
Zur Verwendung der neuen Empfehlung müssen Sie die folgenden Schritte ausführen:
- Verbinden Ihrer Nicht-Azure-Computer mit Arc
- Aktivieren Sie die Eigenschaft „Periodische Bewertung“. Sie können die schnelle Problembehebung in der neuen Empfehlung verwenden (
Machines should be configured to periodically check for missing system updates), um die Empfehlung zu beheben.
Die Empfehlung "Systemupdates sollten auf Ihren Computern installiert werden", die auf dem Log Analytics Agent basiert, ist weiterhin unter derselben Kontrolle verfügbar.
Bereinigen von gelöschten Azure Arc Computern in verbundenen AWS- und GCP-Konten
Ein Computer, der mit einem AWS- und GCP-Konto verbunden ist, das von Defender für Server oder Defender für SQL auf Computern abgedeckt wird, wird in Defender for Cloud als Azure Arc Computer dargestellt. Bis jetzt wurde dieser Computer beim Löschen aus dem AWS- oder GCP-Konto nicht aus dem Inventar gelöscht. Führt zu unnötigen Azure Arc Ressourcen, die in Defender for Cloud verbleiben, die gelöschte Computer darstellen.
Defender for Cloud werden jetzt automatisch Azure Arc Computer gelöscht, wenn diese Computer in einem verbundenen AWS- oder GCP-Konto gelöscht werden.
Zulassen des fortlaufenden Exports in Event Hubs hinter einer Firewall
Sie können jetzt den kontinuierlichen Export von Warnungen und Empfehlungen als vertrauenswürdiger Dienst in Event Hubs aktivieren, die durch eine Azure Firewall geschützt sind.
Sie können den fortlaufenden Export aktivieren, wenn die Warnungen oder Empfehlungen generiert werden. Sie können auch einen Zeitplan festlegen, um in regelmäßigen Abständen Momentaufnahmen aller neuen Daten zu senden.
Erfahren Sie, wie Sie kontinellen Export in einen Event Hub hinter einer Azure Firewall aktivieren.
Der Name des Sicherheitsbewertungssteuerelements "Schützen Ihrer Anwendungen mit Azure erweiterten Netzwerklösungen" wird geändert.
Das Sicherheitsbewertungssteuerelement Protect your applications with Azure advanced networking solutions wird in Protect applications against DDoS attacks geändert.
Der aktualisierte Name wird in Azure Resource Graph (ARG), der Secure Score Controls API und der Download CSV report wider.
Die Richtlinieneinstellungen der Sicherheitsrisikobewertung für SQL Server, bei denen eine E-Mail-Adresse zum Empfangen von Überprüfungsberichten enthalten sein muss, sind veraltet.
Die Richtlinie Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports ist veraltet.
Der E-Mail-Bericht Defender für die SQL-Sicherheitsrisikobewertung ist weiterhin verfügbar, und vorhandene E-Mail-Konfigurationen wurden nicht geändert.
Empfehlung zum Aktivieren von Diagnoseprotokollen für Virtual Machine Scale Sets veraltet ist
Die Empfehlung Diagnostic logs in Virtual Machine Scale Sets should be enabled ist veraltet.
Die zugehörige Richtliniendefinition wurde auch von allen im Dashboard zur Einhaltung gesetzlicher Vorschriften angezeigten Standards nicht mehr unterstützt.
| Recommendation | Description | Severity |
|---|---|---|
| Diagnoseprotokolle in Virtual Machine Scale Sets sollten aktiviert sein | Aktivieren Sie Protokolle, und bewahren Sie sie bis zu einem Jahr lang auf. Auf diese Weise können Sie zu Untersuchungszwecken vergangene Aktivitäten nachvollziehen, wenn ein Sicherheitsincident auftritt oder Ihr Netzwerk kompromittiert wird. | Low |
Dezember 2022
Zu den Updates im Dezember gehören:
Ankündigung der Expresskonfiguration für die Sicherheitsrisikobewertung in Defender für SQL
Die Expresskonfiguration für die Sicherheitsrisikobewertung in Microsoft Defender für SQL bietet Sicherheitsteams eine optimierte Konfigurationserfahrung für Azure SQL Datenbanken und dedizierte SQL-Pools außerhalb von Synapse-Arbeitsbereichen.
Die Funktion zur Expresskonfiguration für die Sicherheitsrisikobewertung ermöglicht Sicherheitsteams Folgendes:
- Konfigurieren der Sicherheitsrisikobewertung in der Sicherheitskonfiguration der SQL-Ressource, ohne zusätzliche Einstellungen oder Abhängigkeiten von kundenseitig verwalteten Speicherkonten
- Fügen Sie sofort Scanergebnisse zu Baselines hinzu, sodass der Status der Suche änderungen von "Nicht fehlerfrei " in "Fehlerfrei " geändert wird, ohne eine Datenbank erneut zu scannen.
- Hinzufügen mehrerer Regeln zu Baselines in einem Arbeitsschritt und Verwenden der neuesten Überprüfungsergebnisse
- Aktivieren Sie die Sicherheitsrisikobewertung für alle Azure SQL Server, wenn Sie Microsoft Defender für Datenbanken auf Abonnementebene aktivieren.
Erfahren Sie mehr über Defender für die SQL-Sicherheitsrisikobewertung.
November 2022
Updates im November:
- Protect-Container in Ihrer GCP-Organisation mit Defender für Container
- Validate Defender für Containerschutz mit Beispielwarnungen
- Governanceregeln im großen Maßstab (Vorschau)
- Die Funktion zum Erstellen benutzerdefinierter Bewertungen in AWS und GCP (Vorschau) ist veraltet.
- Die Empfehlung zum Konfigurieren von Warteschlangen für unzustellbare Nachrichten für Lambdafunktionen ist veraltet.
Schützen von Containern in Ihrer GCP-Organisation mit Defender für Container
Jetzt können Sie Defender für Container für Ihre GCP-Umgebung aktivieren, um GKE-Standardcluster in einer gesamten GCP-Organisation zu schützen. Erstellen Sie einfach einen neuen GCP-Connector mit Defender für Container aktiviert oder aktivieren Sie Defender für Container auf einem vorhandenen GCP-Connector auf Organisationsebene.
Erfahren Sie mehr über connecting GCP-Projekte und -Organisationen zum Defender for Cloud.
Überprüfen von Defender für Containerschutz mit Beispielwarnungen
Sie können jetzt auch Beispielwarnungen für Defender für Containerplan erstellen. Die neuen Beispielwarnungen werden als Warnungen aus AKS, Clustern mit Arc-Verbindung, EKS- und GKE-Ressourcen mit unterschiedlichen Schweregraden und MITRE-Taktiken dargestellt. Sie können mithilfe dieser Beispielwarnungen Konfigurationen für Sicherheitswarnungen überprüfen, z. B. SIEM-Integrationen, Workflowautomatisierung und E-Mail-Benachrichtigungen.
Weitere Informationen zur Warnungsüberprüfung.
Governanceregeln im großen Maßstab (Vorschau)
Wir freuen uns, die neue Möglichkeit zur Anwendung von Governanceregeln im Maßstab (Vorschau) in Defender for Cloud bekannt zu geben.
Mit dieser neuen Funktion können Sicherheitsteams per Massenvorgang Governanceregeln für verschiedene Geltungsbereiche (Abonnements und Connectors) definieren. Sicherheitsteams können diese Aufgabe mithilfe von Verwaltungsbereichen wie Azure Managementgruppen, AWS-Konten auf oberster Ebene oder GCP-Organisationen erledigen.
Darüber hinaus stellt die Seite "Governanceregeln (Vorschau)" alle verfügbaren Governanceregeln dar, die in den Umgebungen der Organisation wirksam sind.
Erfahren Sie mehr über die neue Funktionalität für Governanceregeln im großen Stil.
Note
Ab dem 1. Januar 2023 müssen Sie den plan Defender CSPM plan für Ihr Abonnement oder Connector aktiviert haben, um die von Governance gebotenen Funktionen zu erleben.
Die Funktion zum Erstellen benutzerdefinierter Bewertungen in AWS und GCP (Vorschau) ist veraltet.
Die Möglichkeit, benutzerdefinierte Bewertungen für AWS-Konten und GCP-Projekte zu erstellen, die ein Vorschaufeature war, ist veraltet.
Die Empfehlung zum Konfigurieren von Warteschlangen für unzustellbare Nachrichten für Lambdafunktionen ist veraltet.
Die Empfehlung Lambda functions should have a dead-letter queue configured ist veraltet.
| Recommendation | Description | Severity |
|---|---|---|
| Für Lambdafunktionen sollte eine Warteschlange für unzustellbare Nachrichten konfiguriert sein. | Diese Kontrolle überprüft, ob eine Lambdafunktion mit einer Warteschlange für unzustellbare Nachrichten konfiguriert ist. Die Kontrolle schlägt fehl, wenn die Lambdafunktion nicht mit einer Warteschlange für unzustellbare Nachrichten konfiguriert ist. Als Alternative zu einem Ziel bei Fehlern können Sie Ihre Funktion mit einer Warteschlange für unzustellbare Nachrichten konfigurieren, um verworfene Ereignisse zur weiteren Verarbeitung zu speichern. Eine Warteschlange für unzustellbare Nachrichten verhält sich genauso wie ein Ziel bei Fehlern. Sie wird verwendet, wenn ein Ereignis bei allen Verarbeitungsversuchen fehlschlägt oder abläuft, ohne verarbeitet zu werden. Mit einer Warteschlange für unzustellbare Nachrichten können Sie auf Fehler oder fehlgeschlagene Anforderungen an Ihre Lambdafunktion zurückblicken, um ungewöhnliches Verhalten zu debuggen oder zu identifizieren. Aus der Sicherheitsperspektive ist es wichtig zu verstehen, warum Ihre Funktion fehlgeschlagen ist, und sicherzustellen, dass Ihre Funktion keine Daten verliert oder deswegen die Datensicherheit gefährdet wird. Wenn Ihre Funktion zum Beispiel nicht mit einer zugrunde liegenden Ressource kommunizieren kann, kann dies ein Symptom für einen Denial-of-Service-Angriff (DoS) an anderer Stelle im Netzwerk sein. | Medium |
Oktober 2022
Updates im Oktober:
- Announcing the Microsoft cloud security benchmark
- Attack-Pfadanalyse und kontextbezogene Sicherheitsfunktionen in Defender for Cloud (Vorschau)
- Agentless-Scan auf Azure- und AWS-Maschinen (Vorschau)
- Defender for DevOps (Vorschau)
- Regulatory Compliance Dashboard unterstützt jetzt manuelle Steuerungsverwaltung und detaillierte Informationen zum Compliancestatus Microsoft
- Die automatische Bereitstellung wird in Einstellungen und Überwachung umbenannt und verfügt über eine aktualisierte Oberfläche.
- Defender Cloud Security Posture Management (CSPM) (Vorschau)
- DIE MITRE ATT&CK Framework-Zuordnung ist jetzt auch für AWS- und GCP-Sicherheitsempfehlungen verfügbar.
- Defender für Container unterstützt jetzt die Sicherheitsrisikobewertung für elastic Container Registry (Preview)
Ankündigung des Microsoft Cloud-Sicherheits-Benchmarks
Der Microsoft Cloud Security Benchmark (MCSB) ist ein neues Framework, das grundlegende Prinzipien der Cloudsicherheit definiert, die auf gemeinsamen Branchenstandards und Compliance-Frameworks basieren. zusammen mit detaillierten technischen Anleitungen zur Implementierung dieser bewährten Methoden auf Cloudplattformen definiert. MCSB ersetzt den Azure Security Benchmark. MCSB bietet präskriptive Details zur Implementierung seiner cloudagnostischen Sicherheitsempfehlungen auf mehreren Cloud-Service-Plattformen, die zunächst Azure und AWS abdecken.
Sie können jetzt den Status Ihrer Cloudsicherheitscompliance cloudspezifisch in einem einzigen integrierten Dashboard überwachen. Sie können MCSB als Standardcompliancestandard sehen, wenn Sie zum Compliance-Dashboard von Defender for Cloud navigieren.
Microsoft CloudSicherheits-Benchmark wird Ihren Azure Abonnements und AWS-Konten automatisch zugewiesen, wenn Sie Defender for Cloud integrieren.
Erfahren Sie mehr über den Microsoft Cloud Security Benchmark.
Analyse des Angriffspfads und kontextbezogene Sicherheitsfunktionen in Defender for Cloud (Vorschau)
Das neue Cloud-Sicherheitsdiagramm, die Analyse des Angriffspfads und die kontextbezogenen Cloudsicherheitsfunktionen sind jetzt in Defender for Cloud in der Vorschau verfügbar.
Eine der größten Herausforderungen für Sicherheitsteams ist heutzutage die Anzahl von Sicherheitsproblemen, mit denen sie Tag für Tag konfrontiert werden. Es gibt sehr viele Sicherheitsprobleme, die gelöst werden müssen, und nie genug Ressourcen, um sie alle zu behandeln.
Defender for Cloud neue Cloud-Sicherheitsdiagramme und Analysemöglichkeiten für Angriffspfade bieten Sicherheitsteams die Möglichkeit, das Risiko hinter jedem Sicherheitsproblem zu bewerten. Sicherheitsteams können auch die Probleme mit dem höchsten Risiko ermitteln, die schnellstens behoben werden müssen. Defender for Cloud arbeitet mit Sicherheitsteams zusammen, um das Risiko einer affektiven Verletzung ihrer Umgebung auf effektivste Weise zu verringern.
Weitere Informationen zu Cloudsicherheitsdiagramm, Angriffspfadanalyse und Cloudsicherheits-Explorer.
Agentloses Scannen für Azure- und AWS-Computer (Vorschau)
Bisher basieren Defender for Cloud ihre Haltungsbewertungen für VMs auf agentbasierten Lösungen. Um Kunden dabei zu helfen, die Abdeckung zu maximieren und Probleme bei Onboarding und Verwaltung zu verringern, veröffentlichen wir eine agentlose Überprüfung für VMs als Vorschauversion.
Mit der Überprüfung ohne Agent für VMs erhalten Sie einen umfassenden Einblick in installierte Software und Software-CVEs. Sie profitieren von Transparenz, ohne sich um die Herausforderungen im Rahmen der Agenteninstallation und -wartung, die Anforderungen an die Netzwerkkonnektivität und die Auswirkungen auf die Leistung Ihrer Workloads kümmern zu müssen. Die Analyse wird von Microsoft Defender Vulnerability Management unterstützt.
Agentlose Überprüfung von Sicherheitsrisiken ist sowohl in Defender Cloud Security Posture Management (CSPM) als auch in Defender für Server P2 verfügbar, mit systemeigener Unterstützung für AWS und Azure VMs.
- Erfahren Sie mehr über agentloses Scannen.
- Informationen zum Aktivieren der agentlosen Sicherheitsrisikobewertung.
Defender for DevOps (Vorschau)
Microsoft Defender for Cloud ermöglicht umfassende Sichtbarkeit, Haltungsmanagement und Bedrohungsschutz in Hybrid- und Multicloud-Umgebungen, einschließlich Azure, AWS, Google und lokalen Ressourcen.
Jetzt integriert der neue Defender for DevOps Plan Quellcodeverwaltungssysteme wie GitHub und Azure DevOps in Defender for Cloud. Dank dieser neuen Integration sind Sicherheitsteams in der Lage, ihre Ressourcen vom Code bis zur Cloud zu schützen.
Defender for DevOps ermöglicht Es Ihnen, Einblicke in ihre verbundenen Entwicklerumgebungen und Coderessourcen zu erhalten und zu verwalten. Derzeit können Sie Azure DevOps und GitHub Systeme mit Defender for Cloud und Onboarding von DevOps-Repositorys zum Inventar und zur neuen DevOps-Sicherheitsseite verbinden. Sicherheitsteams erhalten auf einer einheitlichen Seite zur DevOps-Sicherheit einen allgemeinen Überblick über die erkannten Sicherheitsprobleme.
Sie können Anmerkungen für Pullanforderungen konfigurieren, damit Entwickler geheime Überprüfungsergebnisse in Azure DevOps direkt auf ihren Pullanforderungen beheben können.
Sie können die Microsoft Security DevOps-Tools für Azure Pipelines und GitHub Workflows konfigurieren, um die folgenden Sicherheitsüberprüfungen zu aktivieren:
| Name | Language | License |
|---|---|---|
| Bandit | Python | Apache-Lizenz 2.0 |
| BinSkim | Binary – Windows, ELF | MIT-Lizenz |
| ESlint | JavaScript | MIT-Lizenz |
| CredScan (nur Azure DevOps) | Der Anmeldeinformationsscanner (auch als CredScan bezeichnet) ist ein Tool, das von Microsoft entwickelt und verwaltet wird, um Anmeldeinformationenlecks wie die in Quellcode- und Konfigurationsdateien gängigen Typen zu identifizieren: Standardwörter, SQL-Verbindungszeichenfolgen, Zertifikate mit privaten Schlüsseln | Nicht Open Source |
| Template Analyze | ARM-Vorlage, Bicep Datei | MIT-Lizenz |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, Cloud Formation | Apache-Lizenz 2.0 |
| Trivy | Containerimages, Dateisysteme, Git-Repositorys | Apache-Lizenz 2.0 |
Ab sofort stehen die folgenden neuen Empfehlungen für DevOps zur Verfügung:
| Recommendation | Description | Severity |
|---|---|---|
| (Vorschau) Für Coderepositorys müssen Ergebnisse des Codescannens aufgelöst werden | Defender for DevOps hat Sicherheitsrisiken in Coderepositorys gefunden. Um den Sicherheitsstatus der Repositorys zu verbessern, empfiehlt es sich dringend, diese Sicherheitsrisiken zu beheben. (Keine zugehörige Richtlinie) | Medium |
| (Vorschau) Für Coderepositorys müssen Ergebnisse des Geheimnisscannens aufgelöst werden | Defender for DevOps hat in Coderepositorys einen geheimen Schlüssel gefunden. Dies sollte sofort behoben werden, um eine Sicherheitsverletzung zu verhindern. In Repositorys gefundene Geheimnisse können nach außen dringen oder von Angreifern entdeckt werden, was zur Kompromittierung einer Anwendung oder eines Dienstes führen kann. Für Azure DevOps überprüft das Microsoft Security DevOps CredScan-Tool nur Builds, auf denen sie für die Ausführung konfiguriert ist. Daher spiegeln die Ergebnisse möglicherweise nicht den vollständigen Status von Geheimnissen in Ihren Repositorys wider. (Keine zugehörige Richtlinie) | High |
| (Vorschau) Für Coderepositorys müssen Ergebnisse des Dependabot-Scannens aufgelöst werden | Defender for DevOps hat Sicherheitsrisiken in Coderepositorys gefunden. Um den Sicherheitsstatus der Repositorys zu verbessern, empfiehlt es sich dringend, diese Sicherheitsrisiken zu beheben. (Keine zugehörige Richtlinie) | Medium |
| (Vorschau) Für Coderepositorys müssen Ergebnisse des Infrastructure-as-Code-Scannens aufgelöst werden | (Vorschau) Für Coderepositorys müssen Ergebnisse des Infrastructure-as-Code-Scannens aufgelöst werden | Medium |
| (Vorschau) GitHub Repositorys sollten die Codeüberprüfung aktiviert haben | GitHub verwendet Codescans, um Code zu analysieren, um Sicherheitsrisiken und Fehler im Code zu finden. Mit dem Codescannen können Sie Korrekturen für vorhandene Probleme in Ihrem Code suchen, selektieren und priorisieren. Durch das Codescannen wird außerdem verhindert, dass Entwickler neue Probleme einführen. Für Überprüfungen können bestimmte Tage und Uhrzeiten festgelegt werden, oder Überprüfungen können ausgelöst werden, wenn im Repository ein bestimmtes Ereignis auftritt, z. B. ein Push. Wenn die Codeüberprüfung eine potenzielle Sicherheitsanfälligkeit oder einen Fehler im Code findet, zeigt GitHub eine Warnung im Repository an. Eine Sicherheitslücke ist ein Problem im Code eines Projekts, das ausgenutzt werden könnte, um die Vertraulichkeit, Integrität oder Verfügbarkeit des Projekts zu beeinträchtigen. (Keine zugehörige Richtlinie) | Medium |
| (Vorschau) GitHub Repositorys sollten die geheime Überprüfung aktiviert haben | GitHub überprüft Repositorys nach bekannten Arten von Geheimschlüsseln, um betrügerische Verwendung von Geheimschlüsseln zu verhindern, die versehentlich an Repositorys begangen wurden. Die überprüfung des geheimen Schlüssels überprüft den gesamten Git-Verlauf auf allen Filialen, die im GitHub Repository vorhanden sind, nach geheimen Schlüsseln. Beispiele für Geheimnisse sind Token und private Schlüssel, die ein Dienstanbieter für die Authentifizierung ausstellen kann. Wenn ein Geheimnis in ein Repository eingefügt wird, kann jeder, der über Lesezugriff auf das Repository verfügt, das Geheimnis verwenden, um mit diesen Berechtigungen auf den externen Dienst zuzugreifen. Geheimnisse sollten in einem dedizierten, sicheren Speicherort außerhalb des Repositorys für das Projekt gespeichert werden. (Keine zugehörige Richtlinie) | High |
| (Vorschau) GitHub Repositorys sollten die Überprüfung von Dependabot aktiviert sein | GitHub sendet Dependabot-Warnungen, wenn sicherheitsrisiken in Codeabhängigkeiten erkannt werden, die sich auf Repositorys auswirken. Eine Sicherheitslücke ist ein Problem im Code eines Projekts, das ausgenutzt werden könnte, um die Vertraulichkeit, Integrität oder Verfügbarkeit des Projekts oder anderer Projekte, die seinen Code verwenden, zu beeinträchtigen. Sicherheitsrisiken variieren im Hinblick auf Typ, Schweregrad und Angriffsmethode. Wenn Code von einem Paket abhängt, das eine Sicherheitslücke aufweist, kann diese anfällige Abhängigkeit eine Reihe von Problemen verursachen. (Keine zugehörige Richtlinie) | Medium |
Die Defender for DevOps Empfehlungen ersetzten den veralteten Sicherheitsrisikoscanner für CI/CD-Workflows, die in Defender für Container enthalten waren.
Weitere Informationen zu Defender for DevOps
Das Dashboard zur Einhaltung gesetzlicher Vorschriften unterstützt jetzt die manuelle Steuerungsverwaltung und detaillierte Informationen zum Compliancestatus Microsoft
Das Compliance-Dashboard in Defender for Cloud ist ein wichtiges Tool für Kunden, mit dem sie ihren Compliancestatus verstehen und nachverfolgen können. Kunden können Umgebungen den Anforderungen vieler verschiedener Standards und Vorschriften entsprechend kontinuierlich überwachen.
Jetzt können Sie Ihren Konformitätsstatus vollständig verwalten, indem Sie operative und andere Kontrollen manuell nachweisen. Sie können jetzt die Einhaltung für Kontrollen nachweisen, die nicht automatisiert sind. Zusammen mit den automatisierten Bewertungen können Sie jetzt einen vollständigen Bericht für die Compliance innerhalb eines ausgewählten Bereichs generieren, in dem alle Kontrollen für einen bestimmten Standard berücksichtigt werden.
Darüber hinaus verfügen Sie mit umfassenderen Steuerungsinformationen und ausführlicheren Details und Nachweisen für den Compliancestatus von Microsoft jetzt über alle Informationen, die für Audits erforderlich sind.
Einige neue Vorteile sind beispielsweise:
Manuelle Kundenaktionen bieten einen Mechanismus zum manuellen Nachweis der Einhaltung von nicht automatisierten Kontrollen. Dies umfasst die Möglichkeit, Nachweise zu verknüpfen sowie ein Compliancedatum und ein Ablaufdatum festzulegen.
Umfassendere Steuerungsdetails für unterstützte Standards, die Microsoft Aktionen und manual Customer Actions zusätzlich zu den bereits vorhandenen automatisierten Kundenaktionen präsentieren.
Microsoft Aktionen bieten Transparenz in den Compliancestatus Microsoft, die Auditbewertungsverfahren, Testergebnisse und Microsoft Antworten auf Abweichungen umfassen.
Compliance-Angebote bieten einen zentralen Ort, um Azure-, Dynamics 365- und Power Platform-Produkte sowie die entsprechenden Compliance-Zertifizierungen zu überprüfen.
Weitere Informationen zum Improve your regulatory compliance with Defender for Cloud.
Die automatische Bereitstellung wird in Einstellungen und Überwachung umbenannt und verfügt über eine aktualisierte Oberfläche.
Wir haben die Seite "Autoprovisioning" in "Einstellungen und Überwachung" umbenannt.
Die automatische Bereitstellung sollte die Aktivierung von Voraussetzungen in großem Umfang ermöglichen, die von den erweiterten Features und Funktionen Defender for Cloud benötigt werden. Um unsere erweiterten Funktionen besser zu unterstützen, wurden folgende Änderungen an der Benutzeroberfläche vorgenommen:
Die Seite "Pläne" Defender for Cloud enthält jetzt:
- Wenn Sie einen Defender Plan aktivieren, der Überwachungskomponenten erfordert, werden diese Komponenten für die automatische Bereitstellung mit Standardeinstellungen aktiviert. Diese Einstellungen können optional jederzeit bearbeitet werden.
- Sie können auf die Überwachungskomponenteneinstellungen für jeden Defender Plan über die Defender Planseite zugreifen.
- Auf der Seite Defender Pläne wird klar angegeben, ob alle Überwachungskomponenten für jeden Defender Plan vorhanden sind oder ob ihre Überwachungsabdeckung unvollständig ist.
Die Seite "Einstellungen & Überwachung":
- Jede Überwachungskomponente gibt die Defender Pläne an, mit denen sie verknüpft sind.
Weitere Informationen zur Verwaltung Ihrer Überwachungseinstellungen.
Defender Cloud Security Posture Management (CSPM)
Einer der hauptpfeiler der Microsoft Defender for Cloud für Cloud-Sicherheit ist Cloud Security Posture Management (CSPM). CSPM liefert Informationen zur Härtung, die Ihnen dabei helfen, Ihre Sicherheit effizient und effektiv zu verbessern. Darüber hinaus bietet CSPM auch Einblicke in Ihre aktuelle Sicherheitssituation.
Wir kündigen einen neuen Defender Plan an: Defender CSPM. Dieser Plan verbessert die Sicherheitsfunktionen von Defender for Cloud und umfasst die folgenden neuen und erweiterten Features:
- Kontinuierliche Bewertung der Sicherheitskonfiguration Ihrer Cloudressourcen
- Sicherheitsempfehlungen zum Beheben von Fehlkonfigurationen und Schwachstellen
- Sicherheitsbewertung
- Governance
- Regulierungskonformität
- Cloudsicherheitsdiagramm
- Analyse des Angriffspfads
- Überprüfung ohne Agent für Computer
Erfahren Sie mehr über den plan Defender CSPM.
DIE MITRE ATT&CK Framework-Zuordnung ist jetzt auch für AWS- und GCP-Sicherheitsempfehlungen verfügbar.
Für Sicherheitsanalysten ist es wichtig, die potenziellen Risiken im Zusammenhang mit Sicherheitsempfehlungen zu identifizieren und die Angriffsvektoren zu verstehen, damit sie ihre Aufgaben effizient priorisieren können.
Defender for Cloud erleichtert die Priorisierung, indem die Azure, AWS und GCP-Sicherheitsempfehlungen für die MITRE ATT& CK-Framework. Das MITRE ATT&CK-Framework ist eine global zugängliche Wissensdatenbank von Gegnertaktiken und Techniken basierend auf realen Beobachtungen, sodass Kunden die sichere Konfiguration ihrer Umgebungen stärken können.
Das MITRE ATT&CK-Framework ist auf drei Arten integriert:
- Empfehlungen sind MITRE ATT&CK Taktiken und Techniken zugeordnet.
- ABFRAGE MITRE ATT& CK-Taktiken und Techniken zu Empfehlungen mithilfe der Azure Resource Graph.
Defender für Container unterstützt jetzt die Sicherheitsrisikobewertung für Elastic Container Registry (Vorschau)
Microsoft Defender für Container bietet jetzt agentlose Sicherheitsrisikobewertungsscans für Elastic Container Registry (ECR) in Amazon AWS. Dadurch wird die Abdeckung für Multi-Cloud-Umgebungen erweitert, die auf dem früheren Release in diesem Jahr für erweiterten Bedrohungsschutz und Härtung der Kubernetes-Umgebung für AWS und Google GCP aufbauen. Das agentlose Modell erstellt AWS-Ressourcen in Ihren Konten, um Images ohne Extraktion der Images aus Ihren AWS-Konten und ohne Beeinflussung Ihrer Workload zu überprüfen.
Die agentlose Überprüfung der Sicherheitsrisikobewertung für Images in ECR-Repositorys ermöglicht eine Reduzierung der Angriffsfläche Ihrer containerisierten Ressourcen, indem Images kontinuierlich überprüft werden, um Sicherheitsrisiken von Containern zu ermitteln und zu verwalten. Mit dieser neuen Version überprüft Defender for Cloud Containerimages nach dem Push an das Repository und überprüft kontinuierlich die ECR-Containerimages in der Registrierung. Die Ergebnisse sind in Microsoft Defender for Cloud als Empfehlungen verfügbar, und Sie können die integrierten automatisierten Workflows von Defender for Cloud verwenden, um Maßnahmen zu den Ergebnissen zu ergreifen, z. B. das Öffnen eines Tickets zum Beheben einer Sicherheitsanfälligkeit mit hohem Schweregrad in einem Bild.
Weitere Informationen zur Sicherheitsrisikobewertung für Amazon ECR-Images.
September 2022
Updates im September:
- Unterdrücken von Warnungen basierend auf Container- und Kubernetes-Entitäten
- Defender für Server unterstützt die Dateiintegritätsüberwachung mit Azure Monitor Agent
- Veraltung von Legacy-Bewertungs-APIs
- Zusätzliche Empfehlungen, die zur Identität hinzugefügt wurden
- Removed-Sicherheitswarnungen für Computer, die mandantenübergreifende Log Analytics Arbeitsbereiche melden
Unterdrücken von Warnungen basierend auf Container- und Kubernetes-Entitäten
- Kubernetes-Namespace
- Kubernetes Pod
- Kubernetes Geheimnis
- Kubernetes ServiceAccount
- Kubernetes ReplicaSet
- Kubernetes StatefulSet
- Kubernetes DaemonSet
- Kubernetes-Auftrag
- Kubernetes CronJob
Erfahren Sie mehr über Regeln zur Unterdrückung von Warnungen.
Defender für Server unterstützt die Dateiintegritätsüberwachung mit Azure Monitor Agent
Die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) untersucht Dateien und Registrierungen von Betriebssystemen auf Änderungen, die auf einen Angriff hindeuten könnten.
FIM ist jetzt in einer neuen Version verfügbar, die auf Azure Monitor Agent (AMA) basiert, die Sie deploy über Defender for Cloud bereitstellen können.
Veraltung von Legacy-Bewertungs-APIs
Die folgenden APIs wurden als veraltet markiert:
- Sicherheitsaufgaben
- Sicherheitsstatus
- Sicherheitszusammenfassungen
Diese drei APIs haben alte Bewertungsformate verfügbar gemacht und werden durch die Bewertungs-APIs und SubAssessments-APIs ersetzt. Alle Daten, die von diesen Legacy-APIs bereitgestellt werden, sind auch in den neuen APIs verfügbar.
Zusätzliche Empfehlungen, die zur Identität hinzugefügt wurden
Defender for Cloud Empfehlungen zur Verbesserung der Verwaltung von Benutzern und Konten.
Neue Empfehlungen
Das neue Release umfasst die folgenden Funktionen:
Auswertungsbereich – Die Abdeckung wird für Identitätskonten ohne MFA und externe Konten für Azure Ressourcen (statt nur Abonnements) verbessert, sodass Ihre Sicherheitsadministratoren Rollenzuweisungen pro Konto anzeigen können.
Verbessertes Aktualisierungsintervall: Die Identitätsempfehlungen weisen jetzt ein Aktualisierungsintervall von 12 Stunden auf.
Account-Ausnahmefunktion – Defender for Cloud verfügt über viele Features, mit denen Sie Ihre Erfahrung anpassen und sicherstellen können, dass Ihre Sicherheitsbewertung die Sicherheitsprioritäten Ihrer Organisation widerspiegelt. Sie können beispielsweise Ressourcen und Empfehlungen aus Ihrer Sicherheitsbewertung ausschließen.
Mit diesem Update können Sie bestimmte Konten von der Auswertung mit den sechs in der folgenden Tabelle aufgeführten Empfehlungen ausnehmen.
In der Regel nehmen Sie Notfallkonten von MFA-Empfehlungen aus, da solche Konten häufig von den MFA-Anforderungen einer Organisation absichtlich ausgeschlossen werden. Sie verfügen unter Umständen über externe Konten, für die Sie den Zugriff zulassen möchten, für die MFA nicht aktiviert ist.
Tip
Wenn Sie ein Konto ausgenommen haben, wird es nicht als fehlerhaft angezeigt. Es führt auch nicht dazu, dass ein Abonnement als fehlerhaft angezeigt wird.
Recommendation Bewertungsschlüssel Konten mit Besitzerberechtigungen für Azure Ressourcen sollten MFA aktiviert sein. 6240402e-f77c-46fa-9060-a7ce53997754 Konten mit Schreibberechtigungen für Azure Ressourcen sollten MFA aktiviert sein. c0cb17b2-0607-48a7-b0e0-903ed22de39b Konten mit Leseberechtigungen für Azure Ressourcen sollten MFA aktiviert sein. dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c Gastkonten mit Besitzerberechtigungen für Azure Ressourcen sollten entfernt werden. 20606e75-05c4-48c0-9d97-add6daa2109a Gastkonten mit Schreibberechtigungen für Azure Ressourcen sollten entfernt werden 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb Gastkonten mit Leseberechtigungen für Azure Ressourcen sollten entfernt werden. fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 Blockierte Konten mit Besitzerberechtigungen für Azure Ressourcen sollten entfernt werden. 050ac097-3dda-4d24-ab6d-82568e7a50cf Blockierte Konten mit Lese- und Schreibberechtigungen für Azure Ressourcen sollten entfernt werden. 1ff0b4c9-ed56-4de6-be9c-d7ab39645926
Obwohl in der Vorschau, werden die Empfehlungen neben den Empfehlungen angezeigt, die derzeit allgemein verfügbar sind.
Sicherheitswarnungen für Computer, die über mandantenübergreifende Log Analytics Arbeitsbereiche berichten
In der Vergangenheit können Sie mit Defender for Cloud den Arbeitsbereich auswählen, an den Ihre Log Analytics Agents berichten. Wenn ein Computer zu einem Mandanten (Mandant A) gehörte, aber sein Log Analytics Agent einem Arbeitsbereich in einem anderen Mandanten ("Mandant B") gemeldet hat, wurden Sicherheitswarnungen über den Computer an den ersten Mandanten (Mandant A) gemeldet.
Mit dieser Änderung werden Warnungen auf Computern, die mit Log Analytics Arbeitsbereich in einem anderen Mandanten verbunden sind, nicht mehr in Defender for Cloud angezeigt.
Wenn Sie die Warnungen in Defender for Cloud weiterhin erhalten möchten, verbinden Sie den Log Analytics Agent der relevanten Computer mit dem Arbeitsbereich im selben Mandanten wie der Computer.
Erfahren Sie mehr über Sicherheitswarnungen.
August 2022
Updates im August:
- Vulnerabilities for running images are now visible with Defender for Containers on your Windows containers
- Azure Monitor Agent-Integration jetzt in der Vorschau
- Veraltete VM-Warnungen bezüglich verdächtiger Aktivitäten im Zusammenhang mit einem Kubernetes-Cluster
Sicherheitsrisiken für ausgeführte Images sind jetzt mit Defender für Container in Ihren Windows-Containern sichtbar.
Defender für Container zeigt jetzt Sicherheitsrisiken für die Ausführung von Windows Containern an.
Wenn Sicherheitsrisiken erkannt werden, generiert Defender for Cloud die folgende Sicherheitsempfehlung, die die erkannten Probleme auflistet: Running-Containerimages sollten Sicherheitsrisiken behoben sein.
Informieren Sie sich ausführlicher über das Anzeigen von Sicherheitsrisiken für zurzeit ausgeführte Images.
Azure Monitor Agent-Integration jetzt in der Vorschau
Defender for Cloud enthält jetzt Vorschauunterstützung für den Azure Monitor Agent (AMA). AMA soll den älteren Log Analytics-Agent (auch als Microsoft Monitoring Agent (MMA) bezeichnet) ersetzen, der sich auf einem Pfad zum Veraltet befindet. AMA bietet viele Vorteile gegenüber älteren Agents.
Wenn Sie in Defender for Cloud enfähige automatische Bereitstellung für AMA, wird der Agent auf existing and new VMs und Azure Arc-fähigen Computern bereitgestellt, die in Ihren Abonnements erkannt werden. Wenn Defenders für Cloud-Pläne aktiviert sind, sammelt AMA Konfigurationsinformationen und Ereignisprotokolle von Azure VMs und Azure Arc Computern. Die AMA-Integration befindet sich in der Vorschau. Daher empfehlen wir die Verwendung in Testumgebungen und nicht in Produktionsumgebungen.
Veraltete VM-Warnungen bezüglich verdächtiger Aktivitäten im Zusammenhang mit einem Kubernetes-Cluster
In der folgenden Tabelle sind die Warnungen aufgeführt, die eingestellt wurden:
| Warnungsname | Description | Tactics | Severity |
|---|---|---|---|
|
Erkannter Docker-Buildvorgang auf einem Kubernetes-Knoten (VM_ImageBuildOnNode) |
Computerprotokolle zeigen einen Buildvorgang eines Containerimages auf einem Kubernetes-Knoten an. Obwohl dieses Verhalten legitim sein kann, können Angreifer ihre schädlichen Images lokal erstellen, um die Erkennung zu vermeiden. | Verteidigungshinterziehung | Low |
|
Suspicious request to Kubernetes API (Verdächtige Anforderung an Kubernetes-API) (VM_KubernetesAPI) |
Die Computerprotokolle enthalten einen Hinweis darauf, dass eine verdächtige Anforderung an die Kubernetes-API gesendet wurde. Die Anforderung wurde von einem Kubernetes-Knoten gesendet – unter Umständen von einem der Container, die auf dem Knoten ausgeführt werden. Dieses Verhalten kann zwar beabsichtigt sein, aber es ist ggf. auch ein Hinweis darauf, dass auf dem Knoten ein kompromittierter Container ausgeführt wird. | LateralMovement | Medium |
|
SSH server is running inside a container (SSH-Server wird in einem Container ausgeführt) (VM_ContainerSSH) |
Die Computerprotokolle enthalten einen Hinweis darauf, dass ein SSH-Server in einem Docker-Container ausgeführt wird. Dieses Verhalten kann zwar beabsichtigt sein, aber es ist häufig auch ein Hinweis darauf, dass ein Container falsch konfiguriert oder kompromittiert wurde. | Execution | Medium |
Diese Warnungen werden verwendet, um einen Benutzer über verdächtige Aktivitäten im Zusammenhang mit einem Kubernetes-Cluster zu informieren. Die Warnungen werden durch übereinstimmende Warnungen ersetzt, die Teil der Microsoft Defender for Cloud Containerbenachrichtigungen sind (K8S.NODE_ImageBuildOnNode, K8S.NODE_ KubernetesAPI und K8S.NODE_ ContainerSSH), die eine verbesserte Genauigkeit und einen umfassenden Kontext bieten, um die Warnungen zu untersuchen und zu reagieren. Erfahren Sie mehr über Benachrichtigungen für Kubernetes-Cluster.
Containersicherheitsrisiken enthalten jetzt detaillierte Paketinformationen
Defender für die Sicherheitsrisikobewertung (VA) von Container enthält jetzt detaillierte Paketinformationen für jede Suche, darunter: Paketname, Pakettyp, Pfad, installierte Version und feste Version. Mit den Paketinformationen können Sie anfällige Pakete finden, sodass Sie das Sicherheitsrisiko beheben oder das Paket entfernen können.
Diese detaillierten Paketinformationen sind für neue Scans von Images verfügbar.
Juli 2022
Zu den Updates im Juli gehören:
- Allgemeine Verfügbarkeit (GA) des Cloud-nativen Sicherheitsagents für Kubernetes-Runtimeschutz
- Defender für container's VA bietet Unterstützung für die Erkennung sprachspezifischer Pakete (Vorschau)
- Schutz vor dem Operations Management Infrastructure-Sicherheitsrisiko CVE-2022-29149
- Integration mit der Berechtigungsverwaltung von Entra
Key Vault Empfehlungen wurden in "audit" - Veraltete API-App-Richtlinien für App Service
Allgemeine Verfügbarkeit (General Availability, GA) des cloudnativen Sicherheitsagents für Kubernetes-Runtimeschutz
Wir freuen uns, dass der cloudnative Sicherheitsagent für Kubernetes-Runtimeschutz jetzt allgemein verfügbar ist (GA)!
Die Produktionsbereitstellungen von Kubernetes-Clustern wachsen weiterhin, da Kunden weiterhin ihre Anwendungen containern. Um dieses Wachstum zu unterstützen, hat das Defender für Container-Team einen cloudeigenen Kubernetes-orientierten Sicherheits-Agent entwickelt.
Der neue Sicherheitsagent ist ein Kubernetes DaemonSet, basierend auf der eBPF-Technologie und ist vollständig in AKS-Cluster im Rahmen des AKS-Sicherheitsprofils integriert.
Die Aktivierung des Sicherheits-Agents ist über die automatische Bereitstellung, den Empfehlungenfluss, das AKS RP oder über Azure Policy skaliert verfügbar.
Sie können den Defender Agent heute auf Ihren AKS-Clustern bereitstellen.
Mit dieser Ankündigung ist der Runtimeschutz – Bedrohungserkennung (Workload) jetzt auch allgemein verfügbar.
Erfahren Sie mehr über die Defender für die Verfügbarkeit von feature.
Sie können auch alle verfügbaren Warnungen überprüfen.
Beachten Sie: Wenn Sie die Vorschauversion verwenden, ist das AKS-AzureDefender Feature-Flag nicht mehr erforderlich.
Defender für die VA des Containers bietet Unterstützung für die Erkennung sprachspezifischer Pakete (Vorschau)
Defender für die Sicherheitsrisikobewertung (VA) von Containern kann Sicherheitsrisiken in Betriebssystempaketen erkennen, die über den Betriebssystempaket-Manager bereitgestellt werden. Wir haben jetzt die Fähigkeiten von VA erweitert, um Schwachstellen zu erkennen, die in sprachspezifischen Paketen enthalten sind.
Dieses Feature ist in der Vorschauversion und nur für Linux-Images verfügbar.
Wenn Sie alle hinzugefügten sprachspezifischen Pakete anzeigen möchten, lesen Sie Defender für die vollständige Liste der Features und deren Verfügbarkeit.
Schutz vor dem Operations Management Infrastructure-Sicherheitsrisiko CVE-2022-29149
Operations Management Infrastructure (OMI) ist eine Sammlung von cloudbasierten Diensten für die Verwaltung von lokalen und Cloud-Umgebungen von einem einzigen Ort aus. Anstatt lokale Ressourcen bereitzustellen und zu verwalten, werden OMI-Komponenten vollständig in Azure gehostet.
Log Analytics in Azure HDInsight mit OMI Version 13 integriert ist, erfordert einen Patch zum Beheben von CVE-2022-29149. Lesen Sie den Bericht zu dieser Sicherheitsanfälligkeit im Microsoft Security Updatehandbuch, um Informationen zur Identifizierung von Ressourcen zu erhalten, die von diesen Sicherheitsrisiken und Korrekturschritten betroffen sind.
Wenn Sie Defender für Server mit Sicherheitsrisikobewertung aktiviert haben, können Sie diese Arbeitsmappe verwenden, um betroffene Ressourcen zu identifizieren.
Integration mit der Berechtigungsverwaltung von Entra
Defender for Cloud ist in Microsoft Entra Permissions Management integriert, eine CiEM-Lösung (Cloud Infrastructure Permissions Management), die umfassende Sichtbarkeit und Kontrolle über Berechtigungen für alle Identitäten und Ressourcen in Azure, AWS und GCP bietet.
Jedes Azure-Abonnement, AWS-Konto und GCP-Projekt, das Sie integrieren, zeigt Ihnen nun eine Ansicht Ihrer Permission Creep Index (PCI) an.
