Az adatérzékeny biztonsági helyzet támogatása és előfeltételei
Az adatérzékeny biztonsági helyzet beállítása előtt tekintse át a lapon szereplő követelményeket Felhőhöz készült Microsoft Defender.
Bizalmas adatok felderítésének engedélyezése
A bizalmas adatfelderítés a Defender CSPM, a Defender for Storage és a Defender for Databases csomagokban érhető el.
- Ha engedélyezi az egyik csomagot, a bizalmas adatfelderítési bővítmény a terv részeként be van kapcsolva.
- Ha meglévő csomagjai futnak, a bővítmény elérhető, de alapértelmezés szerint ki van kapcsolva.
- Ha egy vagy több bővítmény nincs bekapcsolva, a meglévő csomag állapota "Részleges" értékként jelenik meg a "Teljes" helyett.
- A funkció az előfizetés szintjén be van kapcsolva.
- Ha a bizalmas adatfelderítés be van kapcsolva, de a Defender CSPM nincs engedélyezve, csak a tárerőforrások lesznek beolvasva.
- Ha egy előfizetés engedélyezve van a Defender CSPM-ben, és ezzel párhuzamosan ugyanazokat az erőforrásokat vizsgálta meg a Purview használatával, a Purview vizsgálati eredménye figyelmen kívül lesz hagyva, és alapértelmezés szerint megjeleníti a Felhőhöz készült Microsoft Defender támogatott erőforrástípus vizsgálati eredményeit.
Támogatott műveletek
A táblázat összefoglalja az adatérzékeny testtartás-kezelés támogatását.
| Támogatás | Részletek |
|---|---|
| Milyen Azure-adaterőforrásokat fedezhetek fel? | Objektumtároló: Blob Storage-fiókok letiltása az Azure Storage 1/v2-ben Azure Data Lake Storage Gen2 A magánhálózatok mögötti tárfiókok támogatottak. Az ügyfél által felügyelt kiszolgálóoldali kulccsal titkosított tárfiókok támogatottak. A fiókok nem támogatottak, ha a beállítások bármelyike engedélyezve van: A tárfiók azure DNS-zónaként van definiálva; A tárfiókvégponthoz egy egyéni tartomány van hozzárendelve. Adatbázisok Azure SQL Databases |
| Milyen AWS-adaterőforrásokat fedezhetek fel? | Objektumtároló: AWS S3 gyűjtők Felhőhöz készült Defender felderítheti a KMS által titkosított adatokat, de az ügyfél által felügyelt kulccsal titkosított adatokat nem. Adatbázisok - Amazon Aurora - Amazon RDS for PostgreSQL - Amazon RDS for MySQL - Amazon RDS for MariaDB - Sql Serverhez készült Amazon RDS (nemcustom) - Amazon RDS for Oracle Database (nemcustom, Standard kiadás 2 Edition csak) Előfeltételek és korlátozások: – Engedélyezni kell az automatizált biztonsági mentéseket. – A vizsgálat céljára létrehozott IAM-szerepkörnek (alapértelmezés szerint DefenderForCloud-DataSecurityPostureDB) rendelkeznie kell az RDS-példány titkosításához használt KMS-kulcs engedélyével. – Nem oszthat meg olyan adatbázis-pillanatképet, amely állandó vagy állandó beállításokkal rendelkező beállításcsoportot használ, kivéve azokat az Oracle DB-példányokat, amelyek rendelkeznek az Időzónával vagy az OLS-beállítással (vagy mindkettővel). További információ |
| Milyen GCP-adaterőforrásokat tudok felderíteni? | GCP-tárológyűjtők Standard osztály Földrajzi terület: régió, kettős régió, többrégió |
| Milyen engedélyekre van szükségem a felderítéshez? | Tárfiók: Előfizetés tulajdonosa vagy Microsoft.Authorization/roleAssignments/* (olvasás, írás, törlés) ésMicrosoft.Security/pricings/* (olvasás, írás, törlés) ésMicrosoft.Security/pricings/SecurityOperators (olvasás, írás)Amazon S3-gyűjtők és RDS-példányok: AWS-fiók engedélye a Cloud Formation futtatására (szerepkör létrehozásához). GCP-tárológyűjtők: A Google-fiók engedélye szkript futtatására (szerepkör létrehozásához). |
| Milyen fájltípusokat támogat a bizalmas adatfelderítés? | Támogatott fájltípusok (nem választhat részhalmazt) – .doc, .docm, .docx, .dot, .gz, .odp, .ods, .odt, .pdf, .pot, .pps, .ppsx, .ppt, .pptm, .pptx, .xlc, .xls, .xlsb, .xlsm, .xlsx, .xlt, .csv, .json, .psv, .ssv, .tsv, .txt., xml, .parquet, .avro, .orc. |
