Archívum a Felhőhöz készült Defender újdonságaihoz?

  • Cikk

A Felhőhöz készült Defender? kiadási jegyzetoldal elsődleges újdonságai az elmúlt hat hónap frissítéseit tartalmazzák, míg ez a lap régebbi elemeket tartalmaz.

Ez a lap a következőkkel kapcsolatos információkat nyújt:

  • Új funkciók
  • Hibajavítások
  • Elavult funkció

2023. szeptember

Dátum Frissítés
Szeptember 27. Nyilvános előzetes verzióban elérhető adatbiztonsági irányítópult
Szeptember 21. Előzetes kiadás: Új automatikus létrehozási folyamat a gépeken futó SQL Serverhez
Szeptember 20. GitHub Advanced Security for Azure DevOps-riasztások Felhőhöz készült Defender
Szeptember 11. Mostantól elérhető a kivételmentes funkció a Defender api-kkal kapcsolatos javaslataihoz
Szeptember 11. Mintariasztások létrehozása az API-k észleléséhez készült Defenderhez
Szeptember 6. Előzetes kiadás: A tárolók biztonságirés-felmérése Microsoft Defender biztonságirés-kezelés mostantól támogatja a lekéréses vizsgálatokat
Szeptember 6. A Center for Internet Security (CIS) szabványainak frissített elnevezési formátuma a jogszabályi megfelelőségben
Szeptember 5. Bizalmas adatfelderítés PaaS-adatbázisokhoz (előzetes verzió)
Szeptember 1. Általános rendelkezésre állás (GA): kártevők vizsgálata a Defender for Storage-ban

Nyilvános előzetes verzióban elérhető adatbiztonsági irányítópult

2023. szeptember 27.

Az adatbiztonsági irányítópult nyilvános előzetes verzióban érhető el a Defender CSPM-csomag részeként. Az adatbiztonsági irányítópult egy interaktív, adatközpontú irányítópult, amely megvilágítja a bizalmas adatok jelentős kockázatait, rangsorolja a riasztásokat és a potenciális támadási útvonalakat az adatokhoz a hibrid felhőbeli számítási feladatokban. További információ az adatbiztonsági irányítópultról.

Előzetes kiadás: Új automatikus létrehozási folyamat a gépeken futó SQL Serverhez

2023. szeptember 21.

A Microsoft Monitoring Agent (MMA) 2024 augusztusában elavult. Felhőhöz készült Defender frissítette a stratégiáját úgy, hogy az MMA-t lecserélte egy SQL Server által célzott Azure Monitoring Agent automatikus fejlesztési folyamat kiadására.

Az előzetes verzióban azoknak az ügyfeleknek, akik az MMA automatikus fejlesztési folyamatát az Azure Monitor Agent (Előzetes verzió) beállítással használják, át kell telepíteni az új Azure Monitoring Agent for SQL Serverre a gépeken (előzetes verzió) történő automatikus fejlesztési folyamatba. A migrálási folyamat zökkenőmentes, és folyamatos védelmet biztosít minden gép számára.

További információ: Migrálás az SQL Server által célzott Azure Monitoring Agent automatikus fejlesztési folyamatba.

GitHub Advanced Security for Azure DevOps-riasztások Felhőhöz készült Defender

2023. szeptember 20.

Mostantól megtekintheti a GitHub Advanced Security for Azure DevOps (GHAzDO) codeQL-hez, titkos kódokhoz és függőségekhez kapcsolódó riasztásait Felhőhöz készült Defender. Az eredmények a DevOps lapon és a Javaslatok jelennek meg. Az eredmények megtekintéséhez a GHAzDO-kompatibilis adattárakat Felhőhöz készült Defender.

További információ az Azure DevOps GitHub Advanced Security szolgáltatásáról.

Mostantól elérhető a kivételmentes funkció a Defender api-kkal kapcsolatos javaslataihoz

2023. szeptember 11.

Mostantól mentesítheti a következő Defender api-kra vonatkozó biztonsági javaslatokra vonatkozó javaslatokat.

Ajánlás Leírás > kapcsolódó szabályzat Súlyosság
(Előzetes verzió) A nem használt API-végpontokat le kell tiltani és el kell távolítani az Azure API Management szolgáltatásból Ajánlott biztonsági eljárásként azokat az API-végpontokat, amelyek 30 napja nem fogadták a forgalmat, nem használtnak minősülnek, és el kell távolítani őket az Azure API Management szolgáltatásból. A nem használt API-végpontok megtartása biztonsági kockázatot jelenthet. Ezek olyan API-k lehetnek, amelyeket el kellett volna hagyni az Azure API Management szolgáltatásból, de véletlenül aktívak maradtak. Az ilyen API-k általában nem kapják meg a legfrissebb biztonsági lefedettséget. Alacsony
(Előzetes verzió) Az Azure API Management API-végpontjait hitelesíteni kell Az Azure API Managementben közzétett API-végpontoknak hitelesítést kell kikényszeríteni a biztonsági kockázat minimalizálása érdekében. A hitelesítési mechanizmusok néha helytelenül vannak implementálva, vagy hiányoznak. Így a támadók kihasználhatják a megvalósítás hibáit, és hozzáférhetnek az adatokhoz. Az Azure API Managementben közzétett API-k esetében ez a javaslat az Azure API Managementben konfigurált előfizetési kulcsokkal, JWT-vel és ügyféltanúsítvánnyal értékeli a hitelesítés végrehajtását. Ha ezen hitelesítési mechanizmusok egyike sem fut az API-hívás során, az API megkapja ezt a javaslatot. Magas

További információ a Felhőhöz készült Defender javaslatainak kivételéről.

Mintariasztások létrehozása az API-k észleléséhez készült Defenderhez

2023. szeptember 11.

Most már létrehozhat mintariasztásokat az API-khoz készült Defender nyilvános előzetes verziójának részeként kiadott biztonsági észlelésekhez. További információ a mintariasztások Felhőhöz készült Defender történő generálásáról.

Előzetes kiadás: A tárolók biztonságirés-felmérése Microsoft Defender biztonságirés-kezelés mostantól támogatja a lekéréses vizsgálatokat

2023. szeptember 6.

A Microsoft Defender biztonságirés-kezelés (MDVM) által működtetett tárolók sebezhetőségi felmérése mostantól egy további eseményindítót is támogat az ACR-ből lekért képek vizsgálatához. Ez az újonnan hozzáadott eseményindító további lefedettséget biztosít az aktív képekhez az ACR-be az elmúlt 90 napban leküldett, valamint az AKS-ben jelenleg futó rendszerképek mellett.

Az új eseményindító ma indul el, és várhatóan szeptember végéig minden ügyfél számára elérhetővé válik.

További információt az MDVM által működtetett tároló sebezhetőségi felmérésében talál .

A Center for Internet Security (CIS) szabványainak frissített elnevezési formátuma a jogszabályi megfelelőségben

2023. szeptember 6.

A CIS (Center for Internet Security) alapjainak elnevezési formátuma a megfelelőségi irányítópulton a következőre [Cloud] CIS [version number]CIS [Cloud] Foundations v[version number]módosul: . Tekintse meg a következő táblázatot:

Aktuális név Új név
Azure CIS 1.1.0 CIS Azure Foundations v1.1.0
Azure CIS 1.3.0 CIS Azure Foundations v1.3.0
Azure CIS 1.4.0 CIS Azure Foundations v1.4.0
AWS CIS 1.2.0 CIS AWS Foundations v1.2.0
AWS CIS 1.5.0 CIS AWS Foundations v1.5.0
GCP CIS 1.1.0 CIS GCP Foundations v1.1.0
GCP CIS 1.2.0 CIS GCP Foundations v1.2.0

Megtudhatja, hogyan javíthatja a jogszabályi megfelelőséget.

Bizalmas adatfelderítés PaaS-adatbázisokhoz (előzetes verzió)

2023. szeptember 5.

A PaaS-adatbázisok (bármilyen típusú Azure SQL Database-ek és Amazon RDS-példányok) súrlódásmentes bizalmas adatfelderítésének adatérzékeny biztonsági funkciói nyilvános előzetes verzióban érhetők el. Ez a nyilvános előzetes verzió lehetővé teszi, hogy a kritikus adatok térképét bárhol is tárolhassa, és hogy milyen típusú adatok találhatók ezekben az adatbázisokban.

Az Azure- és AWS-adatbázisok bizalmas adatfelderítése hozzáadja a megosztott osztályozást és konfigurációt, amely már nyilvánosan elérhető a felhőalapú objektumtároló-erőforrásokhoz (Azure Blob Storage, AWS S3-gyűjtők és GCP-tárolók), és egyetlen konfigurációs és engedélyezési felületet biztosít.

Az adatbázisok heti rendszerességgel vannak beolvasva. Ha engedélyezi sensitive data discovery, a felderítés 24 órán belül lefut. Az eredmények megtekinthetők a Cloud Security Explorerben vagy a bizalmas adatokat tartalmazó felügyelt adatbázisok új támadási útvonalainak áttekintésével.

Az adatbázisok adatérzékeny biztonsági állapota a Defender CSPM-csomagon keresztül érhető el, és automatikusan engedélyezve van azokban az előfizetésekben, ahol sensitive data discovery engedélyezve van a lehetőség.

Az adatérzékeny biztonsági helyzetről az alábbi cikkekben tudhat meg többet:

Általános rendelkezésre állás (GA): kártevők vizsgálata a Defender for Storage-ban

2023. szeptember 1.

A kártevők vizsgálata mostantól általánosan elérhető a Defender for Storage bővítményeként. A Defender for Storage kártevő-vizsgálata segít megvédeni a tárfiókokat a rosszindulatú tartalmaktól azáltal, hogy teljes körű kártevő-vizsgálatot végez a feltöltött tartalmakon közel valós időben, Microsoft Defender víruskereső képességek használatával. Úgy lett kialakítva, hogy megfeleljen a nem megbízható tartalmak kezelésére vonatkozó biztonsági és megfelelőségi követelményeknek. A kártevő-ellenőrzési képesség egy ügynök nélküli SaaS-megoldás, amely lehetővé teszi a nagy léptékű telepítést, és támogatja a nagy léptékű válasz automatizálását.

További információ a kártevők vizsgálatáról a Defender for Storage-ban.

A kártevő-vizsgálat ára az adathasználat és a költségvetés szerint történik. A számlázás 2023. szeptember 3-án kezdődik. További információért látogasson el a díjszabási oldalra .

Ha az előző csomagot használja (most a "Microsoft Defender for Storage (klasszikus)" nevet kapta), proaktív módon át kell telepítenie az új csomagra a kártevők vizsgálatának engedélyezéséhez.

Olvassa el a Felhőhöz készült Microsoft Defender közlemény blogbejegyzést.

2023. augusztus

Frissítések augusztusban a következőket tartalmazza:

Dátum Frissítés
Augusztus 30. Defender tárolókhoz: Ügynök nélküli felderítés a Kuberneteshez
Augusztus 22. Javaslat kiadás: A Microsoft Defender for Storage-t engedélyezni kell a kártevők vizsgálatával és a bizalmas adatfenyegetések észlelésével
Augusztus 17. A Felhőhöz készült Defender biztonsági riasztások kiterjesztett tulajdonságai el vannak maszkolva a tevékenységnaplókból
augusztus 15. GCP-támogatás előzetes kiadása a Defender CSPM-ben
Augusztus 7. Új biztonsági riasztások a Defender for Servers 2. csomagjában: Az Azure-beli virtuálisgép-bővítményekkel kapcsolatos esetleges támadások észlelése
Augusztus 1. Üzleti modell és díjszabási frissítések Felhőhöz készült Defender csomagokhoz

Defender tárolókhoz: Ügynök nélküli felderítés a Kuberneteshez

2023. augusztus 30.

Örömmel mutatjuk be a Defender for Containers: Agentless discovery for Kubernetes szolgáltatást. Ez a kiadás jelentős előrelépést jelent a tárolóbiztonság terén, amely fejlett elemzéseket és átfogó leltározási képességeket biztosít a Kubernetes-környezetekhez. Az új tárolóajánlatot a Felhőhöz készült Defender környezeti biztonsági grafikon működteti. Az alábbiakra számíthat a legújabb frissítéstől:

  • Ügynök nélküli Kubernetes-felderítés
  • Átfogó leltározási képességek
  • Kubernetes-specifikus biztonsági elemzések
  • Fokozott kockázatkeresés a Cloud Security Explorerrel

A Kubernetes ügynök nélküli felderítése mostantól minden Defender For Containers-ügyfél számára elérhető. Ezeket a speciális képességeket ma már használhatja. Javasoljuk, hogy frissítse előfizetéseit úgy, hogy engedélyezve legyen a bővítmények teljes készlete, és kihasználja a legújabb kiegészítéseket és funkciókat. A bővítmény engedélyezéséhez látogasson el a Defender for Containers-előfizetés Környezet és beállítások paneljére.

Feljegyzés

A legújabb kiegészítések engedélyezése nem jár új költségekkel az aktív Defender for Containers-ügyfelek számára.

További információt a Tárolókhoz készült Microsoft Defender tárolóbiztonsági áttekintésében talál.

Javaslat kiadás: A Microsoft Defender for Storage-t engedélyezni kell a kártevők vizsgálatával és a bizalmas adatfenyegetések észlelésével

2023. augusztus 22., kedd

Megjelent egy új ajánlás a Defender for Storage-ban. Ez a javaslat biztosítja, hogy a Defender for Storage előfizetési szinten engedélyezve legyen a kártevők vizsgálatával és a bizalmas adatfenyegetések észlelésével.

Ajánlás Leírás
A Microsoft Defender for Storage-t engedélyezni kell a kártevők vizsgálatával és a bizalmas adatfenyegetések észlelésével A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage-csomag a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését tartalmazza. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. Ha az előfizetés szintjén engedélyezve van egy egyszerű ügynök nélküli beállítás, akkor az előfizetés alatt lévő összes meglévő és újonnan létrehozott tárfiók automatikusan védett lesz. Bizonyos tárfiókokat a védett előfizetésekből is kizárhat.

Ez az új javaslat a jelenlegi javaslat Microsoft Defender for Storage should be enabled helyébe lép (értékelési kulcs: 1be22853-8ed1-4005-9907-ddad64cb1417). Ez a javaslat azonban továbbra is elérhető lesz az Azure Government-felhőkben.

További információ a Microsoft Defender for Storage szolgáltatásról.

A Felhőhöz készült Defender biztonsági riasztások kiterjesztett tulajdonságai el vannak maszkolva a tevékenységnaplókból

2023. augusztus 17.

Nemrég módosítottuk a biztonsági riasztások és a tevékenységnaplók integrálásának módját. A bizalmas ügyféladatok hatékonyabb védelme érdekében ezeket az információkat már nem vesszük fel a tevékenységnaplókba. Ehelyett csillagokkal maszkoljuk. Ezek az információk azonban továbbra is elérhetők a riasztási API-val, a folyamatos exportálással és a Felhőhöz készült Defender portálon keresztül.

Azoknak az ügyfeleknek, akik tevékenységnaplókra támaszkodnak a riasztások SIEM-megoldásukba való exportálására, érdemes megfontolniuk egy másik megoldás használatát, mivel nem ajánlott Felhőhöz készült Defender biztonsági riasztások exportálására.

Az Felhőhöz készült Defender biztonsági riasztások SIEM-be, SOAR-ba és más külső alkalmazásokba való exportálásával kapcsolatos utasításokért tekintse meg a Stream-riasztások SIEM-, SOAR- vagy IT Service Management-megoldásba való exportálását.

GCP-támogatás előzetes kiadása a Defender CSPM-ben

2023. augusztus 15.

Bejelentjük a Defender CSPM környezetfüggő felhőbiztonsági gráfjának előzetes kiadását és a támadási útvonal elemzését a GCP-erőforrások támogatásával. A Defender CSPM erejét a GCP-erőforrások átfogó láthatósága és intelligens felhőbiztonsága érdekében használhatja.

GCP-támogatásunk fő funkciói a következők:

  • Támadási útvonal elemzése – A támadók lehetséges útvonalainak megismerése.
  • Cloud Security Explorer – A biztonsági kockázatok proaktív azonosítása gráfalapú lekérdezések futtatásával a biztonsági grafikonon.
  • Ügynök nélküli vizsgálat – Kiszolgálók vizsgálata és titkos kódok és biztonsági rések azonosítása ügynök telepítése nélkül.
  • Adatérzékeny biztonsági helyzet – A Bizalmas adatokra vonatkozó kockázatok felderítése és elhárítása a Google Cloud Storage-gyűjtőkben.

További információ a Defender CSPM-csomag beállításairól.

Új biztonsági riasztások a Defender for Servers 2. csomagjában: Az Azure-beli virtuálisgép-bővítményekkel kapcsolatos esetleges támadások észlelése

2023. augusztus 7.

Ez az új riasztássorozat az Azure-beli virtuálisgép-bővítmények gyanús tevékenységeinek észlelésére összpontosít, és betekintést nyújt a támadók azon kísérleteibe, amelyek kártékony tevékenységeket próbálnak végrehajtani a virtuális gépeken.

A Microsoft Defender for Servers mostantól észleli a virtuálisgép-bővítmények gyanús tevékenységeit, így jobban lefedheti a számítási feladatok biztonságát.

Az Azure-beli virtuálisgép-bővítmények olyan kis alkalmazások, amelyek üzembe helyezés után futnak a virtuális gépeken, és olyan képességeket biztosítanak, mint a konfiguráció, az automatizálás, a monitorozás, a biztonság stb. Bár a bővítmények hatékony eszközök, a fenyegetést javító szereplők különböző rosszindulatú szándékokhoz használhatják őket, például:

  • Adatgyűjtés és monitorozás
  • Kódvégrehajtás és konfiguráció üzembe helyezése magas jogosultságokkal
  • Hitelesítő adatok visszaállítása és rendszergazdai felhasználók létrehozása
  • Lemezek titkosítása

Íme egy táblázat az új riasztásokról.

Riasztás (riasztás típusa) Leírás MITRE-taktikák Súlyosság
Gyanús hiba a GPU-bővítmény előfizetésben való telepítésekor (előzetes verzió)
(VM_GPUExtensionSuspiciousFailure)		 A GPU-bővítmény nem támogatott virtuális gépekre való telepítésének gyanús szándéka. Ezt a bővítményt grafikus processzorral felszerelt virtuális gépekre kell telepíteni, és ebben az esetben a virtuális gépek nincsenek ilyennel felszerelve. Ezek a hibák akkor láthatók, ha rosszindulatú támadók több ilyen kiterjesztésű telepítést hajtanak végre titkosítási bányászat céljából. Hatás Közepes
A rendszer gyanús GPU-bővítmény telepítését észlelte a virtuális gépen (előzetes verzió)
(VM_GPUDriverExtensionUnusualExecution)
Ez a riasztás 2023 júliusában jelent meg.		 A rendszer gyanús GPU-bővítmény telepítését észlelte a virtuális gépen az előfizetésben lévő Azure Resource Manager-műveletek elemzésével. A támadók a GPU-illesztőbővítménnyel telepíthetnek GPU-illesztőprogramokat a virtuális gépre az Azure Resource Manageren keresztül a titkosítás végrehajtásához. Ez a tevékenység gyanúsnak minősül, mivel az ügyfél viselkedése eltér a szokásos mintáktól. Hatás Alacsony
A rendszer gyanús szkripttel futtatott parancsot észlelt a virtuális gépen (előzetes verzió)
(VM_RunCommandSuspiciousScript)		 A rendszer gyanús szkripttel rendelkező futtatási parancsot észlelt a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók a Futtatás parancs használatával futtathatnak rosszindulatú kódot magas jogosultságokkal a virtuális gépen az Azure Resource Manageren keresztül. A szkript gyanúsnak minősül, mivel egyes részek potenciálisan rosszindulatúnak minősülnek. Futtatási Magas
Gyanús, jogosulatlan futtatási parancshasználatot észlelt a rendszer a virtuális gépen (előzetes verzió)
(VM_RunCommandSuspiciousFailure)		 A futtatási parancs gyanús jogosulatlan használata meghiúsult, és a rendszer az előfizetésBen lévő Azure Resource Manager-műveletek elemzésével észlelte a virtuális gépen. Előfordulhat, hogy a támadók a Futtatás parancs használatával próbálnak rosszindulatú kódot végrehajtani magas jogosultságokkal a virtuális gépeken az Azure Resource Manageren keresztül. Ezt a tevékenységet gyanúsnak tekintik, mivel korábban még nem tapasztalták. Futtatási Közepes
Gyanús futtatási parancs használatát észlelte a rendszer a virtuális gépen (előzetes verzió)
(VM_RunCommandSuspiciousUsage)		 A futtatási parancs gyanús használatát észlelte a virtuális gépen az előfizetésben lévő Azure Resource Manager-műveletek elemzésével. A támadók a Futtatás parancsot használhatják a magas jogosultságokkal rendelkező rosszindulatú kódok végrehajtására a virtuális gépeken az Azure Resource Manageren keresztül. Ezt a tevékenységet gyanúsnak tekintik, mivel korábban még nem tapasztalták. Futtatási Alacsony
Több monitorozási vagy adatgyűjtési bővítmény gyanús használatát észlelte a virtuális gépeken (előzetes verzió)
(VM_SuspiciousMultiExtensionUsage)		 A rendszer több monitorozási vagy adatgyűjtési bővítmény gyanús használatát észlelte a virtuális gépeken az Előfizetés Azure Resource Manager-műveleteinek elemzésével. Előfordulhat, hogy a támadók visszaélnek az ilyen bővítményekkel az adatgyűjtéshez, a hálózati forgalom monitorozásához és egyebekhez az előfizetésben. Ezt a használatot gyanúsnak tekintik, mivel korábban még nem tapasztalták. Felderítés Közepes
A rendszer gyanús lemeztitkosítási bővítményeket észlelt a virtuális gépeken (előzetes verzió)
(VM_DiskEncryptionSuspiciousUsage)		 A rendszer gyanús lemeztitkosítási bővítmények telepítését észlelte a virtuális gépeken az Azure Resource Manager-műveletek elemzésével az előfizetésében. Előfordulhat, hogy a támadók visszaélnek a lemeztitkosítási bővítménysel, hogy teljes lemeztitkosításokat helyezzenek üzembe a virtuális gépeken az Azure Resource Manageren keresztül, hogy zsarolóprogram-tevékenységet hajtsanak végre. Ez a tevékenység gyanúsnak minősül, mivel korábban és a bővítménytelepítések nagy száma miatt nem volt gyakran látható. Hatás Közepes
A rendszer gyanús virtuálisgép-hozzáférési bővítményt észlelt a virtuális gépeken (előzetes verzió)
(VM_VMAccessSuspiciousUsage)		 A rendszer gyanús virtuálisgép-hozzáférési bővítményt észlelt a virtuális gépeken. A támadók visszaélhetnek a virtuálisgép-hozzáférés bővítményével, hogy hozzáférést szerezzenek, és magas jogosultságokkal veszélyeztessék a virtuális gépeket a hozzáférés alaphelyzetbe állításával vagy a rendszergazda felhasználók kezelésével. Ez a tevékenység gyanúsnak minősül, mivel az ügyfél viselkedése eltér a szokásos mintáktól, és a bővítménytelepítések nagy száma miatt. Kitartás Közepes
A rendszer gyanús szkripttel rendelkező kívánt állapotkonfigurációs (DSC) bővítményt észlelt a virtuális gépen (előzetes verzió)
(VM_DSCExtensionSuspiciousScript)		 A rendszer gyanús szkripttel rendelkező Kívánt állapotkonfigurációs (DSC) bővítményt észlelt a virtuális gépen az előfizetés azure Resource Manager-műveleteinek elemzésével. A támadók a Desired State Configuration (DSC) bővítményt használhatják rosszindulatú konfigurációk, például adatmegőrzési mechanizmusok, rosszindulatú szkriptek és sok más, magas jogosultságokkal rendelkező virtuális gépeken való üzembe helyezéséhez. A szkript gyanúsnak minősül, mivel egyes részek potenciálisan rosszindulatúnak minősülnek. Futtatási Magas
A rendszer gyanúsan használja a kívánt állapotkonfigurációs (DSC) bővítményt a virtuális gépeken (előzetes verzió)
(VM_DSCExtensionSuspiciousUsage)		 A rendszer a kívánt állapotkonfigurációs (DSC) bővítmény gyanús használatát észlelte a virtuális gépeken az előfizetésben lévő Azure Resource Manager-műveletek elemzésével. A támadók a Desired State Configuration (DSC) bővítményt használhatják rosszindulatú konfigurációk, például adatmegőrzési mechanizmusok, rosszindulatú szkriptek és sok más, magas jogosultságokkal rendelkező virtuális gépeken való üzembe helyezéséhez. Ez a tevékenység gyanúsnak minősül, mivel az ügyfél viselkedése eltér a szokásos mintáktól, és a bővítménytelepítések nagy száma miatt. Hatás Alacsony
A rendszer gyanús szkripttel rendelkező egyéni szkriptbővítményt észlelt a virtuális gépen (előzetes verzió)
(VM_CustomScriptExtensionSuspiciousCmd)
(Ez a riasztás már létezik, és továbbfejlesztett logikával és észlelési módszerekkel lett továbbfejlesztve.)		 A rendszer gyanús szkripttel rendelkező egyéni szkriptbővítményt észlelt a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók egyéni szkriptbővítményt használhatnak a virtuális gépen magas jogosultságokkal rendelkező rosszindulatú kódok végrehajtására az Azure Resource Manageren keresztül. A szkript gyanúsnak minősül, mivel egyes részek potenciálisan rosszindulatúnak minősülnek. Futtatási Magas

Tekintse meg a bővítményalapú riasztásokat a Defender for Serversben.

A riasztások teljes listáját a Felhőhöz készült Microsoft Defender összes biztonsági riasztásának referenciatáblájában találja.

Üzleti modell és díjszabási frissítések Felhőhöz készült Defender csomagokhoz

2023. augusztus 1.

Felhőhöz készült Microsoft Defender három szolgáltatásréteg-védelmet biztosító csomagtal rendelkezik:

  • Defender a Key Vaulthoz

  • Defender for Resource Manager

  • Defender a DNS-hez

Ezek a tervek átálltak egy új üzleti modellre, amely különböző díjszabással és csomagolással rendelkezik, hogy kezelje az ügyfelek visszajelzését a kiadások kiszámíthatóságáról és a teljes költségstruktúra egyszerűsítéséről.

Üzleti modell és díjszabás változásainak összegzése:

A Key-Vaulthoz készült Defender, a Resource Managerhez készült Defender és a DNS-hez készült Defender meglévő ügyfelei megtartják az aktuális üzleti modelljüket és díjszabásukat, kivéve, ha aktívan az új üzleti modellre és árra váltanak.

  • Defender for Resource Manager: Ennek a csomagnak havi fix ára van előfizetésenként. Az ügyfelek az előfizetési modellenként új Defender for Resource Manager új verziójának kiválasztásával válthatnak az új üzleti modellre.

A Key-Vaulthoz készült Defender, a Resource Managerhez készült Defender és a DNS-hez készült Defender meglévő ügyfelei megtartják az aktuális üzleti modelljüket és díjszabásukat, kivéve, ha aktívan az új üzleti modellre és árra váltanak.

  • Defender for Resource Manager: Ennek a csomagnak havi fix ára van előfizetésenként. Az ügyfelek az előfizetési modellenként új Defender for Resource Manager új verziójának kiválasztásával válthatnak az új üzleti modellre.
  • Defender for Key Vault: Ez a csomag fix árat biztosít tárolónként, havonta, túlhasználati díj nélkül. Az ügyfelek az új üzleti modellre válthatnak a Tárolónként új Defender for Key Vault kiválasztásával
  • Defender a DNS-hez: A Defender for Servers 2. csomag ügyfelei extra költség nélkül hozzáférhetnek a Defenderhez a DNS-értékhez a Defender for Servers 2. csomag részeként. Azoknak az ügyfeleknek, akik a Defender for Server 2 csomaggal és a Defender for DNS-sel is rendelkeznek, a továbbiakban nem kell fizetniük a Defenderért a DNS-ért. A DNS-hez készült Defender már nem érhető el önálló csomagként.

A csomagok díjszabásáról további információt a Felhőhöz készült Defender díjszabási oldalán talál.

2023. július

júliusi Frissítések a következők:

Dátum Frissítés
Július 31. A tárolók sebezhetőségi felmérésének előzetes kiadása, amelyet a Microsoft Defender biztonságirés-kezelés (MDVM) működtet a Defender for Containersben és a Defender tárolóregisztrációs adatbázisokban
Július 30. Az ügynök nélküli tároló állapota a Defender CSPM-ben általánosan elérhető
Július 20. A Defender for Endpoint for Linux automatikus frissítéseinek kezelése
Július 18. Ügynök nélküli titkos kódok vizsgálata virtuális gépekhez a Defenderben a P2 és Defender CSPM kiszolgálókhoz
Július 12. Új biztonsági riasztás a Defender for Servers 2. csomagjában: Az Azure-beli virtuális gép GPU-illesztőbővítményeit kihasználó lehetséges támadások észlelése
Július 9. Adott biztonságirés-megállapítások letiltása
Július 1. Az adatérzékeny biztonsági helyzet mostantól általánosan elérhető

A tárolók sebezhetőségi felmérésének előzetes kiadása, amelyet a Microsoft Defender biztonságirés-kezelés (MDVM) működtet a Defender for Containersben és a Defender tárolóregisztrációs adatbázisokban

2023. július 31.

Bejelentjük a Linux-tárolólemezképek sebezhetőségi felmérésének (VA) kiadását az Azure-tárolóregisztrációs adatbázisokban, Microsoft Defender biztonságirés-kezelés (MDVM) a Defender for Containersben és a Defender tárolóregisztrációs adatbázisokban. Az új tároló VA-ajánlat a Qualys által a Defender for Containersben és a Defender for Container Registriesben üzemeltetett meglévő Container VA-ajánlatunk mellett lesz elérhető, és magában foglalja a tárolólemezképek napi újrapróbálkozását, a kihasználhatósági információkat, az operációs rendszer és a programozási nyelvek (SCA) támogatását stb.

Ez az új ajánlat ma indul el, és várhatóan augusztus 7-ig minden ügyfél számára elérhető lesz.

További információt az MDVM és Microsoft Defender biztonságirés-kezelés (MDVM) által működtetett tárolói biztonságirés-felmérésben talál.

Az ügynök nélküli tároló állapota a Defender CSPM-ben általánosan elérhető

2023. július 30.

Az ügynök nélküli tárolótartási képességek mostantól általánosan elérhetők a Defender CSPM (Cloud Security Posture Management) csomag részeként.

További információ az ügynök nélküli tároló helyzetéről a Defender CSPM-ben.

A Defender for Endpoint for Linux automatikus frissítéseinek kezelése

2023. július 20.

Alapértelmezés szerint Felhőhöz készült Defender megpróbálja frissíteni a bővítménysel előkészített Linux-ügynökökhöz készült Defender for EndpointtMDE.Linux. Ezzel a kiadással kezelheti ezt a beállítást, és kikapcsolhatja az alapértelmezett konfigurációt a frissítési ciklusok manuális kezeléséhez.

Megtudhatja, hogyan kezelheti a Linux automatikus frissítési konfigurációját.

Ügynök nélküli titkos kódok vizsgálata virtuális gépekhez a Defenderben a P2 és Defender CSPM kiszolgálókhoz

2023. július 18.

A titkos kulcsok vizsgálata mostantól az ügynök nélküli vizsgálat részeként érhető el a Defender for Servers P2 és a Defender CSPM szolgáltatásban. Ez a funkció segít észlelni az Azure-beli virtuális gépeken vagy AWS-erőforrásokban mentett nem felügyelt és nem biztonságos titkos kulcsokat, amelyek a hálózaton való oldalirányú áthelyezésre használhatók. Titkos kódok észlelése esetén a Felhőhöz készült Defender segíthet rangsorolni és végrehajtani a végrehajtható szervizelési lépéseket az oldalirányú mozgás kockázatának minimalizálása érdekében, mindezt anélkül, hogy befolyásolná a gép teljesítményét.

A titkos kulcsok titkos kulcsok titkos kulcsok vizsgálatával való védelméről további információt a Titkos kódok kezelése ügynök nélküli titkos kulcsok vizsgálatával című témakörben talál.

Új biztonsági riasztás a Defender for Servers 2. csomagjában: az Azure-beli virtuális gép GPU-illesztőbővítményeit kihasználó lehetséges támadások észlelése

2023. július 12.

Ez a riasztás az Azure-beli virtuális gépek GPU-illesztőbővítményeit kihasználó gyanús tevékenységek azonosítására összpontosít, és betekintést nyújt a támadóknak a virtuális gépek veszélyeztetésére tett kísérleteibe. A riasztás a GPU-illesztőprogram-bővítmények gyanús üzembe helyezését célozza meg; az ilyen bővítményeket gyakran visszaélnek a fenyegetést ejtő szereplők a GPU-kártya teljes erejének kihasználásához és a titkosítási műveletek végrehajtásához.

Riasztás megjelenítendő neve
(Riasztás típusa)		 Leírás Súlyosság MITRE-taktika
GPU-bővítmény gyanús telepítése a virtuális gépen (előzetes verzió)
(VM_GPUDriverExtensionUnusualExecution)		 A rendszer gyanús GPU-bővítmény telepítését észlelte a virtuális gépen az előfizetés azure Resource Manager-műveleteinek elemzésével. A támadók a GPU-illesztőbővítménnyel telepíthetnek GPU-illesztőprogramokat a virtuális gépre az Azure Resource Manageren keresztül a titkosítás végrehajtásához. Alacsony Hatás

A riasztások teljes listáját a Felhőhöz készült Microsoft Defender összes biztonsági riasztásának referenciatáblájában találja.

Adott biztonságirés-megállapítások letiltása

2023. július 9.

A tárolóregisztrációs adatbázis lemezképeinek biztonságirés-megállapításainak letiltására vagy a rendszerképek ügynök nélküli tárolóállapot részeként történő futtatására vonatkozó támogatás kiadása. Ha a cégnek figyelmen kívül kell hagynia a tárolóregisztrációs adatbázis lemezképének biztonsági réseit, és nem kell elhárítania azt, tetszés szerint letilthatja azt. A letiltott eredmények nem befolyásolják a biztonságos pontszámot, és nem okoznak nemkívánatos zajt.

Megtudhatja, hogyan tilthatja le a tárolóregisztrációs adatbázis lemezképeinek sebezhetőségi felmérési eredményeit.

Az adatérzékeny biztonsági helyzet mostantól általánosan elérhető

2023. július 1.

Az adatérzékeny biztonsági helyzet mostantól általánosan elérhető Felhőhöz készült Microsoft Defender. Segít az ügyfeleknek az adatkockázat csökkentésében és az adatsértésekre való reagálásban. Az adatalapú biztonság a következő előnyökkel jár:

  • Bizalmas adaterőforrások automatikus felderítése az Azure-ban és az AWS-ben.
  • Értékelje ki az adatérzékenységet, az adatexpozíciót és az adatok szervezeten belüli áramlását.
  • Proaktívan és folyamatosan feltárja az adatsértésekhez vezető kockázatokat.
  • Gyanús tevékenységek észlelése, amelyek a bizalmas adaterőforrások folyamatos fenyegetését jelezhetik

További információ: Adatérzékeny biztonsági helyzet a Felhőhöz készült Microsoft Defender.

2023. június

júniusi Frissítések a következők:

Dátum Frissítés
Június 26. Egyszerűsített többfelhős fiók előkészítés továbbfejlesztett beállításokkal
Június 25. Privát végpont támogatása kártevők vizsgálatához a Defender for Storage-ban
Június 15. Szabályozási frissítések történtek az NIST 800-53 szabványhoz a jogszabályi megfelelőség terén
Június 11. A felhőbe való migrálás megtervezése egy Azure Migrate-üzleti esettel mostantól Felhőhöz készült Defender
Június 7. Az SQL-hez készült Defender biztonságirés-felméréseinek expressz konfigurációja általánosan elérhető
Június 6. További hatókörök hozzáadva a meglévő Azure DevOps-Csatlakozás orokhoz
Június 4. Az ügynökalapú felderítés lecserélése a tárolók ügynök nélküli felderítésére a Defender CSPM-ben

Egyszerűsített többfelhős fiók előkészítés továbbfejlesztett beállításokkal

2023. június 26.

Felhőhöz készült Defender továbbfejlesztette az előkészítési felületet, hogy új, egyszerűsített felhasználói felületet és utasításokat tartalmazzon az új képességek mellett, amelyek lehetővé teszik az AWS- és GCP-környezetek előkészítését, miközben hozzáférést biztosít a speciális előkészítési funkciókhoz.

Az automatizáláshoz a Hashicorp Terraformot használó szervezetek Felhőhöz készült Defender mostantól a Terraform üzembehelyezési módszerként való használatát is lehetővé teszi az AWS CloudFormation vagy a GCP Cloud Shell mellett. Mostantól testre szabhatja a szükséges szerepkörneveket az integráció létrehozásakor. A következők közül is választhat:

  • Alapértelmezett hozzáférés – Lehetővé teszi, hogy Felhőhöz készült Defender beolvassa az erőforrásokat, és automatikusan belefoglalja a jövőbeli képességeket.

  • Legkevésbé kiemelt hozzáférés – Csak a kiválasztott csomagokhoz szükséges engedélyekhez Felhőhöz készült Defender hozzáférést biztosít.

Ha a legkevésbé kiemelt engedélyeket választja, csak az összekötő állapotának teljes működéséhez szükséges új szerepkörökről és engedélyekről kap értesítést.

Felhőhöz készült Defender lehetővé teszi a felhőbeli fiókok natív nevei és a felhőgyártók közötti különbségtételt. Például az AWS-fiók aliasai és a GCP-projektnevek.

Privát végpont támogatása kártevők vizsgálatához a Defender for Storage-ban

2023. június 25.

A privát végpontok támogatása a Defender for Storage nyilvános előzetes verziójának részeként érhető el. Ez a funkció lehetővé teszi a kártevő-vizsgálat engedélyezését privát végpontokat használó tárfiókokon. Nincs szükség más konfigurációra.

A Defender for Storage kártevő-vizsgálata (előzetes verzió) segít megvédeni a tárfiókokat a kártékony tartalmaktól azáltal, hogy teljes körű kártevővizsgálatot végez a feltöltött tartalmakon közel valós időben, Microsoft Defender víruskereső képességeinek használatával. Úgy lett kialakítva, hogy megfeleljen a nem megbízható tartalmak kezelésére vonatkozó biztonsági és megfelelőségi követelményeknek. Ez egy ügynök nélküli SaaS-megoldás, amely lehetővé teszi az egyszerű, nagy léptékű, karbantartás nélküli beállítást, és támogatja a nagy léptékű válasz automatizálását.

A privát végpontok biztonságos kapcsolatot biztosítanak az Azure Storage-szolgáltatásokhoz, hatékonyan kiküszöbölve a nyilvános internetes kitettséget, és biztonsági szempontból ajánlott eljárásnak minősülnek.

Az olyan privát végpontokkal rendelkező tárfiókok esetében, amelyeken már engedélyezve van a kártevő-vizsgálat, le kell tiltania és engedélyeznie kell a csomagot a kártevő-vizsgálattal , hogy működjön.

További információ a privát végpontok a Defender for Storage-banvaló használatáról, valamint a tárolási szolgáltatások további védelméről.

Előzetes verzióra kiadott javaslat: A tárolólemezképek futtatásának meg kell oldania a biztonságirés-megállapításokat (Microsoft Defender biztonságirés-kezelés)

2023. június 21.

Az MDVM-et használó Defender CSPM-ben egy új tárolójavaslat jelenik meg előzetes verzióban:

Ajánlás Leírás Értékelési kulcs
A tárolólemezképek futtatásának meg kell oldania a biztonságirés-megállapításokat (Microsoft Defender biztonságirés-kezelés)(előzetes verzió) A tárolólemezkép sebezhetőségi felmérése megvizsgálja a beállításjegyzékben a gyakran ismert biztonsági réseket (CVE-ket), és részletes biztonságirés-jelentést nyújt az egyes rendszerképekhez. Ez a javaslat a Kubernetes-fürtökben jelenleg futó sebezhető képek láthatóságát biztosítja. A jelenleg futó tárolólemezképek biztonsági réseinek elhárítása kulcsfontosságú a biztonsági helyzet javításához, ami jelentősen csökkenti a tárolóalapú számítási feladatok támadási felületét. c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

Ez az új javaslat csak a Defender CSPM-ben (a 41503391-efa5-47ee-9282-4eff6131462c értékelési kulcs lecserélése) lecseréli az azonos nevű, Qualys által működtetett jelenlegi javaslatot.

Szabályozási frissítések történtek az NIST 800-53 szabványhoz a jogszabályi megfelelőség terén

2023. június 15.

Az NIST 800-53 szabványok (R4 és R5) nemrégiben frissültek Felhőhöz készült Microsoft Defender jogszabályi megfelelőség szabályozásának változásával. A Microsoft által felügyelt vezérlők el lettek távolítva a szabványból, és a Microsoft felelősségi implementációjára vonatkozó információk (a felhőalapú megosztott felelősségi modell részeként) már csak a Microsoft Actions vezérlő részletei paneljén érhetők el.

Ezeket a vezérlőket korábban átment vezérlőkként számítottuk ki, így 2023 áprilisa és 2023 májusa között jelentős visszaesést tapasztalhat az NIST-szabványok megfelelőségi pontszámában.

A megfelelőségi ellenőrzésekkel kapcsolatos további információkért tekintse meg a következő oktatóanyagot: Jogszabályi megfelelőség ellenőrzése – Felhőhöz készült Microsoft Defender.

A felhőbe való migrálás megtervezése egy Azure Migrate-üzleti esettel mostantól Felhőhöz készült Defender

2023. június 11.

Most már felfedezheti a lehetséges költségmegtakarításokat a biztonság terén, ha Felhőhöz készült Defender alkalmaz egy Azure Migrate-üzleti eset kontextusában.

Az SQL-hez készült Defender biztonságirés-felméréseinek expressz konfigurációja általánosan elérhető

2023. június 7.

Az SQL-hez készült Defender biztonságirés-felméréseinek expressz konfigurációja mostantól általánosan elérhető. Az expressz konfiguráció leegyszerűsített előkészítési felületet biztosít az SQL biztonságirés-felméréseihez egy kattintásos konfigurációval (vagy API-hívással). Nincs szükség további beállításokra vagy függőségekre a felügyelt tárfiókokon.

Ebből a blogból többet is megtudhat az expressz konfigurációról.

Megismerheti az expressz és a klasszikus konfiguráció közötti különbségeket.

További hatókörök hozzáadva a meglévő Azure DevOps-Csatlakozás orokhoz

2023. június 6.

A Defender for DevOps az alábbi további hatóköröket adta hozzá az Azure DevOps (ADO) alkalmazáshoz:

  • Előzetes biztonságkezelés: vso.advsec_manage. Erre azért van szükség, hogy engedélyezze, tiltsa le és kezelje a GitHub Advanced Security for ADO-t.

  • Tárolóleképezés: vso.extension_manage, ; vso.gallery_manager Erre azért van szükség, hogy lehetővé tegye a dekorátorbővítmény megosztását az ADO-szervezettel.

Ez a változás csak azokat az új DevOps-ügyfeleket érinti, akik ADO-erőforrásokat próbálnak Felhőhöz készült Microsoft Defender előkészíteni.

Mostantól általánosan elérhető a Defender for Servers közvetlen (Azure Arc nélküli) előkészítése

2023. június 5.

Korábban az Azure Arcnak nem Azure-kiszolgálókat kellett előkészítenie a Defender for Serversbe. A legújabb kiadással azonban a helyszíni kiszolgálókat is előkészítheti a Defender for Serversbe csak a Végponthoz készült Microsoft Defender ügynök használatával.

Ez az új módszer leegyszerűsíti az alapvető végpontvédelemre összpontosító ügyfelek előkészítési folyamatát, és lehetővé teszi, hogy kihasználhassa a Defender for Servers használatalapú számlázását mind a felhőbeli, mind a nem felhőbeli eszközök esetében. A Defender for Endpoint közvetlen előkészítési lehetősége már elérhető, július 1-től kezdődően pedig az előkészített gépek számlázása is elérhető.

További információ: Csatlakozás nem Azure-beli gépeit, hogy Felhőhöz készült Microsoft Defender a Defender for Endpoint szolgáltatással.

Az ügynökalapú felderítés lecserélése a tárolók ügynök nélküli felderítésére a Defender CSPM-ben

2023. június 4.

A Defender CSPM-ben elérhető ügynök nélküli tárolóhelytartási képességek mostantól kivezetik az ügynökalapú felderítési képességeket. Ha jelenleg tárolóképességeket használ a Defender CSPM-ben, győződjön meg arról, hogy a megfelelő bővítmények engedélyezve vannak az új ügynök nélküli képességek, például a tárolóval kapcsolatos támadási útvonalak, elemzések és leltár tárolóval kapcsolatos értékének fogadásához. (A bővítmények engedélyezésének hatásai akár 24 órát is igénybe vehetnek.