Erfahren Sie mehr über Entra Permission Management (früher Cloudknox)
Key Vault Empfehlungen in "Audit" geändert
Der Effekt für die hier aufgeführten Key Vault Empfehlungen wurde in "audit" geändert:
| Empfehlungsname | Empfehlungs-ID |
|---|---|
| Gültigkeitsdauer der in Azure Key Vault gespeicherten Zertifikate darf 12 Monate nicht überschreiten | fc84abc0-eee6-4758-8372-a7681965ca44 |
| Key Vault geheimen Schlüsseln sollte ein Ablaufdatum aufweisen | 14257785-9437-97fa-11ae-898cfb24302b |
| Key Vault Schlüssel sollten ein Ablaufdatum aufweisen | 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2 |
Veraltete API-App-Richtlinien für App Service
Wir haben die folgenden Richtlinien zu entsprechenden Richtlinien verworfen, die bereits vorhanden sind, um API-Apps einzuschließen:
| In Kürze als veraltet eingestuft | Wechseln zu |
|---|---|
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' |
App Service apps should have 'Client Certificates (Incoming client certificates)' enabled |
Ensure that 'Python version' is the latest, if used as a part of the API app |
App Service apps that use Python should use the latest Python version' |
CORS should not allow every resource to access your API App |
App Service apps should not have CORS configured to allow every resource to access your apps |
Managed identity should be used in your API App |
App Service apps should use managed identity |
Remote debugging should be turned off for API Apps |
App Service apps should have remote debugging turned off |
Ensure that 'PHP version' is the latest, if used as a part of the API app |
App Service apps that use PHP should use the latest 'PHP version' |
FTPS only should be required in your API App |
App Service apps should require FTPS only |
Ensure that 'Java version' is the latest, if used as a part of the API app |
App Service apps that use Java should use the latest 'Java version' |
Latest TLS version should be used in your API App |
App Service apps should use the latest TLS version |
Juni 2022
Zu den Updates im Juni gehören:
- Generale Verfügbarkeit (GA) für Microsoft Defender für Azure Cosmos DB
- Generale Verfügbarkeit (GA) von Defender für SQL auf Computern für AWS- und GCP-Umgebungen
- Vorantreiben der Umsetzung von Sicherheitsempfehlungen, um Ihre Sicherheitslage zu verbessern
- Sicherheitswarnungen nach IP-Adresse filtern
- Warnmeldungen nach Ressourcengruppe
- Autoprovisioning Microsoft Defender for Endpoint einheitlichen Lösung
- Veraltete Richtlinie „API-App sollte nur über HTTPS zugänglich sein“
- Neue Key Vault Warnungen
Allgemeine Verfügbarkeit (GA) für Microsoft Defender für Azure Cosmos DB
Microsoft Defender für Azure Cosmos DB ist jetzt allgemein verfügbar (GA) und unterstützt SQL(Core)-API-Kontotypen.
Diese neue Version für GA ist Teil der Microsoft Defender for Cloud Datenbankschutzsuite, die verschiedene Typen von SQL-Datenbanken und MariaDB enthält. Microsoft Defender für Azure Cosmos DB ist eine Azure systemeigene Sicherheitsebene, die Versuche erkennt, Datenbanken in Ihren Azure Cosmos DB-Konten auszunutzen.
Wenn Sie diesen Plan aktivieren, werden Sie auf potenzielle SQL-Eingriffe, bekannte bösartige Akteure, verdächtige Zugriffsmuster und potenzielle Erkundungen Ihrer Datenbank durch kompromittierte Identitäten oder böswillige Insider aufmerksam gemacht.
Bei Erkennung von potenziell schädlichen Aktivitäten werden Sicherheitswarnungen generiert. Diese Warnungen enthalten Angaben zu verdächtigen Aktivitäten zusammen mit den entsprechenden Untersuchungsschritten, Abhilfemaßnahmen und Sicherheitsempfehlungen.
Microsoft Defender für Azure Cosmos DB analysiert kontinuierlich den Telemetriedatenstrom, der von den Azure Cosmos DB-Diensten generiert wird, und überschreitet sie mit Microsoft Threat Intelligence und Verhaltensmodellen, um verdächtige Aktivitäten zu erkennen. Defender für Azure Cosmos DB hat keinen Zugriff auf die Azure Cosmos DB Kontodaten und hat keine Auswirkungen auf die Leistung Ihrer Datenbank.
Erfahren Sie mehr über Microsoft Defender für Azure Cosmos DB.
Mit unterstützung für Azure Cosmos DB bietet Defender for Cloud jetzt eines der umfassendsten Workload-Schutzangebote für cloudbasierte Datenbanken. Sicherheitsteams und Datenbankbesitzer können jetzt die Datenbanksicherheit ihrer Umgebungen zentral verwalten.
Erfahren Sie, wie Sie Schutzmechanismen für Ihre Datenbanken aktivieren.
Allgemeine Verfügbarkeit von Defender für SQL auf Computern für AWS- und GCP-Umgebungen
Die von Microsoft Defender for Cloud bereitgestellten Datenbankschutzfunktionen haben Unterstützung für Ihre SQL-Server hinzugefügt, die in AWS- oder GCP-Umgebungen gehostet werden.
Defender für SQL können Unternehmen jetzt ihre gesamte Datenbankfläche schützen, die in Azure, AWS, GCP und lokalen Computern gehostet wird.
Microsoft Defender für SQL bietet eine einheitliche Multicloudumgebung zum Anzeigen von Sicherheitsempfehlungen, Sicherheitswarnungen und Sicherheitsbewertungsergebnissen sowohl für den SQL-Server als auch für das unterstreichende Windows Betriebssystem.
Mithilfe der Multicloud-Onboarding-Erfahrung können Sie den Schutz von Datenbanken für SQL-Server aktivieren und erzwingen, die auf AWS EC2, RDS Custom für SQL Server und GCP-Computemodul ausgeführt werden. Sobald Sie einen dieser Pläne aktiviert haben, sind alle unterstützten Ressourcen, die innerhalb des Abonnements vorhanden sind, geschützt. Zukünftige Ressourcen, die unter demselben Abonnement erstellt werden, werden ebenfalls geschützt.
Erfahren Sie, wie Sie Ihre AWS-Umgebung und Ihre GCP-Organisation mit Microsoft Defender for Cloud schützen und verbinden.
Vorantreiben der Umsetzung von Sicherheitsempfehlungen, um Ihre Sicherheitslage zu verbessern
Die zunehmenden Bedrohungen, denen Unternehmen heute ausgesetzt sind, bringen das Sicherheitspersonal an seine Grenzen, wenn es darum geht, die wachsenden Arbeitsauslastung zu schützen. Sicherheitsteams sind gefordert, die in ihren Sicherheitsrichtlinien definierten Schutzmaßnahmen umzusetzen.
Dank der Governance-Erfahrung in der Vorschauphase können die Sicherheitsteams nun die Behebung von Sicherheitsempfehlungen den Ressourceneigentümern zuweisen und einen Zeitplan für die Behebung verlangen. Sie haben volle Transparenz über den Fortschritt der Abhilfe und werden benachrichtigt, wenn Aufgaben überfällig sind.
Informieren Sie sich über Governance-Erfahrung in Bringen Sie Ihr Unternehmen dazu, Sicherheitsprobleme mit Empfehlungen für Governance zu beheben.
Sicherheitswarnungen nach IP-Adresse filtern
In vielen Fällen von Angriffen ist es sinnvoll, Sicherheitswarnungen auf der Grundlage der IP-Adresse des an dem Angriff beteiligten Unternehmens zu verfolgen. Bisher erschien die IP nur im Abschnitt "Verwandte Entitäten" im einzelnen Benachrichtigungsfenster. Jetzt können Sie die Warnungen auf der Seite „Sicherheitswarnungen“ filtern, um die Warnungen im Zusammenhang mit der IP-Adresse anzuzeigen, und Sie können nach einer bestimmten IP-Adresse suchen.
Warnmeldungen nach Ressourcengruppe
Die Seite „Sicherheitswarnungen“ wurde um die Möglichkeit erweitert, nach Ressourcengruppen zu filtern, zu sortieren und zu gruppieren.
Dem Warnungsraster wurde eine Spalte „Ressourcengruppe“ hinzugefügt.
Ein neuer Filter wurde hinzugefügt, mit dem Sie alle Warnungen für bestimmte Ressourcengruppen anzeigen können.
Sie können jetzt auch Ihre Warnungen nach Ressourcengruppe gruppieren, um alle Ihre Warnungen für jede Ihrer Ressourcengruppen anzuzeigen.
Automatische Bereitstellung von Microsoft Defender for Endpoint einheitlichen Lösung
Bisher umfasste die Integration mit Microsoft Defender for Endpoint (MDE) die automatische Installation der neuen MDE Unified Solution für Computer (Azure Abonnements und Multicloud-Connectors) mit aktivierten Defender für Server Plan 1 und für Multicloud-Connectors mit Defender für Server Plan 2 aktiviert. Plan 2 für Azure Abonnements aktivierte die einheitliche Lösung nur für Linux-Computer und Windows 2019- und 2022-Server. Windows Server 2012R2 und 2016 verwendeten die MDE-Legacylösung, die von Log Analytics Agent abhängig ist.
Jetzt ist die neue einheitliche Lösung für alle Computer in beiden Plänen verfügbar, sowohl für Azure-Abonnements als auch für Multicloud-Connectors. Für Azure Abonnements mit ServerPlan 2, die die MDE-Integration
Erfahren Sie mehr über MDE-Integration mit Defender für Server.
Veraltete Richtlinie „API-App sollte nur über HTTPS zugänglich sein“
Die Richtlinie API App should only be accessible over HTTPS ist veraltet. Diese Richtlinie wurde durch die Richtlinie Web Application should only be accessible over HTTPS ersetzt, die in App Service apps should only be accessible over HTTPS umbenannt wurde.
Weitere Informationen zu Richtliniendefinitionen für Azure App Service finden Sie unter Azure Policy integrierten Definitionen für Azure App Service.
Neue Key Vault Warnungen
Um die von Microsoft Defender für Key Vault bereitgestellten Bedrohungsschutz zu erweitern, haben wir zwei neue Warnungen hinzugefügt.
Diese Warnungen informieren Sie, wenn für einen Ihrer Key Vaults eine Anomalie bei der Zugriffsverweigerung festgestellt wird.
| Warnung (Warnungstyp) | Description | MITRE-Taktiken | Severity |
|---|---|---|---|
|
Ungewöhnlicher Zugriff verweigert – Zugriff durch Benutzer, der auf eine große Anzahl von Key Vaults zugreift, verweigert (KV_DeniedAccountVolumeAnomaly) |
Ein Benutzer oder Dienstprinzipal hat in den letzten 24 Stunden versucht, auf eine ungewöhnlich hohe Anzahl von Key Vaults zuzugreifen. Dieses anomale Zugriffsmuster könnte eine legitime Aktivität sein. Dieser Versuch war zwar erfolglos, aber er könnte ein Hinweis auf einen möglichen Versuch sein, sich Zugang zum Key Vault und den darin enthaltenen Vertraulichkeiten zu verschaffen. Weitere Untersuchungen werden empfohlen. | Discovery | Low |
|
Ungewöhnlicher Zugriff verweigert – Ungewöhnlicher Benutzerzugriff auf Key Vault verweigert (KV_UserAccessDeniedAnomaly) |
Ein Benutzer hat versucht, auf einen Key Vault zuzugreifen, auf den er normalerweise nicht zugreift. Dieses anormale Zugriffsmuster kann eine legitime Aktivität sein. Dieser Versuch war zwar erfolglos, aber er könnte ein Hinweis auf einen möglichen Versuch sein, sich Zugang zum Key Vault und den darin enthaltenen Vertraulichkeiten zu verschaffen. | Erster Zugriff, Ermittlung | Low |
Mai 2022
Zu den Updates im Mai gehören:
- Multicloud-Einstellungen des Server-Plans sind jetzt auf Connectorebene verfügbar
- JIT-Zugriff (Just-in-Time) für VMs ist jetzt für AWS EC2-Instanzen (Vorschau) verfügbar
- Add und entfernen Sie den Defender Sensor für AKS-Cluster mithilfe der CLI
Multicloud-Einstellungen des Server-Plans sind jetzt auf Connectorebene verfügbar
Es gibt jetzt Einstellungen auf Connectorebene für Defender für Server in multicloud.
Die neuen Einstellungen auf Connectorebene bieten unabhängig vom Abonnement Granularität für Preise und die Konfiguration der automatischen Bereitstellung pro Connector.
Alle komponenten für die automatische Bereitstellung auf Connectorebene (Azure Arc, MDE und Sicherheitsrisikobewertungen) sind standardmäßig aktiviert, und die neue Konfiguration unterstützt sowohl Plan 1- als auch Plan 2-Preisstufen.
Updates in der Benutzeroberfläche umfassen eine Reflexion des ausgewählten Tarifs und die erforderlichen, konfigurierten Komponenten.
Änderungen an der Sicherheitsrisikenbewertung
Defender für Container zeigt jetzt Sicherheitsrisiken mit mittleren und niedrigen Schweregraden an, die nicht patchbar sind.
Im Rahmen dieses Updates werden nun Sicherheitsrisiken mit mittleren und niedrigen Schweregraden angezeigt, unabhängig davon, ob Patches verfügbar sind oder nicht. Dieses Update bietet maximale Sichtbarkeit, ermöglicht es Ihnen aber dennoch, unerwünschte Sicherheitsrisiken mithilfe der bereitgestellten „Deaktivieren“-Regel herauszufiltern.
Weitere Informationen zur Verwaltung von Sicherheitsrisiken
JIT-Zugriff (Just-in-Time) für VMs ist jetzt für AWS EC2-Instanzen (Vorschau) verfügbar
Wenn Sie AWS-Konten verbinden, bewertet JIT automatisch die Netzwerkkonfiguration der Sicherheitsgruppen Ihrer Instanz und empfiehlt, welche Instanzen Schutz für ihre den Risiken ausgesetzten Verwaltungsports benötigen. Dies ähnelt der Funktionsweise von JIT mit Azure. Wenn Sie ungeschützte EC2-Instanzen einbinden, blockiert JIT den öffentlichen Zugriff auf die Verwaltungsports und öffnet sie nur bei autorisierten Anforderungen für einen begrenzten Zeitrahmen.
Erfahren Sie, wie JIT Ihre AWS EC2-Instanzen schützt
Hinzufügen und Entfernen des Defender-Sensors für AKS-Cluster mithilfe der CLI
Der Defender-Agent ist für Defender für Container erforderlich, um die Laufzeitschutzfunktionen bereitzustellen und Signale von Knoten zu sammeln. Sie können nun die Azure CLI zum Add verwenden und den Defender Agent für einen AKS-Cluster entfernen.
Note
Diese Option ist in Azure CLI 3.7 und höher enthalten.
April 2022
Zu den Updates im April gehören:
- Neue Defender für Serverpläne
- Verlagerung benutzerdefinierter Empfehlungen
- PowerShell-Skript zum Streamen von Warnungen an Splunk und QRadar
- Deprecated the Azure Cache for Redis empfehlung
- Neue Warnungsvariante für Microsoft Defender für Speicher (Vorschau), um die Gefährdung vertraulicher Daten zu erkennen
- Containerscan-Warnungstitel, der mit der IP-Adress-Reputation erweitert wurde
- Anzeigen der Aktivitätsprotokolle, die sich auf eine Sicherheitswarnung beziehen
Neue Defender für Serverpläne
Microsoft Defender für Server wird jetzt in zwei inkrementellen Plänen angeboten:
- Defender für Server Plan 2, ehemals Defender für Server
- Defender für Server Plan 1 bietet nur Unterstützung für Microsoft Defender for Endpoint
Während Defender für Server Plan 2 weiterhin Schutz vor Bedrohungen und Sicherheitsrisiken für Ihre Cloud- und lokalen Workloads bereitstellt, bietet Defender für Server Plan 1 nur Endpunktschutz, unterstützt von der systemeigenen integrierten Defender für Endpunkt. Weitere Informationen zum Defender für Serverpläne.
Wenn Sie bis jetzt Defender für Server verwendet haben, ist keine Aktion erforderlich.
Darüber hinaus beginnt Defender for Cloud schrittweise Unterstützung für den Defender für Endpunkt unified agent für Windows Server 2012 R2 und 2016. Defender für Server Plan 1 stellt den neuen einheitlichen Agent für Windows Server 2012 R2- und 2016-Workloads bereit.
Verlagerung benutzerdefinierter Empfehlungen
Benutzerdefinierte Empfehlungen werden von einem Benutzer erstellt und haben keine Auswirkungen auf die Sicherheitsbewertung. Die benutzerdefinierten Empfehlungen finden Sie jetzt auf der Registerkarte "Alle Empfehlungen".
Verwenden Sie den neuen Filter "Empfehlungstyp", um benutzerdefinierte Empfehlungen zu finden.
Mehr dazu erfahren Sie unter Erstellen von benutzerdefinierten Sicherheitsinitiativen und -richtlinien.
PowerShell-Skript zum Streamen von Warnungen an Splunk und IBM QRadar
Es wird empfohlen, Event Hubs und einen integrierten Connector zum Exportieren von Sicherheitswarnungen in Splunk und IBM QRadar zu verwenden. Jetzt können Sie ein PowerShell-Skript verwenden, um die Azure Ressourcen einzurichten, die zum Exportieren von Sicherheitswarnungen für Ihr Abonnement oder Ihren Mandanten erforderlich sind.
Laden Sie einfach das PowerShell-Skript herunter und führen Sie sie aus. Nachdem Sie einige Details ihrer Umgebung bereitgestellt haben, konfiguriert das Skript die Ressourcen für Sie. Das Skript erzeugt dann die Ausgabe, die Sie in der SIEM-Plattform verwenden, um die Integration abzuschließen.
Weitere Informationen finden Sie unter Streambenachrichtigungen für Splunk und QRadar.
Die Azure Cache for Redis Empfehlung wurde nicht mehr unterstützt.
Die Empfehlung Azure Cache for Redis should reside within a virtual network (Vorschau) ist veraltet. Wir haben unsere Anleitung zum Sichern von Azure Cache for Redis Instanzen geändert. Wir empfehlen die Verwendung eines privaten Endpunkts, um den Zugriff auf Ihre Azure Cache for Redis-Instanz anstelle eines virtuellen Netzwerks einzuschränken.
Neue Warnungsvariante für Microsoft Defender für Speicher (Vorschau), um die Gefährdung vertraulicher Daten zu erkennen
Microsoft Defender für die Benachrichtigungen von Speicher benachrichtigt Sie, wenn Bedrohungsakteure versuchen, vertrauliche Informationen zu scannen und verfügbar zu machen, erfolgreich oder nicht, falsch konfigurierte, öffentlich geöffnete Speichercontainer, um vertrauliche Informationen zu exfiltrieren.
Um eine schnellere Triagierung und Reaktionszeit zu ermöglichen, wenn möglicherweise exfiltration potenziell sensibler Daten aufgetreten ist, haben wir eine neue Variante für die vorhandene Publicly accessible storage containers have been exposed Warnung veröffentlicht.
Die neue Warnung Publicly accessible storage containers with potentially sensitive data have been exposed wird mit dem Schweregrad High ausgelöst, nachdem öffentlich zugängliche Speichercontainer mit Namen gefunden wurden, die den Statistiken zufolge selten öffentlich verfügbar gemacht werden, was nahelegt, dass sie vertrauliche Informationen enthalten.
| Warnung (Warnungstyp) | Description | MITRE-Taktik | Severity |
|---|---|---|---|
|
VORSCHAU – Öffentlich zugängliche Speichercontainer mit potenziell vertraulichen Daten wurden verfügbar gemacht. (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive) |
Jemand hat Ihr Azure Storage Konto gescannt und Container verfügbar gemacht, die den öffentlichen Zugriff ermöglichen. Mindestens einer der verfügbar gemachten Container enthält Namen, die angeben, dass sie vertrauliche Daten enthalten können. Dies deutet in der Regel auf die Aufklärung durch einen Bedrohungsakteur hin, der nach falsch konfigurierten öffentlich zugänglichen Speichercontainern sucht, die möglicherweise vertrauliche Daten enthalten. Nachdem ein Bedrohungsakteur einen Container erfolgreich entdeckt hat, können sie fortfahren, indem sie die Daten exfiltrieren. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | High |
Containerscan-Warnungstitel, der mit der IP-Adress-Reputation erweitert wurde
Der Ruf einer IP-Adresse kann angeben, ob die Scanaktivität aus einem bekannten Bedrohungsakteur stammt oder von einem Akteur, der das Tor-Netzwerk verwendet, um ihre Identität auszublenden. Beide Indikatoren schlagen vor, dass böswillige Absichten vorhanden sind. Der Ruf der IP-Adresse wird von Microsoft Threat Intelligence bereitgestellt.
Der Ruf der IP-Adresse zum Warnungstitel bietet eine Möglichkeit, die Absicht des Akteurs schnell zu bewerten und somit den Schweregrad der Bedrohung zu bewerten.
Die folgenden Warnungen enthalten diese Informationen:
Publicly accessible storage containers have been exposedPublicly accessible storage containers with potentially sensitive data have been exposedPublicly accessible storage containers have been scanned. No publicly accessible data was discovered
Beispielsweise sieht die hinzugefügten Informationen zum Titel der Publicly accessible storage containers have been exposed Warnung wie folgt aus:
Publicly accessible storage containers have been exposedby a suspicious IP addressPublicly accessible storage containers have been exposedby a Tor exit node
Alle Warnungen für Microsoft Defender für den Speicher enthalten weiterhin Informationen zur Bedrohungserkennung in die IP-Entität im Abschnitt "Verwandte Entitäten der Warnung".
Anzeigen der Aktivitätsprotokolle, die sich auf eine Sicherheitswarnung beziehen
Im Rahmen der Aktionen, die Sie ausführen können, um eine Sicherheitswarnung auszuwerten, finden Sie die zugehörigen Plattformprotokolle unter Überprüfen des Ressourcenkontexts, um Kontext zu der betroffenen Ressource zu erhalten. Microsoft Defender for Cloud identifiziert Plattformprotokolle, die innerhalb eines Tages nach der Warnung liegen.
Die Plattformprotokolle können Ihnen dabei helfen, die Sicherheitsrisiken auszuwerten und Maßnahmen zu ermitteln, die Sie ergreifen können, um das identifizierte Risiko zu verringern.
März 2022
Zu den Updates im März gehören:
- Globale Verfügbarkeit von Secure Score für AWS- und GCP-Umgebungen
- Die Empfehlungen zum Installieren des Datensammlungs-Agents für Netzwerkdatenverkehr wurden als „veraltet“ eingestuft
Defender für Container können jetzt in Windows Images (Vorschau) - Neue Warnung für Microsoft Defender für Speicher (Vorschau)
- Konfigurieren von Einstellungen für E-Mail-Benachrichtigungen aus einer Warnung
- Veraltete Vorschauwarnung: ARM.MCAS_ActivityFromAnonymousIPAddresses
- Die Empfehlung „Sicherheitsrisiken in Containersicherheitskonfigurationen sollten behoben werden“ wird von „Sicherheitsbewertung“ zu „Bewährte Methoden“ verschoben
- Empfehlung zur Verwendung von Dienstprinzipalen zum Schutz Ihrer Abonnements wurde als veraltet markiert
- Die Legacyimplementierung von ISO 27001 wird durch die neue ISO-Norm 27001:2013 ersetzt
- Deprecated Microsoft Defender for IoT Geräteempfehlungen
- Deprecated Microsoft Defender for IoT Gerätebenachrichtigungen
- Haltungsverwaltung und Bedrohungsschutz für AWS und GCP für allgemeine Verfügbarkeit (GA) veröffentlicht
- Registrierungsscan nach Windows Bildern in ACR hat Unterstützung für nationale Clouds hinzugefügt
Globale Verfügbarkeit von Secure Score für AWS- und GCP-Umgebungen
Die von Microsoft Defender for Cloud bereitgestellten Cloudsicherheitsverwaltungsfunktionen haben nun Unterstützung für Ihre AWS- und GCP-Umgebungen in Ihrer Secure Score hinzugefügt.
Unternehmen können jetzt ihren allgemeinen Sicherheitsstatus in verschiedenen Umgebungen anzeigen, z. B. Azure, AWS und GCP.
Die Seite „Sicherheitsbewertung“ wurde durch das Sicherheitsstatusdashboard ersetzt. Mit dem Dashboard für Sicherheitshaltungen können Sie eine gesamt kombinierte Bewertung für alle Ihre Umgebungen oder eine Aufschlüsselung Ihrer Sicherheitshaltung basierend auf einer beliebigen Kombination von Umgebungen anzeigen, die Sie auswählen.
Die Empfehlungen Seite wurde auch neu gestaltet, um neue Funktionen wie die Auswahl der Cloudumgebung, erweiterte Filter basierend auf Inhalten (Ressourcengruppe, AWS-Konto, GCP-Projekt und mehr), verbesserte Benutzeroberfläche auf niedriger Auflösung, Unterstützung für offene Abfrage in Ressourcendiagramm und vieles mehr bereitzustellen. Weitere Informationen zu Ihren allgemeinen Sicherheitsstatus und Sicherheitsempfehlungen finden Sie hier.
Die Empfehlungen zum Installieren des Datensammlungs-Agents für Netzwerkdatenverkehr wurden als „veraltet“ eingestuft
Durch Änderungen an unserer Roadmap und den Prioritäten ist der Datensammlungs-Agent für Netzwerkdatenverkehr nicht mehr notwendig. Die folgenden beiden Empfehlungen und deren zugehörige Richtlinien wurden als „veraltet“ eingestuft.
| Recommendation | Description | Severity |
|---|---|---|
| Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden. | Defender for Cloud verwendet den Microsoft Abhängigkeits-Agent zum Sammeln von Netzwerkdatenverkehrsdaten von Ihren Azure virtuellen Computern, um erweiterte Netzwerkschutzfunktionen wie die Datenverkehrsvisualisierung auf der Netzwerkkarte, Netzwerkhärtungsempfehlungen und bestimmte Netzwerkbedrohungen zu ermöglichen. | Medium |
| Der Netzwerkdatensammlungs-Agent sollte auf Windows virtuellen Computern installiert werden. | Defender for Cloud verwendet den Microsoft Abhängigkeits-Agent zum Sammeln von Netzwerkdatenverkehrsdaten von Ihren Azure virtuellen Computern, um erweiterte Netzwerkschutzfunktionen wie die Datenverkehrsvisualisierung auf der Netzwerkkarte, Netzwerkhärtungsempfehlungen und bestimmte Netzwerkbedrohungen zu ermöglichen. | Medium |
Defender für Container können jetzt in Windows Images nach Sicherheitsrisiken suchen (Vorschau)
Defender für den Imagescan des Containers unterstützt jetzt Windows Bilder, die in Azure Container Registry gehostet werden. Dieses Feature ist in der Vorschauversion kostenlos und verursacht Kosten, wenn es allgemein verfügbar wird.
Weitere Informationen finden Sie in Use Microsoft Defender for Container to scan your images for vulnerabilities.
Neue Warnung für Microsoft Defender für Speicher (Vorschau)
Um die von Microsoft Defender für den Speicher bereitgestellten Bedrohungsschutz zu erweitern, haben wir eine neue Vorschauwarnung hinzugefügt.
Bedrohungsakteure verwenden Anwendungen und Tools, um Speicherkonten zu ermitteln und darauf zuzugreifen. Microsoft Defender für Speicher erkennt diese Anwendungen und Tools, damit Sie sie blockieren und Ihren Status beheben können.
Diese Vorschauwarnung wird als Access from a suspicious application bezeichnet. Die Warnung ist nur für Azure Blob Storage und ADLS Gen2 relevant.
| Warnung (Warnungstyp) | Description | MITRE-Taktik | Severity |
|---|---|---|---|
|
VORSCHAU: Zugriff aus einer verdächtigen Anwendung (Storage.Blob_SuspiciousApp) |
Gibt an, dass eine verdächtige Anwendung auf einen Container eines Speicherkontos mit Authentifizierung erfolgreich zugegriffen hat. Dies könnte darauf hinweisen, dass ein Angreifer die für den Zugriff auf das Konto erforderlichen Anmeldeinformationen erhalten hat und sie ausnutzt. Es könnte auch ein Hinweis auf einen Penetrationtest sein, der in Ihrer Organisation durchgeführt wurde. Gilt für: Azure Blob Storage, Azure Data Lake Storage Gen2 |
Erstzugriff | Medium |
Konfigurieren von Einstellungen für E-Mail-Benachrichtigungen aus einer Warnung
Der Benutzeroberfläche für Warnungen wurde ein neuer Abschnitt hinzugefügt, in dem Sie die Empfänger*innen von E-Mail-Benachrichtigungen für Warnungen, die für das aktuelle Abonnement ausgelöst werden, anzeigen und bearbeiten können.
Informieren Sie sich über das Konfigurieren von E-Mail-Benachrichtigungen bei Sicherheitswarnungen.
Vorschauwarnung wirde aös veraltet markiert: ARM.MCAS_ActivityFromAnonymousIPAddresses
Die folgende Vorschauwarnung ist veraltet:
| Warnungsname | Description |
|---|---|
|
VORSCHAU: Aktivität von einer riskanten IP-Adresse (ARM.MCAS_ActivityFromAnonymousIPAddresses) |
Es wurde eine Benutzeraktivität über eine IP-Adresse erkannt, die als anonyme Proxy-IP-Adresse identifiziert wurde. Diese Proxys werden von Personen verwendet, die die IP-Adresse ihres Geräts verbergen möchten, und können in böswilliger Absicht eingesetzt werden. Die Erkennung nutzt einen Algorithmus für maschinelles Lernen, um falsch positive Ergebnisse wie etwa falsch gekennzeichnete IP-Adressen zu reduzieren, die regelmäßig von anderen Benutzern in der Organisation verwendet werden. Erfordert eine aktive Microsoft Defender for Cloud Apps-Lizenz. |
Es wurde eine neue Warnung erstellt, die diese und weitere Informationen bereitstellt. Darüber hinaus benötigen die neueren Warnungen (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) keine Lizenz für Microsoft Defender for Cloud Apps (früher bekannt als Microsoft Cloud App Security).
Weitere Warnungen für Resource Manager anzeigen.
Die Empfehlung „Sicherheitsrisiken in Containersicherheitskonfigurationen sollten behoben werden“ wurde von „Sicherheitsbewertung“ zu „Bewährte Methoden“ verschoben
Die Empfehlung Vulnerabilities in container security configurations should be remediated wurde vom Abschnitt „Sicherheitsbewertung“ in den Abschnitt „Bewährte Methoden“ verschoben.
Die aktuelle Benutzeroberfläche stellt die Bewertung nur dann bereit, wenn alle Konformitätsprüfungen bestanden wurden. Die meisten Kunden haben Schwierigkeiten, alle erforderlichen Überprüfungen zu erfüllen. Wir arbeiten an einer verbesserten Benutzeroberfläche für diese Empfehlung, und nach der Veröffentlichung wird die Empfehlung wieder in die Sicherheitsbewertung verschoben.
Empfehlung zur Verwendung von Dienstprinzipalen zum Schutz Ihrer Abonnements wurde als veraltet markiert
Da Organisationen nicht mehr Verwaltungszertifikate zum Verwalten ihrer Abonnements verwenden, und unser kürzlich angekündigter Ankündigung, dass wir das Bereitstellungsmodell für Cloud Services (klassische) Dienste (klassisches) Bereitstellungsmodell eingestellt haben haben wir die folgenden Defender for Cloud Empfehlung und die zugehörige Richtlinie nicht mehr unterstützt:
| Recommendation | Description | Severity |
|---|---|---|
| Zum Schutz Ihrer Abonnements Dienstprinzipale anstelle von Verwaltungszertifikaten verwenden | Verwaltungszertifikate ermöglichen es jedem, der sich mit ihnen authentifiziert, die Abonnements zu verwalten, mit denen sie verbunden sind. Um Abonnements sicherer zu verwalten, wird die Verwendung von Dienstprinzipalen mit Resource Manager empfohlen, den Strahlradius im Falle einer Zertifikatkompromittierung einzuschränken. Außerdem wird hierdurch die Ressourcenverwaltung automatisiert. (Zugehörige Richtlinie: Zum Schutz Ihrer Abonnements Dienstprinzipale anstelle von Verwaltungszertifikaten verwenden) |
Medium |
Weitere Informationen:
- Bereitstellungsmodell „Cloud Services (klassisch)“ wird am 31. August 2024 außer Betrieb genommen
- Overview von Azure Cloud Services (klassisch)
- Workflow Microsoft Azure klassischen VM-Architektur – einschließlich RDFE-Workflowgrundlagen
Die Legacyimplementierung von ISO 27001 wird durch die neue ISO-Norm 27001:2013 ersetzt.
Die Legacyimplementierung von ISO 27001 wurde aus dem Compliance-Dashboard von Defender for Cloud entfernt. Wenn Sie Ihre ISO 27001-Compliance mit Defender for Cloud nachverfolgen, integrieren Sie den neuen ISO 27001:2013-Standard für alle relevanten Verwaltungsgruppen oder Abonnements.
Veraltete Microsoft Defender for IoT Geräteempfehlungen
Microsoft Defender for IoT Geräteempfehlungen werden in Microsoft Defender for Cloud nicht mehr angezeigt. Diese Empfehlungen sind weiterhin auf der Seite "Empfehlungen" Microsoft Defender for IoT verfügbar.
Die folgenden Empfehlungen wurden als veraltet markiert:
| Bewertungsschlüssel | Recommendations |
|---|---|
| 1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: IoT-Geräte | Offene Ports am Gerät |
| ba975338-f956-41e7-a9f2-7614832d382d: IoT-Geräte | In der INPUT-Kette wurde eine zu wenig einschränkende Firewallregel gefunden |
| beb62be3-5e78-49bd-ac5f-099250ef3c7c: IoT-Geräte | In einer der Ketten wurde eine zu wenig einschränkende Firewallrichtlinie gefunden |
| d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: IoT-Geräte | In der OUTPUT-Kette wurde eine zu wenig einschränkende Firewallregel gefunden |
| 5f65e47f-7a00-4bf3-acae-90ee441ee876: IoT-Geräte | Fehler beim Überprüfen der Betriebssystembaseline |
| a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: IoT-Geräte | Sendekapazität für Agentnachrichten nicht ausgeschöpft |
| 2acc27c6-5fdb-405e-9080-cb66b850c8f5: IoT-Geräte | TLS-Cipher-Suite-Upgrade erforderlich |
| d74d2738-2485-4103-9919-69c7e63776ec: IoT-Geräte |
Auditd Das Senden von Ereignissen wurde beendet. |
Veraltete Microsoft Defender for IoT Gerätewarnungen
Alle Microsoft Defender für IoT-Gerätewarnungen werden in Microsoft Defender for Cloud nicht mehr angezeigt. Diese Warnungen sind weiterhin auf der Benachrichtigungsseite Microsoft Defender for IoT und in Microsoft Sentinel verfügbar.
Haltungsverwaltung und Bedrohungsschutz für AWS und GCP für allgemeine Verfügbarkeit (GA) veröffentlicht
Defender for Cloud CSPM-Features erweitern sich auf Ihre AWS- und GCP-Ressourcen. Dieser Plan ohne Agents bewertet Ihre Multicloudressourcen anhand von cloudspezifischen Sicherheitsempfehlungen, die in Ihrer Sicherheitsbewertung enthalten sind. Die Ressourcen werden mithilfe der integrierten Standards für die Compliance bewertet. Defender for Cloud Ressourcenbestandsseite ist ein mehrcloudfähiges Feature, mit dem Sie Ihre AWS-Ressourcen zusammen mit Ihren Azure Ressourcen verwalten können.
Microsoft Defender für Server bietet Bedrohungserkennung und erweiterte Abwehrmaßnahmen für Ihre Computeinstanzen in AWS und GCP. Der Defender für Server-Plan enthält eine integrierte Lizenz für Microsoft Defender for Endpoint, Überprüfung der Sicherheitsrisikobewertung und vieles mehr. Erfahren Sie mehr über alle unterstützten Features für virtuelle Computer und Server. Funktionen für automatisches Onboarding ermöglichen es Ihnen, alle vorhandenen und neuen Compute-Instanzen, die in Ihrer Umgebung ermittelt wurden, einfach zu verbinden.
Erfahren Sie, wie Sie Ihre AWS-Umgebung und GCP-Organisation mit Microsoft Defender for Cloud schützen und verbinden.
Registrierungsscan für Windows Bilder in ACR hat Unterstützung für nationale Clouds hinzugefügt
Die Registrierungsüberprüfung für Windows Bilder wird jetzt in Azure Government und Microsoft Azure von 21Vianet unterstützt. Diese Ergänzung befindet sich derzeit in der Vorschau.
Erfahren Sie mehr über die Verfügbarkeit unseres Features.
Februar 2022
Updates im Februar:
- Kubernetes-Workloadschutz für Kubernetes-Cluster mit Arc-Unterstützung
- Native CSPM für GCP und Bedrohungsschutz für GCP-Compute-Instanzen
- Microsoft Defender für Azure Cosmos DB Plan, der für die Vorschau veröffentlicht wurde
- Bedrohungsschutz für Google Kubernetes Engine (GKE)-Cluster
Kubernetes-Workloadschutz für Kubernetes-Cluster mit Arc-Unterstützung
Defender für Container zuvor nur geschützte Kubernetes-Workloads, die in Azure Kubernetes Service ausgeführt werden. Wir haben nun die Schutzabdeckung um Azure Arc-fähige Kubernetes-Cluster erweitert.
Erfahren Sie, wie Sie Ihren Kubernetes-Workloadschutz einrichten für AKS und Azure Arc aktivierte Kubernetes-Cluster.
Native CSPM für GCP und Bedrohungsschutz für GCP-Compute-Instanzen
Mit der neuen automatisierten Integration von GCP-Umgebungen können Sie GCP-Workloads mit Microsoft Defender for Cloud schützen. Defender for Cloud schützt Ihre Ressourcen mit den folgenden Plänen:
Defender for Cloud CSPM Features erweitern sich auf Ihre GCP-Ressourcen. Dieser agentlose Plan bewertet Ihre GCP-Ressourcen gemäß den GCP-spezifischen Sicherheitsempfehlungen, die mit Defender for Cloud bereitgestellt werden. GCP-Empfehlungen sind in Ihrer Sicherheitsbewertung enthalten, und die Ressourcen werden auf Konformität mit dem integrierten GCP-CIS-Standard bewertet. Defender for Cloud Ressourcenbestandsseite ist ein mehrcloudfähiges Feature, mit dem Sie Ihre Ressourcen über Azure, AWS und GCP verwalten können.
Microsoft Defender für Server bietet Bedrohungserkennung und erweiterte Abwehrmaßnahmen für Ihre GCP-Computeinstanzen. Dieser Plan umfasst die integrierte Lizenz für Microsoft Defender for Endpoint, Überprüfung der Sicherheitsrisikobewertung und vieles mehr.
Eine vollständige Liste der verfügbaren Features finden Sie unter Unterstützte Funktionen für virtuelle Computer und Server. Funktionen für automatisches Onboarding ermöglichen es Ihnen, alle vorhandenen und neuen Compute-Instanzen, die in Ihrer Umgebung ermittelt wurden, einfach zu verbinden.
Erfahren Sie, wie Sie Ihre GCP-Projekte schützen und connectieren mit Microsoft Defender for Cloud.
Microsoft Defender für Azure Cosmos DB Plan für die Vorschau veröffentlicht
Wir haben die Datenbankabdeckung Microsoft Defender for Cloud erweitert. Sie können jetzt den Schutz für Ihre Azure Cosmos DB Datenbanken aktivieren.
Microsoft Defender für Azure Cosmos DB ist eine Azure systemeigene Sicherheitsebene, die versucht, Datenbanken in Ihren Azure Cosmos DB-Konten auszunutzen. Microsoft Defender für Azure Cosmos DB erkennt potenzielle SQL-Einfügungen, bekannte schlechte Akteure basierend auf Microsoft Threat Intelligence, verdächtigen Zugriffsmustern und potenzieller Ausbeutung Ihrer Datenbank durch kompromittierte Identitäten oder böswillige Insider.
Er analysiert kontinuierlich den Kundendatenstrom, der von den Azure Cosmos DB-Diensten generiert wird.
Bei Erkennung von potenziell schädlichen Aktivitäten werden Sicherheitswarnungen generiert. Diese Warnungen werden in Microsoft Defender for Cloud zusammen mit den Details der verdächtigen Aktivität zusammen mit den relevanten Untersuchungsschritten, Abhilfemaßnahmen und Sicherheitsempfehlungen angezeigt.
Es gibt keine Auswirkungen auf die Datenbankleistung beim Aktivieren des Diensts, da Defender für Azure Cosmos DB nicht auf die Azure Cosmos DB Kontodaten zugreift.
Weitere Informationen finden Sie unter Overview of Microsoft Defender for Azure Cosmos DB.
Wir führen zurzeit auch eine neue Aktivierungsmöglichkeit für die Datenbanksicherheit ein. Sie können jetzt Microsoft Defender for Cloud Schutz für Ihr Abonnement aktivieren, um alle Datenbanktypen zu schützen, z. B. Azure Cosmos DB, Azure SQL-Datenbank, Azure SQL Server auf Computern und Microsoft Defender für relationale Open Source-Datenbanken über einen Aktivierungsprozess. Bestimmte Ressourcentypen können einbezogen oder ausgeschlossen werden, indem Sie Ihren Plan entsprechend konfigurieren.
Informieren Sie sich, wie Sie Ihre Datenbanksicherheit auf Abonnementebene aktivieren können.
Bedrohungsschutz für Google Kubernetes Engine (GKE)-Cluster
Nach unserer kürzlichen Ankündigung Native CSPM für GCP und Bedrohungsschutz für GCP-Computeinstanzen hat Microsoft Defender für Container seinen Kubernetes-Bedrohungsschutz, Verhaltensanalysen und integrierte Richtlinien zur Zulassungskontrolle auf die Kubernetes Engine (GKE) Standardcluster von Google erweitert. Mit unseren Funktionen für automatisches Onboarding können Sie alle vorhandenen oder neuen GKE Standard-Cluster mühelos in Ihre Umgebung integrieren. Sehen Sie sich Container-Sicherheit mit Microsoft Defender for Cloud an, um eine vollständige Liste der verfügbaren Features zu erhalten.
Januar 2022
Die Updates im Januar umfassen Folgendes:
Microsoft Defender für Resource Manager aktualisiert mit neuen Warnungen und größerem Schwerpunkt auf mit MITRE ATT& zugeordneten Vorgängen mit hohem Risiko CK® Matrix - Recommendations zum Aktivieren von Plänen in Microsoft Defender in Arbeitsbereichen (in der Vorschau)
- Autoprovision Log Analytics Agent für Azure Arc-fähige Computer (Vorschau)
- Die Empfehlung, sensible Daten in SQL-Datenbanken zu klassifizieren, wurde abgeschafft
- Kommunikation mit verdächtiger Domänenwarnung erweitert auf bekannte Log4Shell-bezogene Domänen
- 'Alarm-JSON kopieren'-Schaltfläche zum Detailfenster für Sicherheitswarnungen hinzugefügt
- Umbenennung zweier Empfehlungen
- Die Richtlinie „Kubernetes-Clustercontainer sollten nur an zulässigen Ports lauschen“ ist veraltet
- Arbeitsmappe „Aktive Warnungen“ hinzugefügt
- „Systemupdate“-Empfehlung wurde zur Government-Cloud hinzugefügt
Microsoft Defender für Resource Manager aktualisiert mit neuen Warnungen und größerem Schwerpunkt auf Risikovorgängen, die MITRE ATT& zugeordnet sind CK-Matrix®
Die Cloudverwaltungsebene ist ein wichtiger Dienst, der mit allen Ihren Cloudressourcen verbunden ist. Dies macht ihn allerdings auch zu einem potenziellen Ziel für Angreifer. Wir empfehlen, dass Sicherheitsteams die Ressourcenverwaltungsebene genau überwachen.
Microsoft Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation, unabhängig davon, ob sie über das Azure-Portal, Azure REST-APIs, Azure CLI oder andere Azure programmgesteuerte Clients ausgeführt werden. Defender for Cloud führt erweiterte Sicherheitsanalysen aus, um Bedrohungen zu erkennen und Sie über verdächtige Aktivitäten zu informieren.
Der Schutz des Plans verbessert die Resilienz einer Organisation gegenüber Angriffen von Bedrohungsakteuren erheblich und erhöht die Anzahl der durch Defender for Cloud geschützten Azure Ressourcen erheblich.
Im Dezember 2020 haben wir die Vorschau von Defender für Resource Manager eingeführt, und im Mai 2021 wurde der Plan für die allgemeine Verfügbarkeit veröffentlicht.
Mit diesem Update haben wir den Fokus der Microsoft Defender für Resource Manager Plan umfassend überarbeitet. Der aktualisierte Plan enthält viele neue Warnungen, die sich auf die Erkennung verdächtiger Aufrufe von Hochrisikooperationen konzentrieren. Diese neuen Warnungen bieten umfassende Überwachung für Angriffe in der gesamtenMITRE ATT&CK-Matrix® für cloudbasierte Techniken.
Diese Matrix umfasst den folgenden Bereich potenzieller Absichten von Bedrohungsakteuren, die möglicherweise auf die Ressourcen Ihrer Organisation abzielen: Erstzugriff, Ausführung, Persistenz, Berechtigungseskalation, Verteidigungshinterziehung, Anmeldeinformationszugriff, Ermittlung, Laterale Bewegung, Sammlung, Exfiltration und Auswirkungen.
Die neuen Warnungen für diesen Defender Plan decken diese Absichten ab, wie in der folgenden Tabelle dargestellt.