| Mely Azure-régiók támogatottak? | Az Azure Storage-fiókokat a következő helyen fedezheti fel: Kelet-Ázsia; Délkelet-Ázsia; Ausztrália középső régiója; Ausztrália középső régiója 2; Kelet-Ausztrália; Délkelet-Ausztrália; Dél-Brazília; Délkelet-Brazília; Kanada középső régiója; Kelet-Kanada; Észak-Európa; Nyugat-Európa; Franciaország középső régiója; Dél-Franciaország; Észak-Németország; Németország nyugati középső régiója; India középső régiója; Dél-India; Kelet-Japán; Nyugat-Japán; Jio India nyugati régiója; Közép-Korea; Dél-Korea; Kelet-Norvégia; Nyugat-Norvégia; Észak-Afrika déli régiója; Nyugat-Afrika déli régiója; Svédország középső régiója; Észak-Svájc; Nyugat-Svájc; Egyesült Arab Emírségek északi régiója; Egyesült Királyság déli régiója; Egyesült Királyság nyugati régiója; USA középső régiója; USA keleti régiója; USA 2. keleti régiója; USA északi középső régiója; USA déli középső régiója; USA nyugati régiója; USA nyugati régiója 2; USA nyugati régiója 3; USA nyugati középső régiója; Az Azure SQL Database-eket bármely olyan régióban felfedezheti, ahol a Defender CSPM és az Azure SQL Database támogatott. |
| Milyen AWS-régiók támogatottak? | S3: Ázsia és Csendes-óceáni térség (Mumbai); Ázsia és Csendes-óceáni térség (Szingapúr); Ázsia és a Csendes-óceán (Sydney); Ázsia és a Csendes-óceán (Tokió); Kanada (Montreal); Európa (Frankfurt); Európa (Írország); Európa (London); Európa (Párizs); Európa (Stockholm); Dél-Amerika (São Paulo); USA keleti régiója (Ohio); USA keleti régiója (N. Virginia); USA nyugati régiója (N. California): USA nyugati régiója (Oregon). RDS: Afrika (Fokváros); Ázsia és Csendes-óceáni térség (Hongkong KKT); Asia Pacific (Hyderabad); Ázsia és a Csendes-óceán (Melbourne); Ázsia és Csendes-óceáni térség (Mumbai); Ázsia és csendes-óceáni térség (Oszaka); Ázsia és a Csendes-óceán (Szöul); Ázsia és Csendes-óceáni térség (Szingapúr); Ázsia és a Csendes-óceán (Sydney); Ázsia és a Csendes-óceán (Tokió); Kanada (Közép-); Európa (Frankfurt); Európa (Írország); Európa (London); Európa (Párizs); Európa (Stockholm); Európa (Zürich); Közel-Kelet (Egyesült Arab Emírségek); Dél-Amerika (São Paulo); USA keleti régiója (Ohio); USA keleti régiója (N. Virginia); USA nyugati régiója (N. California): USA nyugati régiója (Oregon). A felderítés helyileg történik a régióban. |
| Mely GCP-régiók támogatottak? | europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1 |
| Telepítenem kell egy ügynököt? | Nem, a felderítés nem igényel ügynöktelepítést. |
| Mennyibe kerül? | A funkció a Defender CSPM és a Defender for Storage csomagok részét képezi, és a megfelelő csomag költségein kívül nem jár többletköltséggel. |
| Milyen engedélyekre van szükségem az adatérzékenység-beállítások megtekintéséhez/szerkesztéséhez? | A Következő Microsoft Entra-szerepkörök egyikére van szüksége: Globális Rendszergazda istrator, Megfelelőségi Rendszergazda istrator, Megfelelőségi adatok Rendszergazda istrator, Biztonsági Rendszergazda istrator, Biztonsági operátor. |
| Milyen engedélyekre van szükségem az előkészítés végrehajtásához? | A következő Azure-szerepköralapú hozzáférés-vezérlési (Azure RBAC-) szerepkörök egyikére van szüksége: Biztonsági Rendszergazda, Közreműködő, Tulajdonos az előfizetés szintjén (ahol a GCP-projekt/projektek találhatók). A biztonsági megállapítások használatához: Security Reader, Security Rendszergazda, Reader, Contributor, Owner on the subscription level (where the GCP project/s reside). |
Adatérzékenység-beállítások konfigurálása
Az adatérzékenység-beállítások konfigurálásának fő lépései a következők:
- Egyéni bizalmassági adattípusok/címkék importálása Microsoft Purview megfelelőségi portál
- Bizalmas adatkategóriák/-típusok testreszabása
- Bizalmassági címkék küszöbértékének beállítása
További információ a bizalmassági címkékről a Microsoft Purview-ban.