További információ az ügynök nélküli tároló helyzetéről.

2023. május

Frissítések a következők lehetnek:

Új riasztás a Key Vaulthoz készült Defenderben

Riasztás (riasztás típusa) Leírás MITRE-taktikák Súlyosság
Szokatlan hozzáférés a kulcstartóhoz egy gyanús IP-címről (nem Microsoft vagy külső)
(KV_UnusualAccessSuspiciousIP)		 Egy felhasználó vagy szolgáltatásnév rendellenes hozzáférést kísérelt meg a kulcstartókhoz egy nem Microsoft IP-címről az elmúlt 24 órában. Ez a rendellenes hozzáférési minta lehet jogszerű tevékenység. Ez arra utalhat, hogy lehetséges kísérlet a kulcstartó és a benne lévő titkos kulcsok elérésére. Javasoljuk, hogy további vizsgálatokat. Hitelesítő adatok elérése Közepes

Az összes elérhető riasztásért tekintse meg az Azure Key Vault riasztásait.

Az ügynök nélküli vizsgálat mostantól támogatja a titkosított lemezeket az AWS-ben

A virtuális gépek ügynök nélküli vizsgálata mostantól támogatja a példányok feldolgozását titkosított lemezekkel az AWS-ben a CMK és a PMK használatával.

Ez a kiterjesztett támogatás anélkül növeli a felhőbeli tulajdon lefedettségét és láthatóságát, hogy az hatással lenne a futó számítási feladatokra. A titkosított lemezek támogatása ugyanazt a zéró hatást gyakorol a futó példányokra.

  • Az AWS-ben ügynök nélküli vizsgálatot engedélyező új ügyfelek számára a titkosított lemezek lefedettsége alapértelmezés szerint beépített és támogatott.
  • Azoknak a meglévő ügyfeleknek, akik már rendelkeznek ügynök nélküli vizsgálattal rendelkező AWS-összekötővel, újra kell alkalmazniuk a CloudFormation vermet az előkészített AWS-fiókokhoz, hogy frissíthessék és hozzáadhassák a titkosított lemezek feldolgozásához szükséges új engedélyeket. A frissített CloudFormation-sablon új hozzárendeléseket tartalmaz, amelyek lehetővé teszik Felhőhöz készült Defender a titkosított lemezek feldolgozását.

További információ az AWS-példányok vizsgálatához használt engedélyekről.

A CloudFormation-verem újraalkalmazása:

  1. Nyissa meg Felhőhöz készült Defender környezeti beállításokat, és nyissa meg az AWS-összekötőt.
  2. Lépjen a Hozzáférés konfigurálása lapra.
  3. Kattintson a Kattintás gombra a CloudFormation sablon letöltéséhez.
  4. Lépjen az AWS-környezethez, és alkalmazza a frissített sablont.

További információ az ügynök nélküli vizsgálatról és az ügynök nélküli vizsgálat engedélyezéséről az AWS-ben.

A JIT (Just-In-Time) szabálynevezési konvenciók átdolgozott Felhőhöz készült Defender

Átdolgoztuk a JIT (Just-In-Time) szabályokat, hogy igazodjanak a Felhőhöz készült Microsoft Defender márkához. Módosítottuk az Azure Firewall és az NSG (hálózati biztonsági csoport) szabályainak elnevezési konvencióit.

A módosítások a következőképpen jelennek meg:

Leírás Régi név Új név
JIT-szabálynevek (engedélyezés és megtagadás) az NSG-ben (hálózati biztonsági csoport) SecurityCenter-JITRule MicrosoftDefenderForCloud-JITRule
JIT-szabály leírása az NSG-ben ASC JIT hálózati hozzáférési szabály MDC JIT hálózati hozzáférési szabály
JIT-tűzfalszabály-gyűjtemények nevei ASC-JIT MDC-JIT
JIT-tűzfalszabályok nevei ASC-JIT MDC-JIT

Megtudhatja, hogyan védheti meg a felügyeleti portokat a Just-In-Time hozzáféréssel.

Kijelölt AWS-régiók előkészítése

Az AWS CloudTrail költségeinek és megfelelőségi igényeinek kezeléséhez mostantól kiválaszthatja, hogy mely AWS-régiókat vizsgálja meg felhőbeli összekötő hozzáadásakor vagy szerkesztésekor. A kijelölt AWS-régiókat vagy az összes elérhető régiót (alapértelmezett) most már megvizsgálhatja, amikor az AWS-fiókokat Felhőhöz készült Defender. További információ az AWS-fiók Felhőhöz készült Microsoft Defender Csatlakozás.

Az identitásjavaslatok több módosítása

Az alábbi javaslatok mostantól általános rendelkezésre állásként (GA) jelennek meg, és lecserélik az elavult V1-beli javaslatokat.

Identitásjavaslatok általános rendelkezésre állása (GA) – V2

Az identitásjavaslatok V2-es kiadása a következő fejlesztéseket mutatja be:

  • A vizsgálat hatóköre ki lett bontva, hogy az összes Azure-erőforrást tartalmazza, nem csak az előfizetéseket. Így a biztonsági rendszergazdák fiókonként tekinthetik meg a szerepkör-hozzárendeléseket.
  • Az egyes fiókok mostantól mentesülhetnek az értékelés alól. A biztonsági rendszergazdák kizárhatják az olyan fiókokat, mint a törésüveg vagy a szolgáltatásfiókok.
  • A vizsgálati gyakoriságot 24 óráról 12 órára növelték, ezáltal biztosítva, hogy az identitásjavaslatok naprakészebbek és pontosabbak legyenek.

A ga-ban az alábbi biztonsági javaslatok érhetők el, és cserélje le a V1-et:

Ajánlás Értékelési kulcs
Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t 6240402e-f77c-46fa-9060-a7ce53997754
Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t c0cb17b2-0607-48a7-b0e0-903ed22de39b
Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani 20606e75-05c4-48c0-9d97-add6daa2109a
Az Azure-erőforrásokra vonatkozó írási engedélyekkel rendelkező vendégfiókokat el kell távolítani 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
El kell távolítani az Azure-erőforrások olvasási engedélyeivel rendelkező vendégfiókokat fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező blokkolt fiókjait el kell távolítani 050ac097-3dda-4d24-ab6d-82568e7a50cf
Az Azure-erőforrások olvasási és írási engedélyekkel rendelkező blokkolt fiókjait el kell távolítani 1ff0b4c9-ed56-4de6-be9c-d7ab39645926

Identitásjavaslatok elavulása V1

A következő biztonsági javaslatok elavultak:

Ajánlás Értékelési kulcs
Az MFA-t engedélyezni kell az előfizetésekhez tulajdonosi engedélyekkel rendelkező fiókokon 94290b00-4d0c-d7b4-7cea-064a9554e681
Az MFA-t engedélyezni kell az előfizetéseken írási engedélyekkel rendelkező fiókokon 57e98606-6b1e-6193-0e3d-fe621387c16b
Az MFA-t engedélyezni kell az előfizetéseken olvasási engedélyekkel rendelkező fiókokon 151e82c5-5341-a74b-1eb0-bc38d2c84bb5
A tulajdonosi engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésekből c3b6ae71-f1f0-31b4-e6c1-d5951285d03d
Az írási engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésekből 04e7147b-0deb-9796-2e5c-0336343ceb3d
Az olvasási engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésekből a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b
A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésekből e52064aa-6853-e252-a11e-dffc675689c2
Az elavult fiókokat el kell távolítani az előfizetésekből 00c6d40b-e990-6acf-d4f3-471e747a27c4

Javasoljuk, hogy a V2-javaslatoknak megfelelően frissítse az egyéni szkripteket, munkafolyamatokat és szabályozási szabályokat.

Régi szabványok elavultsága a megfelelőségi irányítópulton

Az örökölt PCI DSS v3.2.1 és az örökölt SOC TSP teljesen elavult a Felhőhöz készült Defender megfelelőségi irányítópulton, és a SOC 2 Type 2 kezdeményezés és a PCI DSS v4 kezdeményezésalapú megfelelőségi szabványok váltották fel. A 21Vianet által üzemeltetett Microsoft Azure-ban teljes mértékben elavult a PCI DSS standard/kezdeményezés támogatása.

Megtudhatja, hogyan szabhatja testre a szabványok készletét a szabályozási megfelelőségi irányítópulton.

A DevOpshoz készült Defender két ajánlása mostantól tartalmazza az Azure DevOps vizsgálati eredményeit

A Defender for DevOps Code és az IaC kiterjesztette a javaslatok hatókörét a Felhőhöz készült Microsoft Defender, hogy az Azure DevOps biztonsági megállapításait az alábbi két javaslathoz tartalmazza:

  • Code repositories should have code scanning findings resolved

  • Code repositories should have infrastructure as code scanning findings resolved

Korábban az Azure DevOps biztonsági vizsgálatának lefedettsége csak a titkos kódokra vonatkozó javaslatot tartalmazta.

További információ a Defender for DevOpsról.

Új alapértelmezett beállítás a Defender for Servers biztonságirés-felmérési megoldásához

A sebezhetőségi felmérési (VA-) megoldások elengedhetetlenek a gépek kibertámadások és adatszivárgások elleni védelméhez.

Microsoft Defender biztonságirés-kezelés (MDVM) mostantól alapértelmezett beépített megoldásként engedélyezve van a Defender for Servers által védett összes olyan előfizetéshez, amely még nem rendelkezik VA-megoldással.

Ha az előfizetésben engedélyezve van egy VA-megoldás bármelyik virtuális gépén, nem történik módosítás, és az MDVM alapértelmezés szerint nem lesz engedélyezve az előfizetés többi virtuális gépén. Dönthet úgy, hogy engedélyezi a VA-megoldást az előfizetések többi virtuális gépén.

Megtudhatja, hogyan kereshet biztonsági réseket, és hogyan gyűjthet szoftverleltárat ügynök nélküli vizsgálattal (előzetes verzió).

CsV-jelentés letöltése a cloud security explorer lekérdezési eredményeiről (előzetes verzió)

Felhőhöz készült Defender lehetővé tette a felhőbiztonsági explorer lekérdezési eredményeinek CSV-jelentésének letöltését.

Miután lefuttat egy lekérdezést, kiválaszthatja a CSV-jelentés letöltése (előzetes verzió) gombot a Cloud Security Explorer oldaláról Felhőhöz készült Defender.

Megtudhatja, hogyan hozhat létre lekérdezéseket a Cloud Security Explorerrel

Tárolók sebezhetőségi felmérésének kiadása Microsoft Defender biztonságirés-kezelés (MDVM) segítségével a Defender CSPM-ben

Bejelentjük a Linux-rendszerképek sebezhetőségi felmérésének kiadását a Defender CSPM-ben Microsoft Defender biztonságirés-kezelés (MDVM) által működtetett Azure-tárolóregisztrációs adatbázisokban. Ez a kiadás tartalmazza a képek napi vizsgálatát. A Security Explorerben és a támadási útvonalakban használt eredmények a Qualys-szkenner helyett az MDVM sebezhetőségi felmérésére támaszkodnak.

A meglévő javaslat Container registry images should have vulnerability findings resolved helyébe az MDVM által működtetett új javaslat lép:

Ajánlás Leírás Értékelési kulcs
A tárolóregisztrációs adatbázis lemezképeinek biztonsági résekkel kapcsolatos megállapításait meg kell oldani (Microsoft Defender biztonságirés-kezelés) A tárolólemezkép sebezhetőségi felmérése megvizsgálja a beállításjegyzékben a gyakran ismert biztonsági réseket (CVE-ket), és részletes biztonságirés-jelentést nyújt az egyes rendszerképekhez. Ez a javaslat a Kubernetes-fürtökben jelenleg futó sebezhető képek láthatóságát biztosítja. A jelenleg futó tárolólemezképek biztonsági réseinek elhárítása kulcsfontosságú a biztonsági helyzet javításához, ami jelentősen csökkenti a tárolóalapú számítási feladatok támadási felületét. dbd0cb49-b563-45e7-9724-889e799fa648
helyébe c0b7cfc6-3172-465a-b378-53c7ff2cc0d5

További információ az ügynök nélküli tárolók helyzetéről a Defender CSPM-ben.

További információ a Microsoft Defender biztonságirés-kezelés (MDVM) szolgáltatásról.

Tárolójavaslatok átnevezése a Qualys segítségével

A Defender for Containers aktuális tárolójavaslatai az alábbiak szerint lesznek átnevezve:

Ajánlás Leírás Értékelési kulcs
A tárolóregisztrációs adatbázis lemezképeinek sebezhetőségi megállapításait meg kell oldani (a Qualys működteti) A tárolólemezkép biztonsági réseinek felmérése biztonsági réseket keres a beállításjegyzékben, és részletes megállapításokat tesz közzé az egyes rendszerképekhez. A biztonsági rések megoldása nagyban javíthatja a tárolók biztonsági helyzetét, és megvédheti őket a támadásoktól. dbd0cb49-b563-45e7-9724-889e799fa648
A tárolólemezképek futtatásához meg kell oldani a biztonságirés-megállapításokat (a Qualys működteti) A tárolólemezkép sebezhetőségi felmérése biztonsági réseket keres a Kubernetes-fürtökön futó tárolórendszerképeken, és részletes megállapításokat tesz közzé az egyes rendszerképekhez. A biztonsági rések megoldása nagyban javíthatja a tárolók biztonsági helyzetét, és megvédheti őket a támadásoktól. 41503391-efa5-47ee-9282-4eff6131462c

A Defender for DevOps GitHub alkalmazás frissítése

A Microsoft Defender for DevOps folyamatosan végez módosításokat és frissítéseket, amelyek megkövetelik a Defender for DevOps-ügyfelek számára, hogy a GitHub-környezeteiket Felhőhöz készült Defender a GitHub-szervezetükben üzembe helyezett alkalmazás részeként biztosíthassák az engedélyeket. Ezekre az engedélyekre azért van szükség, hogy a Defender for DevOps minden biztonsági funkciója megfelelően és problémamentesen működjön.

Javasoljuk, hogy a lehető leghamarabb frissítse az engedélyeket, hogy továbbra is hozzáférhessen a DevOps-hoz készült Defender összes elérhető szolgáltatásához.

Az engedélyek kétféleképpen adhatóak meg:

  • A szervezetben válassza a GitHub Apps lehetőséget. Keresse meg a szervezetet, és válassza a Felülvizsgálati kérés lehetőséget.

  • Automatikus e-mailt kap a GitHub ügyfélszolgálatától. Az e-mailben válassza a Felülvizsgálat engedélykérelmet a módosítás elfogadásához vagy elutasításához.

Miután követte valamelyik beállítást, a rendszer a felülvizsgálati képernyőre navigál, ahol áttekintheti a kérést. Válassza az Új engedélyek elfogadása lehetőséget a kérés jóváhagyásához.

Ha segítségre van szüksége az engedélyek frissítéséhez, létrehozhat egy Azure-támogatás kérést.

A Defender for DevOpsról további információt is megtudhat. Ha az előfizetésben engedélyezve van egy VA-megoldás bármelyik virtuális gépén, nem történik módosítás, és az MDVM alapértelmezés szerint nem lesz engedélyezve az előfizetés többi virtuális gépén. Dönthet úgy, hogy engedélyezi a VA-megoldást az előfizetések többi virtuális gépén.

Megtudhatja, hogyan kereshet biztonsági réseket, és hogyan gyűjthet szoftverleltárat ügynök nélküli vizsgálattal (előzetes verzió).

Az Azure DevOps-adattárakban a Defender for DevOps lekéréses kérelmekhez készült megjegyzései mostantól az infrastruktúrát is tartalmazzák kódhibaként

A Defender for DevOps kiterjesztette a Lekéréses kérelem (PR) jegyzetekkel kapcsolatos lefedettségét az Azure DevOpsban, hogy tartalmazza az Azure Resource Manager- és Bicep-sablonokban észlelt infrastruktúrakódként (IaC)-konfigurációkat.

A fejlesztők mostantól közvetlenül a PRS-ben láthatják az IaC helytelen konfigurációinak megjegyzéseit. A fejlesztők a kritikus biztonsági problémákat is elháríthatják, mielőtt az infrastruktúra felhőbeli számítási feladatokba kerül. A szervizelés egyszerűsítése érdekében a fejlesztőknek súlyossági szintet, helytelen konfigurációs leírást és szervizelési utasításokat kell megadniuk az egyes széljegyzeteken belül.

Korábban a Defender for DevOps PR-megjegyzéseinek lefedettsége az Azure DevOpsban csak titkos kódokat tartalmazott.

További információ a Defender for DevOpsról és a lekéréses kérelmekről.

2023. április

áprilisi Frissítések a következők:

Ügynök nélküli tárolótartás a Defender CSPM-ben (előzetes verzió)

Az új ügynök nélküli tárolótartási (előzetes verzió) képességek a Defender CSPM (Cloud Security Posture Management) csomag részeként érhetők el.

Az ügynök nélküli tárolótartás lehetővé teszi a biztonsági csapatok számára a tárolók és a Kubernetes-tartományok biztonsági kockázatainak azonosítását. Az ügynök nélküli megközelítés lehetővé teszi a biztonsági csapatok számára, hogy betekintést nyerjenek Kubernetes- és tárolóregisztrációs adatbázisaikba az SDLC-ben és a futtatókörnyezetben, így kiküszöbölve a számítási feladatok súrlódását és lábnyomát.

Az ügynök nélküli tárolóhelyzet olyan tárolói sebezhetőségi felméréseket kínál, amelyek a támadási útvonal elemzésével együtt lehetővé teszik, hogy a biztonsági csapatok rangsorolhassák és nagyíthassák az adott tároló biztonsági réseit. A Cloud Security Explorer használatával is feltárhatja a kockázatokat, és tárolóhelyi helyzetelemzéseket kereshet, például sebezhető lemezképeket futtató vagy az interneten elérhető alkalmazások felderítésére.

További információ az Ügynök nélküli tárolótartás (előzetes verzió) című témakörben.

Egységes lemeztitkosítási javaslat (előzetes verzió)

Bevezettünk egy egységes lemeztitkosítási javaslatot a nyilvános előzetes verzióban és Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHostLinux virtual machines should enable Azure Disk Encryption or EncryptionAtHosta .

Ezek a javaslatok helyettesítik Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resourcesaz Azure Disk Encryptiont és a szabályzatot Virtual machines and virtual machine scale sets should have encryption at host enabled, amely a EncryptionAtHostot észlelte. Az ADE és a EncryptionAtHost hasonló titkosítást biztosítanak a nyugalmi lefedettségnél, és javasoljuk, hogy mindegyik virtuális gépen engedélyezze az egyiket. Az új javaslatok észlelik, hogy az ADE vagy a EncryptionAtHost engedélyezve van-e, és csak akkor figyelmeztetnek, ha egyik sem engedélyezett. Arra is figyelmeztetünk, ha az ADE engedélyezve van egyes virtuális gépeken, de nem minden lemezen (ez a feltétel nem vonatkozik a EncryptionAtHostra).

Az új javaslatokhoz Azure Automanage Machine-konfiguráció szükséges.

Ezek a javaslatok a következő szabályzatokon alapulnak:

További információ az ADE-ről és a EncryptionAtHostról, valamint az egyik engedélyezéséről.

A javaslati gépek módosításait biztonságosan kell konfigurálni

A javaslat Machines should be configured securely frissült. A frissítés javítja a javaslat teljesítményét és stabilitását, és összhangban van a Felhőhöz készült Defender javaslatainak általános viselkedésével.

A frissítés részeként a javaslat azonosítója a következőre c476dc48-8110-4139-91af-c8d940896b98módosult181ac480-f7c4-544b-9865-11b8ffe87f47: .

Nincs szükség műveletre az ügyfél oldalán, és nincs várható hatása a biztonságos pontszámra.

Az App Service nyelvi figyelési szabályzatainak elavultsága

A következő App Service nyelvi figyelési szabályzatok elavultak, mert hamis negatívumokat képesek létrehozni, és nem biztosítanak nagyobb biztonságot. Mindig győződjön meg arról, hogy ismert biztonsági rések nélkül használ nyelvi verziót.

Házirend neve Szabályzat azonosítója
A Java-t használó App Service-alkalmazásoknak a legújabb Java-verziót kell használniuk 496223c3-ad65-4ecd-878a-bae78737e9ed
A Pythont használó App Service-alkalmazásoknak a legújabb Python-verziót kell használniuk 7008174a-fd10-4ef0-817e-fc820a951d73
A Java-t használó függvényalkalmazások a legújabb Java-verziót használják 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc
A Pythont használó függvényalkalmazások a legújabb Python-verziót használják 7238174a-fd10-4ef0-817e-fc820a951d73
A PHP-t használó App Service-alkalmazásoknak a legújabb "PHP-verziót" kell használniuk 7261b898-8a84-4db8-9e04-18527132abb3

Az ügyfelek alternatív beépített szabályzatokkal figyelhetik az App Serviceshez tartozó tetszőleges nyelvi verziót.

Ezek a szabályzatok már nem érhetők el Felhőhöz készült Defender beépített javaslataiban. Hozzáadhatja őket egyéni javaslatként, hogy Felhőhöz készült Defender monitorozza őket.

Új riasztás a Defender for Resource Managerben

A Defender for Resource Manager a következő új riasztást tartalmazza:

Riasztás (riasztás típusa) Leírás MITRE-taktikák Súlyosság
ELŐZETES VERZIÓ – A észlelt számítási erőforrások gyanús létrehozása
(ARM_SuspiciousComputeCreation)		 A Microsoft Defender for Resource Manager gyanús számítási erőforrások létrehozását észlelte az előfizetésében a virtuális gépek/Azure méretezési csoport használatával. Az azonosított műveletek úgy lettek kialakítva, hogy a rendszergazdák szükség esetén új erőforrások üzembe helyezésével hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő az ilyen műveleteket a kriptobányászat végrehajtására használhatja.
A tevékenység gyanúsnak minősül, mivel a számítási erőforrások skálázása magasabb az előfizetésben korábban megfigyeltnél.
Ez azt jelezheti, hogy a rendszerbiztonsági tag sérült, és rosszindulatú szándékkal használják.		 Hatás Közepes

Megjelenik a Resource Managerhez elérhető összes riasztás listája.

A Defender for Resource Manager csomag három riasztása elavult

A Következő három riasztás elavult a Defender for Resource Manager-csomaghoz:

  • Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)
  • Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)
  • Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)

Ha gyanús IP-címről származó tevékenységet észlel, az alábbi Defenders for Resource Manager-csomag riasztásai Azure Resource Manager operation from suspicious IP address közül választhat, vagy Azure Resource Manager operation from suspicious proxy IP address jelen lesz.

A Riasztások automatikus exportálása a Log Analytics-munkaterületre elavult

A rendszer automatikusan exportálja a Defenders for Cloud biztonsági riasztásait egy alapértelmezett Log Analytics-munkaterületre az erőforrás szintjén. Ez meghatározhatatlan viselkedést okoz, ezért elavultuk ezt a funkciót.

Ehelyett exportálhatja a biztonsági riasztásokat egy dedikált Log Analytics-munkaterületre folyamatos exportálással.

Ha már konfigurálta a riasztások folyamatos exportálását egy Log Analytics-munkaterületre, nincs szükség további műveletre.

Windows- és Linux-kiszolgálókra vonatkozó kiválasztott riasztások elavulása és javítása

A Defender for Servers biztonsági riasztások minőségjavítási folyamata magában foglalja egyes riasztások elavulását windowsos és Linux rendszerű kiszolgálókon is. Az elavult riasztások mostantól a Defenderből származnak, és lefedik a végpontok veszélyforrásaira vonatkozó riasztásokat.

Ha már engedélyezve van a Defender for Endpoint integrációja, nincs szükség további műveletre. 2023 áprilisában csökkenhet a riasztások mennyisége.

Ha nincs engedélyezve a Defender for Endpoint integráció a Defender for Serversben, engedélyeznie kell a Defender for Endpoint integrációt a riasztások lefedettségének fenntartásához és javításához.

Minden Defender for Servers-ügyfél teljes hozzáféréssel rendelkezik a Defender for Endpoint integrációjához a Defender for Servers csomag részeként.

További információ Végponthoz készült Microsoft Defender előkészítési lehetőségekről.

Megtekintheti az elavultnak beállított riasztások teljes listáját is.

Olvassa el a Felhőhöz készült Microsoft Defender blogot.

Négy új Azure Active Directory-hitelesítési javaslatot adtunk hozzá az Azure Data Serviceshez.

Javaslat neve Javaslat leírása Szabályzat
A felügyelt Azure SQL-példány hitelesítési módjának csak Az Azure Active Directorynak kell lennie A helyi hitelesítési módszerek letiltása és a csak Az Azure Active Directory-hitelesítés engedélyezése növeli a biztonságot azáltal, hogy biztosítja, hogy a felügyelt Azure SQL-példányokat kizárólag Az Azure Active Directory-identitások érhessék el. A felügyelt Azure SQL-példánynak engedélyeznie kell a csak Azure Active Directory-hitelesítést
Az Azure Synapse-munkaterület hitelesítési módjának csak Az Azure Active Directorynak kell lennie Csak az Azure Active Directory hitelesítési módszerei javítják a biztonságot, mert biztosítják, hogy a Synapse-munkaterületek kizárólag Azure AD-identitásokat igényelnek a hitelesítéshez. További információ. A Synapse-munkaterületeknek csak Azure Active Directory-identitásokat kell használniuk a hitelesítéshez
Az Azure Database for MySQL-nek rendelkeznie kell egy Azure Active Directory-rendszergazdával Azure AD-rendszergazda kiépítése az Azure Database for MySQL-hez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások Azure Active Directory-rendszergazdát kell kiépíteni a MySQL-kiszolgálókhoz
Az Azure Database for PostgreSQL-nek rendelkeznie kell egy Azure Active Directory-rendszergazdával Azure AD-rendszergazda kiépítése az Azure Database for PostgreSQL-hez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások Egy Azure Active Directory-rendszergazdát kell kiépíteni a PostgreSQL-kiszolgálókhoz

A javaslatok System updates should be installed on your machines (powered by Azure Update Manager) és Machines should be configured to periodically check for missing system updates megjelentek az általános rendelkezésre álláshoz.

Az új javaslat használatához a következőkre van szükség:

A lépések elvégzése után eltávolíthatja a régi javaslatotSystem updates should be installed on your machines, ha letiltja azt Felhőhöz készült Defender beépített kezdeményezéséből az Azure-szabályzatban.

A javaslatok két verziója:

mind a kettő elérhető lesz, amíg a Log Analytics-ügynök 2024. augusztus 31-én megszűnik, vagyis a javaslat régebbi (System updates should be installed on your machines) verziója is elavult lesz. Mindkét javaslat ugyanazt az eredményt adja vissza, és ugyanazon vezérlőelem Apply system updatesalatt érhető el.

Az új javaslat System updates should be installed on your machines (powered by Azure Update Manager) a Javítás gombon keresztül elérhető szervizelési folyamatot tartalmaz, amely az Update Manager (előzetes verzió) használatával bármilyen eredmény szervizelésére használható. Ez a szervizelési folyamat még előzetes verzióban érhető el.

Az új javaslat System updates should be installed on your machines (powered by Azure Update Manager) várhatóan nem befolyásolja a biztonságos pontszámot, mivel ugyanazokkal az eredményekkel rendelkezik, mint a régi javaslat System updates should be installed on your machines.

Az előfeltétel-javaslat (az időszakos értékelési tulajdonság engedélyezése) negatív hatással van a biztonságos pontszámra. A negatív effektust az elérhető Javítás gombbal háríthatja el.

Defender API-khoz (előzetes verzió)

A Microsoft Felhőhöz készült Defender bejelenti, hogy az új Defender for API-k előzetes verzióban érhetők el.

Az API-khoz készült Defender teljes életciklus-védelmet, észlelést és reagálási lefedettséget biztosít az API-k számára.

Az API-khoz készült Defender segítségével betekintést nyerhet az üzleti szempontból kritikus API-kba. Megvizsgálhatja és javíthatja az API biztonsági helyzetét, rangsorolhatja a sebezhetőségi javításokat, és gyorsan észlelheti az aktív valós idejű fenyegetéseket.

További információ az API-khoz készült Defenderről.

2023. március

márciusi Frissítések a következők:

Elérhető egy új Defender for Storage-csomag, beleértve a közel valós idejű kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését

A felhőtárhely kulcsszerepet játszik a szervezetben, és nagy mennyiségű értékes és bizalmas adatot tárol. Ma egy új Defender for Storage-csomagot jelentünk be. Ha az előző csomagot használja (most átnevezve a "Defender for Storage (klasszikus)" névre, proaktív módon át kell költöznie az új csomagba az új funkciók és előnyök használatához.

Az új csomag fejlett biztonsági képességeket tartalmaz a rosszindulatú fájlfeltöltések, a bizalmas adatok kiszűrése és az adatsérülések elleni védelemhez. Kiszámíthatóbb és rugalmasabb díjszabási struktúrát is biztosít a lefedettség és a költségek jobb szabályozása érdekében.

Az új csomag új funkciókkal rendelkezik most nyilvános előzetes verzióban:

  • Bizalmas adatexpozíciós és exfiltrációs események észlelése

  • Közel valós idejű blob feltöltése kártevő-vizsgálat minden fájltípusban

  • Identitás nélküli entitások észlelése SAS-jogkivonatokkal

Ezek a képességek növelik a meglévő tevékenységfigyelési képességet a vezérlő- és adatsík-naplóelemzés és a viselkedésmodellezés alapján a behatolás korai jeleinek azonosítása érdekében.

Ezek a képességek egy új kiszámítható és rugalmas díjszabási csomagban érhetők el, amely részletes szabályozást biztosít az adatvédelem felett az előfizetés és az erőforrás szintjén egyaránt.

További információ a Microsoft Defender for Storage áttekintéséről.

Adatérzékeny biztonsági helyzet (előzetes verzió)

Felhőhöz készült Microsoft Defender segítségével a biztonsági csapatok hatékonyabban csökkenthetik a kockázatokat, és reagálhatnak a felhőben jelentkező adatsértésekre. Lehetővé teszi számukra, hogy átvágják a zajt az adatkörnyezettel, és rangsorolják a legkritikusabb biztonsági kockázatokat, megelőzve a költséges adatszivárgást.

  • Automatikusan felderítheti az adaterőforrásokat a felhőbeli tulajdonban, és kiértékelheti azok akadálymentességét, adatérzékenységét és konfigurált adatfolyamait. -Folyamatosan feltárhatja a bizalmas adaterőforrások adatsértései, az olyan expozíciós vagy támadási útvonalak kockázatait, amelyek egy oldalirányú mozgási technikával adaterőforráshoz vezethetnek.
  • Gyanús tevékenységek észlelése, amelyek a bizalmas adaterőforrások folyamatos fenyegetését jelezhetik.

További információ az adatérzékeny biztonsági helyzetről.

Továbbfejlesztett felhasználói élmény az alapértelmezett Azure biztonsági szabályzatok kezeléséhez

Továbbfejlesztett Azure biztonsági szabályzatkezelési felületet vezetünk be a beépített javaslatokhoz, amely leegyszerűsíti Felhőhöz készült Defender ügyfelek biztonsági követelményeinek finomhangolását. Az új felület a következő új képességeket tartalmazza:

  • Az egyszerű felület jobb teljesítményt és élményt tesz lehetővé az alapértelmezett biztonsági szabályzatok Felhőhöz készült Defender belüli kezelésekor.
  • A Microsoft felhőbiztonsági referenciamutatója (korábbi nevén Az Azure biztonsági benchmarkja) által kínált összes beépített biztonsági javaslat egyetlen nézete. Javaslatok logikai csoportokba vannak rendezve, így könnyebben megérthetők a lefedett erőforrások típusai, valamint a paraméterek és javaslatok közötti kapcsolat.
  • Új funkciók, például szűrők és keresés lettek hozzáadva.

Megtudhatja, hogyan kezelheti a biztonsági szabályzatokat.

Olvassa el a Felhőhöz készült Microsoft Defender blogot.

A Defender CSPM (Cloud Security Posture Management) mostantól általánosan elérhető (GA)

Bejelentettük, hogy a Defender CSPM általánosan elérhető (GA). A Defender CSPM az alapszintű CSPM-képességek alatt elérhető összes szolgáltatást kínálja, és a következő előnyöket nyújtja:

  • Támadási útvonal elemzése és ARG API – A támadási útvonal elemzése egy gráfalapú algoritmust használ, amely megvizsgálja a felhőbeli biztonsági gráfot a támadási útvonalak feltárásához, és javaslatot tesz arra, hogy miként háríthatja el a legjobban a támadási útvonalat megszakító és a sikeres behatolást megakadályozó problémákat. A támadási útvonalakat programozott módon is felhasználhatja az Azure Resource Graph (ARG) API lekérdezésével. Ismerje meg, hogyan használhatja a támadási útvonal elemzését
  • Cloud Security Explorer – A Cloud Security Explorer használatával gráfalapú lekérdezéseket futtathat a felhőbiztonsági gráfon a többfelhős környezetek biztonsági kockázatainak proaktív azonosításához. További információ a Cloud Security Explorerről.

További információ a Defender CSPM-ről.

Egyéni javaslatok és biztonsági szabványok létrehozása a Felhőhöz készült Microsoft Defender

Felhőhöz készült Microsoft Defender lehetővé teszi egyéni javaslatok és szabványok létrehozását az AWS-hez és a GCP-hez KQL-lekérdezések használatával. Lekérdezésszerkesztővel lekérdezéseket hozhat létre és tesztelhet az adatokon keresztül. Ez a funkció a Defender CSPM (Cloud Security Posture Management) csomag része. Megtudhatja, hogyan hozhat létre egyéni javaslatokat és szabványokat.

A Microsoft felhőbiztonsági benchmark (MCSB) 1.0-s verziója már általánosan elérhető (GA)

Felhőhöz készült Microsoft Defender bejelenti, hogy a Microsoft felhőbiztonsági benchmark (MCSB) 1.0-s verziója általánosan elérhető (GA).

Az MCSB 1.0-s verziója az Azure Security Benchmark (ASB) 3-as verzióját váltja fel Felhőhöz készült Defender alapértelmezett biztonsági szabályzataként. Az MCSB 1.0-s verziója alapértelmezett megfelelőségi szabványként jelenik meg a megfelelőségi irányítópulton, és alapértelmezés szerint minden Felhőhöz készült Defender ügyfél számára engedélyezve van.

Azt is megtudhatja , hogyan segíti a Microsoft felhőbiztonsági teljesítménytesztje (MCSB) a felhőbeli biztonsági folyamat sikeres végrehajtásában.

További információ az MCSB-ről.

Egyes szabályozási megfelelőségi szabványok már elérhetők a kormányzati felhőkben

Frissítjük ezeket a szabványokat az Azure Government és a Microsoft Azure 21Vianet által üzemeltetett ügyfelei számára.

Azure Government:

A 21Vianet által üzemeltetett Microsoft Azure:

Megtudhatja, hogyan szabhatja testre a szabványok készletét a szabályozási megfelelőségi irányítópulton.

Új előzetes verzióra vonatkozó javaslat az Azure SQL Servershez

Új javaslatot adtunk hozzá az Azure SQL Servershez Azure SQL Server authentication mode should be Azure Active Directory Only (Preview).

A javaslat a meglévő szabályzaton alapul Azure SQL Database should have Azure Active Directory Only Authentication enabled

Ez a javaslat letiltja a helyi hitelesítési módszereket, és csak az Azure Active Directory-hitelesítést teszi lehetővé, ami javítja a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database-adatbázisokat kizárólag Az Azure Active Directory-identitások érhessék el.

Megtudhatja, hogyan hozhat létre olyan kiszolgálókat, amelyeken engedélyezve van az Azure AD-hitelesítés az Azure SQL-ben.

Új riasztás a Key Vaulthoz készült Defenderben

A Key Vaulthoz készült Defender a következő új riasztást tartalmazza:

Riasztás (riasztás típusa) Leírás MITRE-taktikák Súlyosság
Hozzáférés megtagadva gyanús IP-címről kulcstartóhoz
(KV_SuspiciousIPAccessDenied)		 Sikertelen kulcstartó-hozzáférést kísérelt meg egy IP-cím, amelyet a Microsoft Threat Intelligence gyanús IP-címként azonosított. Bár ez a kísérlet sikertelen volt, azt jelzi, hogy az infrastruktúra megsérülhetett. Javasoljuk, hogy további vizsgálatokat. Hitelesítő adatok elérése Alacsony

Megjelenik a Key Vaulthoz elérhető összes riasztás listája.

február 2023.

februári Frissítések a következők:

Enhanced Cloud Security Explorer

A felhőbiztonsági kezelő továbbfejlesztett verziója olyan frissített felhasználói felületet tartalmaz, amely jelentősen megszünteti a lekérdezési súrlódást, lehetővé teszi többfelhős és több erőforrásból álló lekérdezések futtatását, valamint beágyazott dokumentációt az egyes lekérdezési lehetőségekhez.

A Cloud Security Explorer mostantól lehetővé teszi, hogy felhőbeli absztrakt lekérdezéseket futtasson az erőforrások között. Használhatja az előre összeállított lekérdezéssablonokat, vagy az egyéni kereséssel szűrőket alkalmazhat a lekérdezés létrehozásához. Megtudhatja , hogyan kezelheti a Cloud Security Explorert.

A Defender for Containers biztonsági réseinek vizsgálata a linuxos rendszerképek futtatásáról

A Defender for Containers észleli a tárolók futtatása során előforduló biztonsági réseket. A Windows- és Linux-tárolók is támogatottak.

Ez a funkció 2022 augusztusában jelent meg előzetes verzióban Windows és Linux rendszeren. Most tesszük közzé a linuxos általános rendelkezésre állás (GA) számára.

A biztonsági rések észlelésekor Felhőhöz készült Defender a következő biztonsági javaslatot hozza létre a vizsgálat eredményeinek felsorolásával: A tárolólemezképek futtatásának a biztonsági rések felderítését meg kell oldania.

További információ a rendszerképek biztonsági réseinek megtekintéséről.

Az AWS CIS 1.5.0 megfelelőségi szabvány támogatásának bejelentése

Felhőhöz készült Defender mostantól támogatja a CIS Amazon Web Services Foundations v1.5.0 megfelelőségi szabványt. A szabvány hozzáadható a szabályozási megfelelőségi irányítópulthoz, és az MDC meglévő, többfelhős javaslatokra és szabványokra vonatkozó ajánlatára épül.

Ez az új szabvány meglévő és új javaslatokat is tartalmaz, amelyek Felhőhöz készült Defender lefedettségét az új AWS-szolgáltatásokra és -erőforrásokra is kiterjesztik.

Megtudhatja, hogyan kezelheti az AWS-értékeléseket és -szabványokat.

A Microsoft Defender for DevOps (előzetes verzió) már elérhető más régiókban

A Microsoft Defender for DevOps kiterjesztette az előzetes verziót, és már elérhető a nyugat-európai és kelet-ausztráliai régiókban, amikor az Azure DevOps- és GitHub-erőforrásokat használja.

További információ a Microsoft Defender for DevOpsról.

A beépített szabályzat [előzetes verzió]: A privát végpontot konfigurálni kell a Key Vault elavult állapotához

A beépített szabályzat [Preview]: Private endpoint should be configured for Key Vault elavult, és lecserélődik a [Preview]: Azure Key Vaults should use private link szabályzatra.

További információ az Azure Key Vault és az Azure Policy integrálásáról.

2023. január

januári Frissítések a következők:

Az Endpoint Protection (Végponthoz készült Microsoft Defender) összetevő mostantól elérhető a Gépház és a figyelési lapon

Az Endpoint Protection eléréséhez keresse meg a Környezeti beállítások Defender-csomagokat>> Gépház és monitorozást. Innen bekapcsolva állíthatja be a végpontvédelmet. A többi felügyelt összetevőt is láthatja.

További információ a kiszolgálók Végponthoz készült Microsoft Defender engedélyezéséről a Defender for Servers szolgáltatással.

A javaslat új verziója a hiányzó rendszerfrissítések megkereséséhez (előzetes verzió)

Már nincs szüksége ügynökre az Azure-beli virtuális gépeken és az Azure Arc-gépeken annak biztosításához, hogy a gépek a legújabb biztonsági vagy kritikus rendszerfrissítésekkel rendelkezzenek.

Az új rendszerfrissítési javaslat System updates should be installed on your machines (powered by Azure Update Manager) a Apply system updates vezérlőben az Update Manageren (előzetes verzió) alapul. A javaslat a telepített ügynök helyett minden Azure-beli virtuális gépbe és Azure Arc-gépbe beágyazott natív ügynökre támaszkodik. Az új javaslat gyorsjavítása egyszeri telepítésre készteti a hiányzó frissítéseket az Update Manager portálon.

Az új javaslat használatához a következőkre van szükség:

  • Nem Azure-beli gépek Csatlakozás az Arcba
  • Kapcsolja be a periodikus értékelés tulajdonságot. Az új javaslat Machines should be configured to periodically check for missing system updates gyorsjavításával kijavíthatja a javaslatot.

A meglévő "Rendszerfrissítéseket telepíteni kell a gépekre" javaslat, amely a Log Analytics-ügynökre támaszkodik, továbbra is ugyanazzal a vezérléssel érhető el.

Törölt Azure Arc-gépek törlése csatlakoztatott AWS- és GCP-fiókokban

Az AWS- és GCP-fiókhoz csatlakoztatott, a kiszolgálókhoz készült Defender vagy a Defender for SQL által felügyelt gépek azure Arc-gépként Felhőhöz készült Defender jelenik meg. Eddig nem törölték a gépet a leltárból, amikor a gépet törölték az AWS- vagy GCP-fiókból. A törölt gépeket képviselő Felhőhöz készült Defender felesleges Azure Arc-erőforrásokhoz vezet.

Felhőhöz készült Defender mostantól automatikusan törli az Azure Arc-gépeket, amikor ezek a gépek törlődnek a csatlakoztatott AWS- vagy GCP-fiókban.

Folyamatos exportálás engedélyezése az Event Hubsba tűzfal mögött

Mostantól engedélyezheti a riasztások és javaslatok folyamatos exportálását megbízható szolgáltatásként az Azure-tűzfallal védett Event Hubsba.

A riasztások vagy javaslatok létrehozásakor engedélyezheti a folyamatos exportálást. Ütemezést is meghatározhat az összes új adat rendszeres pillanatképeinek küldéséhez.

Megtudhatja, hogyan engedélyezheti a folyamatos exportálást egy Azure-tűzfal mögötti Event Hubsba.

Módosult a Biztonságos pontszám vezérlő neve Az alkalmazások védelme az Azure speciális hálózati megoldásaival

A biztonságos pontszám-vezérlés Protect your applications with Azure advanced networking solutions a következőre Protect applications against DDoS attacksmódosul: .

A frissített név az Azure Resource Graph (ARG), a Secure Score Controls API és a Download CSV report.

Az SQL Server biztonságirés-felmérési beállításainak tartalmazniuk kell egy e-mail-címet a vizsgálati jelentések fogadásához elavult

A szabályzat Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports elavult.

Az SQL-hez készült Defender biztonságirés-felmérési e-mail-jelentés továbbra is elérhető, és a meglévő e-mail-konfigurációk nem változtak.

A virtuálisgép-méretezési csoportok diagnosztikai naplóinak engedélyezésére vonatkozó javaslat elavult

A javaslat Diagnostic logs in Virtual Machine Scale Sets should be enabled elavult.

A kapcsolódó szabályzatdefiníció a szabályozási megfelelőségi irányítópulton megjelenő szabványokból is elavult.

Ajánlás Leírás Súlyosság
Engedélyezni kell a diagnosztikai naplókat a virtuálisgép-méretezési csoportokban A naplók engedélyezése és megőrzése akár egy évig is lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra biztonsági incidens vagy a hálózat biztonsága esetén. Alacsony

2022. december

decemberi Frissítések a következők:

A sebezhetőségi felmérés expressz konfigurációjának bejelentése az SQL-hez készült Defenderben

Az SQL-hez készült Microsoft Defender biztonságirés-felmérésének expressz konfigurációja leegyszerűsített konfigurációs felületet biztosít a biztonsági csapatok számára az Azure SQL Database-eken és dedikált SQL-készleteken a Synapse-munkaterületeken kívül.

A biztonsági csapatok a biztonsági rések felmérésének expressz konfigurációs élményével a következő műveletekre képesek:

  • Végezze el a biztonságirés-felmérés konfigurációját az SQL-erőforrás biztonsági konfigurációjában az ügyfél által felügyelt tárfiókok egyéb beállításai vagy függőségei nélkül.
  • Azonnal adja hozzá a vizsgálati eredményeket az alapkonfigurációkhoz, hogy a keresés állapota ne legyen kifogástalan állapotú, és ne kelljen adatbázist újrakonfigurálnia.
  • Egyszerre több szabályt is hozzáadhat az alapkonfigurációkhoz, és használhatja a legújabb vizsgálati eredményeket.
  • Engedélyezze az összes Azure SQL Server sebezhetőségi felmérését, ha az előfizetés szintjén bekapcsolja a Microsoft Defendert az adatbázisokhoz.