Tip
Diese Warnungen erscheinen auch auf der Referenzseite Warnungen.
| Warnung (Warnungstyp) | Description | MITRE-Taktiken (Absichten) | Severity |
|---|---|---|---|
|
Verdächtiger Aufruf einer risikoreichen "Initial Access"-Operation entdeckt (Vorschau) (ARM_AnomalousOperation.InitialAccess) |
Microsoft Defender für Resource Manager einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement identifiziert, was auf einen Versuch hinweisen kann, auf eingeschränkte Ressourcen zuzugreifen. Die identifizierten Operationen sollen den Administratoren einen effizienten Zugriff auf ihre Umgebungen ermöglichen. Obwohl diese Aktivität legitim sein könnte, kann ein Bedrohungsakteur solche Vorgänge nutzen, um anfänglichen Zugriff auf eingeschränkte Ressourcen in Ihrer Umgebung zu erhalten. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird. | Erstzugriff | Medium |
|
Verdächtiger Aufruf einer risikoreichen "Ausführungs"-Operation entdeckt (Vorschau) (ARM_AnomalousOperation.Execution) |
Microsoft Defender für Resource Manager einen verdächtigen Aufruf eines Hochrisikovorgangs auf einem Computer in Ihrem Abonnement identifiziert, der möglicherweise auf einen Versuch zum Ausführen von Code hindeutet. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Diese Aktivität kann zwar legitim sein, aber ein Bedrohungsakteur verwendet solche Vorgänge, um auf eingeschränkte Anmeldeinformationen zuzugreifen und Ressourcen in Ihrer Umgebung zu kompromittieren. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird. | Execution | Medium |
|
Verdächtiger Aufruf einer hochriskanten 'Persistenz'-Operation entdeckt (Vorschau) (ARM_AnomalousOperation.Persistence) |
Microsoft Defender für Resource Manager einen verdächtigen Aufruf eines Hochrisikovorgangs in Ihrem Abonnement identifiziert, was auf einen Versuch hindeuten kann, persistenz zu schaffen. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Obwohl diese Aktivität legitim sein könnte, kann ein Bedrohungsakteur solche Vorgänge verwenden, um Persistenz in Ihrer Umgebung herzustellen. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird. | Persistence | Medium |
|
Verdächtiger Aufruf einer hochriskanten 'Privilege Escalation'-Operation entdeckt (Vorschau) (ARM_AnomalousOperation.PrivilegeEscalation) |
Microsoft Defender für Resource Manager einen verdächtigen Aufruf eines Hochrisikovorgangs in Ihrem Abonnement identifiziert, der auf einen Versuch hindeutet, Berechtigungen zu eskalieren. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Obwohl diese Aktivität legitim sein könnte, kann ein Bedrohungsakteur solche Vorgänge verwenden, um Berechtigungen zu eskalieren, während Ressourcen in Ihrer Umgebung beeinträchtigt werden. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird. | Berechtigungseskalation | Medium |
|
Verdächtiger Aufruf einer hochriskanten 'Defense Evasion'-Operation entdeckt (Vorschau) (ARM_AnomalousOperation.DefenseEvasion) |
Microsoft Defender für Resource Manager einen verdächtigen Aufruf eines Hochrisikovorgangs in Ihrem Abonnement identifiziert, was auf einen Versuch hindeutet, Abwehrmaßnahmen auszuweichen. Die identifizierten Operationen sollen es den Administratoren ermöglichen, die Sicherheitslage ihrer Umgebungen effizient zu verwalten. Obwohl diese Aktivität legitim sein könnte, kann ein Bedrohungsakteur solche Vorgänge nutzen, um zu vermeiden, dass Ressourcen in Ihrer Umgebung beeinträchtigt werden. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird. | Verteidigungshinterziehung | Medium |
|
Verdächtiger Aufruf eines risikoreichen Vorgangs "Credential Access" entdeckt (Vorschau) (ARM_AnomalousOperation.CredentialAccess) |
Microsoft Defender für Resource Manager einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement identifiziert, was auf einen Versuch hinweisen kann, auf Anmeldeinformationen zuzugreifen. Die identifizierten Operationen sollen den Administratoren einen effizienten Zugriff auf ihre Umgebungen ermöglichen. Diese Aktivität kann zwar legitim sein, aber ein Bedrohungsakteur verwendet solche Vorgänge, um auf eingeschränkte Anmeldeinformationen zuzugreifen und Ressourcen in Ihrer Umgebung zu kompromittieren. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird. | Zugriff auf Anmeldeinformationen | Medium |
|
Verdächtiger Aufruf einer Hochrisiko-Operation "Seitliche Bewegung" entdeckt (Vorschau) (ARM_AnomalousOperation.LateralMovement) |
Microsoft Defender für Resource Manager einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement identifiziert, was auf einen Versuch hindeutet, laterale Bewegungen durchzuführen. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Obwohl diese Aktivität legitim sein könnte, kann ein Bedrohungsakteur solche Vorgänge nutzen, um zusätzliche Ressourcen in Ihrer Umgebung zu kompromittieren. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird. | Lateralverschiebung | Medium |
|
Verdächtiger Aufruf einer risikoreichen Operation "Datenerfassung" entdeckt (Vorschau) (ARM_AnomalousOperation.Collection) |
Microsoft Defender für Resource Manager einen verdächtigen Aufruf eines Hochrisikovorgangs in Ihrem Abonnement identifiziert, was auf einen Versuch zum Sammeln von Daten hindeuten könnte. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Diese Aktivität kann zwar legitim sein, aber ein Bedrohungsakteur verwendet solche Vorgänge, um vertrauliche Daten zu Ressourcen in Ihrer Umgebung zu sammeln. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird. | Collection | Medium |
|
Verdächtiger Aufruf einer risikoreichen "Impact"-Operation entdeckt (Vorschau) (ARM_AnomalousOperation.Impact) |
Microsoft Defender für Resource Manager einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement identifiziert, was auf eine versuchte Konfigurationsänderung hinweisen kann. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Diese Aktivität kann zwar legitim sein, aber ein Bedrohungsakteur verwendet solche Vorgänge, um auf eingeschränkte Anmeldeinformationen zuzugreifen und Ressourcen in Ihrer Umgebung zu kompromittieren. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird. | Impact | Medium |
Darüber hinaus sind diese beiden Ausschreibungen aus diesem Plan in der Vorschau erschienen:
| Warnung (Warnungstyp) | Description | MITRE-Taktiken (Absichten) | Severity |
|---|---|---|---|
|
Azure Resource Manager Operation von verdächtiger IP-Adresse (ARM_OperationFromSuspiciousIP) |
Microsoft Defender für Resource Manager einen Vorgang von einer IP-Adresse erkannt, die in Bedrohungserkennungsfeeds als verdächtig gekennzeichnet wurde. | Execution | Medium |
|
Azure Resource Manager Operation von verdächtiger Proxy-IP-Adresse (ARM_OperationFromSuspiciousProxyIP) |
Microsoft Defender für Resource Manager einen Ressourcenverwaltungsvorgang von einer IP-Adresse erkannt, die proxydiensten zugeordnet ist, z. B. TOR. Dieses Verhalten kann legitim sein, aber es wird häufig mit bösartigen Aktivitäten in Verbindung gebracht, wenn Bedrohungsakteure versuchen, ihre Quell-IP-Adresse zu verbergen. | Verteidigungshinterziehung | Medium |
Empfehlungen zum Aktivieren von Microsoft Defender-Plänen für Arbeitsbereiche (in der Vorschau)
Um von allen Sicherheitsfeatures zu profitieren, die von Microsoft Defender für Server und Microsoft Defender für SQL auf Computern verfügbar sind müssen die Pläne auf both den Abonnement- und Arbeitsbereichsebenen aktiviert sein.
Wenn ein Rechner in einem Abonnement mit einem dieser Pläne aktiviert ist, werden Ihnen die vollen Schutzmaßnahmen in Rechnung gestellt. Wenn dieser Computer jedoch einen Arbeitsbereich meldet, ohne dass der Plan aktiviert ist, erhalten Sie diese Vorteile nicht.
Wir haben zwei Empfehlungen hinzugefügt, die Arbeitsbereiche hervorheben, ohne dass diese Pläne aktiviert sind, die dennoch Computer für sie über Abonnements melden , für die der Plan aktiviert ist.
Die beiden Empfehlungen, die beide eine automatische Behebung (die Aktion "Beheben") vorsehen, sind:
| Recommendation | Description | Severity |
|---|---|---|
| Microsoft Defender für Server sollte für Arbeitsbereiche aktiviert sein | Microsoft Defender für Server bietet Bedrohungserkennung und erweiterte Abwehrmechanismen für Ihre Windows- und Linux-Computer. Mit diesem Defender Plan, der für Ihre Abonnements, aber nicht für Ihre Arbeitsbereiche aktiviert ist, zahlen Sie für die volle Funktionalität von Microsoft Defender für Server, aber es fehlen einige der Vorteile. Wenn Sie Microsoft Defender für Server in einem Arbeitsbereich aktivieren, werden alle Computer, die an diesen Arbeitsbereich melden, für Microsoft Defender für Server in Rechnung gestellt – auch wenn sie sich in Abonnements befinden, ohne Defender Pläne aktiviert zu haben. Sofern Sie nicht auch Microsoft Defender für Server im Abonnement aktivieren, können diese Computer keinen Just-in-Time-VM-Zugriff, adaptive Anwendungssteuerungen und Netzwerkerkennungen für Azure Ressourcen nutzen. Weitere Informationen finden Sie in Overview von Microsoft Defender für Server. (Keine zugehörige Richtlinie) |
Medium |
| Microsoft Defender für SQL auf Computern sollte auf Arbeitsbereichen aktiviert sein | Microsoft Defender für Server bietet Bedrohungserkennung und erweiterte Abwehrmechanismen für Ihre Windows- und Linux-Computer. Mit diesem Defender Plan, der für Ihre Abonnements, aber nicht für Ihre Arbeitsbereiche aktiviert ist, zahlen Sie für die volle Funktionalität von Microsoft Defender für Server, aber es fehlen einige der Vorteile. Wenn Sie Microsoft Defender für Server in einem Arbeitsbereich aktivieren, werden alle Computer, die an diesen Arbeitsbereich melden, für Microsoft Defender für Server in Rechnung gestellt – auch wenn sie sich in Abonnements befinden, ohne Defender Pläne aktiviert zu haben. Sofern Sie nicht auch Microsoft Defender für Server im Abonnement aktivieren, können diese Computer keinen Just-in-Time-VM-Zugriff, adaptive Anwendungssteuerungen und Netzwerkerkennungen für Azure Ressourcen nutzen. Weitere Informationen finden Sie in Overview von Microsoft Defender für Server. (Keine zugehörige Richtlinie) |
Medium |
AutoProvision Log Analytics Agent für Azure Arc-fähige Computer (Vorschau)
Defender for Cloud verwendet den Log Analytics-Agent, um sicherheitsrelevante Daten von Computern zu sammeln. Der Agent liest verschiedene sicherheitsrelevante Konfigurationen und Ereignisprotokolle und kopiert die Daten zur Analyse in Ihren Arbeitsbereich.
die Einstellungen für die automatische Bereitstellung von Defender for Cloud verfügen über einen Umschalter für jeden unterstützten Erweiterungstyp, einschließlich des Log Analytics-Agents.
In einer weiteren Erweiterung unserer Hybrid-Cloud-Features haben wir eine Option zum automatischen Bereitstellen des Log Analytics Agents auf Computer hinzugefügt, die mit Azure Arc verbunden sind.
Wie die anderen Optionen für die automatische Bereitstellung wird auch diese Option auf der Abonnementebene konfiguriert.
Wenn Sie diese Option aktivieren, werden Sie zur Eingabe des Arbeitsbereichs aufgefordert.
Note
Für diese Vorschau können Sie nicht den Standardarbeitsbereich auswählen, der von Defender for Cloud erstellt wurde. Um sicherzustellen, dass Sie die vollständigen Sicherheitsfeatures erhalten, die für die Azure Arc-fähigen Server verfügbar sind, stellen Sie sicher, dass die entsprechende Sicherheitslösung im ausgewählten Arbeitsbereich installiert ist.
Die Empfehlung, sensible Daten in SQL-Datenbanken zu klassifizieren, wurde abgeschafft
Wir haben die Empfehlung Sensitive Daten in Ihren SQL-Datenbanken entfernt, sollten klassifiziert werden im Rahmen einer Überarbeitung, wie Defender for Cloud vertrauliche Daten in Ihren Cloudressourcen identifiziert und schützt.
In den letzten sechs Monaten in der Important bevorstehende Änderungen an Microsoft Defender for Cloud Seite sind im Voraus zu beachten.
Warnung bei Kommunikation mit verdächtiger Domäne auf bekannte Log4Shell-bezogene Domänen erweitert
Die folgende Warnung war zuvor nur für Organisationen verfügbar, die den Microsoft Defender für DNS Plan aktiviert hatten.
Mit diesem Update wird die Warnung auch für Abonnements mit dem Microsoft Defender für Server oder Defender für App Service Plan aktiviert angezeigt.
Darüber hinaus hat Microsoft Threat Intelligence die Liste bekannter böswilliger Domänen erweitert, um Domänen einzuschließen, die mit dem Ausnutzen der weit verbreiteten Sicherheitsrisiken verbunden sind, die mit Log4j verbunden sind.
| Warnung (Warnungstyp) | Description | MITRE-Taktiken | Severity |
|---|---|---|---|
|
Kommunikation mit verdächtiger Domäne identifiziert durch Threat Intelligence (AzureDNS_ThreatIntelSuspectDomain) |
Die Kommunikation mit der verdächtigen Domäne wurde erkannt, indem DNS-Transaktionen aus der Ressource analysiert und mit bekannten schädlichen Domänen verglichen werden, die durch Threat Intelligence-Feeds identifiziert werden. Die Kommunikation mit bösartigen Domänen wird häufig von Angreifern durchgeführt und könnte bedeuten, dass Ihre Ressource gefährdet ist. | Erstzugriff / Persistenz / Ausführung / Befehl und Kontrolle / Ausbeutung | Medium |
Schaltfläche "Alarm JSON kopieren" im Detailbereich für Sicherheitswarnungen hinzugefügt
Damit unsere Benutzer die Details einer Warnung schnell mit anderen teilen können (z. B. SOC-Analysten, Ressourcenbesitzer und Entwickler), haben wir die Möglichkeit hinzugefügt, alle Details einer bestimmten Warnung mit einer Schaltfläche aus dem Detailbereich der Sicherheitswarnung zu extrahieren.
Die neue JSON-Schaltfläche "Warnung kopieren" fügt die Details der Warnung im JSON-Format in die Zwischenablage des Benutzers ein.
Zwei Empfehlungen umbenannt
Aus Gründen der Konsistenz mit anderen Empfehlungsbezeichnungen haben wir die beiden folgenden Empfehlungen umbenannt:
Empfehlung zur Behebung von Sicherheitslücken, die in laufenden Container-Images entdeckt wurden
- Vorheriger Name: Schwachstellen in laufenden Container-Images sollten behoben werden (powered by Qualys)
- Neuer Name: Bei laufenden Container-Images sollten die Schwachstellen behoben sein
Empfehlung zum Aktivieren von Diagnoseprotokollen für Azure App Service
- Vorheriger Name: Diagnoseprotokolle sollten in App Service aktiviert werden
- Neuer Name: Diagnoseprotokolle im App Service sollten aktiviert werden
Die Richtlinie „Kubernetes-Clustercontainer sollten nur an zulässigen Ports lauschen“ ist veraltet
Wir haben die Empfehlung Kubernetes-Clustercontainer sollten nur an zulässigen Ports lauschen als „veraltet“ festgelegt.
| Richtlinienname | Description | Effect(s) | Version |
|---|---|---|---|
| Container in einem Kubernetes-Cluster dürfen nur an zugelassenen Ports lauschen | Hiermit wird erzwungen, dass Container nur an zugelassenen Ports lauschen können, um den Zugriff auf den Kubernetes-Cluster abzusichern. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und vorschau für AKS Engine und Azure Arc aktivierte Kubernetes verfügbar. Weitere Informationen finden Sie unter Understand Azure Policy für Kubernetes-Cluster. | Audit, Deny, Disabled | 6.1.2 |
Die Empfehlung Dienste sollten nur an zulässigen Ports lauschen sollte verwendet werden, um die Ports zu begrenzen, die eine Anwendung dem Internet zur Verfügung stellt.
Arbeitsmappe „Aktive Warnungen“ wurde hinzugefügt
Wir haben die Arbeitsmappe „Aktive Warnungen“ hinzugefügt, um unseren Benutzern dabei zu helfen, die aktiven Bedrohungen ihrer Umgebungen zu verstehen und aktive Warnungen während des Wartungsprozesses zu priorisieren.
Mit der aktiven Warnungsarbeitsmappe können Benutzer ein einheitliches Dashboard ihrer aggregierten Warnungen nach Schweregrad, Typ, Tag, MITRE ATT&CK-Taktiken und Standort anzeigen. Weitere Informationen finden Sie unter Verwenden der Arbeitsmappe „Aktive Warnungen“.
„Systemupdate“-Empfehlung wurde zur Government-Cloud hinzugefügt
Die Empfehlung „Systemupdates müssen auf Ihren Computern installiert werden“ ist jetzt in allen Government-Clouds verfügbar.
Es ist wahrscheinlich, dass sich diese Änderung auf die Sicherheitsbewertung Ihres Government-Cloudabonnements auswirkt. Es wird erwartet, dass die Änderung zu einer niedrigeren Bewertung führt, aber es ist möglich, dass die Einbeziehung der Empfehlung in einigen Fällen eine höhere Bewertung zur Folge hat.
Dezember 2021
Zu den Updates im Dezember gehören:
- Microsoft Defender für Container plan für die allgemeine Verfügbarkeit (GA)
- Neue Warnungen für Microsoft Defender für speicherveröffentlichung für allgemeine Verfügbarkeit (GA)
- Improvementiert Warnungen für Microsoft Defender für Speicher
- PortSweeping-Warnung aus Warnungen auf Netzwerkebene entfernt
Microsoft Defender für container plan released for general availability (GA)
Vor mehr als zwei Jahren haben wir Defender für Kubernetes und Defender für Containerregistrierungen im Rahmen des Azure Defender Angebots innerhalb Microsoft Defender for Cloud eingeführt.
Mit der Veröffentlichung von Microsoft Defender für Container haben wir diese beiden vorhandenen Defender Pläne zusammengeführt.
Merkmale des neuen Plans:
- Er kombiniert die Features der beiden vorhandenen Pläne miteinander: Bedrohungserkennung für Kubernetes-Cluster und Sicherheitsrisikobewertung für Images, die in Containerregistrierungen gespeichert sind.
- Er bietet neue und verbesserte Features: Einschließlich Unterstützung mehrerer Clouds, Bedrohungserkennung auf Hostebene mit über 60 neuen Kubernetes-fähigen Analysen und Sicherheitsrisikobewertung für ausgeführte Images.
- Er führt Kubernetes-natives Onboarding im großen Stil ein: Beim Aktivieren des Plans werden standardmäßig alle relevanten Komponenten für die automatische Bereitstellung konfiguriert.
Mit dieser Version hat sich die Verfügbarkeit und Darstellung von Defender für Kubernetes und Defender für Containerregistrierungen wie folgt geändert:
- Neue Abonnements: Die beiden vorherigen Containerpläne sind nicht mehr verfügbar.
- Vorhandene Abonnements – Überall dort, wo sie im Azure-Portal angezeigt werden, die Pläne werden als
Deprecated mit Anweisungen zum Upgrade auf den neueren PlanDefender für Containerregistrierungen und Defender für Kubernetes-Pläne mit veralteten Informationen und Upgradeinformationen.
Der neue Plan ist für Dezember 2021 kostenlos. Weitere Informationen zu den vorteilen, Defender die mit diesem Plan eingeführt wurden, finden Sie unter Introducing Microsoft Defender for Containers.
Weitere Informationen finden Sie unter
- Overview von Microsoft Defender für Container
- Enable Microsoft Defender für Container
- Introducing Microsoft Defender for Containers - Microsoft Tech Community
- Microsoft Defender für Container | Defender for Cloud im Feld Nr. 3 - YouTube
Neue Warnungen für Microsoft Defender für speicherveröffentlichung für allgemeine Verfügbarkeit (GA)
Bedrohungsakteure verwenden Tools und Skripts, um nach öffentlich zugänglichen Containern zu suchen, und spekulieren darauf, falsch konfigurierte offene Speichercontainer mit vertraulichen Daten zu finden.
Microsoft Defender für Den Speicher erkennt diese Scanner, sodass Sie sie blockieren und Ihren Status beheben können.
Die Vorschauwarnung, die festgestellt hat, wurde als "Anonymer Scan von öffentlichen Speichercontainern" bezeichnet. Um mehr Klarheit über die entdeckten verdächtigen Ereignisse zu bieten, haben wir dies in zwei neue Warnungen unterteilt. Diese Warnungen sind nur für Azure Blob Storage relevant.
Wir haben die Erkennungslogik verbessert, die Warnungsmetadaten aktualisiert sowie Warnungsname und Warnungstyp geändert.
Dies sind die neuen Warnungen:
| Warnung (Warnungstyp) | Description | MITRE-Taktik | Severity |
|---|---|---|---|
|
Öffentlich zugängliche Speichercontainer erfolgreich gefunden (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
In der letzten Stunde wurde durch ein Überprüfungsskript oder -tool mindestens ein öffentlich zugänglicher Speichercontainer in Ihrem Speicherkonto gefunden. Dies deutet in der Regel auf einen Reconnaissanceangriff hin, bei dem der Bedrohungsakteur versucht, Blobs durch Erraten von Containernamen auflisten zu lassen, in der Hoffnung, falsch konfigurierte offene Speichercontainer mit vertraulichen Daten zu finden. Der Bedrohungsakteur verwendet möglicherweise ein eigenes Skript oder bekannte Scantools wie Microburst, um nach öffentlich geöffneten Containern zu suchen. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | Medium |
|
Öffentlich zugängliche Speichercontainer nicht erfolgreich gescannt (Storage.Blob_OpenContainersScanning.FailedAttempt) |
In der letzten Stunde wurde mehrmals erfolglos versucht, nach öffentlich zugänglichen Speichercontainern zu suchen. Dies deutet in der Regel auf einen Reconnaissanceangriff hin, bei dem der Bedrohungsakteur versucht, Blobs durch Erraten von Containernamen auflisten zu lassen, in der Hoffnung, falsch konfigurierte offene Speichercontainer mit vertraulichen Daten zu finden. Der Bedrohungsakteur verwendet möglicherweise ein eigenes Skript oder bekannte Scantools wie Microburst, um nach öffentlich geöffneten Containern zu suchen. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | Low |
Weitere Informationen finden Sie unter
- Bedrohungsmatrix für Speicherdienste
- Overview von Microsoft Defender für Speicher
- List of alerts provided by Microsoft Defender for Storage
Verbesserungen bei Warnungen für Microsoft Defender für Speicher
Die Warnungen im Zusammenhang mit dem ersten Zugriff sind jetzt genauer und enthalten mehr Daten, um die Untersuchung zu unterstützen.
Bedrohungsakteure verwenden beim ersten Zugriff verschiedene Techniken, um innerhalb eines Netzwerks Fuß zu fassen. Zwei der Microsoft Defender für Speicher Warnungen, die Verhaltensanomalien in dieser Phase erkennen, haben nun verbesserte Erkennungslogik und zusätzliche Daten zur Unterstützung von Untersuchungen.
Wenn Sie Automatisierungen konfiguriert oder Warnungsunterdrückungsregeln für diese Warnungen in der Vergangenheit definiert haben, aktualisieren Sie sie gemäß diesen Änderungen.
Erkennen des Zugriffs über einen Tor-Exitknoten
Der Zugriff über einen Tor-Exitknoten kann auf einen Bedrohungsakteur hindeuten, der versucht, seine Identität zu verbergen.
Die Warnung ist jetzt so optimiert, dass sie nur für authentifizierten Zugriff generiert wird. Dadurch erhöht sich sowohl die Genauigkeit als auch die Wahrscheinlichkeit, dass die Aktivität schädlich ist. Durch diese Verbesserung wird die Rate unschädlich positiver Ergebnisse reduziert.
Ein anormales Muster hat einen hohen Schweregrad, während weniger anomale Muster einen mittleren Schweregrad aufweisen.
Der Warnungsname und die Beschreibung wurden aktualisiert. Der Warnungstyp (AlertType) bleibt unverändert.
- Warnungsname (alt): Zugriff von einem Tor-Beendigungsknoten auf ein Speicherkonto
- Warnungsname (neu): Authentifizierter Zugriff von einem Tor-Exitknoten
- Warnungstypen: Storage.Blob_TorAnomaly/Storage.Files_TorAnomaly
- Beschreibung: Auf eine(n) oder mehrere Speichercontainer/Dateifreigaben in Ihrem Speicherkonto wurde erfolgreich über eine IP-Adresse zugegriffen, die als aktiver Exitknoten von Tor (anonymisierender Proxy) bekannt ist. Bedrohungsakteure verwenden Tor, um die Rückverfolgung der Aktivität zu erschweren. Der authentifizierte Zugriff über einen Tor-Exitknoten ist wahrscheinlich ein Hinweis darauf, dass ein Bedrohungsakteur versucht, seine Identität zu verbergen. Gilt für: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
- MITRE-Taktik: Erster Zugriff
- Schweregrad: Hoch/Mittel
Ungewöhnlicher nicht authentifizierter Zugriff
Eine Änderung der Zugriffsmuster kann darauf hindeuten, dass ein Bedrohungsakteur den öffentlichen Lesezugriff auf Speichercontainer ausnutzen konnte, entweder durch Exploits eines Fehlers in Zugriffskonfigurationen oder durch Ändern der Zugriffsberechtigungen.
Diese Warnung mit mittlerem Schweregrad verfügt jetzt über eine verbesserte Verhaltenslogik und eine höhere Genauigkeit sowie über eine höhere Zuverlässigkeit bei der Einschätzung, ob es sich um eine schädliche Aktivität handelt. Durch diese Verbesserung wird die Rate unschädlich positiver Ergebnisse reduziert.
Der Warnungsname und die Beschreibung wurden aktualisiert. Der Warnungstyp (AlertType) bleibt unverändert.
- Warnungsname (alt): Anonymer Zugriff auf ein Speicherkonto
- Warnungsname (neu): Ungewöhnlicher nicht authentifizierter Zugriff auf einen Speichercontainer
- Warnungstypen: Storage.Blob_AnonymousAccessAnomaly
- Beschreibung: Auf dieses Speicherkonto wurde ohne Authentifizierung zugegriffen. Dies ist eine Änderung des allgemeinen Zugriffsmusters. Der Lesezugriff auf diesen Container wird in der Regel authentifiziert. Dies kann darauf hindeuten, dass ein Bedrohungsakteur den öffentlichen Lesezugriff auf Speichercontainer in diesen Speicherkonten ausnutzen konnte. Gilt für: Azure Blob Storage
- MITRE-Taktik: Sammlung
- Schweregrad: Mittel
Weitere Informationen finden Sie unter
- Bedrohungsmatrix für Speicherdienste
- Introduction zum Microsoft Defender für Speicher
- List of alerts provided by Microsoft Defender for Storage
PortSweeping-Warnung aus Warnungen auf Netzwerkebene entfernt
Die folgende Warnung wurde aufgrund von Ineffizienzen aus den Warnungen auf Netzwerkebene entfernt:
| Warnung (Warnungstyp) | Description | MITRE-Taktiken | Severity |
|---|---|---|---|
|
Mögliche ausgehende Portscanaktivität erkannt (PortSweeping) |
Bei der Analyse des Netzwerkdatenverkehrs wurde verdächtiger ausgehender Datenverkehr von %{Compromised Host} erkannt. Dieser Datenverkehr kann ein Ergebnis einer Portüberprüfungsaktivität sein. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, stammt der vermutete ausgehende Datenverkehr von einer oder mehreren Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways). Wenn dieses Verhalten beabsichtigt ist, beachten Sie bitte, dass das Durchführen der Portüberprüfung gegen Azure Nutzungsbedingungen gilt. Wenn dieses Verhalten unbeabsichtigt ist, bedeutet dies möglicherweise, dass Ihre Ressource kompromittiert wurde. | Discovery | Medium |
November 2021
Unser Ignite-Release umfasst Folgendes:
- Azure Security Center und Azure Defender werden Microsoft Defender for Cloud
- Native CSPM für AWS und Bedrohungsschutz für Amazon EKS und AWS EC2
- Prioritize security actions by data sensitivity (powered by Microsoft Purview) (in preview)
- Expanded Security Control Assessments mit Azure Security Benchmark v3
Microsoft Sentinel optionale bidirektionale Warnungssynchronisierung, die für die allgemeine Verfügbarkeit (GA) Neue Empfehlung, Azure Kubernetes Service (AKS) Protokolle an Microsoft Sentinel - Dem MITRE ATT-&CK®-Framework zugeordnete Empfehlungen – jetzt allgemein verfügbar
Weitere Änderungen im November sind:
- Microsoft Threat and Vulnerability Management als Lösung zur Bewertung von Sicherheitsrisiken hinzugefügt – veröffentlicht für die allgemeine Verfügbarkeit (GA)
- Microsoft Defender for Endpoint für Linux wird jetzt von Microsoft Defender für Server unterstützt – veröffentlicht für allgemeine Verfügbarkeit (GA)
- Momentaufnahmeexport für Empfehlungen und Sicherheitsergebnisse (in der Vorschau)
- Automatische Bereitstellung von Lösungen zur Sicherheitsrisikobewertung – jetzt allgemein verfügbar
- Softwareinventurfilter im Bestandsverzeichnis – jetzt allgemein verfügbar
- Neue AKS-Sicherheitsrichtlinie zur Standardinitiative hinzugefügt – Vorschau
- Anwendung einer anderen Vorlage für den Ressourcennamen auf die Bestandsanzeige von lokalen Computern
Azure Security Center und Azure Defender werden Microsoft Defender for Cloud
Gemäß dem Bericht 2021 State of the Cloud verfügen 92 % der Organisationen jetzt über eine Multi-Cloud-Strategie. Bei Microsoft ist es unser Ziel, die Sicherheit in allen Umgebungen zu zentralisieren und Sicherheitsteams dabei zu helfen, effektiver zu arbeiten.
Microsoft Defender for Cloud ist eine CWPP-Lösung (Cloud Security Posture Management) und eine CWPP-Lösung (Cloud Workload Protection Platform), die Schwachstellen in Ihrer Cloudkonfiguration erkennt, hilft dabei, den Gesamtsicherheitsstatus Ihrer Umgebung zu stärken und Workloads in multicloud- und hybriden Umgebungen zu schützen.
Bei Ignite 2019 haben wir unsere Vision geteilt, den vollständigsten Ansatz für die Sicherung Ihres digitalen Nachlasses und die Integration von XDR-Technologien unter der Marke Microsoft Defender zu schaffen. Die Vereinheitlichung Azure Security Center und Azure Defender unter dem neuen Namen Microsoft Defender for Cloud spiegelt die integrierten Funktionen unseres Sicherheitsangebots und unserer Fähigkeit wider, jede Cloudplattform zu unterstützen.
Native CSPM für AWS und Bedrohungsschutz für Amazon EKS und AWS EC2
Eine seite mit neuen Umgebungseinstellungen bietet eine bessere Sichtbarkeit und Kontrolle über Ihre Verwaltungsgruppen, Abonnements und AWS-Konten. Die Seite wurde entwickelt, um AWS-Konten im großen Maßstab zu integrieren: Verbinden Sie Ihr AWS-Verwaltungskonto, und Sie werden vorhandene und zukünftige Konten automatisch integrieren.
Wenn Sie Ihre AWS-Konten hinzugefügt haben, schützt Defender for Cloud Ihre AWS-Ressourcen mit einem oder allen der folgenden Pläne:
- Defender for Cloud CSPM-Features erweitern sich auf Ihre AWS-Ressourcen. Dieser Plan ohne Agent bewertet Ihre AWS-Ressourcen gemäß AWS-spezifischen Sicherheitsempfehlungen und ist in Ihrer Sicherheitsbewertung enthalten. Die Ressourcen werden auch auf Einhaltung integrierter AWS-spezifischer Standards (AWS CIS, AWS PCI-DSS und AWS Foundational Security Best Practices) bewertet. Defender for Cloud asset inventory page ist ein mehrcloudfähiges Feature, mit dem Sie Ihre AWS-Ressourcen zusammen mit Ihren Azure Ressourcen verwalten können.
- Microsoft Defender für Kubernetes erweitert seine Container-Bedrohungserkennung und erweiterte Verteidigung auf Ihre Amazon EKS Linux-Cluster.
- Microsoft Defender für Server bietet Bedrohungserkennung und erweiterte Abwehrmaßnahmen für Ihre Windows- und Linux EC2-Instanzen. Dieser Plan umfasst die integrierte Lizenz für Microsoft Defender for Endpoint, Sicherheitsgrundwerte und Bewertungen auf Betriebssystemebene, Überprüfung der Sicherheitsrisikobewertung, adaptive Anwendungssteuerelemente (AAC), Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) und vieles mehr.
Erfahren Sie mehr über Connecting Your AWS accounts to Microsoft Defender for Cloud.
Priorisieren von Sicherheitsaktionen nach Datenempfindlichkeit (unterstützt von Microsoft Purview) (in der Vorschau)
Datenressourcen bleiben ein beliebtes Ziel für Bedrohungsakteure. Daher ist es wichtig, dass Sicherheitsteams vertrauliche Datenressourcen in ihren Cloudumgebungen identifizieren, priorisieren und schützen.
Um diese Herausforderung zu beheben, integriert Microsoft Defender for Cloud jetzt Vertraulichkeitsinformationen aus Microsoft Purview. Microsoft Purview ist ein einheitlicher Datengovernancedienst, der umfassende Einblicke in die Vertraulichkeit Ihrer Daten in multicloud und lokalen Workloads bietet.
Die Integration mit Microsoft Purview erweitert Ihre Sicherheitssicht in Defender for Cloud von der Infrastrukturebene bis hin zu den Daten und ermöglicht eine völlig neue Möglichkeit, Ressourcen und Sicherheitsaktivitäten für Ihre Sicherheitsteams zu priorisieren.
Weitere Informationen finden Sie unter Priorisieren von Sicherheitsaktionen nach Datenvertraulichkeit.
Erweiterte Sicherheitskontrollbewertungen mit Azure Security Benchmark v3
Sicherheitsempfehlungen in Defender for Cloud werden vom Azure Security Benchmark unterstützt.
Azure Security Benchmark ist der Microsoft verfasste, Azure spezifische Richtliniensatz für bewährte Methoden für Sicherheit und Compliance basierend auf allgemeinen Compliance-Frameworks. Diese weit verbreitete Benchmark basiert auf den Kontrollen des Center for Internet Security (CIS) und des National Institute of Standards and Technology (NIST) und konzentriert sich auf cloudzentrierte Sicherheit.
Von Ignite 2021 ist Azure Security Benchmark v3 im Compliance-Dashboard Defender for Cloud verfügbar und als neue Standardinitiative für alle Azure Abonnements aktiviert, die mit Microsoft Defender for Cloud geschützt sind.
Zu den Verbesserungen für v3 gehören:
Zusätzliche Zuordnungen zu Branchenframeworks PCI-DSS v3.2.1 und CIS Controls v8.
Detailliertere und umsetzbare Anleitungen für Steuerungen mit der Einführung von Folgendem:
- Sicherheitsprinzipien – Einblicke in die allgemeinen Sicherheitsziele, die die Grundlage für unsere Empfehlungen bilden.
- Azure Guidance - Das technische "Anleitungen" zur Erfüllung dieser Ziele.
Zu den neuen Steuerelementen gehören DevOps-Sicherheit für Probleme wie Bedrohungsmodellierung und Software-Supply Chain-Sicherheit sowie die Schlüssel- und Zertifikatverwaltung für bewährte Methoden in Azure.
Erfahren Sie mehr in Introduction to Azure Security Benchmark.
Microsoft Sentinel optionale bidirektionale Warnungssynchronisierung, die für die allgemeine Verfügbarkeit (GA) freigegeben wurde
Im Juli haben wir
Wenn Sie Microsoft Defender for Cloud mit Microsoft Sentinel verbinden, wird der Status von Sicherheitswarnungen zwischen den beiden Diensten synchronisiert. Wenn beispielsweise eine Warnung in Defender for Cloud geschlossen wird, wird diese Warnung auch in Microsoft Sentinel als geschlossen angezeigt. Das Ändern des Status einer Warnung in Defender for Cloud wirkt sich nicht auf den Status einer Microsoft Sentinel incidents aus, die die synchronisierte Microsoft Sentinel Warnung enthalten, nur die der synchronisierten Warnung selbst.
Wenn Sie bidirektionale Warnungssynchronisierung aktivieren synchronisieren Sie automatisch den Status der ursprünglichen Defender for Cloud Warnungen mit Microsoft Sentinel Vorfällen, die die Kopien dieser Warnungen enthalten. Wenn beispielsweise ein Microsoft Sentinel Vorfall, der eine Defender for Cloud Warnung enthält, geschlossen wird, schließt Defender for Cloud automatisch die entsprechende ursprüngliche Warnung.
Weitere Informationen finden Sie in Verbinden Azure Defender Warnungen aus Azure Security Center und Stream-Warnungen mit Microsoft Sentinel.
Neue Empfehlung, Azure Kubernetes Service (AKS) Protokolle an Microsoft Sentinel zu übertragen
In einer weiteren Erweiterung des kombinierten Werts von Defender for Cloud und Microsoft Sentinel werden wir jetzt Azure Kubernetes Service Instanzen hervorheben, die keine Protokolldaten an Microsoft Sentinel senden.
SecOps-Teams können den relevanten Microsoft Sentinel Arbeitsbereich direkt auf der Seite mit den Empfehlungsdetails auswählen und das Streaming von rohen Protokollen sofort aktivieren. Diese nahtlose Verbindung zwischen den beiden Produkten erleichtert es Sicherheitsteams, eine vollständige Protokollierungsabdeckung für ihre Workloads sicherzustellen, damit sie über die gesamte Umgebung auf dem Laufenden bleiben.
Die neue Empfehlung „Diagnoseprotokolle in Kubernetes-Diensten sollten aktiviert werden“ enthält die Option „Korrigieren“ für eine schnellere Korrektur.
Außerdem wurde die Empfehlung "Überwachung auf SQL Server sollte aktiviert sein" mit den gleichen Microsoft Sentinel Streamingfunktionen verbessert.
Dem MITRE ATT-&CK®-Framework zugeordnete Empfehlungen – jetzt allgemein verfügbar
Wir haben die Sicherheitsempfehlungen von Defender for Cloud verbessert, um ihre Position im MITRE ATT& CK-Framework®. Diese weltweit zugängliche Wissensbasis über die Taktiken und Techniken von Bedrohungsakteuren, die auf Beobachtungen in der realen Welt beruht, bietet mehr Kontext, um Ihnen zu helfen, die Risiken für Ihre Umgebung im Zusammenhang mit den Empfehlungen zu verstehen.
Sie finden diese Taktiken überall dort, wo Sie auf Empfehlungsinformationen zugreifen:
Azure Resource Graph Abfrageergebnisse für relevante Empfehlungen umfassen das MITRE ATT& CK-Taktiken® und -Techniken.Die Seiten mit den Empfehlungsdetails zeigen die Zuordnung für alle relevanten Empfehlungen:
Die Seite "Empfehlungen" in Defender for Cloud verfügt über einen neuen
Filter, um Empfehlungen gemäß ihrer zugeordneten Taktik auszuwählen:
Weitere Informationen finden Sie unter Überprüfen der Sicherheitsempfehlungen.
Microsoft Bedrohungs- und Sicherheitsrisikomanagement als Lösung zur Bewertung von Sicherheitsrisiken hinzugefügt – veröffentlicht für allgemeine Verfügbarkeit (GA)
Im Oktober kündigte eine Erweiterung der Integration zwischen Microsoft Defender für Server und Microsoft Defender for Endpoint an, um einen neuen Anbieter für die Sicherheitsrisikobewertung für Ihre Computer zu unterstützen: Microsoft Bedrohungs- und Sicherheitsrisikomanagement. Dieses Feature ist jetzt allgemein verfügbar.
Verwenden Sie threat and vulnerability management, um Sicherheitsrisiken und Fehlkonfigurationen in nahezu Echtzeit mit der integration mit aktivierten Microsoft Defender for Endpoint und ohne zusätzliche Agents oder regelmäßige Scans zu ermitteln. Das Bedrohungs- und Schwachstellenmanagement priorisiert Schwachstellen auf der Grundlage der Bedrohungslandschaft und der Entdeckungen in Ihrem Unternehmen.
Verwenden Sie die Sicherheitsempfehlung "Eine Lösung zur Bewertung von Schwachstellen sollte auf Ihren virtuellen Maschinen aktiviert sein", um die von der Bedrohungs- und Schwachstellenverwaltung erkannten Schwachstellen für Ihre unterstützten Maschinen anzuzeigen.
Um die Schwachstellen auf bestehenden und neuen Maschinen automatisch zu erkennen, ohne die Empfehlung manuell korrigieren zu müssen, siehe Schwachstellenbewertungslösungen können jetzt automatisch aktiviert werden (in der Vorschau).
Erfahren Sie mehr in Investigieren Sie Schwachstellen mit Microsoft Defender for Endpoint Bedrohungs- und Sicherheitsrisikomanagement.
Microsoft Defender for Endpoint für Linux jetzt von Microsoft Defender für Server unterstützt – veröffentlicht für allgemeine Verfügbarkeit (GA)
Im August kündigte Vorschauunterstützung für die Bereitstellung der Defender für Endpunkt für LinuxSensor für unterstützte Linux-Computer an. Dieses Feature ist jetzt allgemein verfügbar.
Microsoft Defender für Server enthält eine integrierte Lizenz für Microsoft Defender for Endpoint. Dadurch stehen umfassende EDR-Funktionen (Endpoint Detection and Response; Endpunkterkennung und -reaktion) zur Verfügung.
Wenn Defender für Endpunkt eine Bedrohung erkennt, löst sie eine Warnung aus. Die Warnung wird in Defender for Cloud angezeigt. Von Defender for Cloud aus können Sie auch auf die Defender für die Endpunktkonsole pivotieren und eine detaillierte Untersuchung durchführen, um den Umfang des Angriffs aufzudecken.
Erfahren Sie mehr in Schutz Ihrer Endpunkte mit der integrierten EDR-Lösung von Security Center: Microsoft Defender for Endpoint.
Momentaufnahmeexport für Empfehlungen und Sicherheitsergebnisse (in der Vorschau)
Defender for Cloud generiert detaillierte Sicherheitswarnungen und Empfehlungen. Sie können diese im Portal oder über programmgesteuerte Tools anzeigen. Möglicherweise müssen Sie diese Informationen auch ganz oder teilweise für die Nachverfolgung mit anderen Überwachungstools in Ihrer Umgebung exportieren.
Mit Defender for Cloud kontinellen Export können Sie What exportiert werden, und where wird es ausgeführt. Weitere Informationen finden Sie unter Kontinell exportieren Microsoft Defender for Cloud Daten.
Obwohl das Feature als fortlaufend bezeichnet wird, gibt es auch eine Option zum Exportieren wöchentlicher Momentaufnahmen. Bisher waren diese wöchentlichen Momentaufnahmen auf Sicherheitsbewertung und Daten zur Einhaltung gesetzlicher Bestimmungen beschränkt. Wir haben die Funktion zum Exportieren von Empfehlungen und Sicherheitsergebnissen hinzugefügt.
Automatische Bereitstellung von Lösungen zur Sicherheitsrisikobewertung – jetzt allgemein verfügbar
Im Oktober kündigte w die Ergänzung von Lösungen zur Sicherheitsrisikobewertung zur automatischen Bereitstellung von Defender for Cloud an. Dies ist für Azure virtuelle Computer und Azure Arc Computer auf Abonnements relevant, die durch Azure Defender für Server geschützt sind. Dieses Feature ist jetzt allgemein verfügbar.
Wenn die integration mit Microsoft Defender for Endpoint aktiviert ist, stellt Defender for Cloud eine Auswahl an Lösungen zur Sicherheitsrisikobewertung dar:
- (NEW) Das Microsoft Modul zur Bedrohungs- und Sicherheitsrisikoverwaltung von Microsoft Defender for Endpoint (siehe Die Versionshinweise)
- Der integrierte Qualys-Agent
Die von Ihnen gewählte Lösung wird automatisch auf unterstützten Maschinen aktiviert.
Erfahren Sie mehr unter Automatische Konfiguration der Schwachstellenbewertung für Ihre Maschinen.
Softwareinventurfilter im Bestandsverzeichnis – jetzt allgemein verfügbar
Im Oktober haben wir neue Filter für die Bestandsseite angekündigt, um Computer auszuwählen, auf denen bestimmte Software ausgeführt wird, und sogar die interessanten Versionen angeben. Dieses Feature ist jetzt allgemein verfügbar.
