Felhőhöz készült Microsoft Defender adatbiztonság
Annak érdekében, hogy az ügyfelek megelőzzék, észleljék és reagáljanak a fenyegetésekre, Felhőhöz készült Microsoft Defender biztonsági adatokat gyűjtenek és dolgoznak fel, beleértve a konfigurációs információkat, metaadatokat, eseménynaplókat stb. A Microsoft szigorú megfelelőségi és biztonsági szabályokat követ, a kódolástól kezdve egészen a szolgáltatások üzemeltetéséig.
Ez a cikk az adatok Felhőhöz készült Defender történő kezelését és védelmét ismerteti.
Adatforrások
Felhőhöz készült Defender a következő forrásokból származó adatokat elemzi a biztonsági állapot láthatóságának biztosítása, a biztonsági rések azonosítása és a kockázatcsökkentések ajánlása, valamint az aktív fenyegetések észlelése érdekében:
- Azure-szolgáltatások: Az üzembe helyezett Azure-szolgáltatások konfigurálásával kapcsolatos információkat használ a szolgáltatás erőforrás-szolgáltatójával való kommunikációval.
- Hálózati forgalom: A Microsoft infrastruktúrájából származó mintavételezett hálózati forgalom metaadatait használja, például a forrás/cél IP-címét/portját, a csomagméretet és a hálózati protokollt.
- Partnermegoldások: Integrált partnermegoldásokból, például tűzfalakból és kártevőirtó megoldásokból származó biztonsági riasztásokat használ.
- Gépei: Konfigurációs adatokat és információkat használ a biztonsági eseményekről, például Windows-esemény- és auditnaplókról, valamint a gépekről érkező syslog-üzenetekről.
Adatmegosztás
Ha engedélyezi a Defender for Storage kártevőkeresését, az megoszthatja a metaadatokat, beleértve az ügyféladatokként (például SHA-256 kivonatként) besorolt metaadatokat Végponthoz készült Microsoft Defender.
Felhőhöz készült Microsoft Defender Felhőhöz készült Defender Security Posture Management (CSPM) csomag futtatása olyan adatokat oszt meg, amelyek integrálva lesznek a Microsoft Security Exposure Management ajánlásaiba.
Feljegyzés
A Microsoft Security Exposure Management jelenleg nyilvános előzetes verzióban érhető el.
Adatvédelem
Adatok elkülönítése
Az adatok logikailag elkülönülnek a szolgáltatás minden összetevőjén. Az összes adat szervezet szerint van megcímkézve. Ez a címkézés az adatéletciklus során is megmarad, és a szolgáltatás minden rétegében érvényesítve van.
Az adatok elérése
Biztonsági javaslatok biztosítása és a potenciális biztonsági fenyegetések kivizsgálása érdekében a Microsoft munkatársai hozzáférhetnek az Azure-szolgáltatások által gyűjtött vagy elemzett információkhoz, beleértve a folyamatlétrehozási eseményeket és más összetevőket, amelyek véletlenül magukban foglalhatják a gépekről származó ügyféladatokat vagy személyes adatokat.
Betartjuk a Microsoft Online Services adatvédelmi kiegészítését, amely kimondja, hogy a Microsoft nem használja fel az ügyféladatokat, és nem származtat adatokat abból semmilyen hirdetési vagy hasonló kereskedelmi célra. Az ügyféladatokat szükség esetén csak arra használjuk, hogy biztosítsuk Önnek az Azure-szolgáltatásokat, beleértve a szolgáltatások nyújtásának megfelelő célokat is. Minden, az ügyféladatokhoz fűződő jog az Ön tulajdonában marad.
Adathasználat
A Microsoft több bérlőn keresztül látott mintákat és fenyegetésfelderítést használ a megelőzési és észlelési képességek javítása érdekében; ezt az adatvédelmi nyilatkozatban leírt adatvédelmi kötelezettségekkel összhangban tesszük.
Adatgyűjtés kezelése gépekről
Ha engedélyezi a Felhőhöz készült Defender az Azure-ban, az adatgyűjtés minden Azure-előfizetéshez be van kapcsolva. Az Felhőhöz készült Defender is engedélyezheti az előfizetések adatgyűjtését. Ha az adatgyűjtés engedélyezve van, Felhőhöz készült Defender a Log Analytics-ügynököt az összes meglévő támogatott Azure-beli virtuális gépen és a létrehozott új gépeken helyezi üzembe.