További információ az SQL-hez készült Defender sebezhetőségi felméréséről.

2022. november

novemberi Frissítések a következők:

Tárolók védelme a GCP-szervezetben a Defender for Containers használatával

Most már engedélyezheti a Defender for Containerst a GCP-környezethez a szabványos GKE-fürtök teljes GCP-szervezeten belüli védelméhez. Csak hozzon létre egy új GCP-összekötőt a Defender for Containers engedélyezésével vagy a Defender for Containers engedélyezésével egy meglévő szervezeti szintű GCP-összekötőn.

További információ a GCP-projektek és szervezetek Felhőhöz készült Defender való összekapcsolásáról.

A Defender for Containers védelmének érvényesítése mintariasztásokkal

Mostantól a Defender for Containers csomaghoz is létrehozhat mintariasztásokat. Az új mintariasztások különböző súlyosságú és MITRE-taktikával rendelkező AKS-, Arc-összekapcsolt fürtökből, EKS-ből és GKE-erőforrásokból származnak. A mintariasztásokkal ellenőrizheti a biztonsági riasztások konfigurációit, például SIEM-integrációkat, munkafolyamat-automatizálást és e-mail-értesítéseket.

További információ a riasztások érvényesítéséről.

Szabályozási szabályok nagy léptékben (előzetes verzió)

Örömmel jelentjük be, hogy az irányítási szabályok nagy léptékben (előzetes verzió) alkalmazhatók az Felhőhöz készült Defender.

Ezzel az új felülettel a biztonsági csapatok tömegesen definiálhatnak szabályozási szabályokat különböző hatókörökhöz (előfizetésekhez és összekötőkhöz). A biztonsági csapatok olyan felügyeleti hatókörök használatával végezhetik el ezt a feladatot, mint az Azure felügyeleti csoportok, az AWS legfelső szintű fiókjai vagy a GCP-szervezetek.

Emellett az Irányítási szabályok (előzetes verzió) oldal bemutatja a szervezet környezeteiben érvényes összes rendelkezésre álló szabályozási szabályt.

További információ a nagy léptékű új szabályozási szabályokról.

Feljegyzés

2023. január 1-től az irányítás által kínált képességek kihasználásához engedélyeznie kell a Defender CSPM-csomagot az előfizetésében vagy összekötőjében.

Az egyéni értékelések AWS-ben és GCP-ben (előzetes verzió) történő létrehozása elavult

Az előzetes verziójú AWS-fiókok és GCP-projektek egyéni értékelései elavultak.

A Lambda-függvényekhez használt kézbesítetlen levelek üzenetsorainak konfigurálására vonatkozó javaslat elavult

A javaslat Lambda functions should have a dead-letter queue configured elavult.

Ajánlás Leírás Súlyosság
A Lambda-függvénynek egy kézbesítetlen üzenetsort kell konfigurálnia Ez a vezérlő ellenőrzi, hogy egy Lambda-függvény holtbetűs üzenetsorsal van-e konfigurálva. A vezérlő meghiúsul, ha a Lambda függvény nincs kézbesítetlen üzenetsorsal konfigurálva. A sikertelen célhely alternatívaként a függvényt egy kézbesítetlen üzenetsorsal konfigurálhatja az elvetett események további feldolgozás céljából történő mentéséhez. A kézbesítetlen levelek üzenetsora ugyanúgy működik, mint egy sikertelen célhely. Akkor használatos, ha egy esemény feldolgozása nélkül meghiúsul az összes feldolgozási kísérlet vagy lejár. A kézbesítetlen levelek várólistája lehetővé teszi, hogy visszatekintsen a Lambda-függvényhez intézett hibákra vagy sikertelen kérelmekre a szokatlan viselkedés hibakereséséhez vagy azonosításához. Biztonsági szempontból fontos megérteni, hogy miért nem sikerült a függvény, és biztosítani kell, hogy a függvény ne vesse el az adatokat, és ne veszélyeztesse az adatbiztonságot. Ha például a függvény nem tud kommunikálni egy mögöttes erőforrással, amely a szolgáltatásmegtagadási (DoS-) támadás tünete lehet a hálózat más részein. Közepes

2022. október

októberi Frissítések a következők:

A Microsoft felhőbiztonsági benchmarkjának bejelentése

A Microsoft felhőbiztonsági referenciamutatója (MCSB) egy új keretrendszer, amely alapvető felhőbiztonsági alapelveket határoz meg a közös iparági szabványok és megfelelőségi keretrendszerek alapján. Az ajánlott eljárások felhőplatformokon való megvalósítására vonatkozó részletes technikai útmutatóval együtt. Az MCSB lecseréli az Azure Security Benchmarkot. Az MCSB részletesen ismerteti, hogyan valósíthatja meg felhőbeli biztonsági ajánlásait több felhőszolgáltatási platformon, amelyek kezdetben az Azure-ra és az AWS-re terjednek ki.

Mostantól egyetlen, integrált irányítópulton figyelheti felhőnkénti biztonsági megfelelőségi állapotát. Az MCSB az alapértelmezett megfelelőségi szabvány, amikor Felhőhöz készült Defender szabályozási megfelelőségi irányítópultjára lép.

A Microsoft felhőbiztonsági teljesítménytesztje automatikusan hozzá lesz rendelve az Azure-előfizetésekhez és az AWS-fiókokhoz a Felhőhöz készült Defender előkészítésekor.

További információ a Microsoft felhőbiztonsági teljesítménymutatójáról.

Támadási útvonal elemzése és környezetfüggő biztonsági képességek Felhőhöz készült Defender (előzetes verzió)

Az új felhőbiztonsági gráf, a támadási útvonal elemzése és a környezetfüggő felhőbiztonsági képességek mostantól előzetes verzióban érhetők el Felhőhöz készült Defender.

Az egyik legnagyobb kihívás, amellyel a biztonsági csapatok ma szembesülnek, az a napi szinten felmerülő biztonsági problémák száma. Számos biztonsági problémát kell megoldani, és soha nem kell elegendő erőforrást találni az összes megoldásához.

Felhőhöz készült Defender új felhőalapú biztonsági gráf- és támadási útvonalelemzési képességei lehetővé teszik a biztonsági csapatok számára, hogy felmérjék az egyes biztonsági problémák mögötti kockázatokat. A biztonsági csapatok a lehető leghamarabb megoldandó legnagyobb kockázatú problémákat is azonosíthatják. Felhőhöz készült Defender együttműködik a biztonsági csapatokkal annak érdekében, hogy a lehető leghatékonyabban csökkentse a környezetüket érintő behatolás kockázatát.

További információ az új felhőbiztonsági gráfról, a támadási útvonal elemzéséről és a felhőbiztonsági kezelőről.

Azure- és AWS-gépek ügynök nélküli vizsgálata (előzetes verzió)

Eddig Felhőhöz készült Defender a virtuális gépekre vonatkozó, ügynökalapú megoldásokra vonatkozó helyzetértékeléseit. Annak érdekében, hogy az ügyfelek maximalizálják a lefedettséget, és csökkentsék a bevezetési és felügyeleti súrlódást, a virtuális gépek ügynök nélküli vizsgálatát tesszük közzé előzetes verzióra.

A virtuális gépek ügynök nélküli vizsgálatával széles körben áttekintheti a telepített szoftvereket és szoftveres CV-eket. A láthatóságot anélkül érheti el, hogy az ügynöktelepítés és -karbantartás, a hálózati csatlakozási követelmények és a teljesítmény hatással van a számítási feladatokra. Az elemzést Microsoft Defender biztonságirés-kezelés hajtja.

Az ügynök nélküli biztonságirés-vizsgálat a Defender Cloud Security Posture Management (CSPM) és a Defender for Servers P2 szolgáltatásban is elérhető, natív támogatással az AWS-hez és az Azure-beli virtuális gépekhez.

Defender for DevOps (előzetes verzió)

Felhőhöz készült Microsoft Defender lehetővé teszi a hibrid és többfelhős környezetek, például az Azure, az AWS, a Google és a helyszíni erőforrások átfogó láthatóságát, testtartáskezelését és veszélyforrások elleni védelmét.

Az új Defender for DevOps-csomag mostantól integrálja a forráskódkezelő rendszereket, például a GitHubot és az Azure DevOpsot a Felhőhöz készült Defender. Ezzel az új integrációval lehetővé tesszük a biztonsági csapatok számára, hogy megvédjék erőforrásaikat a kódtól a felhőig.

A Defender for DevOps lehetővé teszi a csatlakoztatott fejlesztői környezetek és kóderőforrások megismerését és kezelését. Jelenleg csatlakoztathatja az Azure DevOps- és GitHub-rendszereket a DevOps-adattárak Felhőhöz készült Defender és előkészítéséhez az Inventoryhez és az új DevOps Security oldalhoz. Az egységes DevOps Security oldalon a biztonsági csapatok magas szintű áttekintést nyújtanak a bennük található felderített biztonsági problémákról.

A lekéréses kérelmekhez megjegyzéseket konfigurálhat, így a fejlesztők közvetlenül a lekéréses kérelmeken kezelhetik az Azure DevOps titkos kulcsainak vizsgálatára vonatkozó megállapításokat.

A Microsoft Security DevOps-eszközöket az Azure Pipelines- és GitHub-munkafolyamatokon konfigurálhatja a következő biztonsági vizsgálatok engedélyezéséhez:

Név Nyelv Licenc
Bandit Python Apache-licenc 2.0
BinSkim Bináris – Windows, ELF MIT-licenc
ESlint JavaScript MIT-licenc
CredScan (csak Azure DevOps) A Credential Scanner (más néven CredScan) a Microsoft által kifejlesztett és karbantartott eszköz, amely azonosítja a hitelesítő adatok szivárgását, például a forráskódban és a konfigurációs fájlokban gyakori típusok: alapértelmezett jelszavak, SQL-kapcsolati sztring, titkos kulcsokkal rendelkező tanúsítványok Nem nyílt forráskódú
Sablonelemzés ARM-sablon, Bicep-fájl MIT-licenc
Terrascan Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, Cloud Formation Apache-licenc 2.0
Apróság Tárolólemezképek, fájlrendszerek, git-adattárak Apache-licenc 2.0

A DevOpshoz a következő új javaslatok érhetők el:

Ajánlás Leírás Súlyosság
(Előzetes verzió) A kódtárakban fel kell oldani a kódkeresési eredményeket A Defender for DevOps biztonsági réseket talált a kódtárakban. Az adattárak biztonsági helyzetének javítása érdekében javasoljuk, hogy javítsa ezeket a biztonsági réseket. (Nincs kapcsolódó szabályzat) Közepes
(Előzetes verzió) A kódtárakban meg kell oldani a titkos kódok vizsgálatának eredményeit A DevOps Defender talált egy titkos kódot a kódtárakban.  Ezt azonnal orvosolni kell a biztonsági incidensek megelőzése érdekében.  Az adattárakban található titkos kulcsokat a támadók kiszivárogtathatják vagy felderíthetik, ami egy alkalmazás vagy szolgáltatás sérüléséhez vezet. Az Azure DevOps esetében a Microsoft Security DevOps CredScan eszköz csak azokat a buildeket vizsgálja, amelyekre konfigurálva van a futtatás. Ezért előfordulhat, hogy az eredmények nem tükrözik az adattárak titkos kulcsainak teljes állapotát. (Nincs kapcsolódó szabályzat) Magas
(Előzetes verzió) A kódtárakban meg kell oldani a Dependabot vizsgálati eredményeit A Defender for DevOps biztonsági réseket talált a kódtárakban. Az adattárak biztonsági helyzetének javítása érdekében javasoljuk, hogy javítsa ezeket a biztonsági réseket. (Nincs kapcsolódó szabályzat) Közepes
(Előzetes verzió) A kódtáraknak infrastruktúrával kell rendelkezniük a kódkeresési eredmények feloldásakor (Előzetes verzió) A kódtáraknak infrastruktúrával kell rendelkezniük a kódkeresési eredmények feloldásakor Közepes
(Előzetes verzió) A GitHub-adattárakban engedélyezve kell lennie a kódvizsgálatnak A GitHub kódvizsgálatot használ a kód elemzéséhez, hogy biztonsági réseket és hibákat találjon a kódban. A kódvizsgálat használható a kódban meglévő problémák javításainak megkeresésére, osztályozására és rangsorolására. A kódvizsgálat azt is megakadályozhatja, hogy a fejlesztők új problémákat vezessenek be. A vizsgálatok ütemezhetők adott napokra és időpontokra, vagy a vizsgálat akkor aktiválható, ha egy adott esemény történik az adattárban, például leküldés. Ha a kódvizsgálat potenciális biztonsági rést vagy hibát talál a kódban, a GitHub riasztást jelenít meg az adattárban. A biztonsági rés olyan probléma a projekt kódjában, amely a projekt titkosságának, integritásának vagy rendelkezésre állásának sérülésére használható. (Nincs kapcsolódó szabályzat) Közepes
(Előzetes verzió) A GitHub-adattárakban engedélyezve kell lennie a titkos kódok vizsgálatának A GitHub az ismert típusú titkos kódok tárházait vizsgálja, hogy megelőzze a véletlenül az adattárakban lekötött titkos kódok csalárd használatát. A titkos kódok vizsgálata a GitHub-adattárban található összes ág teljes Git-előzményeit ellenőrzi. A titkos kulcsok közé tartoznak például a jogkivonatok és a titkos kulcsok, amelyeket a szolgáltató a hitelesítéshez kibocsáthat. Ha egy titkos kód be van jelentkezve egy adattárba, bárki, aki olvasási hozzáféréssel rendelkezik az adattárhoz, a titkos kód használatával hozzáférhet a külső szolgáltatáshoz ezekkel a jogosultságokkal. A titkos kulcsokat a projekt adattárán kívül, dedikált, biztonságos helyen kell tárolni. (Nincs kapcsolódó szabályzat) Magas
(Előzetes verzió) A GitHub-adattárakban engedélyezve kell lennie a Dependabot-vizsgálatnak A GitHub Dependabot-riasztásokat küld, amikor észleli az adattárakat érintő kódfüggőségek biztonsági réseit. A biztonsági rés olyan probléma a projekt kódjában, amely kihasználható a projekt vagy a kódját használó egyéb projektek bizalmasságának, integritásának vagy rendelkezésre állásának sérülésére. A biztonsági rések típusa, súlyossága és támadási módja eltérő. Ha a kód egy biztonsági sebezhetőséggel rendelkező csomagtól függ, ez a sebezhető függőség számos problémát okozhat. (Nincs kapcsolódó szabályzat) Közepes

A Defender for DevOps javaslatai felváltották a Defender for Containersben található CI/CD-munkafolyamatok elavult biztonságirés-ellenőrzőjének használatát.

További információ a Defender for DevOpsról

A jogszabályi megfelelőség irányítópultja mostantól támogatja a manuális vezérlés kezelését és a Microsoft megfelelőségi állapotára vonatkozó részletes információkat

A Felhőhöz készült Defender megfelelőségi irányítópultja kulcsfontosságú eszköz az ügyfelek számára a megfelelőségi állapotuk megértéséhez és nyomon követéséhez. Az ügyfelek folyamatosan figyelhetik a környezeteket a különböző szabványok és előírások követelményeinek megfelelően.

Most már teljes mértékben kezelheti a megfelelőségi állapotot a működési és egyéb vezérlők manuális igazolásával. Mostantól igazolhatja a nem automatizált vezérlők megfelelőségét. Az automatizált értékelésekkel együtt mostantól létrehozhat egy kiválasztott hatókörön belül egy teljes megfelelőségi jelentést, amely egy adott szabványhoz tartozó vezérlők teljes készletét kezeli.

Emellett a Microsoft megfelelőségi állapotának részletesebb vezérlőkkel kapcsolatos információinak, adatainak és bizonyítékainak köszönhetően most már az összes szükséges információ rendelkezésére áll a naplózáshoz.

Néhány az új előnyök közül:

  • A manuális ügyfélműveletek olyan mechanizmust biztosítanak, amellyel manuálisan igazolható a nem automatizált vezérlőknek való megfelelés. Beleértve a bizonyíték csatolásának lehetőségét, meg kell adni a megfelelőségi dátumot és a lejárati dátumot.

  • A microsoftos műveleteket és manuális ügyfélműveleteket bemutató támogatott szabványok részletesebb vezérlési részletei a már meglévő automatizált ügyfélműveletek mellett.

  • A Microsoft-műveletek átláthatóságot biztosítanak a Microsoft megfelelőségi állapotáról, amely magában foglalja a naplózásértékelési eljárásokat, a teszteredményeket és a Microsoft eltérésekre adott válaszait.

  • A megfelelőségi ajánlatok központi helyet biztosítanak az Azure-, Dynamics 365- és Power Platform-termékek, valamint azok megfelelő jogszabályi megfelelőségi tanúsítványainak ellenőrzéséhez.

További információ a jogszabályi megfelelőség javításáról a Felhőhöz készült Defenderrel.

Az automatikus projektelés átnevezve Gépház > figyelésre, és frissített felülettel rendelkezik

Átneveztük az Automatikus projektkészítés lapot Gépház & monitorozásra.

Az automatikus kiépítés célja az volt, hogy lehetővé tegye az előfeltételek nagy léptékű engedélyezését, amelyre Felhőhöz készült Defender speciális funkciói és képességei miatt van szükség. A bővített képességek jobb támogatása érdekében új felületet indítunk el a következő módosításokkal:

A Felhőhöz készült Defender csomagoldala mostantól a következőket tartalmazza:

  • Ha olyan Defender-csomagot engedélyez, amely monitorozási összetevőket igényel, ezek az összetevők engedélyezve vannak az alapértelmezett beállításokkal rendelkező automatikus kiépítéshez. Ezek a beállítások bármikor szerkeszthetők.
  • Az egyes Defender-csomagok monitorozási összetevőinek beállításait a Defender-csomag oldalán érheti el.
  • A Defender csomagok oldala egyértelműen jelzi, hogy az összes monitorozási összetevő megtalálható-e az egyes Defender-csomagokban, vagy hogy a figyelési lefedettség hiányos-e.

A Gépház & monitorozási oldal:

  • Minden monitorozási összetevő jelzi azokat a Defender-csomagokat, amelyekhez kapcsolódik.

További információ a figyelési beállítások kezeléséről.

Defender Cloud Security Posture Management (CSPM)

A felhőbiztonság egyik fő pillére Felhőhöz készült Microsoft Defender a felhőbiztonsági helyzetkezelés (CSPM). A CSPM olyan keményítési útmutatást nyújt, amely segít hatékonyan és hatékonyan javítani a biztonságot. A CSPM emellett betekintést nyújt az aktuális biztonsági helyzetbe is.

Új Defender-csomagot jelentünk be: Defender CSPM. Ez a terv javítja a Felhőhöz készült Defender biztonsági képességeit, és az alábbi új és bővített funkciókat tartalmazza:

  • A felhőerőforrások biztonsági konfigurációjának folyamatos értékelése
  • Biztonsági javaslatok a helytelen konfigurációk és a gyengeségek elhárításához
  • Biztonsági pontszám
  • Szabályozás
  • Előírásoknak való megfelelés
  • Felhőbeli biztonsági grafikon
  • Támadási útvonal elemzése
  • Gépek ügynök nélküli vizsgálata

További információ a Defender CSPM-csomagról.

A MITRE ATT&CK-keretrendszer leképezése mostantól az AWS- és GCP-biztonsági javaslatokhoz is elérhető

A biztonsági elemzők számára elengedhetetlen a biztonsági javaslatokhoz kapcsolódó lehetséges kockázatok azonosítása és a támadási vektorok megismerése, hogy hatékonyan rangsorolhassák feladataikat.

Felhőhöz készült Defender egyszerűbbé teszi a rangsorolást az Azure, az AWS és a GCP biztonsági ajánlásainak a MITRE ATT&CK-keretrendszerhez való leképezésével. A MITRE ATT&CK keretrendszer a valós megfigyeléseken alapuló támadó taktikák és technikák globálisan elérhető tudásbázis, amely lehetővé teszi az ügyfelek számára környezetük biztonságos konfigurációjának megerősítését.

A MITRE ATT&CK keretrendszer három módon integrálható:

  • Javaslatok MITRE ATT&CK taktikáinak és technikáinak leképezése.
  • Mitre ATT&CK-taktikák és technikák lekérdezése javaslatokhoz az Azure Resource Graph használatával.

Képernyőkép arról, hogy hol található a MITRE-támadás az Azure Portalon.

A Defender for Containers mostantól támogatja a rugalmas tárolóregisztrációs adatbázis biztonságirés-felmérését (előzetes verzió)

A Microsoft Defender for Containers mostantól ügynök nélküli biztonságirés-felmérést biztosít az Elastic Container Registry (ECR) számára az Amazon AWS-ben. A többfelhős környezetek lefedettségének bővítése az év elején megjelent fejlett veszélyforrások elleni védelemre és az AWS-hez és a Google GCP-hez készült Kubernetes-környezetek megerősítésére épül. Az ügynök nélküli modell AWS-erőforrásokat hoz létre a fiókokban a képek vizsgálatához anélkül, hogy képeket nyer ki az AWS-fiókokból, és nem terhelné a terhelést.

Az ECR-adattárakban lévő rendszerképek ügynök nélküli sebezhetőségi felmérése segít csökkenteni a tárolóalapú tulajdon támadási felületét azáltal, hogy folyamatosan ellenőrzi a lemezképeket a tároló biztonsági réseinek azonosítása és kezelése érdekében. Ezzel az új kiadással Felhőhöz készült Defender megvizsgálja a tárolólemezképeket, miután a rendszer leküldte őket az adattárba, és folyamatosan újraértékeli az ECR-tárolólemezképeket a beállításjegyzékben. Az eredmények javaslatokként érhetők el Felhőhöz készült Microsoft Defender, és Felhőhöz készült Defender beépített automatizált munkafolyamataival műveletet hajthat végre az eredményeken, például megnyithat egy jegyet a nagy súlyosságú biztonsági rések elhárításához a képeken.

További információ az Amazon ECR-rendszerképek sebezhetőségi felméréséről.

Szeptember 2022.

szeptemberi Frissítések a következők:

Tároló- és Kubernetes-entitásokon alapuló riasztások letiltása

  • Kubernetes-névtér
  • Kubernetes Pod
  • Kubernetes-titkos kód
  • Kubernetes ServiceAccount
  • Kubernetes ReplicaSet
  • Kubernetes StatefulSet
  • Kubernetes DaemonSet
  • Kubernetes-feladat
  • Kubernetes CronJob

További információ a riasztások letiltási szabályairól.

A Defender for Servers támogatja a fájlintegritási monitorozást az Azure Monitor-ügynökkel

A fájlintegritási monitorozás (FIM) megvizsgálja az operációsrendszer-fájlokat és a regisztrációs adatbázisokat, hogy milyen változások utalhatnak támadásra.

A FIM mostantól elérhető az Azure Monitor Agenten (AMA) alapuló új verzióban, amelyet Felhőhöz készült Defender keresztül helyezhet üzembe.

További információ a fájlintegritási monitorozásról az Azure Monitor-ügynökkel.

Régi értékelések API-k elavulása

A következő API-k elavultak:

  • Biztonsági feladatok
  • Biztonsági állapotok
  • Biztonsági összefoglalók

Ez a három API-k régi értékelési formátumokat fednek fel, és ezeket a Assessments API-k és az Alértékelési API-k váltják fel. Az örökölt API-k által közzétett összes adat az új API-kban is elérhető.

További javaslatok az identitáshoz

Felhőhöz készült Defender javaslatait a felhasználók és fiókok felügyeletének javítására.

Új javaslatok

Az új kiadás a következő képességeket tartalmazza:

  • Kiterjesztett kiértékelési hatókör – Az MFA nélküli identitásfiókok és az Azure-erőforrásokon (nem csak előfizetések) lévő külső fiókok lefedettsége javul, így a biztonsági rendszergazdák fiókonként tekinthetik meg a szerepkör-hozzárendeléseket.

  • Továbbfejlesztett frissességi időköz – Az identitásjavaslatok frissességi időköze 12 óra.

  • Fiókmentesítési képesség – Felhőhöz készült Defender számos funkcióval rendelkezik, amelyekkel testre szabhatja a felhasználói élményt, és meggyőződhet arról, hogy a biztonsági pontszám megfelel a szervezet biztonsági prioritásainak. Például mentesítheti az erőforrásokat és a javaslatokat a biztonságos pontszám alól.

    Ez a frissítés lehetővé teszi, hogy az alábbi táblázatban felsorolt hat javaslattal felmentse az egyes fiókokat az értékelés alól.

    A vészhelyzeti "törésüveg" fiókokat általában mentesíti az MFA-javaslatok alól, mivel az ilyen fiókokat gyakran szándékosan kizárják a szervezet MFA-követelményeiből. Másik lehetőségként előfordulhat, hogy olyan külső fiókokkal rendelkezik, amelyekhez engedélyezni szeretné a hozzáférést, és nincs engedélyezve az MFA.

    Tipp.

    Ha mentesít egy fiókot, az nem lesz kifogástalan állapotúként jelenik meg, és az előfizetések sem fognak kifogástalan állapotúnak megjelenni.

    Ajánlás Értékelési kulcs
    Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t 6240402e-f77c-46fa-9060-a7ce53997754
    Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t c0cb17b2-0607-48a7-b0e0-903ed22de39b
    Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
    Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani 20606e75-05c4-48c0-9d97-add6daa2109a
    Az Azure-erőforrásokra vonatkozó írási engedélyekkel rendelkező vendégfiókokat el kell távolítani 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
    El kell távolítani az Azure-erőforrások olvasási engedélyeivel rendelkező vendégfiókokat fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
    Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező blokkolt fiókjait el kell távolítani 050ac097-3dda-4d24-ab6d-82568e7a50cf
    Az Azure-erőforrások olvasási és írási engedélyekkel rendelkező blokkolt fiókjait el kell távolítani 1ff0b4c9-ed56-4de6-be9c-d7ab39645926

A javaslatok előzetes verzióban is megjelennek a ga-ban jelenleg elérhető javaslatok mellett.

Eltávolított biztonsági riasztások a bérlők közötti Log Analytics-munkaterületekre jelentett gépekről

Korábban Felhőhöz készült Defender kiválaszthatja azt a munkaterületet, amellyel a Log Analytics-ügynökök jelentést készítettek. Ha egy gép egy bérlőhöz ("A bérlő") tartozott, de a Log Analytics-ügynök egy másik bérlőben lévő munkaterületen ("B" bérlő) jelent meg, a rendszer biztonsági riasztásokat jelentett az első bérlőnek ("A bérlő").

Ezzel a módosítással a Log Analytics-munkaterülethez csatlakoztatott gépeken egy másik bérlőben lévő riasztások már nem jelennek meg a Felhőhöz készült Defender.

Ha továbbra is meg szeretné kapni a riasztásokat a Felhőhöz készült Defender, csatlakoztassa az érintett gépek Log Analytics-ügynökét a munkaterülethez a géppel azonos bérlőben.

További információ a biztonsági riasztásokról.

2022. augusztus

Frissítések augusztusban a következőket tartalmazza:

A windowsos tárolókon a Defender for Containers biztonsági rései mostantól láthatók a rendszerképek futtatásához

A Defender for Containers mostantól biztonsági réseket jelenít meg a Windows-tárolók futtatásához.

A biztonsági rések észlelésekor Felhőhöz készült Defender az észlelt problémákat felsoroló következő biztonsági javaslatot hozza létre: A tárolólemezképek futtatásakor meg kell oldani a biztonságirés-megállapításokat.

További információ a rendszerképek biztonsági réseinek megtekintéséről.

Az Azure Monitor Agent integrációja most előzetes verzióban

Felhőhöz készült Defender mostantól előzetes verziójú támogatást is biztosít a Azure Monitor-ügynök (AMA). Az AMA a régi Log Analytics-ügynök (más néven a Microsoft Monitoring Agent (MMA) lecserélésére szolgál, amely az elavulás útján halad. Az AMA számos előnnyel jár az örökölt ügynökökkel szemben.

A Felhőhöz készült Defender az AMA automatikus üzembe helyezésének engedélyezésekor az ügynök meglévő és új virtuális gépeken és Azure Arc-kompatibilis gépeken lesz üzembe helyezve, amelyek az előfizetésekben észlelhetők. Ha a Defenders for Cloud-csomagok engedélyezve vannak, az AMA konfigurációs adatokat és eseménynaplókat gyűjt azure-beli virtuális gépekről és Azure Arc-gépekről. Az AMA-integráció előzetes verzióban érhető el, ezért azt javasoljuk, hogy éles környezetek helyett tesztkörnyezetekben használja.

Az alábbi táblázat az elavult riasztásokat sorolja fel:

Riasztás neve Leírás Taktika Súlyosság
Kubernetes-csomóponton észlelt Docker-buildművelet
(VM_ImageBuildOnNode)		 A gépnaplók egy Kubernetes-csomóponton lévő tárolórendszerkép buildelési műveletét jelzik. Bár ez a viselkedés jogos lehet, előfordulhat, hogy a támadók helyileg építik fel a rosszindulatú rendszerképeiket az észlelés elkerülése érdekében. Védelmi kijátszás Alacsony
Gyanús kérés a Kubernetes API-hoz
(VM_KubernetesAPI)		 A gépnaplók azt jelzik, hogy gyanús kérés érkezett a Kubernetes API-hoz. A kérés egy Kubernetes-csomópontról lett elküldve, valószínűleg a csomóponton futó egyik tárolóból. Bár ez a viselkedés szándékos lehet, azt jelezheti, hogy a csomópont feltört tárolót futtat. LateralMovement Közepes
Az SSH-kiszolgáló tárolón belül fut
(VM_ContainerSSH)		 A gépnaplók azt jelzik, hogy egy SSH-kiszolgáló egy Docker-tárolón belül fut. Bár ez a viselkedés szándékos lehet, gyakran azt jelzi, hogy egy tároló helytelenül van konfigurálva vagy megsértve. Futtatási Közepes

Ezek a riasztások a Kubernetes-fürthöz kapcsolódó gyanús tevékenységekről értesítik a felhasználót. A riasztások a Felhőhöz készült Microsoft Defender tárolóriasztások (K8S.NODE_ImageBuildOnNodeés ) részét képező egyező riasztásokra lesznek lecserélve, K8S.NODE_ KubernetesAPI amelyek jobb megbízhatóságot és K8S.NODE_ ContainerSSHátfogó környezetet biztosítanak a riasztások kivizsgálásához és a riasztások kezelésére. További információ a Kubernetes-fürtök riasztásairól.

A tároló biztonsági rései mostantól részletes csomaginformációkat tartalmaznak

A Defender for Container biztonságirés-felmérése (VA) mostantól részletes csomaginformációkat tartalmaz minden egyes megállapításhoz, beleértve a következőket: csomagnév, csomagtípus, elérési út, telepített verzió és rögzített verzió. A csomaginformációk segítségével sebezhető csomagokat kereshet, így elháríthatja a biztonsági rést, vagy eltávolíthatja a csomagot.

Ez a részletes csomaginformáció a képek új vizsgálatához érhető el.

Képernyőkép a tároló biztonsági réseinek csomaginformációiról.

2022. július

júliusi Frissítések a következők:

A natív felhőbeli biztonsági ügynök általános elérhetősége a Kubernetes-futtatókörnyezet védelméhez

Örömmel osztjuk meg, hogy a Kubernetes futtatókörnyezet-védelemhez készült natív felhőbeli biztonsági ügynök általánosan elérhető (GA)!

A Kubernetes-fürtök éles üzembe helyezései folyamatosan növekednek, ahogy az ügyfelek továbbra is tárolóba helyezik az alkalmazásaikat. A növekedés elősegítése érdekében a Defender for Containers csapata kifejlesztett egy natív kubernetes-alapú, felhőalapú biztonsági ügynököt.

Az új biztonsági ügynök egy eBPF technológián alapuló Kubernetes DaemonSet, amely az AKS biztonsági profil részeként teljes mértékben integrálva van az AKS-fürtökbe.

A biztonsági ügynök engedélyezése automatikusan, javaslati folyamattal, AKS RP-val vagy nagy léptékben érhető el az Azure Policy használatával.

A Defender-ügynököt ma üzembe helyezheti az AKS-fürtökön.

Ezzel a bejelentéssel a futtatókörnyezet elleni védelem – fenyegetésészlelés (számítási feladat) is általánosan elérhető.

További információ a Defender for Container szolgáltatás elérhetőségéről.

Az összes elérhető riasztást is áttekintheti.

Vegye figyelembe, hogy ha az előzetes verziót használja, a AKS-AzureDefender funkciójelzőre már nincs szükség.

A Defender for Container VA támogatja a nyelvspecifikus csomagok észlelését (előzetes verzió)

A Defender for Container sebezhetőségi felmérése (VA) képes észlelni az operációsrendszer-csomagkezelőn keresztül üzembe helyezett operációsrendszer-csomagok biztonsági réseit. Kiterjesztettük a VA képességeit a nyelvspecifikus csomagokban található biztonsági rések észlelésére.

Ez a funkció előzetes verzióban érhető el, és csak Linux rendszerképekhez érhető el.

Az összes hozzáadott nyelvspecifikus csomag megtekintéséhez tekintse meg a Defender for Container funkcióinak és elérhetőségének teljes listáját.

Védelem az Operations Management-infrastruktúra CVE-2022-29149 biztonsági rése ellen

Az Operations Management Infrastructure (OMI) felhőalapú szolgáltatások gyűjteménye, amely egyetlen helyről felügyeli a helyszíni és a felhőkörnyezeteket. A helyszíni erőforrások üzembe helyezése és kezelése helyett az OMI-összetevők teljes mértékben az Azure-ban üzemelnek.

Az OMI 13-at futtató Azure HDInsighttal integrált Log Analyticshez javításra van szükség a CVE-2022-29149 szervizeléséhez. Tekintse át a biztonsági résről szóló jelentést a Microsoft biztonsági frissítési útmutatójában , amelyből megtudhatja, hogyan azonosíthatja a biztonsági rés által érintett erőforrásokat és a szervizelési lépéseket.

Ha a Defender for Servers engedélyezve van a sebezhetőségi felméréssel, ezzel a munkafüzettel azonosíthatja az érintett erőforrásokat.

Integráció az Entra-engedélyek kezelésével

Felhőhöz készült Defender integrálva van a Microsoft Entra Engedélykezelés, egy felhőinfrastruktúra-jogosultságkezelési (CIEM) megoldással, amely átfogó átláthatóságot és vezérlést biztosít az Azure, az AWS és a GCP bármely identitásához és erőforrásához tartozó engedélyek felett.

Mostantól minden Egyes Azure-előfizetés, AWS-fiók és GCP-projekt, amelybe be van kapcsolva, mostantól megtekintheti az Engedélykúszó index (PCI) nézetét.

További információ az Entra Engedélykezelésről (korábbi nevén Cloudknox)

A Key Vault javaslatai "naplózás" értékre módosultak

Az itt felsorolt Key Vault-javaslatok hatása "naplózásra" módosult:

Javaslat neve Javaslat azonosítója
Az Azure Key Vaultban tárolt tanúsítványok érvényességi időtartama nem haladhatja meg a 12 hónapot fc84abc0-eee6-4758-8372-a7681965ca44
A kulcsszéf titkoknak lejárati dátummal kell rendelkezniük 14257785-9437-97fa-11ae-898cfb24302b
A kulcstároló kulcsoknak lejárati dátummal kell rendelkezniük 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2

API-alkalmazásszabályzatok elavultak az App Service-hez

A következő szabályzatokat elavultattuk az API-alkalmazások belefoglalásához már létező megfelelő szabályzatokra:

Elavultnak kell lennie Váltás a
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' App Service apps should have 'Client Certificates (Incoming client certificates)' enabled
Ensure that 'Python version' is the latest, if used as a part of the API app App Service apps that use Python should use the latest Python version'
CORS should not allow every resource to access your API App App Service apps should not have CORS configured to allow every resource to access your apps
Managed identity should be used in your API App App Service apps should use managed identity
Remote debugging should be turned off for API Apps App Service apps should have remote debugging turned off
Ensure that 'PHP version' is the latest, if used as a part of the API app App Service apps that use PHP should use the latest 'PHP version'
FTPS only should be required in your API App App Service apps should require FTPS only
Ensure that 'Java version' is the latest, if used as a part of the API app App Service apps that use Java should use the latest 'Java version'
Latest TLS version should be used in your API App App Service apps should use the latest TLS version

2022. június

júniusi Frissítések a következők:

Általános rendelkezésre állás (GA) az Azure Cosmos DB-hez készült Microsoft Defenderhez

Az Azure Cosmos DB-hez készült Microsoft Defender általánosan elérhető (GA), és támogatja az SQL (core) API-fióktípusokat.

A GA új kiadása a Felhőhöz készült Microsoft Defender adatbázisvédelmi csomag része, amely különböző típusú SQL-adatbázisokat és MariaDB-t tartalmaz. Az Azure Cosmos DB-hez készült Microsoft Defender egy azure-beli natív biztonsági réteg, amely észleli az Azure Cosmos DB-fiókokban lévő adatbázisok kihasználására tett kísérleteket.

A terv engedélyezésével riasztást kap a potenciális SQL-injektálásokról, az ismert rossz szereplőkről, a gyanús hozzáférési mintákról és az adatbázis esetleges feltárásáról sérült identitások vagy rosszindulatú bennfentesek révén.

Potenciálisan rosszindulatú tevékenységek észlelésekor biztonsági riasztások jönnek létre. Ezek a riasztások részletes információkat nyújtanak a gyanús tevékenységekről, valamint a vonatkozó vizsgálati lépésekről, a szervizelési műveletekről és a biztonsági javaslatokról.

Az Azure Cosmos DB-hez készült Microsoft Defender folyamatosan elemzi az Azure Cosmos DB-szolgáltatások által létrehozott telemetriai adatfolyamot, és a Gyanús tevékenységek észlelése érdekében keresztezi őket a Microsoft Threat Intelligence és viselkedési modellekkel. Az Azure Cosmos DB Defender nem fér hozzá az Azure Cosmos DB-fiók adataihoz, és nincs hatással az adatbázis teljesítményére.

További információ az Azure Cosmos DB-hez készült Microsoft Defenderről.

Az Azure Cosmos DB támogatásának hozzáadásával Felhőhöz készült Defender mostantól az egyik legátfogóbb számítási feladatvédelmi ajánlatot nyújt a felhőalapú adatbázisokhoz. A biztonsági csapatok és az adatbázis-tulajdonosok mostantól központosított felületen kezelhetik a környezeteik adatbázis-biztonságát.

Megtudhatja, hogyan engedélyezheti az adatbázisok védelmét .

A Defender általános rendelkezésre állása (GA) az SQL-hez AWS- és GCP-környezetekhez készült gépeken

Az Felhőhöz készült Microsoft Defender által biztosított adatbázis-védelmi képességek támogatják az AWS- vagy GCP-környezetekben üzemeltetett SQL-kiszolgálókat.

Az SQL-hez készült Defender mostantól a teljes adatbázis-tulajdon védelmét biztosítja az Azure-ban, az AWS-ben, a GCP-ben és a helyszíni gépeken.

Az SQL-hez készült Microsoft Defender egységes többfelhős felületet biztosít a biztonsági javaslatok, a biztonsági riasztások és a sebezhetőség-felmérés eredményeinek megtekintéséhez mind az SQL Server, mind a windowsos operációs rendszer esetében.

A többfelhős előkészítési felülettel engedélyezheti és kényszerítheti az adatbázisok védelmét az AWS EC2-n, az SQL Serverhez készült RDS Custom-en és a GCP számítási motoron futó SQL-kiszolgálókon. Miután engedélyezte bármelyik csomagot, az előfizetésben található összes támogatott erőforrás védett lesz. Az ugyanazon előfizetésen létrehozott jövőbeli erőforrások is védettek lesznek.

Megtudhatja, hogyan védheti meg és csatlakoztathatja az AWS-környezetet és a GCP-szervezetet Felhőhöz készült Microsoft Defender.

Biztonsági javaslatok megvalósításának elősegítése a biztonsági helyzet javítása érdekében

A szervezeteket fenyegető egyre növekvő fenyegetések a biztonsági személyzet korlátait feszülik a bővülő számítási feladatok védelme érdekében. A biztonsági csapatoknak kihívást jelent a biztonsági szabályzatokban meghatározott védelem implementálása.

Most, hogy a felügyeleti felület előzetes verzióban érhető el, a biztonsági csapatok hozzárendelhetik a biztonsági javaslatok szervizelését az erőforrás-tulajdonosokhoz, és szervizelési ütemezést igényelnek. Teljes átláthatóságot kaphatnak a szervizelés folyamatában, és értesítést kaphatnak a feladatok esedékessége esetén.

További információ a szervezet szabályozási tapasztalatairól a javaslatok szabályozásával kapcsolatos biztonsági problémák elhárításához.

Biztonsági riasztások szűrése IP-cím alapján

Számos támadás esetén a riasztásokat a támadásban érintett entitás IP-címe alapján szeretné nyomon követni. Eddig az IP-cím csak az egyetlen riasztás panel "Kapcsolódó entitások" szakaszában jelent meg. Most szűrheti a riasztásokat a biztonsági riasztások oldalán, hogy láthassa az IP-címmel kapcsolatos riasztásokat, és kereshet egy adott IP-címet.

Képernyőkép az I P-cím szűréséről Felhőhöz készült Defender riasztásokban.

Riasztások erőforráscsoport szerint

Az erőforráscsoportok szerinti szűrés, rendezés és csoportosítás lehetősége bekerül a Biztonsági riasztások lapra.

A rendszer hozzáad egy erőforráscsoport-oszlopot a riasztási rácshoz.

Képernyőkép az újonnan hozzáadott erőforráscsoport oszlopról.

A rendszer új szűrőt ad hozzá, amely lehetővé teszi az adott erőforráscsoportok összes riasztásának megtekintését.

Képernyőkép az új erőforráscsoport-szűrőről.

Mostantól erőforráscsoportonként is csoportosíthatja a riasztásokat az egyes erőforráscsoportok összes riasztásának megtekintéséhez.

Képernyőkép arról, hogyan tekintheti meg a riasztásokat, ha azok erőforráscsoport szerint vannak csoportosítva.

Végponthoz készült Microsoft Defender egyesített megoldás automatikus üzembe helyezése

Eddig a Végponthoz készült Microsoft Defender (MDE) integrációja magában foglalta az új, gépekhez (Azure-előfizetésekhez és többfelhős összekötőkhöz) készült egyesített MDE-megoldás automatikus telepítését az 1. csomaghoz készült Defenderrel, valamint a 2. csomaggal rendelkező Defenderrel rendelkező többfelhős összekötők esetében. Az Azure-előfizetések 2. csomagja csak a Linux rendszerű gépek, valamint a Windows 2019 és 2022 rendszerű kiszolgálók egységes megoldását tette lehetővé. A 2012R2-es és 2016-os Windows-kiszolgálók a Log Analytics-ügynöktől függő MDE régi megoldást használták.

Most az új egységes megoldás mindkét csomag összes gépéhez elérhető, azure-előfizetésekhez és többfelhős összekötőkhöz is. Azon Azure-előfizetések esetében, amelyek 2022. június 20. után engedélyezték az MDE-integrációt, az egyesített megoldás alapértelmezés szerint engedélyezve van az összes olyan gép esetében, amelyen a Defender for Servers Plan 2022. június 20. előtt engedélyezve van az MDE-integrációval, mostantól engedélyezheti az egységes megoldástelepítést a Windows Server 2012R2 és 2016 rendszerű kiszolgálókon az Integrációk lap dedikált gombján keresztül:

További információ az MDE és a Defender for Servers integrációjáról.

Az "API-alkalmazásnak csak HTTPS-en keresztül elérhetőnek kell lennie" szabályzat elavultnak kell lennie

A szabályzat API App should only be accessible over HTTPS elavult. Ezt a házirendet a rendszer lecseréli a Web Application should only be accessible over HTTPS szabályzatra, amelynek átnevezése a következőre történik App Service apps should only be accessible over HTTPS: .

A Azure-alkalmazás Szolgáltatás szabályzatdefinícióival kapcsolatos további információkért lásd az Azure Policy beépített definícióit Azure-alkalmazás Szolgáltatáshoz.

Új Key Vault-riasztások

A Key Vaulthoz készült Microsoft Defender által biztosított veszélyforrások elleni védelem kibővítéséhez két új riasztást adtunk hozzá.

Ezek a riasztások a hozzáférés megtagadásának a rendellenességéről tájékoztatják, és a rendszer a kulcstartók bármelyikéhez észleli.