Sie können die Softwareinventardaten im Azure Resource Graph Explorer abfragen.
Um diese Features zu verwenden, müssen Sie die integration mit Microsoft Defender for Endpoint aktivieren.
Ausführliche Informationen, einschließlich Beispiel-Kusto-Abfragen für Azure Resource Graph, finden Sie unter Access a software inventory.
Neue AKS-Sicherheitsrichtlinie zur Standardinitiative hinzugefügt
Um sicherzustellen, dass Kubernetes-Workloads standardmäßig sicher sind, enthält Defender for Cloud Kubernetes-Ebenenrichtlinien und Härteempfehlungen, einschließlich Erzwingungsoptionen mit Kubernetes-Zulassungskontrolle.
Im Rahmen dieses Projekts haben wir eine Richtlinie und Empfehlung (standardmäßig deaktiviert) für die Verhinderung der Bereitstellung in Kubernetes-Clustern hinzugefügt. Die Richtlinie befindet sich in der Standardinitiative, ist aber nur für Organisationen relevant, die sich für die zugehörige Vorschau registrieren.
Sie können die Richtlinien und Empfehlung („Kubernetes-Cluster sollten die Bereitstellung anfälliger Images verhindern“) problemlos ignorieren. Dies hat keine Auswirkungen auf Ihre Umgebung.
Wenn Sie an der Vorschau teilnehmen möchten, müssen Sie Mitglied des Vorschaurings sein. Wenn Sie noch kein Mitglied sind, senden Sie hier eine Anfrage. Mitglieder werden benachrichtigt, wenn die Vorschau beginnt.
Anwendung einer anderen Vorlage für den Ressourcennamen auf die Bestandsanzeige von lokalen Computern
Um die Darstellung von Ressourcen im Bestandsbestand zu verbessern, haben wir das Element "source-computer-IP" aus der Vorlage zum Benennen lokaler Computer entfernt.
-
Vorheriges Format:
machine-name_source-computer-id_VMUUID -
Aus diesem Update:
machine-name_VMUUID
Oktober 2021
Updates im Oktober:
Microsoft Threat and Vulnerability Management als Lösung zur Bewertung von Sicherheitsrisiken (in der Vorschau) - Schwachstellenbewertungslösungen können jetzt automatisch aktiviert werden (in der Vorschau)
- Software-Inventarisierungsfilter zum Bestandsverzeichnis hinzugefügt (in Vorschau)
- Ändern des Präfix einiger Warnungstypen von „ARM_“ in „VM_“
- Änderungen an der Logik einer Sicherheitsempfehlung für Kubernetes-Cluster
- Empfehlungen Detailseiten zeigen nun verwandte Empfehlungen an
- Neue Warnungen für Azure Defender für Kubernetes (in der Vorschau)
Microsoft Bedrohungs- und Sicherheitsrisikoverwaltung als Lösung zur Sicherheitsrisikobewertung hinzugefügt (in der Vorschau)
Wir haben die Integration zwischen Azure Defender für Server und Microsoft Defender for Endpoint erweitert, um einen neuen Anbieter für die Sicherheitsrisikobewertung für Ihre Computer zu unterstützen: Microsoft Bedrohungs- und Sicherheitsrisikomanagement.
Verwenden Sie threat and vulnerability management, um Sicherheitsrisiken und Fehlkonfigurationen in nahezu Echtzeit mit der integration mit aktivierten Microsoft Defender for Endpoint und ohne zusätzliche Agents oder regelmäßige Scans zu ermitteln. Das Bedrohungs- und Schwachstellenmanagement priorisiert Schwachstellen auf der Grundlage der Bedrohungslandschaft und der Entdeckungen in Ihrem Unternehmen.
Verwenden Sie die Sicherheitsempfehlung "Eine Lösung zur Bewertung von Schwachstellen sollte auf Ihren virtuellen Maschinen aktiviert sein", um die von der Bedrohungs- und Schwachstellenverwaltung erkannten Schwachstellen für Ihre unterstützten Maschinen anzuzeigen.
Um die Schwachstellen auf bestehenden und neuen Maschinen automatisch zu erkennen, ohne die Empfehlung manuell korrigieren zu müssen, siehe Schwachstellenbewertungslösungen können jetzt automatisch aktiviert werden (in der Vorschau).
Erfahren Sie mehr in Investigieren Sie Schwachstellen mit Microsoft Defender for Endpoint Bedrohungs- und Sicherheitsrisikomanagement.
Lösungen zur Schwachstellenanalyse können jetzt automatisch aktiviert werden (in der Vorschau)
Die Seite für die automatische Bereitstellung von Security Center bietet jetzt die Möglichkeit, eine Lösung zur Sicherheitsrisikobewertung automatisch zu aktivieren, um virtuelle Computer Azure und Computer auf Abonnements zu Azure Arc, die durch Azure Defender für Server geschützt sind.
Wenn die integration mit Microsoft Defender for Endpoint aktiviert ist, stellt Defender for Cloud eine Auswahl an Lösungen zur Sicherheitsrisikobewertung dar:
- (NEW) Das Microsoft Modul zur Bedrohungs- und Sicherheitsrisikoverwaltung von Microsoft Defender for Endpoint (siehe Die Versionshinweise)
- Der integrierte Qualys-Agent
Die von Ihnen gewählte Lösung wird automatisch auf unterstützten Maschinen aktiviert.
Erfahren Sie mehr unter Automatische Konfiguration der Schwachstellenbewertung für Ihre Maschinen.
Software-Inventarisierungsfilter zum Anlageninventar hinzugefügt (in Vorschau)
Die Bestandsseite enthält jetzt einen Filter, um Computer auszuwählen, auf denen bestimmte Software ausgeführt wird, und sogar die interessanten Versionen angeben.
Darüber hinaus können Sie die Softwareinventurdaten in Azure Resource Graph Explorer abfragen.
Um diese neuen Features zu verwenden, müssen Sie die integration mit Microsoft Defender for Endpoint aktivieren.
Ausführliche Informationen, einschließlich Beispiel-Kusto-Abfragen für Azure Resource Graph, finden Sie unter Access a software inventory.
Ändern des Präfix einiger Warnungstypen von „ARM_“ in „VM_“
Im Juli 2021 haben wir eine logical reorganisation der Azure Defender für Resource Manager Warnungen angekündigt
Während der Neuorganisation der Defender Pläne haben wir Warnungen von Azure Defender für Resource Manager auf Azure Defender für Server verschoben.
Mit diesem Update haben wir die Präfixe dieser Warnungen so geändert, dass sie mit dieser Neuzuordnung übereinstimmen, und „ARM_“ durch „VM_“ ersetzt, wie in der folgenden Tabelle gezeigt:
| Ursprünglicher Name | Aus dieser Änderung |
|---|---|
| ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
| ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
| ARM_AmDisablement | VM_AmDisablement |
| ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
| ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
| ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
| ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
| ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
| ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
| ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
| ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
| ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
| ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
| ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
| ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
| ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
| ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
| ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
| ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
Erfahren Sie mehr über die Azure Defender für Resource Manager und Azure Defender für ServerPläne.
Änderungen an der Logik einer Sicherheitsempfehlung für Kubernetes-Cluster
Die Empfehlung „Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden“ verhindert bei einer Reihe von Ressourcentypen die Verwendung des Standardnamespace. Zwei der Ressourcentypen, die in dieser Empfehlung enthalten waren, wurden entfernt: ConfigMap und Secret.
Erfahren Sie mehr über diese Empfehlung und das Härten Ihrer Kubernetes-Cluster in Understand-Azure Policy für Kubernetes-Cluster.
Empfehlungen Detailseiten zeigen nun verwandte Empfehlungen an
Um die Beziehungen zwischen verschiedenen Empfehlungen zu verdeutlichen, haben wir den Detailseiten vieler Empfehlungen einen Bereich "Verwandte Empfehlungen " hinzugefügt.
Die drei Beziehungstypen, die auf diesen Seiten angezeigt werden, sind:
- Voraussetzung – Eine Empfehlung, die vor der ausgewählten Empfehlung abgeschlossen werden muss
- Alternative - Eine andere Empfehlung, die eine andere Möglichkeit bietet, die Ziele der ausgewählten Empfehlung zu erreichen
- Abhängig – Eine Empfehlung, für die die ausgewählte Empfehlung eine Voraussetzung ist
Für jede verwandte Empfehlung wird in der Spalte Betroffene Ressourcen die Anzahl fehlerhafter Ressourcen angezeigt.
Tip
Wenn eine verwandte Empfehlung ausgegraut ist, ist ihre Abhängigkeit noch nicht abgeschlossen und die Empfehlung ist daher nicht verfügbar.
Ein Beispiel für verwandte Empfehlungen:
Security Center überprüft Ihre Computer auf unterstützte Lösungen zur Sicherheitsrisikobewertung:
Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werdenWenn eine gefunden wird, werden Sie über erkannte Sicherheitsrisiken benachrichtigt:
Sicherheitsrisiken für VMs müssen behoben werden
Natürlich kann Security Center Sie nicht über erkannte Sicherheitsrisiken benachrichtigen, solange keine unterstützte Lösung zur Sicherheitsrisikobewertung gefunden wird.
Therefore:
- Empfehlung 1 ist eine Voraussetzung für Empfehlung 2
- Empfehlung 2 hängt von Empfehlung 1 ab
Neue Warnungen für Azure Defender für Kubernetes (in der Vorschau)
Um die von Azure Defender für Kubernetes bereitgestellten Bedrohungsschutz zu erweitern, haben wir zwei Vorschauwarnungen hinzugefügt.
Diese Warnungen werden basierend auf einem neuen Machine Learning-Modell und Kubernetes Advanced Analytics generiert, wobei mehrere Bereitstellungs- und Rollenzuweisungsattribute anhand früherer Aktivitäten im Cluster und über alle Cluster gemessen werden, die von Azure Defender überwacht werden.
| Warnung (Warnungstyp) | Description | MITRE-Taktik | Severity |
|---|---|---|---|
|
Anomale Podbereitstellung (Vorschau) (K8S_AnomalousPodDeployment) |
Die Kubernetes-Überwachungsprotokollanalyse hat eine anomaliere Pod-Bereitstellung basierend auf früheren Bereitstellungsaktivitäten erkannt. Diese Aktivität wird bei der Untersuchung der Beziehung zwischen den verschiedenen Features im Bereitstellungsvorgang als anomalien angesehen. Zu den überwachten Features gehören die verwendete Containerimageregistrierung, das Bereitstellungskonto, der Wochentag, die Bereitstellungshäufigkeit für dieses Konto, der verwendete Benutzer-Agent, Namespacebereitstellungsmuster und andere Merkmale. Die erweiterten Eigenschaften der Warnung geben die wichtigsten Gründe für die Identifizierung dieser als anomaliele Aktivität an. | Execution | Medium |
|
Im Kubernetes-Cluster zugewiesene übermäßige Rollenberechtigungen (Vorschau) (K8S_ServiceAcountPermissionAnomaly) |
Bei der Analyse der Kubernetes-Überwachungsprotokolle wurde eine übermäßige Zuweisung von Berechtigungen zu Ihrem Cluster erkannt. Bei der Untersuchung von Rollenzuweisungen sind die aufgeführten Berechtigungen für das jeweilige Dienstkonto ungewöhnlich. Diese Erkennung berücksichtigt frühere Rollenzuweisungen für dasselbe Dienstkonto über Cluster hinweg, die von Azure, Volume pro Berechtigung und den Auswirkungen der spezifischen Berechtigung überwacht werden. Das Anomalieerkennungsmodell, das für diese Warnung verwendet wird, berücksichtigt, wie diese Berechtigung in allen Clustern verwendet wird, die von Azure Defender überwacht werden. | Berechtigungseskalation | Low |
Eine vollständige Liste der Kubernetes-Warnungen finden Sie unter Warnungen für Container: Kubernetes-Cluster.
September 2021
Im September wurde das folgende Update veröffentlicht:
Zwei neue Empfehlungen zum Überwachen von Betriebssystemkonfigurationen für Azure Compliance mit Sicherheitsgrundwerten (in der Vorschau)
Die folgenden beiden Empfehlungen wurden veröffentlicht, um die Einhaltung der sicherheitsbaseline Windows und der Linux-Sicherheitsbasislinie zu bewerten:
- Für Windows Computer sollten Vulnerabilities in der Sicherheitskonfiguration auf Ihren Windows Computern behoben werden (unterstützt durch Gastkonfiguration)
- Für Linux-Rechner sollten Schwachstellen in der Sicherheitskonfiguration auf Ihren Linux-Rechnern behoben werden (mit Hilfe der Gastkonfiguration).
Diese Empfehlungen nutzen das Gastkonfigurationsfeature von Azure Policy, um die Betriebssystemkonfiguration eines Computers mit dem im Azure Security Benchmark definierten Basisplan zu vergleichen.
Weitere Informationen zur Verwendung dieser Empfehlungen finden Sie unter Härten der Betriebssystemkonfiguration eines Computers mithilfe der Gastkonfiguration.
August 2021
Updates im August:
- Microsoft Defender for Endpoint für Linux wird jetzt von Azure Defender für Server unterstützt (in der Vorschau)
- Zwei neue Empfehlungen für die Verwaltung von Endpoint Protection-Lösungen (Vorschauversion)
- Integrierte Problembehandlung und Anleitungen zum Beheben häufiger Probleme
Regulatory-Compliancedashboards Azure Überwachungsberichte, die für die allgemeine Verfügbarkeit (GA) Deprecated-Empfehlung "Log Analytics Agent-Integritätsprobleme sollten auf den computern - Azure Defender für Containerregistrierungen sucht jetzt nach Sicherheitsrisiken in registrierungsgeschützten Azure Private Link
Security Center kann jetzt die Gastkonfigurationserweiterung des Azure Policy (in der Vorschau) - Empfehlungen unterstützen jetzt "Erzwingen".
- CSV-Exporte von Empfehlungsdaten jetzt auf 20 MB beschränkt
- Die Seite „Empfehlungen“ enthält jetzt mehrere Ansichten
Microsoft Defender for Endpoint für Linux wird jetzt von Azure Defender für Server unterstützt (in der Vorschau)
Azure Defender für Server enthält eine integrierte Lizenz für Microsoft Defender for Endpoint. Dadurch stehen umfassende EDR-Funktionen (Endpoint Detection and Response; Endpunkterkennung und -reaktion) zur Verfügung.
Wenn Defender für Endpunkt eine Bedrohung erkennt, löst sie eine Warnung aus. Die Warnung wird in Security Center angezeigt. Im Security Center können Sie auch auf die Defender für die Endpunktkonsole pivotieren und eine detaillierte Untersuchung durchführen, um den Umfang des Angriffs aufzudecken.
Während des Vorschauzeitraums stellen Sie die Defender für Endpunkt für Linux Sensor auf zwei Arten auf unterstützte Linux-Computer bereit, je nachdem, ob Sie sie bereits auf Ihren Windows Computern bereitgestellt haben:
- Existing users with Defender for Cloud enhanced security features enabled and Microsoft Defender for Endpoint for Windows
- Neue Benutzer, die die Integration mit Microsoft Defender for Endpoint für Windows nie aktiviert haben
Erfahren Sie mehr in Schutz Ihrer Endpunkte mit der integrierten EDR-Lösung von Security Center: Microsoft Defender for Endpoint.
Zwei neue Empfehlungen für die Verwaltung von Endpoint Protection-Lösungen (Vorschauversion)
Wir haben zwei Vorschauempfehlungen hinzugefügt, um die Endpunktschutzlösungen auf Ihren Computern bereitzustellen und zu verwalten. Beide Empfehlungen umfassen Unterstützung für Azure virtuellen Computer und Computer, die mit Azure Arc-fähigen Servern verbunden sind.
| Recommendation | Description | Severity |
|---|---|---|
| Endpoint Protection sollte auf Ihren Computern installiert sein | Installieren Sie eine unterstützte Endpoint Protection-Lösung, um Ihre Computer vor Bedrohungen und Sicherheitsrisiken zu schützen.
Informieren Sie sich über die Endpoint Protection-Evaluierung für Computer. (Verwandte Richtlinie: Monitor fehlender Endpoint Protection in Azure Security Center) |
High |
| Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden | Beheben Sie Endpoint Protection-Integritätsprobleme auf Ihren virtuellen Computern, um diese vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Azure Security Center unterstützten Endpunktschutzlösungen werden here dokumentiert. Die Endpunktschutzbewertung ist hier dokumentiert. (Verwandte Richtlinie: Monitor fehlender Endpoint Protection in Azure Security Center) |
Medium |
Note
Die Empfehlungen zeigen als Aktualisierungsintervall 8 Stunden an, aber es gibt einige Szenarien, in denen dies erheblich länger dauern kann. Wenn beispielsweise ein lokaler Computer gelöscht wird, dauert es 24 Stunden, bis das Security Center den Löschvorgang identifiziert. Danach dauert es bis zu 8 Stunden, bis die Bewertungsinformationen zurückgegeben werden. In dieser spezifischen Situation kann es daher 32 Stunden dauern, bis der Computer aus der Liste der betroffenen Ressourcen entfernt wird.
Integrierte Problembehandlung und Anleitungen zum Beheben häufiger Probleme
Ein neuer, dedizierter Bereich der Security Center-Seiten im Azure-Portal bietet einen zusammengestellten, ständig wachsenden Satz von Selbsthilfematerialien zur Lösung allgemeiner Herausforderungen mit Security Center und Azure Defender.
Wenn Sie ein Problem haben oder von unserem Supportteam Hilfe anfordern möchten, ist Diagnose und Problemlösung ein weiteres Tool, mit dem Sie die Lösung finden können:
Compliance-Dashboard der Azure Überwachungsberichte, die für die allgemeine Verfügbarkeit (GA) veröffentlicht wurden
Die Symbolleiste des Dashboards für die Einhaltung gesetzlicher Vorschriften bietet Azure und Dynamics Zertifizierungsberichte für die Standards, die auf Ihre Abonnements angewendet werden.
Sie können die Registerkarte für die relevanten Berichtstypen (PCI, SOC, ISO usw.) auswählen und Filter verwenden, um nach den benötigten spezifischen Berichten zu suchen.
Weitere Informationen finden Sie unter Generieren von Konformitätsstatusberichten und -zertifikaten.
Veraltete Empfehlung "Log Analytics Agent-Integritätsprobleme sollten auf Ihren Computern behoben werden"
Wir haben festgestellt, dass Die Empfehlung Log Analytics Agent-Integritätsprobleme auf Ihren Computern behoben werden sollte sich auf sichere Bewertungen auswirkt, die mit dem Cloud Security Posture Management (CSPM)-Fokus inkonsistent sind. In der Regel bezieht sich CSPM auf die Ermittlung von Fehlkonfigurationen bei der Sicherheit. Probleme mit der Agent-Integrität gehören nicht in diese Problemkategorie.
Darüber hinaus handelt es sich bei der Empfehlung im Gegensatz zu den anderen Agents im Zusammenhang mit Security Center um eine Anomalie: Dies ist der einzige Agent mit einer Empfehlung im Zusammenhang mit Integritätsproblemen.
Die Empfehlung wurde als veraltet eingestuft.
Aufgrund dieser Deaktivierung haben wir auch geringfügige Änderungen an den Empfehlungen für die Installation des Log Analytics-Agents vorgenommen (Log Analytics Agent sollte auf... ).
Diese Änderung wirkt sich mit hoher Wahrscheinlichkeit auf Ihre Sicherheitsbewertungen aus. Bei den meisten Abonnements erwarten wir, dass die Änderung zu einer höheren Bewertung führt. Es ist aber möglich, dass die Updates der Installationsempfehlung in einigen Fällen zu niedrigeren Bewertungen führen können.
Tip
Die Bestandsseite des Bestands wurde auch von dieser Änderung beeinflusst, da der überwachte Status für Computer angezeigt wird (überwacht, nicht überwacht oder teilweise überwacht – ein Zustand, der auf einen Agent mit Integritätsproblemen verweist).
Azure Defender für Containerregistrierungen sucht jetzt nach Sicherheitsrisiken in registrierungsgeschützten Azure Private Link
Azure Defender für Containerregistrierungen enthält einen Sicherheitsrisikoscanner zum Scannen von Images in Ihren Azure Container Registry Registrierungen. Erfahren Sie, wie Sie Ihre Registrierungen überprüfen und Ergebnisse in Use Azure Defender for containerregistries to scan your images for vulnerabilities.
Um den Zugriff auf eine in Azure Container Registry gehostete Registrierung einzuschränken, weisen Sie den Registrierungsendpunkten private IP-Adressen für virtuelle Netzwerke zu, und verwenden Sie Azure Private Link wie in
Im Rahmen unserer laufenden Bemühungen zur Unterstützung zusätzlicher Umgebungen und Anwendungsfälle überprüft Azure Defender jetzt auch Containerregistrierungen, die durch Azure Private Link geschützt sind.
Security Center kann jetzt die Gastkonfigurationserweiterung des Azure Policy automatisch bereitstellen (in der Vorschau)
Azure Policy können Einstellungen innerhalb eines Computers überwachen, sowohl für Computer, die in Azure als auch auf arc angeschlossenen Computern ausgeführt werden. Für die Überprüfung verwenden Sie die Erweiterung und den Client Guest Configuration. Weitere Informationen finden Sie unter Understand Azure Policy Gastkonfiguration.
Mit diesem Update können Sie jetzt festlegen, dass Security Center diese Erweiterung automatisch für alle unterstützten Computer bereitstellt.
Weitere Informationen zur Funktionsweise der automatischen Bereitstellung finden Sie im Thema zum Konfigurieren der automatischen Bereitstellung für Agents und Erweiterungen.
Empfehlungen unterstützen jetzt "Erzwingen"
Security Center enthält zwei Features, mit denen sichergestellt wird, dass neu erstellte Ressourcen sicher bereitgestellt werden: Erzwingen und Verweigern. Wenn eine Empfehlung diese Optionen bietet, können Sie sicherstellen, dass Ihre Sicherheitsanforderungen erfüllt werden, sobald jemand versucht, eine Ressource zu erstellen:
- Die Erstellung fehlerhafter Ressourcen wird verhindert, dass nicht mehr fehlerhafte Ressourcen erstellt werden.
- Erzwingen der automatischen Behebung nicht konformer Ressourcen, wenn sie erstellt werden
Mit diesem Update ist jetzt die Erzwingungsoption für die Empfehlungen verfügbar, um Azure Defender Pläne zu aktivieren (z. B. Azure Defender für App Service sollte aktiviert sein, Azure Defender für Key Vault aktiviert sein, Azure Defender für speicher sollte aktiviert sein).
Weitere Informationen zu diesen Optionen finden Sie unter Verhindern von Fehlkonfigurationen mit den Optionen zum Erzwingen/Ablehnen für Empfehlungen.
CSV-Exporte von Empfehlungsdaten jetzt auf 20 MB beschränkt
Es wurde ein Grenzwert von 20 MB für das Exportieren von Security Center-Empfehlungsdaten eingerichtet.
Wenn Sie größere Datenmengen exportieren müssen, verwenden Sie vor der Auswahl die verfügbaren Filter, oder wählen Sie Teilmengen Ihrer Abonnements aus, und laden Sie die Daten in Batches herunter.
Erfahren Sie mehr über das Ausführen eines CSV-Exports Ihrer Sicherheitsempfehlungen.
Die Seite „Empfehlungen“ enthält jetzt mehrere Ansichten
Die Seite „Empfehlungen“ verfügt jetzt über zwei Registerkarten, um alternative Möglichkeiten zum Anzeigen der Empfehlungen zu bieten, die für Ihre Ressourcen relevant sind:
- Empfehlungen zur Sicherheitsbewertung: Auf dieser Registerkarte können Sie die Liste der Empfehlungen, gruppiert nach Sicherheitskontrollen, anzeigen. Weitere Informationen zu diesen Steuerelementen finden Sie unter Sicherheitskontrollen und deren Empfehlungen.
- Alle Empfehlungen – Verwenden Sie diese Registerkarte, um die Liste der Empfehlungen als flache Liste anzuzeigen. Diese Registerkarte verdeutlicht zudem, welche Initiative (einschließlich Standards zur Einhaltung gesetzlicher Bestimmungen) die Empfehlung generiert hat. Weitere Informationen zu Initiativen und deren Beziehung zu Empfehlungen finden Sie unter Was sind Sicherheitsrichtlinien, Initiativen und Empfehlungen?
Juli 2021
Zu den Updates im Juli gehören:
- Microsoft Sentinel Connector enthält jetzt optionale bidirektionale Warnungssynchronisierung (in der Vorschau)
- Logical reorganisation der Azure Defender für Resource Manager Warnungen
Enhancements zu empfehlen, Azure Disk Encryption (ADE) - Fortlaufender Export von Daten zur Sicherheitsbewertung und zur Einhaltung gesetzlicher Bestimmungen, veröffentlicht zur allgemeinen Verfügbarkeit
- Workflowautomatisierungen können durch Änderungen an Bewertungen der Einhaltung gesetzlicher Bestimmungen ausgelöst wurden (GA)
- Bewertungs-API-Felder „FirstEvaluationDate“ und „StatusChangeDate“ jetzt in Arbeitsbereichsschemas und Logik-Apps verfügbar
- Die Arbeitsmappenvorlage "Compliance im Laufe der Zeit" wurde Azure Monitor Arbeitsmappenkatalog hinzugefügt
Microsoft Sentinel Connector enthält jetzt optionale bidirektionale Warnungssynchronisierung (in der Vorschau)
Security Center ist nativ in Microsoft Sentinel integriert, Azure Cloud-native SIEM- und SOAR-Lösung.
Microsoft Sentinel umfasst integrierte Connectors für Azure Security Center auf Abonnement- und Mandantenebene. Erfahren Sie mehr in Stream-Warnungen zu Microsoft Sentinel.
Wenn Sie Azure Defender mit Microsoft Sentinel verbinden, wird der Status von Azure Defender Warnungen, die in Microsoft Sentinel aufgenommen werden, zwischen den beiden Diensten synchronisiert. Wenn beispielsweise eine Warnung in Azure Defender geschlossen wird, wird diese Warnung auch in Microsoft Sentinel als geschlossen angezeigt. Das Ändern des Status einer Warnung in Azure Defender "will't"* wirkt sich auf den Status einer Microsoft Sentinel incidents aus, die die synchronisierte Microsoft Sentinel Warnung enthalten, nur die der synchronisierten Warnung selbst.
Wenn Sie die Vorschaufunktion bidirektionale Warnungssynchronisierung aktivieren synchronisiert es automatisch den Status der ursprünglichen Azure Defender Warnungen mit Microsoft Sentinel Vorfällen, die Kopien dieser Azure Defender Warnungen enthalten. Wenn beispielsweise ein Microsoft Sentinel Vorfall, der eine Azure Defender Warnung enthält, geschlossen wird, schließt Azure Defender automatisch die entsprechende ursprüngliche Warnung.
Weitere Informationen finden Sie unter Verbinden Azure Defender Warnungen von Azure Security Center.
Logische Neuorganisation von Azure Defender für Resource Manager Warnungen
Die unten aufgeführten Warnungen wurden als Teil des Azure Defender für Resource Manager Plan bereitgestellt.
Im Rahmen einer logischen Neuorganisation einiger Azure Defender Pläne haben wir einige Warnungen von Azure Defender für Resource Manager auf Azure Defender für Server verschoben.
Die Warnungen sind nach zwei Hauptprinzipien organisiert:
- Warnungen, die Schutz auf Steuerebene bieten – über viele Azure Ressourcentypen hinweg – sind Teil Azure Defender für Resource Manager
- Warnungen zum Schutz bestimmter Workloads befinden sich im Azure Defender Plan, der sich auf die entsprechende Workload bezieht.
Dies sind die Warnungen, die Teil von Azure Defender für Resource Manager waren und aufgrund dieser Änderung jetzt Teil der Azure Defender für Server sind:
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
Erfahren Sie mehr über die Azure Defender für Resource Manager und Azure Defender für ServerPläne.
Verbesserungen der Empfehlung zum Aktivieren von Azure Disk Encryption (ADE)
Aufgrund von Benutzerfeedback haben wir die Empfehlung Die Datenträgerverschlüsselung sollte auf virtuelle Computer angewendet werden umbenannt.
Die neue Empfehlung verwendet die gleiche Bewertungs-ID und heißt Virtuelle Computer sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln.
Die Beschreibung wurde ebenfalls aktualisiert, um den Zweck dieser Empfehlung zur Härtung verständlicher zu machen:
| Recommendation | Description | Severity |
|---|---|---|
| Virtuelle Computer sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln | Standardmäßig werden die Datenträger für Betriebssystem und Daten für eine VM im Ruhezustand mithilfe plattformseitig verwalteter Schlüssel verschlüsselt. Temporäre Datenträger und Datencaches werden nicht verschlüsselt, und Daten werden auch bei der Übertragung zwischen Compute- und Speicherressourcen nicht verschlüsselt. Weitere Informationen finden Sie im Comparison verschiedener Datenträgerverschlüsselungstechnologien in Azure. Verwenden Sie Azure Disk Encryption, um alle diese Daten zu verschlüsseln. Ignorieren Sie diese Empfehlung, wenn (1) Sie die Verschlüsselungs-at-Host-Funktion verwenden, oder (2) serverseitige Verschlüsselung auf Managed Disks Ihre Sicherheitsanforderungen erfüllt. Weitere Informationen finden Sie in der serverseitigen Verschlüsselung von Azure Disk Storage. |
High |
Fortlaufender Export von Daten zur Sicherheitsbewertung und zur Einhaltung gesetzlicher Bestimmungen, veröffentlicht zur allgemeinen Verfügbarkeit
Der fortlaufende Export stellt den Mechanismus zum Exportieren Ihrer Sicherheitswarnungen und Empfehlungen für die Nachverfolgung mit anderen Überwachungstools in Ihrer Umgebung bereit.
Wenn Sie den fortlaufenden Export einrichten, konfigurieren Sie, was exportiert wird und wohin die Daten übertragen werden. Weitere Informationen finden Sie unter Übersicht über den fortlaufende Export.
Wir haben dieses Feature im Laufe der Zeit verbessert und erweitert:
Im November 2020 haben wir die Vorschauoption zum Streamen von Änderungen an Ihrer Sicherheitsbewertung hinzugefügt.
Im Dezember 2020 haben wir die Vorschauoption zum Streamen von Änderungen an Ihren Compliancebewertungsdaten hinzugefügt.
Mit diesem Update werden diese beiden Optionen zur allgemeinen Verfügbarkeit veröffentlicht.
Workflowautomatisierungen können durch Änderungen an Bewertungen der Einhaltung gesetzlicher Bestimmungen ausgelöst wurden (GA)
Im Februar 2021 haben wir einen dritten Vorschaudatentyp zu den Auslöseroptionen für Ihre Workflowautomatisierungen hinzugefügt: Änderungen an behördlichen Compliancebewertungen. Weitere Informationen finden Sie unter Workflowautomatisierungen können durch Änderungen an Bewertungen der Einhaltung gesetzlicher Bestimmungen ausgelöst werden.
Mit diesem Update wird diese Triggeroption zur allgemeinen Verfügbarkeit veröffentlicht.
Informieren Sie sich unter Automatisieren der Reaktionen auf Security Center-Trigger über die Nutzung der Tools für die Workflowautomatisierung.
Bewertungs-API-Felder „FirstEvaluationDate“ und „StatusChangeDate“ jetzt in Arbeitsbereichsschemas und Logik-Apps verfügbar
Im Mai 2021 haben wir die Bewertungs-API mit zwei neuen Feldern aktualisiert: FirstEvaluationDate und StatusChangeDate. Vollständige Informationen finden Sie unter Die Bewertungs-API wurde um zwei neue Felder erweitert.
Auf diese Felder kann über die REST-API, Azure Resource Graph, den kontinuierlichen Export und in CSV-Exporten zugegriffen werden.
Mit dieser Änderung stellen wir die Informationen im Log Analytics Arbeitsbereichsschema und aus Logik-Apps zur Verfügung.
Arbeitsmappenvorlage "Compliance im Laufe der Zeit" zu Azure Monitor Arbeitsmappenkatalog hinzugefügt
Im März haben wir die integrierte Azure Monitor Arbeitsmappenerfahrung im Security Center angekündigt (siehe Azure Monitor Arbeitsmappen, die in das Security Center integriert sind, und drei vorlagen bereitgestellt).
Das erste Release enthielt drei Vorlagen zum Erstellen dynamischer und visueller Berichte über den Sicherheitsstatus Ihrer Organisation.
Wir haben nun eine Arbeitsmappe hinzugefügt, die speziell für die Nachverfolgung der Konformität eines Abonnements mit den dafür geltenden gesetzlichen Vorschriften oder Branchenstandards bestimmt ist.
Informieren Sie sich über die Nutzung dieser Berichte oder die Erstellung eigener Berichte unter Erstellen umfassender interaktiver Berichte für Security Center-Daten.
Juni 2021
Zu den Updates im Juni gehören:
- Neue Warnung für Azure Defender für Key Vault
- Empfehlungen zur Verschlüsselung mit standardmäßig deaktivierten kundenseitig verwalteten Schlüsseln
- Änderung des Präfix für Kubernetes-Warnungen von „AKS_“ in „K8S_“
- Zwei Empfehlungen der Sicherheitskontrolle „Systemupdates anwenden“ wurden als veraltet eingestuft
Neue Warnung für Azure Defender für Key Vault
Um die von Azure Defender für Key Vault bereitgestellten Bedrohungsschutz zu erweitern, haben wir die folgende Warnung hinzugefügt:
| Warnung (Warnungstyp) | Description | MITRE-Taktik | Severity |
|---|---|---|---|
| Zugriff auf einen Schlüsseltresor von einer verdächtigen IP-Adresse (KV_SuspiciousIPAccess) |
Auf einen Schlüsseltresor wurde erfolgreich von einer IP zugegriffen, die von Microsoft Threat Intelligence als verdächtige IP-Adresse identifiziert wurde. Dies kann darauf hindeuten, dass Ihre Infrastruktur kompromittiert wurde. Wir empfehlen Ihnen, dies eingehender zu untersuchen. | Zugriff auf Anmeldeinformationen | Medium |
Weitere Informationen finden Sie unter
- Introduction to Azure Defender for Key Vault
- Respond to Azure Defender for Key Vault alerts
- List of alerts provided by Azure Defender for Key Vault
Empfehlungen zur Verschlüsselung mit standardmäßig deaktivierten kundenseitig verwalteten Schlüsseln
Security Center enthält mehrere Empfehlungen zur Verschlüsselung von ruhenden Daten mit kundenseitig verwalteten Schlüsseln, z. B.:
- Containerregistrierungen müssen mit einem kundenseitig verwalteten Schlüssel (CMK) verschlüsselt werden
- Azure Cosmos DB Konten sollten vom Kunden verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln.
- Azure Machine Learning Arbeitsbereiche sollten mit einem vom Kunden verwalteten Schlüssel (CMK) verschlüsselt werden.
Daten in Azure werden automatisch mit plattformverwalteten Schlüsseln verschlüsselt, sodass die Verwendung von vom Kunden verwalteten Schlüsseln nur angewendet werden sollte, wenn dies für die Einhaltung einer bestimmten Richtlinie erforderlich ist, die Ihre Organisation erzwingt.
Aufgrund dieser Änderung sind die Empfehlungen zur Nutzung von kundenseitig verwalteten Schlüsseln jetzt standardmäßig deaktiviert. Wenn sie für Ihre Organisation relevant sind, können Sie sie aktivieren, indem Sie den Effektparameter für die entsprechende Sicherheitsrichtlinie in AuditIfNotExists oder Erzwingen ändern. Weitere Informationen finden Sie unter Aktivieren einer Sicherheitsempfehlung.
Diese Änderung wird in den Namen der Empfehlung durch das neue Präfix [Bei Bedarf aktivieren] widergespiegelt. Dies wird in den folgenden Beispielen veranschaulicht:
- [Bei Bedarf aktivieren] Speicherkonten müssen für die Verschlüsselung von ruhenden Daten einen kundenseitig verwalteten Schlüssel verwenden
- [Bei Bedarf aktivieren] Containerregistrierungen müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden
- [Aktivieren, falls erforderlich] Azure Cosmos DB Konten sollten vom Kunden verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln.
Änderung des Präfix für Kubernetes-Warnungen von „AKS_“ in „K8S_“
Azure Defender für Kubernetes wurde kürzlich erweitert, um Kubernetes-Cluster zu schützen, die lokal und in Multicloud-Umgebungen gehostet werden. Erfahren Sie mehr in Use Azure Defender for Kubernetes to protect hybrid and multicloud Kubernetes deployments (in preview).
Um die Tatsache widerzuspiegeln, dass die von Azure Defender für Kubernetes bereitgestellten Sicherheitswarnungen nicht mehr auf Cluster auf Azure Kubernetes Service beschränkt sind, haben wir das Präfix für die Warnungstypen von "AKS_" in "K8S_" geändert. Bei Bedarf wurden auch die Namen und Beschreibungen aktualisiert. Ein Beispiel:
| Warnung (Warnungstyp) | Description |
|---|---|
| Erkannte Tools für Kubernetes-Penetrationstests (AKS_PenTestToolsKubeHunter) |
Die Kubernetes-Überwachungsprotokollanalyse hat die Verwendung des Kubernetes-Penetrationstesttools im AKS-Cluster erkannt. Dieses Verhalten kann zwar legitim sein, aber Angreifer können solche öffentlichen Tools für böswillige Zwecke nutzen. |
In diese Warnung geändert:
| Warnung (Warnungstyp) | Description |
|---|---|
| Erkannte Tools für Kubernetes-Penetrationstests (K8S_PenTestToolsKubeHunter) |
Die Kubernetes-Überwachungsprotokollanalyse hat die Verwendung des Kubernetes-Penetrationstesttools im Kubernetes-Cluster festgestellt. Dieses Verhalten kann zwar legitim sein, aber Angreifer können solche öffentlichen Tools für böswillige Zwecke nutzen. |
Unterdrückungsregeln, in denen auf mit „AKS_“ beginnende Warnungen verwiesen wird, wurden automatisch konvertiert. Wenn Sie SIEM-Exporte oder benutzerdefinierte Automatisierungsskripts eingerichtet haben, in denen anhand des Warnungstyps auf Kubernetes-Warnungen verwiesen wird, müssen diese mit den neuen Warnungstypen aktualisiert werden.
Eine vollständige Liste der Kubernetes-Warnungen finden Sie unter Warnungen für Container: Kubernetes-Cluster.
Zwei Empfehlungen der Sicherheitskontrolle „Systemupdates anwenden“ wurden als veraltet eingestuft
Die beiden folgenden Empfehlungen wurden als veraltet eingestuft:
- OS-Version sollte für Ihre Clouddienstrollen aktualisiert werden – Standardmäßig aktualisiert Azure Ihr Gastbetriebssystem regelmäßig auf das neueste unterstützte Image in der Betriebssystemfamilie, das Sie in Ihrer Dienstkonfiguration (CSCFG) angegeben haben, wie z. B. Windows Server 2016.
- Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden: Die Evaluierungen dieser Empfehlung sind uns nicht weitreichend genug. Wir planen, die Empfehlung durch eine erweiterte Version zu ersetzen, die besser auf Ihre Sicherheitsanforderungen abgestimmt ist.
Mai 2021
Zu den Updates im Mai gehören:
- Azure Defender für DNS und Azure Defender für Resource Manager veröffentlicht für die allgemeine Verfügbarkeit (GA)
Azure Defender für relationale Open-Source-Datenbanken, die für allgemeine Verfügbarkeit (GA) - Neue Warnungen für Azure Defender für Resource Manager
- CI/CD-Sicherheitsrisikoüberprüfung von Containerimages mit GitHub Workflows und Azure Defender (Vorschau)
- Verfügbarkeit weiterer Resource Graph-Abfragen für einige Empfehlungen
- Schweregrad der Empfehlung zur SQL-Datenklassifizierung geändert
- Neue Empfehlungen zur Aktivierung von Funktionen für den vertrauenswürdigen Start (Vorschau)
- Neue Empfehlungen für die Härtung von Kubernetes-Clustern (Vorschau)
- Die Bewertungs-API wurde um zwei neue Felder erweitert.
- Cloudumgebungsfilter für Ressourcenbestand
Azure Defender für DNS und Azure Defender für Resource Manager veröffentlicht für allgemeine Verfügbarkeit (GA)
Diese beiden breit gefächerten cloudnativen Bedrohungsschutzpläne befinden sich nun in der Phase der allgemeinen Verfügbarkeit.
Diese neuen Schutzmaßnahmen verbessern ihre Resilienz gegenüber Angriffen von Bedrohungsakteuren erheblich und erhöhen die Anzahl der Azure Ressourcen, die durch Azure Defender geschützt sind.
Azure Defender für Resource Manager – überwacht automatisch alle in Ihrer Organisation ausgeführten Ressourcenverwaltungsvorgänge. Weitere Informationen finden Sie unter
- Introduction to Azure Defender for Resource Manager
- Zu Azure Defender für Resource Manager Warnungen
Liste der von Azure Defender für Resource Manager
Azure Defender für DNS – überwacht kontinuierlich alle DNS-Abfragen aus Ihren Azure-Ressourcen. Weitere Informationen finden Sie unter
Verwenden Sie die folgenden Empfehlungen, um den Prozess für die Aktivierung dieser Pläne zu vereinfachen:
- Azure Defender für Resource Manager sollte aktiviert sein
- Azure Defender für DNS sollte aktiviert sein
Note
Das Aktivieren Azure Defender Pläne führt zu Gebühren. Erfahren Sie mehr über die Preisdetails pro Region auf der Preisseite von Security Center.
Azure Defender für relationale Open-Source-Datenbanken, die für allgemeine Verfügbarkeit (GA) veröffentlicht wurden
Azure Security Center erweitert sein Angebot für SQL-Schutz mit einem neuen Bundle, um Ihre relationalen Open-Source-Datenbanken abzudecken:
- Azure Defender für Azure SQL Datenbankserver – schützt Ihre Azure-nativen SQL Server
- Azure Defender für SQL-Server auf Computern – erweitert die gleichen Schutzmaßnahmen auf Ihre SQL-Server in Hybrid-, Multicloud- und lokalen Umgebungen.
- Azure Defender für relationale Open-Source-Datenbanken – schützt Ihre Azure Datenbanken für MySQL, PostgreSQL und MariaDB-Einzelserver.
Azure Defender für relationale Open-Source-Datenbanken überwacht Ihre Server ständig auf Sicherheitsbedrohungen und erkennt anomale Datenbankaktivitäten, die potenzielle Bedrohungen für Azure Database for MySQL, PostgreSQL und MariaDB angeben. Beispiele:
- Granularerkennung von Brute-Force-Angriffen – Azure Defender für relationale Open-Source-Datenbanken bietet detaillierte Informationen zu versuchten und erfolgreichen Brute-Force-Angriffen. So verfügen Sie über alle Informationen zur Art und zum Status des Angriffs auf Ihre Umgebung, die Sie benötigen, um die Untersuchung durchführen und entsprechend reagieren zu können.
- Behavioral alerts detection - Azure Defender for open-source relational databases alerts you to suspicious and unexpected behaviors on your servers, such as changes in the access pattern to your database.
- Threat Intelligence-basierte Erkennung – Azure Defender wendet Microsoft Bedrohungserkennung und umfangreiche Wissensbasis an, um Bedrohungswarnungen anzuzeigen, damit Sie gegen sie vorgehen können.
Weitere Informationen finden Sie in Introduction zum Azure Defender für relationale Open Source-Datenbanken.