Felderítés
Felhőhöz készült Defender azonnal megkezdi az adatok felderítését egy terv engedélyezése után, vagy a már futó csomagok funkciójának bekapcsolása után.
Objektumtárolás esetén:
- Az első felderítés eredményeinek megtekintése akár 24 órát is igénybe vehet.
- Miután a fájlok frissültek a felderített erőforrásokban, az adatok nyolc napon belül frissülnek.
- A már felderített előfizetéshez hozzáadott új Azure Storage-fiók legalább 24 órán belül felderítve lesz.
- A már felderített AWS-fiókhoz vagy Google-fiókhoz hozzáadott új AWS S3-gyűjtő vagy GCP-tárológyűjtő legalább 48 órán belül felderítve lesz.
Adatbázisok esetén:
- Az adatbázisok heti rendszerességgel vannak beolvasva.
- Az újonnan engedélyezett előfizetések esetében az eredmények 24 órán belül megjelennek.
AWS S3-gyűjtők felderítése
Az AWS-erőforrások Felhőhöz készült Defender való védelme érdekében beállíthat egy AWS-összekötőt egy CloudFormation-sablon használatával az AWS-fiók előkészítéséhez.
- Az AWS-adaterőforrások felderítéséhez Felhőhöz készült Defender frissíti a CloudFormation sablont.
- A CloudFormation sablon új szerepkört hoz létre az AWS IAM-ben, amely lehetővé teszi, hogy a Felhőhöz készült Defender szkenner hozzáférjen az S3-gyűjtők adataihoz.
- Az AWS-fiókok csatlakoztatásához Rendszergazda istrator-engedélyekre van szüksége a fiókhoz.
- A szerepkör engedélyezi ezeket az engedélyeket: S3 csak olvasható; KMS-visszafejtés.
AWS RDS-példányok felderítése
Az AWS-erőforrások Felhőhöz készült Defender való védelméhez állítson be egy AWS-összekötőt egy CloudFormation-sablon használatával az AWS-fiók előkészítéséhez.
- Az AWS RDS-példányok felderítéséhez Felhőhöz készült Defender frissíti a CloudFormation sablont.
- A CloudFormation-sablon új szerepkört hoz létre az AWS IAM-ben, amely lehetővé teszi, hogy a Felhőhöz készült Defender szkenner az utolsó elérhető automatikus pillanatképet készítsen a példányról, és egy izolált vizsgálati környezetben, ugyanabban az AWS-régióban helyezze üzembe.
- Az AWS-fiókok csatlakoztatásához Rendszergazda istrator-engedélyekre van szüksége a fiókhoz.
- Az automatizált pillanatképeket engedélyezni kell a megfelelő RDS-példányokon/fürtökön.
- A szerepkör engedélyezi ezeket az engedélyeket (pontos definíciókért tekintse át a CloudFormation sablont):
- Az összes RDS-beli DBs/fürt listázása
- Az összes db/fürt pillanatképének másolása
- Adatbázis/fürt pillanatképének törlése/frissítése defenderfordatabases előtaggal
- Az összes KMS-kulcs listázása
- Az összes KMS-kulcs használata csak a forrásfiókon lévő RDS-hez
- > Teljes vezérlés létrehozása az összes KMS-kulcson a DefenderForDatabases címkeelőtaggal
- Alias létrehozása KMS-kulcsokhoz
- A KMS-kulcsok minden RDS-példányt tartalmazó régióhoz egyszer jönnek létre. A KMS-kulcs létrehozása az AWS KMS díjszabásának megfelelően minimális többletköltséggel járhat.
GCP-tárológyűjtők felderítése
A GCP-erőforrások Felhőhöz készült Defender való védelme érdekében beállíthat egy Google-összekötőt egy szkriptsablon használatával a GCP-fiók előkészítéséhez.
- A GCP-tárológyűjtők felderítéséhez Felhőhöz készült Defender frissíteni a szkriptsablont.