Riasztás (riasztás típusa) Leírás MITRE-taktikák Súlyosság
Szokatlan hozzáférés megtagadva – A nagy mennyiségű kulcstartóhoz hozzáférő felhasználó megtagadva
(KV_DeniedAccountVolumeAnomaly)		 Egy felhasználó vagy szolgáltatásnév az elmúlt 24 órában rendellenesen nagy mennyiségű kulcstartóhoz próbált hozzáférni. Ez a rendellenes hozzáférési minta lehet jogszerű tevékenység. Bár ez a kísérlet sikertelen volt, a key vault és a benne lévő titkos kulcsok elérésének lehetséges kísérletére utalhat. Javasoljuk, hogy további vizsgálatokat. Felderítés Alacsony
Szokatlan hozzáférés megtagadva – A key vaulthoz való szokatlan hozzáférés megtagadva
(KV_UserAccessDeniedAnomaly)		 A key vault-hozzáférést olyan felhasználó kísérelte meg, aki általában nem fér hozzá, ez a rendellenes hozzáférési minta lehet jogszerű tevékenység. Bár ez a kísérlet sikertelen volt, a key vault és a benne lévő titkos kulcsok elérésének lehetséges kísérletére utalhat. Kezdeti hozzáférés, felderítés Alacsony

2022. május

májusi Frissítések a következők:

A Kiszolgálók csomag többfelhős beállításai mostantól elérhetőek az összekötő szintjén

Most már többfelhős összekötőszintű beállítások vannak a Defender for Servershez.

Az új összekötőszintű beállítások részletes díjszabást és automatikus konfigurációt biztosítanak összekötőnként, az előfizetéstől függetlenül.

Az összekötői szinten elérhető összes automatikus fejlesztési összetevő (Azure Arc, MDE és sebezhetőségi felmérések) alapértelmezés szerint engedélyezve van, és az új konfiguráció az 1. és a 2. csomag tarifacsomagjait is támogatja.

Frissítések felhasználói felületen a kiválasztott tarifacsomag és a konfigurált szükséges összetevők tükröződnek.

Képernyőkép a fő csomag oldaláról a Kiszolgálói csomag többfelhős beállításaival.

Képernyőkép az automatikus fejlesztési oldalról, amelyen engedélyezve van a többfelhős összekötő.

A sebezhetőségi felmérés változásai

A Defender for Containers mostantól olyan biztonsági réseket jelenít meg, amelyek közepes és alacsony súlyosságúak, amelyek nem javíthatók.

A frissítés részeként megjelennek a közepes és alacsony súlyosságú biztonsági rések, függetlenül attól, hogy elérhetők-e javítások. Ez a frissítés maximális láthatóságot biztosít, de továbbra is lehetővé teszi a nem kívánt biztonsági rések kiszűrésére a megadott Letiltás szabály használatával.

Képernyőkép a szabály letiltása képernyőről.

További információ a biztonságirés-kezelés

A virtuális gépek jit (igény szerinti) hozzáférése mostantól elérhető az AWS EC2-példányokhoz (előzetes verzió)

AWS-fiókok csatlakoztatásakor a JIT automatikusan kiértékeli a példány biztonsági csoportjainak hálózati konfigurációját, és javasolja, hogy mely példányok igényelnek védelmet a közzétett felügyeleti portjaikhoz. Ez hasonló ahhoz, ahogyan a JIT az Azure-ral működik. A nem védett EC2-példányok előkészítésekor a JIT letiltja a felügyeleti portokhoz való nyilvános hozzáférést, és csak korlátozott ideig engedélyezett kérésekkel nyitja meg őket.

Ismerje meg, hogyan védi a JIT az AWS EC2-példányokat

Az AKS-fürtök Defender-érzékelőjének hozzáadása és eltávolítása a parancssori felület használatával

A Defender-ügynök szükséges a Defender for Containershez a futtatókörnyezet védelmének biztosításához és a csomópontokról érkező jelek gyűjtéséhez. Mostantól az Azure CLI használatával is hozzáadhatja és eltávolíthatja az AKS-fürt Defender-ügynökét .

Feljegyzés

Ez a lehetőség az Azure CLI 3.7-ben és újabb verziókban is elérhető.

2022. április

áprilisi Frissítések a következők:

Új Defender for Servers-csomagok

A Microsoft Defender for Servers mostantól két növekményes csomagban érhető el:

  • Defender for Servers Plan 2, korábbi nevén Defender for Servers
  • A Defender for Servers 1. csomagja csak Végponthoz készült Microsoft Defender támogatja

Míg a Defender for Servers 2. csomagja továbbra is védelmet nyújt a felhőbeli és a helyszíni számítási feladatok fenyegetései és biztonsági rései ellen, a Defender for Servers 1. csomagja csak végpontvédelmet biztosít, amelyet a natívan integrált Végponthoz készült Defender biztosít. További információ a Defender for Servers csomagjairól.

Ha eddig a Defender for Servers szolgáltatást használta, nincs szükség műveletre.

Emellett Felhőhöz készült Defender megkezdi a Windows Server 2012 R2 és 2016 Defender for Endpoint egyesített ügynökének fokozatos támogatását is. A Defender for Servers 1. csomagja üzembe helyezi az új egyesített ügynököt a Windows Server 2012 R2 és 2016 számítási feladatokban.

Egyéni javaslatok áthelyezése

Az egyéni javaslatok a felhasználók által létrehozott javaslatok, és nincs hatással a biztonságos pontszámra. Az egyéni javaslatok mostantól a Minden javaslat lapon találhatók.

Az egyéni javaslatok megkereséséhez használja az új "javaslattípus" szűrőt.

További információ: Egyéni biztonsági kezdeményezések és szabályzatok létrehozása.

PowerShell-szkript a riasztások Splunkba és IBM QRadarba való streameléséhez

Javasoljuk, hogy az Event Hubs és egy beépített összekötő használatával exportálja a biztonsági riasztásokat a Splunkba és az IBM QRadarba. Most már PowerShell-szkripttel állíthatja be az előfizetés vagy bérlő biztonsági riasztásainak exportálásához szükséges Azure-erőforrásokat.

Egyszerűen töltse le és futtassa a PowerShell-szkriptet. Miután megadott néhány részletet a környezetéről, a szkript konfigurálja az erőforrásokat. A szkript ezután létrehozza a SIEM platformon az integráció befejezéséhez használt kimenetet.

További információ: Stream-riasztások a Splunkba és a QRadarba.

Elavult az Azure Cache for Redis-javaslat

A javaslat Azure Cache for Redis should reside within a virtual network (előzetes verzió) elavult. Módosítottuk az Azure Cache for Redis-példányok biztonságossá tételéhez szükséges útmutatót. Javasoljuk, hogy virtuális hálózat helyett használjon privát végpontot az Azure Cache for Redis-példányhoz való hozzáférés korlátozásához.

A Microsoft Defender for Storage új riasztási változata (előzetes verzió) a bizalmas adatok expozíciójának észleléséhez

A Microsoft Defender for Storage riasztásai értesítik, ha a fenyegetéstevők megpróbálják átvizsgálni és közzétenni a hibásan konfigurált, nyilvánosan megnyitott tárolókat, hogy megpróbálják kiszűrni a bizalmas információkat.

A gyorsabb osztályozás és válaszidő érdekében, amikor lehetséges, hogy bizalmas adatok kiszűrése történt, új változatot adtunk ki a meglévő Publicly accessible storage containers have been exposed riasztáshoz.

Az új riasztás Publicly accessible storage containers with potentially sensitive data have been exposedsúlyossági szinttel High aktiválódik, miután sikeresen felderített egy nyilvánosan megnyitott tároló(ka)t, amelynek neveit statisztikailag ritkán tették közzé nyilvánosan, ami arra utal, hogy bizalmas információkat tartalmazhatnak.

Riasztás (riasztás típusa) Leírás MITRE-taktika Súlyosság
ELŐZETES VERZIÓ – Nyilvánosan elérhető tárolók, amelyek potenciálisan bizalmas adatokat fednek fel
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive)		 Valaki megvizsgálta az Azure Storage-fiókját, és közzétette a nyilvános hozzáférést engedélyező tároló(ka)t. Egy vagy több közzétett tároló neve azt jelzi, hogy bizalmas adatokat tartalmazhatnak.

Ez általában azt jelzi, hogy a fenyegetést okozó szereplő felderíti a bizalmas adatokat tartalmazó, helytelenül konfigurált, nyilvánosan elérhető tárolókat.

Miután egy fenyegetéselktor sikeresen felderített egy tárolót, folytathatja az adatok kiszivárgásával.
✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2		 Gyűjtemény Magas

A tárolókeresési riasztás címe ip-címmel bővítve

Az IP-címek hírneve azt jelzi, hogy a vizsgálati tevékenység egy ismert veszélyforrás-szereplőtől származik-e, vagy egy olyan szereplőtől, aki a Tor-hálózatot használja identitásuk elrejtéséhez. Mindkét mutató azt sugallja, hogy rosszindulatú szándék van. Az IP-cím hírnevét a Microsoft Threat Intelligence biztosítja.

Az IP-cím hírnevének hozzáadása a riasztási címhez lehetővé teszi a színész szándékának gyors kiértékelését, és ezáltal a fenyegetés súlyosságát.

A következő riasztások tartalmazzák ezt az információt:

  • Publicly accessible storage containers have been exposed

  • Publicly accessible storage containers with potentially sensitive data have been exposed

  • Publicly accessible storage containers have been scanned. No publicly accessible data was discovered

A riasztás címéhez hozzáadott információk például így Publicly accessible storage containers have been exposed fognak kinézni:

  • Publicly accessible storage containers have been exposedby a suspicious IP address

  • Publicly accessible storage containers have been exposedby a Tor exit node

A Microsoft Defender for Storage összes riasztása továbbra is tartalmazza a fenyegetésfelderítési információkat az IP-entitásban a riasztás Kapcsolódó entitások szakaszában.

Biztonsági riasztáshoz kapcsolódó tevékenységnaplók megtekintése

A biztonsági riasztások kiértékeléséhez végrehajtható műveletek részeként a kapcsolódó platformnaplókat az Erőforrás vizsgálata környezetben találja, hogy kontextust nyerjen az érintett erőforrásról. Felhőhöz készült Microsoft Defender azonosítja a riasztást követő egy napon belül található platformnaplókat.

A platformnaplók segítségével kiértékelheti a biztonsági fenyegetést, és azonosíthatja az azonosított kockázat mérsékléséhez szükséges lépéseket.

2022. március

márciusi Frissítések a következők:

A biztonsági pontszám globális elérhetősége az AWS- és GCP-környezetekhez

A Felhőhöz készült Microsoft Defender által biztosított felhőalapú biztonsági helyzetkezelési képességek mostantól támogatják az AWS- és GCP-környezeteket a biztonságos pontszámon belül.

A vállalatok mostantól megtekinthetik az általános biztonsági helyzetüket különböző környezetekben, például az Azure-ban, az AWS-ben és a GCP-ben.

A Biztonságos pontszám lap helyébe a Biztonsági helyzet irányítópult kerül. A Biztonsági helyzet irányítópulton megtekintheti az összes környezet összesített összesített pontszámát, vagy a biztonsági helyzet lebontását a választott környezetek bármilyen kombinációja alapján.

A Javaslatok oldalt is átalakították, hogy új képességeket biztosítson, például a felhőkörnyezet kiválasztását, a tartalomon alapuló speciális szűrőket (erőforráscsoport, AWS-fiók, GCP-projekt stb.), továbbfejlesztett felhasználói felületet alacsony felbontáson, a nyitott lekérdezések támogatását az erőforrás-grafikonon stb. További információ az általános biztonsági helyzetről és a biztonsági javaslatokról.

Elavult a hálózati adatgyűjtő ügynök telepítésére vonatkozó javaslatok

Az ütemterv és a prioritások változásai megszüntették a hálózati forgalom adatgyűjtési ügynökének szükségességét. A következő két javaslat és a hozzájuk kapcsolódó szabályzatok elavultak.

Ajánlás Leírás Súlyosság
A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni Felhőhöz készült Defender a Microsoft Függőségi ügynök használatával gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről olyan speciális hálózatvédelmi funkciók engedélyezéséhez, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. Közepes
A hálózati forgalom adatgyűjtési ügynökét windowsos virtuális gépekre kell telepíteni Felhőhöz készült Defender a Microsoft Függőségi ügynök használatával gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy lehetővé tegye a speciális hálózatvédelmi funkciókat, például a hálózati térképen történő forgalomvizualizációt, a hálózatmegerősítési javaslatokat és az adott hálózati fenyegetéseket. Közepes

A Defender for Containers mostantól biztonsági réseket kereshet a Windows rendszerképekben (előzetes verzió)

A Defender for Container képvizsgálata mostantól támogatja az Azure Container Registryben üzemeltetett Windows-rendszerképeket. Ez a funkció előzetes verzióban ingyenes, és az általános elérhetővé váláskor költségekkel jár.

További információ a Microsoft Defender tárolóhoz való használatáról a rendszerképek biztonsági réseinek vizsgálatához.

Új riasztás a Microsoft Defender for Storage-hoz (előzetes verzió)

A Microsoft Defender for Storage által biztosított veszélyforrások elleni védelem kibővítéséhez új előzetes verziójú riasztást adtunk hozzá.

A fenyegetést űzők alkalmazásokkal és eszközökkel derítik fel és érik el a tárfiókokat. A Microsoft Defender for Storage észleli ezeket az alkalmazásokat és eszközöket, így letilthatja őket, és kijavíthatja a helyzetüket.

Ezt az előzetes verziójú riasztást a rendszer meghívja Access from a suspicious application. A riasztás csak az Azure Blob Storage és az ADLS Gen2 esetében releváns.

Riasztás (riasztás típusa) Leírás MITRE-taktika Súlyosság
ELŐZETES VERZIÓ – Hozzáférés gyanús alkalmazásból
(Storage.Blob_SuspiciousApp)		 Azt jelzi, hogy egy gyanús alkalmazás sikeresen hozzáfért egy tárfiók tárolóhoz hitelesítéssel.
Ez azt jelezheti, hogy a támadó megszerezte a fiók eléréséhez szükséges hitelesítő adatokat, és kihasználja azt. Ez a szervezeten belül végzett behatolási tesztre is utalhat.
A következőkre vonatkozik: Azure Blob Storage, Azure Data Lake Storage Gen2		 Kezdeti hozzáférés Közepes

E-mail-értesítések beállításainak konfigurálása riasztásból

Új szakasz lett hozzáadva a riasztás felhasználói felületéhez (UI), amely lehetővé teszi, hogy megtekintse és szerkessze, hogy ki kap e-mail-értesítéseket az aktuális előfizetésben aktivált riasztásokról.

Képernyőkép az új felhasználói felületről, amely bemutatja, hogyan konfigurálhatja az e-mail-értesítéseket.

Megtudhatja, hogyan konfigurálhatja az e-mail-értesítéseket a biztonsági riasztásokhoz.

Elavult előzetes verziójú riasztás: ARM. MCAS_ActivityFromAnonymousIPAddresses

A következő előzetes verziójú riasztás elavult:

Riasztás neve Leírás
ELŐZETES VERZIÓ – Kockázatos IP-címből származó tevékenység
(ARM. MCAS_ActivityFromAnonymousIPAddresses)		 A rendszer egy névtelen proxy IP-címként azonosított IP-címről származó felhasználói tevékenységet észlelt.
Ezeket a proxykat olyan személyek használják, akik el szeretnék rejteni az eszköz IP-címét, és rosszindulatú szándékkal használhatók. Ez az észlelés olyan gépi tanulási algoritmust használ, amely csökkenti a hamis pozitív értékeket, például a szervezet felhasználói által széles körben használt helytelen címkézett IP-címeket.
Aktív Felhőhöz készült Microsoft Defender Apps-licencre van szükség.

Létre lett hozva egy új riasztás, amely megadja ezeket az információkat, és hozzáadja azt. Emellett az újabb riasztásokhoz (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) nincs szükség licencre Felhőhöz készült Microsoft Defender-alkalmazásokhoz (korábbi nevén Microsoft Felhőappbiztonság).

További riasztások a Resource Managerhez.

A tárolóbiztonsági konfigurációk biztonsági réseinek áthelyezését a biztonsági pontszámról az ajánlott eljárásokra kell hárítani

A javaslat Vulnerabilities in container security configurations should be remediated át lett helyezve a biztonságos pontszám szakaszról az ajánlott eljárások szakaszra.

Az aktuális felhasználói felület csak akkor adja meg a pontszámot, ha az összes megfelelőségi ellenőrzés teljesült. A legtöbb ügyfélnek nehézséget okoz az összes szükséges ellenőrzés teljesítése. Dolgozunk a javaslat jobb felhasználói élményén, és a javaslat kiadása után a rendszer visszahelyezi a biztonságos pontszámot.

Elavult a szolgáltatásnevek használatára vonatkozó javaslat az előfizetések védelme érdekében

Mivel a szervezetek nem használják a felügyeleti tanúsítványokat az előfizetéseik kezeléséhez, és a cloud services (klasszikus) üzembehelyezési modellről való kivonásról szóló legutóbbi bejelentésünkben a következő Felhőhöz készült Defender javaslatot és a kapcsolódó szabályzatot elavultattuk:

Ajánlás Leírás Súlyosság
A szolgáltatásnevek használata az előfizetések védelmére szolgál a felügyeleti tanúsítványok helyett A felügyeleti tanúsítványok lehetővé teszik, hogy bárki, aki hitelesít velük, kezelje a hozzájuk társított előfizetés(ek)et. Az előfizetések biztonságosabb kezelése érdekében ajánlott a Resource Manager szolgáltatásnevek használatával korlátozni a robbanási sugarat egy tanúsítvány feltörése esetén. Emellett automatizálja az erőforrás-kezelést is.
(Kapcsolódó szabályzat: A szolgáltatásneveknek a felügyeleti tanúsítványok helyett az előfizetések védelmét kell használniuk)		 Közepes

További információ:

Az ISO 27001 régi implementációját felváltotta az új ISO 27001:2013-kezdeményezés

Az ISO 27001 régi implementációja el lett távolítva Felhőhöz készült Defender szabályozási megfelelőségi irányítópultjáról. Ha nyomon követi az ISO 27001 szabványnak való megfelelést Felhőhöz készült Defender, az új ISO 27001:2013 szabvány előkészítése az összes releváns felügyeleti csoporthoz vagy előfizetéshez.

Felhőhöz készült Defender szabályozási megfelelőségi irányítópultján az ISO 27001 régi implementációjának eltávolításáról szóló üzenet jelenik meg.

Elavult Microsoft Defender for IoT-eszközökre vonatkozó javaslatok

A Microsoft Defender for IoT-eszközjavaslatok már nem láthatók a Felhőhöz készült Microsoft Defender. Ezek a javaslatok továbbra is elérhetők az IoT-hez készült Microsoft Defender Javaslatok lapján.

A következő javaslatok elavultak:

Értékelési kulcs Ajánlások
1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: IoT-eszközök Portok megnyitása az eszközön
ba975338-f956-41e7-a9f2-7614832d382d: IoT-eszközök Megengedő tűzfalszabály található a bemeneti láncban
beb62be3-5e78-49bd-ac5f-099250ef3c7c: IoT-eszközök Megengedő tűzfalszabályzatot találtak az egyik láncban
d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: IoT-eszközök Megengedő tűzfalszabály található a kimeneti láncban
5f65e47f-7a00-4bf3-acae-90ee441ee876: IoT-eszközök Az operációs rendszer alapkonfiguráció-ellenőrzési hibája
a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: IoT-eszközök Nem kihasznált üzeneteket küldő ügynök
2acc27c6-5fdb-405e-9080-cb66b850c8f5: IoT-eszközök TLS-titkosítási csomag frissítése szükséges
d74d2738-2485-4103-9919-69c7e63776ec: IoT-eszközök A naplózott folyamat leállította az események küldését

Elavult Microsoft Defender for IoT-eszközriasztások

A Microsoft Defender for IoT-eszköz összes riasztása már nem látható a Felhőhöz készült Microsoft Defender. Ezek a riasztások továbbra is elérhetők a Microsoft Defender for IoT Riasztás lapján és a Microsoft Sentinelben.

Általánosan elérhető AWS-hez és GCP-hez kiadott testtartás-kezelés és veszélyforrások elleni védelem (GA)

  • Felhőhöz készült Defender CSPM-funkciói az AWS- és GCP-erőforrásokra is kiterjednek. Ez az ügynök nélküli csomag a felhőspecifikus biztonsági javaslatoknak megfelelően értékeli a többfelhős erőforrásokat, amelyeket a biztonsági pontszám tartalmaz. A rendszer a beépített szabványok alapján értékeli az erőforrások megfelelőségét. Felhőhöz készült Defender eszközleltárlapja egy többfelhős funkció, amely lehetővé teszi az AWS-erőforrások azure-erőforrások mellett történő kezelését.

  • A Microsoft Defender for Servers fenyegetésészlelést és speciális védelmet biztosít a számítási példányokhoz az AWS-ben és a GCP-ben. A Defender for Servers csomag tartalmaz egy integrált licencet Végponthoz készült Microsoft Defender, sebezhetőségi felmérés vizsgálatához és sok máshoz. Ismerje meg a virtuális gépek és kiszolgálók összes támogatott funkcióját. Az automatikus előkészítési képességek lehetővé teszik a környezetben felfedezett meglévő vagy új számítási példányok egyszerű csatlakoztatását.

Megtudhatja, hogyan védheti meg és csatlakoztathatja az AWS-környezetet és a GCP-szervezetet Felhőhöz készült Microsoft Defender.

A windowsos rendszerképek beállításjegyzék-vizsgálata az ACR-ben hozzáadta a nemzeti felhők támogatását

A Windows rendszerképek beállításjegyzék-vizsgálatát mostantól az Azure Government és a 21Vianet által üzemeltetett Microsoft Azure támogatja. Ez a kiegészítés jelenleg előzetes verzióban érhető el.

További információ a szolgáltatás elérhetőségéről.

február 2022.

februári Frissítések a következők:

Kubernetes számítási feladatok védelme Arc-kompatibilis Kubernetes-fürtökhöz

A Defender for Containers korábban csak az Azure Kubernetes Service-ben futó Kubernetes-számítási feladatokat védte. Most kiterjesztettük a védelmi lefedettséget az Azure Arc-kompatibilis Kubernetes-fürtökre.

Megtudhatja, hogyan állíthatja be a Kubernetes számítási feladatainak védelmét az AKS-hez és az Azure Arc-kompatibilis Kubernetes-fürtökhöz.

Natív CSPM a GCP-hez és fenyegetésvédelem GCP számítási példányokhoz

A GCP-környezetek új automatizált előkészítése lehetővé teszi a GCP-számítási feladatok védelmét Felhőhöz készült Microsoft Defender. Felhőhöz készült Defender az alábbi csomagokkal védi az erőforrásokat:

  • Felhőhöz készült Defender CSPM-funkciói a GCP-erőforrásokra is kiterjednek. Ez az ügynök nélküli terv a GCP-erőforrásokat a GCP-specifikus biztonsági javaslatoknak megfelelően értékeli, amelyek Felhőhöz készült Defender. A GCP-javaslatok szerepelnek a biztonságos pontszámban, és az erőforrásokat a beépített GCP CIS-szabványnak való megfelelés alapján értékeli a rendszer. Felhőhöz készült Defender eszközleltár-oldala egy többfelhős funkció, amely segít az erőforrások azure-beli, AWS-ben és GCP-ben való kezelésében.

  • A Microsoft Defender for Servers fenyegetésészlelést és speciális védelmet biztosít a GCP számítási példányai számára. Ez a csomag tartalmazza a Végponthoz készült Microsoft Defender integrált licencét, a sebezhetőségi felmérés vizsgálatát és egyebeket.

    Az elérhető funkciók teljes listájáért tekintse meg a virtuális gépek és kiszolgálók támogatott funkcióit. Az automatikus előkészítési képességek lehetővé teszik a környezetben felfedezett meglévő és új számítási példányok egyszerű csatlakoztatását.

Megtudhatja, hogyan védheti meg és csatlakoztathatja GCP-projektjeit Felhőhöz készült Microsoft Defender.

Előzetes verzióban megjelent Az Azure Cosmos DB-hez készült Microsoft Defender-csomag

Kiterjesztettük Felhőhöz készült Microsoft Defender adatbázis-lefedettségét. Mostantól engedélyezheti az Azure Cosmos DB-adatbázisok védelmét.

Az Azure Cosmos DB-hez készült Microsoft Defender egy azure-beli natív biztonsági réteg, amely észleli az Azure Cosmos DB-fiókokban lévő adatbázisok kihasználására tett kísérleteket. Az Azure Cosmos DB-hez készült Microsoft Defender észleli a potenciális SQL-injektálást, a Microsoft Threat Intelligenceen alapuló ismert rossz szereplőket, a gyanús hozzáférési mintákat, valamint az adatbázis feltört identitásokon vagy rosszindulatú bennfenteseken keresztüli potenciális kihasználását.

Folyamatosan elemzi az Azure Cosmos DB-szolgáltatások által létrehozott ügyféladatfolyamot.

Potenciálisan rosszindulatú tevékenységek észlelésekor biztonsági riasztások jönnek létre. Ezek a riasztások Felhőhöz készült Microsoft Defender jelennek meg a gyanús tevékenység részleteivel, valamint a vonatkozó vizsgálati lépésekkel, szervizelési műveletekkel és biztonsági javaslatokkal együtt.

A szolgáltatás engedélyezése nem befolyásolja az adatbázis teljesítményét, mivel az Azure Cosmos DB Defender nem fér hozzá az Azure Cosmos DB-fiók adataihoz.

További információ az Azure Cosmos DB-hez készült Microsoft Defender áttekintéséről.

Új engedélyezési felületet is bevezetünk az adatbázis-biztonság érdekében. Mostantól engedélyezheti az Felhőhöz készült Microsoft Defender-védelmet az előfizetésében az összes adatbázistípus, például az Azure Cosmos DB, az Azure SQL Database, a gépeken futó Azure SQL-kiszolgálók, valamint a Nyílt forráskódú relációs adatbázisokhoz készült Microsoft Defender egyetlen engedélyezési folyamaton keresztül történő védelméhez. A csomag konfigurálásával bizonyos erőforrástípusok is belefoglalhatók vagy kizárhatók.

Megtudhatja, hogyan engedélyezheti az adatbázis biztonságát az előfizetés szintjén.

Fenyegetésvédelem Google Kubernetes Engine-fürtökhöz

A GCP natív CSPM-jének és a GCP-számítási példányok veszélyforrások elleni védelmének legutóbbi bejelentését követően a Microsoft Defender for Containers kiterjesztette a Kubernetes fenyegetésvédelmet, a viselkedéselemzést és a beépített belépés-vezérlési szabályzatokat a Google Kubernetes Engine (GKE) Standard fürtjeire. Az automatikus előkészítési képességekkel könnyedén előkészíthet bármilyen meglévő vagy új GKE Standard fürtöt a környezetbe. Az elérhető funkciók teljes listájáért tekintse meg a tárolóbiztonságot Felhőhöz készült Microsoft Defender.

Január 2022.

januári Frissítések a következők:

A Microsoft Defender for Resource Manager új riasztásokkal frissült, és nagyobb hangsúlyt fektet a MITRE ATT&CK® Mátrixra leképezett magas kockázatú műveletekre

A felhőfelügyeleti réteg kulcsfontosságú szolgáltatás, amely az összes felhőerőforráshoz kapcsolódik. Emiatt a támadók potenciális célpontja is lehet. Azt javasoljuk, hogy a biztonsági műveleti csapatok szorosan figyeljék az erőforrás-felügyeleti réteget.

A Microsoft Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit, függetlenül attól, hogy azOkat az Azure Portalon, az Azure REST API-kkal, az Azure CLI-vel vagy más programozott Azure-ügyfelekkel hajtják végre. Felhőhöz készült Defender speciális biztonsági elemzéseket futtat, hogy észlelje a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat.

A terv védelmei jelentősen növelik a szervezet ellenálló képességét a fenyegetést jelentő szereplők támadásai ellen, és jelentősen növelik a Felhőhöz készült Defender által védett Azure-erőforrások számát.

2020 decemberében bevezettük a Defender for Resource Manager előzetes verzióját, és 2021 májusában a terv általánosan elérhető volt.

Ezzel a frissítéssel átfogóan átdolgoztuk a Microsoft Defender for Resource Manager-csomag fókuszát. A frissített terv számos új riasztást tartalmaz, amelyek a magas kockázatú műveletek gyanús meghívásának azonosítására összpontosítanak. Ezek az új riasztások széles körű monitorozást biztosítanak a felhőalapú technikák teljes MITRE ATT&CK-mátrixának® támadásaihoz.

Ez a mátrix a következő lehetséges szándékokat mutatja be a szervezet erőforrásait megcélzó veszélyforrásokkal kapcsolatban: Kezdeti hozzáférés, Végrehajtás, Perzisztencia, Jogosultságeszkaláció, Védelmi kijátszás, Hitelesítő adatok elérése, Felderítés, Oldalirányú mozgás, Gyűjtemény, Exfiltration és Impact.

A Defender-csomag új riasztásai ezekre a szándékokra vonatkoznak az alábbi táblázatban látható módon.

Tipp.

Ezek a riasztások a riasztások referenciaoldalán is megjelennek.

Riasztás (riasztás típusa) Leírás MITRE-taktikák (szándékok) Súlyosság
Gyanús meghívás egy magas kockázatú "Kezdeti hozzáférés" művelet észlelésekor (előzetes verzió)
(ARM_AnomalousOperation.InitialAccess)		 A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a korlátozott erőforrások elérésére tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan elérhessék környezetüket. Bár ez a tevékenység jogos lehet, a fenyegetést jelölő szereplők használhatják az ilyen műveleteket, hogy kezdeti hozzáférést szerezzenek a környezet korlátozott erőforrásaihoz. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják. Kezdeti hozzáférés Közepes
Magas kockázatú végrehajtási művelet gyanús meghívása (előzetes verzió)
(ARM_AnomalousOperation.Execution)		 A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy nagy kockázatú műveletről az előfizetésében lévő gépen, ami kód végrehajtására tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő felhasználhatja ezeket a műveleteket a korlátozott hitelesítő adatok elérésére és az erőforrások veszélyeztetésére a környezetben. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják. Futtatási Közepes
Egy magas kockázatú "Adatmegőrzés" művelet gyanús meghívása észlelhető (előzetes verzió)
(ARM_AnomalousOperation.Persistence)		 A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a megtartás megállapítására tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő az ilyen műveleteket felhasználhatja a környezetben való megőrzés érdekében. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják. Kitartás Közepes
Egy magas kockázatú "Privilege Eszkalation" művelet gyanús meghívása észlelhető (előzetes verzió)
(ARM_AnomalousOperation.PrivilegeEscalation)		 A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a jogosultságok eszkalálására tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetéseltérő az ilyen műveleteket kihasználva eszkalálhatja a jogosultságokat, miközben veszélyeztetheti a környezet erőforrásait. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják. Jogosultság eszkalációja Közepes
Gyanús meghívás egy magas kockázatú "Defense Evasion" művelet észlelése (előzetes verzió)
(ARM_AnomalousOperation.DefenseEvasion)		 A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a védelem megkerülésére tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteik biztonsági állapotát. Bár ez a tevékenység jogos lehet, a fenyegetést észlelő szereplők ilyen műveleteket használhatnak annak elkerülése érdekében, hogy ne legyenek észlelve, miközben veszélyeztetik az erőforrásokat a környezetben. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják. Védelmi kijátszás Közepes
Gyanús meghívás egy magas kockázatú "Hitelesítőadat-hozzáférés" művelet észlelésekor (előzetes verzió)
(ARM_AnomalousOperation.CredentialAccess)		 A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a hitelesítő adatok elérésére tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan elérhessék környezetüket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő felhasználhatja ezeket a műveleteket a korlátozott hitelesítő adatok elérésére és az erőforrások veszélyeztetésére a környezetben. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják. Hitelesítő adatok elérése Közepes
Nagy kockázatú oldalirányú mozgást észlelő művelet gyanús meghívása (előzetes verzió)
(ARM_AnomalousOperation.LateralMovement)		 A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami az oldalirányú mozgásra tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő felhasználhatja ezeket a műveleteket, hogy további erőforrásokat sértsen a környezetben. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják. Oldalirányú mozgás Közepes
Nagy kockázatú adatgyűjtési művelet gyanús meghívása (előzetes verzió)
(ARM_AnomalousOperation.Collection)		 A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami adatgyűjtési kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplők ilyen műveleteket használhatnak a környezetben lévő erőforrások bizalmas adatainak gyűjtésére. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják. Gyűjtemény Közepes
Nagy kockázatú "Hatás" művelet gyanús meghívása (előzetes verzió)
(ARM_AnomalousOperation.Impact)		 A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami konfigurációmódosítási kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő felhasználhatja ezeket a műveleteket a korlátozott hitelesítő adatok elérésére és az erőforrások veszélyeztetésére a környezetben. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják. Hatás Közepes

Emellett a csomagból származó két riasztás már előzetes verzióban is elérhető:

Riasztás (riasztás típusa) Leírás MITRE-taktikák (szándékok) Súlyosság
Azure Resource Manager-művelet gyanús IP-címről
(ARM_OperationFromSuspiciousIP)		 A Microsoft Defender for Resource Manager egy olyan IP-címről észlelt egy műveletet, amely gyanúsként van megjelölve a fenyegetésfelderítési hírcsatornákban. Futtatási Közepes
Azure Resource Manager-művelet gyanús proxy IP-címről
(ARM_OperationFromSuspiciousProxyIP)		 A Microsoft Defender for Resource Manager egy olyan IP-címről észlelt erőforrás-kezelési műveletet, amely proxyszolgáltatásokhoz, például TOR-hoz van társítva. Bár ez a viselkedés jogos lehet, gyakran rosszindulatú tevékenységekben is előfordul, amikor a fenyegetést észlelő szereplők megpróbálják elrejteni a forrás IP-címüket. Védelmi kijátszás Közepes

Javaslatok a Microsoft Defender-csomagok engedélyezése munkaterületeken (előzetes verzióban)

Ahhoz, hogy kihasználhassa a Microsoft Defender for Servers és a Microsoft Defender for SQL összes elérhető biztonsági funkcióját a gépeken, a csomagokat az előfizetés és a munkaterület szintjén is engedélyezni kell.

Ha egy gép egy előfizetésben van, és az egyik ilyen csomag engedélyezve van, a teljes védelemért fizetnie kell. Ha azonban a gép a terv engedélyezése nélkül jelent egy munkaterületnek, akkor ezeket az előnyöket valójában nem fogja megkapni.

Két olyan javaslatot adtunk hozzá, amelyek anélkül emelik ki a munkaterületeket, hogy engedélyezve lettek volna ezek a csomagok, azonban a gépek olyan előfizetésekből jelentik őket, amelyek engedélyezve vannak a csomaggal.

A két javaslat, amelyek mind automatizált szervizelést (a "Javítás" műveletet) kínálnak, a következők:

Ajánlás Leírás Súlyosság
A Microsoft Defender for Serverst engedélyezni kell a munkaterületeken A Microsoft Defender for Servers fenyegetésészlelést és speciális védelmet biztosít Windows- és Linux-gépei számára.
Ha ez a Defender-csomag engedélyezve van az előfizetésein, de a munkaterületeken nem, akkor a Microsoft Defender for Servers teljes kapacitásáért kell fizetnie, de az előnyök némelyikét kihagyja.
Ha engedélyezi a Microsoft Defender for Servers szolgáltatást egy munkaterületen, az adott munkaterületre jelentéssel rendelkező összes gép a Microsoft Defender for Serversért lesz számlázva – még akkor is, ha azok a Defender-csomagok engedélyezése nélküli előfizetésekben vannak. Ha nem engedélyezi a Microsoft Defender for Servers szolgáltatást az előfizetésen, ezek a gépek nem fogják tudni kihasználni a virtuális gépek igény szerint történő elérését, az adaptív alkalmazásvezérlőket és az Azure-erőforrások hálózati észlelését.
További információ a Microsoft Defender for Servers áttekintésében.
(Nincs kapcsolódó szabályzat)		 Közepes
A gépeken futó SQL-hez készült Microsoft Defendert engedélyezni kell a munkaterületeken A Microsoft Defender for Servers fenyegetésészlelést és speciális védelmet biztosít Windows- és Linux-gépei számára.
Ha ez a Defender-csomag engedélyezve van az előfizetésein, de a munkaterületeken nem, akkor a Microsoft Defender for Servers teljes kapacitásáért kell fizetnie, de az előnyök némelyikét kihagyja.
Ha engedélyezi a Microsoft Defender for Servers szolgáltatást egy munkaterületen, az adott munkaterületre jelentéssel rendelkező összes gép a Microsoft Defender for Serversért lesz számlázva – még akkor is, ha azok a Defender-csomagok engedélyezése nélküli előfizetésekben vannak. Ha nem engedélyezi a Microsoft Defender for Servers szolgáltatást az előfizetésen, ezek a gépek nem fogják tudni kihasználni a virtuális gépek igény szerint történő elérését, az adaptív alkalmazásvezérlőket és az Azure-erőforrások hálózati észlelését.
További információ a Microsoft Defender for Servers áttekintésében.
(Nincs kapcsolódó szabályzat)		 Közepes

Log Analytics-ügynök automatikus létrehozása Azure Arc-kompatibilis gépekre (előzetes verzió)

Felhőhöz készült Defender a Log Analytics-ügynök használatával gyűjt biztonsági adatokat a gépekről. Az ügynök beolvassa a különböző biztonsági konfigurációkat és eseménynaplókat, és elemzés céljából átmásolja az adatokat a munkaterületre.

Felhőhöz készült Defender automatikus fejlesztési beállításainak kapcsolója van minden támogatott bővítménytípushoz, beleértve a Log Analytics-ügynököt is.

Hibrid felhőszolgáltatásaink további bővítése során hozzáadtunk egy lehetőséget a Log Analytics-ügynök automatikus kiépítésére az Azure Archoz csatlakoztatott gépekre.

A többi automatikus fejlesztési lehetőséghez hasonlóan ez is előfizetési szinten van konfigurálva.

Ha engedélyezi ezt a beállítást, a rendszer kérni fogja a munkaterületet.

Feljegyzés

Ebben az előzetes verzióban nem választhatja ki a Felhőhöz készült Defender által létrehozott alapértelmezett munkaterületeket. Annak biztosítása érdekében, hogy megkapja az Azure Arc-kompatibilis kiszolgálókhoz elérhető összes biztonsági szolgáltatást, ellenőrizze, hogy telepítve van-e a megfelelő biztonsági megoldás a kiválasztott munkaterületen.

Képernyőkép a Log Analytics-ügynök Azure Arc-kompatibilis gépekre való automatikus kiépítéséről.

Elavult a bizalmas adatok SQL-adatbázisokba való besorolására vonatkozó javaslat

Eltávolítottuk a bizalmas adatokra vonatkozó javaslatot az SQL-adatbázisokban, a Felhőhöz készült Defender hogyan azonosítja és védi a bizalmas dátumokat a felhőbeli erőforrásokban.

A változásról szóló előzetes értesítés az elmúlt hat hónapban jelent meg a fontos közelgő változások Felhőhöz készült Microsoft Defender oldalon.

A következő riasztás korábban csak azoknak a szervezeteknek volt elérhető, amelyek engedélyezték a Microsoft Defendert a DNS-csomaghoz .

Ezzel a frissítéssel a riasztás a Microsoft Defender for Servers vagy a Defender for App Service-csomaggal rendelkező előfizetésekre is megjelenik.

Emellett a Microsoft Threat Intelligence kibővítette az ismert rosszindulatú tartományok listáját, hogy tartalmazza a Log4j-hez társított széles körben nyilvános biztonsági rések kihasználásához társított tartományokat.

Riasztás (riasztás típusa) Leírás MITRE-taktikák Súlyosság
Kommunikáció a fenyegetésfelderítés által azonosított gyanús tartománnyal
(AzureDNS_ThreatIntelSuspectDomain)		 A gyanús tartományokkal folytatott kommunikációt az erőforrás DNS-tranzakcióinak elemzésével és a fenyegetésintelligencia-hírcsatornák által azonosított ismert rosszindulatú tartományokkal való összehasonlítással észleltük. A rosszindulatú tartományok közötti kommunikációt gyakran hajtják végre a támadók, és ez azt jelentheti, hogy az erőforrás biztonsága sérül. Kezdeti hozzáférés / Állandóság / Végrehajtás / Parancs és ellenőrzés / Kihasználás Közepes

"Riasztás másolása JSON" gomb hozzáadva a biztonsági riasztás részletei panelhez

Annak érdekében, hogy a felhasználók gyorsan megoszthassák egy riasztás részleteit másokkal (például SOC-elemzőkkel, erőforrás-tulajdonosokkal és fejlesztőkkel), hozzáadtuk azt a képességet, hogy egy adott riasztás összes részletét egyszerűen kinyerhessük egy gombbal a biztonsági riasztás részleteinek paneljéről.

Az új JSON-riasztás másolása gomb JSON formátumban helyezi a riasztás részleteit a felhasználó vágólapjára.

Képernyőkép a riasztás részletei panel

Két javaslat átnevezése

A többi javaslat nevével való konzisztenciáért az alábbi két javaslatot neveztük át:

  • Javaslat a tárolólemezképek futtatása során észlelt biztonsági rések megoldására

    • Előző név: A tárolólemezképek futtatásának biztonsági réseit orvosolni kell (a Qualys működteti)
    • Új név: A tárolólemezképek futtatásának biztonsági résekkel kapcsolatos megállapításait meg kell oldani

  • Javaslat a diagnosztikai naplók engedélyezésére Azure-alkalmazás szolgáltatáshoz

    • Előző név: A diagnosztikai naplókat engedélyezni kell az App Service-ben
    • Új név: Engedélyezni kell a diagnosztikai naplókat az App Service-ben

A Kubernetes-fürttárolók elavult állapotának megszüntetése csak az engedélyezett portszabályzatokat figyeli

A Kubernetes-fürttárolók elavultak , és csak az engedélyezett portokra vonatkozó javaslatot figyelik.

Házirend neve Leírás Hatás(ok) Verzió
A Kubernetes-fürttárolóknak csak az engedélyezett portokon kell figyelnie Korlátozza a tárolók számára, hogy csak az engedélyezett portokon figyeljenek a Kubernetes-fürthöz való hozzáférés biztonságossá tételéhez. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az AKS Engine és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, megtagadás, letiltás 6.1.2

A szolgáltatásoknak csak az engedélyezett portokra kell figyelnie, és csak az alkalmazás által az interneten közzétett portok korlátozására kell javaslatot tenni.

"Aktív riasztás" munkafüzet hozzáadva

Annak érdekében, hogy a felhasználók megértsék a környezetüket fenyegető aktív fenyegetéseket, és rangsorolhassák az aktív riasztások között a szervizelési folyamat során, hozzáadtuk az Aktív riasztások munkafüzetet.

Képernyőkép az Aktív riasztások munkafüzet hozzáadásáról.

Az aktív riasztások munkafüzete lehetővé teszi a felhasználók számára az összesített riasztások egységes irányítópultjának megtekintését súlyosság, típus, címke, MITRE ATT&CK taktikák és hely szerint. További információ az "Aktív riasztások" munkafüzet használatáról.

"Rendszerfrissítés" javaslat hozzáadva a kormányzati felhőhöz

A "Rendszerfrissítéseket telepítenie kell a gépekre" javaslat mostantól minden kormányzati felhőben elérhető.

Valószínű, hogy ez a változás hatással lesz a kormányzati felhőbeli előfizetés biztonságos pontszámára. Azt várjuk, hogy a változás csökkentett pontszámot eredményez, de előfordulhat, hogy a javaslat belefoglalása bizonyos esetekben magasabb pontszámot eredményez.

2021. december

decemberi Frissítések a következők:

Általánosan elérhető Microsoft Defender for Containers-csomag (GA)

Több mint két évvel ezelőtt bevezettük a Kubernetes-hez készült Defendert és a Defendert a tárolóregisztrációs adatbázisokhoz az Azure Defender Felhőhöz készült Microsoft Defender belüli ajánlatának részeként.

A Microsoft Defender for Containers kiadásával egyesítettük ezt a két meglévő Defender-csomagot.