Neue Warnungen für Azure Defender für Resource Manager
Um die von Azure Defender für Resource Manager bereitgestellten Bedrohungsschutz zu erweitern, haben wir die folgenden Warnungen hinzugefügt:
| Warnung (Warnungstyp) | Description | MITRE-Taktiken | Severity |
|---|---|---|---|
(ARM_AnomalousRBACRoleAssignment) |
Azure Defender für Resource Manager aufgrund der folgenden Anomalien eine RBAC-Rollenzuweisung erkannt, die ungewöhnlich ist, wenn sie mit anderen Zuordnungen verglichen wird, die vomselben Zuweisenden /für denselben Zugewiesenen /in Ihrem Mandanten ausgeführt wurden, aufgrund der folgenden Anomalien: Zuordnungszeit, Zuweisungsort, Zuweisungsmethode, Zuweisende, Authentifizierungsmethode, zugewiesene Entitäten, verwendete Clientsoftware, Zuordnungsumfang. Dieser Vorgang wurde ggf. von einem legitimen Benutzer Ihrer Organisation durchgeführt. Unter Umständen kann dies auch ein Hinweis darauf sein, dass ein Konto Ihrer Organisation übernommen wurde und dass der Bedrohungsakteur versucht, Berechtigungen für ein weiteres Konto in seinem Besitz zu gewähren. | Seitwärtsbewegung, Umgehen von Verteidigungsmaßnahmen | Medium |
|
Für Ihr Abonnement wurde auf verdächtige Weise eine benutzerdefinierte privilegierte Rolle erstellt (Vorschau) (ARM_PrivilegedRoleDefinitionCreation) |
Azure Defender für Resource Manager eine verdächtige Erstellung der Definition privilegierter benutzerdefinierter Rollen in Ihrem Abonnement erkannt. Dieser Vorgang wurde ggf. von einem legitimen Benutzer Ihrer Organisation durchgeführt. Unter Umständen kann dies auch ein Hinweis darauf sein, dass ein Konto in Ihrer Organisation übernommen wurde und der Bedrohungsakteur versucht, eine privilegierte Rolle für die zukünftige Verwendung zu erstellen, um eine Erkennung zu vermeiden. | Seitwärtsbewegung, Umgehen von Verteidigungsmaßnahmen | Low |
|
Azure Resource Manager Operation von verdächtiger IP-Adresse (Vorschau) (ARM_OperationFromSuspiciousIP) |
Azure Defender für Resource Manager einen Vorgang von einer IP-Adresse erkannt, die in Bedrohungserkennungsfeeds als verdächtig gekennzeichnet wurde. | Execution | Medium |
|
Azure Resource Manager Operation von verdächtiger Proxy-IP-Adresse (Vorschau) (ARM_OperationFromSuspiciousProxyIP) |
Azure Defender für Resource Manager einen Ressourcenverwaltungsvorgang aus einer IP-Adresse erkannt, die proxydiensten zugeordnet ist, z. B. TOR. Dieses Verhalten kann legitim sein, aber es wird häufig mit bösartigen Aktivitäten in Verbindung gebracht, wenn Bedrohungsakteure versuchen, ihre Quell-IP-Adresse zu verbergen. | Verteidigungshinterziehung | Medium |
Weitere Informationen finden Sie unter
- Introduction to Azure Defender for Resource Manager
- Zu Azure Defender für Resource Manager Warnungen
Liste der von Azure Defender für Resource Manager
CI/CD-Sicherheitsrisikoüberprüfung von Containerimages mit GitHub Workflows und Azure Defender (Vorschau)
Azure Defender für Containerregistrierungen bietet jetzt DevSecOps-Teams Observability in GitHub Actions Workflows.
Das neue Feature zum Scannen von Sicherheitsrisiken für Containerimages mithilfe von Trivy hilft Ihnen, nach allgemeinen Sicherheitsrisiken in ihren Containerimages zu suchen, bevor Sie Images an Containerregistrierungen übertragen.
Containerscanberichte werden in Azure Security Center zusammengefasst und bieten Sicherheitsteams bessere Einblicke und Verständnis über die Quelle anfälliger Containerimages und der Workflows und Repositorys, aus denen sie stammen.
Weitere Informationen finden Sie unter Identifizieren von anfälligen Containerimages in Ihren CI/CD-Workflows.
Verfügbarkeit weiterer Resource Graph-Abfragen für einige Empfehlungen
Alle Empfehlungen des Security Centers haben die Möglichkeit, die Informationen zum Status betroffener Ressourcen mithilfe von Azure Resource Graph aus der Abfrage Open anzuzeigen. Ausführliche Informationen zu diesem leistungsstarken Feature finden Sie unter Review-Empfehlungsdaten im Azure Resource Graph Explorer.
Security Center umfasst integrierte Überprüfungen auf Sicherheitsrisiken, um Ihre VMs, SQL Server-Instanzen und zugehörigen Hosts sowie die Containerregistrierungen auf Sicherheitsrisiken zu überprüfen. Die Ergebnisse werden als Empfehlungen zurückgegeben, wobei alle Einzelergebnisse für die einzelnen Ressourcentypen jeweils in einer Ansicht zusammengefasst sind. Die Empfehlungen lauten wie folgt:
- Sicherheitsrisiken in Azure Container Registry Images sollten behoben werden (unterstützt von Qualys)
- Sicherheitsrisiken für VMs müssen behoben werden
- Bei SQL-Datenbanken sollten gefundene Sicherheitsrisiken behoben werden.
- Bei SQL Servern auf Computern sollten gefundene Sicherheitsrisiken behoben werden.
Mit dieser Änderung können Sie die Schaltfläche " Abfrage öffnen " verwenden, um auch die Abfrage mit den Sicherheitsergebnissen zu öffnen.
Die Schaltfläche " Abfrage öffnen " bietet zusätzliche Optionen für einige andere Empfehlungen, falls relevant.
Weitere Informationen zu den Sicherheitsrisikoüberprüfungen von Security Center:
- Azure Defender integrierte Qualys-Sicherheitsrisikoscanner für Azure- und Hybridcomputer
- Azure Defender integrierter Sicherheitsrisikobewertungsscanner für SQL-Server
- Azure Defender integrierter Sicherheitsrisikobewertungsscanner für Containerregistrierungen
Schweregrad der Empfehlung zur SQL-Datenklassifizierung geändert
Der Schweregrad der Empfehlung Sensible Daten in Ihren SQL-Datenbanken müssen klassifiziert werden wurde von Hoch in Niedrig geändert.
Dies ist Teil einer laufenden Änderung an dieser Empfehlung, die auf unserer Seite für bevorstehende Änderungen angekündigt wird.
Neue Empfehlungen zur Aktivierung von Funktionen für den vertrauenswürdigen Start (Vorschau)
Azure bietet vertrauenswürdigen Start als nahtlose Möglichkeit zur Verbesserung der Sicherheit von generation 2 VMs. Der vertrauenswürdige Start bietet Schutz vor komplexen und permanenten Angriffstechniken. Der vertrauenswürdige Start besteht aus mehreren koordinierten Infrastrukturtechnologien, die unabhängig voneinander aktiviert werden können. Jede Technologie bietet eine eigene Schutzschicht gegen komplexe Bedrohungen. Weitere Informationen finden Sie unter Trusted launch for Azure virtual machines.
Important
Der vertrauenswürdige Start erfordert die Erstellung neuer VMs. Sie können den vertrauenswürdigen Start nicht für vorhandene VMs aktivieren, die ursprünglich ohne vertrauenswürdigen Start erstellt wurden.
Der vertrauenswürdige Start befindet sich derzeit in der öffentlichen Vorschau. Die Vorschau wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen. Manche Features werden möglicherweise nicht unterstützt oder sind nur eingeschränkt verwendbar.
Die Empfehlung des Security Centers, vTPM sollte auf unterstützten virtuellen Computern aktiviert werden, stellt sicher, dass Ihre Azure VMs eine vTPM verwenden. Diese virtualisierte Version einer Trusted Platform Module-Hardwareeinheit ermöglicht die Nachweiserbringung, indem die gesamte Startkette Ihrer VM (UEFI, Betriebssystem, System und Treiber) gemessen wird.
Wenn das virtuelle TPM-Gerät aktiviert ist, kann der sichere Start von der Erweiterung für den Gastnachweis per Remotezugriff überprüft werden. Mit den folgenden Empfehlungen wird sichergestellt, dass diese Erweiterung bereitgestellt wird:
- Secure Boot sollte auf unterstützten Windows virtuellen Computern aktiviert werden
- Guest Attestation Extension sollte auf unterstützten Windows virtuellen Computern installiert werden
Guest Attestation Extension sollte auf unterstützten Windows Virtual Machine Scale Sets - Für unterstützte Linux-VMs muss die Erweiterung für den Gastnachweis installiert sein
Guest Attestation Extension sollte auf unterstützten Linux Virtual Machine Scale Sets
Weitere Informationen finden Sie unter Trusted launch for Azure virtual machines.
Neue Empfehlungen für die Härtung von Kubernetes-Clustern (Vorschau)
Mit den folgenden Empfehlungen können Sie die weitere Härtung Ihrer Kubernetes-Cluster durchführen.
- Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden: Verhindern Sie die Verwendung des Standardnamespace in Kubernetes-Clustern, um ConfigMap-, Pod-, Geheimnis-, Dienst- und Dienstkontoressourcen vor einem nicht autorisierten Zugriff zu schützen.
- Kubernetes-Cluster müssen die automatische Bereitstellung von API-Anmeldeinformationen deaktivieren: Deaktivieren Sie die automatische Bereitstellung von API-Anmeldeinformationen, um für eine potenziell kompromittierte Podressource die Ausführung von API-Befehlen für Kubernetes-Cluster zu verhindern.
- Kubernetes-Cluster sollten keine CAPSYSADMIN-Sicherheitsfunktionen gewähren
Informationen dazu, wie Sie Ihre containerisierten Umgebungen mit Security Center schützen können, finden Sie unter Containersicherheit in Security Center.
Die Bewertungs-API wurde um zwei neue Felder erweitert.
Wir haben die folgenden beiden Felder zur Bewertungs-REST-API hinzugefügt:
- FirstEvaluationDate – Der Zeitpunkt, zu dem die Empfehlung erstellt und zuerst ausgewertet wurde. Wird als UTC-Zeit im ISO 8601-Format zurückgegeben.
- StatusChangeDate – Der Zeitpunkt, zu dem der Status der Empfehlung zuletzt geändert wurde. Wird als UTC-Zeit im ISO 8601-Format zurückgegeben.
Der anfängliche Standardwert für diese Felder ist für alle Empfehlungen 2021-03-14T00:00:00+0000000Z.
Um auf diese Informationen zuzugreifen, können Sie eine der Methoden in der folgenden Tabelle verwenden.
| Tool | Details |
|---|---|
| REST-API-Aufruf | GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates |
| Azure Resource Graph | securityresourceswhere type == "microsoft.security/assessments" |
| Fortlaufender Export | Die beiden dedizierten Felder stehen die Log Analytics Arbeitsbereichsdaten zur Verfügung. |
| CSV-Export | Die beiden Felder sind in den CSV-Dateien enthalten. |
Erfahren Sie mehr zur Bewertungs-REST-API.
Cloudumgebungsfilter für Ressourcenbestand
Die Security Center-Seite für den Ressourcenbestand bietet einige Filter, mit denen die Liste mit den angezeigten Ressourcen schnell eingegrenzt werden kann. Weitere Informationen finden Sie unter Untersuchen und Verwalten Ihrer Ressourcen mit dem Ressourcenbestand und Verwaltungstools.
Ein neuer Filter bietet die Möglichkeit, die Liste entsprechend den Cloudkonten zu verfeinern, die Sie mit dem Multicloud-Feature von Security Center verbunden haben.
Weitere Informationen zu den Multi-Cloud-Features:
- Verbinden Sie Ihre AWS-Konten mit Azure Security Center
- Connect your GCP projects to Azure Security Center
April 2021
Zu den Updates im April gehören:
- Aktualisierte Seite „Ressourcenintegrität“ (Vorschau)
- Containerregistrierungsimages, die vor Kurzem gepullt wurden, werden jetzt wöchentlich erneut überprüft (veröffentlicht zur allgemeinen Verfügbarkeit)
- Use Azure Defender for Kubernetes to protect hybrid and multicloud Kubernetes deployments (in preview)
- Microsoft Defender for Endpoint Integration mit Azure Defender unterstützt jetzt Windows Server 2019 und Windows 10 auf Windows Virtual Desktop veröffentlicht für allgemeine Verfügbarkeit (GA)
Recommendations, um Azure Defender für DNS und Resource Manager (in der Vorschau) - Three compliance standards added: Azure CIS 1.3.0, CMMC Level 3, and New Zealand ISM Restricted
- Vier neue Empfehlungen im Zusammenhang mit der Gastkonfiguration (Vorschau)
- CMK-Empfehlungen wurden in bewährte Methoden für die Sicherheitskontrolle verschoben
- Eleven Azure Defender Warnungen veraltet
- Zwei Empfehlungen der Sicherheitskontrolle „Systemupdates anwenden“ wurden als veraltet eingestuft
- Azure Defender für SQL auf Computerkachel entfernt aus Azure Defender Dashboard
- 21 Empfehlungen wurden zwischen Sicherheitskontrollen verschoben.
Aktualisierte Seite „Ressourcenintegrität“ (Vorschau)
„Resource Health“ wurde erweitert und verbessert, um eine Momentaufnahmesicht der Gesamtintegrität einer einzelnen Ressource bereitzustellen.
Sie können ausführliche Informationen zur Ressource und sich alle Empfehlungen im Zusammenhang mit der Ressource ansehen. Wenn Sie die erweiterten Schutzpläne von Microsoft Defender verwenden, können Sie auch ausstehende Sicherheitswarnungen für diese bestimmte Ressource sehen.
Wählen Sie auf der Seite Ressourcenbestand eine beliebige Ressource aus, um die Seite „Ressourcenintegrität“ für eine Ressource zu öffnen.
Diese Vorschauseite auf Portalseiten im Security Center zeigt:
- Ressourceninformationen – Die Ressourcengruppe und das Abonnement, an das sie angefügt ist, den geografischen Standort und vieles mehr.
- Applied-Sicherheitsfeature – Gibt an, ob Azure Defender für die Ressource aktiviert ist.
- Counts of outstanding recommendations and alerts - The number of outstanding security recommendations and Azure Defender alerts.
- Umsetzbare Empfehlungen und handlungsrelevante Warnungen: Auf zwei Registerkarten werden die Empfehlungen und Warnungen für die Ressource aufgeführt.
Weitere Informationen finden Sie unter Tutorial: Untersuchen der Integrität Ihrer Ressourcen.
Containerregistrierungsimages, die vor Kurzem gepullt wurden, werden jetzt wöchentlich erneut überprüft (veröffentlicht zur allgemeinen Verfügbarkeit)
Azure Defender für Containerregistrierungen enthält einen integrierten Sicherheitsrisikoscanner. Bei dieser Überprüfung werden alle Images, die Sie in Ihre Registrierung pushen oder per Pullvorgang innerhalb der letzten 30 Tage abgerufen haben, sofort überprüft.
Jeden Tag werden neue Sicherheitsrisiken entdeckt. Mit diesem Update werden Containerimages, die während der letzten 30 Tage aus Ihren Registrierungen abgerufen wurden, jede Woche erneut gescannt . So wird sichergestellt, dass neu ermittelte Sicherheitsrisiken in Ihren Images erkannt werden.
Da die Kosten für die Überprüfung pro Image berechnet werden, fallen für diese erneuten Überprüfungen keine zusätzlichen Kosten an.
Erfahren Sie mehr über diesen Scanner in Use Azure Defender for container registries to scan your images for vulnerabilities.
Verwenden von Azure Defender für Kubernetes zum Schutz von Hybrid- und Multicloud-Kubernetes-Bereitstellungen (in der Vorschau)
Azure Defender für Kubernetes erweitert seine Bedrohungsschutzfunktionen, um Ihre Cluster überall dort zu schützen, wo sie bereitgestellt werden. Dies wurde durch die Integration mit Azure Arc fähigen Kubernetes und den neuen funktionen extensions ermöglicht.
Wenn Sie Azure Arc auf Ihren Nicht-Azure Kubernetes-Clustern aktiviert haben, wird von Azure Security Center eine neue Empfehlung für die Bereitstellung des Azure Defender-Agents mit nur wenigen Klicks angeboten.
Verwenden Sie die Empfehlung (Azure Arc-fähige Kubernetes-Cluster sollten die Erweiterung Azure Defender installiert haben) und die Erweiterung zum Schutz von Kubernetes-Clustern, die in anderen Cloudanbietern bereitgestellt werden, obwohl nicht in ihren verwalteten Kubernetes-Diensten.
Diese Integration zwischen Azure Security Center, Azure Defender und Azure Arc aktivierten Kubernetes bietet:
- Einfache Bereitstellung des Azure Defender Agents für nicht geschützte Azure Arc-fähige Kubernetes-Cluster (manuell und im Großen)
- Überwachung des Azure Defender Agents und seines Bereitstellungsstatus über das Azure Arc Portal
- Sicherheitsempfehlungen aus dem Security Center werden auf der neuen Seite "Sicherheit" des Azure Arc Portals gemeldet.
- Identifizierte Sicherheitsbedrohungen von Azure Defender werden auf der neuen Seite "Sicherheit" des Azure Arc Portals gemeldet.
- Azure Arc-fähigen Kubernetes-Cluster sind in die Azure Security Center Plattform und Erfahrung integriert
Erfahren Sie mehr in Use Azure Defender for Kubernetes with your on-premises and multicloud Kubernetes clusters.
Microsoft Defender for Endpoint Integration mit Azure Defender unterstützt jetzt Windows Server 2019 und Windows 10 auf Windows Virtual Desktop, das für allgemeine Verfügbarkeit (GA) veröffentlicht wurde.
Microsoft Defender for Endpoint ist eine ganzheitliche, in der Cloud bereitgestellte Endpunktsicherheitslösung. Sie ermöglicht die risikobasierte Verwaltung und Bewertung von Sicherheitsrisiken sowie Endpunkterkennung und -reaktion (Endpoint Detection and Response, EDR). Eine vollständige Liste der Vorteile der Verwendung von Defender für Endpunkt zusammen mit Azure Security Center finden Sie unter Schutz Ihrer Endpunkte mit der integrierten EDR-Lösung von Security Center: Microsoft Defender for Endpoint.
Wenn Sie Azure Defender für Server aktivieren, auf denen Windows Server ausgeführt wird, ist eine Lizenz für Defender für Endpunkt im Plan enthalten. Wenn Sie bereits Azure Defender für Server aktiviert haben und über Windows Server 2019 Server in Ihrem Abonnement verfügen, erhalten diese automatisch Defender für Endpunkt mit diesem Update. Es ist keine manuelle Aktion erforderlich.
Der Support wurde jetzt um Windows Server 2019 und Windows 10 auf Windows Virtual Desktop erweitert.
Note
Wenn Sie Defender für Endpunkt auf einem Windows Server 2019-Server aktivieren, stellen Sie sicher, dass sie die in Enable the Microsoft Defender for Endpoint integration beschriebenen Voraussetzungen erfüllt.
Empfehlungen zum Aktivieren von Azure Defender für DNS und Resource Manager (in der Vorschau)
Es wurden zwei neue Empfehlungen hinzugefügt, um den Prozess der Aktivierung von Azure Defender für Resource Manager und Azure Defender für DNS zu vereinfachen:
- Azure Defender für Resource Manager sollte aktiviert sein – Defender für Resource Manager die Ressourcenverwaltungsvorgänge in Ihrer Organisation automatisch überwacht. Azure Defender erkennt Bedrohungen und warnt Sie über verdächtige Aktivitäten.
- Azure Defender für DNS sollte aktiviert sein – Defender für DNS bietet eine zusätzliche Schutzebene für Ihre Cloudressourcen, indem alle DNS-Abfragen von Ihren Azure-Ressourcen kontinuierlich überwacht werden. Azure Defender benachrichtigt Sie über verdächtige Aktivitäten auf der DNS-Ebene.
Das Aktivieren Azure Defender Pläne führt zu Gebühren. Erfahren Sie mehr über die Preisdetails pro Region auf der Preisseite von Security Center.
Tip
Empfehlungen der Vorschau versetzen keine Ressourcen in einen fehlerhaften Zustand, und sie werden nicht in die Berechnungen Ihrer Sicherheitsbewertung einbezogen. Setzen Sie sie trotzdem um, wann immer möglich, damit sie nach Ablauf des Vorschauzeitraums zu Ihrer Bewertung beitragen. Erfahren Sie mehr darüber, wie Sie auf diese Empfehlungen in Remediate Empfehlungen in Azure Security Center reagieren.
Es wurden drei gesetzliche Compliancestandards hinzugefügt: Azure CIS 1.3.0, CMMC Level 3 und Neuseeland ISM Restricted
Wir haben drei Standards für die Verwendung mit Azure Security Center hinzugefügt. Mithilfe des Dashboards zur Einhaltung gesetzlicher Bestimmungen können Sie jetzt Ihre Konformität mit Folgendem nachverfolgen:
Sie können diese Standards Ihren Abonnements zuweisen, wie unter Anpassen der Standards in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen beschrieben.
Weitere Informationen finden Sie hier:
- Anpassen der Standards in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen
- Tutorial: Verbessern der Einhaltung gesetzlicher Vorschriften
- Häufig gestellte Fragen: Dashboard für die Einhaltung gesetzlicher Bestimmungen
Vier neue Empfehlungen im Zusammenhang mit der Gastkonfiguration (Vorschau)
Azure Guest Configuration Extension berichtet das Security Center, um sicherzustellen, dass die In-Guest-Einstellungen Ihrer virtuellen Computer gehärtet werden. Bei Arc-fähigen Servern wird die Erweiterung nicht benötigt, da sie bereits im Arc Connected Machine-Agent enthalten ist. Die Erweiterung erfordert eine vom System verwaltete Identität auf dem Computer.
Wir haben vier neue Empfehlungen zum Security Center hinzugefügt, damit Sie diese Erweiterung optimal nutzen können.
In zwei Empfehlungen werden Sie aufgefordert, die Erweiterung und die erforderliche vom System verwaltete Identität zu installieren:
- Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein.
- VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden
Wenn die Erweiterung installiert ist und ausgeführt wird, beginnt Sie mit der Überprüfung ihrer Computer, und Sie werden aufgefordert, Einstellungen wie die Konfiguration der Betriebssystem- und Umgebungseinstellungen festzuschreiben. Diese beiden Empfehlungen werden Sie auffordern, Ihre Windows und Linux-Computer wie beschrieben zu härten:
- Microsoft Defender Exploit Guard sollte auf Ihren Computern aktiviert sein
- Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein
Weitere Informationen finden Sie unter Understand Azure Policy Gastkonfiguration.
CMK-Empfehlungen wurden in bewährte Methoden für die Sicherheitskontrolle verschoben
Das Sicherheitsprogramm jeder Organisation enthält Anforderungen an die Datenverschlüsselung. Standardmäßig werden Azure Ruhezustandsdaten mit dienstverwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel (CMK) sind aber häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. MIT CMKs können Sie Ihre Daten mit einem von Ihnen erstellten Azure Key Vaultschlüssel verschlüsseln. So haben Sie die volle Kontrolle über den Schlüssellebenszyklus, einschließlich der Rotation und Verwaltung, und sind dafür entsprechend verantwortlich.
Azure Security Center Sicherheitskontrollen sind logische Gruppen verwandter Sicherheitsempfehlungen und spiegeln Ihre anfälligen Angriffsflächen wider. Jede Sicherheitskontrolle verfügt über eine maximale Anzahl von Punkten, die Ihrer Sicherheitsbewertung hinzugefügt wird, wenn Sie alle in der Sicherheitskontrolle aufgeführten Empfehlungen für Ihre gesamten Ressourcen umsetzen. Die Sicherheitskontrolle Best Practices für die Sicherheit implementieren hat einen Wert von null Punkten. Daher wirken sich die Empfehlungen dieser Sicherheitskontrolle nicht auf Ihre Sicherheitsbewertung aus.
Die unten angegebenen Empfehlungen werden in die Sicherheitskontrolle Best Practices für die Sicherheit implementieren verschoben, um besser zu verdeutlichen, dass sie optional sind. Durch die Verschiebung wird sichergestellt, dass sich diese Empfehlungen in der Sicherheitskontrolle befinden, die zur Erreichung des Ziels am besten geeignet ist.
- Azure Cosmos DB Konten sollten vom Kunden verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln.
- Azure Machine Learning Arbeitsbereiche sollten mit einem vom Kunden verwalteten Schlüssel (CMK) verschlüsselt werden.
- Azure KI Services Konten sollten die Datenverschlüsselung mit einem vom Kunden verwalteten Schlüssel (CMK) aktivieren.
- Containerregistrierungen müssen mit einem kundenseitig verwalteten Schlüssel (CMK) verschlüsselt werden
- SQL Managed Instance-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden
- SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden
- Speicherkonten sollten einen kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) zur Verschlüsselung verwenden.
Informationen dazu, welche Empfehlungen in den einzelnen Sicherheitssteuerungen enthalten sind, finden Sie unter Sicherheitskontrollen und deren Empfehlungen.
11 Azure Defender veraltete Warnungen
Die elf unten aufgeführten Azure Defender Warnungen sind veraltet.
Neue Warnungen werden diese beiden Warnungen ersetzt und für eine bessere Abdeckung sorgen:
AlertType AlertDisplayName ARM_MicroBurstDomainInfo PREVIEW – MicroBurst toolkit „Get-AzureDomainInfo“ function run detected (VORSCHAU – Ausführung der MicroBurst-Toolkitfunktion „Get-AzureDomainInfo“ erkannt) ARM_MicroBurstRunbook PREVIEW – MicroBurst toolkit „Get-AzurePasswords“ function run detected (VORSCHAU – Ausführung der MicroBurst-Funktion „Get-AzurePasswords“ erkannt) Diese neun Warnungen beziehen sich auf einen Microsoft Entra Identity Protection-Connector (IPC), der bereits veraltet ist:
AlertType AlertDisplayName UnfamiliarLocation Ungewöhnliche Anmeldeeigenschaften AnonymousLogin Anonyme IP-Adresse InfectedDeviceLogin Mit Schadsoftware verknüpfte IP-Adresse ImpossibleTravel Atypical travel MaliciousIP Schädliche IP-Adresse LeakedCredentials Leaked credentials PasswordSpray Kennwortsprühen LeakedCredentials Microsoft Entra ID Bedrohungserkennung AADAI Microsoft Entra ID KI Tip
Bei diesen neun IPC-Warnungen hat es sich niemals um Security Center-Warnungen gehandelt. Sie sind Teil des Microsoft Entra Identity Protection-Connectors (IPC), der sie an Das Security Center sendete. In den letzten zwei Jahren sind die einzigen Kunden, die diese Warnungen sehen, Organisationen, die den Export (vom Connector zu ASC) im Jahr 2019 oder früher konfiguriert haben. Microsoft Entra ID IPC hat sie weiterhin in ihren eigenen Warnungssystemen angezeigt, und sie sind weiterhin in Microsoft Sentinel verfügbar. Die einzige Änderung besteht darin, dass sie nicht mehr im Security Center angezeigt werden.
Zwei Empfehlungen der Sicherheitskontrolle „Systemupdates anwenden“ wurden als veraltet eingestuft
Die folgenden beiden Empfehlungen wurden als veraltet eingestuft und die Änderungen können geringfügige Auswirkungen auf Ihre Sicherheitsbewertung haben:
- Ihre Computer sollten zur Anwendung von Systemupdates neu gestartet werden
- Der Überwachungs-Agent sollte auf Ihren Computern installiert werden. Diese Empfehlung bezieht sich nur auf lokale Computer, und einige ihrer Logik werden auf eine andere Empfehlung übertragen, Log Analytics Agent-Integritätsprobleme sollten auf Ihren Computern behoben werden
Wir empfehlen Ihnen, Ihre Konfigurationen für den fortlaufenden Export und die Workflowautomatisierung zu überprüfen, um zu ermitteln, ob diese Empfehlungen darin enthalten sind. Darüber hinaus sollten Sie alle Dashboards oder anderen Überwachungstools, für die diese ggf. genutzt werden, entsprechend aktualisieren.
Azure Defender für SQL auf Computerkachel entfernt aus Azure Defender Dashboard
Der Abdeckungsbereich des Azure Defender Dashboards enthält Kacheln für die relevanten Azure Defender Pläne für Ihre Umgebung. Aufgrund eines Problems mit der Berichterstattung über die Anzahl der geschützten und nicht geschützten Ressourcen haben wir beschlossen, den Ressourcenabdeckungsstatus für Azure Defender für SQL auf Computern vorübergehend zu entfernen, bis das Problem behoben ist.
Zwischen Sicherheitskontrollen verschobene Empfehlungen
Die folgenden Empfehlungen wurden in andere Sicherheitskontrollen verschoben. Bei Sicherheitskontrollen handelt es sich um logische Gruppen verwandter Sicherheitsempfehlungen, die anfällige Angriffsflächen widerspiegeln. Durch die Verschiebung wird sichergestellt, dass sich jede dieser Empfehlungen in der am besten geeigneten Kontrolle befindet, um das jeweilige Ziel zu erreichen.
Informationen dazu, welche Empfehlungen in den einzelnen Sicherheitssteuerungen enthalten sind, finden Sie unter Sicherheitskontrollen und deren Empfehlungen.
| Recommendation | Änderung und Auswirkung |
|---|---|
| Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein. Bewertung von Sicherheitsrisiken für verwaltete SQL-Instanzen aktivieren Sicherheitsrisiken in Ihren SQL-Datenbanken müssen entschärft werden (neu) Die Sicherheitsrisiken für Ihre SQL-Datenbanken in VMs müssen entschärft werden. |
Verschiebung aus „Sicherheitsrisiken entschärfen“ (sechs Punkte) in „Sicherheitskonfigurationen bereinigen“ (vier Punkte). Diese Empfehlungen haben je nach Umgebung eine geringere Auswirkung auf Ihre Bewertung. |
| Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein. Automation-Kontovariablen sollten verschlüsselt werden. IoT-Geräte: Überwachter Prozess hat das Senden von Ereignissen beendet IoT-Geräte: Fehler bei Validierung von Baseline von Betriebssystem IoT-Geräte:Upgrade der TLS-Verschlüsselungssammlung erforderlich IoT-Geräte: offene Ports auf Gerät IoT-Geräte: In einer der Ketten wurde eine zu wenig einschränkende Firewallrichtlinie gefunden IoT-Geräte: In der Eingabekette wurde eine zu wenig einschränkende Firewallregel gefunden IoT-Geräte: In der Ausgabekette wurde eine zu wenig einschränkende Firewallregel gefunden Diagnoseprotokolle in IoT Hub sollten aktiviert sein IoT-Geräte: Agent sendet Nachrichten zu Unterauslastung IoT-Geräte: Die Standard-IP-Filterrichtlinie sollte auf „Verweigern“ festgelegt werden IoT-Geräte: Großer IP-Adressbereich für IP-Filterregel IoT-Geräte: Agent-Nachrichtenintervalle und -größe müssen angepasst werden IoT-Geräte: Identische Anmeldeinformationen für die Authentifizierung IoT-Geräte – Auditd-Prozess hat das Senden von Ereignissen beendet IoT-Geräte: Baselinekonfiguration des Betriebssystems (OS) muss korrigiert werden |
Verschiebung in Bewährte Sicherheitsmethoden implementieren. Wenn eine Empfehlung in die Sicherheitskontrolle „Bewährte Sicherheitsmethoden implementieren“ (Wert: null Punkte) verschoben wird, wirkt sie sich nicht mehr auf Ihre Sicherheitsbewertung aus. |
März 2021
Zu den Updates im März gehören:
- Azure Firewall Management in das Security Center integriert
- SQL-Sicherheitsrisikobewertung enthält jetzt die Option „Regel deaktivieren“ (Vorschauversion)
- Azure Monitor Arbeitsmappen, die in das Security Center integriert sind, und drei vorlagen bereitgestellt
- Regulatory Compliance-Dashboard enthält jetzt Azure Überwachungsberichte (Vorschau)
Recommendation-Daten können in Azure Resource Graph mit "Explore in ARG" - Updates der Richtlinien für die Bereitstellung der Workflowautomatisierung
- Two Legacyempfehlungen schreiben keine Daten mehr direkt in Azure Aktivitätsprotokoll
- Verbesserungen der Seite „Empfehlungen“
Azure Firewall Management in Das Security Center integriert
Wenn Sie Azure Security Center öffnen, ist die erste anzuzeigende Seite die Übersichtsseite.
Dieses interaktive Dashboard ermöglicht eine einheitliche Übersicht über den Sicherheitsstatus Ihrer Hybrid Cloud-Workloads. Darüber hinaus werden darauf Sicherheitswarnungen, Informationen zur Abdeckung und andere Infos angezeigt.
Als Teil der Unterstützung beim Anzeigen Ihres Sicherheitsstatus aus einer zentralen Benutzeroberfläche haben wir die Azure Firewall Manager in dieses Dashboard integriert. Sie können jetzt den Firewall-Abdeckungsstatus in allen Netzwerken überprüfen und Azure Firewall Richtlinien zentral verwalten, beginnend mit Security Center.
Erfahren Sie mehr über dieses Dashboard auf der Übersichtsseite Azure Security Center.
SQL-Sicherheitsrisikobewertung enthält jetzt die Option „Regel deaktivieren“ (Vorschauversion)
Security Center enthält eine integrierte Überprüfung auf Sicherheitsrisiken, mit der Sie potenzielle Sicherheitsrisiken für Datenbanken ermitteln, nachverfolgen und beseitigen können. Die Ergebnisse Ihrer Überprüfungen für die Bewertung ermöglichen einen Überblick über den Sicherheitszustand Ihrer SQL-Computer und enthalten Einzelheiten zu allen Sicherheitsergebnissen.
Wenn in Ihrer Organisation eine Suche ignoriert werden muss, anstatt sie zu beheben, können Sie sie optional deaktivieren. Deaktivierte Ergebnisse haben keine Auswirkung auf Ihre Sicherheitsbewertung und erzeugen kein unerwünschtes Rauschen.
Weitere Informationen finden Sie unter Deaktivieren bestimmter Ergebnisse.
Azure Monitor Arbeitsmappen, die in das Security Center integriert sind, und drei vorlagen bereitgestellt
Im Rahmen des Ignite Spring 2021 haben wir eine integrierte Azure Monitor Arbeitsmappenerfahrung im Security Center angekündigt.
Sie können die neue Integration verwenden, um mit der Verwendung der sofort einsatzbereiten Vorlagen aus dem Security Center-Katalog zu beginnen. Mithilfe von Arbeitsmappenvorlagen können Sie auf dynamische und visuelle Berichte zugreifen und diese erstellen, um den Sicherheitsstatus Ihrer Organisation nachzuverfolgen. Darüber hinaus können Sie neue Arbeitsmappen basierend auf Security Center-Daten oder anderen unterstützten Datentypen erstellen und Communityarbeitsmappen schnell aus der GitHub Community des Security Centers bereitstellen.
Es sind drei Vorlagenberichte verfügbar:
- Sicherheitsbewertung im Zeitverlauf: Nutzen Sie die Nachverfolgung der Bewertungen Ihrer Abonnements und der Änderungen von Empfehlungen für Ihre Ressourcen.
- Systemupdates – Anzeigen fehlender Systemupdates nach Ressourcen, Betriebssystem, Schweregrad und mehr
- Vulnerability Assessment-Ergebnisse – Sehen Sie sich die Ergebnisse von Sicherheitsrisikoüberprüfungen Ihrer Azure Ressourcen an
Informieren Sie sich über die Nutzung dieser Berichte oder die Erstellung eigener Berichte unter Erstellen umfassender interaktiver Berichte für Security Center-Daten.
Das Dashboard zur Einhaltung gesetzlicher Vorschriften umfasst jetzt Azure Überwachungsberichte (Vorschau)
Über die Symbolleiste des Compliance-Dashboards können Sie jetzt Azure und Dynamics Zertifizierungsberichte herunterladen.
Sie können die Registerkarte für die relevanten Berichtstypen (PCI, SOC, ISO usw.) auswählen und Filter verwenden, um nach den benötigten spezifischen Berichten zu suchen.
Informieren Sie sich über das Verwalten der Standards in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen.
Empfehlungsdaten können in Azure Resource Graph mit "Erkunden in ARG" angezeigt werden.
Auf den Empfehlungsdetailseiten steht die Schaltfläche „In ARG untersuchen“ zur Verfügung. Verwenden Sie diese Schaltfläche, um eine Azure Resource Graph Abfrage zu öffnen und die Daten der Empfehlung zu durchsuchen, zu exportieren und freizugeben.
Azure Resource Graph (ARG) bietet sofortigen Zugriff auf Ressourceninformationen in Ihren Cloudumgebungen mit robusten Filter-, Gruppierungs- und Sortierfunktionen. Es ist eine schnelle und effiziente Möglichkeit, Informationen programmgesteuert oder innerhalb des Azure Portals über Azure Abonnements abzufragen.
Erfahren Sie mehr über Azure Resource Graph.
Updates der Richtlinien für die Bereitstellung der Workflowautomatisierung
Die Automatisierung der Prozesse Ihrer Organisation zur Überwachung und Reaktion auf Vorfälle kann die Zeit, die zum Untersuchen von Sicherheitsvorfällen und zur Durchführung entsprechender Gegenmaßnahmen benötigt wird, erheblich verkürzen.
Wir stellen drei Azure Policy "DeployIfNotExist"-Richtlinien bereit, mit denen Workflowautomatisierungsverfahren erstellt und konfiguriert werden, damit Sie Ihre Automatisierungen in Ihrer Organisation bereitstellen können:
| Goal | Policy | Richtlinien-ID |
|---|---|---|
| Workflowautomatisierung für Sicherheitswarnungen | Deploy Workflow Automation for Azure Security Center alerts | f1525828-9a90-4fcf-be48-268cdd02361e |
| Workflowautomatisierung für Sicherheitsempfehlungen | Deploy Workflow Automation for Azure Security Center recommendations | 73d6ab6c-2475-4850-afd6-43795f3492ef |
| Workflowautomatisierung für Änderungen bei der Einhaltung gesetzlicher Bestimmungen | Deploy Workflow Automation for Azure Security Center regulatory compliance | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
Für die Features dieser Richtlinien wurden zwei Aktualisierungen durchgeführt:
- Wenn sie zugewiesen werden, wird erzwungen, dass sie aktiviert bleiben.
- Sie können diese Richtlinien jetzt anpassen und alle Parameter auch nach der Bereitstellung noch aktualisieren. Sie können beispielsweise einen Bewertungsschlüssel hinzufügen oder bearbeiten.
Erste Schritte mit workflow-Automatisierungsvorlagen.
Informieren Sie sich über das Automatisieren der Reaktionen auf Security Center-Trigger.
Zwei Legacyempfehlungen schreiben keine Daten mehr direkt in Azure Aktivitätsprotokoll
Security Center übergibt die Daten für fast alle Sicherheitsempfehlungen an Azure Advisor, was wiederum in Azure Aktivitätsprotokoll schreibt.
Für zwei Empfehlungen werden die Daten gleichzeitig direkt in Azure Aktivitätsprotokoll geschrieben. Diese Änderung sorgt dafür, dass Daten für diese Legacysicherheitsempfehlungen von Security Center nicht mehr direkt in das Aktivitätsprotokoll geschrieben werden. Stattdessen exportieren wir die Daten nach Azure Advisor wie für alle anderen Empfehlungen.
Die beiden Legacyempfehlungen sind:
- Integritätsprobleme in Endpoint Protection sollten auf Ihren Computern behoben werden.
- Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden.
Wenn Sie auf Informationen für diese beiden Empfehlungen in der Kategorie „Empfehlung vom Typ "TaskDiscovery"“ zugegriffen haben, ist dies nicht mehr möglich.
Verbesserungen der Seite „Empfehlungen“
Wir haben eine verbesserte Version der Empfehlungsliste veröffentlicht, um mehr Informationen auf einen Blick zu präsentieren.
Auf der Seite sehen Sie nun Folgendes:
- Die maximale Bewertung und die aktuelle Bewertung für jede Sicherheitskontrolle
- Symbole ersetzen Tags wie Fix und Vorschau.
- Eine neue Spalte mit der Richtlinieninitiative im Zusammenhang mit jeder Empfehlung – sichtbar, wenn "Nach Steuerelementen gruppieren" deaktiviert ist.
Weitere Informationen finden Sie in Security-Empfehlungen in Azure Security Center.
Februar 2021
Updates im Februar:
- Neue Sicherheitswarnungen im Azure Portal veröffentlicht für allgemeine Verfügbarkeit (GA)
- Empfehlungen zum Schutz von Kubernetes-Workloads nun allgemein verfügbar
- Microsoft Defender for Endpoint Integration mit Azure Defender unterstützt jetzt Windows Server 2019 und Windows 10 auf Windows Virtual Desktop (in Vorschau)
- Direkter Link zur Richtlinie auf der Seite mit den Empfehlungsdetails
- Empfehlung zur SQL-Datenklassifizierung hat keine Auswirkung auf Ihre Sicherheitsbewertung mehr
- Workflowautomatisierungen können durch Änderungen an Bewertungen der Einhaltung gesetzlicher Bestimmungen ausgelöst werden (Vorschau)
- Erweiterungen für die Seite „Ressourcenbestand“
Seite "Neue Sicherheitswarnungen" im Azure Portal veröffentlicht für allgemeine Verfügbarkeit (GA)
Die Sicherheitswarnungsseite Azure Security Center wurde neu gestaltet, um Folgendes bereitzustellen:
- Eine verbesserte Selektierungsoberfläche für Warnungen: Die Liste enthält anpassbare Filter und Gruppierungsoptionen und trägt dadurch zur Reduzierung der „Warnungsmüdigkeit“ bei, sodass Sie sich einfacher auf die relevantesten Bedrohungen konzentrieren können.
- Weitere Informationen in der Warnungsliste, beispielsweise MITRE ATT&CK-Taktiken
- Button zum Erstellen von Beispielbenachrichtigungen – um Azure Defender Funktionen auszuwerten und Ihre Warnungen zu testen. Konfiguration (für SIEM-Integration, E-Mail-Benachrichtigungen und Workflowautomatisierungen) können Sie Beispielwarnungen aus allen Azure Defender Plänen erstellen.
- Alignment mit Azure Sentinel-Vorfallerfahrung – für Kunden, die beide Produkte verwenden, ist der Wechsel zwischen ihnen jetzt eine einfachere Erfahrung, und es ist einfach, von der anderen zu lernen.
- Bessere Leistung für große Warnungslisten.
- Tastaturnavigation durch die Warnungsliste.
- Alerts aus Azure Resource Graph – Sie können Warnungen in Azure Resource Graph abfragen, der Kusto-ähnlichen API für alle Ihre Ressourcen. Dies ist auch nützlich, wenn Sie eigene Warnungsdashboards erstellen. Erfahren Sie mehr über Azure Resource Graph.
- Herstellen des Beispielbenachrichtigungsfeatures – Informationen zum Erstellen von Beispielbenachrichtigungen aus der neuen Warnungsumgebung finden Sie unter Generate sample Azure Defender alerts.
Empfehlungen zum Schutz von Kubernetes-Workloads nun allgemein verfügbar
Wir freuen uns, ankündigen zu können, dass die Empfehlungen für den Schutz von Kubernetes-Workloads jetzt allgemein verfügbar sind.
Um sicherzustellen, dass Kubernetes-Workloads standardmäßig sicher sind, wurden über Security Center Härtungsempfehlungen auf Kubernetes-Ebene hinzugefügt, z. B. auch Erzwingungsoptionen mit Kubernetes-Zugangskontrolle.
Wenn Azure Policy für Kubernetes auf Ihrem Azure Kubernetes Service (AKS)-Cluster installiert ist, wird jede Anforderung an den Kubernetes-API-Server anhand der vordefinierten bewährten Methoden überwacht , die als 13 Sicherheitsempfehlungen angezeigt werden, bevor sie im Cluster beibehalten werden. Anschließend können Sie das Erzwingen der bewährten Methoden konfigurieren und auf zukünftige Workloads anwenden.
Beispielsweise können Sie vorschreiben, dass keine privilegierten Container erstellt werden sollen und dass zukünftige Anforderungen für diese Aktion blockiert werden sollen.
Weitere Informationen finden Sie unter Bewährte Methoden zum Schutz von Workloads mithilfe der Kubernetes-Zugangssteuerung.
Note
Während sich die Empfehlungen in der Vorschauphase befunden haben, haben diese nicht dazu geführt, dass eine AKS-Clusterressource als fehlerhaft gekennzeichnet wurde, und sind nicht in die Berechnung Ihrer Sicherheitsbewertung eingegangen. Mit dieser GA-Ankündigung werden diese in die Bewertungsberechnung einbezogen. Falls Sie sie noch nicht umgesetzt haben, kann sich dies geringfügig auf Ihre Sicherheitsbewertung auswirken. Beheben Sie sie nach Möglichkeit, wie in Empfehlungen in Azure Security Center beschrieben.
Microsoft Defender for Endpoint Integration mit Azure Defender unterstützt jetzt Windows Server 2019 und Windows 10 auf Windows Virtual Desktop (in der Vorschau)
Microsoft Defender for Endpoint ist eine ganzheitliche, in der Cloud bereitgestellte Endpunktsicherheitslösung. Sie ermöglicht die risikobasierte Verwaltung und Bewertung von Sicherheitsrisiken sowie Endpunkterkennung und -reaktion (Endpoint Detection and Response, EDR). Eine vollständige Liste der Vorteile der Verwendung von Defender für Endpunkt zusammen mit Azure Security Center finden Sie unter Schutz Ihrer Endpunkte mit der integrierten EDR-Lösung von Security Center: Microsoft Defender for Endpoint.
Wenn Sie Azure Defender für Server aktivieren, auf denen Windows Server ausgeführt wird, ist eine Lizenz für Defender für Endpunkt im Plan enthalten. Wenn Sie bereits Azure Defender für Server aktiviert haben und über Windows Server 2019 Server in Ihrem Abonnement verfügen, erhalten diese automatisch Defender für Endpunkt mit diesem Update. Es ist keine manuelle Aktion erforderlich.
Der Support wurde jetzt um Windows Server 2019 und Windows 10 auf Windows Virtual Desktop erweitert.
Note
Wenn Sie Defender für Endpunkt auf einem Windows Server 2019-Server aktivieren, stellen Sie sicher, dass sie die in Enable the Microsoft Defender for Endpoint integration beschriebenen Voraussetzungen erfüllt.