A Log Analytics-ügynök különböző, biztonsággal kapcsolatos konfigurációkat és eseményeket keres a Windows (ETW) eseménykövetési nyomkövetésében. Emellett az operációs rendszer eseménynapló-eseményeket is létrehoz a gép futtatása során. A gyűjtött adatok például a következők: az operációs rendszer típusa és verziója, az operációs rendszer naplói (Windows-eseménynaplók), a futó folyamatok, a gép neve, az IP-címek, a bejelentkezett felhasználó és a bérlő azonosítója. A Log Analytics-ügynök beolvassa az eseménynapló-bejegyzéseket és az ETW-nyomkövetéseket, és elemzés céljából átmásolja őket a munkaterület(ek)be. A Log Analytics-ügynök a folyamatlétrehozási eseményeket és a parancssori naplózást is lehetővé teszi.
Ha nem használja Felhőhöz készült Microsoft Defender továbbfejlesztett biztonsági funkcióit, letilthatja az adatgyűjtést a virtuális gépekről a biztonsági szabályzatban. A fokozott biztonsági funkciókkal védett előfizetésekhez adatgyűjtésre van szükség. A virtuálisgép-lemez pillanatképeinek és összetevőinek gyűjtése akkor is engedélyezve lesz, ha letiltotta az adatgyűjtést.
Megadhatja azt a munkaterületet és régiót, ahol a gépekről gyűjtött adatok tárolódnak. Az alapértelmezett beállítás a gépekről gyűjtött adatok tárolása a legközelebbi munkaterületen, ahogyan az az alábbi táblázatban látható:
| Virtuális gép geo | Munkaterület geo |
|---|---|
| Egyesült Államok, Brazília, Dél-Afrika | Egyesült Államok |
| Kanada | Kanada |
| Európa (az Egyesült Királyság kivételével) | Európa |
| Egyesült Királyság | Egyesült Királyság |
| Ázsia (Kivéve Indiát, Japánt, Koreát, Kínát) | Ázsia és a Csendes-óceáni térség |
| Dél-Korea | Ázsia és a Csendes-óceáni térség |
| India | India |
| Japán | Japán |
| Kína | Kína |
| Ausztrália | Ausztrália |
Feljegyzés
A Microsoft Defender for Storage régiónként tárolja az összetevőket a kapcsolódó Azure-erőforrás helyének megfelelően. További információ a Microsoft Defender for Storage áttekintésében.
Adathasználat
Az ügyfelek a következő adatfolyamokból férhetnek hozzá Felhőhöz készült Defender kapcsolódó adatokhoz:
| Stream | Adattípusok |
|---|---|
| Azure-tevékenységnapló | Minden biztonsági riasztás, jóváhagyott Felhőhöz készült Defender igény szerint történő hozzáférési kérések. |
| Azure Monitor-naplók | Minden biztonsági riasztás. |
| Azure Resource Graph | Biztonsági riasztások, biztonsági javaslatok, sebezhetőségi felmérés eredményei, biztonsági pontszámokkal kapcsolatos információk, megfelelőségi ellenőrzések állapota stb. |
| Microsoft Defender for Cloud REST API | Biztonsági riasztások, biztonsági javaslatok és egyebek. |
Feljegyzés
Ha nincs engedélyezve Defender-csomag az előfizetésben, az adatok 30 nap inaktivitás után törlődnek az Azure Resource Graphból a Felhőhöz készült Microsoft Defender portálon. Az előfizetéshez kapcsolódó összetevőkkel való interakció után az adatoknak 24 órán belül újra láthatónak kell lenniük.
Adatmegőrzés
Amikor a felhőbiztonsági gráf adatokat gyűjt az Azure-ból, a többfelhős környezetekből és más adatforrásokból, 14 napig megőrzi az adatokat. 14 nap elteltével az adatok törlődnek.
A számított adatok, például a támadási útvonalak további 14 napig tárolhatók. A számított adatok olyan adatokból állnak, amelyek a környezetből gyűjtött nyers adatokból származnak. A támadási útvonal például a környezetből gyűjtött nyers adatokból származik.
Ezeket az információkat az adatvédelmi nyilatkozatban leírt adatvédelmi kötelezettségekkel összhangban gyűjtjük.
Felhőhöz készült Defender és Microsoft Defender 365 Defender-integráció
Ha engedélyezi Felhőhöz készült Defender fizetős csomagjait, automatikusan élvezheti a Microsoft Defender XDR összes előnyét. A Felhőhöz készült Defender információi meg lesznek osztva a Microsoft Defender XDR-sel. Ezek az adatok tartalmazhatnak ügyféladatokat, és a Microsoft 365 adatkezelési irányelvei szerint lesznek tárolva.