Az új terv:

  • Egyesíti a két meglévő csomag funkcióit – a Kubernetes-fürtök fenyegetésészlelését és a tárolóregisztrációs adatbázisokban tárolt rendszerképek sebezhetőségi felmérését
  • Új és továbbfejlesztett funkciókkal rendelkezik – beleértve a többfelhős támogatást, a gazdagépszintű fenyegetésészlelést több mint hatvan új Kubernetes-tudatos elemzéssel és a rendszerképek biztonságirés-felmérésével
  • A Kubernetes natív, nagy léptékű előkészítést vezet be – alapértelmezés szerint, amikor engedélyezi a tervet, a rendszer úgy konfigurálja az összes releváns összetevőt, hogy automatikusan üzembe legyen helyezve

Ezzel a kiadással a Kubernetes-hez készült Defender és a Defender tárolóregisztrációs adatbázisokhoz való elérhetősége és bemutatása az alábbiak szerint módosult:

  • Új előfizetések – A két korábbi tárolócsomag már nem érhető el
  • Meglévő előfizetések – Bárhol is jelenjenek meg az Azure Portalon, a csomagok elavultként jelennek meg az újabb csomagra való frissítésre vonatkozó útmutatássalA tárolóregisztrációs adatbázisokhoz készült Defender és a Kubernetes-hez készült Defender csomagok az elavult és a frissítési információkat jelenítik meg.

Az új csomag 2021 decemberében ingyenes. A régi csomagok számlázásának lehetséges változásairól a Defender for Containers szolgáltatásra vonatkozóan, valamint a csomaggal bevezetett előnyökről további információt a Microsoft Defender for Containers bemutatása című témakörben talál.

További információkért lásd:

Új riasztások jelentek meg a Microsoft Defender for Storage általános rendelkezésre álláshoz (GA) való kiadásához

A fenyegetést állító szereplők eszközökkel és szkriptekkel keresnek nyilvánosan megnyitott tárolókat abban a reményben, hogy helytelenül konfigurált, bizalmas adatokat tartalmazó tárolókat találnak.

A Microsoft Defender for Storage észleli ezeket a szkennereket, így letilthatja őket, és kijavíthatja a helyzetét.

Az ezt észlelő előzetes riasztás neve "Nyilvános tárolók névtelen vizsgálata". A felderített gyanús események egyértelműbb megismerése érdekében ezt két új riasztásra osztottuk. Ezek a riasztások csak az Azure Blob Storage esetében relevánsak.

Javítottuk az észlelési logikát, frissítettük a riasztás metaadatait, és módosítottuk a riasztás nevét és a riasztás típusát.

Ezek az új riasztások:

Riasztás (riasztás típusa) Leírás MITRE-taktika Súlyosság
A nyilvánosan elérhető tárolók felderítve sikeresen felderítve
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)		 A tárfiók nyilvánosan megnyitott tároló(ka)jának sikeres felderítését az elmúlt órában egy ellenőrző szkript vagy eszköz hajtotta végre.

Ez általában felderítési támadást jelez, ahol a fenyegetést jelző szereplő tárolónevek kitalálásával próbál blobokat listázni, abban a reményben, hogy helytelenül konfigurált, bizalmas adatokat tartalmazó nyílt tárolókat talál bennük.

A veszélyforrás-szereplő használhatja a saját szkriptet, vagy használhatja az ismert ellenőrző eszközöket, például a Microburstot a nyilvánosan megnyitott tárolók kereséséhez.

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2		 Gyűjtemény Közepes
A nyilvánosan elérhető tárolók vizsgálata sikertelen
(Storage.Blob_OpenContainersScanning.FailedAttempt)		 Az elmúlt órában sikertelen kísérleteket hajtottak végre a nyilvánosan megnyitott tárolók keresésére.

Ez általában felderítési támadást jelez, ahol a fenyegetést jelző szereplő tárolónevek kitalálásával próbál blobokat listázni, abban a reményben, hogy helytelenül konfigurált, bizalmas adatokat tartalmazó nyílt tárolókat talál bennük.

A veszélyforrás-szereplő használhatja a saját szkriptet, vagy használhatja az ismert ellenőrző eszközöket, például a Microburstot a nyilvánosan megnyitott tárolók kereséséhez.

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2		 Gyűjtemény Alacsony

További információkért lásd:

A Microsoft Defender for Storage riasztásainak fejlesztései

A kezdeti hozzáférési riasztások mostantól jobb pontosságot és több adatot biztosítanak a vizsgálat támogatásához.

A fenyegetést indító szereplők a kezdeti hozzáférés különböző technikáival szereznek láblécet a hálózaton belül. Az ebben a szakaszban a viselkedési anomáliákat észlelő Microsoft Defender for Storage-riasztások közül kettő továbbfejlesztett észlelési logikával és további adatokkal rendelkezik a vizsgálatok támogatásához.

Ha korábban már konfigurálta az automatizálásokat vagy a riasztások letiltására vonatkozó szabályokat, frissítse őket a módosításoknak megfelelően.

Hozzáférés észlelése tor kilépési csomópontról

A Tor kilépési csomópontjáról való hozzáférés azt jelezheti, hogy egy fenyegetést kezelő szereplő megpróbálja elrejteni az identitását.

A riasztás mostantól úgy van hangolva, hogy csak hitelesített hozzáféréshez hozzon létre, ami nagyobb pontosságot és megbízhatóságot eredményez, hogy a tevékenység rosszindulatú. Ez a fejlesztés csökkenti a jóindulatú pozitív arányt.

A kifelé irányuló minták súlyossága magas, míg a kevésbé rendellenes minták közepes súlyosságúak lesznek.

A riasztás neve és leírása frissült. A AlertType változatlan marad.

  • Riasztás neve (régi): Hozzáférés a Tor kilépési csomópontjáról egy tárfiókhoz
  • Riasztás neve (új): Hitelesített hozzáférés a Tor kilépési csomópontjáról
  • Riasztástípusok: Storage.Blob_TorAnomaly/ Storage.Files_TorAnomaly
  • Leírás: A tárfiók egy vagy több tárolótárolója/fájlmegosztása sikeresen el lett érve a Tor aktív kilépési csomópontjának (egy anonimizáló proxynak) nevezett IP-címről. A fenyegetéskezelők a Tor használatával megnehezítik a tevékenység visszakövetését. A Tor kilépési csomópontjáról való hitelesített hozzáférés valószínűleg azt jelzi, hogy egy fenyegetéselosztó megpróbálja elrejteni az identitását. A következőkre vonatkozik: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
  • MITRE-taktika: Kezdeti hozzáférés
  • Súlyosság: Magas/Közepes

Szokatlan hitelesítés nélküli hozzáférés

A hozzáférési minták változása azt jelezheti, hogy a fenyegetést okozó szereplő kihasználta a tárolók nyilvános olvasási hozzáférését a hozzáférési konfigurációk hibáinak kihasználásával vagy a hozzáférési engedélyek módosításával.

Ez a közepes súlyosságú riasztás mostantól továbbfejlesztett viselkedési logikával, nagyobb pontosságtal és megbízhatósággal van hangolva, hogy a tevékenység rosszindulatú. Ez a fejlesztés csökkenti a jóindulatú pozitív arányt.

A riasztás neve és leírása frissült. A AlertType változatlan marad.

  • Riasztás neve (régi): Tárfiókhoz való névtelen hozzáférés
  • Riasztás neve (új): Szokatlan, hitelesítés nélküli hozzáférés egy tárolóhoz
  • Riasztástípusok: Storage.Blob_AnonymousAccessAnomaly
  • Leírás: Ez a tárfiók hitelesítés nélkül lett elérve, ami a gyakori hozzáférési minta módosítása. A tárolóhoz való olvasási hozzáférés általában hitelesítve van. Ez azt jelezheti, hogy a fenyegetést okozó szereplő képes volt kihasználni a tárfiók(ok) tárolóihoz való nyilvános olvasási hozzáférést. A következőkre vonatkozik: Azure Blob Storage
  • MITRE-taktika: Gyűjtemény
  • Súlyosság: Közepes

További információkért lásd:

A "PortSweeping" riasztás el lett távolítva a hálózati réteg riasztásaiból

A következő riasztás el lett távolítva a hálózati réteg riasztásaiból a hatékonysági problémák miatt:

Riasztás (riasztás típusa) Leírás MITRE-taktikák Súlyosság
Lehetséges kimenő portkeresési tevékenység észlelhető
(PortSweeping)		 A hálózati forgalom elemzése gyanús kimenő forgalmat észlelt a(z) %{Feltört gazdagép} felől. Ez a forgalom portvizsgálati tevékenység eredménye lehet. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett kimenő forgalom a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az application gatewayhez) származik. Ha ez a viselkedés szándékos, vegye figyelembe, hogy a portvizsgálat végrehajtása az Azure Szolgáltatási Feltételekkel szemben történik. Ha ez a viselkedés nem szándékos, az azt jelentheti, hogy az erőforrás sérült. Felderítés Közepes

2021. november

Az Ignite-kiadás a következőket tartalmazza:

A novemberi egyéb változások a következők:

Az Azure Security Center és az Azure Defender Felhőhöz készült Microsoft Defender

A 2021-ben készült Felhőállapot jelentés szerint a szervezetek 92%-a már többfelhős stratégiával rendelkezik. A Microsoftnál az a célunk, hogy központosítsuk a biztonságot a környezetek között, és segítsük a biztonsági csapatokat a hatékonyabb munkavégzésben.

Felhőhöz készült Microsoft Defender egy felhőbiztonsági helyzetkezelés (CSPM) és felhőbeli számítási feladatok védelme (CWP) megoldás, amely felderíti a felhőkonfiguráció gyengeségeit, segít megerősíteni a környezet általános biztonsági állapotát, és védi a számítási feladatokat többfelhős és hibrid környezetekben.

Az Ignite 2019-ben megosztottuk elképzelésünket, hogy a lehető legteljesebb megközelítést hozzuk létre a digitális tulajdon védelméhez és az XDR-technológiák Microsoft Defender márkanévvel való integrálásához. Az Azure Security Center és az Azure Defender új néven való egyesítése Felhőhöz készült Microsoft Defender tükrözi a biztonsági ajánlat integrált képességeit és a felhőplatformok támogatásának képességét.

Natív CSPM az AWS-hez és fenyegetésvédelem az Amazon EKS-hez és az AWS EC2-hez

Az új környezetbeállítások lap nagyobb átláthatóságot és vezérlést biztosít a felügyeleti csoportok, előfizetések és AWS-fiókok felett. A lap úgy lett kialakítva, hogy nagy léptékű AWS-fiókokat hoz létre: csatlakoztassa az AWS felügyeleti fiókját, és automatikusan előkészítse a meglévő és a jövőbeli fiókokat.

Az új környezetbeállítások lapon csatlakoztathatja az AWS-fiókokat.

Az AWS-fiókok hozzáadásakor Felhőhöz készült Defender az AWS-erőforrásokat az alábbi csomagok bármelyikével vagy mindegyikével védi:

  • Felhőhöz készült Defender CSPM-funkciói az AWS-erőforrásokra is kiterjednek. Ez az ügynök nélküli terv az AWS-specifikus biztonsági javaslatok alapján értékeli az AWS-erőforrásokat, és ezek szerepelnek a biztonsági pontszámban. Az erőforrásokat az AWS-hez (AWS CIS, AWS PCI DSS és AWS Foundational Security – ajánlott eljárások) kapcsolódó beépített szabványoknak való megfelelés is értékeli. Felhőhöz készült Defender eszközleltárlapja egy többfelhős funkció, amely segít az AWS-erőforrások és az Azure-erőforrások kezelésében.
  • A Kubernetes-hez készült Microsoft Defender kiterjeszti a tárolófenyegetések észlelését és fejlett védelmét az Amazon EKS Linux-fürtökre.
  • A Microsoft Defender for Servers fenyegetésészlelést és speciális védelmet biztosít a Windows- és Linux EC2-példányokhoz. Ez a terv magában foglalja a Végponthoz készült Microsoft Defender integrált licencét, a biztonsági alapkonfigurációkat és az operációsrendszer-szint értékelését, a sebezhetőségi felmérés vizsgálatát, az adaptív alkalmazásvezérlőket (AAC), a fájlintegritási monitorozást (FIM) stb.

További információ az AWS-fiókok Felhőhöz készült Microsoft Defender való csatlakoztatásáról.

Biztonsági műveletek rangsorolása adatérzékenység alapján (a Microsoft Purview segítségével) (előzetes verzióban)

Az adaterőforrások továbbra is népszerű célpontok a fenyegetést űzők számára. Ezért kulcsfontosságú, hogy a biztonsági csapatok a felhőkörnyezetekben azonosíthassák, rangsorolhassák és biztonságossá tegye a bizalmas adaterőforrásokat.

A probléma megoldásához Felhőhöz készült Microsoft Defender mostantól integrálja a Microsoft Purview bizalmassági adatait. A Microsoft Purview egy egységes adatszabályozási szolgáltatás, amely részletes betekintést nyújt az adatok bizalmasságába többfelhős és helyszíni számítási feladatokon belül.

A Microsoft Purview integrációja kibővíti a biztonsági láthatóságot Felhőhöz készült Defender az infrastruktúra szintjétől az adatokig, így teljesen új módon rangsorolhatja az erőforrásokat és a biztonsági tevékenységeket a biztonsági csapatok számára.

További információ a biztonsági műveletek adatérzékenység szerinti rangsorolásában.

Kibővített biztonsági ellenőrzési értékelések az Azure Security Benchmark 3-nal

A Felhőhöz készült Defender biztonsági ajánlásait az Azure Security Benchmark támogatja.

Az Azure Security Benchmark a Microsoft által készített, Azure-specifikus irányelvkészlet a gyakori megfelelőségi keretrendszereken alapuló biztonsági és megfelelőségi ajánlott eljárásokhoz. Ez a széles körben elismert referenciamutató a Center for Internet Security (CIS) és a National Institute of Standards and Technology (NIST) vezérlőire épül, a felhőközpontú biztonságra összpontosítva.

Az Ignite 2021-től az Azure Security Benchmark v3 elérhető Felhőhöz készült Defender szabályozási megfelelőségi irányítópultján, és az új alapértelmezett kezdeményezésként engedélyezve van a Felhőhöz készült Microsoft Defender védett Azure-előfizetésekhez.

A v3-hoz készült fejlesztések a következők:

  • További leképezések a PCI-DSS v3.2.1 és a CIS Controls v8 iparági keretrendszerekhez.

  • Részletesebb és végrehajtható útmutatás a vezérlőkhöz a következő bevezetésével:

    • Biztonsági alapelvek – Betekintést nyújt a javaslatok alapjául szolgáló általános biztonsági célkitűzésekbe.
    • Azure-útmutató – A célkitűzések teljesítéséhez szükséges technikai útmutató.

  • Az új vezérlők közé tartozik a DevOps biztonsága olyan problémák esetén, mint a fenyegetésmodellezés és a szoftverellátási lánc biztonsága, valamint az Azure ajánlott eljárásainak kulcs- és tanúsítványkezelése.

További információ az Azure Security Benchmark bemutatása című témakörben.

A Microsoft Sentinel-összekötő opcionális kétirányú riasztás-szinkronizálása általánosan elérhető (GA)

Júliusban bejelentettük a Microsoft Sentinel beépített összekötőjének (a Microsoft natív SIEM- és SOAR-megoldásának) előzetes verzióját, a kétirányú riasztások szinkronizálását. Ez a funkció mostantól általánosan elérhető (GA) verzióban érhető el.

Amikor Felhőhöz készült Microsoft Defender csatlakozik a Microsoft Sentinelhez, a rendszer szinkronizálja a biztonsági riasztások állapotát a két szolgáltatás között. Így például ha egy riasztás bezárul Felhőhöz készült Defender, az a Microsoft Sentinelben is bezártként jelenik meg. A riasztás állapotának Felhőhöz készült Defender módosítása nem befolyásolja a szinkronizált Microsoft Sentinel-riasztást tartalmazó Microsoft Sentinel-incidensek állapotát, csak magát a szinkronizált riasztást.

Ha engedélyezi a kétirányú riasztások szinkronizálását, automatikusan szinkronizálja az eredeti Felhőhöz készült Defender riasztások állapotát a Riasztások másolatait tartalmazó Microsoft Sentinel-incidensekkel. Így például ha egy Felhőhöz készült Defender riasztást tartalmazó Microsoft Sentinel-incidens bezárul, Felhőhöz készült Defender automatikusan bezárja a megfelelő eredeti riasztást.

További információ Csatlakozás Azure Defender-riasztásokról az Azure Security Centerből és Stream-riasztásokból az Azure Sentinelbe.

Új javaslat az Azure Kubernetes Service (AKS) naplóinak a Sentinelbe való leküldésére

A Felhőhöz készült Defender és a Microsoft Sentinel együttes értékének továbbfejlesztésével most kiemeljük azokat az Azure Kubernetes Service-példányokat, amelyek nem küldenek naplóadatokat a Microsoft Sentinelnek.

A SecOps-csapatok közvetlenül a javaslat részletei oldalról választhatják ki a megfelelő Microsoft Sentinel-munkaterületet, és azonnal engedélyezhetik a nyers naplók streamelését. A két termék közötti zökkenőmentes kapcsolat megkönnyíti a biztonsági csapatok számára, hogy teljes naplózási lefedettséget biztosítsanak a számítási feladataikon, hogy a teljes környezetükön felül maradjanak.

A "Diagnosztikai naplók engedélyezése a Kubernetes-szolgáltatásokban" című új javaslat tartalmazza a "Javítás" lehetőséget a gyorsabb szervizeléshez.

A "Naplózás az SQL Serveren engedélyezve kell" javaslatot is továbbfejlesztettük ugyanazokkal a Sentinel-streamelési képességekkel.

Javaslatok a MITRE ATT&CK® keretrendszerre van leképezve – általánosan elérhető (GA)

Bővítettük Felhőhöz készült Defender biztonsági javaslatait, hogy megjelenítsük a MITRE ATT&CK-keretrendszerben® elfoglalt helyüket. Ez a globálisan elérhető tudásbázis a fenyegetést figyelő szereplők valós megfigyeléseken alapuló taktikái és technikái, több kontextust biztosít a környezetére vonatkozó javaslatok kapcsolódó kockázatainak megértéséhez.

Ezeket a taktikákat bárhol megtalálhatja, ahol a javaslatok információihoz fér hozzá:

  • Az Azure Resource Graph-lekérdezések releváns javaslatokra vonatkozó eredményei közé tartoznak a MITRE ATT&CK® taktikái és technikái.

  • A javaslat részleteinek oldalain az összes releváns javaslat leképezése látható:

  • A javaslatok Felhőhöz készült Defender lapja új szűrővel rendelkezik, amely a hozzájuk tartozó taktikának megfelelően választja ki a javaslatokat:

További információ a biztonsági javaslatok áttekintésében.

Sebezhetőségi felmérési megoldásként hozzáadott Microsoft Threat and Vulnerability Management – általánosan elérhető (GA)

Októberben bejelentettük, hogy kibővítjük a Microsoft Defender for Servers és a Végponthoz készült Microsoft Defender integrációját, hogy egy új biztonságirés-felmérési szolgáltatót támogassunk a gépekhez: a Microsoft Veszélyforrás- és biztonságirés-kezelés. Ez a funkció mostantól általánosan elérhető (GA) verzióban érhető el.

A Veszélyforrás- és biztonságirés-kezelés segítségével közel valós időben felderítheti a biztonsági réseket és a helytelen konfigurációkat az Végponthoz készült Microsoft Defender-kompatibilis integrációval, további ügynökök vagy rendszeres vizsgálatok nélkül. A fenyegetés és a biztonságirés-kezelés rangsorolja a biztonsági réseket a szervezet fenyegetési környezete és észlelései alapján.

Használja a "Sebezhetőségi felmérési megoldást engedélyezni kell a virtuális gépeken" biztonsági javaslatot a támogatott gépek Veszélyforrás- és biztonságirés-kezelés által észlelt biztonsági rések feltárásához.

A biztonsági rések automatikus felszínre hozásához a meglévő és az új gépeken, a javaslat manuális szervizelése nélkül, tekintse meg a sebezhetőségi felmérési megoldások automatikus engedélyezését (előzetes verzióban).

További információ az Végponthoz készült Microsoft Defender Veszélyforrás- és biztonságirés-kezelés gyenge pontjainak vizsgálatával kapcsolatban.

Végponthoz készült Microsoft Defender linuxos verziót mostantól támogatja a Microsoft Defender for Servers – általánosan elérhető (GA)

Augusztusban bejelentettük, hogy előzetes verzióban támogatott a Defender for Endpoint for Linux-érzékelő telepítése a támogatott Linux-gépeken. Ez a funkció mostantól általánosan elérhető (GA) verzióban érhető el.

A Microsoft Defender for Servers tartalmaz egy integrált licencet Végponthoz készült Microsoft Defender. Ezek együttesen átfogó végponti észlelés és reagálás (Végponti észlelés és reagálás) képességeket biztosítanak.

Amikor a Defender for Endpoint fenyegetést észlel, riasztást aktivál. A riasztás Felhőhöz készült Defender jelenik meg. A Felhőhöz készült Defender a Defender for Endpoint konzolhoz is forgathat, és részletes vizsgálatot végezhet a támadás hatókörének felderítéséhez.

További információ a Végpontok védelme a Security Center integrált Végponti észlelés és reagálás megoldásával: Végponthoz készült Microsoft Defender.

Pillanatkép exportálása javaslatokhoz és biztonsági megállapításokhoz (előzetes verzióban)

Felhőhöz készült Defender részletes biztonsági riasztásokat és javaslatokat hoz létre. Megtekintheti őket a portálon vagy programozott eszközökkel. Előfordulhat, hogy ezeket az információkat exportálnia kell a környezet más monitorozási eszközeivel való nyomon követéshez.

Felhőhöz készült Defender folyamatos exportálási funkciójával teljes mértékben testre szabhatja, hogy mi lesz exportálva, és hová kerül. További információ az adatok folyamatos exportálása Felhőhöz készült Microsoft Defender.

Annak ellenére, hogy a funkciót folyamatosnak nevezik, lehetősége van heti pillanatképek exportálására is. Eddig ezek a heti pillanatképek a pontszámok és a jogszabályi megfelelőségi adatok védelmére korlátozódtak. Hozzáadtuk a javaslatokat és a biztonsági megállapításokat exportálni képes képességet.

Az általánosan elérhető sebezhetőségi felmérési megoldások automatikus kiépítése

Októberben bejelentettük, hogy sebezhetőségi felmérési megoldásokat adunk hozzá Felhőhöz készült Defender automatikus fejlesztési oldalához. Ez az Azure Defender for Servers által védett előfizetésekben lévő Azure-beli virtuális gépekre és Azure Arc-gépekre vonatkozik. Ez a funkció mostantól általánosan elérhető (GA) verzióban érhető el.

Ha engedélyezve van a Végponthoz készült Microsoft Defender integrációja, Felhőhöz készült Defender a sebezhetőségi felmérési megoldások közül választhat:

  • (ÚJ) A Microsoft Veszélyforrás- és biztonságirés-kezelés Végponthoz készült Microsoft Defender modulja (lásd a kibocsátási megjegyzést)
  • Az integrált Qualys-ügynök

A kiválasztott megoldás automatikusan engedélyezve lesz a támogatott gépeken.

További információ: A biztonságirés-felmérés automatikus konfigurálása a gépekhez.

Általánosan elérhető eszközleltár szoftverleltár-szűrői

Októberben új szűrőket jelentettünk be az eszközleltár oldalán, hogy kiválasszanak bizonyos szoftvereket futtató gépeket, és még az érdeklődési köröket is meghatározzuk. Ez a funkció mostantól általánosan elérhető (GA) verzióban érhető el.

A szoftverleltár adatait az Azure Resource Graph Explorerben kérdezheti le.

Ezeknek a funkcióknak a használatához engedélyeznie kell az integrációt a Végponthoz készült Microsoft Defender.

További részletekért, beleértve az Azure Resource Graph kusto-minta lekérdezéseit, tekintse meg az Access szoftverleltárát.

Új AKS biztonsági szabályzat hozzáadva az alapértelmezett kezdeményezéshez – csak privát előzetes verziós ügyfelek számára

Annak érdekében, hogy a Kubernetes számítási feladatai alapértelmezés szerint biztonságosak legyenek, Felhőhöz készült Defender Kubernetes-szintű szabályzatokat és korlátozási javaslatokat tartalmaz, beleértve a Kubernetes-hozzáférés-vezérléssel kapcsolatos kényszerítési lehetőségeket is.

Ennek a projektnek a részeként hozzáadtunk egy szabályzatot és javaslatokat (alapértelmezés szerint letiltva) a Kubernetes-fürtök üzembe helyezésének korlátozásához. A szabályzat az alapértelmezett kezdeményezés része, de csak a kapcsolódó privát előzetes verzióra regisztráló szervezetek számára releváns.

Nyugodtan figyelmen kívül hagyhatja a szabályzatokat és javaslatokat ("A Kubernetes-fürtöknek be kell kapcsolniuk a sebezhető képek üzembe helyezését"), és nincs hatással a környezetre.

Ha részt szeretne venni a privát előzetes verzióban, a privát előzetes verziós kör tagjának kell lennie. Ha még nem tagja, küldjön ide egy kérelmet. A tagok értesítést kapnak az előzetes verzió kezdetekor.

A helyszíni gépek készletkijelzése eltérő sablont alkalmaz az erőforrásnévhez

Az erőforrások eszközleltárban való megjelenítésének javítása érdekében eltávolítottuk a "source-computer-IP" elemet a helyszíni gépek elnevezésére szolgáló sablonból.

  • Előző formátum:machine-name_source-computer-id_VMUUID
  • Ebből a frissítésből:machine-name_VMUUID

2021. október

októberi Frissítések a következők:

Microsoft Threat and Vulnerability Management hozzáadva sebezhetőségi felmérési megoldásként (előzetes verzióban)

Kiterjesztettük az Azure Defender for Servers és a Végponthoz készült Microsoft Defender integrációját, hogy egy új biztonságirés-felmérési szolgáltatót támogassunk a gépekhez: a Microsoft Veszélyforrás- és biztonságirés-kezelés.

A Veszélyforrás- és biztonságirés-kezelés segítségével közel valós időben felderítheti a biztonsági réseket és a helytelen konfigurációkat az Végponthoz készült Microsoft Defender-kompatibilis integrációval, további ügynökök vagy rendszeres vizsgálatok nélkül. A fenyegetés és a biztonságirés-kezelés rangsorolja a biztonsági réseket a szervezet fenyegetési környezete és észlelései alapján.

Használja a "Sebezhetőségi felmérési megoldást engedélyezni kell a virtuális gépeken" biztonsági javaslatot a támogatott gépek Veszélyforrás- és biztonságirés-kezelés által észlelt biztonsági rések feltárásához.

A biztonsági rések automatikus felszínre hozásához a meglévő és az új gépeken, a javaslat manuális szervizelése nélkül, tekintse meg a sebezhetőségi felmérési megoldások automatikus engedélyezését (előzetes verzióban).

További információ az Végponthoz készült Microsoft Defender Veszélyforrás- és biztonságirés-kezelés gyenge pontjainak vizsgálatával kapcsolatban.

A sebezhetőségi felmérési megoldások mostantól automatikusan engedélyezhetők (előzetes verzióban)

A Security Center automatikus fejlesztési oldala mostantól lehetővé teszi, hogy automatikusan engedélyezze a biztonságirés-felmérési megoldást az Azure-beli virtuális gépeken és az Azure Arc-gépeken az Azure Defender for Servers által védett előfizetéseken.

Ha engedélyezve van a Végponthoz készült Microsoft Defender integrációja, Felhőhöz készült Defender a sebezhetőségi felmérési megoldások közül választhat:

  • (ÚJ) A Microsoft Veszélyforrás- és biztonságirés-kezelés Végponthoz készült Microsoft Defender modulja (lásd a kibocsátási megjegyzést)
  • Az integrált Qualys-ügynök

A Microsoft Veszélyforrás- és biztonságirés-kezelés automatikus üzembe helyezésének konfigurálása az Azure Security Centerből.

A kiválasztott megoldás automatikusan engedélyezve lesz a támogatott gépeken.

További információ: A biztonságirés-felmérés automatikus konfigurálása a gépekhez.

Szoftverleltár-szűrők hozzáadva az eszközleltárhoz (előzetes verzióban)

Az eszközleltár oldal mostantól tartalmaz egy szűrőt, amely kiválasztja az adott szoftvert futtató gépeket, és meg is adja az érdeklődésre számot tartó verziókat.

Emellett lekérdezheti a szoftverleltár adatait az Azure Resource Graph Explorerben.

Az új funkciók használatához engedélyeznie kell az integrációt Végponthoz készült Microsoft Defender.

További részletekért, beleértve az Azure Resource Graph kusto-minta lekérdezéseit, tekintse meg az Access szoftverleltárát.

Ha engedélyezte a fenyegetés- és biztonságirés-megoldást, a Security Center eszközleltára szűrőt kínál az erőforrásoknak a telepített szoftver által történő kiválasztásához.

Egyes riasztástípusok előtagja "ARM_" értékről "VM_" értékre módosult

2021 júliusában bejelentettük az Azure Defender for Resource Manager-riasztások logikai átrendezését

A Defender-csomagok átszervezése során a riasztásokat áthelyeztük az Azure Defender for Resource Managerből az Azure Defender for Serversbe.

Ezzel a frissítéssel módosítottuk a riasztások előtagját, hogy megfeleljenek ennek az újbóli hozzárendelésnek, és a "ARM_" helyett a következő táblázatban látható "VM_" érték jelenik meg:

Eredeti név Ebből a módosításból
ARM_AmBroadFilesExclusion VM_AmBroadFilesExclusion
ARM_AmDisablementAndCodeExecution VM_AmDisablementAndCodeExecution
ARM_AmDisablement VM_AmDisablement
ARM_AmFileExclusionAndCodeExecution VM_AmFileExclusionAndCodeExecution
ARM_AmTempFileExclusionAndCodeExecution VM_AmTempFileExclusionAndCodeExecution
ARM_AmTempFileExclusion VM_AmTempFileExclusion
ARM_AmRealtimeProtectionDisabled VM_AmRealtimeProtectionDisabled
ARM_AmTempRealtimeProtectionDisablement VM_AmTempRealtimeProtectionDisablement
ARM_AmRealtimeProtectionDisablementAndCodeExec VM_AmRealtimeProtectionDisablementAndCodeExec
ARM_AmMalwareCampaignRelatedExclusion VM_AmMalwareCampaignRelatedExclusion
ARM_AmTemporarilyDisablement VM_AmTemporarilyDisablement
ARM_UnusualAmFileExclusion VM_UnusualAmFileExclusion
ARM_CustomScriptExtensionSuspiciousCmd VM_CustomScriptExtensionSuspiciousCmd
ARM_CustomScriptExtensionSuspiciousEntryPoint VM_CustomScriptExtensionSuspiciousEntryPoint
ARM_CustomScriptExtensionSuspiciousPayload VM_CustomScriptExtensionSuspiciousPayload
ARM_CustomScriptExtensionSuspiciousFailure VM_CustomScriptExtensionSuspiciousFailure
ARM_CustomScriptExtensionUnusualDeletion VM_CustomScriptExtensionUnusualDeletion
ARM_CustomScriptExtensionUnusualExecution VM_CustomScriptExtensionUnusualExecution
ARM_VMAccessUnusualConfigReset VM_VMAccessUnusualConfigReset
ARM_VMAccessUnusualPasswordReset VM_VMAccessUnusualPasswordReset
ARM_VMAccessUnusualSSHReset VM_VMAccessUnusualSSHReset

További információ az Azure Defender for Resource Managerről és az Azure Defender for Servers csomagról.

Kubernetes-fürtökre vonatkozó biztonsági javaslat logikájának módosítása

A "Kubernetes-fürtök ne használják az alapértelmezett névteret" javaslat megakadályozza az alapértelmezett névtér használatát egy erőforrástípus-tartomány esetében. A javaslatban szereplő két erőforrástípus el lett távolítva: ConfigMap és Secret.

További információ erről a javaslatról és a Kubernetes-fürtök megerősítéséről az Azure Policy for Kubernetes-fürtök ismertetése című témakörben.

A különböző javaslatok közötti kapcsolatok tisztázása érdekében hozzáadtunk egy Kapcsolódó javaslatok területet a számos javaslat részletes lapjaihoz.

Az alábbi oldalakon látható három kapcsolattípus a következő:

  • Előfeltétel – A kiválasztott javaslat előtt teljesítendő javaslat
  • Alternatív – Egy másik javaslat, amely egy másik módszert kínál a kiválasztott javaslat céljainak elérésére
  • Függő – Az a javaslat, amelyhez a kiválasztott javaslat előfeltétele

Az egyes kapcsolódó javaslatok esetében a nem megfelelő erőforrások száma az "Érintett erőforrások" oszlopban jelenik meg.

Tipp.

Ha egy kapcsolódó javaslat szürkítve jelenik meg, a függősége még nem fejeződött be, ezért nem érhető el.

Példa a kapcsolódó javaslatokra:

  1. A Security Center ellenőrzi a gépeket a támogatott sebezhetőségi felmérési megoldásokhoz:
    A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken

  2. Ha talál egyet, értesítést kap a felderített biztonsági résekről:
    A virtuális gépek biztonsági réseit orvosolni kell

Nyilvánvaló, hogy a Security Center csak akkor tud értesítést küldeni a felderített biztonsági résekről, ha nem talál támogatott sebezhetőségi felmérési megoldást.

Ezért:

  • Az 1. javaslat a 2. javaslat előfeltétele
  • A 2. javaslat az 1. javaslattól függ

Képernyőkép a sebezhetőségi felmérési megoldás üzembe helyezésére vonatkozó javaslatról.

Képernyőkép a felderített biztonsági rések megoldására vonatkozó javaslatról.

Új riasztások az Azure Defender for Kuberneteshez (előzetes verzióban)

Az Azure Defender for Kubernetes által biztosított veszélyforrások elleni védelem kibővítéséhez két előzetes verziójú riasztást adtunk hozzá.

Ezek a riasztások egy új gépi tanulási modell és a Kubernetes fejlett elemzése alapján jönnek létre, és több üzembe helyezési és szerepkör-hozzárendelési attribútumot mérnek a fürt korábbi tevékenységeihez és az Azure Defender által figyelt összes fürthöz.

Riasztás (riasztás típusa) Leírás MITRE-taktika Súlyosság
Rendellenes pod üzembe helyezése (előzetes verzió)
(K8S_AnomalousPodDeployment)		 A Kubernetes naplóelemzése rendellenes podtelepítést észlelt a podok korábbi üzembe helyezési tevékenysége alapján. Ezt a tevékenységet anomáliának tekintjük, amikor figyelembe vesszük, hogy az üzembe helyezési műveletben látott különböző funkciók hogyan viszonyulnak egymáshoz. Az elemzés által figyelt funkciók közé tartozik a használt tárolórendszerkép-beállításjegyzék, az üzembe helyezést végrehajtó fiók, a hét napja, a fiók podtelepítések végrehajtásának gyakorisága, a műveletben használt felhasználói ügynök, a pod üzembe helyezése gyakran használt névtér, vagy más funkció. A riasztás rendellenes tevékenységként való növelésének leggyakoribb okait a riasztás kiterjesztett tulajdonságai ismertetik. Futtatási Közepes
Túlzott szerepkör-engedélyek hozzárendelése a Kubernetes-fürtben (előzetes verzió)
(K8S_ServiceAcountPermissionAnomaly)		 A Kubernetes auditnaplóinak elemzése túlzott engedély-szerepkör-hozzárendelést észlelt a fürthöz. A szerepkör-hozzárendelések vizsgálatakor a felsorolt engedélyek nem gyakoriak az adott szolgáltatásfiókban. Ez az észlelés figyelembe veszi a korábbi szerepkör-hozzárendeléseket ugyanarra a szolgáltatásfiókra az Azure által figyelt fürtök között, az engedélyenkénti kötetet és az adott engedély hatását. A riasztáshoz használt anomáliadetektálási modell figyelembe veszi, hogyan használja ezt az engedélyt az Azure Defender által figyelt összes fürtön. Jogosultság eszkalációja Alacsony

A Kubernetes-riasztások teljes listáját a Kubernetes-fürtök riasztásai című témakörben találja.

2021. szeptember

Szeptemberben a következő frissítés jelent meg:

Két új javaslat az Azure biztonsági alapkonfigurációjának megfelelő operációsrendszer-konfigurációk naplózására (előzetes verzióban)

A következő két javaslat jelent meg annak felmérésére, hogy a gépek megfelelnek-e a Windows biztonsági alapkonfigurációjának és a Linux biztonsági alapkonfigurációjának:

Ezek a javaslatok az Azure Policy vendégkonfigurációs funkcióját használják egy gép operációsrendszer-konfigurációjának összehasonlítása az Azure Security Benchmarkban meghatározott alapkonfigurációval.

További információ arról, hogyan használhatja ezeket a javaslatokat a gép operációsrendszer-konfigurációjának megkonfigurálásához vendégkonfiguráció használatával.

2021. augusztus

Frissítések augusztusban a következőket tartalmazza:

Végponthoz készült Microsoft Defender linuxos verziót mostantól támogatja az Azure Defender for Servers (előzetes verzióban)

Az Azure Defender for Servers tartalmaz egy integrált licencet Végponthoz készült Microsoft Defender. Ezek együttesen átfogó végponti észlelés és reagálás (Végponti észlelés és reagálás) képességeket biztosítanak.

Amikor a Defender for Endpoint fenyegetést észlel, riasztást aktivál. A riasztás megjelenik a Security Centerben. A Security Centerben a Defender for Endpoint konzolhoz is forgathat, és részletes vizsgálatot végezhet a támadás hatókörének felderítéséhez.

Az előzetes verziós időszakban a Linux-alapú Defender végponthoz érzékelőt két módon fogja telepíteni a támogatott Linux-gépekre, attól függően, hogy már üzembe helyezte-e a Windows rendszerű gépeken:

További információ a Végpontok védelme a Security Center integrált Végponti észlelés és reagálás megoldásával: Végponthoz készült Microsoft Defender.

Két új javaslat a végpontvédelmi megoldások kezeléséhez (előzetes verzióban)

Két előzetes verziós javaslatot adtunk hozzá a végpontvédelmi megoldások üzembe helyezéséhez és karbantartásához a gépeken. Mindkét javaslat támogatja az Azure-beli virtuális gépeket és az Azure Arc-kompatibilis kiszolgálókhoz csatlakoztatott gépeket.

Ajánlás Leírás Súlyosság
A végpontvédelmet telepíteni kell a gépekre A gépek fenyegetésekkel és biztonsági résekkel szembeni védelméhez telepítsen egy támogatott végpontvédelmi megoldást. További információ a gépek Endpoint Protection-ének kiértékeléséről.
(Kapcsolódó szabályzat: Hiányzó Endpoint Protection monitorozása az Azure Security Centerben)		 Magas
A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Az Azure Security Center által támogatott végpontvédelmi megoldásokat itt dokumentáljuk. A végpontvédelem értékelése itt dokumentálva van.
(Kapcsolódó szabályzat: Hiányzó Endpoint Protection monitorozása az Azure Security Centerben)		 Közepes

Feljegyzés

A javaslatok 8 órás frissességi időközt mutatnak, de vannak olyan forgatókönyvek, amelyekben ez jelentősen hosszabb időt vehet igénybe. Ha például töröl egy helyszíni gépet, a Security Center 24 órát vesz igénybe a törlés azonosításához. Ezt követően az értékelés akár 8 órát is igénybe vehet az információk visszaküldéséhez. Ebben a konkrét helyzetben 32 órát is igénybe vehet, hogy a gép törlődjön az érintett erőforrások listájáról.

A Security Center két új javaslatának frissesség-intervallumjelzője

Beépített hibaelhárítás és útmutatás a gyakori problémák megoldásához

Az Azure Portal Security Center-lapjainak új, dedikált területe önsegítő anyagokból álló összeválogatott, folyamatosan bővülő készletet biztosít a Security Center és az Azure Defender gyakori kihívásainak megoldásához.

Ha problémába ütközik, vagy tanácsot kér a támogatási csapatunktól, a problémák diagnosztizálása és megoldása egy másik eszköz, amellyel megtalálhatja a megoldást:

A Security Center

A szabályozási megfelelőségi irányítópult általánosan elérhető Azure Audit-jelentései (GA)

A szabályozási megfelelőségi irányítópult eszköztára Azure- és Dynamics-tanúsítási jelentéseket kínál az előfizetésekre alkalmazott szabványokról.

A szabályozási megfelelőségi irányítópult eszköztára az auditjelentések létrehozására szolgáló gombot jeleníti meg.

Kiválaszthatja a megfelelő jelentéstípusok (PCI, SOC, ISO és egyéb) lapját, és szűrőkkel megkeresheti a szükséges jelentéseket.

További információ: Megfelelőségi állapotjelentések és tanúsítványok létrehozása.

Az elérhető Azure Audit-jelentések többlapos listája. Az ISO-jelentések, SOC-jelentések, PCI és egyebek lapjai láthatók.

Elavult javaslat:"A Log Analytics-ügynök állapotproblémáit meg kell oldani a gépeken"

Megállapítottuk, hogy a Log Analytics-ügynök állapotával kapcsolatos javaslatokkal kapcsolatos problémákat meg kell oldani a gépeken , és olyan módon befolyásolják a biztonsági pontszámokat, hogy azok nem összhangban vannak a Security Center Felhőbiztonsági helyzetkezelés (CSPM) fókuszával. A CSPM általában a biztonsági konfigurációk azonosításához kapcsolódik. Az ügynök állapotával kapcsolatos problémák nem illenek ebbe a kategóriába.

Emellett a javaslat egy anomália a Security Centerrel kapcsolatos többi ügynökhöz képest: ez az egyetlen olyan ügynök, amely egészségügyi problémákra vonatkozó javaslattal rendelkezik.

A javaslat elavult.

Az elavulás következtében kisebb módosításokat hajtottunk végre a Log Analytics-ügynök telepítésére vonatkozó javaslatokon is (a Log Analytics-ügynököt telepíteni kell...).

Valószínű, hogy ez a változás hatással lesz a biztonsági pontszámokra. A legtöbb előfizetés esetében a változás várhatóan magasabb pontszámot eredményez, de előfordulhat, hogy a telepítési javaslat frissítései bizonyos esetekben csökkent pontszámokat eredményeznek.

Tipp.

Az eszközleltár lapra is hatással volt ez a változás, mivel megjeleníti a gépek figyelt állapotát (monitorozott, nem figyelt vagy részben figyelt – állapot, amely állapotproblémákkal küzdő ügynökre hivatkozik).

A tárolóregisztrációs adatbázisokhoz készült Azure Defender biztonságirés-ellenőrzővel rendszerképeket vizsgálhat az Azure Container Registry-nyilvántartásokban. Megtudhatja, hogyan vizsgálhatja a regisztrációs adatbázisokat, és hogyan javíthatja a megállapításokat az Azure Defender tárolóregisztrációs adatbázisaiban a rendszerképek biztonsági réseinek vizsgálatához.

Az Azure Container Registryben üzemeltetett beállításjegyzékhez való hozzáférés korlátozásához rendeljen virtuális hálózati magánhálózati IP-címeket a beállításjegyzék végpontjaihoz, és használja az Azure Private Linket a Csatlakozás privát azure-tárolóregisztrációs adatbázishoz az Azure Private Link használatával.

A további környezetek és használati esetek támogatására irányuló folyamatos erőfeszítések részeként az Azure Defender most az Azure Private Linkdel védett tárolóregisztrációs adatbázisokat is megvizsgálja.

A Security Center mostantól automatikusan kiépítheti az Azure Policy vendégkonfigurációs bővítményét (előzetes verzióban)

Az Azure Policy képes a gép beállításainak naplózására mind az Azure-ban, mind az Archoz csatlakoztatott gépeken. Az érvényesítést a Vendégkonfiguráció bővítmény és ügyfél végzi. További információ az Azure Policy vendégkonfigurációjának megismeréséről.

Ezzel a frissítéssel beállíthatja, hogy a Security Center automatikusan kiépítse ezt a bővítményt az összes támogatott gépen.

A Vendégkonfiguráció bővítmény automatikus üzembe helyezésének engedélyezése.

További információ az automatikus fejlesztés működéséről az ügynökök és bővítmények automatikus leépítésének konfigurálásával kapcsolatban.

az Azure Defender-csomagok engedélyezéséhez Javaslatok mostantól támogatja a "Kényszerítés" elemet

A Security Center két olyan funkciót tartalmaz, amelyek biztosítják az újonnan létrehozott erőforrások biztonságos kiépítését: kényszerítés és megtagadás. Ha egy javaslat ezeket a lehetőségeket kínálja, gondoskodhat arról, hogy a biztonsági követelmények teljesüljenek, amikor valaki megpróbál létrehozni egy erőforrást:

  • A megtagadás megakadályozza a nem megfelelő erőforrások létrehozását
  • A nem megfelelő erőforrások automatikus szervizelésének kényszerítése létrehozásukkor

Ezzel a frissítéssel a kényszerítés lehetősége már elérhető az Azure Defender-csomagok engedélyezésére vonatkozó javaslatokban (például engedélyezni kell az Azure Defender for App Service-t, engedélyezni kell az Azure Defender for Key Vaultot, engedélyezni kell az Azure Defender for Storage-t).