Direkter Link zur Richtlinie auf der Seite mit den Empfehlungsdetails
Wenn Sie die Details einer Empfehlung überprüfen, ist es häufig hilfreich, die zugrunde liegende Richtlinie zu kennen. Für jede Empfehlung, die von einer Richtlinie unterstützt wird, enthält die Seite mit den Empfehlungsdetails einen neuen Link:
Verwenden Sie diesen Link, um die Richtliniendefinition anzuzeigen und die Bewertungslogik zu überprüfen.
Empfehlung zur SQL-Datenklassifizierung hat keine Auswirkung auf Ihre Sicherheitsbewertung mehr
Die Empfehlung Sensible Daten in Ihren SQL-Datenbanken müssen klassifiziert werden hat keine Auswirkung auf Ihre Sicherheitsbewertung mehr. Die Sicherheitssteuerung wendet die Datenklassifizierung an, die sie enthält, verfügt jetzt über einen Sicherheitsbewertungswert von 0.
Eine vollständige Liste aller Sicherheitssteuerelemente sowie deren Bewertungen und eine Liste der Empfehlungen finden Sie unter "Sicherheitssteuerelemente" und deren Empfehlungen.
Workflowautomatisierungen können durch Änderungen an Bewertungen der Einhaltung gesetzlicher Bestimmungen ausgelöst werden (Vorschau)
Wir haben den Triggeroptionen für Ihre Workflowautomatisierungen jetzt einen dritten Datentyp hinzugefügt: Änderungen an Bewertungen zur Einhaltung gesetzlicher Bestimmungen.
Informieren Sie sich unter Automatisieren der Reaktionen auf Security Center-Trigger über die Nutzung der Tools für die Workflowautomatisierung.
Erweiterungen für die Seite „Ressourcenbestand“
Die Seite „Ressourcenbestand“ in Azure Security Center wurde wie folgt verbessert:
Zusammenfassungen oben auf der Seite enthalten jetzt "Nicht registrierte Abonnements", die die Anzahl der Abonnements ohne aktiviertes Security Center anzeigen.
Filter wurden erweitert und verbessert, um Folgendes einzuschließen:
Anzahl – Jeder Filter stellt die Anzahl der Ressourcen dar, die den Kriterien jeder Kategorie entsprechen.
Ausnahmenfilter (optional): Ermöglicht das Eingrenzen der Ergebnisse auf Ressourcen mit bzw. ohne Ausnahmen. Dieser Filter wird nicht standardmäßig angezeigt, aber über die Schaltfläche " Filter hinzufügen " kann darauf zugegriffen werden.
Weitere Informationen zum Erkunden und Verwalten Ihrer Ressourcen mithilfe des Ressourcenbestands und finden Sie hier.
Januar 2021
Die Updates im Januar umfassen Folgendes:
- Azure Security Benchmark ist jetzt die Standardrichtlinieninitiative für Azure Security Center
- Die Sicherheitsrisikobewertung für lokale Computer und Multi-Cloud-Computer ist jetzt allgemein verfügbar.
- Die Sicherheitsbewertung für Verwaltungsgruppen ist jetzt als Vorschau verfügbar.
- Die Sicherheitsbewertungs-API ist jetzt allgemein verfügbar.
- Dangling-DNS-Schutzfunktionen, die Azure Defender für App Service hinzugefügt wurden
- Multi-Cloud-Connectors sind jetzt allgemein verfügbar.
- Möglichkeit, bei Ihrer Sicherheitsbewertung für Abonnements und Verwaltungsgruppen ganze Empfehlungen auszunehmen
- Benutzer können beim globalen Administrator jetzt mandantenweite Sichtbarkeit anfordern.
- 35 Preview-Empfehlungen wurden hinzugefügt, um die Abdeckung von Azure Security Benchmark zu erhöhen
- CSV-Export der gefilterten Liste mit Empfehlungen
- "Nicht anwendbare" Ressourcen werden jetzt in Azure Policy Bewertungen als "konform" gemeldet
- Exportieren wöchentlicher Momentaufnahmen der Daten für die Sicherheitsbewertung und die Einhaltung gesetzlicher Bestimmungen per fortlaufendem Export (Vorschau)
Azure Security Benchmark ist jetzt die Standardrichtlinieninitiative für Azure Security Center
Azure Security Benchmark ist der Microsoft verfasste, Azure spezifische Richtliniensatz für bewährte Methoden für Sicherheit und Compliance basierend auf allgemeinen Compliance-Frameworks. Diese weit verbreitete Benchmark basiert auf den Kontrollen des Center for Internet Security (CIS) und des National Institute of Standards and Technology (NIST) und konzentriert sich auf cloudzentrierte Sicherheit.
In den letzten Monaten wurde die Liste der integrierten Sicherheitsempfehlungen von Security Center erheblich erweitert, um unsere Abdeckung dieser Benchmark auszudehnen.
Von dieser Version ist der Benchmark die Grundlage für die Empfehlungen des Security Centers und vollständig als Standardrichtlinieninitiative integriert.
Alle Azure Dienste verfügen in ihrer Dokumentation über eine Sicherheitsbasisplanseite. Diese Basispläne basieren auf Azure Security Benchmark.
Auf dem Security Center-Dashboard für die Einhaltung gesetzlicher Bestimmungen werden während eines Übergangszeitraums zwei Instanzen der Benchmark angezeigt:
Auf bereits vorhandene Empfehlungen hat dies keine Auswirkungen, und im Zuge des weiteren Ausbaus der Benchmark werden Änderungen automatisch in Security Center berücksichtigt.
Weitere Informationen finden Sie auf den folgenden Seiten:
- Learn Sie mehr über Azure Security Benchmark
- Anpassen der Standards in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen
Die Sicherheitsrisikobewertung für lokale Computer und Multi-Cloud-Computer ist jetzt allgemein verfügbar.
Im Oktober haben wir eine Vorschau für das Scannen Azure Arc-fähigen Servers mit Azure Defender für Server integrierten Scanner zur Sicherheitsrisikobewertung (unterstützt von Qualys) angekündigt.
Dieses Feature ist jetzt allgemein verfügbar.
Wenn Sie Azure Arc auf Ihren Nicht-Azure-Computern aktiviert haben, bietet Security Center die Bereitstellung des integrierten Sicherheitsrisikoscanners auf diesen Computern an – manuell und im großen Umfang.
Mit diesem Update können Sie die Leistungsfähigkeit von Azure Defender für Server aufheben, um Ihr Sicherheitsrisikoverwaltungsprogramm für alle Ihre Azure und nicht Azure Ressourcen zu konsolidieren.
Hauptfunktionen:
- Überwachen des Bereitstellungsstatus des VA-Scanners (Sicherheitsrisikobewertung) auf Azure Arc Computern
- Bereitstellen des integrierten VA-Agents für nicht geschützte Windows- und Linux-Azure Arc-Computer (manuell und im Großen)
- Empfangen und Analysieren ermittelter Sicherheitsrisiken von bereitgestellten Agents (manuell und skalierbar)
- Einheitliche Benutzeroberfläche für Azure VMs und Azure Arc Computer
Weitere Informationen zu Azure Arc-fähigen Servern.
Die Sicherheitsbewertung für Verwaltungsgruppen ist jetzt als Vorschau verfügbar.
Zusätzlich zur Abonnementebene werden auf der Seite „Sicherheitsbewertung“ nun auch die aggregierten Sicherheitsbewertungen für Ihre Verwaltungsgruppen angezeigt. Nun können Sie sich also die Liste der Verwaltungsgruppen in Ihrer Organisation sowie die Bewertung für die jeweilige Verwaltungsgruppe ansehen.
Erfahren Sie mehr über secure score and security controls in Azure Security Center.
Die Sicherheitsbewertungs-API ist jetzt allgemein verfügbar.
Sie können jetzt über die Sicherheitsbewertungs-API auf Ihre Bewertung zugreifen. Die API-Methoden bieten die Flexibilität, die Daten abzufragen und im Laufe der Zeit einen eigenen Berichtsmechanismus für Ihre Sicherheitsbewertungen zu erstellen. Beispiel:
- Verwenden der API für sichere Bewertungen zum Abrufen der Bewertung für ein bestimmtes Abonnement
- Verwenden Sie die API für Sicherheitsbewertungs-Steuerelemente, um die Sicherheitssteuerelemente und die aktuelle Bewertung Ihrer Abonnements aufzulisten.
Erfahren Sie mehr über externe Tools, die mit der Secure Score-API in the secure score area of our GitHub community ermöglicht wurden.
Erfahren Sie mehr über secure score and security controls in Azure Security Center.
Zu Azure Defender für App Service hinzugefügte Dangling-DNS-Schutzfunktionen
Unterdomänenübernahmen sind eine weit verbreitete Bedrohung mit hohem Schweregrad für Organisationen. Eine Unterdomänenübernahme ist möglich, wenn Sie über einen DNS-Eintrag verfügen, der auf Website verweist, deren Bereitstellung aufgehoben wurde. Solche DNS-Einträge werden auch als „verwaiste DNS“-Einträge bezeichnet. CNAME-Einträge sind besonders anfällig für diese Bedrohung.
Unterdomänenübernahmen ermöglichen Bedrohungsakteuren das Umleiten von Datenverkehr, der für die Domäne einer Organisation vorgesehen ist, auf eine Website, die schädliche Aktivitäten ausführt.
Azure Defender für App Service erkennt jetzt dns-Einträge, wenn eine App Service-Website außer Betrieb genommen wird. Zu diesem Zeitpunkt verweist der DNS-Eintrag auf eine Ressource, die nicht vorhanden ist, und Ihre Website ist für eine Unterdomänenübernahme anfällig. Diese Schutzmaßnahmen sind verfügbar, unabhängig davon, ob Ihre Domänen mit Azure DNS oder einer externen Domänenregistrierungsstelle verwaltet werden und sowohl für App Service für Windows als auch für App Service für Linux gelten.
Weitere Informationen:
- App Service-Warnungsreferenztabelle – Enthält zwei neue Azure Defender Warnungen, die ausgelöst werden, wenn ein dangling DNS-Eintrag erkannt wird
- Verhindern verwaister DNS-Einträge und Vermeiden von Unterdomänenübernahmen: Hier finden Sie Informationen zur Gefahr von Unterdomänenübernahmen sowie zu verwaisten DNS-Einträgen.
- Introduction to Azure Defender for App Service
Multi-Cloud-Connectors sind jetzt allgemein verfügbar.
Cloudworkloads umfassen in der Regel mehrere Cloudplattformen, daher muss das auch für Cloudsicherheitsdienste gelten.
Azure Security Center schützt Workloads in Azure, Amazon Web Services (AWS) und Google Cloud Platform (GCP).
Wenn Sie Ihre AWS- oder GCP-Projekte verbinden, werden ihre systemeigenen Sicherheitstools wie AWS Security Hub und GCP Security Command Center in Azure Security Center integriert.
Das bedeutet, dass Security Center Transparenz und Schutz für alle gängigen Cloudumgebungen bereitstellt. Diese Integration hat unter anderem folgende Vorteile:
- Automatische Agentbereitstellung – Security Center verwendet Azure Arc, um den Log Analytics Agent für Ihre AWS-Instanzen bereitzustellen.
- Richtlinienverwaltung
- Schwachstellenmanagement
- Integrierte Endpunkterkennung und -antwort (Endpoint Detection and Response, EDR)
- Erkennung von Sicherheitsfehlkonfigurationen
- Eine zentrale Ansicht mit Sicherheitsempfehlungen von allen Cloudanbietern
- Einbindung all Ihrer Ressourcen in die Berechnung von Sicherheitsbewertungen durch Security Center
- Bewertung der Einhaltung gesetzlicher Bestimmungen für Ihre AWS- und GPC-Ressourcen
Wählen Sie im Menü Defender for Cloud Multicloud-Connectors aus, und Sie sehen die Optionen zum Erstellen neuer Connectors:
Weitere Informationen finden Sie hier:
- Verbinden Sie Ihre AWS-Konten mit Azure Security Center
- Connect your GCP projects to Azure Security Center
Möglichkeit, bei Ihrer Sicherheitsbewertung für Abonnements und Verwaltungsgruppen ganze Empfehlungen auszunehmen
Wir erweitern die Ausnahmenfunktion um die Möglichkeit, vollständige Empfehlungen einzuschließen. Dazu stellen wir weitere Optionen für die Feinabstimmung der Sicherheitsempfehlungen zur Verfügung, die Security Center für Ihre Abonnements, Verwaltungsgruppe oder Ressourcen bereitstellt.
Gelegentlich kann es vorkommen, dass eine Ressource als fehlerhaft aufgeführt wird, obwohl Sie wissen, dass das Problem durch ein Drittanbietertool behoben und dies von Security Center nicht erkannt wurde. Auch kann es bisweilen passieren, dass eine Empfehlung in einem Bereich angezeigt wird, zu dem sie Ihrer Meinung nach nicht gehört. Möglicherweise ist die Empfehlung für ein bestimmtes Abonnement nicht geeignet. Oder vielleicht hat Ihr Unternehmen auch die Entscheidung getroffen, die Risiken im Zusammenhang mit der jeweiligen Ressource oder Empfehlung zu akzeptieren.
Mit dieser Previewfunktion können Sie jetzt eine Ausnahme für eine Empfehlung erstellen. Dabei haben Sie folgende Möglichkeiten:
Sie können eine Ressource ausnehmen, um sicherzustellen, dass sie in Zukunft nicht mehr als fehlerhafte Ressourcen aufgeführt wird und keine Auswirkung auf Ihre Sicherheitsbewertung hat. Die Ressource wird als nicht anwendbar aufgeführt, und als Grund wird „Ausgenommen“ mit der spezifischen, von Ihnen ausgewählten Begründung angezeigt.
Sie können ein Abonnement oder eine Verwaltungsgruppe ausnehmen, um sicherzustellen, dass die Empfehlung keine Auswirkung auf Ihre Sicherheitsbewertung hat und in Zukunft nicht mehr für das Abonnement oder die Verwaltungsgruppe angezeigt wird. Das gilt sowohl für bereits vorhandene Ressourcen als auch für alle zukünftig erstellten Ressourcen. Die Empfehlung wird mit der spezifischen Begründung gekennzeichnet, die Sie für den ausgewählten Bereich auswählen.
Weitere Informationen finden Sie unter Ausschließen einer Ressource aus Empfehlungen und der Sicherheitsbewertung.
Benutzer können beim globalen Administrator jetzt mandantenweite Sichtbarkeit anfordern.
Wenn ein Benutzer nicht über Berechtigungen zum Anzeigen von Security Center-Daten verfügt, wird ihm jetzt ein Link angezeigt, über den er Berechtigungen vom globalen Administrator der Organisation anfordern kann. Die Anforderung enthält die gewünschte Rolle sowie eine Begründung, warum die Rolle erforderlich ist.
Weitere Informationen finden Sie unter Anfordern mandantenweiter Berechtigungen, wenn die eigenen Berechtigungen nicht ausreichen.
35 Vorschauempfehlungen, die hinzugefügt wurden, um die Abdeckung von Azure Security Benchmark zu erhöhen
Azure Security Benchmark ist die Standardrichtlinieninitiative in Azure Security Center.
Die folgenden 35 Vorschauempfehlungen wurden zu Security Center hinzugefügt, um die Abdeckung dieser Benchmark zu erhöhen.
Tip
Empfehlungen der Vorschau versetzen keine Ressourcen in einen fehlerhaften Zustand, und sie werden nicht in die Berechnungen Ihrer Sicherheitsbewertung einbezogen. Setzen Sie sie trotzdem um, wann immer möglich, damit sie nach Ablauf des Vorschauzeitraums zu Ihrer Bewertung beitragen. Erfahren Sie mehr darüber, wie Sie auf diese Empfehlungen in Remediate Empfehlungen in Azure Security Center reagieren.
| Sicherheitskontrolle | Neue Empfehlungen |
|---|---|
| Aktivieren der Verschlüsselung ruhender Daten | - Azure Cosmos DB Konten sollten vom Kunden verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln. - Azure Machine Learning Arbeitsbereiche sollten mit einem vom Kunden verwalteten Schlüssel (CMK) verschlüsselt werden. - BYOK-Datenschutz (Bring Your Own Key) sollte für MySQL-Server aktiviert sein. - BYOK-Datenschutz (Bring Your Own Key) sollte für PostgreSQL-Server aktiviert sein. - Azure KI Services Konten sollten die Datenverschlüsselung mit einem vom Kunden verwalteten Schlüssel (CMK) aktivieren. - Containerregistrierungen sollten mit einem kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) verschlüsselt werden. - Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. - Computer mit SQL Server sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. - Speicherkonten sollten einen kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) zur Verschlüsselung verwenden. |
| Bewährte Sicherheitsmethoden implementieren | - In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. – Die automatische Bereitstellung des Log Analytics-Agents sollte für Ihr Abonnement aktiviert sein. - E-Mail-Benachrichtigungen bei Warnungen mit hohem Schweregrad sollten aktiviert sein. - Das Senden von E-Mail-Benachrichtigungen an den Abonnementbesitzers bei Warnungen mit hohem Schweregrad sollte aktiviert sein. - Für Schlüsseltresore sollte der Löschschutz aktiviert sein. - Für Schlüsseltresore sollte vorläufiges Löschen aktiviert sein. |
| Zugriff und Berechtigungen verwalten | - Für Funktions-Apps sollte „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert sein. |
| Anwendungen vor DDoS-Angriffen schützen | - Web Application Firewall (WAF) sollte für das Anwendungsgateway aktiviert sein - Web Application Firewall (WAF) sollte für Azure Front Door Service Dienst aktiviert sein |
| Nicht autorisierten Netzwerkzugriff einschränken | - Firewall sollte auf Key Vault aktiviert sein – Privater Endpunkt sollte für Key Vault konfiguriert werden - App Configuration sollte eine private Verbindung verwenden. - Azure Cache for Redis sollte sich in einem virtuellen Netzwerk befinden - Azure Event Grid Domänen sollten einen privaten Link verwenden - Azure Event Grid Themen sollten einen privaten Link verwenden - Azure Machine Learning Arbeitsbereiche sollten einen privaten Link verwenden - Azure SignalR Service sollte einen privaten Link verwenden - Azure Spring Cloud sollte die Netzwerkeinfügung verwenden - Containerregistrierungen sollten keinen uneingeschränkten Netzwerkzugriff zulassen. - Containerregistrierungen sollten eine private Verbindung verwenden. - Öffentlicher Netzwerkzugriff sollte für MariaDB-Server deaktiviert sein. - Öffentlicher Netzwerkzugriff sollte für MySQL-Server deaktiviert sein. - Öffentlicher Netzwerkzugriff sollte für PostgreSQL-Server deaktiviert sein. - Das Speicherkonto sollte eine Private Link-Verbindung verwenden. - Speicherkonten sollten den Netzwerkzugriff mithilfe von VNET-Regeln einschränken. - VM Image Builder-Vorlagen sollten eine private Verbindung verwenden. |
Verwandte Links:
- Learn Sie mehr über Azure Security Benchmark
- Learn Sie mehr über Azure Database for MariaDB
- Erfahren Sie mehr über Azure Database for MySQL
- Learn Sie mehr über Azure Database for PostgreSQL
CSV-Export der gefilterten Liste mit Empfehlungen
Im November 2020 haben wir der Seite "Empfehlungen" Filter hinzugefügt.
Mit dieser Ankündigung wird das Verhalten der Schaltfläche für den Download als CSV so geändert, dass der CSV-Export nur die Empfehlungen enthält, die derzeit in der gefilterten Liste angezeigt werden.
Im folgenden Screenshot wurde die Liste beispielsweise nach zwei Empfehlungen gefiltert. Die generierte CSV-Datei enthält die Statusdetails für jede Ressource, auf die sich diese beiden Empfehlungen auswirken.
Weitere Informationen finden Sie in Security-Empfehlungen in Azure Security Center.
"Nicht zutreffende" Ressourcen, die jetzt in Azure Policy Bewertungen als "konform" gemeldet wurden
Zuvor wurden Ressourcen, die für eine Empfehlung ausgewertet wurden, not applicable in Azure Policy als "Nicht konform" angezeigt. Ihr Zustand kann durch keine Benutzeraktion in „Konform“ geändert werden. Mit dieser Änderung werden sie zur besseren Verständlichkeit als „Konform“ gemeldet.
Die einzige Auswirkung wird in Azure Policy gesehen, in der die Anzahl der konformen Ressourcen erhöht wird. Es gibt keine Auswirkungen auf Ihre Sicherheitsbewertung in Azure Security Center.
Exportieren wöchentlicher Momentaufnahmen der Daten für die Sicherheitsbewertung und die Einhaltung gesetzlicher Bestimmungen per fortlaufendem Export (Vorschau)
Wir haben den fortlaufenden Exporttools ein neues Vorschaufeature hinzugefügt, um wöchentliche Momentaufnahmen von Sicherheitsbewertungs- und Compliancedaten zu exportieren.
Legen Sie beim Definieren eines Vorgangs für den fortlaufenden Export die Exporthäufigkeit fest:
- Streaming – Bewertungen werden gesendet, wenn der Integritätsstatus einer Ressource aktualisiert wird (wenn keine Aktualisierungen auftreten, werden keine Daten gesendet).
- Momentaufnahmen – eine Momentaufnahme des aktuellen Status aller behördlichen Compliancebewertungen wird jede Woche gesendet (dies ist ein Vorschaufeature für wöchentliche Momentaufnahmen sicherer Bewertungen und gesetzlicher Compliancedaten).
Erfahren Sie mehr zu allen Funktionen dieses Features unter Fortlaufendes Exportieren von Security Center-Daten.
Dezember 2020
Zu den Updates im Dezember gehören:
- Azure Defender für SQL-Server auf Computern ist allgemein verfügbar
- Azure Defender für die SQL-Unterstützung für Azure Synapse Analytics dedizierten SQL-Pool ist allgemein verfügbar
- Globale Administratoren können sich jetzt selbst Berechtigungen auf Mandantenebene erteilen.
- Two neue Azure Defender-Pläne: Azure Defender für DNS und Azure Defender für Resource Manager (in Vorschau)
- Neue Sicherheitswarnungen im Azure Portal (Vorschau)
Revitalisierte Security Center-Erfahrung in Azure SQL-Datenbank & SQL Managed Instance - Aktualisierung von Tools und Filtern des Ressourcenbestands
- Empfehlung zu Web-Apps, die SSL-Zertifikate anfordern, ist nicht mehr Teil der Sicherheitsbewertung
- Empfehlungsseite enthält neue Filter für Umgebung, Schweregrad und verfügbare Antworten
- Neue Datentypen und verbesserte deployifnotexist-Richtlinien für fortlaufenden Export
Azure Defender für SQL-Server auf Computern ist allgemein verfügbar.
Azure Security Center bietet zwei Azure Defender Pläne für SQL Server:
- Azure Defender für Azure SQL Datenbankserver – schützt Ihre Azure-nativen SQL Server
- Azure Defender für SQL-Server auf Computern – erweitert die gleichen Schutzmaßnahmen auf Ihre SQL-Server in Hybrid-, Multicloud- und lokalen Umgebungen.
Mit dieser Ankündigung schützt Azure Defender für SQL ihre Datenbanken und ihre Daten jetzt überall dort, wo sie sich befinden.
Azure Defender für SQL umfasst Funktionen zur Sicherheitsrisikobewertung. Das Tool zur Sicherheitsrisikobewertung umfasst die folgenden erweiterten Funktionen:
- Basisplankonfiguration (Neu!) zum intelligenten Verfeinern der Ergebnisse von Sicherheitsrisikenüberprüfungen an diejenigen, die echte Sicherheitsprobleme darstellen könnten. Nach dem Festlegen des Baseline-Sicherheitsstatus meldet die das Tool zur Sicherheitsrisikobewertung nur noch Abweichungen von diesem Baselinestatus. Wenn Ergebnisse in nachfolgenden Überprüfungen mit der Baseline übereinstimmen, wird dies als Bestehen gewertet. Auf diese Weise können Sie und ihre Analysten Ihre Aufmerksamkeit darauf konzentrieren, wo sie gefordert ist.
- Ausführliche Informationen, die Ihnen helfen, die erkannten Ergebnisse und deren Zusammenhang mit ihren Ressourcen zu verstehen.
- Korrekturskripts , die Ihnen helfen, identifizierte Risiken zu mindern.
Erfahren Sie mehr über Azure Defender für SQL.
Azure Defender für die SQL-Unterstützung für Azure Synapse Analytics dedizierten SQL-Pool ist allgemein verfügbar.
Azure Synapse Analytics (früher SQL DW) ist ein Analysedienst, der Enterprise Data Warehouse und Big Data Analytics kombiniert. Dedizierte SQL-Pools sind die Enterprise Data Warehouse-Features von Azure Synapse. Weitere Informationen finden Sie in What is Azure Synapse Analytics (früher SQL DW)?.
Azure Defender für SQL schützt Ihre dedizierten SQL-Pools mit:
- Erweiterter Schutz vor Bedrohungen zur Erkennung von Bedrohungen und Angriffen
- Funktionen zur Sicherheitsrisikobewertung zum Identifizieren und Beheben von Sicherheitsfehlkonfigurationen
Azure Defender für die Unterstützung von SQL für Azure Synapse Analytics SQL-Pools wird automatisch Azure SQL Datenbankbundle in Azure Security Center hinzugefügt. Es gibt eine neue Azure Defender für SQL Registerkarte auf der Seite "Synapse-Arbeitsbereich" im Azure-Portal.
Erfahren Sie mehr über Azure Defender für SQL.
Globale Administratoren können sich jetzt selbst Berechtigungen auf Mandantenebene erteilen.
Ein Benutzer mit der rolle Microsoft Entra ID von Global Administrator hat möglicherweise mandantenweite Zuständigkeiten, verfügt jedoch nicht über die Azure Berechtigungen zum Anzeigen dieser organisationsweiten Informationen in Azure Security Center.
Unter Erteilen mandantenweiter Berechtigungen für sich selbst erfahren Sie, wie Sie sich selbst Berechtigungen auf Mandantenebene erteilen.
Zwei neue Azure Defender-Pläne: Azure Defender für DNS und Azure Defender für Resource Manager (in der Vorschau)
Wir haben für Ihre Azure-Umgebung zwei neue Cloud-native Funktionen zum Schutz vor Bedrohungen hinzugefügt.
Diese neuen Schutzmaßnahmen verbessern ihre Resilienz gegenüber Angriffen von Bedrohungsakteuren erheblich und erhöhen die Anzahl der Azure Ressourcen, die durch Azure Defender geschützt sind.
Azure Defender für Resource Manager – überwacht automatisch alle in Ihrer Organisation ausgeführten Ressourcenverwaltungsvorgänge. Weitere Informationen finden Sie unter
- Introduction to Azure Defender for Resource Manager
- Zu Azure Defender für Resource Manager Warnungen
Liste der von Azure Defender für Resource Manager
Azure Defender für DNS – überwacht kontinuierlich alle DNS-Abfragen aus Ihren Azure-Ressourcen. Weitere Informationen finden Sie unter
Seite "Neue Sicherheitswarnungen" im Azure-Portal (Vorschau)
Die Sicherheitswarnungsseite Azure Security Center wurde neu gestaltet, um Folgendes bereitzustellen:
- Eine verbesserte Selektierungsoberfläche für Warnungen: Die Liste enthält anpassbare Filter und Gruppierungsoptionen und trägt dadurch zur Reduzierung der „Warnungsmüdigkeit“ bei, sodass Sie sich einfacher auf die relevantesten Bedrohungen konzentrieren können.
- Weitere Informationen in der Warnungsliste, beispielsweise MITRE ATT&CK-Taktiken
- Button zum Erstellen von Beispielbenachrichtigungen – um Azure Defender Funktionen auszuwerten und Ihre Warnungskonfiguration zu testen (für SIEM-Integration, E-Mail-Benachrichtigungen und Workflowautomatisierungen), können Sie Beispielwarnungen aus allen Azure Defender Plänen erstellen.
- Alignment mit Azure Sentinel-Vorfallerfahrung – Für Kunden, die beide Produkte verwenden, ist der Wechsel zwischen ihnen jetzt eine einfachere Erfahrung, und es ist einfach, eine von der anderen zu lernen.
- Bessere Leistung für große Warnungslisten
- Tastaturnavigation durch die Warnungsliste
- Alerts aus Azure Resource Graph – Sie können Warnungen in Azure Resource Graph abfragen, der Kusto-ähnlichen API für alle Ihre Ressourcen. Dies ist auch nützlich, wenn Sie eigene Warnungsdashboards erstellen. Erfahren Sie mehr über Azure Resource Graph.
Um auf die neue Oberfläche zuzugreifen, verwenden Sie oben auf der Seite „Sicherheitswarnungen“ den Link „Jetzt ausprobieren“ im Banner.
Informationen zum Erstellen von Beispielbenachrichtigungen aus der neuen Warnungsumgebung finden Sie unter Generate sample Azure Defender alerts.
Neubelebte Sicherheitscenter-Erfahrung in Azure SQL-Datenbank & SQL Managed Instance
Die Security Center-Oberfläche in SQL bietet Zugriff auf das folgende Security Center und Azure Defender für SQL-Features:
- Security-Empfehlungen – Security Center analysiert regelmäßig den Sicherheitsstatus aller verbundenen Azure Ressourcen, um potenzielle Sicherheitsfehler zu identifizieren. Anschließend werden Empfehlungen zur Behebung dieser Sicherheitsrisiken und zur Verbesserung des Sicherheitsstatus der Organisation bereitgestellt.
- Security alerts – ein Erkennungsdienst, der kontinuierlich Azure SQL Aktivitäten auf Bedrohungen wie SQL-Einfügung, Brute-Force-Angriffe und Berechtigungsmissbrauch überwacht. Dieser Dienst löst detaillierte und aktionsorientierte Sicherheitswarnungen im Security Center aus und bietet Optionen für fortlaufende Untersuchungen mit Microsoft Sentinel, Microsoft Azure native SIEM-Lösung.
- Findings – ein Sicherheitsrisikobewertungsdienst, der kontinuierlich Azure SQL Konfigurationen überwacht und dabei hilft, Sicherheitsrisiken zu beheben. Bewertungsscans bieten eine Übersicht über Azure SQL Sicherheitszustände zusammen mit detaillierten Sicherheitsergebnissen.
Aktualisierung von Tools und Filtern des Ressourcenbestands
Die Bestandsseite in Azure Security Center wurde mit den folgenden Änderungen aktualisiert:
Der Symbolleiste wurde eine Option für Anleitungen und Feedback hinzugefügt. Ein Bereich mit Links zu verwandten Informationen und Tools wurde hinzugefügt.
Der Abonnementfilter wurde den Standardfiltern hinzugefügt, die für Ihre Ressourcen verfügbar sind.
Open-Abfrage Link zum Öffnen der aktuellen Filteroptionen als Azure Resource Graph Abfrage (früher als "Ansicht im Ressourcendiagramm-Explorer" bezeichnet).
Operatoroptionen für jeden Filter. Sie können jetzt auch andere logische Operatoren als „=“ auswählen. Beispielsweise können Sie nach allen Ressourcen mit aktiven Empfehlungen suchen, deren Titel die Zeichenfolge „encrypt“ enthält.
Weitere Informationen zum Bestand finden Sie unter Untersuchen und Verwalten Ihrer Ressourcen mit dem Ressourcenbestand und Verwaltungstools.
Empfehlung zu Web-Apps, die SSL-Zertifikate anfordern, ist nicht mehr Teil der Sicherheitsbewertung
Die Empfehlung „Web-Apps sollten für alle eingehenden Anforderungen ein SSL-Zertifikat anfordern“ wurde von der Sicherheitskontrolle Zugriff und Berechtigungen verwalten (mit einem Wert von maximal 4 Punkten) in Best Practices für die Sicherheit implementieren (mit einem Wert von 0 Punkten) verschoben.
Wenn sichergestellt wird, dass eine Web-App ein Zertifikat anfordert, erhöht dies auf jeden Fall die Sicherheit. Für öffentliche Web-Apps ist dies aber irrelevant. Wenn Sie über HTTP und nicht HTTPS auf Ihre Website zugreifen, erhalten Sie kein Clientzertifikat. Wenn Ihre Anwendung also Clientzertifikate erfordert, sollten Sie keine Anforderungen an Ihre Anwendung über HTTP zulassen. Weitere Informationen finden Sie unter Configure TLS mutual authentication for Azure App Service.
Mit dieser Änderung ist die Empfehlung jetzt eine empfohlene bewährte Methode, die keine Auswirkung auf die Bewertung hat.
Informationen dazu, welche Empfehlungen in den einzelnen Sicherheitssteuerungen enthalten sind, finden Sie unter Sicherheitskontrollen und deren Empfehlungen.
Empfehlungsseite enthält neue Filter für Umgebung, Schweregrad und verfügbare Antworten
Azure Security Center überwacht alle verbundenen Ressourcen und generiert Sicherheitsempfehlungen. Verwenden Sie diese Empfehlungen, um den Sicherheitsstatus Ihrer Hybrid Cloud zu verbessern und die Konformität mit den relevanten Richtlinien und Standards für Ihre Organisation, Ihre Branche und Ihr Land bzw. Region nachzuverfolgen.
Während die Abdeckung und die Features von Security Center erweitert werden, werden der Liste mit den Sicherheitsempfehlungen jeden Monat neue Einträge hinzugefügt. Siehe z. B. Twenty neun Vorschauempfehlungen, die hinzugefügt wurden, um die Abdeckung von Azure Security Benchmark zu erhöhen.
Da der Liste ständig neue Einträge hinzugefügt werden, ist es erforderlich, dass sie nach den für Sie interessanten Empfehlungen gefiltert werden kann. Im November haben wir der Seite mit den Empfehlungen Filter hinzugefügt (siehe Die Empfehlungsliste beinhaltet nun Filter).
Die in diesem Monat hinzugefügten Filter verfügen über Optionen, mit denen Sie den Umfang der Liste mit den Empfehlungen wie folgt eingrenzen können:
Environment – Anzeigen von Empfehlungen für Ihre AWS-, GCP- oder Azure-Ressourcen (oder eine beliebige Kombination)
Schweregrad – Anzeigen von Empfehlungen gemäß der vom Security Center festgelegten Schweregradklassifizierung
Antwortaktionen – Anzeigen von Empfehlungen entsprechend der Verfügbarkeit von Antwortoptionen im Security Center: Fix, Verweigern und Erzwingen
Tip
Der Filter für Antwortaktionen ersetzt den Filter vom Typ Schnelle Problembehebung verfügbar (Ja/Nein) .
Informieren Sie sich weiter über diese Antwortoptionen:
Neue Datentypen und verbesserte deployifnotexist-Richtlinien für fortlaufenden Export
Mit den kontinuierlichen Exporttools von Azure Security Center können Sie die Empfehlungen und Warnungen des Security Centers für die Verwendung mit anderen Überwachungstools in Ihrer Umgebung exportieren.
Mit dem fortlaufenden Export können Sie umfassend anpassen, was exportiert wird und wohin. Ausführliche Informationen finden Sie unter Fortlaufendes Exportieren von Security Center-Daten.
Diese Tools wurden wie folgt verbessert und erweitert:
Verbesserung der deployifnotexist-Richtlinien für den fortlaufenden Export: Mit den Richtlinien wird nun Folgendes durchgeführt:
Überprüfen, ob die Konfiguration aktiviert ist: Wenn nicht, wird die Richtlinie als nicht konform angezeigt und eine konforme Ressource erstellt. Erfahren Sie mehr über die bereitgestellten Azure Policy-Vorlagen auf der Registerkarte "Bereitstellen mit Azure Policy Registerkarte" in Setup für einen kontinuierlichen Export.
Unterstützen des Exports von Sicherheitsergebnissen: Wenn Sie die Azure Policy-Vorlagen verwenden, können Sie ihren kontinuierlichen Export so konfigurieren, dass er Ergebnisse enthält. Dies ist beim Exportieren von Empfehlungen relevant, die über untergeordnete Empfehlungen verfügen. Beispiele hierfür sind Ergebnisse aus Sicherheitsrisikobewertungen oder spezifische Systemupdates für die übergeordnete Empfehlung „Systemupdates sollten auf Ihren Computern installiert sein“.
Unterstützen des Exports der Daten von Sicherheitsbewertungen
Daten zur Bewertung der Einhaltung gesetzlicher Bestimmungen hinzugefügt (Vorschauphase): Sie können jetzt kontinuierlich Updates für behördliche Compliancebewertungen exportieren, einschließlich aller benutzerdefinierten Initiativen, in einen Log Analytics Arbeitsbereich oder Event Hubs. Diese Funktion ist in nationalen Clouds nicht verfügbar.
November 2020
Updates im November:
- 29 Preview-Empfehlungen wurden hinzugefügt, um die Abdeckung von Azure Security Benchmark zu erhöhen
- NIST SP 800 171 R2 in das Security Center-Dashboard für die Einhaltung gesetzlicher Bestimmungen aufgenommen
- Die Empfehlungsliste beinhaltet nun Filter.
- Die Oberfläche für die automatische Bereitstellung wurde verbessert und erweitert.
- Die Sicherheitsbewertung ist jetzt im fortlaufenden Export (Vorschauversion) verfügbar.
- Die Empfehlung „Auf Ihren Computern sollten Systemupdates installiert werden“ enthält jetzt Unterempfehlungen.
- Policy-Verwaltungsseite im Azure Portal zeigt jetzt den Status der Standardrichtlinienzuweisungen an
29 Vorschauempfehlungen, die hinzugefügt wurden, um die Abdeckung von Azure Security Benchmark zu erhöhen
Azure Security Benchmark ist der Microsoft verfasste, Azure spezifische Richtlinien für bewährte Methoden für Sicherheit und Compliance basierend auf allgemeinen Compliance-Frameworks. Erfahren Sie mehr über Azure Security Benchmark.
Die folgenden 29 Vorschauempfehlungen wurden zu Security Center hinzugefügt, um die Abdeckung dieses Vergleichstests zu erhöhen.
Empfehlungen der Vorschau versetzen keine Ressourcen in einen fehlerhaften Zustand, und sie werden nicht in die Berechnungen Ihrer Sicherheitsbewertung einbezogen. Setzen Sie sie trotzdem um, wann immer möglich, damit sie nach Ablauf des Vorschauzeitraums zu Ihrer Bewertung beitragen. Erfahren Sie mehr darüber, wie Sie auf diese Empfehlungen in Remediate Empfehlungen in Azure Security Center reagieren.
| Sicherheitskontrolle | Neue Empfehlungen |
|---|---|
| Verschlüsseln von Daten während der Übertragung | – Erzwingen einer SSL-Verbindung sollte für PostgreSQL-Datenbankserver aktiviert sein – Erzwingen einer SSL-Verbindung sollte für MySQL-Datenbankserver aktiviert sein – TLS sollte für Ihre API-App auf die aktuelle Version aktualisiert werden – TLS sollte für Ihre Funktions-App auf die aktuelle Version aktualisiert werden – TLS sollte für Ihre Web-App auf die aktuelle Version aktualisiert werden – FTPS sollte in API-App erforderlich sein – FTPS sollte in Funktions-App erforderlich sein – FTPS sollte in Web-App erforderlich sein |
| Zugriff und Berechtigungen verwalten | – Web-Apps sollten ein SSL-Zertifikat für alle eingehenden Anforderungen anfordern – API-App sollte verwaltete Identität verwenden – Funktions-App sollte verwaltete Identität verwenden – Web-App sollte verwaltete Identität verwenden |
| Nicht autorisierten Netzwerkzugriff einschränken | – Privater Endpunkt sollte für PostgreSQL-Server aktiviert sein – Privater Endpunkt sollte für MariaDB-Server aktiviert sein – Privater Endpunkt sollte für MySQL-Server aktiviert sein |
| Überwachung und Protokollierung aktivieren | - In App Services müssen Diagnoseprotokolle aktiviert sein |
| Bewährte Sicherheitsmethoden implementieren | - Azure Backup sollte für virtuelle Computer aktiviert sein – Geo-redundante Sicherung sollte für Azure Database for MariaDB aktiviert sein – Geo-redundante Sicherung sollte für Azure Database for MySQL aktiviert sein – Geo-redundante Sicherung sollte für Azure Database for PostgreSQL aktiviert sein – PHP sollte für Ihre API-App auf die aktuelle Version aktualisiert werden – PHP sollte für Ihre Web-App auf die aktuelle Version aktualisiert werden – Java sollte auf die neueste Version für Ihre API-App aktualisiert werden. – Java sollte auf die neueste Version für Ihre Funktions-App aktualisiert werden. – Java sollte auf die neueste Version für Ihre Web-App aktualisiert werden. – Python sollte auf die neueste Version für Ihre API-App aktualisiert werden. – Python sollte auf die neueste Version für Ihre Funktions-App aktualisiert werden. – Python sollte auf die neueste Version für Ihre Web-App aktualisiert werden. – Die Aufbewahrung der Überprüfung für SQL-Server sollte auf mindestens 90 Tage festgelegt sein |
Verwandte Links:
- Learn Sie mehr über Azure Security Benchmark
- Erfahren Sie mehr über Azure API-Apps
- Weitere Informationen zu Azure Funktions-Apps
- Erfahren Sie mehr über Azure Web-Apps
- Learn Sie mehr über Azure Database for MariaDB
- Erfahren Sie mehr über Azure Database for MySQL
- Learn Sie mehr über Azure Database for PostgreSQL
NIST SP 800 171 R2 in das Security Center-Dashboard für die Einhaltung gesetzlicher Bestimmungen aufgenommen
Der NIST SP 800-171 R2-Standard ist jetzt als integrierte Initiative zur Verwendung mit dem Compliance-Dashboard von Azure Security Center verfügbar. Die Zuordnungen für die Steuerelemente werden in Details zur integrierten Initiative zur Einhaltung der gesetzlichen Bestimmungen gemäß NIST SP 800-171 R2 beschrieben.
Um den Standard auf Ihre Abonnements anzuwenden und Ihren Compliancestatus kontinuierlich zu überwachen, verwenden Sie die Anweisungen unter Anpassen der Standards in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen.
Weitere Informationen zu diesem Compliancestandard finden Sie unter NIST SP 800-171 R2.
Die Empfehlungsliste beinhaltet nun Filter.
Sie können die Liste der Sicherheitsempfehlungen nun nach verschiedenen Kriterien filtern. Im folgenden Beispiel ist die Empfehlungsliste zur Anzeige von Empfehlungen gefiltert, für die Folgendes gilt:
- allgemein verfügbar (d. a. keine Vorschau)
- sind für Speicherkonten vorgesehen
- Support für schnelle Korrekturen
Die Oberfläche für die automatische Bereitstellung wurde verbessert und erweitert.
Das Feature für die automatische Bereitstellung trägt dazu bei, den Verwaltungsaufwand zu reduzieren, indem die erforderlichen Erweiterungen auf neuen – und vorhandenen – Azure VMs installiert werden, damit sie von den Schutzmechanismen des Security Centers profitieren können.
Da Azure Security Center wächst, wurden weitere Erweiterungen entwickelt, und Das Security Center kann eine größere Liste von Ressourcentypen überwachen. Die Tools für die automatische Bereitstellung wurden nun erweitert, um andere Erweiterungen und Ressourcentypen zu unterstützen, indem die Funktionen von Azure Policy genutzt werden.
Sie können jetzt die automatische Bereitstellung folgender Komponenten konfigurieren:
- Log Analytics Agent
- (Neu) Azure Policy für Kubernetes
- (Neu) Microsoft Abhängigkeits-Agent
Erfahren Sie mehr in Autoprovisioning Agents und Erweiterungen von Azure Security Center.
Die Sicherheitsbewertung ist jetzt im fortlaufenden Export (Vorschauversion) verfügbar.
Mit dem kontinuierlichen Export von Sicherheitsbewertungen können Sie Änderungen an Ihrer Bewertung in Echtzeit in Azure Event Hubs oder einem Log Analytics Arbeitsbereich streamen. Diese Funktion ermöglicht Folgendes:
- Nachverfolgen Ihrer Sicherheitsbewertung im Laufe der Zeit mit dynamischen Berichten
- Exportieren von Daten für die Sicherheitsbewertung in Microsoft Sentinel (oder andere SIEM)
- Integrieren dieser Daten in beliebige Prozesse, die in Ihrer Organisation ggf. bereits zur Überwachung der Sicherheitsbewertung verwendet werden
Weitere Informationen zum fortlaufenden Exportieren von Security Center-Daten finden Sie hier.
Die Empfehlung „Auf Ihren Computern sollten Systemupdates installiert werden“ enthält jetzt Unterempfehlungen.
Die Empfehlung Systemupdates müssen auf Ihren Computern installiert werden wurde erweitert. Die neue Version enthält Unterempfehlungen für jedes fehlende Update und bietet folgende Verbesserungen:
Eine neu gestaltete Oberfläche auf den Azure Security Center Seiten des Azure Portals. Die Seite mit den Empfehlungsdetails für Auf Ihren Computern sollten Systemupdates installiert werden enthält die unten gezeigte Liste der Ergebnisse. Wenn Sie ein einzelnes Ergebnis auswählen, wird die Detailansicht mit einem Link zu den Informationen zur Risikominderung und einer Liste der betroffenen Ressourcen geöffnet.