- A szkriptsablon egy új szerepkört hoz létre a Google-fiókban, amely engedélyezi a Felhőhöz készült Defender szkenner számára, hogy hozzáférjen a GCP-tárolókban lévő adatokhoz.
- A Google-fiókok csatlakoztatásához Rendszergazda istrator-engedélyekre van szüksége a fiókhoz.
Az internethez való hozzáférés engedélyezése/nyilvános hozzáférés engedélyezése
A Defender CSPM támadási útvonalai és a felhőbeli biztonsági gráfelemzések az interneten elérhető és nyilvános hozzáférést lehetővé tevő tárolási erőforrásokra vonatkozó információkat tartalmaznak. Az alábbi táblázat további részleteket tartalmaz.
| State | Azure Storage-fiókok | AWS S3 gyűjtők | GCP-tárológyűjtők |
|---|---|---|---|
| Az internethez elérhetővé téve | Az Azure Storage-fiók akkor tekinthető az interneten elérhetőnek, ha az alábbi beállítások valamelyike engedélyezve van: >Storage_account_name Hálózati>nyilvános hálózati hozzáférés>minden hálózatról engedélyezve vagy Storage_account_name Hálózati>nyilvános hálózati hozzáférés>engedélyezése a kiválasztott virtuális hálózatokról és IP-címekről.> |
Az AWS S3 gyűjtő akkor tekinthető az internet számára elérhetőnek, ha az AWS-fiók/AWS S3 gyűjtőszabályzat nem rendelkezik az IP-címekhez beállított feltétellel. | Alapértelmezés szerint minden GCP-tároló gyűjtő az internethez van elérhetővé téve. |
| Nyilvános hozzáférés engedélyezése | Az Azure Storage-fiók tárolója akkor tekinthető nyilvános hozzáférés engedélyezésének, ha ezek a beállítások engedélyezve vannak a tárfiókon: >Storage_account_name Konfiguráció engedélyezve>van a blob nyilvános hozzáférésének> engedélyezése. és a következő beállítások egyikét : >Storage_account_name tárolók> container_name >nyilvános hozzáférési szint blobra van állítva (csak blobok névtelen olvasási hozzáférése) Vagy storage_account_name >tárolók> container_name> nyilvános hozzáférési szint tárolóra van állítva (tárolók és blobok névtelen olvasási hozzáférése). |
Az AWS S3 gyűjtő akkor tekinthető nyilvános hozzáférés engedélyezésének, ha az AWS-fiók és az AWS S3 gyűjtő is Letiltja az összes nyilvános hozzáférés kikapcsolva beállítást, és az alábbi beállítások bármelyike be van állítva: A szabályzatban a RestrictPublicBuckets nincs engedélyezve, az Egyszerű beállítás pedig * értékre, az Effektus pedig Engedélyezés értékre van állítva. Vagy a hozzáférés-vezérlési listában az IgnorePublicAcl nincs engedélyezve, és az engedély mindenki vagy hitelesített felhasználók számára engedélyezett. |
A GCP-tárolók akkor tekinthetők nyilvános hozzáférés engedélyezésének, ha: IAM (Identity and Access Management) szerepkörrel rendelkezik, amely megfelel az alábbi feltételeknek: A szerepkört a fő allUsers vagy az allAuthenticatedUsers kapja. A szerepkör legalább egy olyan tárolási engedéllyel rendelkezik, amely nemstorage.buckets.create vagy storage.buckets.list. A GCP nyilvános hozzáférésének neve "Nyilvános az internethez". |
Az adatbázis-erőforrások nem teszik lehetővé a nyilvános hozzáférést, de továbbra is elérhetők az interneten.
Az internetes expozíciós elemzések a következő erőforrásokhoz érhetők el:
Azure:
- Azure SQL-kiszolgáló
- Azure Cosmos DB
- Felügyelt Azure SQL-példány
- Önálló Azure MySQL-kiszolgáló
- Rugalmas Azure MySQL-kiszolgáló
- Önálló Azure PostgreSQL-kiszolgáló
- Rugalmas Azure PostgreSQL-kiszolgáló
- Önálló Azure MariaDB-kiszolgáló
- Synapse-munkaterület
AWS:
- RDS-példány
Feljegyzés
- A 0.0.0.0/0 értéket tartalmazó expozíciós szabályok "túlzottan közzétettnek" minősülnek, ami azt jelenti, hogy bármely nyilvános IP-címről elérhetők.
- A "0.0.0.0" expozíciós szabálysal rendelkező Azure-erőforrások az Azure bármely erőforrásából elérhetők (bérlőtől vagy előfizetéstől függetlenül).