További információ ezekről a beállításokról: A kényszerítési/megtagadási javaslatok helytelen konfigurációjának megakadályozása.

A javaslati adatok CSV-exportálása mostantól 20 MB-ra korlátozódik

A Security Center javaslati adatainak exportálásakor 20 MB-os korlátot hozunk létre.

A Security Center

Ha nagyobb mennyiségű adatot kell exportálnia, a kiválasztás előtt használja a rendelkezésre álló szűrőket, vagy válassza ki az előfizetések részhalmazait, és töltse le az adatokat kötegekben.

Előfizetések szűrése az Azure Portalon.

További információ a biztonsági javaslatok CSV-exportálásának elvégzéséről.

Javaslatok lap mostantól több nézetet is tartalmaz

A javaslatok lapon most már két lap található, amelyek alternatív módszereket biztosítanak az erőforrásokhoz kapcsolódó javaslatok megtekintésére:

  • Biztonsági pontszámra vonatkozó javaslatok – Ezen a lapon megtekintheti a biztonsági vezérlők szerint csoportosított javaslatok listáját. További információ ezekről a biztonsági vezérlőkről és azok javaslatairól.
  • Minden javaslat – Ezen a lapon áttekintheti a javaslatok listáját. Ez a lap arra is kiválóan alkalmas, hogy megértse, melyik kezdeményezés (beleértve a jogszabályi megfelelőségi szabványokat) generálta a javaslatot. További információ a kezdeményezésekről és a javaslatokhoz való viszonyukról a mi a biztonsági szabályzatok, kezdeményezések és javaslatok?

Lapfülek a javaslatok listájának az Azure Security Centerben való módosításához.

2021. július

júliusi Frissítések a következők:

Az Azure Sentinel-összekötő mostantól opcionális kétirányú riasztás-szinkronizálást is tartalmaz (előzetes verzióban)

A Security Center natív módon integrálható az Azure Sentinellel, az Azure felhőalapú natív SIEM- és SOAR-megoldásával.

Az Azure Sentinel beépített összekötőket tartalmaz az Azure Security Centerhez előfizetési és bérlői szinten. További információ az Azure Sentinel streames riasztásaiban.

Amikor csatlakoztatja az Azure Defendert az Azure Sentinelhez, a két szolgáltatás között szinkronizálódik az Azure Defender-riasztások állapota, amelyek az Azure Sentinelbe kerülnek. Így például ha egy riasztás bezárul az Azure Defenderben, az az Azure Sentinelben is bezártként jelenik meg. A riasztás állapotának módosítása az Azure Defenderben "nem"* befolyásolja a szinkronizált Azure Sentinel-riasztást tartalmazó Azure Sentinel-incidensek állapotát, csak magát a szinkronizált riasztást.

Ha engedélyezi az előzetes verziójú funkció kétirányú riasztás-szinkronizálását, az automatikusan szinkronizálja az eredeti Azure Defender-riasztások állapotát az Azure Sentinel-incidensekkel, amelyek az Azure Defender-riasztások másolatait tartalmazzák. Így például ha egy Azure Defender-riasztást tartalmazó Azure Sentinel-incidens bezárul, az Azure Defender automatikusan bezárja a megfelelő eredeti riasztást.

További információ Csatlakozás Azure Defender-riasztásokról az Azure Security Centerből.

Az Azure Defender for Resource Manager-riasztások logikai átrendezése

Az alábbi riasztások az Azure Defender for Resource Manager-csomag részeként lettek megadva.

Néhány Azure Defender-csomag logikai átrendezésének részeként áthelyeztünk néhány riasztást az Azure Defender for Resource Managerből az Azure Defender for Serversbe.

A riasztások két fő alapelv szerint vannak rendszerezve:

  • A vezérlősík védelmét biztosító riasztások – számos Azure-erőforrástípus esetében – az Azure Defender for Resource Manager részét képezik
  • Az egyes számítási feladatok védelmét biztosító riasztások az Azure Defender-csomagban találhatók, amelyek a megfelelő számítási feladathoz kapcsolódnak

Ezek azok a riasztások, amelyek az Azure Defender for Resource Manager részét képezték, és amelyek a változás eredményeként mostantól az Azure Defender for Servers részét képezik:

  • ARM_AmBroadFilesExclusion
  • ARM_AmDisablementAndCodeExecution
  • ARM_AmDisablement
  • ARM_AmFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusion
  • ARM_AmRealtimeProtectionDisabled
  • ARM_AmTempRealtimeProtectionDisablement
  • ARM_AmRealtimeProtectionDisablementAndCodeExec
  • ARM_AmMalwareCampaignRelatedExclusion
  • ARM_AmTemporarilyDisablement
  • ARM_UnusualAmFileExclusion
  • ARM_CustomScriptExtensionSuspiciousCmd
  • ARM_CustomScriptExtensionSuspiciousEntryPoint
  • ARM_CustomScriptExtensionSuspiciousPayload
  • ARM_CustomScriptExtensionSuspiciousFailure
  • ARM_CustomScriptExtensionUnusualDeletion
  • ARM_CustomScriptExtensionUnusualExecution
  • ARM_VMAccessUnusualConfigReset
  • ARM_VMAccessUnusualPasswordReset
  • ARM_VMAccessUnusualSSHReset

További információ az Azure Defender for Resource Managerről és az Azure Defender for Servers csomagról.

Fejlesztések az Azure Disk Encryption (ADE) engedélyezésére vonatkozó javaslathoz

A felhasználói visszajelzések alapján átneveztük a lemeztitkosításra vonatkozó javaslatot a virtuális gépeken.

Az új javaslat ugyanazt az értékelési azonosítót használja, és virtuális gépeknek kell titkosítaniuk a számítási és tárolási erőforrások közötti ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat.

A leírás is frissült, hogy jobban ismertesse ennek a korlátozási javaslatnak a célját:

Ajánlás Leírás Súlyosság
A virtuális gépeknek titkosítaniuk kell a számítási és tárolási erőforrások közötti ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat Alapértelmezés szerint a virtuális gép operációs rendszere és adatlemezei inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal; Az ideiglenes lemezek és az adatgyorsítótárak nincsenek titkosítva, és az adatok nem titkosítva lesznek a számítási és tárolási erőforrások között. További információkért tekintse meg az Azure különböző lemeztitkosítási technológiáinak összehasonlítását.
Az Összes adat titkosítása az Azure Disk Encryption használatával. Hagyja figyelmen kívül ezt a javaslatot, ha: (1) a gazdagép titkosítási funkcióját használja, vagy (2) a felügyelt lemezek kiszolgálóoldali titkosítása megfelel a biztonsági követelményeknek. További információ az Azure Disk Storage kiszolgálóoldali titkosításáról.		 Magas

A biztonságos pontszám és a szabályozási megfelelőségi adatok folyamatos exportálása általános rendelkezésre állás (GA) céljából

A folyamatos exportálás lehetővé teszi a biztonsági riasztások exportálását és a környezet más monitorozási eszközeivel való nyomon követésre vonatkozó javaslatokat.

A folyamatos exportálás beállításakor konfigurálja az exportált elemet, és azt, hogy hová kerül. További információ a folyamatos exportálás áttekintésében.

Ezt a funkciót az idő múlásával bővítettük és bővítettük:

Ezzel a frissítéssel ez a két lehetőség általánosan elérhető lesz.

A munkafolyamat-automatizálásokat a szabályozási megfelelőségi értékelések (GA) változásai aktiválhatják

2021 februárjában hozzáadtunk egy előzetes verziójú harmadik adattípust a munkafolyamat-automatizálások eseményindító beállításaihoz: a szabályozási megfelelőségi értékelések változásaihoz. A munkafolyamat-automatizálással kapcsolatos további információk a jogszabályi megfelelőségértékelések változásai által aktiválhatók.

Ezzel a frissítéssel ez az eseményindító-beállítás általánosan elérhető lesz.

Megtudhatja, hogyan használhatja a munkafolyamat-automatizálási eszközöket a Security Center eseményindítóira adott válaszok automatizálása során.

A szabályozási megfelelőségi értékelések módosításainak használata munkafolyamat-automatizálás aktiválásához.

A "FirstEvaluationDate" és a "StatusChangeDate" Assessments API mező már elérhető a munkaterület sémáiban és logikai alkalmazásaiban

2021 májusában frissítettük az Assessment API-t két új mezővel, a FirstEvaluationDate és a StatusChangeDate mezővel. További részletekért lásd : Assessments API két új mezővel bővült.

Ezek a mezők a REST API-n, az Azure Resource Graphon, a folyamatos exportáláson és a CSV-exportáláson keresztül voltak elérhetők.

Ezzel a módosítással elérhetővé tesszük az információkat a Log Analytics-munkaterület sémájában és a logikai alkalmazásokban.

Márciusban bejelentettük az Azure Monitor-munkafüzetek integrált használatát a Security Centerben (lásd a Security Centerbe integrált Azure Monitor-munkafüzeteket és három sablont).

A kezdeti kiadás három sablont tartalmazott, hogy dinamikus és vizuális jelentéseket készítsen a szervezet biztonsági helyzetéről.

Most hozzáadtunk egy munkafüzetet, amely nyomon követi az előfizetésnek a rá vonatkozó szabályozási vagy iparági szabványoknak való megfelelését.

Megtudhatja, hogyan használhatja ezeket a jelentéseket, vagy hogyan hozhat létre saját magat a Security Center-adatok gazdag, interaktív jelentéseiben.

Az Azure Security Center megfelelősége az időalapú munkafüzetben

2021. június

júniusi Frissítések a következők:

Új riasztás az Azure Defender for Key Vaulthoz

Az Azure Defender for Key Vault által biztosított veszélyforrások elleni védelem kibővítéséhez a következő riasztást adtuk hozzá:

Riasztás (riasztás típusa) Leírás MITRE-taktika Súlyosság
Hozzáférés gyanús IP-címről kulcstartóhoz
(KV_SuspiciousIPAccess)		 Egy kulcstartóhoz sikeresen hozzáfért egy IP- cím, amelyet a Microsoft Threat Intelligence gyanús IP-címként azonosított. Ez azt jelezheti, hogy az infrastruktúra sérült. Javasoljuk, hogy további vizsgálatot. További információ a Microsoft fenyegetésfelderítési képességeiről. Hitelesítő adatok elérése Közepes

További információkért lásd:

Javaslatok alapértelmezés szerint letiltott ügyfél által felügyelt kulcsokkal (CMK-kkal) történő titkosításhoz

A Security Center több javaslatot is tartalmaz az inaktív adatok ügyfél által felügyelt kulcsokkal való titkosítására, például:

  • A tárolóregisztrációs adatbázisokat ügyfél által felügyelt kulccsal (CMK) kell titkosítani
  • Az Azure Cosmos DB-fiókoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat
  • Az Azure Machine Tanulás-munkaterületeket ügyfél által felügyelt kulccsal (CMK) kell titkosítani

Az Azure-ban az adatok automatikusan titkosítva lesznek platform által felügyelt kulcsokkal, ezért az ügyfél által felügyelt kulcsok használata csak akkor alkalmazható, ha a szervezet által kikényszeríteni kívánt szabályzatnak való megfeleléshez szükséges.

Ezzel a módosítással a CMK-k használatára vonatkozó javaslatok alapértelmezés szerint le vannak tiltva. Ha a szervezet szempontjából releváns, engedélyezheti őket úgy, hogy a megfelelő biztonsági szabályzat effektusparaméterét Az AuditIfNotExists vagy a Enforce paraméterre módosítja. További információ: Biztonsági javaslat engedélyezése.

Ez a változás megjelenik a javaslat neveiben egy új előtaggal , [Engedélyezés, ha szükséges], ahogyan az alábbi példákban is látható:

  • [Engedélyezés, ha szükséges] A tárfiókok az ügyfél által kezelt kulccsal titkosítják az inaktív adatokat
  • [Engedélyezés, ha szükséges] A tárolóregisztrációs adatbázisokat ügyfél által felügyelt kulccsal (CMK) kell titkosítani
  • [Engedélyezés, ha szükséges] Az Azure Cosmos DB-fiókoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat

A Security Center CMK-javaslatai alapértelmezés szerint le lesznek tiltva.

A Kubernetes-riasztások előtagja "AKS_" értékről "K8S_" értékre módosult

Az Azure Defender for Kubernetes nemrég kibővült a helyszínen és többfelhős környezetben üzemeltetett Kubernetes-fürtök védelmére. További információ az Azure Defender for Kubernetes használatáról a hibrid és többfelhős Kubernetes-környezetek védelméhez (előzetes verzióban).

Annak érdekében, hogy az Azure Defender for Kubernetes által biztosított biztonsági riasztások már nem korlátozódnak az Azure Kubernetes Service-fürtökre, a riasztástípusok előtagját "AKS_" értékről "K8S_" értékre módosítottuk. Szükség esetén a nevek és a leírások is frissültek. Például ez a riasztás:

Riasztás (riasztás típusa) Leírás
Kubernetes behatolástesztelő eszköz észlelhető
(AKS_PenTestToolsKubeHunter)		 A Kubernetes naplózási naplóelemzése a Kubernetes behatolástesztelő eszköz használatát észlelte az AKS-fürtben . Bár ez a viselkedés jogos lehet, a támadók rosszindulatú célokra használhatják az ilyen nyilvános eszközöket.

a következőre módosult:

Riasztás (riasztás típusa) Leírás
Kubernetes behatolástesztelő eszköz észlelhető
(K8S_PenTestToolsKubeHunter)		 A Kubernetes auditnapló-elemzése a Kubernetes-behatolástesztelő eszköz használatát észlelte a Kubernetes-fürtben . Bár ez a viselkedés jogos lehet, a támadók rosszindulatú célokra használhatják az ilyen nyilvános eszközöket.

A rendszer automatikusan konvertálja a "AKS_" kezdetű riasztásokra hivatkozó letiltási szabályokat. Ha SIEM-exportálásokat vagy egyéni automatizálási szkripteket állít be, amelyek riasztástípus szerint hivatkoznak a Kubernetes-riasztásokra, frissítenie kell őket az új riasztástípusokkal.

A Kubernetes-riasztások teljes listáját a Kubernetes-fürtök riasztásai című témakörben találja.

Elavult két javaslat a "Rendszerfrissítések alkalmazása" biztonsági vezérlőből

A következő két javaslat elavult:

  • Az operációs rendszer verzióját frissíteni kell a felhőszolgáltatás-szerepkörökhöz – Alapértelmezés szerint az Azure rendszeresen frissíti a vendég operációs rendszert a szolgáltatáskonfigurációban (.cscfg) megadott operációsrendszer-család legújabb támogatott rendszerképére, például a Windows Server 2016-ra.
  • A Kubernetes-szolgáltatásokat nem sebezhető Kubernetes-verzióra kell frissíteni – A javaslat értékelései nem olyan szélesek, mint szeretnénk. Azt tervezzük, hogy a javaslatot egy továbbfejlesztett verzióra cseréljük, amely jobban igazodik a biztonsági igényekhez.

május 2021.

májusi Frissítések a következők:

A DNS-hez készült Azure Defender és a Resource Managerhez készült Azure Defender általánosan elérhető (GA)

Ez a két natív felhőbeli veszélyforrások elleni védelmi terv mostantól ga.

Ezek az új védelem jelentősen növelik a fenyegetést jelentő szereplők támadásai elleni rugalmasságot, és jelentősen növelik az Azure Defender által védett Azure-erőforrások számát.

A tervek engedélyezésének egyszerűsítése érdekében használja a következő javaslatokat:

  • Engedélyezni kell az Azure Defender for Resource Managert
  • Engedélyezni kell az Azure Defendert a DNS-hez

Feljegyzés

Az Azure Defender-csomagok engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit.

Általánosan elérhető azure Defender nyílt forráskódú relációs adatbázisokhoz (GA)

Az Azure Security Center egy új csomaggal bővíti az SQL Protectionre vonatkozó ajánlatát a nyílt forráskódú relációs adatbázisok lefedésére:

  • Azure Defender azure SQL-adatbáziskiszolgálókhoz – az Azure-natív SQL-kiszolgálók védelme
  • Azure Defender a gépeken futó SQL-kiszolgálókhoz – ugyanezt a védelmet nyújtja hibrid, többfelhős és helyszíni környezetekben lévő SQL-kiszolgálókra is
  • Nyílt forráskódú relációs adatbázisokhoz készült Azure Defender – önálló Azure Database for MySQL-, PostgreSQL- és MariaDB-kiszolgálók védelme

A nyílt forráskódú relációs adatbázisokhoz készült Azure Defender folyamatosan figyeli a kiszolgálókat a biztonsági fenyegetésekre, és észleli az Azure Database for MySQL, a PostgreSQL és a MariaDB potenciális fenyegetéseit jelző rendellenes adatbázis-tevékenységeket. Néhány példa:

  • A találgatásos támadások részletes észlelése – A nyílt forráskódú relációs adatbázisokhoz készült Azure Defender részletes információkat nyújt a megkísérelt és sikeres találgatásos támadásokkal kapcsolatban. Ez lehetővé teszi a környezet elleni támadás természetének és állapotának teljesebb megismerését és megválaszolását.
  • Viselkedési riasztások észlelése – A nyílt forráskódú relációs adatbázisokhoz készült Azure Defender gyanús és váratlan viselkedésre figyelmezteti a kiszolgálókon, például az adatbázis hozzáférési mintájának változásaira.
  • Fenyegetésintelligencia-alapú észlelés – Az Azure Defender a Microsoft fenyegetésintelligencia-intelligenciáját és hatalmas tudásbázis alkalmazza a fenyegetésriasztások felszínre hozására, így Ön felléphet ellenük.

További információ az Azure Defender nyílt forráskódú relációs adatbázisokhoz való bevezetéséről.

Új riasztások az Azure Defender for Resource Managerhez

Az Azure Defender for Resource Manager által biztosított veszélyforrások elleni védelem bővítéséhez a következő riasztásokat adtuk hozzá:

Riasztás (riasztás típusa) Leírás MITRE-taktikák Súlyosság
Az RBAC-szerepkörökhöz adott engedélyek szokatlan módon az Azure-környezetben (előzetes verzió)
(ARM_AnomalousRBACRoleAssignment)		 Az Azure Defender for Resource Manager olyan RBAC-szerepkör-hozzárendelést észlelt, amely szokatlan, ha összehasonlítjuk azokkal a hozzárendelésekkel, amelyeket ugyanahhoz a hozzárendelt személyhez / a bérlőhöz hajtottak végre a következő anomáliák miatt: hozzárendelési idő, hozzárendelő helye, hozzárendelő, hitelesítési módszer, hozzárendelt entitások, használt ügyfélszoftver, hozzárendelés mértéke. Előfordulhat, hogy ezt a műveletet egy megbízható felhasználó hajtotta végre a szervezetben. Azt is jelezheti, hogy a szervezet egyik fiókját feltörték, és hogy a fenyegetést okozó szereplő egy további felhasználói fiókhoz próbál engedélyeket adni. Lateral Movement, Defense Evasion Közepes
Az előfizetéshez gyanús módon létrehozott emelt szintű egyéni szerepkör (előzetes verzió)
(ARM_PrivilegedRoleDefinitionCreation)		 Az Azure Defender for Resource Manager gyanús egyéni szerepkördefiníciót észlelt az előfizetésében. Előfordulhat, hogy ezt a műveletet egy megbízható felhasználó hajtotta végre a szervezetben. Azt is jelezheti, hogy a szervezet egyik fiókját feltörték, és hogy a fenyegetést okozó szereplő egy kiemelt szerepkört próbál létrehozni a jövőben az észlelés megkerüléséhez. Lateral Movement, Defense Evasion Alacsony
Azure Resource Manager-művelet gyanús IP-címről (előzetes verzió)
(ARM_OperationFromSuspiciousIP)		 Az Azure Defender for Resource Manager egy olyan IP-címről észlelt műveletet, amely gyanúsként van megjelölve a fenyegetésfelderítési hírcsatornákban. Futtatási Közepes
Azure Resource Manager-művelet gyanús proxy IP-címről (előzetes verzió)
(ARM_OperationFromSuspiciousProxyIP)		 Az Azure Defender for Resource Manager egy olyan IP-címről észlelt erőforrás-kezelési műveletet, amely proxyszolgáltatásokhoz, például TOR-hoz van társítva. Bár ez a viselkedés jogos lehet, gyakran rosszindulatú tevékenységekben is előfordul, amikor a fenyegetést észlelő szereplők megpróbálják elrejteni a forrás IP-címüket. Védelmi kijátszás Közepes

További információkért lásd:

Tárolólemezképek CI/CD biztonsági réseinek vizsgálata GitHub-munkafolyamatokkal és Azure Defenderrel (előzetes verzió)

A tárolóregisztrációs adatbázisokhoz készült Azure Defender mostantól a DevSecOps-csapatokat is megfigyelhetővé teszi a GitHub Actions-munkafolyamatokban.

A tárolólemezképek új biztonságirés-ellenőrzési funkciója a Trivy használatával segít a tárolólemezképek gyakori biztonsági réseinek keresésében, mielőtt képeket küld a tárolóregisztrációs adatbázisokba.

A tárolóvizsgálati jelentések az Azure Security Centerben vannak összefoglalva, így a biztonsági csapatok jobban megismerhetik a sebezhető tárolólemezképek forrását, valamint azokat a munkafolyamatokat és adattárakat, ahonnan származnak.

További információ: Sebezhető tárolólemezképek azonosítása a CI-/CD-munkafolyamatokban.

További Resource Graph-lekérdezések érhetők el néhány javaslathoz

A Security Center összes javaslatának lehetősége van az érintett erőforrások állapotával kapcsolatos információk megtekintésére az Azure Resource Graph használatával az Open lekérdezésből. A hatékony funkcióval kapcsolatos részletes információkért tekintse át az Azure Resource Graph Explorer (ARG) javaslatadatait.

A Security Center beépített biztonságirés-ellenőrzőket tartalmaz a virtuális gépek, az SQL-kiszolgálók és a gazdagépek vizsgálatához, valamint tárolóregisztrációs adatbázisokat a biztonsági rések felderítéséhez. A rendszer javaslatként adja vissza az eredményeket, és az egyes erőforrástípusokhoz tartozó összes egyedi megállapítást egyetlen nézetben gyűjti össze. A javaslatok a következők:

  • Az Azure Container Registry rendszerképeinek biztonsági réseit orvosolni kell (a Qualys működteti)
  • A virtuális gépek biztonsági réseit orvosolni kell
  • Az SQL-adatbázisok sebezhetőségi megállapításait meg kell oldani
  • A gépeken lévő SQL-kiszolgálókon a biztonsági rések megoldásának kell lennie

Ezzel a módosítással a Lekérdezés megnyitása gombbal a biztonsági megállapításokat megjelenítő lekérdezést is megnyithatja.

A megnyitott lekérdezés gomb mostantól lehetőséget kínál egy mélyebb lekérdezésre, amely megjeleníti a biztonsági megállapításokat a biztonsági résolvasóval kapcsolatos javaslatokhoz.

A Lekérdezés megnyitása gomb további lehetőségeket kínál más javaslatokhoz, ahol releváns.

További információ a Security Center biztonságirés-ellenőrzőiről:

Módosult az SQL-adatbesorolási javaslat súlyossága

Az SQL-adatbázisok bizalmas adatainak besorolására vonatkozó javaslat súlyossága magasról alacsonyra módosult.

Ez egy folyamatban lévő módosítás része a javaslatnak, amelyet a közelgő változások oldalán jelentünk meg.

Új javaslatok a megbízható indítási képességek engedélyezéséhez (előzetes verzióban)

Az Azure megbízható indítást kínál a 2. generációs virtuális gépek biztonságának javítása érdekében. A megbízható indítás védelmet nyújt a fejlett és állandó támadási technikák ellen. A megbízható indítás több, egymástól függetlenül engedélyezhető, koordinált infrastruktúra-technológiából áll. Minden technológia egy újabb védelmi réteget biztosít a kifinomult fenyegetések ellen. További információ az Azure-beli virtuális gépek megbízható indítási módjáról.

Fontos

A megbízható indításhoz új virtuális gépekre van szükség. Az eredetileg anélkül létrehozott meglévő virtuális gépeken nem engedélyezheti a megbízható indítást.

A megbízható indítás jelenleg nyilvános előzetes verzióban érhető el. Az előzetes verzió szolgáltatásszint-szerződés nélkül érhető el, és éles számítási feladatokhoz nem ajánlott. Előfordulhat, hogy néhány funkció nem támogatott, vagy korlátozott képességekkel rendelkezik.

A Security Center javaslatát, a vTPM-et engedélyezni kell a támogatott virtuális gépeken, és biztosítani kell, hogy az Azure-beli virtuális gépek vTPM-et használnak. A hardveres megbízható platformmodul ezen virtualizált verziója lehetővé teszi az igazolást a virtuális gép teljes rendszerindítási láncának (UEFI, operációs rendszer, rendszer és illesztőprogramok) mérésével.

Ha a vTPM engedélyezve van, a vendégigazolási bővítmény távolról ellenőrizheti a biztonságos rendszerindítást. A következő javaslatok biztosítják a bővítmény üzembe helyezését:

  • A biztonságos rendszerindítást engedélyezni kell a támogatott Windows rendszerű virtuális gépeken
  • A vendégigazolási bővítményt a támogatott Windows rendszerű virtuális gépekre kell telepíteni
  • A vendégigazolási bővítményt a támogatott Windows rendszerű virtuálisgép-méretezési csoportokra kell telepíteni
  • A vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépekre kell telepíteni
  • A vendégigazolási bővítményt a támogatott Linux rendszerű virtuálisgép-méretezési csoportokra kell telepíteni

További információ az Azure-beli virtuális gépek megbízható indítási módjáról.

Új javaslatok a Kubernetes-fürtök megerősítéséhez (előzetes verzióban)

Az alábbi javaslatok lehetővé teszik a Kubernetes-fürtök további keményítését

  • A Kubernetes-fürtök nem használhatják az alapértelmezett névteret – A ConfigMap, Pod, Secret, Service és ServiceAccount erőforrástípusok jogosulatlan hozzáférése elleni védelem érdekében tiltsa meg az alapértelmezett névtér használatát a Kubernetes-fürtökben.
  • A Kubernetes-fürtöknek le kell tiltania az automatikusan leválasztott API-hitelesítő adatokat – Ha meg szeretné akadályozni, hogy egy potenciálisan sérült poderőforrás API-parancsokat futtasson a Kubernetes-fürtökön, tiltsa le az API-hitelesítő adatok automatikus leválasztását.
  • A Kubernetes-fürtök nem biztosíthatnak CAPSYSADMIN biztonsági képességeket

Megtudhatja, hogyan védheti meg a Security Center a tárolóalapú környezeteket a Security Center tárolóbiztonságában.

A Assessments API két új mezővel bővült

A következő két mezőt adtuk hozzá az Assessments REST API-hoz:

  • FirstEvaluationDate – A javaslat létrehozásának és első kiértékelésének időpontja. UTC időként, ISO 8601 formátumban visszaadva.
  • StatusChangeDate – Az az időpont, amikor a javaslat állapota legutóbb módosult. UTC időként, ISO 8601 formátumban visszaadva.

Ezeknek a mezőknek a kezdeti alapértelmezett értéke – az összes javaslat esetében – az 2021-03-14T00:00:00+0000000Z.

Az információk eléréséhez az alábbi táblázatban szereplő módszerek bármelyikét használhatja.

Eszköz Részletek
REST API-hívás GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates
Azure Resource Graph securityresources
where type == "microsoft.security/assessments"
Folyamatos exportálás A két dedikált mező elérhetővé válik a Log Analytics-munkaterület adataival
CSV-exportálás A két mező szerepel a CSV-fájlokban

További információ az Assessments REST API-ról.

Az eszközleltár egy felhőalapú környezeti szűrőt kap

A Security Center eszközleltárlapja számos szűrőt kínál a megjelenített erőforrások listájának gyors finomításához. További információ az erőforrások eszközleltárral való feltárásában és kezelésében.

Egy új szűrő lehetővé teszi a lista finomítását a Security Center többfelhős funkcióihoz csatlakoztatott felhőfiókok alapján:

Az Inventory környezeti szűrője

További információ a többfelhős funkciókról:

április 2021.

áprilisi Frissítések a következők:

Frissített erőforrás állapota lap (előzetes verzióban)

Az erőforrás állapota ki lett bővítve, továbbfejlesztve és továbbfejlesztve, hogy pillanatképet jelenítsen meg egyetlen erőforrás általános állapotáról.

Az erőforrással kapcsolatos részletes információkat és az adott erőforrásra vonatkozó összes javaslatot áttekintheti. Emellett ha a Microsoft Defender speciális védelmi csomagjait használja, az adott erőforrásra vonatkozó kiemelkedő biztonsági riasztásokat is láthat.

Az erőforrás erőforrás-állapotlapjának megnyitásához válasszon ki egy erőforrást az eszközleltár lapon.

A Security Center portáloldalainak előnézeti lapja a következőt jeleníti meg:

  1. Erőforrás-információk – A csatolt erőforráscsoport és előfizetés, a földrajzi hely stb.
  2. Alkalmazott biztonsági funkció – Engedélyezve van-e az Azure Defender az erőforráshoz.
  3. A ki nem adott javaslatok és riasztások száma – A kiugró biztonsági javaslatok és az Azure Defender-riasztások száma.
  4. Végrehajtható javaslatok és riasztások – Két lap felsorolja az erőforrásra vonatkozó javaslatokat és riasztásokat.

Az Azure Security Center erőforrás-állapotlapja, amelyen egy virtuális gép állapotadatai láthatók

További információ az oktatóanyagban : Az erőforrások állapotának vizsgálata.

A nemrég lekért tárolóregisztrációs adatbázis lemezképeit most hetente újra beolvasjuk (általánosan elérhető (GA))

A tárolóregisztrációs adatbázisokhoz készült Azure Defender beépített biztonságirés-ellenőrzőt tartalmaz. Ez a képolvasó azonnal megvizsgálja a beállításjegyzékbe leküldett és az elmúlt 30 napban lekért képeket.

Minden nap új biztonsági réseket fedeznek fel. Ezzel a frissítéssel az elmúlt 30 napban a regisztrációs adatbázisokból lekért tárolólemezképek hetente újra lesznek vizsgálva . Ez biztosítja, hogy az újonnan felfedezett biztonsági rések azonosíthatók legyenek a képeken.

A vizsgálat díja képenként történik, ezért ezekért a rescansért nem jár további díj.

További információ erről a képolvasóról az Azure Defender tárolóregisztrációs adatbázisaiban a rendszerképek biztonsági réseinek vizsgálatához.

Hibrid és többfelhős Kubernetes-környezetek védelme az Azure Defender for Kubernetes használatával (előzetes verzióban)

Az Azure Defender for Kubernetes bővíti veszélyforrások elleni védelmi képességeit a fürtök védelmére, bárhol is legyenek üzembe helyezve. Ezt az Azure Arc-kompatibilis Kubernetes és az új bővítmények képességeinek integrálásával engedélyezték.

Ha engedélyezte az Azure Arcot a nem Azure Kubernetes-fürtökön, az Azure Security Center új javaslata mindössze néhány kattintással felajánlja az Azure Defender-ügynök üzembe helyezését.

Használja a javaslatot (az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük az Azure Defender bővítményével) és a bővítményt a más felhőszolgáltatókban üzembe helyezett Kubernetes-fürtök védelméhez, bár a felügyelt Kubernetes-szolgáltatásokban nem.

Az Azure Security Center, az Azure Defender és az Azure Arc-kompatibilis Kubernetes közötti integráció a következőkhöz vezet:

  • Az Azure Defender-ügynök egyszerű üzembe helyezése nem védett Azure Arc-kompatibilis Kubernetes-fürtökre (manuálisan és nagy léptékben)
  • Az Azure Defender-ügynök és kiépítési állapotának monitorozása az Azure Arc Portalról
  • A Security Center biztonsági javaslatait az Azure Arc Portal új biztonsági oldalán találhatja meg
  • Az Azure Defender által észlelt biztonsági fenyegetések az Azure Arc Portál új biztonsági oldalán jelennek meg
  • Az Azure Arc-kompatibilis Kubernetes-fürtök integrálva vannak az Azure Security Center platformjába és felületébe

További információ az Azure Defender for Kubernetes helyszíni és többfelhős Kubernetes-fürtökkel való használatáról.

Az Azure Security Center javaslata az Azure Defender-ügynök Azure Arc-kompatibilis Kubernetes-fürtökhöz való üzembe helyezéséhez.

Végponthoz készült Microsoft Defender Azure Defenderrel való integráció mostantól támogatja a Windows Server 2019-et és a Windows 10-et általánosan elérhető Windows Virtual Desktopon (GA)

A Microsoft Defender for Endpoint holisztikus, felhőben nyújtott végpontbiztonsági megoldás. Kockázatalapú biztonságirés-kezelés és értékelést, valamint végponti észlelés és reagálás (Végponti észlelés és reagálás) nyújt. A Defender for Endpoint és az Azure Security Center együttes használatának előnyeiről a Security Center integrált Végponti észlelés és reagálás megoldásával, a Végponthoz készült Microsoft Defender című témakörben olvashat.

Ha engedélyezi a Windows Servert futtató Azure Defendert, a csomag tartalmazza a Defender for Endpoint licencét. Ha már engedélyezte az Azure Defender for Servers szolgáltatást, és Windows Server 2019-kiszolgálói vannak az előfizetésében, a frissítéssel a rendszer automatikusan megkapja a Végponthoz készült Defendert. Nincs szükség manuális műveletre.

A támogatás mostantól kibővült a Windows Server 2019 és a Windows 10 windowsos virtuális asztali verziójával.

Feljegyzés

Ha Windows Server 2019-kiszolgálón engedélyezi a Defender for Endpoint használatát, győződjön meg arról, hogy az megfelel az Végponthoz készült Microsoft Defender integráció engedélyezésével kapcsolatos előfeltételeknek.

Javaslatok engedélyezni az Azure Defendert a DNS-hez és a Resource Managerhez (előzetes verzióban)

Két új javaslatot adtunk hozzá az Azure Defender for Resource Manager és az Azure Defender DNS-hez való engedélyezésének egyszerűsítése érdekében:

  • Engedélyezni kell az Azure Defender for Resource Managert – A Resource Managerhez készült Defender automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat.
  • Engedélyezni kell az Azure Defendert a DNS-hez – A DNS-hez készült Defender további védelmi réteget biztosít a felhőbeli erőforrások számára az Azure-erőforrásokból érkező ÖSSZES DNS-lekérdezés folyamatos figyelésével. Az Azure Defender riasztást küld a DNS-réteg gyanús tevékenységeiről.

Az Azure Defender-csomagok engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit.

Tipp.

Az előzetes verziójú javaslatok nem teszik kifogástalanná az erőforrásokat, és nem szerepelnek a biztonságos pontszám számításaiban. Szervizelje őket, ahol csak lehetséges, hogy az előnézeti időszak végén hozzájáruljanak a pontszámhoz. További információ arról, hogyan válaszolhat ezekre a javaslatokra az Azure Security Center szervizelési javaslataiban.

Három jogszabályi megfelelőségi szabvány lett hozzáadva: Azure CIS 1.3.0, CMMC Level 3 és New Zealand ISM Restricted

Három szabványt adtunk hozzá az Azure Security Center használatához. A jogszabályi megfelelőségi irányítópult használatával mostantól nyomon követheti a következőkkel való megfelelőséget:

Ezeket hozzárendelheti az előfizetéseihez a szabályozási megfelelőségi irányítópult szabványkészletének testreszabása című cikkben leírtak szerint.

Három szabvány van hozzáadva az Azure Security Center szabályozási megfelelőségi irányítópultján való használatra.

További információ:

Az Azure vendégkonfigurációs bővítménye a Security Centernek jelent, hogy a virtuális gépek vendégbeállításai meg legyenek edzve. Az Arc-kompatibilis kiszolgálókhoz nem szükséges a bővítmény, mert az Arc Connected Machine ügynök része. A bővítményhez rendszer által felügyelt identitás szükséges a gépen.

Négy új javaslatot adtunk hozzá a Security Centerhez, hogy a lehető legtöbbet hozhassuk ki ebből a bővítményből.

  • Két javaslat arra kéri, hogy telepítse a bővítményt és annak szükséges rendszer által felügyelt identitását:

    • A vendégkonfigurációs bővítményt telepíteni kell a gépekre
    • A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni

  • Amikor a bővítmény telepítve van és fut, megkezdi a gépek naplózását, és a rendszer kérni fogja a beállítások, például az operációs rendszer és a környezet beállításainak konfigurálását. Ez a két javaslat arra fogja kérni, hogy az alábbiak szerint edzse meg Windows és Linux rendszerű gépeit:

    • A Windows Defender Exploit Guardot engedélyezni kell a gépeken
    • A Linux rendszerű gépek hitelesítéséhez SSH-kulcsok szükségesek

További információ az Azure Policy vendégkonfigurációjának megismeréséről.

A CMK-javaslatok átkerültek az ajánlott eljárások biztonsági vezérlésére

Minden szervezet biztonsági programja adattitkosítási követelményeket tartalmaz. Alapértelmezés szerint az Azure-ügyfelek adatai inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva. Az ügyfél által felügyelt kulcsokra (CMK) azonban általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. A CMK-k lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal . Ez teljes körű ellenőrzést és felelősséget biztosít a kulcsfontosságú életciklusért, beleértve a rotációt és a felügyeletet is.

Az Azure Security Center biztonsági vezérlői a kapcsolódó biztonsági javaslatok logikai csoportjai, és tükrözik a sebezhető támadási felületeket. Minden vezérlőelem maximális számú ponttal rendelkezik, amelyet hozzáadhat a biztonságos pontszámhoz, ha a vezérlőben felsorolt összes javaslatot kijavítja az összes erőforráshoz. A biztonsági ajánlott eljárások implementálása a biztonsági ellenőrzés nulla pontot ér. Az ebben a vezérlőben található javaslatok tehát nem befolyásolják a biztonságos pontszámot.

Az alábbiakban felsorolt javaslatok átkerülnek a biztonsági ajánlott eljárások implementálási biztonsági szabályozására, hogy jobban tükrözzék az opcionális jellegüket. Ez a lépés biztosítja, hogy ezek a javaslatok a céljuknak leginkább megfelelő ellenőrzés alatt legyenek.

  • Az Azure Cosmos DB-fiókoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat
  • Az Azure Machine Tanulás-munkaterületeket ügyfél által felügyelt kulccsal (CMK) kell titkosítani
  • Az Azure AI-szolgáltatások fiókjainak engedélyeznie kell az ügyfél által felügyelt kulccsal (CMK) történő adattitkosítást
  • A tárolóregisztrációs adatbázisokat ügyfél által felügyelt kulccsal (CMK) kell titkosítani
  • A felügyelt SQL-példányoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat
  • Az SQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat
  • A tárfiókoknak ügyfél által felügyelt kulcsot (CMK) kell használniuk a titkosításhoz

Megtudhatja, hogy mely javaslatok szerepelnek az egyes biztonsági vezérlőkben a biztonsági vezérlőkben és azok javaslataiban.

11 Elavult Azure Defender-riasztás

Az alább felsorolt tizenegy Azure Defender-riasztás elavult.

  • Az új riasztások felváltják ezt a két riasztást, és jobb lefedettséget biztosítanak:

    AlertType AlertDisplayName
    ARM_MicroBurstDomainInfo ELŐZETES VERZIÓ – A "Get-AzureDomainInfo" microBurst-eszközkészlet futtatása észlelhető
    ARM_MicroBurstRunbook ELŐZETES VERZIÓ – A MicroBurst eszközkészlet "Get-AzurePasswords" függvény futtatása észlelhető

  • Ez a kilenc riasztás egy már elavult Azure Active Directory Identity Protection-összekötőre (IPC) vonatkozik:

    AlertType AlertDisplayName
    UnfamiliarLocation Szokatlan bejelentkezési tulajdonságok
    AnonymousLogin Névtelen IP-cím
    InfectedDeviceLogin Kártevő szoftverhez társított IP-cím
    ImpossibleTravel Szokatlan utazás
    MaliciousIP Rosszindulatú IP-cím
    Kiszivárgott hitelesítő adatok Kiszivárgott hitelesítő adatok
    PasswordSpray Jelszó spray
    Kiszivárgott hitelesítő adatok Azure AD Intelligens veszélyforrás-felderítés
    AADAI Azure AD AI

    Tipp.

    Ez a kilenc IPC-riasztás soha nem volt a Security Center riasztása. Az Azure Active Directory (AAD) Identity Protection-összekötő (IPC) része, amely a Security Centerbe küldte őket. Az elmúlt két évben csak azok az ügyfelek láthatták ezeket a riasztásokat, akik 2019-ben vagy korábban konfigurálták az exportálást (az összekötőből az ASC-be). Az AAD IPC továbbra is megjeleníti őket a saját riasztási rendszereiben, és továbbra is elérhetők az Azure Sentinelben. Az egyetlen változás az, hogy már nem jelennek meg a Security Centerben.

A "Rendszerfrissítések alkalmazása" biztonsági vezérlő két ajánlása elavult

A következő két javaslat elavult, és a módosítások enyhe hatással lehetnek a biztonságos pontszámra:

  • A rendszerfrissítések alkalmazásához újra kell indítani a gépeket
  • A monitorozási ügynököt telepíteni kell a gépekre. Ez a javaslat csak a helyszíni gépekre vonatkozik, és néhány logikája át lesz osztva egy másik javaslatba, a Log Analytics-ügynök állapotával kapcsolatos problémákat meg kell oldani a gépeken

Javasoljuk, hogy ellenőrizze a folyamatos exportálási és munkafolyamat-automatizálási konfigurációkat, és ellenőrizze, hogy ezek a javaslatok szerepelnek-e bennük. Emellett az esetlegesen használt irányítópultokat vagy egyéb monitorozási eszközöket ennek megfelelően frissíteni kell.

Ezekről a javaslatokról további információt a biztonsági javaslatok referenciaoldalán talál.

Az Azure Defender for SQL az Azure Defender irányítópultjáról eltávolított gépi csempén

Az Azure Defender-irányítópult lefedettségi területe csempéket tartalmaz a környezetéhez tartozó Azure Defender-csomagokhoz. A védett és nem védett erőforrások számának jelentésével kapcsolatos probléma miatt úgy döntöttünk, hogy a probléma megoldásáig ideiglenesen eltávolítjuk az Azure Defender for SQL erőforrás-lefedettségi állapotát a gépeken .

Huszonegy javaslat a biztonsági vezérlők között

A következő javaslatok át lettek helyezve a különböző biztonsági vezérlőkre. A biztonsági vezérlők a kapcsolódó biztonsági javaslatok logikai csoportjai, és tükrözik a sebezhető támadási felületeket. Ez a lépés biztosítja, hogy ezek a javaslatok a célnak leginkább megfelelő ellenőrzés alá tartozzanak.

Megtudhatja, hogy mely javaslatok szerepelnek az egyes biztonsági vezérlőkben a biztonsági vezérlőkben és azok javaslataiban.

Ajánlás Változás és hatás
A sebezhetőségi felmérést alkalmazni ajánlott az SQL-kiszolgálókon
A sebezhetőségi felmérést engedélyezni kell a felügyelt SQL-példányokon
Az SQL-adatbázisok biztonsági réseit új helyre kell szervizelni
A virtuális gépeken lévő SQL-adatbázisok biztonsági réseit orvosolni kell		 Váltás a biztonsági rések szervizeléséről (hat pontot ér)
a biztonsági konfigurációk szervizeléséhez (négy pontot ér).
A környezetétől függően ezek a javaslatok kisebb hatással lesznek a pontszámra.
Az előfizetéshez egynél több tulajdonost kell rendelni
Az Automation-fiók változóit titkosítani kell
IoT-eszközök – A naplózási folyamat leállította az események küldését
IoT-eszközök – Az operációs rendszer alapkonfiguráció-ellenőrzési hibája
IoT-eszközök – TLS-titkosítási csomag frissítése szükséges
IoT-eszközök – Portok megnyitása az eszközön
IoT-eszközök – Megengedő tűzfalszabályzatot találtak az egyik láncban
IoT-eszközök – Megengedő tűzfalszabály található a bemeneti láncban
IoT-eszközök – Megengedő tűzfalszabály található a kimeneti láncban
Az IoT Hubban engedélyezni kell a diagnosztikai naplókat
IoT-eszközök – Az ügynök nem kihasznált üzeneteket küld
IoT-eszközök – Az alapértelmezett IP-szűrési szabályzatnak megtagadva kell lennie
IoT-eszközök – NAGY IP-címtartományú IP-szűrési szabály
IoT-eszközök – Az ügynök üzeneteinek időközeit és méretét módosítani kell
IoT-eszközök – Azonos hitelesítési hitelesítő adatok
IoT-eszközök – A naplózott folyamat leállította az események küldését
IoT-eszközök – Az operációs rendszer (OS) alapkonfigurációját ki kell javítani		 Váltás a biztonsági ajánlott eljárások implementálására.
Amikor egy javaslat a biztonsági ajánlott eljárások implementálási biztonsági ellenőrzésére kerül, amely nem ér pontot, a javaslat már nem befolyásolja a biztonsági pontszámot.