Angereicherte Daten für die Empfehlung von Azure Resource Graph (ARG). ARG ist ein Azure Dienst, der für eine effiziente Ressourcenerkundung konzipiert ist. Sie können ARG verwenden, um über einen bestimmten Satz von Abonnements Abfragen im großen Stil durchzuführen und Ihre Umgebung so effektiv zu verwalten.
Für Azure Security Center können Sie ARG und die Kusto Query Language (KQL) verwenden, um eine vielzahl von Sicherheitsstatusdaten abzufragen.
Zuvor galt: Wenn Sie diese Empfehlung in ARG abgefragt haben, bestand die einzige verfügbare Information darin, dass die Empfehlung auf einem Computer behandelt werden muss. Die folgende Abfrage der aktualisierten Version gibt die einzelnen fehlenden Systemupdates zurück (gruppiert nach Computer):
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27" | where properties.status.code == "Unhealthy"
Die Richtlinienverwaltungsseite im Azure-Portal zeigt jetzt den Status der Standardrichtlinienzuweisungen an.
Sie können jetzt sehen, ob Ihre Abonnements die standardmäßige Security Center-Richtlinie zugewiesen haben, auf der Seite Security Policy des Azure Portals.
Oktober 2020
Updates im Oktober:
- Sicherheitsrisikobewertung für lokale Computer und Multi-Cloud-Computer (Vorschau)
- Azure Firewall Empfehlung hinzugefügt (Vorschau)
- Die Empfehlung „Für Kubernetes-Dienste sollten autorisierte IP-Adressbereiche definiert werden“ wurde mit einer schnellen Problembehebung aktualisiert
- Das Dashboard zur Einhaltung gesetzlicher Bestimmungen enthält jetzt die Option, Standards zu entfernen
Microsoft. Tabelle "SecurityStatuses" wurde aus Azure Resource Graph
Sicherheitsrisikobewertung für lokale Computer und Multi-Cloud-Computer (Vorschau)
Azure Defender für Server integrierten Scanner zur Sicherheitsrisikobewertung (unterstützt von Qualys) scannt jetzt Azure Arc-fähigen Server.
Wenn Sie Azure Arc auf Ihren Nicht-Azure-Computern aktiviert haben, bietet Security Center die Bereitstellung des integrierten Sicherheitsrisikoscanners auf diesen Computern an – manuell und im großen Umfang.
Mit diesem Update können Sie die Leistungsfähigkeit von Azure Defender für Server aufheben, um Ihr Sicherheitsrisikoverwaltungsprogramm für alle Ihre Azure und nicht Azure Ressourcen zu konsolidieren.
Hauptfunktionen:
- Überwachen des Bereitstellungsstatus des VA-Scanners (Sicherheitsrisikobewertung) auf Azure Arc Computern
- Bereitstellen des integrierten VA-Agents für nicht geschützte Windows- und Linux-Azure Arc-Computer (manuell und im Großen)
- Empfangen und Analysieren ermittelter Sicherheitsrisiken von bereitgestellten Agents (manuell und skalierbar)
- Einheitliche Benutzeroberfläche für Azure VMs und Azure Arc Computer
Weitere Informationen zu Azure Arc-fähigen Servern.
Azure Firewall Empfehlung hinzugefügt (Vorschau)
Es wurde eine neue Empfehlung hinzugefügt, um alle Ihre virtuellen Netzwerke mit Azure Firewall zu schützen.
Die Empfehlung
Erfahren Sie mehr über Azure Firewall.
Die Empfehlung „Für Kubernetes-Dienste sollten autorisierte IP-Adressbereiche definiert werden“ wurde mit einer schnellen Problembehebung aktualisiert
Für die Empfehlung Für Kubernetes-Dienste sollten autorisierte IP-Adressbereiche definiert werden gibt es jetzt eine Option zur schnellen Problembehebung.
Das Dashboard zur Einhaltung gesetzlicher Bestimmungen enthält jetzt die Option, Standards zu entfernen
Das Security Center-Dashboard für die Einhaltung gesetzlicher Bestimmungen bietet Erkenntnisse zu Ihrem Compliancestatus basierend auf der Erfüllung bestimmter Compliancevorgaben und -anforderungen.
Das Dashboard enthält einen Standardsatz gesetzlicher Standards. Falls einer der angegebenen Standards für Ihre Organisation nicht relevant ist, ist es nun problemlos möglich, diesen aus der Benutzeroberfläche für ein Abonnement zu entfernen. Standards können nur auf Abonnementebene entfernt werden; nicht der Verwaltungsgruppenbereich.
Weitere Informationen finden Sie unter Entfernen eines Standards aus Ihrem Dashboard.
Microsoft. Tabelle "Security/securityStatuses", die aus Azure Resource Graph (ARG) entfernt wurde
Azure Resource Graph ist ein Dienst in Azure, der entwickelt wurde, um eine effiziente Ressourcenerkundung mit der Möglichkeit zu bieten, über einen bestimmten Satz von Abonnements zu skalieren, damit Sie Ihre Umgebung effektiv steuern können.
Für Azure Security Center können Sie ARG und die Kusto Query Language (KQL) verwenden, um eine vielzahl von Sicherheitsstatusdaten abzufragen. Beispiel:
- Bestandsbestand nutzt ARG
- Wir haben eine ARG-Beispielabfrage zum Identifizieren von Konten ohne aktivierte mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) dokumentiert.
In ARG gibt es Datentabellen, die Sie in Ihren Abfragen verwenden können.
Tip
In der ARG-Dokumentation werden alle verfügbaren Tabellen in Azure Resource Graph Tabellen- und Ressourcentypreferenz aufgeführt.
Von diesem Update aus Microsoft. Die Tabelle "Security/securityStatuses wurde entfernt. Die securityStatuses-API ist weiterhin verfügbar.
Die Datenersetzung kann von Microsoft verwendet werden. Tabelle "Sicherheit/Bewertungen".
Der Hauptunterschied zwischen Microsoft. Security/securityStatuses und Microsoft. Sicherheit/Bewertungen sind, dass während die erste Aggregation von Bewertungen zeigt, die Sekunden jeweils einen einzelnen Datensatz enthält.
Beispiel: Microsoft. Security/securityStatuses würden ein Ergebnis mit einem Array von zwei policyAssessments zurückgeben:
{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
Während Microsoft. Sicherheit/Bewertungen enthalten einen Datensatz für jede solche Richtlinienbewertung wie folgt:
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}
Beispiel für das Konvertieren einer vorhandenen ARG-Abfrage mit securityStatuses für die Verwendung der Assessments-Tabelle:
Abfrage, die auf SecurityStatuses verweist:
SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails
Ersatzabfrage für die Assessments-Tabelle:
securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData
Weitere Informationen finden Sie unter den folgenden Links:
September 2020
Updates im September:
- Security Center erhält ein neues Aussehen!
- Azure Defender veröffentlicht
- Azure Defender für Key Vault ist allgemein verfügbar
- Azure Defender für den Speicherschutz für Dateien und ADLS Gen2 ist allgemein verfügbar
- Asset Inventory-Tools sind jetzt allgemein verfügbar.
- Deaktivieren der Erkennung eines bestimmten Sicherheitsrisikos bei Scans von Containerregistrierungen und virtuellen Computern
- Ausschließen einer Ressource aus einer Empfehlung
- AWS- und GCP-Connectors in Security Center für Szenarien mit mehreren Clouds
- Empfehlungsbündel für Kubernetes-Workloadschutz
- Ergebnisse der Sicherheitsrisikobewertung sind jetzt im fortlaufenden Export verfügbar
- Verhindern von sicherheitsbezogenen Fehlkonfigurationen durch Erzwingen von Empfehlungen beim Erstellen neuer Ressourcen
- Empfehlungen für Netzwerksicherheitsgruppen verbessert
- Veraltete AKS-Vorschauempfehlung „Für Kubernetes Service müssen Podsicherheitsrichtlinien definiert werden“
- Email-Benachrichtigungen von Azure Security Center verbessert
- Sicherheitsbewertung ohne Vorschauempfehlungen
- Empfehlungen jetzt mit Schweregradindikator und Aktualisierungsintervall
Security Center erhält ein neues Aussehen
Wir haben eine aktualisierte Benutzeroberfläche für die Portalseiten von Security Center veröffentlicht. Die neuen Seiten enthalten eine neue Übersichtsseite und Dashboards für die Sicherheitsbewertung, den Bestandsbestand und Azure Defender.
Die neu gestaltete Übersichtsseite verfügt jetzt über eine Kachel für den Zugriff auf die Sicherheitsbewertung, den Bestandsbestand und Azure Defender Dashboards. Außerdem bietet eine neue Kachel eine Verknüpfung mit dem Compliance-Dashboard.
Erfahren Sie mehr über die Übersichtsseite.
Azure Defender veröffentlicht
Azure Defender ist die In Security Center integrierte Cloud-Workload-Schutzplattform (CWPP) für den erweiterten, intelligenten Schutz Ihrer Azure und Hybridworkloads. Sie ersetzt den Standard-Tarif von Security Center.
Wenn Sie Azure Defender aus dem bereich Pricing und Settings Azure Security Center aktivieren, sind die folgenden Defender Pläne gleichzeitig aktiviert und bieten umfassende Abwehrmaßnahmen für die Compute-, Daten- und Dienstebenen Ihrer Umgebung:
- Azure Defender für Server
- Azure Defender für App Service
- Azure Defender für Speicher
- Azure Defender für SQL
- Azure Defender für Key Vault
- Azure Defender für Kubernetes
- Azure Defender für Containerregistrierungen
Jeder dieser Pläne wird in der Security Center-Dokumentation einzeln erläutert.
Mit seinem dedizierten Dashboard bietet Azure Defender Sicherheitswarnungen und erweiterten Bedrohungsschutz für virtuelle Computer, SQL-Datenbanken, Container, Webanwendungen, Ihr Netzwerk und vieles mehr.
Erfahren Sie mehr über Azure Defender
Azure Defender für Key Vault ist allgemein verfügbar.
Azure Key Vault ist ein Clouddienst, der Verschlüsselungsschlüssel und geheime Schlüssel wie Zertifikate, Verbindungszeichenfolgen und Kennwörter schützt.
Azure Defender für Key Vault bietet Azure nativen, erweiterten Bedrohungsschutz für Azure Key Vault und bietet eine zusätzliche Sicherheitsintelligenzebene. Durch die Erweiterung schützt Azure Defender für Key Vault daher viele der Ressourcen, die von Ihren Key Vault Konten abhängig sind.
Der optionale Plan ist nun allgemein verfügbar. Dieses Feature befand sich in der Vorschau als "erweiterter Bedrohungsschutz für Azure Key Vault".
Außerdem enthalten die Key Vault Seiten im Azure Portal jetzt eine dedizierte SecuritySeite für Security Center Empfehlungen und Warnungen.
Weitere Informationen finden Sie in Azure Defender für Key Vault.
Azure Defender für den Speicherschutz für Dateien und ADLS Gen2 ist allgemein verfügbar.
Azure Defender for Storage erkennt potenziell schädliche Aktivitäten für Ihre Azure Storage-Konten. Ihre Daten können geschützt werden, und zwar unabhängig davon, ob Sie als Blobcontainer, Dateifreigaben oder Data Lakes gespeichert werden.
Unterstützung für Azure Files und Azure Data Lake Storage Gen2 ist jetzt allgemein verfügbar.
Ab dem 1. Oktober 2020 beginnen wir damit, den Schutz von Ressourcen für diese Dienste abzurechnen.
Weitere Informationen finden Sie in Azure Defender for Storage.
Asset Inventory-Tools sind jetzt allgemein verfügbar
Die Bestandsseite von Azure Security Center stellt eine einzelne Seite zum Anzeigen des Sicherheitsstatus der Ressourcen bereit, die Sie mit Security Center verbunden haben.
Security Center analysiert regelmäßig den Sicherheitsstatus Ihrer Azure Ressourcen, um potenzielle Sicherheitsrisiken zu identifizieren. Anschließend erhalten Sie Empfehlungen dazu, wie Sie diese Sicherheitsrisiken beheben können.
Wenn eine Ressource ausstehende Empfehlungen hat, werden diese im Inventar angezeigt.
Weitere Informationen finden Sie unter Untersuchen und Verwalten Ihrer Ressourcen mit dem Ressourcenbestand und Verwaltungstools.
Deaktivieren der Erkennung eines bestimmten Sicherheitsrisikos bei Scans von Containerregistrierungen und virtuellen Computern
Azure Defender enthält Sicherheitsrisikoscanner zum Scannen von Images in Ihren Azure Container Registry und Ihren virtuellen Computern.
Wenn in Ihrer Organisation eine Suche ignoriert werden muss, anstatt sie zu beheben, können Sie sie optional deaktivieren. Deaktivierte Ergebnisse haben keine Auswirkung auf Ihre Sicherheitsbewertung und erzeugen kein unerwünschtes Rauschen.
Wenn eine Suche mit den in Ihren Deaktivierungsregeln definierten Kriterien übereinstimmt, wird sie nicht in der Liste der Ergebnisse angezeigt.
Diese Option ist auf den Detailseiten der Empfehlungen verfügbar:
- Vulnerabilities in Azure Container Registry Bildern sollten behoben werden
- Sicherheitsrisiken für VMs müssen behoben werden
Ausschließen einer Ressource aus einer Empfehlung
Gelegentlich wird eine Ressource in Bezug auf eine bestimmte Empfehlung als fehlerhaft aufgeführt (und damit Ihre Sicherheitsbewertung gesenkt), obwohl Sie anderer Ansicht sind. Unter Umständen wurde dafür eine Lösungsmaßnahme mit einem Prozess durchgeführt, der von Security Center nicht nachverfolgt wird. Es kann auch sein, dass Ihre Organisation die Entscheidung getroffen hat, das Risiko für die entsprechende Ressource zu akzeptieren.
In diesen Fällen können Sie eine Ausnahmeregel erstellen und sicherstellen, dass die Ressource in Zukunft nicht mehr in der Liste mit den fehlerhaften Ressourcen enthalten ist. Diese Regeln können dokumentierte Begründungen enthalten, wie unten beschrieben.
Weitere Informationen finden Sie unter Ausschließen einer Ressource aus Empfehlungen und der Sicherheitsbewertung.
AWS- und GCP-Connectors in Security Center für Szenarien mit mehreren Clouds
Cloudworkloads umfassen in der Regel mehrere Cloudplattformen, daher muss das auch für Cloudsicherheitsdienste gelten.
Azure Security Center schützt nun Workloads in Azure, Amazon Web Services (AWS) und Google Cloud Platform (GCP).
Wenn Sie AWS- und GCP-Projekte in das Security Center integrieren, werden AWS Security Hub, GCP Security Command und Azure Security Center integriert.
Erfahren Sie mehr in Verbinden Sie Ihre AWS-Konten mit Azure Security Center und Verbinden Sie Ihre GCP-Projekte mit Azure Security Center.
Empfehlungsbündel für Kubernetes-Workloadschutz
Um sicherzustellen, dass Kubernetes-Workloads standardmäßig sicher sind, fügt Security Center Härtungsempfehlungen auf Kubernetes-Ebene hinzu, einschließlich Erzwingungsoptionen mit Kubernetes-Zugangskontrolle.
Wenn Sie Azure Policy für Kubernetes auf Ihrem AKS-Cluster installiert haben, wird jede Anforderung an den Kubernetes-API-Server anhand der vordefinierten Bewährten Methoden überwacht, bevor sie im Cluster beibehalten werden. Anschließend können Sie das Erzwingen der bewährten Methoden konfigurieren und auf zukünftige Workloads anwenden.
Beispielsweise können Sie vorschreiben, dass keine privilegierten Container erstellt werden sollen und dass zukünftige Anforderungen für diese Aktion blockiert werden sollen.
Weitere Informationen finden Sie unter Bewährte Methoden zum Schutz von Workloads mithilfe der Kubernetes-Zugangssteuerung.
Ergebnisse der Sicherheitsrisikobewertung sind jetzt im fortlaufenden Export verfügbar
Verwenden Sie den kontinuierlichen Export, um Ihre Warnungen und Empfehlungen zu Azure Event Hubs, Log Analytics Arbeitsbereichen oder Azure Monitor zu streamen. Von dort aus können Sie diese Daten in SIEMs wie Microsoft Sentinel, Power BI, Azure Data Explorer und vieles mehr integrieren.
Die integrierten Tools für die Sicherheitsrisikobewertung von Security Center geben Ergebnisse zu Ihren Ressourcen als handlungsrelevante Empfehlungen innerhalb einer übergeordneten Empfehlung zurück, z. B. als „Sicherheitsrisiken für VMs müssen behoben werden“.
Die sicherheitsrelevanten Ergebnisse sind jetzt über den fortlaufenden Export verfügbar, wenn Sie Empfehlungen auswählen und die Option Sicherheitsrelevante Ergebnisse einbeziehen aktivieren.
Verwandte Seiten:
- Security Center integrierte Lösung zur Sicherheitsrisikobewertung von Qualys für Azure virtuelle Computer
- Security Center integrierte Lösung zur Sicherheitsrisikobewertung für Azure Container Registry Images
- Fortlaufender Export
Verhindern von sicherheitsbezogenen Fehlkonfigurationen durch Erzwingen von Empfehlungen beim Erstellen neuer Ressourcen
Sicherheitsbezogene Fehlkonfigurationen sind eine häufige Ursache für Sicherheitsincidents. Security Center hat jetzt die Möglichkeit, Fehlkonfigurationen neuer Ressourcen in Bezug auf bestimmte Empfehlungen zu verhindern .
Dieses Feature kann dazu beitragen, dass Ihre Workloads geschützt sind und Ihre Sicherheitsbewertung stabil bleibt.
Zum Erzwingen einer sicheren Konfiguration auf Grundlage einer bestimmten Empfehlung stehen zwei Modi zur Verfügung:
Mithilfe des verweigerten Modus von Azure Policy können Sie verhindern, dass fehlerhafte Ressourcen erstellt werden.
Mit der erzwungenen Option können Sie die Azure Policy DeployIfNotExist Effekt nutzen und nicht kompatible Ressourcen beim Erstellen automatisch beheben.
Diese sind für ausgewählte Sicherheitsempfehlungen oben auf der Seite mit den Ressourcendetails verfügbar.
Weitere Informationen finden Sie unter Verhindern von Fehlkonfigurationen mit den Optionen zum Erzwingen/Ablehnen für Empfehlungen.
Empfehlungen für Netzwerksicherheitsgruppen verbessert
Die folgenden Sicherheitsempfehlungen im Zusammenhang mit Netzwerksicherheitsgruppen wurden verbessert, um einige Arten von False Positives zu verringern.
- Alle Netzwerkports sollten auf NSGs eingeschränkt werden, die ihrer VM zugeordnet sind.
- Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden.
- Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden.
- Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden
Veraltete AKS-Vorschauempfehlung „Für Kubernetes Service müssen Podsicherheitsrichtlinien definiert werden“
Die Vorschauempfehlung "Pod Security Policies should be defined on Kubernetes Services" ist veraltet, wie in der Dokumentation Azure Kubernetes Service beschrieben.
Das Feature für die Pod-Sicherheitsrichtlinie (Vorschau) ist für die Deaktivierung festgelegt und wird nach dem 15. Oktober 2020 zugunsten von Azure Policy für AKS nicht mehr verfügbar sein.
Nachdem die Pod-Sicherheitsrichtlinie (Vorschau) veraltet ist, müssen Sie das Feature für alle vorhandenen Cluster deaktivieren, indem Sie das veraltete Feature verwenden, um zukünftige Clusterupgrades durchzuführen und in Azure-Support zu bleiben.
E-Mail-Benachrichtigungen von Azure Security Center verbessert
Die folgenden Bereiche von E-Mails zu Sicherheitswarnungen wurden verbessert:
- Möglichkeit zum Senden von E-Mail-Benachrichtigungen zu Warnungen für alle Schweregrade hinzugefügt
- Die Möglichkeit zum Benachrichtigen von Benutzern mit verschiedenen Azure Rollen im Abonnement wurde hinzugefügt.
- Wir benachrichtigen standardmäßig Abonnementbesitzer bei Warnungen mit hohem Schweregrad (bei denen es sich mit hohen Wahrscheinlichkeit um echte Verstöße handelt).
- Das Feld für die Telefonnummer wurde von der Konfigurationsseite für E-Mail-Benachrichtigungen entfernt.
Weitere Informationen finden Sie unter Einrichten von E-Mail-Benachrichtigungen für Sicherheitswarnungen.
Sicherheitsbewertung ohne Vorschauempfehlungen
Security Center führt eine ständige Bewertung Ihrer Ressourcen, Abonnements und Organisation in Bezug auf Sicherheitsprobleme durch. Anschließend werden alle Ergebnisse in einer einzigen Bewertung zusammengefasst, sodass Sie auf einen Blick Ihre aktuelle Sicherheitssituation erkennen können: je höher die Bewertung, desto geringer das ermittelte Risiko.
Wenn neue Bedrohungen erkannt werden, werden neue Sicherheitsempfehlungen in Security Center über neue Empfehlungen verfügbar gemacht. Um Überraschungsänderungen zu vermeiden und eine Nachfrist bereitzustellen, in der Sie neue Empfehlungen erkunden können, bevor sie ihre Bewertungen beeinflussen, werden Empfehlungen, die als Vorschau gekennzeichnet sind, nicht mehr in die Berechnungen Ihrer Sicherheitsbewertung einbezogen. Sie sollten nach Möglichkeit weiterhin korrigiert werden, damit sie nach Ablauf des Vorschauzeitraums zu Ihrer Bewertung beitragen.
Außerdem rendern Vorschauempfehlungen keine Ressource "Ungesund".
Beispiel für eine Vorschauempfehlung:
Weitere Informationen zur Sicherheitsbewertung.
Empfehlungen jetzt mit Schweregradindikator und Aktualisierungsintervall
Die Detailseite für Empfehlungen enthält jetzt einen Indikator für das Aktualisierungsintervall (sofern relevant) und eine deutliche Anzeige des Schweregrads der Empfehlung.
August 2020
Updates im August:
- Ressourcenbestand – leistungsstarke neue Ansicht des Sicherheitsstatus ihrer Ressourcen
- Added-Unterstützung für Microsoft Entra ID Sicherheitsstandardwerte (für mehrstufige Authentifizierung)
- Empfehlung zu Dienstprinzipale hinzugefügt
- Sicherheitsrisikobewertung bei virtuellen Computern: Empfehlungen und Richtlinien wurden konsolidiert
- Neue AKS-Sicherheitsrichtlinien, die ASC_default Initiative hinzugefügt wurden
Ressourcenbestand – leistungsstarke neue Ansicht des Sicherheitsstatus ihrer Ressourcen
Der Ressourcenbestand in Security Center (derzeit in der Vorschauphase) bietet eine Möglichkeit, den Sicherheitsstatus der Ressourcen anzuzeigen, die Sie mit Security Center verbunden haben.
Security Center analysiert regelmäßig den Sicherheitsstatus Ihrer Azure Ressourcen, um potenzielle Sicherheitsrisiken zu identifizieren. Anschließend erhalten Sie Empfehlungen dazu, wie Sie diese Sicherheitsrisiken beheben können. Wenn eine Ressource ausstehende Empfehlungen hat, werden diese im Inventar angezeigt.
Sie können die Ansicht und ihre Filter verwenden, um Ihre Daten zum Sicherheitsstatus zu untersuchen und auf der Grundlage der Ergebnisse weitere Maßnahmen zu ergreifen.
Weitere Informationen zum Bestandsbestand.
Unterstützung für Microsoft Entra ID Sicherheitsstandardwerte hinzugefügt (für mehrstufige Authentifizierung)
Security Center hat vollständige Unterstützung für security defaults, Microsoft kostenlosen Identitätssicherheitsschutz hinzugefügt.
Die Sicherheitsstandards bieten vorkonfigurierte Identitätssicherheitseinstellungen, um Ihre Organisation vor häufigen identitätsbezogenen Angriffen zu schützen. Sicherheitsstandards schützen bereits mehr als 5 Millionen Mandanten insgesamt; 50.000 Mandanten werden zusätzlich durch Azure Security Center geschützt.
Security Center bietet jetzt eine Sicherheitsempfehlung, wenn es ein Azure-Abonnement ohne aktivierte Sicherheitsstandardwerte identifiziert. Bis jetzt empfiehlt Security Center die Aktivierung der mehrstufigen Authentifizierung mit bedingtem Zugriff, die Teil der Microsoft Entra ID Premium-Lizenz ist. Für Kunden, die Microsoft Entra ID kostenlos verwenden, empfehlen wir jetzt, Sicherheitsstandardwerte zu aktivieren.
Unser Ziel ist es, mehr Kunden zu ermutigen, ihre Cloudumgebungen mit MFA zu schützen und eines der höchsten Risiken zu minimieren, die auch für Ihre Sicherheitsbewertung am wirkungsvollsten sind.
Weitere Informationen zu Den Sicherheitsstandardeinstellungen.
Empfehlung zu Dienstprinzipale hinzugefügt
Es wurde eine neue Empfehlung hinzugefügt, die Azure Security Center-Kund*innen, die Verwaltungszertifikate zum Verwalten ihrer Abonnements verwenden, die Umstellung auf Dienstprinzipale empfiehlt.
Die Empfehlung Serviceprinzipale sollte verwendet werden, um Ihre Abonnements anstelle von Verwaltungszertifikaten zu schützen empfiehlt Ihnen, Dienstprinzipale oder Azure Resource Manager zu verwenden, um Ihre Abonnements sicherer zu verwalten.
Erfahren Sie mehr über Application und Dienstprinzipalobjekte in Microsoft Entra ID.
Sicherheitsrisikobewertung bei virtuellen Computern: Empfehlungen und Richtlinien wurden konsolidiert
Security Center untersucht Ihre virtuellen Computer, um festzustellen, ob darauf eine Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Wenn keine Lösung zur Sicherheitsrisikobewertung gefunden wird, gibt Security Center eine Empfehlung zur Vereinfachung der Bereitstellung.
Werden Sicherheitsrisiken gefunden, gibt Security Center eine Empfehlung, die die Ergebnisse zusammenfasst, damit Sie die Sicherheitsrisiken untersuchen und gegebenenfalls beheben können.
Um für alle Benutzer, unabhängig vom verwendeten Scannertyp, eine einheitliche Umgebung zu gewährleisten, haben wir vier Empfehlungen zu den folgenden beiden Empfehlungen vereinheitlicht:
| Einheitliche Empfehlung | Änderungsbeschreibung |
|---|---|
| Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | Ersetzt die folgenden beiden Empfehlungen: ***** Integrierte Lösung zur Sicherheitsrisikobewertung auf virtuellen Computern aktivieren (unterstützt von Qualys – jetzt veraltet) (Empfehlung wird in Standard-Tarifen angezeigt) ***** Die Lösung zur Sicherheitsrisikobewertung sollte auf Ihren virtuellen Computern installiert werden (jetzt veraltet) (Empfehlung wird sowohl in Standard- als auch Free-Tarifen angezeigt) |
| Sicherheitsrisiken für VMs müssen behoben werden | Ersetzt die folgenden beiden Empfehlungen: ***** Auf Ihren virtuellen Computern gefundene Sicherheitsrisiken beheben (unterstützt von Qualys – jetzt veraltet) ***** Sicherheitsrisiken sollten durch eine Lösung zur Sicherheitsrisikobewertung entschärft werden (unterstützt von Qualys – jetzt veraltet) |
Jetzt wenden Sie dieselbe Empfehlung an, um die Security Center-Erweiterung für die Sicherheitsrisikobewertung oder eine privat lizenzierte Lösung mit Verwendung Ihrer eigenen Lizenz (BYOL, Bring-Your-Own-License) von einem Partner wie Qualys oder Rapid7 bereitzustellen.
Wurden Sicherheitsrisiken gefunden und an Security Center gemeldet, werden Sie unabhängig von der Lösung zur Sicherheitsrisikobewertung, die diese Sicherheitsrisiken identifiziert hat, mit einer einzigen Empfehlung auf die Ergebnisse aufmerksam gemacht.
Aktualisieren von Abhängigkeiten
Wenn Sie über Skripts, Abfragen oder Automatisierungen verfügen, die sich auf die früheren Empfehlungen oder Richtlinienschlüssel/-namen beziehen, verwenden Sie die folgenden Tabellen, um die Verweise zu aktualisieren:
Vor August 2020
| Recommendation | Scope |
|---|---|
|
Integrierte Lösung zur Sicherheitsrisikobewertung (unterstützt von Qualys) auf virtuellen Computern aktivieren Schlüssel: 550e890b-e652-4d22-8274-60b3bdb24c63 |
Built-in |
|
Auf Ihren virtuellen Computern gefundene Sicherheitsrisiken beheben (unterstützt von Qualys) Schlüssel: 1195afff-c881-495e-9bc5-1486211ae03f |
Built-in |
|
Die Lösung zur Sicherheitsrisikobewertung sollte auf Ihren virtuellen Computern installiert werden Schlüssel: 01b1ed4c-b733-4fee-b145-f23236e70cf3 |
BYOL |
|
Sicherheitsrisiken sollten durch eine Lösung zur Sicherheitsrisikobewertung beseitigt werden Schlüssel: 71992a2a-d168-42e0-b10e-6b45fa2ecddb |
BYOL |
| Policy | Scope |
|---|---|
|
Sicherheitsrisikobewertung für virtuelle Computer muss aktiviert sein Richtlinien-ID: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Built-in |
|
Sicherheitsrisiken sollten durch eine Lösung zur Sicherheitsrisikobewertung entschärft werden Richtlinien-ID: 760a85ff-6162-42b3-8d70-698e268f648c |
BYOL |
Ab August 2020
| Recommendation | Scope |
|---|---|
|
Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden Schlüssel: ffff0522-1e88-47fc-8382-2a80ba848f5d |
Integriert + BYOL |
|
Sicherheitsrisiken für VMs müssen behoben werden Schlüssel: 1195afff-c881-495e-9bc5-1486211ae03f |
Integriert + BYOL |
| Policy | Scope |
|---|---|
|
Sicherheitsrisikobewertung für virtuelle Computer muss aktiviert sein Richtlinien-ID: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Integriert + BYOL |
Neue AKS-Sicherheitsrichtlinien, die ASC_default Initiative hinzugefügt wurden
Um sicherzustellen, dass Kubernetes-Workloads standardmäßig sicher sind, fügt Security Center Richtlinien auf Kubernetes-Ebene und Härtungsempfehlungen hinzu, einschließlich Erzwingungsoptionen mit Kubernetes-Zugangskontrolle.
Die frühe Phase dieses Projekts umfasst eine Vorschau und die Hinzufügung neuer (standardmäßig deaktivierter) Richtlinien zur ASC_default Initiative.
Sie können diese Richtlinien gefahrlos und ohne Auswirkungen auf Ihre Umgebung ignorieren. Wenn Sie sie aktivieren möchten, registrieren Sie sich für die Vorschau über die Microsoft Cloud Security Private Community und wählen Sie aus den folgenden Optionen aus:
- Einzelne Vorschau – Um nur dieser Vorschau beizutreten. Nennen Sie „ASC Continuous Scan“ ausdrücklich als Vorschauversion, der Sie beitreten möchten.
- Laufendes Programm – Zu diesen und zukünftigen Vorschauen hinzugefügt werden sollen. Sie müssen ein Profil und eine Datenschutzvereinbarung ausfüllen.
Juli 2020
Zu den Updates im Juli gehören:
- Die Sicherheitsrisikobewertung für VMs ist jetzt verfügbar für Images, die nicht auf dem Marketplace erhältlich sind.
Schutz für Azure Storage erweitert, um Azure Files und Azure Data Lake Storage Gen2 (Vorschau) - Acht neue Empfehlungen zum Aktivieren von Bedrohungsschutzfeatures
- Verbesserungen der Containersicherheit: schnellere Überprüfung der Registrierung und aktualisierte Dokumentation
- Neue Empfehlung zum Aktualisieren Ihrer Regeln für die adaptive Anwendungssteuerung
- Sechs Richtlinien für SQL Advanced Data Security als veraltet markiert
Sicherheitsrisikobewertung für virtuelle Computer jetzt verfügbar für Nicht-Marketplace-Images
Bisher hat Security Center eine Überprüfung vor der Bereitstellung durchgeführt, wenn Sie eine Lösung zur Sicherheitsrisikobewertung bereitgestellt haben. Die Überprüfung diente der Bestätigung einer Marketplace-SKU des virtuellen Zielcomputers.
Aus diesem Update wird die Überprüfung entfernt, und Sie können jetzt Tools zur Sicherheitsrisikobewertung auf "benutzerdefinierten" Windows und Linux-Computern bereitstellen. Benutzerdefinierte Images sind solche, in denen Sie die Marketplace-Standardeinstellungen geändert haben.
Auch wenn Sie nun die integrierte Erweiterung für die Sicherheitsrisikobewertung (bereitgestellt durch Qualys) auf vielen weiteren Computern bereitstellen können, ist Support nur verfügbar, wenn Sie ein Betriebssystem verwenden, das unter Bereitstellen der integrierten für Überprüfung auf Sicherheitsrisiken auf VMs im Standard-Tarif aufgeführt ist.
Erfahren Sie mehr über den integrierten Sicherheitsrisikoscanner für virtuelle Computer (erfordert Azure Defender).
Erfahren Sie mehr über die Verwendung Ihrer eigenen privat lizenzierten Sicherheitsrisikobewertungslösung aus Qualys oder Rapid7 in der Bereitstellung einer Lösung zur Überprüfung von Sicherheitsrisiken durch Partner.
Bedrohungsschutz für Azure Storage erweitert, um Azure Files und Azure Data Lake Storage Gen2 (Vorschau) einzuschließen.
Bedrohungsschutz für Azure Storage erkennt potenziell schädliche Aktivitäten für Ihre Azure Storage-Konten. Security Center zeigt Warnungen an, wenn Versuche erkannt werden, auf Ihre Speicherkonten zuzugreifen oder diese auszunutzen.
Ihre Daten können geschützt werden, und zwar unabhängig davon, ob Sie als Blobcontainer, Dateifreigaben oder Data Lakes gespeichert werden.
Acht neue Empfehlungen zum Aktivieren von Bedrohungsschutzfeatures
Acht neue Empfehlungen wurden hinzugefügt, um die Bedrohungsschutzfunktionen Azure Security Center für die folgenden Ressourcentypen zu ermöglichen: virtuelle Computer, App Service-Pläne, Azure SQL-Datenbank Server, SQL-Server auf Computern, Azure Storage Konten, Azure Kubernetes Service Clustern, Azure Container Registry Registern und Azure Key Vault Tresoren.
Die neuen Empfehlungen sind:
- Advanced-Datensicherheit sollte auf Azure SQL-Datenbank Servern aktiviert sein
- Advanced Data Security muss für SQL Server-Instanzen auf Computern aktiviert sein.
- Advanced Threat Protection sollte für Azure App Service Pläne aktiviert werden
- Advanced Threat Protection sollte für Azure Container Registry Registrierungen aktiviert sein
- Advanced Threat Protection sollte auf Azure Key Vault Vaults aktiviert sein
- Advanced Threat Protection sollte auf Azure Kubernetes Service Clustern aktiviert sein
- Advanced Threat Protection sollte für Azure Storage Konten aktiviert sein
- Advanced Threat Protection muss für virtuelle Computer aktiviert sein.
Die Empfehlungen schließen auch die Möglichkeit schneller Korrekturen ein.
Important
Wenn Sie eine dieser Empfehlungen umsetzen, fallen Gebühren für den Schutz der relevanten Ressourcen an. Diese Kosten beginnen sofort, wenn Sie über zugehörige Ressourcen im aktuellen Abonnement verfügen. Das gilt auch, wenn Sie sie zu einem späteren Zeitpunkt hinzufügen.
Wenn Sie beispielsweise keine Azure Kubernetes Service Cluster in Ihrem Abonnement haben und den Bedrohungsschutz aktivieren, entstehen keine Gebühren. Wenn Sie in Zukunft einen Cluster im selben Abonnement hinzufügen, wird dieser automatisch geschützt, und die Gebühren beginnen ab diesem Zeitpunkt.
Erfahren Sie mehr über schutz in Azure Security Center.
Verbesserungen bei der Containersicherheit: schnellere Überprüfung der Registrierung und aktualisierte Dokumentation
Als Teil der kontinuierlichen Investitionen in die Containersicherheitsdomäne freuen wir uns, eine erhebliche Leistungsverbesserung in den dynamischen Scans von Containerimages zu teilen, die in Azure Container Registry gespeichert sind. Scans werden nun in der Regel in ungefähr zwei Minuten abgeschlossen. In einigen Fällen kann es bis zu 15 Minuten dauern.
Um die Klarheit und Anleitungen zu den Containersicherheitsfunktionen von Azure Security Center zu verbessern, haben wir auch die Containersicherheitsdokumentationsseiten aktualisiert.
Neue Empfehlung zum Aktualisieren Ihrer Regeln für die adaptive Anwendungssteuerung
Das Feature für die adaptive Anwendungssteuerung hat zwei bedeutende Updates erhalten:
Eine neue Empfehlung identifiziert potenziell legitimes Verhalten, das bisher noch nicht zulässig war. Die neue Empfehlung Zulassungslistenregeln in der Richtlinie für die adaptive Anwendungssteuerung müssen aktualisiert werden fordert Sie auf, der vorhandenen Richtlinie neue Regeln hinzuzufügen, um die Anzahl der falsch positiven Ergebnisse bei adaptiven Warnungen zu Anwendungssteuerungen zu verringern.
Pfadregeln unterstützen jetzt Platzhalter. Mit diesem Update können Sie zulässige Pfadregeln mithilfe von Platzhaltern konfigurieren. Es werden zwei Szenarios unterstützt:
Verwenden eines Platzhalters am Ende eines Pfads, um alle ausführbaren Dateien in diesem Ordner und in den zugehörigen Unterordnern zuzulassen.
Verwenden eines Platzhalters in der Mitte eines Pfads zum Aktivieren des Namens einer bekannten ausführbaren Datei mit einem sich ändernden Ordnernamen (z. B. persönliche Benutzerordner mit einer bekannten ausführbaren Datei, automatisch generierte Ordnernamen usw.)
Sechs Richtlinien für SQL Advanced Data Security als veraltet markiert
Sechs Richtlinien im Zusammenhang mit Advanced Data Security für SQL-Computer werden als veraltet markiert:
- Advanced Threat Protection-Typen müssen in den Advanced Data Security-Einstellungen von SQL Managed Instance auf „Alle“ festgelegt werden
- Advanced Threat Protection-Typen müssen in den Advanced Data Security-Einstellungen der SQL Server-Instanz auf „Alle“ festgelegt werden
- Advanced Data Security-Einstellungen für verwaltete SQL-Instanzen sollten eine E-Mail-Adresse für den Empfang von Sicherheitswarnungen enthalten.
- Advanced Data Security-Einstellungen für SQL Server sollten eine E-Mail-Adresse für den Empfang von Sicherheitswarnungen enthalten.
- In den Advanced Data Security-Einstellungen für die verwaltete SQL-Instanz müssen E-Mail-Benachrichtigungen an Administratoren und Abonnementbesitzer aktiviert sein
- E-Mail-Benachrichtigungen an Administratoren und Abonnementbesitzer sollten in den erweiterten Einstellungen für Datensicherheit in SQL Server aktiviert werden.
Erfahren Sie mehr über integrierte Richtlinien.
Juni 2020
Zu den Updates im Juni gehören:
- Sicherheitsbewertungs-API (Vorschau)
- Advanced data security for SQL machines (Azure, other clouds, and on-premises) (preview)
- Two neue Empfehlungen für die Bereitstellung des Log Analytics Agents auf Azure Arc Computern (Vorschau)
- Neue Richtlinien zum Erstellen von Konfigurationen für fortlaufenden Export und Workflowautomatisierung im großen Stil
- Neue Empfehlung zum Verwenden von NSGs zum Schützen von virtuellen Computern ohne Internetzugriff
- Neue Richtlinien zum Aktivieren von Bedrohungsschutz und erweiterter Datensicherheit
Sicherheitsbewertungs-API (Vorschau)
Sie können jetzt auf Ihre Bewertung über die Sicherheitsbewertungs-API (derzeit in der Vorschau) zugreifen. Die API-Methoden bieten die Flexibilität, die Daten abzufragen und im Laufe der Zeit einen eigenen Berichtsmechanismus für Ihre Sicherheitsbewertungen zu erstellen. Sie können z. B. die Secure Score-API verwenden, um die Bewertung für ein bestimmtes Abonnement abzurufen. Darüber hinaus können Sie die API Sicherheitsbewertungs-Steuerelemente verwenden, um die Sicherheitssteuerelemente und die aktuelle Bewertung Ihrer Abonnements aufzulisten.
Beispiele für externe Tools, die mit der Secure Score-API möglich gemacht wurden, finden Sie unter The secure score area of our GitHub community.
Erfahren Sie mehr über secure score and security controls in Azure Security Center.
Erweiterte Datensicherheit für SQL-Computer (Azure, andere Clouds und lokal) (Vorschau)
die erweiterte Datensicherheit für SQL-Computer von Azure Security Center schützt jetzt SQL Server, die in Azure, in anderen Cloudumgebungen und sogar lokalen Computern gehostet werden. Dadurch werden die Schutzmaßnahmen für Ihre Azure-nativen SQL Server erweitert, um Hybridumgebungen vollständig zu unterstützen.
Erweiterte Datensicherheit bietet eine Sicherheitsrisikobewertung und erweiterten Bedrohungsschutz für Ihre SQL-Computer, wo immer sie sich befinden.
Das Setup umfasst zwei Schritte:
Bereitstellen des Log Analytics-Agents auf dem Hostcomputer Ihres SQL Server, um die Verbindung mit Azure Konto bereitzustellen.
Aktivieren Sie das optionale Paket auf der Security Center-Seite „Preise und Einstellungen“.
Weitere Informationen finden Sie unter Erweiterte Datensicherheit für SQL Server-Instanzen in Azure Virtual Machines (Vorschau).
Zwei neue Empfehlungen für die Bereitstellung des Log Analytics-Agents auf Azure Arc Computern (Vorschau)
Es wurden zwei neue Empfehlungen hinzugefügt, um die Log Analytics Agent auf Ihren Azure Arc-Computern bereitzustellen und sicherzustellen, dass sie durch Azure Security Center geschützt sind:
Log Analytics Agent sollte auf Ihren Windows-basierten Azure Arc Computern (Vorschau) Log Analytics Agent sollte auf Ihren Linux-basierten Azure Arc Computern (Vorschau)
Diese neuen Empfehlungen werden in denselben vier Sicherheitssteuerelementen angezeigt wie die vorhandene (verwandte) Empfehlung, Monitoring Agent sollte auf ihren Computern installiert werden: Sicherheitskonfigurationen reparieren, adaptive Anwendungssteuerung anwenden, Systemupdates anwenden und Endpunktschutz aktivieren.
Die Empfehlungen umfassen auch die Funktion „Schnelle Problembehebung“, um den Bereitstellungsprozess zu beschleunigen.
Erfahren Sie mehr darüber, wie Azure Security Center den Agent in What is the Log Analytics agent?.
Erfahren Sie mehr über extensions für Azure Arc Computer.
Neue Richtlinien zum Erstellen von Konfigurationen für fortlaufenden Export und Workflowautomatisierung im großen Stil
Die Automatisierung der Prozesse Ihrer Organisation zur Überwachung und Reaktion auf Vorfälle kann die Zeit, die zum Untersuchen von Sicherheitsvorfällen und zur Durchführung entsprechender Gegenmaßnahmen benötigt wird, erheblich verkürzen.
Um Ihre Automatisierungskonfigurationen in Ihrer Organisation bereitzustellen, verwenden Sie diese integrierten Richtlinien "DeployIfdNotExist" Azure, um kontinive Export und Workflow-Automatisierung zu erstellen und zu konfigurieren:
Die Richtliniendefinitionen finden Sie in Azure Policy:
| Goal | Policy | Richtlinien-ID |
|---|---|---|
| Fortlaufender Export zu Event Hubs | Deploy export to Event Hubs for Azure Security Center alerts and recommendations | cdfcce10-4578-4ecd-9703-530938e4abcb |
| Kontinuierlicher Export in Log Analytics Arbeitsbereich | Deploy export to Log Analytics workspace for Azure Security Center alerts and recommendations | ffb6f416-7bd2-4488-8828-56585fef2be9 |
| Workflowautomatisierung für Sicherheitswarnungen | Deploy Workflow Automation for Azure Security Center alerts | f1525828-9a90-4fcf-be48-268cdd02361e |
| Workflowautomatisierung für Sicherheitsempfehlungen | Deploy Workflow Automation for Azure Security Center recommendations | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Erste Schritte mit workflow-Automatisierungsvorlagen.
Weitere Informationen über die Verwendung der beiden Exportrichtlinien finden Sie unter Konfigurieren der Workflowautomatisierung in großem Stile mit Hilfe der bereitgestellten Richtlinien und Einrichten eines fortlaufenden Exports.