2021. március

márciusi Frissítések a következők:

Azure Firewall-felügyelet a Security Centerbe integrálva

Az Azure Security Center megnyitásakor az első megjelenítendő oldal az áttekintési oldal.

Ez az interaktív irányítópult egységes nézetet biztosít a hibrid felhőbeli számítási feladatok biztonsági helyzetéről. Emellett biztonsági riasztásokat, lefedettségi információkat és egyebeket is megjeleníti.

A biztonsági állapot központi felületről való megtekintésének részeként integráltuk az Azure Firewall Managert ebbe az irányítópultba. Mostantól ellenőrizheti a tűzfal lefedettségének állapotát az összes hálózatban, és központilag kezelheti az Azure Firewall-szabályzatokat a Security Centertől kezdve.

További információ erről az irányítópultról az Azure Security Center áttekintési oldalán.

A Security Center áttekintő irányítópultja az Azure Firewall csempéjével

Az SQL sebezhetőségi felmérése mostantól tartalmazza a "Szabály letiltása" felületet (előzetes verzió)

A Security Center beépített biztonságirés-ellenőrzővel segíti a lehetséges adatbázis-biztonsági rések felderítését, nyomon követését és elhárítását. Az értékelési vizsgálatok eredményei áttekintést nyújtanak az SQL-gépek biztonsági állapotáról, valamint a biztonsági megállapítások részleteiről.

Ha a cégnek figyelmen kívül kell hagynia egy találatot, és nem kell szervizelnie, akkor tetszés szerint letilthatja azt. A letiltott eredmények nem befolyásolják a biztonságos pontszámot, és nem okoznak nemkívánatos zajt.

További információ: Adott eredmények letiltása.

A Security Centerbe integrált Azure Monitor-munkafüzetek és három sablon

Az Ignite Spring 2021 részeként bejelentettük az Azure Monitor-munkafüzetek integrált használatát a Security Centerben.

Az új integrációval elkezdheti használni a Security Center katalógusából származó beépített sablonokat. Munkafüzetsablonok használatával dinamikus és vizuális jelentéseket érhet el és hozhat létre a szervezet biztonsági helyzetének nyomon követéséhez. Emellett létrehozhat új munkafüzeteket a Security Center adatai vagy bármely más támogatott adattípus alapján, és gyorsan üzembe helyezhet közösségi munkafüzeteket a Security Center GitHub-közösségéből.

Három sablonjelentés érhető el:

  • Biztonságos pontszám idővel – Az előfizetések pontszámainak és az erőforrásokra vonatkozó javaslatok módosításának nyomon követése
  • Rendszer Frissítések – Hiányzó rendszerfrissítések megtekintése erőforrások, operációs rendszer, súlyosság és egyebek szerint
  • Sebezhetőségi felmérés eredményei – Az Azure-erőforrások sebezhetőségi vizsgálatainak eredményeinek megtekintése

Megtudhatja, hogyan használhatja ezeket a jelentéseket, vagy hogyan hozhat létre saját magat a Security Center-adatok gazdag, interaktív jelentéseiben.

A pontszám biztonságossá tételének időalapú jelentése.

A szabályozási megfelelőségi irányítópult mostantól azure-auditjelentéseket is tartalmaz (előzetes verzió)

A szabályozási megfelelőségi irányítópult eszköztárából most már letöltheti az Azure- és Dynamics-tanúsítási jelentéseket.

A szabályozási megfelelőségi irányítópult eszköztára

Kiválaszthatja a megfelelő jelentéstípusok (PCI, SOC, ISO és egyéb) lapját, és szűrőkkel megkeresheti a szükséges jelentéseket.

További információ a szabványok felügyeletéről a szabályozási megfelelőségi irányítópulton.

Az elérhető Azure Audit-jelentések listájának szűrése.

A javaslatok adatai az Azure Resource Graphban tekinthetők meg a "Felfedezés az ARG-ben" lehetőséggel

A javaslat részleteinek lapjain megjelenik a "Felfedezés az ARG-ben" eszköztár gomb. Ezzel a gombbal megnyithat egy Azure Resource Graph-lekérdezést, és megvizsgálhatja, exportálhatja és megoszthatja a javaslat adatait.

Az Azure Resource Graph (ARG) hatékony szűrési, csoportosítási és rendezési funkciókkal azonnali hozzáférést biztosít az erőforrás-információkhoz a felhőkörnyezetekben. Ez egy gyors és hatékony módja annak, hogy az Azure-előfizetések adatait programozott módon vagy az Azure Portalon keresztül kérdezhesse le.

További információ az Azure Resource Graphról (ARG).

A javaslatok adatainak feltárása az Azure Resource Graphban.

Frissítések munkafolyamat-automatizálás üzembe helyezésére vonatkozó szabályzatokhoz

A szervezet monitorozási és incidenskezelési folyamatainak automatizálása jelentősen javíthatja a biztonsági incidensek kivizsgálásához és enyhítéséhez szükséges időt.

Három Azure Policy "DeployIfNotExist" szabályzatot biztosítunk, amelyek munkafolyamat-automatizálási eljárásokat hoznak létre és konfigurálnak, hogy az automatizálásokat a szervezeten belül üzembe helyezhesse:

Cél Szabályzat Szabályzat azonosítója
Munkafolyamat-automatizálás biztonsági riasztásokhoz Azure Security Center-riasztásokat automatizáló munkafolyamat üzembe helyezése f1525828-9a90-4fcf-be48-268cdd02361e
Munkafolyamat-automatizálás biztonsági javaslatokhoz Azure Security Center-javaslatokat automatizáló munkafolyamat üzembe helyezése 73d6ab6c-2475-4850-afd6-43795f3492ef
Munkafolyamat-automatizálás a jogszabályi megfelelőség változásaihoz Munkafolyamat-automatizálás üzembe helyezése az Azure Security Center jogszabályi megfelelőségéhez 509122b9-dddd9-47ba-a5f1-d0dac20be63c

A szabályzatok funkcióinak két frissítése van:

  • Ha ki van rendelve, a végrehajtás engedélyezi őket.
  • Most már testre szabhatja ezeket a szabályzatokat, és bármelyik paramétert frissítheti még az üzembe helyezés után is. Hozzáadhat vagy szerkeszthet például egy értékelési kulcsot.

A munkafolyamat-automatizálási sablonok használatának első lépései.

További információ a Security Center-eseményindítókra adott válaszok automatizálásáról.

Két régi javaslat már nem ír közvetlenül adatokat az Azure-tevékenységnaplóba

A Security Center szinte az összes biztonsági javaslat adatait átadja az Azure Advisornak, amely viszont az Azure tevékenységnaplójába írja.

Két javaslat esetén az adatok egyidejűleg közvetlenül az Azure-tevékenységnaplóba lesznek írva. Ezzel a módosítással a Security Center leállítja ezeknek az örökölt biztonsági javaslatoknak az adatait közvetlenül a tevékenységnaplóba. Ehelyett exportáljuk az adatokat az Azure Advisorba, ahogy az összes többi javaslat esetében is.

A két régi javaslat a következő:

  • A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken
  • A gépek biztonsági konfigurációjának biztonsági réseit szervizelni kell

Ha a tevékenységnapló "TaskDiscovery típusú javaslat" kategóriájában e két javaslat információihoz fér hozzá, az már nem érhető el.

Javaslatok lap fejlesztései

Közzétettük a javaslatok listájának továbbfejlesztett verzióját, hogy több információt jelenítsünk meg egy pillantással.

Most az oldalon a következőt fogja látni:

  1. Az egyes biztonsági vezérlők maximális pontszáma és aktuális pontszáma.
  2. A címkéket lecserélő ikonok, például a Javítás és az Előnézet.
  3. Egy új oszlop, amely az egyes javaslatokhoz kapcsolódó házirend-kezdeményezést mutatja – akkor látható, ha a "Csoportosítás vezérlők szerint" funkció le van tiltva.

Az Azure Security Center javaslatoldalának fejlesztései – 2021. március

Az Azure Security Center javaslatainak

További információ az Azure Security Center biztonsági ajánlásairól.

február 2021.

februári Frissítések a következők:

Általánosan elérhető új biztonsági riasztások lap az Azure Portalon

Az Azure Security Center biztonsági riasztások lapja újra lett tervezve, hogy a következőt biztosítsa:

  • Továbbfejlesztett osztályozási felület a riasztásokhoz – a riasztások kimerültségének csökkentése és a leginkább releváns fenyegetésekre való összpontosítás megkönnyítése érdekében a lista testre szabható szűrőket és csoportosítási lehetőségeket tartalmaz.
  • További információk a riasztások listájában – például MITRE ATT&ACK-taktikák.
  • Gomb a mintariasztások létrehozásához – az Azure Defender képességeinek kiértékeléséhez és a riasztások teszteléséhez. konfiguráció (SIEM-integrációhoz, e-mail-értesítésekhez és munkafolyamat-automatizálásokhoz) az összes Azure Defender-csomagból létrehozhat mintariasztásokat.
  • Igazodás az Azure Sentinel incidensélményéhez – a két terméket használó ügyfelek számára a váltás mostantól egyszerűbb, és könnyen elsajátítható a másiktól.
  • Jobb teljesítmény a nagy riasztási listák esetében.
  • Billentyűzet-navigáció a riasztások listájában.
  • Az Azure Resource Graph riasztásai – a riasztásokat az Azure Resource Graphban, a Kusto-szerű API-ban kérdezheti le az összes erőforráshoz. Ez akkor is hasznos, ha saját riasztási irányítópultokat hoz létre. További információ az Azure Resource Graphról.
  • Mintariasztások létrehozása funkció – Ha az új riasztási felületről szeretne mintariasztásokat létrehozni, tekintse meg a minta Azure Defender-riasztások létrehozását ismertető cikket.

Általános rendelkezésre álláshoz (GA) kiadott Kubernetes-számítási feladatok védelmére vonatkozó javaslatok

Örömmel jelentjük be a Kubernetes számítási feladatok védelmére vonatkozó javaslatok általános elérhetőségét (GA).

Annak érdekében, hogy a Kubernetes számítási feladatai alapértelmezés szerint biztonságosak legyenek, a Security Center kubernetes szintű keményítési javaslatokat adott hozzá, beleértve a Kubernetes-hozzáférés-vezérlés kényszerítési lehetőségeit is.

Ha az Azure Policy for Kubernetes telepítve van az Azure Kubernetes Service-fürtre (AKS), a Kubernetes API-kiszolgálóhoz érkező minden kérést a rendszer az előre meghatározott – 13 biztonsági javaslatként megjelenített – ajánlott eljárásokkal monitorozza, mielőtt a fürtben megmarad. Ezután konfigurálhatja az ajánlott eljárások kikényszerítését, és megbízhatja őket a jövőbeli számítási feladatokhoz.

Megadhatja például, hogy a kiemelt tárolók ne legyenek létrehozva, és az erre vonatkozó jövőbeli kérések le lesznek tiltva.

További információ a Számítási feladatok védelmének ajánlott eljárásairól a Kubernetes-hozzáférés-vezérlés használatával.

Feljegyzés

Bár a javaslatok előzetes verzióban voltak, nem tették kifogástalanná az AKS-fürterőforrást, és nem szerepeltek a biztonságos pontszám számításaiban. ezzel a GA-bejelentéssel ezek szerepelni fognak a pontszám kiszámításában. Ha még nem orvosolta őket, ez kis hatással lehet a biztonságos pontszámra. Szervizelje őket, ahol csak lehetséges, az Azure Security Center szervizelési javaslataiban leírtak szerint.

Végponthoz készült Microsoft Defender Azure Defenderrel való integráció mostantól támogatja a Windows Server 2019-et és a Windows 10-et Windows Virtual Desktopon (előzetes verzióban)

A Microsoft Defender for Endpoint holisztikus, felhőben nyújtott végpontbiztonsági megoldás. Kockázatalapú biztonságirés-kezelés és értékelést, valamint végponti észlelés és reagálás (Végponti észlelés és reagálás) nyújt. A Defender for Endpoint és az Azure Security Center együttes használatának előnyeiről a Security Center integrált Végponti észlelés és reagálás megoldásával, a Végponthoz készült Microsoft Defender című témakörben olvashat.

Ha engedélyezi a Windows Servert futtató Azure Defendert, a csomag tartalmazza a Defender for Endpoint licencét. Ha már engedélyezte az Azure Defender for Servers szolgáltatást, és Windows Server 2019-kiszolgálói vannak az előfizetésében, a frissítéssel a rendszer automatikusan megkapja a Végponthoz készült Defendert. Nincs szükség manuális műveletre.

A támogatás mostantól kibővült a Windows Server 2019 és a Windows 10 windowsos virtuális asztali verziójával.

Feljegyzés

Ha Windows Server 2019-kiszolgálón engedélyezi a Defender for Endpoint használatát, győződjön meg arról, hogy az megfelel az Végponthoz készült Microsoft Defender integráció engedélyezésével kapcsolatos előfeltételeknek.

Közvetlen hivatkozás a szabályzatra a javaslat részleteinek oldaláról

Amikor áttekinti egy javaslat részleteit, gyakran hasznos lehet látni az alapul szolgáló szabályzatot. A szabályzat által támogatott minden javaslathoz új hivatkozás található a javaslat részleteit tartalmazó oldalon:

Hivatkozás az Azure Policy oldalára a javaslatot támogató adott szabályzathoz.

Ezen a hivatkozáson megtekintheti a szabályzatdefiníciót, és áttekintheti a kiértékelési logikát.

Ha áttekinti a biztonsági javaslatok referencia-útmutatójában szereplő javaslatok listáját, a szabályzatdefiníciós oldalakra mutató hivatkozásokat is látni fog:

Egy adott szabályzat Azure Policy-lapjának elérése közvetlenül az Azure Security Center javaslatok referenciaoldaláról.

Az SQL-adatbesorolási javaslat már nem befolyásolja a biztonságos pontszámot

Az SQL-adatbázisok bizalmas adatainak besorolása már nem befolyásolja a biztonságos pontszámot. Ez az egyetlen javaslat az adatbesorolási biztonsági vezérlő alkalmazásában, így a vezérlőelem biztonsági pontszáma 0.

A Security Center összes biztonsági vezérlőjének teljes listáját, valamint a pontszámaikat és az egyes javaslatok listáját a Biztonsági vezérlők és azok javaslatai című témakörben találja.

A munkafolyamat-automatizálásokat a jogszabályi megfelelőségi értékelések változásai aktiválhatják (előzetes verzióban)

Egy harmadik adattípust adtunk hozzá a munkafolyamat-automatizálások eseményindító beállításaihoz: a szabályozási megfelelőségi értékelések változásaihoz.

Megtudhatja, hogyan használhatja a munkafolyamat-automatizálási eszközöket a Security Center eseményindítóira adott válaszok automatizálása során.

A szabályozási megfelelőségi értékelések módosításainak használata munkafolyamat-automatizálás aktiválásához.

Eszközleltár lap fejlesztései

Továbbfejlesztettük a Security Center eszközleltár-oldalát:

  • A lap tetején található összesítések mostantól nem regisztrált előfizetéseket tartalmaznak, amelyek a Security Center engedélyezése nélküli előfizetések számát jelenítik meg.

    A nem regisztrált előfizetések száma az eszközleltár oldal tetején található összegzésekben.

  • A szűrők ki lettek bővítve, és a következőkre lettek kiterjesztve:

    • Darabszám – Minden szűrő az egyes kategóriák feltételeinek megfelelő erőforrások számát jeleníti meg

      Az Azure Security Center eszközleltár oldalán található szűrők száma.

    • Kivételszűrőt tartalmaz (nem kötelező) – szűkítse az eredményeket azokra az erőforrásokra, amelyek kivételekkel rendelkeznek vagy nem rendelkeznek kivételekkel. Ez a szűrő alapértelmezés szerint nem jelenik meg, de a Szűrő hozzáadása gombra kattintva érhető el.

      A

További információ arról, hogyan vizsgálhatja meg és kezelheti az erőforrásokat az eszközleltárral.

Január 2021.

januári Frissítések a következők:

Az Azure Security Benchmark mostantól az alapértelmezett szabályzatkezdeményező az Azure Security Centerben

Az Azure Security Benchmark a Microsoft által készített, Azure-specifikus irányelvkészlet a gyakori megfelelőségi keretrendszereken alapuló biztonsági és megfelelőségi ajánlott eljárásokhoz. Ez a széles körben elismert referenciamutató a Center for Internet Security (CIS) és a National Institute of Standards and Technology (NIST) vezérlőire épül, a felhőközpontú biztonságra összpontosítva.

Az elmúlt hónapokban a Security Center beépített biztonsági ajánlásainak listája jelentősen nőtt, hogy bővítse a teljesítményteszt lefedettségét.

Ebből a kiadásból a benchmark a Security Center ajánlásainak alapja, és teljes mértékben integrálva van alapértelmezett házirend-kezdeményezésként.

Minden Azure-szolgáltatás rendelkezik egy biztonsági alapkonfigurációs oldallal a dokumentációban. Ezek az alapkonfigurációk az Azure Security Benchmarkra épülnek.

Ha a Security Center szabályozási megfelelőségi irányítópultját használja, a referenciamutató két példányát fogja látni egy átmeneti időszakban:

Az Azure Security Center szabályozási megfelelőségi irányítópultja, amelyen az Azure Security Benchmark látható

A meglévő javaslatok nem változnak, és a teljesítménymutató növekedésével a változások automatikusan megjelennek a Security Centerben.

További információkért tekintse meg a következő oldalakat:

A helyszíni és többfelhős gépek sebezhetőségi felmérése általánosan elérhető (GA)

Októberben bejelentettük az Azure Arc-kompatibilis kiszolgálók vizsgálatának előzetesét az Azure Defender for Servers integrált sebezhetőségi felmérési szkennerével (Qualys).

Most általánosan elérhető (GA) kiadásra került.

Ha engedélyezte az Azure Arcot a nem Azure-beli gépeken, a Security Center felajánlja az integrált biztonságirés-ellenőrző manuális és nagy léptékű üzembe helyezését.

Ezzel a frissítéssel felszabadíthatja az Azure Defender for Servers erejét, hogy összevonja biztonságirés-kezelés programot az összes Azure- és nem Azure-eszközén.

Fő képességek:

  • A VA (sebezhetőségi felmérés) scanner kiépítési állapotának monitorozása az Azure Arc-gépeken
  • Az integrált VA-ügynök kiépítése nem védett Windows- és Linux Azure Arc-gépekre (manuálisan és nagy léptékben)
  • Az üzembe helyezett ügynökök által észlelt biztonsági rések fogadása és elemzése (manuálisan és nagy léptékben)
  • Egységes felület Azure-beli virtuális gépekhez és Azure Arc-gépekhez

További információ az integrált Qualys biztonságirés-ellenőrző hibrid gépeken való üzembe helyezéséről.

További információ az Azure Arc-kompatibilis kiszolgálókról.

A felügyeleti csoportok biztonsági pontszáma mostantól elérhető az előzetes verzióban

A biztonságos pontszám lapon mostantól a felügyeleti csoportok összesített biztonsági pontszámai láthatók az előfizetési szint mellett. Így most már láthatja a szervezet felügyeleti csoportjainak listáját és az egyes felügyeleti csoportok pontszámát.

A felügyeleti csoportok biztonsági pontszámainak megtekintése.

További információ a biztonsági pontszámokról és a biztonsági vezérlőkről az Azure Security Centerben.

A Biztonságos pontszám API általánosan elérhető (GA) kiadásra kerül

Most már a biztonságos pontszám API-val érheti el a pontszámot. Az API-metódusok rugalmasságot biztosítanak az adatok lekérdezéséhez és a biztonságos pontszámok saját jelentéskészítési mechanizmusának elkészítéséhez. Példa:

  • egy adott előfizetés pontszámának lekéréséhez használja a Secure Scores API-t
  • A Secure Score Controls API használatával listázhatja a biztonsági vezérlőket és az előfizetések aktuális pontszámát

Ismerje meg a GitHub-közösség biztonságos pontszám területén a biztonságos pontszám API-val lehetővé tett külső eszközöket.

További információ a biztonsági pontszámokról és a biztonsági vezérlőkről az Azure Security Centerben.

Az Azure Defender for App Service szolgáltatás már értékhiányos DNS-védelemmel is rendelkezik

Az altartomány-átvételek gyakori, nagy súlyosságú fenyegetést jelentenek a szervezetek számára. Altartomány-átvétel akkor fordulhat elő, ha olyan DNS-rekordtal rendelkezik, amely egy leépült webhelyre mutat. Az ilyen DNS-rekordokat "dangling DNS" bejegyzésnek is nevezik. A CNAME rekordok különösen sebezhetők ezzel a fenyegetéssel szemben.

Az altartomány-átvételek lehetővé teszik, hogy a veszélyforrás-szereplők átirányítsák a szervezet tartományának szánt forgalmat egy rosszindulatú tevékenységet végző webhelyre.

Az Azure Defender for App Service mostantól észleli a dangling DNS-bejegyzéseket egy App Service-webhely leszerelésekor. Ez az a pillanat, amikor a DNS-bejegyzés egy nem létező erőforrásra mutat, és a webhely sebezhető egy altartomány-átvétellel szemben. Ezek a védelem akkor érhető el, ha tartományait az Azure DNS-sel vagy egy külső tartományregisztrálóval kezelik, és a Windows app Service-re és a Linuxon futó App Service-re is vonatkozik.

További információ:

A többfelhős összekötők általánosan elérhetőek (GA)

Ha a felhőbeli számítási feladatok általában több felhőplatformra is kiterjednek, a felhőbiztonsági szolgáltatásoknak is ugyanezt kell tenni.

Az Azure Security Center az Azure, az Amazon Web Services (AWS) és a Google Cloud Platform (GCP) számítási feladatait védi.

Csatlakozás AWS- vagy GCP-projektek integrálják natív biztonsági eszközeiket, például az AWS Security Hubot és a GCP Security Command Centert az Azure Security Centerbe.

Ez a képesség azt jelenti, hogy a Security Center láthatóságot és védelmet biztosít az összes főbb felhőkörnyezetben. Az integráció néhány előnye:

  • Automatikus ügynökkiépítés – A Security Center az Azure Arc használatával telepíti a Log Analytics-ügynököt az AWS-példányokon
  • Házirendkezelés
  • Biztonságirés-kezelés
  • Beágyazott végpontészlelés és -válasz (Végponti észlelés és reagálás)
  • Biztonsági konfigurációk észlelése
  • Egyetlen nézet, amely az összes felhőszolgáltató biztonsági javaslatait jeleníti meg
  • Az összes erőforrás beépítése a Security Center biztonsági pontszámának kiszámításába
  • Az AWS- és GCP-erőforrások szabályozási megfelelőségi értékelései

A Felhőhöz készült Defender menüjében válassza a Többfelhős összekötők lehetőséget, és láthatja az új összekötők létrehozásának lehetőségeit:

AWS-fiók hozzáadása gomb a Security Center többfelhős összekötők lapján

További információ:

Teljes javaslatok kivétele az előfizetések és felügyeleti csoportok biztonsági pontszáma alól

Kibővítjük a kivételi képességet, hogy teljes javaslatokat tartalmazzon. További lehetőségeket biztosít a Security Center által az előfizetésekhez, felügyeleti csoportokhoz vagy erőforrásokhoz készült biztonsági javaslatok finomhangolásához.

Előfordulhat, hogy egy erőforrás nem megfelelő állapotúként jelenik meg, ha tudja, hogy a problémát egy külső eszköz oldja meg, amelyet a Security Center nem észlelt. Vagy egy javaslat olyan hatókörben jelenik meg, amelyhez úgy érzi, hogy nem tartozik. Előfordulhat, hogy a javaslat nem megfelelő egy adott előfizetéshez. Vagy a szervezet úgy döntött, hogy elfogadja az adott erőforrással vagy javaslattal kapcsolatos kockázatokat.

Ezzel az előzetes verziós funkcióval mostantól létrehozhat egy kivételt a következő javaslatokhoz:

  • Mentesíthet egy erőforrást , hogy a jövőben ne szerepeljen a nem megfelelő állapotú erőforrások listájában, és ne befolyásolja a biztonsági pontszámot. Az erőforrás nem alkalmazhatóként jelenik meg, és az ok "kivételként" jelenik meg a választott indoklással.

  • Mentesíthet egy előfizetést vagy felügyeleti csoportot , hogy a javaslat ne befolyásolja a biztonságos pontszámot, és a jövőben ne jelenjen meg az előfizetés vagy a felügyeleti csoport számára. Ez a meglévő erőforrásokra és a jövőben létrehozott erőforrásokra vonatkozik. A javaslatot a kiválasztott hatókörhöz választott konkrét indoklással jelöli meg a rendszer.

További információ az erőforrások és javaslatok biztonságos pontszám alóli mentesítéséről.

A felhasználók mostantól bérlőszintű láthatóságot kérhetnek a globális rendszergazdától

Ha egy felhasználó nem rendelkezik engedélyekkel a Security Center adatainak megtekintéséhez, megjelenik egy hivatkozás, amely engedélyt kér a szervezet globális rendszergazdájától. A kérés tartalmazza a kívánt szerepkört és annak indoklását, hogy miért van szükség rá.

Szalagcím, amely tájékoztatja a felhasználót, hogy bérlői szintű engedélyeket kérhet.

További információ a Bérlői szintű engedélyek kérése című témakörben , ha az Ön engedélyei nem elegendőek.

35 előzetes verzióra vonatkozó javaslat az Azure Security Benchmark lefedettségének növeléséhez

Az Azure Security Center alapértelmezett szabályzatkezdeményezési kezdeményezése az Azure Security Benchmark .

A teljesítményteszt lefedettségének növelése érdekében a következő 35 előzetes verzióra vonatkozó javaslat került fel a Security Centerbe.

Tipp.

Az előzetes verziójú javaslatok nem teszik kifogástalanná az erőforrásokat, és nem szerepelnek a biztonságos pontszám számításaiban. Szervizelje őket, ahol csak lehetséges, hogy az előnézeti időszak végén hozzájáruljanak a pontszámhoz. További információ arról, hogyan válaszolhat ezekre a javaslatokra az Azure Security Center szervizelési javaslataiban.

Biztonsági vezérlő Új javaslatok
Titkosítás engedélyezése inaktív állapotban – Az Azure Cosmos DB-fiókoknak ügyfél által felügyelt kulcsokat kell használniuk az inaktív adatok titkosításához
– Az Azure Machine Tanulás munkaterületeket ügyfél által felügyelt kulccsal (CMK) kell titkosítani
- Saját kulcsú adatvédelem engedélyezése a MySQL-kiszolgálókon
– Saját kulcsú adatvédelem engedélyezése a PostgreSQL-kiszolgálókon
– Az Azure AI-szolgáltatások fiókjainak engedélyeznie kell az ügyfél által felügyelt kulccsal (CMK) történő adattitkosítást
– A tárolóregisztrációs adatbázisokat ügyfél által felügyelt kulccsal (CMK) kell titkosítani
– A felügyelt SQL-példányoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat
– Az SQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat
- A tárfiókoknak ügyfél által felügyelt kulcsot (CMK) kell használniuk a titkosításhoz
Ajánlott biztonsági eljárások alkalmazása - Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén
– A Log Analytics-ügynök automatikus kiépítését engedélyezni kell az előfizetésében
– Engedélyezni kell a nagy súlyosságú riasztások e-mailes értesítését
– Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén
– A kulcstartóknak engedélyezve kell lennie a kiürítés elleni védelemnek
– A kulcstartókban engedélyezve kell lennie a helyreállítható törlésnek
Hozzáférés és engedélyek kezelése - A függvényalkalmazásoknak engedélyezniük kell az "Ügyféltanúsítványok (bejövő ügyféltanúsítványok)" funkciót
Alkalmazások védelme DDoS-támadásokkal szemben – A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez
– Engedélyezni kell a webalkalmazási tűzfalat (WAF) az Azure Front Door Service szolgáltatásban
Jogosulatlan hálózati hozzáférés korlátozása – A tűzfalat engedélyezni kell a Key Vaultban
– A privát végpontot a Key Vaulthoz kell konfigurálni
– Az alkalmazáskonfigurációnak privát hivatkozást kell használnia
– Az Azure Cache for Redisnek egy virtuális hálózaton belül kell lennie
– Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk
– Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk
– Az Azure Machine Tanulás-munkaterületeknek privát kapcsolatot kell használniuk
– Az Azure SignalR szolgáltatásnak privát kapcsolatot kell használnia
– Az Azure Spring Cloudnak hálózati injektálást kell használnia
- A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést
- A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk
– A MariaDB-kiszolgálók nyilvános hálózati hozzáférését le kell tiltani
– A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálókon
– A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálók esetében
- A tárfióknak privát kapcsolati kapcsolatot kell használnia
– A tárfiókok virtuális hálózati szabályokkal korlátozhatják a hálózati hozzáférést
– A VM Image Builder-sablonoknak privát hivatkozást kell használniuk

Kapcsolódó hivatkozások:

A javaslatok szűrt listája CSV-fájlba exportálható

2020 novemberében szűrőket adtunk hozzá a javaslatok oldalához (Javaslatok lista mostantól szűrőket is tartalmaz). Decemberben bővítettük ezeket a szűrőket (Javaslatok lapon új szűrők találhatók a környezethez, a súlyossághoz és az elérhető válaszokhoz).

Ezzel a bejelentéssel megváltoztatjuk a Letöltés CSV-re gomb viselkedését, hogy a CSV-exportálás csak a szűrt listában jelenleg megjelenő javaslatokat tartalmazza.

Az alábbi képen például láthatja, hogy a lista két javaslatra van szűrve. A létrehozott CSV-fájl tartalmazza a két javaslat által érintett összes erőforrás állapotadatait.

Szűrt javaslatok exportálása CSV-fájlba.

További információ az Azure Security Center biztonsági ajánlásairól.

A „Nem alkalmazható“ erőforrások mostantól „Megfelelő“ típusúként jelennek meg az Azure Policy-értékelésekben

Korábban a javaslatra kiértékelt és nem alkalmazható erőforrások "Nem megfelelőként" jelentek meg az Azure Policy-ban. A felhasználói műveletek nem módosíthatják az állapotukat "Megfelelő" értékre. Ezzel a módosítással a rendszer "Megfelelőként" jelenti őket a jobb érthetőség érdekében.

Az egyetlen hatás az Azure Policyban jelenik meg, ahol a megfelelő erőforrások száma növekedni fog. Az Azure Security Centerben nincs hatással a biztonsági pontszámra.

Heti pillanatképeket készíthet a biztonsági pontszámról, és folyamatosan exportálhatja a jogszabályi megfeleléssel kapcsolatos adatokat (előzetes verzió)

Új előzetes verziójú funkciót adtunk hozzá a folyamatos exportálási eszközökhöz a biztonságos pontszám és a jogszabályi megfelelőségi adatok heti pillanatképeinek exportálásához.

Folyamatos exportálás definiálásakor állítsa be az exportálás gyakoriságát:

A folyamatos exportálás gyakoriságának kiválasztása.

  • Streamelés – az értékeléseket az erőforrás állapotának frissítésekor küldi el a rendszer (ha nem történik frissítés, nem küld adatokat).
  • Pillanatképek – a rendszer hetente küldi el az összes szabályozási megfelelőségi értékelés aktuális állapotának pillanatképét (ez egy előzetes funkció a biztonságos pontszámok és a jogszabályi megfelelőségi adatok heti pillanatképeihez).

További információ a funkció teljes képességeiről a Security Center adatainak folyamatos exportálásában.

2020. december

decemberi Frissítések a következők:

A gépeken futó SQL-kiszolgálókhoz készült Azure Defender általánosan elérhető

Az Azure Security Center két Azure Defender-csomagot kínál az SQL Serverekhez:

  • Azure Defender azure SQL-adatbáziskiszolgálókhoz – az Azure-natív SQL-kiszolgálók védelme
  • Azure Defender a gépeken futó SQL-kiszolgálókhoz – ugyanezt a védelmet nyújtja hibrid, többfelhős és helyszíni környezetekben lévő SQL-kiszolgálókra is

Ezzel a bejelentéssel az Azure Defender for SQL mostantól bárhol védi az adatbázisokat és azok adatait.

Az Azure Defender az SQL-hez biztonságirés-felmérési képességeket is tartalmaz. A biztonságirés-felmérési eszköz a következő speciális funkciókat tartalmazza:

  • Alapkonfiguráció (Új!) a biztonságirés-vizsgálatok eredményeinek intelligens finomításához olyanokra, amelyek valós biztonsági problémákat jelenthetnek. Miután létrehozta az alapkonfiguráció biztonsági állapotát, a biztonságirés-felmérési eszköz csak az alapállapottól való eltéréseket jelenti. Az alapkonfigurációnak megfelelő eredményeket a rendszer a következő vizsgálatoknak tekinti. Ez lehetővé teszi, hogy Ön és az elemzők arra összpontosítsanak, ahol fontos.
  • Részletes referenciaadatok a felderített eredmények és az erőforrásokhoz való viszonyuk okának megértéséhez .
  • Szervizelési szkriptek az azonosított kockázatok mérsékléséhez.

További információ az Sql-hez készült Azure Defenderről.

Általánosan elérhető az Azure Defender for SQL támogatása dedikált Azure Synapse Analytics SQL-készlethez

Az Azure Synapse Analytics (korábbi nevén SQL DW) egy olyan elemzési szolgáltatás, amely egyesíti a nagyvállalati adattárházakat és a big data elemzéseket. A dedikált SQL-készletek az Azure Synapse vállalati adattárház-funkciói. További információ: Mi az Azure Synapse Analytics (korábban SQL DW)?.

Az Azure Defender for SQL a következőkkel védi a dedikált SQL-készleteket:

  • Speciális veszélyforrások elleni védelem a fenyegetések és támadások észleléséhez
  • Biztonsági rések felmérése a biztonsági konfigurációk azonosítására és elhárítására

Az Azure Defender for SQL támogatása az Azure Synapse Analytics SQL-készleteihez automatikusan hozzáadódik az Azure SQL-adatbázisok kötegéhez az Azure Security Centerben. Az Azure Portal Synapse-munkaterület lapján egy új "Azure Defender for SQL" lap található.

További információ az Sql-hez készült Azure Defenderről.

A globális Rendszergazda istratorok mostantól bérlőszintű engedélyeket adhatnak maguknak

Előfordulhat, hogy egy globális Rendszergazda istrator Azure Active Directory-szerepkörrel rendelkező felhasználója bérlői szintű feladatokkal rendelkezik, de nem rendelkezik az Azure-beli engedélyekkel ahhoz, hogy megtekintse a szervezetre vonatkozó információkat az Azure Security Centerben.

Ha bérlői szintű engedélyeket szeretne hozzárendelni saját magahoz, kövesse a Bérlőszintű engedélyek megadása saját magának című témakör utasításait.

Két új Azure Defender-csomag: Azure Defender a DNS-hez és az Azure Defender for Resource Manager (előzetes verzióban)

Két új, natív felhőbeli fenyegetésvédelmi funkciót adtunk hozzá az Azure-környezethez.

Ezek az új védelem jelentősen növelik a fenyegetést jelentő szereplők támadásai elleni rugalmasságot, és jelentősen növelik az Azure Defender által védett Azure-erőforrások számát.

Új biztonsági riasztások lap az Azure Portalon (előzetes verzió)

Az Azure Security Center biztonsági riasztások lapja újra lett tervezve, hogy a következőt biztosítsa:

  • Továbbfejlesztett osztályozási felület a riasztásokhoz – a riasztások kimerültségének csökkentése és a leginkább releváns fenyegetésekre való összpontosítás megkönnyítése érdekében a lista testre szabható szűrőket és csoportosítási lehetőségeket tartalmaz
  • További információk a riasztások listájában – például MITRE ATT&ACK-taktikák
  • Mintariasztások létrehozásához szükséges gomb – az Azure Defender képességeinek kiértékeléséhez és a riasztások konfigurációjának teszteléséhez (SIEM-integráció, e-mail-értesítések és munkafolyamat-automatizálások esetén) mintariasztásokat hozhat létre az összes Azure Defender-csomagból
  • Igazodás az Azure Sentinel incidensélményéhez – a két terméket használó ügyfelek számára a váltás mostantól egyszerűbb, és könnyen elsajátítható az egyik a másiktól
  • Nagyobb riasztási listák jobb teljesítménye
  • Billentyűzet-navigáció a riasztások listájában
  • Az Azure Resource Graph riasztásai – a riasztásokat az Azure Resource Graphban, a Kusto-szerű API-ban kérdezheti le az összes erőforráshoz. Ez akkor is hasznos, ha saját riasztási irányítópultokat hoz létre. További információ az Azure Resource Graphról.

Az új felület eléréséhez használja a biztonsági riasztások lap tetején található szalagcím "próbálja ki most" hivatkozását.

Szalagcím az új előzetes verziójú riasztási felületre mutató hivatkozással.

Ha mintariasztásokat szeretne létrehozni az új riasztási felületről, tekintse meg a minta Azure Defender-riasztások létrehozását.

Újraéledt Security Center-élmény az Azure SQL Database és a felügyelt SQL-példányban

Az SQL Security Center felülete a következő Security Center- és Azure Defender-funkciókhoz biztosít hozzáférést:

  • Biztonsági javaslatok – A Security Center rendszeresen elemzi az összes csatlakoztatott Azure-erőforrás biztonsági állapotát a lehetséges biztonsági konfigurációk azonosítása érdekében. Ezután javaslatokat tesz a biztonsági rések elhárítására és a szervezetek biztonsági helyzetének javítására.
  • Biztonsági riasztások – olyan észlelési szolgáltatás, amely folyamatosan figyeli az Azure SQL-tevékenységeket olyan fenyegetések esetén, mint az SQL-injektálás, a találgatásos támadások és a jogosultságokkal való visszaélés. Ez a szolgáltatás részletes és műveletorientált biztonsági riasztásokat aktivál a Security Centerben, és lehetőséget biztosít a vizsgálatok folytatására az Azure Sentinel, a Microsoft natív Azure SIEM-megoldásával.
  • Eredmények – egy sebezhetőségi felmérési szolgáltatás, amely folyamatosan figyeli az Azure SQL-konfigurációkat, és segít a biztonsági rések elhárításában. Az értékelési vizsgálatok áttekintést nyújtanak az Azure SQL biztonsági állapotáról a részletes biztonsági megállapításokkal együtt.

Az Azure Security Center SQL-hez készült biztonsági funkciói az Azure SQL-ben érhetők el

Eszközleltár eszközei és szűrői frissítve

Az Azure Security Center leltárlapja a következő módosításokkal frissült:

  • Útmutatók és visszajelzések hozzáadva az eszköztárhoz. Ez megnyitja a kapcsolódó információkra és eszközökre mutató hivatkozásokat tartalmazó panelt.

  • Az előfizetések szűrő hozzáadva az erőforrásokhoz elérhető alapértelmezett szűrőkhöz.

  • Nyissa meg a lekérdezési hivatkozást az aktuális szűrőbeállítások Azure Resource Graph-lekérdezésként való megnyitásához (korábbi nevén "Megtekintés az erőforrás-gráfkezelőben").

  • Az egyes szűrők operátorbeállításai . Most már több logikai operátor közül választhat, mint a "=". Érdemes lehet például megkeresni az összes olyan aktív javaslattal rendelkező erőforrást, amelynek címe tartalmazza a "titkosítás" sztringet.

    Az eszközleltár szűrőinek operátorbeállításának vezérlői

További információ az erőforrások leltározással történő feltárásáról és kezeléséről.

Javaslat az SSL-tanúsítványokat kérő webalkalmazásokra, amelyek már nem részei a biztonsági pontszámnak

A "A webalkalmazásoknak SSL-tanúsítványt kell kérnie az összes bejövő kéréshez" javaslat a hozzáférés és engedélyek kezelése (legfeljebb 4 pontos) biztonsági ajánlott eljárások implementálására lett áthelyezve (ami nem ér pontot).

Annak biztosítása, hogy egy webalkalmazás tanúsítványt igényeljen, minden bizonnyal biztonságosabb lesz. A nyilvánosan elérhető webalkalmazások esetében azonban ez nem releváns. Ha HTTP-en keresztül éri el a webhelyet, és nem HTTPS-en keresztül, akkor nem kap ügyféltanúsítványt. Ezért ha az alkalmazás ügyféltanúsítványokat igényel, ne engedélyezze az alkalmazáshoz http-en keresztüli kéréseket. További információ a TLS kölcsönös hitelesítésének Azure-alkalmazás szolgáltatáshoz való konfigurálásához.

Ezzel a módosítással a javaslat mostantól ajánlott ajánlott eljárás, amely nem befolyásolja a pontszámot.

Megtudhatja, hogy mely javaslatok szerepelnek az egyes biztonsági vezérlőkben a biztonsági vezérlőkben és azok javaslataiban.

Javaslatok lap új szűrőkkel rendelkezik a környezethez, a súlyossághoz és az elérhető válaszokhoz

Az Azure Security Center figyeli az összes csatlakoztatott erőforrást, és biztonsági javaslatokat hoz létre. Ezekkel a javaslatokkal megerősítheti a hibrid felhő állapotát, és nyomon követheti a szervezet, az iparág és az ország/régió szempontjából releváns szabályzatoknak és szabványoknak való megfelelést.

Mivel a Security Center folyamatosan bővíti lefedettségét és funkcióit, a biztonsági javaslatok listája havonta növekszik. Lásd például az Azure Security Benchmark lefedettségének növeléséhez hozzáadott huszonkilenc előzetes verzióra vonatkozó javaslatot.

A növekvő listával szűrni kell a javaslatokat, hogy megtalálják a legnagyobb érdeklődésre számot tartókat. Novemberben szűrőket adtunk hozzá a javaslatok oldalához (lásd Javaslatok lista már tartalmaz szűrőket).

Az ebben a hónapban hozzáadott szűrők az alábbiak szerint pontosítják a javaslatok listáját:

  • Környezet – Javaslatok megtekintése az AWS-, GCP- vagy Azure-erőforrásokhoz (vagy bármely kombinációhoz)

  • Súlyosság – Javaslatok megtekintése a Security Center által beállított súlyossági besorolásnak megfelelően

  • Válaszműveletek – Javaslatok megtekintése a Security Center válaszbeállításainak rendelkezésre állása szerint: Javítás, Elutasítás és Kényszerítés

    Tipp.

    A válaszműveletek szűrője lecseréli az elérhető gyorsjavítási szűrőt (Igen/Nem).

    További információ az alábbi válaszlehetőségekről:

Javaslatok biztonsági vezérlő szerint csoportosítva.

A folyamatos exportálás új adattípusokat és továbbfejlesztett deployifnotexist szabályzatokat kap

Az Azure Security Center folyamatos exportálási eszközei lehetővé teszik a Security Center javaslatainak és riasztásainak exportálását a környezet más monitorozási eszközeivel való használatra.

A folyamatos exportálással teljes mértékben testre szabhatja, hogy mi lesz exportálva, és hová kerül. További részletekért lásd : Security Center-adatok folyamatos exportálása.

Ezeket az eszközöket a következő módokon bővítettük és bővítettük:

  • A folyamatos exportálás üzembe helyezési szabályzatai továbbfejlesztettek. A szabályzatok most:

    • Ellenőrizze, hogy engedélyezve van-e a konfiguráció. Ha nem, a szabályzat nem megfelelőként jelenik meg, és létrehoz egy megfelelő erőforrást. A folyamatos exportálás beállítása című témakör "Nagy léptékű üzembe helyezés az Azure Policyval" lapján további információt talál a megadott Azure Policy-sablonokról.

    • Biztonsági megállapítások exportálásának támogatása. Az Azure Policy-sablonok használatakor konfigurálhatja a folyamatos exportálást úgy, hogy az tartalmazza az eredményeket. Ez akkor fontos, ha olyan javaslatokat exportál, amelyek "al" javaslatokkal rendelkeznek, például a sebezhetőség-felmérési ellenőrzők eredményei vagy a "rendszerfrissítések telepítése a gépekre" "Szülő" javaslathoz tartozó speciális rendszerfrissítések esetében.

    • Támogatja a biztonságos pontszámadatok exportálását.

  • A jogszabályi megfelelőségértékelési adatok hozzáadva (előzetes verzióban). Mostantól folyamatosan exportálhatja a frissítéseket a szabályozási megfelelőségi értékelésekbe, beleértve az egyéni kezdeményezéseket is egy Log Analytics-munkaterületre vagy az Event Hubsba. Ez a funkció nemzeti felhőkben nem érhető el.

    A jogszabályi megfelelőségértékelési információk folyamatos exportálási adatokkal való beépítésének lehetőségei.