Neue Empfehlung zum Verwenden von NSGs zum Schützen von virtuellen Computern ohne Internetzugriff
Das Sicherheitssteuerelement „Bewährte Sicherheitsmethoden implementieren“ enthält jetzt die folgende neue Empfehlung:
- Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden.
Eine vorhandene Empfehlung VMs mit Internetzugang sollten mithilfe von Netzwerksicherheitsgruppen geschützt werden unterschied nicht zwischen virtuellen Computern mit und ohne Internetzugriff. Für beide wurde eine Empfehlung mit hohem Schweregrad generiert, wenn eine VM keiner Netzwerksicherheitsgruppe zugewiesen war. Diese neue Empfehlung separiert die Computer ohne Internetzugriff, um falsch positive Ergebnisse zu reduzieren und unnötige Warnungen mit hohem Schweregrad zu vermeiden.
Neue Richtlinien zum Aktivieren von Bedrohungsschutz und erweiterter Datensicherheit
Die folgenden neuen Richtliniendefinitionen wurden der ASC-Standardinitiative hinzugefügt und dienen zur Unterstützung beim Aktivieren von Bedrohungsschutz oder erweiterter Datensicherheit für die relevanten Ressourcentypen.
Die Richtliniendefinitionen finden Sie in Azure Policy:
| Policy | Richtlinien-ID |
|---|---|
| Advanced-Datensicherheit sollte auf Azure SQL-Datenbank Servern aktiviert sein | 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2 |
| Advanced Data Security muss für SQL Server-Instanzen auf Computern aktiviert sein. | 6581d072-105e-4418-827f-bd446d56421b |
| Advanced Threat Protection sollte für Azure Storage Konten aktiviert sein | 308fbb08-4ab8-4e67-9b29-592e93fb94fa |
| Advanced Threat Protection sollte auf Azure Key Vault Vaults aktiviert sein | 0e6763cc-5078-4e64-889d-ff4d9a839047 |
| Advanced Threat Protection sollte für Azure App Service Pläne aktiviert werden | 2913021d-f2fd-4f3d-b958-22354e2bdbcb |
| Advanced Threat Protection sollte für Azure Container Registry Registrierungen aktiviert sein | c25d9a16-bc35-4e15-a7e5-9db606bf9ed4 |
| Advanced Threat Protection sollte auf Azure Kubernetes Service Clustern aktiviert sein | 523b5cd1-3e23-492f-a539-13118b6d1e3a |
| 4da35fc9-c9e7-4960-aec9-797fe7d9051d |
Erfahren Sie mehr über Threat-Schutz in Azure Security Center.
Mai 2020
Zu den Updates im Mai gehören:
- Regeln zur Warnungsunterdrückung (Vorschau)
- Sicherheitsrisikobewertung für virtuelle Computer ist jetzt allgemein verfügbar
- Änderungen am JIT-VM-Zugriff (Just-In-Time)
- Benutzerdefinierte Empfehlungen wurden in ein separates Sicherheitssteuerelement verschoben
- Umschalter zum Anzeigen von Empfehlungen in Steuerelementen oder als flache Liste hinzugefügt
- Erweitertes Sicherheitssteuerelement „Bewährte Sicherheitsmethoden implementieren“
- Benutzerdefinierte Richtlinien mit benutzerdefinierten Metadaten sind nun allgemein verfügbar
- Migration der Funktionen für die Absturzabbildanalyse zur Erkennung dateiloser Angriffe
Regeln zur Warnungsunterdrückung (Vorschau)
Dieses neue Feature (derzeit in der Vorschauphase) trägt zur Reduzierung der „Warnungsmüdigkeit“ bei. Verwenden Sie Regeln, damit Warnungen, die auf harmlose Fehler hinweisen oder sich auf normale Aktivitäten Ihrer Organisation beziehen, automatisch ausgeblendet werden. Auf diese Weise können Sie sich auf die relevantesten Bedrohungen konzentrieren.
Warnungen, die den aktivierten Unterdrückungsregeln entsprechen, werden zwar weiterhin generiert, aber ihr Status lautet „Geschlossen“. Sie können den Status im Azure-Portal sehen oder auf Ihre Security Center-Sicherheitswarnungen zugreifen.
Mit Unterdrückungsregeln werden die Kriterien definiert, nach denen Warnungen automatisch geschlossen werden sollen. Normalerweise verwenden Sie in folgenden Fällen eine Unterdrückungsregel:
Unterdrücken von Warnungen, die Sie als falsch positiv identifiziert haben
Unterdrücken von Warnungen, die zu oft ausgelöst werden und daher nicht nützlich sind
Erfahren Sie mehr über suppressing alerts from Azure Security Center's threat protection.
Sicherheitsrisikobewertung für virtuelle Computer ist jetzt allgemein verfügbar
Der Standardtarif von Security Center enthält jetzt eine integrierte Sicherheitsrisikobewertung, für die keine zusätzlichen Gebühren anfallen. Diese Erweiterung basiert auf Qualys, aber die Ergebnisse werden direkt an Security Center gemeldet. Sie benötigen keine Qualys-Lizenz und auch kein Qualys-Konto – alles erfolgt nahtlos innerhalb von Security Center.
Mit der neuen Lösung können Ihre virtuellen Computer fortlaufend gescannt werden, um Sicherheitsrisiken zu ermitteln, und die Ergebnisse werden in Security Center bereitgestellt.
Verwenden Sie zum Bereitstellen der Lösung die neue Sicherheitsempfehlung:
„Integrierte Lösung zur Sicherheitsrisikobewertung (unterstützt von Qualys) auf virtuellen Computern aktivieren“
Informieren Sie sich über die integrierte Sicherheitsrisikobewertung für virtuelle Computer von Security Center.
Änderungen am JIT-VM-Zugriff (Just-In-Time)
Security Center enthält ein optionales Feature zum Schützen der Verwaltungsports Ihrer virtuellen Computer. Dies ist eine Verteidigungsmaßnahme gegen die häufigste Form von Brute-Force-Angriffen.
Mit diesem Update werden die folgenden Änderungen an diesem Feature vorgenommen:
Die Empfehlung, JIT für eine VM zu aktivieren, wurde umbenannt. Die Empfehlung „Die Just-In-Time-Netzwerkzugriffssteuerung sollte auf virtuelle Computer angewendet werden.“ heißt jetzt „Verwaltungsports virtueller Computer müssen mit der Just-In-Time-Netzwerkzugriffssteuerung geschützt werden“.
Die Empfehlung wird nur ausgelöst, wenn offene Verwaltungsports vorhanden sind.
Erfahren Sie mehr zum Feature für JIT-Zugriff.
Benutzerdefinierte Empfehlungen wurden in ein separates Sicherheitssteuerelement verschoben
Eine Sicherheitskontrolle, die zusammen mit der erweiterten Sicherheitsbewertung eingeführt wurde, ist „Best Practices für die Sicherheit implementieren“. Alle benutzerdefinierten Empfehlungen, die für Ihre Abonnements erstellt wurden, wurden automatisch in dieses Steuerelement eingefügt.
Um Ihnen die Suche nach Ihren benutzerdefinierten Empfehlungen zu erleichtern, haben wir diese in die dedizierte Sicherheitskontrolle „Benutzerdefinierte Empfehlungen“ verschoben. Dieses Steuerelement wirkt sich nicht auf Ihre Sicherheitsbewertung aus.
Erfahren Sie mehr über Sicherheitskontrollen in Enhanced-Sicherheitsbewertung (Vorschau) in Azure Security Center.
Umschalter zum Anzeigen von Empfehlungen in Steuerelementen oder als flache Liste hinzugefügt
Bei Sicherheitssteuerelementen handelt es sich um logische Gruppen mit zusammengehörigen Sicherheitsempfehlungen. Diese spiegeln Ihre anfälligen Angriffsflächen wider. Eine Sicherheitskontrolle umfasst eine Reihe von Sicherheitsempfehlungen mit Anweisungen, mit denen Sie diese Empfehlungen implementieren können.
Um sofort zu sehen, wie gut jede einzelne Angriffsfläche in Ihrer Organisation geschützt ist, sehen Sie sich die Bewertungen für die einzelnen Sicherheitskontrollen an.
Ihre Empfehlungen werden standardmäßig in den Sicherheitssteuerelementen angezeigt. Ab diesem Update können Sie sie auch als Liste anzeigen. Verwenden Sie den neuen Umschalter, mit dem Sie „Nach Steuerelementen gruppieren“ können, um sie als einfache Liste anzuzeigen, die nach dem Integritätsstatus der betroffenen Ressourcen sortiert ist. Der Umschalter befindet sich oberhalb der Liste im Portal.
Die Sicherheitssteuerelemente – und dieser Umschalter – sind Teil der neuen Benutzeroberfläche für die Sicherheitsbewertung. Denken Sie daran, uns über das Portal Ihr Feedback hierzu zu senden.
Erfahren Sie mehr über Sicherheitskontrollen in Enhanced-Sicherheitsbewertung (Vorschau) in Azure Security Center.
Erweitertes Sicherheitssteuerelement „Bewährte Sicherheitsmethoden implementieren“
Eine Sicherheitskontrolle, die zusammen mit der erweiterten Sicherheitsbewertung eingeführt wurde, ist „Best Practices für die Sicherheit implementieren“. Wenn eine Empfehlung in diesem Steuerelement angeordnet ist, wirkt sie sich nicht auf die Sicherheitsbewertung aus.
Mit diesem Update wurden drei Empfehlungen aus den Steuerelementen, in denen sie ursprünglich angeordnet waren, in dieses Steuerelement für die bewährte Vorgehensweise verschoben. Wir haben dies durchgeführt, weil wir festgestellt haben, dass das Risiko bei diesen drei Empfehlungen niedriger als anfänglich gedacht ist.
Außerdem wurden zwei neue Empfehlungen eingeführt und diesem Steuerelement hinzugefügt.
Die folgenden drei Empfehlungen wurden verschoben:
- Für Konten mit Leseberechtigungen für Ihr Abonnement muss MFA aktiviert sein (ursprünglich im Steuerelement „MFA aktivieren“ enthalten)
- Externe Konten mit Leseberechtigungen müssen aus Ihrem Abonnement entfernt werden (ursprünglich im Steuerelement „Zugriff und Berechtigungen verwalten“ enthalten)
- Für Ihr Abonnement dürfen maximal 3 Besitzer festgelegt werden (ursprünglich im Steuerelement „Zugriff und Berechtigungen verwalten“ enthalten)
Die beiden folgenden neuen Empfehlungen wurden dem Steuerelement hinzugefügt:
Guest-Konfigurationserweiterung sollte auf Windows virtuellen Computern (Vorschau) installiert werden: Verwenden Azure Policy Gastkonfiguration bietet Sichtbarkeit innerhalb virtueller Computer für Server- und Anwendungseinstellungen (nur Windows).
Microsoft Defender Exploit Guard sollte auf Ihren Computern aktiviert sein (Vorschau) – Microsoft Defender Exploit Guard den Azure Policy Gastkonfigurations-Agent nutzt. Exploit Guard verfügt über vier Komponenten, die für das Sperren von Geräten gegen eine Vielzahl von Angriffsvektoren ausgelegt sind und verhaltensweisen blockieren, die häufig bei Schadsoftwareangriffen verwendet werden, während Unternehmen ihre Sicherheitsrisiken und Produktivitätsanforderungen ausgleichen können (nur Windows).
Erfahren Sie mehr über Microsoft Defender Exploit Guard in Create and deploy an Exploit Guard policy.
Weitere Informationen zu Sicherheitssteuerelementen finden Sie unter Erweiterte Sicherheitsbewertung (Vorschau).
Benutzerdefinierte Richtlinien mit benutzerdefinierten Metadaten sind nun allgemein verfügbar
Benutzerdefinierte Richtlinien sind nun Bestandteil der Security Center-Oberfläche mit den Empfehlungen, der Sicherheitsbewertung und des Dashboards mit den Standards zur Einhaltung gesetzlicher Bestimmungen. Dieses Feature ist jetzt allgemein verfügbar und ermöglicht es Ihnen, die Abdeckung in Bezug auf die Sicherheitsbewertung Ihrer Organisation in Security Center zu erweitern.
Erstellen Sie eine benutzerdefinierte Initiative in Azure Policy, fügen Sie ihr Richtlinien hinzu, und integrieren Sie sie in Azure Security Center, und visualisieren Sie sie als Empfehlungen.
Wir haben jetzt auch die Option zum Bearbeiten der benutzerdefinierten Metadaten für die Empfehlungen hinzugefügt. Zu den Metadatenoptionen zählen Schweregrad, Problembehandlungsschritte, Bedrohungsinformationen und mehr.
Informieren Sie sich über das Verbessern der benutzerdefinierten Empfehlungen mit ausführlichen Informationen.
Migration der Funktionen für die Absturzabbildanalyse zur Erkennung dateiloser Angriffe
Wir integrieren die Windows CdA-Erkennungsfunktionen (Crash Dump Analysis) in fileless Attack Detection. Dateilose Angriffserkennungsanalysen bieten verbesserte Versionen der folgenden Sicherheitswarnungen für Windows Computer: Codeeinfügung entdeckt, Masquerading Windows Modul erkannt, Shellcode erkannt und verdächtigen Codesegment erkannt.
Diese Umstellung hat u. a. folgende Vorteile:
Proaktive und rechtzeitige Erkennung von Schadsoftware: Bei der Absturzabbildanalyse wurde gewartet, bis es zu einem Absturz gekommen ist, und erst dann wurde die Analyse durchgeführt, um bösartige Artefakte zu ermitteln. Bei der Erkennung von dateilosen Angriffen werden In-Memory-Bedrohungen proaktiv während der Ausführung identifiziert.
Anreicherte Warnungen – Die Sicherheitswarnungen der dateilosen Angriffserkennung umfassen Anreicherungen, die nicht über CDA verfügbar sind, z. B. die informationen zu aktiven Netzwerkverbindungen.
Warnungsaggregation – Wenn CDA mehrere Angriffsmuster innerhalb eines einzelnen Absturzabbilds erkannt hat, löste es mehrere Sicherheitswarnungen aus. Bei der Erkennung von dateilosen Angriffen werden alle identifizierten Angriffsmuster eines Prozesses in einer Warnung zusammengefasst, damit nicht mehrere Warnungen korreliert werden müssen.
Reduced requirements on your Log Analytics workspace – Absturzabbilder, die potenziell vertrauliche Daten enthalten, werden nicht mehr in Ihren Log Analytics Arbeitsbereich hochgeladen.
April 2020
Zu den Updates im April gehören:
- Dynamische Compliancepakete sind jetzt allgemein verfügbar
- Identity-Empfehlungen sind jetzt in Azure Security Center kostenlosen Stufe enthalten
Dynamische Compliancepakete sind jetzt allgemein verfügbar
Das Azure Security Center Dashboard zur Einhaltung gesetzlicher Vorschriften umfasst jetzt dynamic Compliance-Pakete (jetzt allgemein verfügbar), um zusätzliche Branchen- und regulatorische Standards nachzuverfolgen.
Dynamische Compliancepakete können über die Security Center-Seite mit den Sicherheitsrichtlinien Ihrem Abonnement oder Ihrer Verwaltungsgruppe hinzugefügt werden. Nachdem Sie das Onboarding für einen Standard oder einen Benchmarkwert durchgeführt haben, wird der Standard in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen mit allen zugeordneten Compliancedaten in Form von Bewertungen angezeigt. Ein zusammenfassender Bericht für alle Standards, für die das Onboarding durchgeführt wurde, wird als Download bereitgestellt.
Sie können nun beispielsweise folgende Standards hinzufügen:
- NIST SP 800-53 R4
- SWIFT CSP CSCF-v2020
- UK Official und UK NHS
- Kanada Federal PBMM
- Azure CIS 1.1.0 (neu) (eine umfassendere Darstellung Azure CIS 1.1.0)
Darüber hinaus haben wir kürzlich die Azure Security Benchmark hinzugefügt, die Microsoft verfassten Azure spezifischen Richtlinien für bewährte Methoden für Sicherheit und Compliance basierend auf allgemeinen Compliance-Frameworks. Weitere Standards werden im Dashboard unterstützt, sobald sie verfügbar sind.
Erfahren Sie mehr zum Aktualisieren auf dynamische Compliancepakete in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen.
Identitätsempfehlungen, die jetzt in Azure Security Center kostenlosen Stufe enthalten sind
Sicherheitsempfehlungen für Identität und Zugriff auf die Azure Security Center kostenlosen Stufe sind jetzt allgemein verfügbar. Dies ist Teil der Maßnahme, mit der die Features für die Verwaltung des Cloudsicherheitsstatus kostenlos zugänglich gemacht werden sollen. Bisher waren diese Empfehlungen nur im Standard-Tarif verfügbar.
Beispiele für Empfehlungen zur Identität und zum Zugriff sind:
- „Für Konten mit Besitzerberechtigungen für Ihr Abonnement muss MFA aktiviert sein“
- „Für Ihr Abonnement dürfen maximal 3 Besitzer festgelegt werden“
- „Veraltete Konten müssen aus Ihrem Abonnement entfernt werden“
Bei Abonnements mit Free-Tarif wirkt sich diese Änderung auf deren Sicherheitsbewertungen aus, weil die Sicherheit in Bezug auf die Identität und den Zugriff hierfür bisher noch nicht bewertet wurde.
März 2020
Zu den Updates im März gehören:
- Workflowautomatisierung ist nun allgemein verfügbar
- Integration von Azure Security Center mit Windows Admin Center
- Protection für Azure Kubernetes Service
- Verbesserte Just-In-Time-Umgebung
- Zwei Sicherheitsempfehlungen für Webanwendungen als veraltet gekennzeichnet
Workflowautomatisierung ist nun allgemein verfügbar
Das Workflowautomatisierungs-Feature von Azure Security Center ist jetzt allgemein verfügbar. Sie können es verwenden, um Logic Apps bei Sicherheitswarnungen und Empfehlungen automatisch auszulösen. Darüber hinaus sind manuelle Trigger für Warnungen und alle Empfehlungen verfügbar, für die die „Schnellkorrektur“ verfügbar ist.
Jedes Sicherheitsprogramm umfasst mehrere Workflows für die Reaktion auf Vorfälle. Diese Prozesse können das Benachrichtigen relevanter Stakeholder, das Starten eines Change Management-Prozesses und das Anwenden spezifischer Korrekturschritte umfassen. Sicherheitsexperten empfehlen, möglichst viele Schritte dieser Verfahren zu automatisieren. Durch die Automatisierung wird der Aufwand reduziert. Außerdem können Sie die Sicherheit erhöhen, indem Sie sicherstellen, dass die Prozessschritte schnell, einheitlich und gemäß Ihren vordefinierten Anforderungen ausgeführt werden.
Weitere Informationen zu den automatischen und manuellen Security Center-Funktionen für die Ausführung Ihrer Workflows finden Sie in der Workflowautomatisierung.
Erfahren Sie mehr zum Erstellen von Logik-Apps.
Integration von Azure Security Center mit Windows Admin Center
Es ist jetzt möglich, Ihre lokalen Windows Server direkt von der Windows Admin Center in die Azure Security Center zu verschieben. Security Center wird dann zu Ihrem einzigen Glasbereich, um Sicherheitsinformationen für alle Ihre Windows Admin Center Ressourcen anzuzeigen, einschließlich lokaler Server, virtueller Computer und zusätzlicher PaaS-Workloads.
Nachdem Sie einen Server von Windows Admin Center zu Azure Security Center verschoben haben, können Sie:
- Zeigen Sie Sicherheitswarnungen und Empfehlungen im Security Center-Erweiterung des Windows Admin Center an.
- Zeigen Sie den Sicherheitsstatus an und rufen Sie zusätzliche detaillierte Informationen Ihrer Windows Admin Center verwalteten Server im Security Center im Azure-Portal (oder über eine API) ab.
Erfahren Sie mehr über how to integration Azure Security Center with Windows Admin Center.
Schutz für Azure Kubernetes Service
Azure Security Center erweitert seine Containersicherheitsfeatures, um Azure Kubernetes Service (AKS) zu schützen.
Die beliebte Open-Source-Plattform Kubernetes ist mittlerweile so verbreitet, dass sie heute ein Branchenstandard für die Containerorchestrierung ist. Trotz dieser weit verbreiteten Implementierung gibt es immer noch Defizite, was das Schützen einer Kubernetes-Umgebung betrifft. Zum Verteidigen der Angriffsflächen einer Containeranwendung sind bestimmte Kenntnisse erforderlich, um sicherstellen zu können, dass die Infrastruktur sicher konfiguriert ist und ständig auf potenzielle Bedrohungen überwacht wird.
Die Verteidigung für Security Center umfasst Folgendes:
- Ermittlung und Transparenz: Kontinuierliche Ermittlung von verwalteten AKS-Instanzen in den für Security Center registrierten Abonnements.
- Sicherheitsempfehlungen – Umsetzbare Empfehlungen, die Ihnen dabei helfen sollen, die bewährten Sicherheitsmethoden für AKS einzuhalten. Diese Empfehlungen sind in Ihrer Sicherheitsbewertung enthalten, um dafür zu sorgen, dass sie als Teil des Sicherheitsstatus Ihres Unternehmens angesehen werden. Ein Beispiel für eine AKS-bezogene Empfehlung, die möglicherweise angezeigt wird, ist „Die rollenbasierte Zugriffssteuerung sollte genutzt werden, um den Zugriff auf einen Kubernetes Service-Cluster einzuschränken“.
- Bedrohungsschutz – Durch kontinuierliche Analyse Ihrer AKS-Bereitstellung warnt Sie das Security Center vor Bedrohungen und bösartigen Aktivitäten, die auf Host- und AKS-Clusterebene erkannt wurden.
Erfahren Sie mehr über die Integration von Azure Kubernetes Services in Security Center.
Erfahren Sie mehr zu den Containersicherheitsfeatures von Security Center.
Verbesserte Just-In-Time-Umgebung
Die Features, Vorgänge und Ui für die Just-in-Time-Tools von Azure Security Center, mit denen Ihre Verwaltungsports gesichert werden, wurden wie folgt verbessert:
- Justification field – Beim Anfordern des Zugriffs auf einen virtuellen Computer (VM) über die Just-in-Time-Seite des Azure-Portals steht ein neues optionales Feld zur Verfügung, um eine Begründung für die Anforderung einzugeben. Die in diesem Feld eingegebenen Informationen können im Aktivitätsprotokoll nachverfolgt werden.
- Automatische Bereinigung von redundanten Just-In-Time-Regeln (JIT) : Bei jedem Update einer JIT-Richtlinie wird automatisch ein Bereinigungstool ausgeführt, um die Gültigkeit des gesamten Regelsatzes zu überprüfen. Das Tool sucht nach Konflikten zwischen den Regeln in Ihrer Richtlinie und den Regeln in der NSG. Wenn das Bereinigungstool einen Konflikt feststellt, ermittelt es die Ursache und entfernt integrierte Regeln, die nicht mehr benötigt werden – sofern dies auf sichere Weise möglich ist. Der Cleaner löscht niemals Regeln, die Sie erstellt haben.
Erfahren Sie mehr zum Feature für JIT-Zugriff.
Zwei Sicherheitsempfehlungen für Webanwendungen als veraltet gekennzeichnet
Zwei Sicherheitsempfehlungen zu Webanwendungen wurden als veraltet gekennzeichnet:
Regeln für Webanwendungen in IaaS-NSGs müssen verstärkt werden. (Zugehörige Richtlinie: Für Webanwendungen in IaaS müssen die NSG-Regeln verstärkt werden)
Zugriff auf App Services muss eingeschränkt sein. (Zugehörige Richtlinie: Zugriff auf App Services muss eingeschränkt sein [Vorschau])
Diese Empfehlungen werden nicht mehr in der Security Center-Liste mit den Empfehlungen angezeigt. Die zugehörigen Richtlinien sind nicht mehr in der Initiative mit dem Namen „Security Center-Standardrichtlinie“ enthalten.
Februar 2020
Erkennung von dateilosen Angriffen für Linux (Vorschau)
Da Angreifer zunehmend Stealthier-Methoden einsetzen, um die Erkennung zu vermeiden, erweitert Azure Security Center die Dateilose Angriffserkennung für Linux zusätzlich zu Windows. Bei dateilosen Angriffen werden Sicherheitsrisiken in der Software ausgenutzt, schädliche Nutzlasten in unkritische Systemprozesse eingeschleust und Angriffe im Arbeitsspeicher verborgen. Diese Techniken:
- Verringerung oder Beseitigung der Spuren von Schadsoftware auf Datenträgern
- Erhebliche Verringerung der Wahrscheinlichkeit, dass Angreifer von datenträgerbasierten Schadsoftware-Scanlösungen erkannt werden
Um diese Bedrohung zu bekämpfen, Azure Security Center die Dateilose Angriffserkennung für Windows im Oktober 2018 veröffentlicht und hat nun auch dateilose Angriffserkennung unter Linux erweitert.
Januar 2020
Erweiterte Sicherheitsbewertung (Vorschau)
Eine verbesserte Version der Secure Score-Funktion von Azure Security Center ist jetzt in der Vorschau verfügbar. Bei dieser Version werden mehrere Empfehlungen zu Sicherheitssteuerelementen gruppiert, die Ihre anfälligen Angriffsflächen besser widerspiegeln (z. B. Einschränkung des Zugriffs auf Verwaltungsports).
Machen Sie sich mit den Änderungen vertraut, die während der Vorschauphase für die Sicherheitsbewertung vorgenommen werden, und ermitteln Sie andere Lösungen, mit denen Sie Ihre Umgebung noch besser schützen können.
Erfahren Sie mehr über die erweiterte Sicherheitsbewertung (Vorschau).
November 2019
Updates im November:
- Threat Protection for Azure Key Vault in Nordamerika (Vorschau)
- Threat Protection for Azure Storage includes Malware Reputation Screening
- Workflowautomatisierung mit Azure Logic Apps (Vorschau)
- Ressourcenübergreifende schnelle Problembehebung allgemein verfügbar
- Überprüfen von Containerimages auf Sicherheitsrisiken (Vorschau)
- Zusätzliche Standards zur Einhaltung gesetzlicher Bestimmungen (Vorschau)
- Threat Protection für Azure Kubernetes Service (Vorschau)
- Sicherheitsrisikobewertung für virtuelle Computer (Vorschau)
- Advanced-Datensicherheit für SQL-Server auf Azure Virtual Machines (Vorschau)
- Unterstützung für benutzerdefinierte Richtlinien (Vorschau)
- Extending Azure Security Center Abdeckung mit Plattform für Community und Partner
- Erweiterte Integration über den Export von Security Center-Empfehlungen und -Warnungen (Vorschau)
Onboard-Lokalen Servern vom Windows Admin Center (Vorschau)
Bedrohungsschutz für Azure Key Vault in Nordamerika-Regionen (Vorschau)
Azure Key Vault ist ein wesentlicher Dienst zum Schutz von Daten und zur Verbesserung der Leistung von Cloudanwendungen, indem es die Möglichkeit bietet, Schlüssel, geheime Schlüssel, kryptografische Schlüssel und Richtlinien in der Cloud zentral zu verwalten. Da Azure Key Vault vertrauliche und geschäftskritische Daten speichert, erfordert sie maximale Sicherheit für die Schlüsseltresor und die darin gespeicherten Daten.
Azure Security Center Unterstützung für Threat Protection für Azure Key Vault bietet eine zusätzliche Ebene von Sicherheitsintelligenz, die ungewöhnliche und potenziell schädliche Versuche erkennt, auf Schlüsseltresor zuzugreifen oder auszunutzen. Aufgrund dieser neuen Schutzebene können Kunden auch ohne Sicherheitsexpertise oder die Verwaltung von Sicherheitsüberwachungssystemen effektiv auf Bedrohungen ihrer Schlüsseltresore reagieren. Dieses Feature ist in Nordamerika als öffentliche Vorschauversion verfügbar.
Bedrohungsschutz für Azure Storage umfasst die Überprüfung der Schadsoftware-Zuverlässigkeit
Der Bedrohungsschutz für Azure Storage bietet neue Erkennungen, die von Microsoft Threat Intelligence unterstützt werden, um Schadsoftwareuploads Azure Storage mithilfe von Hash-Reputationsanalyse und verdächtigem Zugriff von einem aktiven Tor-Exit-Knoten (einem anonymisierenden Proxy) zu erkennen. Sie können erkannte Schadsoftware jetzt über Speicherkonten hinweg anzeigen, indem Sie Azure Security Center verwenden.
Workflowautomatisierung mit Azure Logic Apps (Vorschauversion)
Organisationen mit zentral verwalteten Sicherheits- und IT-Abläufen implementieren interne Workflowprozesse, um erforderliche Aktionen innerhalb der Organisation voranzutreiben, wenn Abweichungen in der Umgebung entdeckt werden. In vielen Fällen handelt es sich bei diesen Workflows um wiederholbare Prozesse, und durch die Automatisierung können Prozesse in der Organisation deutlich optimiert werden.
Heute führen wir eine neue Funktion im Security Center ein, mit der Kunden Automatisierungskonfigurationen mithilfe von Azure Logic Apps erstellen und Richtlinien erstellen können, die sie automatisch basierend auf bestimmten ASC-Ergebnissen wie Empfehlungen oder Warnungen auslösen. Azure Logik-App kann so konfiguriert werden, dass jede benutzerdefinierte Aktion ausgeführt wird, die von der großen Community von Logic App-Connectors unterstützt wird, oder eine der Vorlagen verwenden, die vom Security Center bereitgestellt werden, z. B. das Senden einer E-Mail oder das Öffnen eines ServiceNow-Tickets™.
Weitere Informationen zu den automatischen und manuellen Security Center-Funktionen für die Ausführung Ihrer Workflows finden Sie in der Workflowautomatisierung.
Weitere Informationen zum Erstellen von Logik-Apps finden Sie unter Azure Logic Apps.
Ressourcenübergreifendes schnelle Problembehebung allgemein verfügbar
Die Sicherheitsbewertung kann sehr umfangreich sein, wodurch es schwierig wird, Probleme ressourcenübergreifend zu beheben.
Verwenden Sie die schnelle Problembehebung, um fehlerhafte Sicherheitskonfigurationen zu korrigieren, Empfehlungen für mehrere Ressourcen anzuwenden und Ihre Sicherheitsbewertung zu verbessern.
Mit dieser Vorgehensweise können Sie die Ressourcen auswählen, auf die Sie die Wartung anwenden möchten, und dann die Wartungsaktion starten. Die Konfiguration erfolgt automatisch, ohne dass Sie eingreifen müssen.
Die schnelle Problembehebung steht Kunden ab heute über die Seite „Security Center-Empfehlungen“ zur Verfügung.
Überprüfen von Containerimages auf Sicherheitsrisiken (Vorschauversion)
Azure Security Center können containerimages jetzt in Azure Container Registry auf Sicherheitsrisiken überprüfen.
Bei der Überprüfung von Images wird die Containerimagedatei analysiert und anschließend auf bekannte Sicherheitsrisiken überprüft (unterstützt durch Qualys).
Der Scan selbst wird automatisch ausgelöst, wenn neue Containerimages an Azure Container Registry verschoben werden. Erkannte Sicherheitsrisiken werden als Security Center-Empfehlungen angezeigt und sind zusammen mit Informationen zum Patchen dieser Risiken zur Reduzierung der gebotenen Angriffsfläche in der Sicherheitsbewertung enthalten.
Zusätzliche Standards zur Einhaltung gesetzlicher Bestimmungen (Vorschauversion)
Das Dashboard „Einhaltung gesetzlicher Bestimmungen“ bietet Erkenntnisse über Ihren Konformitätsstatus, die auf Security Center-Bewertungen basieren. Das Dashboard zeigt, inwieweit Ihre Umgebung mit den Steuerelementen und Anforderungen bestimmter gesetzlicher Standards und Branchenbenchmarks übereinstimmt und bietet ausführliche Empfehlungen zum Erfüllen dieser Anforderungen.
Das Dashboard zur Einhaltung gesetzlicher Vorschriften hat bisher vier integrierte Standards unterstützt: Azure CIS 1.1.0, PCI-DSS, ISO 27001 und SOC-TSP. Wir kündigen nun die öffentliche Vorschauversion zusätzlicher unterstützter Standards an: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Kanada Federal PBMM und UK Official zusammen mit UK NHS. Außerdem veröffentlichen wir eine aktualisierte Version von Azure CIS 1.1.0, die mehr Steuerelemente aus dem Standard abdeckt und die Erweiterbarkeit verbessert.
Threat Protection für Azure Kubernetes Service (Vorschau)
Kubernetes entwickelt sich in Rekordzeit zum neuen Standard für die Softwarebereitstellung und -verwaltung in der Cloud. Derzeit gibt es noch wenige Benutzer, die umfassende Erfahrungen mit Kubernetes vorweisen können. Viele konzentrieren sich auf die allgemeine Entwicklung und Verwaltung und vernachlässigen dabei den Sicherheitsaspekt. Eine Kubernetes-Umgebung muss sorgfältig konfiguriert werden, damit sie wirklich sicher ist. So wird sichergestellt, dass keine Angriffsfläche für Angriffe auf Container geboten wird. Das Security Center erweitert seine Unterstützung im Containerbereich auf einen der am schnellsten wachsenden Dienste in Azure - Azure Kubernetes Service (AKS).
Die öffentliche Vorschauversion umfasst folgende Funktionen:
- Ermittlung und Sichtbarkeit: Continuous Discovery für verwaltete AKS-Instanzen in den registrierten Security Center-Abonnements.
- Empfehlungen zur Sicherheitsbewertung: Nützliche Hinweise, mit denen Kunden die Best Practices für Sicherheit in AKS einhalten und ihre Sicherheitsbewertung erhöhen können. Ein Beispiel für diese Empfehlungen lautet: „Die rollenbasierte Zugriffssteuerung sollte genutzt werden, um den Zugriff auf einen Kubernetes Service-Cluster einzuschränken“.
- Bedrohungserkennung – Host- und clusterbasierte Analysen, z. B. "Ein privilegierter Container erkannt".
Sicherheitsrisikobewertung für virtuelle Computer (Vorschauversion)
Auf virtuellen Computern installierte Anwendungen sind oft anfällig für Sicherheitsrisiken, die zu einer Kompromittierung des gesamten virtuellen Computers führen können. Wir kündigen an, dass die Sicherheitscenter-Standardebene integrierte Sicherheitsrisikobewertung für virtuelle Computer ohne zusätzliche Gebühr enthält. Die Sicherheitsrisikobewertung in der öffentlichen Vorschauversion basiert auf Qualys und ermöglicht das kontinuierliche Scannen aller installierten Anwendungen auf einem virtuellen Computer, um anfällige Anwendungen zu finden und die Ergebnisse auf der Benutzeroberfläche des Security Center-Portal anzuzeigen. Das Security Center berücksichtigt dabei alle Bereitstellungsvorgänge, sodass der Benutzer keine weiteren Maßnahmen ergreifen muss. In Zukunft planen wir, Optionen zur Sicherheitsrisikobewertung bereitzustellen, um die individuellen Geschäftsanforderungen unserer Kunden zu unterstützen.
Erfahren Sie mehr über Sicherheitsrisikobewertungen für Ihre Azure Virtual Machines.
Erweiterte Datensicherheit für SQL-Server auf Azure Virtual Machines (Vorschau)
Azure Security Center Unterstützung für Bedrohungsschutz und Sicherheitsrisikobewertung für SQL-DBs, die auf IaaS-VMs ausgeführt werden, befindet sich jetzt in der Vorschau.
Die Sicherheitsrisikobewertung ist ein einfach zu konfigurierener Dienst, der potenzielle Datenbankrisiken erkennen, nachverfolgen und ihnen dabei hilft, potenzielle Datenbankrisiken zu beheben. Sie bietet Einblicke in Ihren Sicherheitsstatus als Teil der Sicherheitsbewertung, enthält die Schritte zum Beheben von Sicherheitsproblemen und verbessert Ihre Datenbanksicherheit.
Advanced Threat Protection erkennt Anomalien bei Aktivitäten, die auf ungewöhnliche und potenziell schädliche Versuche hinweisen, auf SQL Server zuzugreifen oder diesen zu nutzen. Sie überwacht Ihre Datenbank fortlaufend auf verdächtige Aktivitäten und stellt handlungsorientierte Sicherheitswarnungen bei anomalen Datenbankzugriffsmustern bereit. Diese Warnungen enthalten Details zur verdächtigen Aktivität sowie empfohlene Maßnahmen zur Untersuchung und Abwehr der Bedrohung.
Unterstützung für benutzerdefinierte Richtlinien (Vorschauversion)
Azure Security Center unterstützt jetzt benutzerdefinierte Richtlinien (in der Vorschau).
Unsere Kunden wollten ihre aktuelle Sicherheitsbewertungsabdeckung im Security Center um ihre eigenen Sicherheitsbewertungen erweitern, basierend auf Richtlinien, die sie in Azure Policy erstellen. Da nun benutzerdefinierte Richtlinien unterstützt werden, ist dies jetzt möglich.
Diese neuen Richtlinien sollen Teil der Security Center-Empfehlungen, Sicherheitsbewertung und dem Dashboard für Standards zur Einhaltung gesetzlicher Bestimmungen werden. Mit der Unterstützung für benutzerdefinierte Richtlinien können Sie jetzt eine benutzerdefinierte Initiative in Azure Policy erstellen, sie dann als Richtlinie im Security Center hinzufügen und als Empfehlung visualisieren.
Erweitern Azure Security Center Abdeckung mit Plattform für Community und Partner
Verwenden Sie das Security Center, um Empfehlungen nicht nur von Microsoft, sondern auch von vorhandenen Lösungen von Partnern wie Check Point, Tenable und CyberArk zu erhalten, mit vielen weiteren Integrationen. Der einfache Security Center-Onboardingflow ermöglicht das Verbinden Ihrer vorhandenen Lösungen mit Security Center, sodass Sie alle Sicherheitsstatusempfehlungen an einem Ort anzeigen, vereinheitlichte Berichte ausführen und alle Security Center-Funktionen sowohl für integrierte als auch Partnerempfehlungen nutzen können. Sie können Security Center-Empfehlungen auch für Partnerprodukte exportieren.
Erfahren Sie mehr über Microsoft Intelligent Security Association.
Erweiterte Integration über den Export von Security Center-Empfehlungen und -Warnungen (Vorschauversion)
Um Szenarien auf Unternehmensebene über das Security Center zu aktivieren, ist es jetzt möglich, Security Center-Warnungen und Empfehlungen an zusätzlichen Stellen außer dem Azure Portal oder der API zu nutzen. Diese können direkt in einen Event Hub und in Log Analytics Arbeitsbereiche exportiert werden. Hier finden Sie Beispiele für Workflows, die Sie mithilfe dieser neuen Funktionen erstellen können:
- Mit dem Export in Log Analytics Arbeitsbereich können Sie benutzerdefinierte Dashboards mit Power BI erstellen.
- Mit dem Export in Event Hubs können Sie Security Center-Warnungen und Empfehlungen an Ihre SIEMs von Drittanbietern, an eine Drittanbieterlösung oder Azure Data Explorer exportieren.
Onboarding lokaler Server in Security Center von Windows Admin Center (Vorschau)
Windows Admin Center ist ein Verwaltungsportal für Windows Server, die nicht in Azure bereitgestellt werden und ihnen mehrere Azure Verwaltungsfunktionen wie Sicherungs- und Systemupdates bieten. Wir haben kürzlich eine Möglichkeit hinzugefügt, diese Nicht-Azure-Server zu integrieren, die von ASC direkt von der Windows Admin Center-Oberfläche geschützt werden.
Benutzer können jetzt einen WAC-Server in Azure Security Center integrieren und die Anzeige seiner Sicherheitswarnungen und Empfehlungen direkt in der Windows Admin Center Erfahrung aktivieren.
September 2019
Updates im September:
- Verbesserte Verwaltung von Regeln mit der adaptiven Anwendungssteuerung
- Control-Containersicherheitsempfehlung mithilfe von Azure Policy
Verbesserte Verwaltung von Regeln mit der adaptiven Anwendungssteuerung
Die Funktion zum Verwalten von Regeln für virtuelle Computer mithilfe der adaptiven Anwendungssteuerung wurde verbessert. Die adaptiven Anwendungssteuerelemente von Azure Security Center helfen Ihnen, zu steuern, welche Anwendungen auf Ihren virtuellen Computern ausgeführt werden können. Neben der allgemeinen Verbesserung der Regelverwaltung können Sie dank einer neuen Funktion nun steuern, welche Dateitypen geschützt werden, wenn Sie eine neue Regel hinzufügen.
Weitere Informationen über Adaptive Anwendungssteuerungen
Steuern der Containersicherheitsempfehlung mithilfe von Azure Policy
Azure Security Center Empfehlung zur Behebung von Sicherheitsrisiken in Containersicherheit kann jetzt über Azure Policy aktiviert oder deaktiviert werden.
Öffnen Sie zum Anzeigen der von Ihnen aktivierten Sicherheitsrichtlinien in Security Center die Seite „Sicherheitsrichtlinie“.
August 2019
Updates im August:
- Just-in-Time(JIT)-VM-Zugriff für Azure Firewall
- Ein-Klick-Wartung zur Verbesserung Ihres Sicherheitsstatus (Vorschau)
- Mandantenübergreifende Verwaltung
Just-in-Time(JIT)-VM-Zugriff für Azure Firewall
Just-in-Time(JIT)-VM-Zugriff für Azure Firewall ist jetzt allgemein verfügbar. Verwenden Sie sie, um Ihre Azure Firewall geschützten Umgebungen zusätzlich zu Ihren NSG-geschützten Umgebungen zu schützen.
DER JIT-VM-Zugriff reduziert die Gefährdung durch Netzwerkvolumeangriffe, indem der kontrollierte Zugriff auf VMs nur bei Bedarf mithilfe Ihrer NSG- und Azure Firewall-Regeln ermöglicht wird.
Beim Aktivieren von JIT für Ihre VMs erstellen Sie eine Richtlinie, die festlegt, welche Ports geschützt werden sollen, wie lange die Ports geöffnet sein sollen und von welchen genehmigten IP-Adressen aus auf diese Ports zugegriffen werden kann. Mit dieser Richtlinie behalten Sie volle Kontrolle darüber, was Ihre Benutzer ausführen dürfen, wenn sie Zugriff anfordern.
Anforderungen werden im Azure Aktivitätsprotokoll protokolliert, sodass Sie den Zugriff auf einfache Weise überwachen und überwachen können. Außerdem können Sie auf der JIT-Seite sehr schnell ermitteln, auf welchen vorhandenen VMs JIT aktiviert ist und auf welchen JIT empfohlen wird.
Learn Sie mehr über Azure Firewall.
Ein-Klick-Wartung zur Verbesserung Ihres Sicherheitsstatus (Vorschauversion)
Secure Score ist ein Tool, mit dem Sie den Sicherheitsstatus bewerten können. Es überprüft Ihre Sicherheitsempfehlungen und priorisiert sie für Sie, damit Sie wissen, welche Empfehlungen Sie zuerst durchführen sollten. Dies hilft Ihnen, die schwerwiegendsten Sicherheitsrisiken zu finden, um die Untersuchung priorisieren zu können.
Zur Vereinfachung der Wartung von Fehlkonfigurationen bei der Sicherheit und für eine schnelle Verbesserung Ihrer Sicherheitsbewertung haben wir außerdem eine neue Funktion hinzugefügt, mit der Sie einzelne Empfehlungen mit nur einem Klick für einen ganzen Stapel von Ressourcen ausführen können.
Mit dieser Vorgehensweise können Sie die Ressourcen auswählen, auf die Sie die Wartung anwenden möchten, und dann die Wartungsaktion starten. Die Konfiguration erfolgt automatisch, ohne dass Sie eingreifen müssen.
Mandantenübergreifende Verwaltung
Security Center unterstützt jetzt mandantenübergreifende Verwaltungsszenarien im Rahmen von Azure Lighthouse. Dadurch können Sie in Security Center mehrere Mandanten einsehen und ihren Sicherheitsstatus verwalten.
Weitere Informationen über mandantenübergreifende Verwaltungsmöglichkeiten
Juli 2019
Updates für Netzwerkempfehlungen
Azure Security Center (ASC) hat neue Netzwerkempfehlungen eingeführt und einige bestehende verbessert. Damit trägt Security Center noch mehr zum Schutz Ihres Netzwerks und Ihrer Ressourcen bei.
Juni 2019
Adaptive Netzwerkhärtung allgemein verfügbar
Eine der größten Angriffsflächen für Workloads, die in der öffentlichen Cloud ausgeführt werden, sind Verbindungen mit und aus dem öffentlichen Internet. Unsere Kunden finden es schwer zu wissen, welche Netzwerksicherheitsgruppenregeln (Network Security Group, NSG) vorhanden sein sollten, um sicherzustellen, dass Azure Workloads nur für erforderliche Quellbereiche verfügbar sind. Mit diesem Feature lernt Security Center die Netzwerkdatenverkehr- und Konnektivitätsmuster von Azure Workloads und bietet Empfehlungen für NSG-Regelempfehlungen für virtuelle Computer im Internet. Dadurch können Kunden ihre Netzwerkzugriffsrichtlinien besser konfigurieren und die Anfälligkeit für Angriffe minimieren.