2020. november

novemberi Frissítések a következők:

29 előzetes verzióra vonatkozó javaslat az Azure Security Benchmark lefedettségének növeléséhez

Az Azure Security Benchmark a Microsoft által létrehozott, Azure-specifikus, a gyakori megfelelőségi keretrendszereken alapuló ajánlott biztonsági és megfelelőségi eljárásokra vonatkozó irányelvek készlete. További tudnivalók az Azure-biztonsági teljesítménytesztről.

Az alábbi 29 előzetes verzióra vonatkozó javaslatot hozzáadtuk a Security Centerhez, hogy növeljük a teljesítményteszt lefedettségét.

Az előzetes verziójú javaslatok nem teszik kifogástalanná az erőforrásokat, és nem szerepelnek a biztonságos pontszám számításaiban. Szervizelje őket, ahol csak lehetséges, hogy az előnézeti időszak végén hozzájáruljanak a pontszámhoz. További információ arról, hogyan válaszolhat ezekre a javaslatokra az Azure Security Center szervizelési javaslataiban.

Biztonsági vezérlő Új javaslatok
Átvitel alatt lévő adatok titkosítása – Engedélyezni kell az SSL-kapcsolatot a PostgreSQL-adatbáziskiszolgálók esetében
– Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbázis-kiszolgálókon
– A TLS-t frissíteni kell az API-alkalmazás legújabb verziójára
– A TLS-t frissíteni kell a függvényalkalmazás legújabb verziójára
– A TLS-t frissíteni kell a webalkalmazás legújabb verziójára
- FTPS-t kell használni az API-alkalmazásban
- FTPS-t kell használni a függvényalkalmazásban
- FTPS-t kell használni a webalkalmazásban
Hozzáférés és engedélyek kezelése – A webalkalmazásoknak SSL-tanúsítványt kell kérnie az összes bejövő kéréshez
– Felügyelt identitást kell használni az API-alkalmazásban
– Felügyelt identitást kell használni a függvényalkalmazásban
– A felügyelt identitást a webalkalmazásban kell használni
Jogosulatlan hálózati hozzáférés korlátozása - A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókhoz
- A privát végpontot engedélyezni kell MariaDB-kiszolgálókhoz
– A privát végpontot engedélyezni kell a MySQL-kiszolgálókon
Naplózás és naplózás engedélyezése – Engedélyezni kell a diagnosztikai naplókat az App Servicesben
Ajánlott biztonsági eljárások alkalmazása – Az Azure Backupot engedélyezni kell virtuális gépeken
– Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MariaDB-ben
– Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MySQL-ben
– Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for PostgreSQL-ben
- A PHP-t frissíteni kell az API-alkalmazás legújabb verziójára
- A PHP-t frissíteni kell a webalkalmazás legújabb verziójára
– A Java-t frissíteni kell az API-alkalmazás legújabb verziójára
– A Java-t frissíteni kell a függvényalkalmazás legújabb verziójára
– A Java-t frissíteni kell a webalkalmazás legújabb verziójára
– A Pythont frissíteni kell az API-alkalmazás legújabb verziójára
– A Pythont frissíteni kell a függvényalkalmazás legújabb verziójára
– A Pythont a webalkalmazás legújabb verziójára kell frissíteni
– Az SQL-kiszolgálók naplózási adatmegőrzését legalább 90 napra kell beállítani

Kapcsolódó hivatkozások:

NIST SP 800 171 R2 hozzáadva a Security Center szabályozási megfelelőségi irányítópultjára

Az NIST SP 800-171 R2 szabvány már beépített kezdeményezésként érhető el az Azure Security Center szabályozási megfelelőségi irányítópultjával való használatra. A vezérlők leképezéseit az NIST SP 800-171 R2 szabályozási megfelelőség beépített kezdeményezésének részletei ismertetik.

A szabvány előfizetésekre való alkalmazásához és a megfelelőségi állapot folyamatos figyeléséhez használja a szabványkészlet testreszabása a jogszabályi megfelelőségi irányítópulton található utasításait.

Az NIST SP 800 171 R2 szabvány a Security Center szabályozási megfelelőségi irányítópultján

A megfelelőségi szabványról további információt az NIST SP 800-171 R2-ben talál.

Javaslatok lista mostantól szűrőket is tartalmaz

Mostantól számos feltétel alapján szűrheti a biztonsági javaslatok listáját. Az alábbi példában a javaslatok listája szűrve jelenik meg a következő javaslatok megjelenítéséhez:

  • általánosan elérhetőek (azaz nem előzetes verzió)
  • tárfiókokhoz tartoznak
  • gyorsjavítások szervizelésének támogatása

Szűrők a javaslatok listájához.

Az automatikus fejlesztés élménye továbbfejlesztett és bővített

Az automatikus fejlesztés funkció segít csökkenteni a felügyeleti többletterhelést azáltal, hogy telepíti a szükséges bővítményeket az új - és meglévő - Azure-beli virtuális gépekre, hogy kihasználhassák a Security Center védelmét.

Az Azure Security Center növekedésével egyre több bővítményt fejlesztettek ki, és a Security Center nagyobb erőforrástípus-listát képes monitorozni. Az automatikus fejlesztési eszközök mostantól kibővültek más bővítmények és erőforrástípusok támogatásához az Azure Policy képességeinek kihasználásával.

Most már konfigurálhatja a következő automatikus üzembe helyezését:

  • Log Analytics-ügynök
  • (Új) Azure Policy a Kuberneteshez
  • (Új) Microsoft Függőségi ügynök

További információ az Azure Security Center ügynökeinek és bővítményeinek automatikus üzembe helyezéséről.

A biztonságos pontszám már elérhető a folyamatos exportálásban (előzetes verzió)

A biztonsági pontszám folyamatos exportálásával valós időben streamelheti a pontszám módosításait az Azure Event Hubsba vagy egy Log Analytics-munkaterületre. Ezt a képességet a következő célokra használhatja:

  • a biztonságos pontszám időbeli nyomon követése dinamikus jelentésekkel
  • biztonságos pontszámadatok exportálása az Azure Sentinelbe (vagy bármely más SIEM-be)
  • integrálhatja ezeket az adatokat minden olyan folyamattal, amellyel már figyelheti a biztonságos pontszámot a szervezetben

További információ a Security Center-adatok folyamatos exportálásáról.

"A rendszerfrissítéseket telepíteni kell a gépekre" javaslat mostantól alparancsokat is tartalmaz

A rendszerfrissítéseket telepíteni kell a gépekre , a javaslatot továbbfejlesztettük. Az új verzió minden hiányzó frissítéshez mellékparancsokat tartalmaz, és a következő fejlesztéseket hozza létre:

  • Újratervezett felület az Azure Portal Azure Security Center oldalain. A rendszerfrissítések javaslati részleteinek lapját telepíteni kell a gépekre , és tartalmazza az eredmények listáját az alább látható módon. Ha egyetlen találatot választ ki, a részletek panel megnyílik a szervizelési információkra mutató hivatkozással és az érintett erőforrások listájával.

    Nyissa meg az egyik alparancsot a portál felületén a frissített javaslathoz.

  • Bővített adatok az Azure Resource Graph (ARG) javaslatához. Az ARG egy Azure-szolgáltatás, amely hatékony erőforrás-feltárást biztosít. Az ARG használatával nagy léptékű lekérdezéseket végezhet egy adott előfizetéscsoportban, hogy hatékonyan szabályozhassa a környezetet.

    Az Azure Security Centerben az ARG és a Kusto lekérdezésnyelv (KQL) használatával számos biztonsági helyzetadatot kérdezhet le.

    Korábban, ha ezt a javaslatot az ARG-ben kérdezte, az egyetlen elérhető információ az volt, hogy a javaslatot egy gépen kell szervizelni. A továbbfejlesztett verzió következő lekérdezése minden hiányzó rendszerfrissítést gép szerint csoportosítva ad vissza.

    securityresources
| where type =~ "microsoft.security/assessments/subassessments"
| where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27"
| where properties.status.code == "Unhealthy"

Az Azure Portal szabályzatkezelési lapja mostantól megjeleníti az alapértelmezett szabályzat-hozzárendelések állapotát

Most már láthatja, hogy az előfizetéseihez van-e hozzárendelve az alapértelmezett Security Center-szabályzat, az Azure Portal Biztonsági központ biztonsági szabályzat lapján.

Az Azure Security Center szabályzatkezelési oldala, amelyen az alapértelmezett szabályzat-hozzárendelések láthatók.

Október 2020.

októberi Frissítések a következők:

Helyszíni és többfelhős gépek sebezhetőségi felmérése (előzetes verzió)

Az Azure Defender for Servers integrált biztonságirés-felmérési szkennere (a Qualys segítségével) mostantól az Azure Arc-kompatibilis kiszolgálókat vizsgálja.

Ha engedélyezte az Azure Arcot a nem Azure-beli gépeken, a Security Center felajánlja az integrált biztonságirés-ellenőrző manuális és nagy léptékű üzembe helyezését.

Ezzel a frissítéssel felszabadíthatja az Azure Defender for Servers erejét, hogy összevonja biztonságirés-kezelés programot az összes Azure- és nem Azure-eszközén.

Fő képességek:

  • A VA (sebezhetőségi felmérés) scanner kiépítési állapotának monitorozása az Azure Arc-gépeken
  • Az integrált VA-ügynök kiépítése nem védett Windows- és Linux Azure Arc-gépekre (manuálisan és nagy léptékben)
  • Az üzembe helyezett ügynökök által észlelt biztonsági rések fogadása és elemzése (manuálisan és nagy léptékben)
  • Egységes felület Azure-beli virtuális gépekhez és Azure Arc-gépekhez

További információ az integrált Qualys biztonságirés-ellenőrző hibrid gépeken való üzembe helyezéséről.

További információ az Azure Arc-kompatibilis kiszolgálókról.

Azure Firewall-javaslat hozzáadva (előzetes verzió)

A rendszer új javaslatot adott az összes virtuális hálózat védelmére az Azure Firewall használatával.

Az Azure Firewall által védett virtuális hálózatokra vonatkozó javaslat azt javasolja, hogy korlátozza a virtuális hálózatokhoz való hozzáférést, és az Azure Firewall használatával előzze meg a lehetséges fenyegetéseket.

További információ az Azure Firewallról.

Az engedélyezett IP-tartományokat a Kubernetes Services gyorsjavítással frissített javaslatában kell meghatározni

A javasolt engedélyezett IP-tartományokat meg kell határozni a Kubernetes Servicesben , és most már van egy gyorsjavítási lehetőség.

A javaslatról és az összes többi Security Center-javaslatról további információt a Biztonsági javaslatok – referencia-útmutató című témakörben talál.

Az engedélyezett IP-tartományokat a Kubernetes Services javaslatában kell meghatározni a gyorsjavítási lehetőséggel.

A jogszabályi megfelelőség irányítópultja mostantól a szabványok eltávolításának lehetőségét is tartalmazza

A Security Center szabályozási megfelelőségi irányítópultja betekintést nyújt a megfelelőségi helyzetbe az adott megfelelőségi vezérlők és követelmények teljesítése alapján.

Az irányítópult egy alapértelmezett szabályozási szabványkészletet tartalmaz. Ha a megadott szabványok bármelyike nem releváns a szervezet számára, ez most egy egyszerű folyamat, amely eltávolítja őket az előfizetés felhasználói felületéről. A szabványok csak az előfizetés szintjén távolíthatók el, a felügyeleti csoport hatóköre nem.

További információ: Standard eltávolítása az irányítópultról.

Microsoft.Security/securityStatuses tábla eltávolítva az Azure Resource Graphból (ARG)

Az Azure Resource Graph egy azure-beli szolgáltatás, amelynek célja, hogy hatékony erőforrás-feltárást biztosítson egy adott előfizetés-halmazra kiterjedő nagy léptékű lekérdezéssel, hogy hatékonyan szabályozhassa a környezetet.

Az Azure Security Centerben az ARG és a Kusto lekérdezésnyelv (KQL) használatával számos biztonsági helyzetadatot kérdezhet le. Példa:

  • Eszközleltár kihasználtsága (ARG)
  • Dokumentáltuk a többtényezős hitelesítés (MFA) engedélyezése nélküli fiókok azonosítására szolgáló ARG-minta lekérdezést

Az ARG-ben több adattáblát is használhat a lekérdezésekben.

Az Azure Resource Graph Explorer és az elérhető táblák.

Tipp.

Az ARG dokumentációja felsorolja az Azure Resource Graph táblában elérhető összes táblát és az erőforrástípus-referenciát.

Ebből a frissítésből a Microsoft.Security/securityStatuses tábla el lett távolítva. A securityStatuses API továbbra is elérhető.

Az adatcserét a Microsoft.Security/Assessments tábla használhatja.

A Microsoft.Security/securityStatuses és a Microsoft.Security/Assessments közötti fő különbség az, hogy míg az első az értékelések összesítését mutatja, a másodpercek mindegyike egyetlen rekordot tartalmaz.

A Microsoft.Security/securityStatuses például két policyAssessments tömböt tartalmazó eredményt ad vissza:

{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties:  {
    policyAssessments: [
        {assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
        {assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
    ],
    securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
    name: "GenericResourceHealthProperties",
    type: "VirtualNetwork",
    securitystate: "High"
}

Míg a Microsoft.Security/Assessments az alábbiak szerint tartja nyilván az egyes szabályzatértékeléseket:

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties:  {
    resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
    displayName: "Azure DDOS Protection should be enabled",
    status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
    resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
    displayName: "Audit diagnostic setting",
    status:  {code: "Unhealthy"}
}

Példa egy meglévő ARG-lekérdezés securityStatuses használatával történő átalakítására az értékelési tábla használatához:

SecurityStatusesre hivatkozó lekérdezés:

SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails

Csere lekérdezés az Assessments táblához:

securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData

További információ az alábbi hivatkozásokon:

2020. szeptember

szeptemberi Frissítések a következők:

A Security Center új megjelenést kap

Közzétettünk egy frissített felhasználói felületet a Security Center portáloldalaihoz. Az új lapok új áttekintő lapot és irányítópultokat tartalmaznak a biztonságos pontszámhoz, az eszközleltárhoz és az Azure Defenderhez.

Az újratervezett áttekintő oldal most már rendelkezik egy csempével a biztonságos pontszám, az eszközleltár és az Azure Defender-irányítópultok eléréséhez. Emellett a szabályozási megfelelőségi irányítópulthoz kapcsolódó csempével is rendelkezik.

További információ az áttekintési oldalról.

Megjelent az Azure Defender

Az Azure Defender a Security Centerbe integrált felhőbeli számítási feladatok védelmi platformja (CWPP) az Azure és a hibrid számítási feladatok speciális, intelligens védelméhez. A Security Center standard tarifacsomag-beállítását váltja fel.

Ha engedélyezi az Azure Defendert az Azure Security Center díjszabási és beállítási területén, a következő Defender-csomagok egyszerre vannak engedélyezve, és átfogó védelmet nyújtanak a környezet számítási, adat- és szolgáltatási rétegei számára:

Ezeket a terveket a Security Center dokumentációja külön ismerteti.

Dedikált irányítópultjával az Azure Defender biztonsági riasztásokat és speciális veszélyforrások elleni védelmet biztosít a virtuális gépekhez, SQL-adatbázisokhoz, tárolókhoz, webalkalmazásokhoz, a hálózathoz stb.

További információ az Azure Defenderről

Általánosan elérhető az Azure Defender for Key Vault

Az Azure Key Vault egy felhőalapú szolgáltatás, amely védi a titkosítási kulcsokat és titkos kulcsokat, például a tanúsítványokat, a kapcsolati sztring és a jelszavakat.

Az Azure Defender for Key Vault azure-natív, fejlett fenyegetésvédelmet biztosít az Azure Key Vaulthoz, amely további biztonságiintelligencia-réteget biztosít. Az Azure Defender for Key Vault ezen túl számos, a Key Vault-fióktól függő erőforrást véd.

Az opcionális csomag most már ga. Ez a funkció előzetes verzióban "speciális fenyegetésvédelem az Azure Key Vaulthoz" néven jelent meg.

Emellett az Azure Portal Key Vault-oldalai mostantól egy dedikált Biztonsági oldalt is tartalmaznak a Security Center ajánlásaihoz és riasztásaihoz.

További információ az Azure Defender for Key Vaultban.

Általánosan elérhető az Azure Defender for Storage-védelem a fájlokhoz és az ADLS Gen2-hez

Az Azure Defender for Storage potenciálisan káros tevékenységet észlel az Azure Storage-fiókokon. Az adatok védhetők, függetlenül attól, hogy blobtárolóként, fájlmegosztásként vagy adattóként vannak tárolva.

Általánosan elérhető az Azure Files és az Azure Data Lake Storage Gen2 támogatása.

2020. október 1-től megkezdjük a szolgáltatások erőforrásainak védelmét.

További információ az Azure Defender for Storage-ban.

Általánosan elérhetőek az eszközleltár-eszközök

Az Azure Security Center eszközleltárlapja egyetlen oldalt biztosít a Security Centerhez csatlakoztatott erőforrások biztonsági helyzetének megtekintéséhez.

A Security Center rendszeresen elemzi az Azure-erőforrások biztonsági állapotát a lehetséges biztonsági rések azonosítása érdekében. Ezután javaslatokat tesz a biztonsági rések elhárítására.

Ha bármely erőforrás rendelkezik kiemelkedő javaslatokkal, azok megjelennek a leltárban.

További információ az erőforrások eszközleltárral való feltárásában és kezelésében.

A tárolóregisztrációs adatbázisok és virtuális gépek vizsgálatához szükséges biztonsági rések adott megállapításának letiltása

Az Azure Defender biztonságirés-ellenőrzőket is tartalmaz az Azure Container Registryben és a virtuális gépeken található képek vizsgálatához.

Ha a cégnek figyelmen kívül kell hagynia egy találatot, és nem kell szervizelnie, akkor tetszés szerint letilthatja azt. A letiltott eredmények nem befolyásolják a biztonságos pontszámot, és nem okoznak nemkívánatos zajt.

Ha egy találat megfelel a letiltó szabályokban meghatározott feltételeknek, az nem jelenik meg a találatok listájában.

Ez a beállítás a következő javaslatok részleteinek oldalairól érhető el:

  • Az Azure Container Registry-rendszerképek biztonsági réseit orvosolni kell
  • A virtuális gépek biztonsági réseit orvosolni kell

További információ: A tárolólemezképek adott eredményeinek letiltása és a virtuális gépek adott eredményeinek letiltása.

Erőforrás kivonása egy javaslatból

Időnként előfordulhat, hogy egy erőforrás nem megfelelő állapotúként jelenik meg egy adott javaslattal kapcsolatban (és ezáltal csökkenti a biztonsági pontszámot), még akkor is, ha úgy érzi, hogy nem kellene. Lehet, hogy egy, a Security Center által nem nyomon követett folyamat javította. Vagy talán a szervezete úgy döntött, hogy elfogadja az adott erőforrás kockázatát.

Ilyen esetekben létrehozhat egy kivételi szabályt, és gondoskodhat arról, hogy az erőforrás a jövőben ne szerepelhessen a nem megfelelő állapotú erőforrások között. Ezek a szabályok az alábbiak szerint dokumentált indoklásokat is tartalmazhatnak.

További információ: Erőforrás kivétele a javaslatok és a biztonságos pontszám alól.

A Security Center AWS- és GCP-összekötői többfelhős élményt nyújtanak

Ha a felhőbeli számítási feladatok általában több felhőplatformra is kiterjednek, a felhőbiztonsági szolgáltatásoknak is ugyanezt kell tenni.

Az Azure Security Center mostantól az Azure, az Amazon Web Services (AWS) és a Google Cloud Platform (GCP) számítási feladatait védi.

Amikor AWS- és GCP-projekteket készít a Security Centerbe, az integrálja az AWS Security Hubot, a GCP Security Commandot és az Azure Security Centert.

További információ az AWS-fiókok Azure Security Centerbe való Csatlakozás és a GCP-projektek Azure Security Centerbe való Csatlakozás.

A Kubernetes számítási feladatvédelmi javaslatcsomagja

Annak biztosítása érdekében, hogy a Kubernetes számítási feladatai alapértelmezés szerint biztonságosak legyenek, a Security Center kubernetes szintű keményítési javaslatokat ad hozzá, beleértve a Kubernetes-hozzáférés-vezérlés kényszerítési lehetőségeit is.

Amikor telepítette az Azure Policy for Kubernetes-t az AKS-fürtön, a Kubernetes API-kiszolgálóra irányuló összes kérést a rendszer az előre meghatározott ajánlott eljárások alapján figyeli, mielőtt a fürtben megmarad. Ezután konfigurálhatja az ajánlott eljárások kikényszerítését, és megbízhatja őket a jövőbeli számítási feladatokhoz.

Megadhatja például, hogy a kiemelt tárolók ne legyenek létrehozva, és az erre vonatkozó jövőbeli kérések le lesznek tiltva.

További információ a Számítási feladatok védelmének ajánlott eljárásairól a Kubernetes-hozzáférés-vezérlés használatával.

A sebezhetőségi felmérés eredményei már elérhetők a folyamatos exportálásban

Folyamatos exportálással streamelheti riasztásait és javaslatait az Azure Event Hubsba, a Log Analytics-munkaterületekre vagy az Azure Monitorba. Innen integrálhatja ezeket az adatokat az SIEM-ekkel (például az Azure Sentinelrel, a Power BI-val, az Azure Data Explorerrel stb.).

A Security Center integrált biztonságirés-felmérési eszközei a "szülő" javaslatban végrehajtható javaslatokként ad vissza eredményeket az erőforrásokról, például "A virtuális gépek biztonsági réseit orvosolni kell".

A biztonsági megállapítások mostantól folyamatos exportálással exportálhatóak, amikor javaslatokat választ, és engedélyezi a biztonsági megállapítások belefoglalását .

Adja meg a biztonsági megállapítások váltását a folyamatos exportálási konfigurációban.

Kapcsolódó lapok:

A biztonsági helytelen konfigurációk megakadályozása új erőforrások létrehozásakor a javaslatok kikényszerítésével

A biztonsági hibák a biztonsági incidensek fő okai. A Security Center mostantól képes megelőzni az új erőforrások adott javaslatokra vonatkozó helytelen konfigurálását.

Ez a funkció segít a számítási feladatok biztonságának megőrzésében és a biztonságos pontszám stabilizálásában.

A biztonságos konfigurációt egy adott javaslat alapján két módban kényszerítheti ki:

  • Az Azure Policy megtagadási hatásával megakadályozhatja a nem megfelelő erőforrások létrehozását

  • A Kényszerítés lehetőséggel kihasználhatja az Azure Policy DeployIfNotExist hatását, és automatikusan szervizelheti a nem megfelelő erőforrásokat a létrehozáskor

Ez a kiválasztott biztonsági javaslatokhoz érhető el, és az erőforrás részletei lap tetején található.

További információ: Helytelen konfigurációk megakadályozása kényszerítési/megtagadási javaslatokkal.

Javultak a hálózati biztonsági csoportokra vonatkozó javaslatok

A következő, hálózati biztonsági csoportokkal kapcsolatos biztonsági ajánlásokat továbbfejlesztettük, hogy csökkentsük a hamis pozitív esetek egy részét.

  • A virtuális géphez társított NSG-n minden hálózati portot korlátozni kell
  • A felügyeleti portokat be kell zárni a virtuális gépeken
  • Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni
  • Az alhálózatokat hálózati biztonsági csoporthoz kell rendelni

Elavult előzetes verziójú AKS-javaslat: "Pod biztonsági szabályzatokat kell definiálni a Kubernetes Servicesben"

A "Pod biztonsági szabályzatokat kell definiálni a Kubernetes-szolgáltatásokban" című előzetes javaslat elavult az Azure Kubernetes Service dokumentációjában leírtak szerint.

A pod biztonsági szabályzat (előzetes verzió) funkciója elavult, és 2020. október 15. után már nem lesz elérhető az Azure Policy for AKS javára.

Miután a pod biztonsági szabályzata (előzetes verzió) elavult, le kell tiltania a funkciót bármely meglévő fürtön az elavult funkcióval a jövőbeli fürtfrissítések végrehajtásához és a Azure-támogatás belül maradásához.

Továbbfejlesztettük az Azure Security Centerből érkező e-mail-értesítéseket

A biztonsági riasztásokkal kapcsolatos e-mailek alábbi területei javultak:

  • Lehetővé tette e-mail értesítések küldését az összes súlyossági szint riasztásairól
  • Lehetővé tette a különböző Azure-szerepkörökkel rendelkező felhasználók értesítését az előfizetésben
  • Alapértelmezés szerint proaktív módon értesítjük az előfizetéstulajdonosokat a nagy súlyosságú riasztásokról (amelyek nagy valószínűséggel valódi jogsértések)
  • Eltávolítottuk a telefonszám mezőt az e-mail-értesítések konfigurációs oldaláról

További információ: E-mail-értesítések beállítása biztonsági riasztásokhoz.

A biztonságos pontszám nem tartalmaz előzetes verzióra vonatkozó javaslatokat

A Security Center folyamatosan vizsgálja az erőforrásait, az előfizetéseit és a szervezetét, és biztonsági problémákat keres. Ezután az összes megállapítást egyetlen pontszámba összesíti, így egy pillantással megállapíthatja az aktuális biztonsági helyzetet: minél magasabb a pontszám, annál alacsonyabb az azonosított kockázati szint.

Az új fenyegetések felderítése során új biztonsági tanácsok érhetők el a Security Centerben új javaslatokon keresztül. A biztonsági pontszám meglepetésének elkerülése érdekében, valamint egy türelmi időszak biztosítása érdekében, amely során új javaslatokat vizsgálhat meg, mielőtt azok hatással lennének a pontszámokra, az előzetes verzióként megjelölt javaslatok már nem szerepelnek a biztonságos pontszám számításaiban. A javítást továbbra is ott kell elvégezni, ahol csak lehetséges, hogy az előzetes verziójú időszak végén hozzájáruljanak a pontszámhoz.

Emellett az előzetes verzióra vonatkozó javaslatok nem jelenítik meg a "Nem kifogástalan" erőforrást.

Példa egy előzetes verzióra vonatkozó javaslatra:

Javaslat az előnézeti jelzővel.

További információ a biztonságos pontszámról.

Javaslatok most már tartalmazza a súlyossági mutatót és a frissességi időközt

A javaslatok részletes lapja mostantól tartalmaz egy frissességi intervallum jelzőt (ha releváns), és a javaslat súlyosságának egyértelmű megjelenítését.

A frissességet és a súlyosságot mutató javaslatoldal.

2020. augusztus

Frissítések augusztusban a következőket tartalmazza:

Objektumleltár – hatékony új nézet az objektumok biztonsági állapotáról

A Security Center eszközleltára (jelenleg előzetes verzióban) lehetővé teszi a Security Centerhez csatlakoztatott erőforrások biztonsági helyzetének megtekintését.

A Security Center rendszeresen elemzi az Azure-erőforrások biztonsági állapotát a lehetséges biztonsági rések azonosítása érdekében. Ezután javaslatokat tesz a biztonsági rések elhárítására. Ha bármely erőforrás rendelkezik kiemelkedő javaslatokkal, azok megjelennek a leltárban.

A nézet és szűrői segítségével feltárhatja a biztonsági helyzet adatait, és további műveleteket végezhet az eredmények alapján.

További információ az eszközleltárról.

Az Azure Active Directory biztonsági alapértelmezett beállításainak támogatása (többtényezős hitelesítéshez)

A Security Center teljes mértékben támogatja a Biztonsági alapértékeket, a Microsoft ingyenes identitásbiztonsági védelmét.

A biztonsági alapértelmezések előre konfigurált identitásbiztonsági beállításokat biztosítanak, hogy megvédjék a szervezetet a gyakori identitással kapcsolatos támadásoktól. Az alapértelmezett biztonsági beállítások már több mint 5 millió bérlőt védenek; A Security Center 50 000 bérlőt is véd.

A Security Center mostantól biztonsági javaslatot tesz, ha azonosít egy Azure-előfizetést, és nincs engedélyezve az alapértelmezett biztonsági beállítások használata. Eddig a Security Center azt javasolta, hogy engedélyezze a többtényezős hitelesítést feltételes hozzáféréssel, amely része az Azure Active Directory (AD) prémium licencének. Az Ingyenes Azure AD-t használó ügyfelek számára most a biztonsági alapértékek engedélyezését javasoljuk.

Célunk, hogy több ügyfelet bátorítsunk a felhőkörnyezetek MFA-val való védelmére, és mérsékeljük az egyik legnagyobb kockázatot, amely a biztonságos pontszámra is a leghatásosabb.

További információ a biztonsági alapértékekről.

Szolgáltatásnév-javaslatok jelentek meg

Új javaslat érkezett, amely azt javasolja, hogy a Security Center-ügyfelek felügyeleti tanúsítványokkal kezeljék az előfizetéseiket, és válthassanak szolgáltatásnevekre.

A felügyeleti tanúsítványok helyett az előfizetések védelmére szolgáló szolgáltatásnevekre vonatkozó javaslat azt javasolja, hogy a szolgáltatásnevek vagy az Azure Resource Manager használatával biztonságosabban kezelje az előfizetéseket.

További információ az Azure Active Directory alkalmazás- és szolgáltatásnév-objektumairól.

Biztonsági rések felmérése a virtuális gépeken – javaslatok és szabályzatok összevonva

A Security Center megvizsgálja a virtuális gépeket annak észlelésére, hogy biztonságirés-felmérési megoldást futtatnak-e. Ha nem található biztonságirés-felmérési megoldás, a Security Center javaslatot tesz az üzembe helyezés egyszerűsítésére.

Ha biztonsági réseket talál, a Security Center javaslatot tesz az eredmények összegzésére, hogy szükség esetén vizsgálja meg és orvosolja azokat.

Annak érdekében, hogy az összes felhasználó egységes felhasználói élményt biztosíthasson, függetlenül attól, hogy milyen típusú szkennert használ, négy javaslatot egyesítettünk a következő kettőbe:

Egységesített javaslat Módosítás leírása
A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken A következő két javaslatot váltja fel:
A beépített sebezhetőségi felmérési megoldás engedélyezése virtuális gépeken (a Qualys által üzemeltetett (most elavult) (a standard szint része)
A biztonságirés-felmérési megoldást telepíteni kell a virtuális gépekre (most elavult) (standard és ingyenes szintek)
A virtuális gépek biztonsági réseit orvosolni kell A következő két javaslatot váltja fel:
A (Qualys által üzemeltetett) virtuális gépeken talált biztonsági rések elhárítása (most elavult)
A biztonsági réseket egy sebezhetőségi felmérési megoldásnak kell kijavítani (most elavult)

Most ugyanezt a javaslatot fogja használni a Security Center sebezhetőségi felmérési bővítményének vagy egy privát licenccel rendelkező megoldás ("BYOL") üzembe helyezéséhez egy olyan partnertől, mint a Qualys vagy a Rapid 7.

Ha biztonsági réseket talál, és jelentést tesz a Security Centernek, egyetlen javaslat figyelmezteti az eredményekre, függetlenül attól, hogy milyen sebezhetőségi felmérési megoldás azonosította őket.

Függőségek frissítése

Ha szkriptek, lekérdezések vagy automatizálások hivatkoznak az előző javaslatokra vagy szabályzatkulcsokra/nevekre, az alábbi táblázatokkal frissítheti a hivatkozásokat:

2020 augusztusa előtt
Ajánlás Hatókör
A beépített sebezhetőségi felmérési megoldás engedélyezése virtuális gépeken (a Qualys segítségével)
Kulcs: 550e890b-e652-4d22-8274-60b3bdb24c63		 Beépítve
A (Qualys által működtetett) virtuális gépeken talált biztonsági rések elhárítása
Kulcs: 1195afff-c881-495e-9bc5-1486211ae03f		 Beépítve
A biztonságirés-felmérési megoldást telepíteni kell a virtuális gépekre
Kulcs: 01b1ed4c-b733-4fee-b145-f23236e70cf3		 saját;licenc;használata;BYOL
A biztonsági réseket egy sebezhetőségi felmérési megoldásnak kell elhárítania
Kulcs: 71992a2a-d168-42e0-b10e-6b45fa2ecddb		 saját;licenc;használata;BYOL
Szabályzat Hatókör
A sebezhetőségi felmérést engedélyezni kell a virtuális gépeken
Szabályzatazonosító: 501541f7-f7e7-4cd6-868c-4190fdad3ac9		 Beépítve
A biztonsági réseket egy sebezhetőségi felmérési megoldásnak kell orvosolnia
Házirend azonosítója: 760a85ff-6162-42b3-8d70-698e268f648c		 saját;licenc;használata;BYOL
2020 augusztusától
Ajánlás Hatókör
A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken
Kulcs: ffff0522-1e88-47fc-8382-2a80ba848f5d		 Beépített + BYOL
A virtuális gépek biztonsági réseit orvosolni kell
Kulcs: 1195afff-c881-495e-9bc5-1486211ae03f		 Beépített + BYOL
Szabályzat Hatókör
A sebezhetőségi felmérést engedélyezni kell a virtuális gépeken
Szabályzatazonosító: 501541f7-f7e7-4cd6-868c-4190fdad3ac9		 Beépített + BYOL

Az AKS új biztonsági szabályzatai érhető el az ASC_default kezdeményezéshez – csak a privát előzetes verzió ügyfelei számára

Annak érdekében, hogy a Kubernetes számítási feladatai alapértelmezés szerint biztonságosak legyenek, a Security Center Kubernetes szintű szabályzatokat és korlátozási javaslatokat ad hozzá, beleértve a Kubernetes-hozzáférés-vezérlés kényszerítési lehetőségeit is.

A projekt korai szakasza magában foglalja a privát előzetes verziót, valamint új (alapértelmezés szerint letiltott) szabályzatok hozzáadását a ASC_default kezdeményezéshez.

Ezeket a szabályzatokat nyugodtan figyelmen kívül hagyhatja, és nem lesz hatással a környezetre. Ha engedélyezni szeretné őket, regisztráljon az előzetes verzióra a Microsoft Cloud Security Privát Közösségen keresztül, és válasszon az alábbi lehetőségek közül:

  1. Egyetlen előzetes verzió – Csak ehhez a privát előzetes verzióhoz való csatlakozáshoz. Kifejezetten említse meg az "ASC Folyamatos vizsgálat" lehetőséget a csatlakozni kívánt előzetes verzióként.
  2. Folyamatban lévő program – Hozzá kell adni ehhez és a jövőbeni privát előzetesekhez. Ki kell töltenie egy profilt és egy adatvédelmi szerződést.

2020. július

júliusi Frissítések a következők:

A virtuális gépek sebezhetőségi felmérése elérhető nem piactéri rendszerképekhez

A biztonságirés-felmérési megoldás üzembe helyezésekor a Security Center korábban ellenőrzést végzett az üzembe helyezés előtt. Az ellenőrzés a cél virtuális gép piactéri termékváltozatának megerősítése volt.

Ebből a frissítésből a rendszer eltávolítja az ellenőrzést, és mostantól üzembe helyezhet sebezhetőségi felmérési eszközöket az "egyéni" Windows- és Linux-gépeken. Az egyéni rendszerképek azok, amelyeket a piactér alapértelmezései alapján módosított.

Bár az integrált biztonságirés-felmérési bővítményt (a Qualys által üzemeltetett) már több gépen is üzembe helyezheti, a támogatás csak akkor érhető el, ha az integrált biztonságirés-ellenőrző központi telepítése standard szintű virtuális gépekre című cikkben felsorolt operációs rendszert használ

További információ a virtuális gépek integrált biztonságirés-ellenőrzőjéről (azure Defendert igényel).

További információ a saját, privát licenccel rendelkező sebezhetőségi felmérési megoldásáról a Qualysból vagy a Rapid7-ből a partneri biztonságirés-ellenőrző megoldás üzembe helyezésében.

Az Azure Storage veszélyforrások elleni védelme kibővült az Azure Filesra és az Azure Data Lake Storage Gen2-re (előzetes verzió)

Az Azure Storage veszélyforrások elleni védelme potenciálisan káros tevékenységeket észlel az Azure Storage-fiókokon. A Security Center riasztásokat jelenít meg, amikor észleli a tárfiókok elérésére vagy kihasználására tett kísérleteket.

Az adatok védhetők, függetlenül attól, hogy blobtárolóként, fájlmegosztásként vagy adattóként vannak tárolva.

Nyolc új javaslat a veszélyforrások elleni védelem funkcióinak engedélyezéséhez

Nyolc új javaslattal bővült az Azure Security Center fenyegetésvédelmi funkcióinak egyszerű engedélyezése a következő erőforrástípusokhoz: virtuális gépek, App Service-csomagok, Azure SQL Database-kiszolgálók, GÉPEK SQL-kiszolgálói, Azure Storage-fiókok, Azure Kubernetes Service-fürtök, Azure Container Registry-adatbázisok és Azure Key Vault-tárolók.

Az új javaslatok a következők:

  • A speciális adatbiztonságot engedélyezni kell az Azure SQL Database-kiszolgálókon
  • A speciális adatbiztonságot engedélyezni kell a gépeken futó SQL-kiszolgálókon
  • A komplex veszélyforrások elleni védelmet engedélyezni kell Azure-alkalmazás szolgáltatáscsomagokon
  • A fokozott veszélyforrások elleni védelmet engedélyezni kell az Azure Container Registry-adatbázisokban
  • A komplex veszélyforrások elleni védelmet engedélyezni kell az Azure Key Vault-tárolókban
  • A komplex veszélyforrások elleni védelmet engedélyezni kell az Azure Kubernetes Service-fürtökön
  • A fokozott veszélyforrások elleni védelmet engedélyezni kell az Azure Storage-fiókokban
  • A fokozott veszélyforrások elleni védelmet engedélyezni kell a virtuális gépeken

Ezek az új javaslatok az Azure Defender biztonsági vezérlőjének engedélyezéséhez tartoznak.

A javaslatok közé tartozik a gyorsjavítási funkció is.

Fontos

Ezen javaslatok bármelyikének szervizelése a megfelelő erőforrások védelmének díjával jár. Ezek a díjak azonnal megkezdődik, ha az aktuális előfizetéshez kapcsolódó erőforrásokkal rendelkezik. Vagy a jövőben, ha később adja hozzá őket.

Ha például nem rendelkezik Azure Kubernetes Service-fürtökkel az előfizetésében, és engedélyezi a fenyegetésvédelmet, a rendszer nem számít fel díjat. Ha a jövőben ugyanahhoz az előfizetéshez ad hozzá fürtöt, az automatikusan védett lesz, és a díjak ekkor kezdődnek.

Ezekről a biztonsági javaslatok referenciaoldalán tudhat meg többet.

További információ az Azure Security Center veszélyforrások elleni védelméről.

Tárolóbiztonsági továbbfejlesztések – a beállításjegyzék gyorsabb vizsgálata és frissített dokumentáció

A tárolóbiztonsági területen végzett folyamatos beruházások részeként örömmel osztunk meg jelentős teljesítménybeli javulást a Security Center Azure Container Registryben tárolt tárolórendszerképek dinamikus vizsgálatában. A vizsgálatok általában körülbelül két perc alatt befejeződnek. Bizonyos esetekben akár 15 percet is igénybe vehet.

Az Azure Security Center tárolóbiztonsági képességeivel kapcsolatos egyértelműség és útmutatás javítása érdekében frissítettük a tárolóbiztonsági dokumentáció oldalait is.

További információ a Security Center tárolóbiztonságáról az alábbi cikkekben:

Az adaptív alkalmazásvezérlés új javaslattal frissült, és támogatja a helyettesítő karaktereket az elérésiút-szabályokban

Az adaptív alkalmazásvezérlő funkció két jelentős frissítést kapott:

  • Egy új javaslat azonosítja a korábban nem engedélyezett, potenciálisan jogszerű viselkedést. Az adaptív alkalmazásvezérlési szabályzat engedélyezési listára vonatkozó új szabályait frissíteni kell, és kéri, hogy adjon hozzá új szabályokat a meglévő szabályzathoz, hogy csökkentse az adaptív alkalmazásvezérlők szabálysértési riasztásainak hamis pozitívjainak számát.

  • Az elérésiút-szabályok mostantól támogatják a helyettesítő karaktereket. Ebből a frissítésből helyettesítő karakterekkel konfigurálhatja az engedélyezett elérésiút-szabályokat. Két támogatott forgatókönyv létezik:

    • Az elérési út végén egy helyettesítő karakter használatával engedélyezheti az összes végrehajtható fájlt ebben a mappában és almappában.

    • Helyettesítő karakter használata az elérési út közepén egy változó mappanévvel rendelkező ismert végrehajtható név engedélyezéséhez (például személyes felhasználói mappák egy ismert végrehajtható, automatikusan létrehozott mappanévvel stb.).

További információ az adaptív alkalmazásvezérlőkről.

Hat szabályzatot kivontunk az SQL speciális adatbiztonságánál

Az SQL-gépek fejlett adatbiztonságával kapcsolatos hat szabályzat elavult:

  • A speciális fenyegetésvédelmi típusokat "All" értékre kell állítani a felügyelt SQL-példány speciális adatbiztonsági beállításaiban
  • Az SQL Server speciális adatbiztonsági beállításaiban a speciális veszélyforrások elleni védelem típusait "All" értékre kell állítani
  • A felügyelt SQL-példány speciális adatbiztonsági beállításainak tartalmazniuk kell egy e-mail-címet a biztonsági riasztások fogadásához
  • Az SQL Server speciális adatbiztonsági beállításainak tartalmazniuk kell egy e-mail-címet a biztonsági riasztások fogadásához
  • A rendszergazdáknak és az előfizetés-tulajdonosoknak címzett e-mail-értesítéseket engedélyezni kell a felügyelt SQL-példány speciális adatbiztonsági beállításaiban
  • Az SQL-kiszolgáló speciális adatbiztonsági beállításainál engedélyezni ajánlott a rendszergazdáknak és az előfizetések tulajdonosainak szóló e-mailes értesítéseket

További információ a beépített szabályzatokról.

2020. június

júniusi Frissítések a következők:

Biztonságos pontszám API (előzetes verzió)

Most már elérheti a pontszámot a biztonságos pontszám API-n keresztül (jelenleg előzetes verzióban). Az API-metódusok rugalmasságot biztosítanak az adatok lekérdezéséhez és a biztonságos pontszámok saját jelentéskészítési mechanizmusának elkészítéséhez. A Secure Scores API-val például lekérheti egy adott előfizetés pontszámát. Emellett a Secure Score Controls API-val listázhatja a biztonsági vezérlőket és az előfizetések aktuális pontszámát.

A biztonságos pontszám API-val lehetővé tett külső eszközök példáiért tekintse meg a GitHub-közösség biztonságos pontszámi területét.

További információ a biztonsági pontszámokról és a biztonsági vezérlőkről az Azure Security Centerben.

Speciális adatbiztonság SQL-gépekhez (Azure, más felhők és helyszíni) (előzetes verzió)

Az Azure Security Center fejlett adatbiztonsága az SQL-gépekhez mostantól védi az Azure-ban, más felhőkörnyezetekben és még a helyszíni gépeken üzemeltetett SQL Servereket is. Ez kibővíti az Azure-natív SQL-kiszolgálók védelmét a hibrid környezetek teljes körű támogatásához.

A fejlett adatbiztonság sebezhetőségi felmérést és fejlett veszélyforrások elleni védelmet biztosít az SQL-gépek számára, bárhol is legyenek.

A beállítás két lépésből áll:

  1. A Log Analytics-ügynök üzembe helyezése az SQL Server gazdagépén, hogy biztosítsa a kapcsolatot az Azure-fiókkal.

  2. Az opcionális csomag engedélyezése a Security Center díjszabási és beállítási lapján.

További információ az SQL-gépek fejlett adatbiztonságáról.

Két új javaslat a Log Analytics-ügynök Azure Arc-gépeken való üzembe helyezésére (előzetes verzió)

Két új javaslattal bővült a Log Analytics-ügynök azure Arc-gépeken való üzembe helyezésének és az Azure Security Center által biztosított védelmének biztosítása:

  • A Log Analytics-ügynököt telepíteni kell a Windows-alapú Azure Arc-gépekre (előzetes verzió)
  • A Log Analytics-ügynököt telepíteni kell a Linux-alapú Azure Arc-gépekre (előzetes verzió)

Ezek az új javaslatok ugyanabban a négy biztonsági vezérlőben jelennek meg, mint a meglévő (kapcsolódó) javaslat, a monitorozási ügynököt telepíteni kell a gépekre: a biztonsági konfigurációk szervizelését, az adaptív alkalmazásvezérlés alkalmazását, a rendszerfrissítések alkalmazását és a végpontvédelem engedélyezését.

A javaslatok közé tartozik a gyorsjavítási funkció is, amely felgyorsítja az üzembe helyezési folyamatot.

Tudjon meg többet erről a két új javaslatról a Számítási és alkalmazásjavaslatok táblában.

További információ arról, hogy az Azure Security Center hogyan használja az ügynököt a Mi a Log Analytics-ügynök?

További információ az Azure Arc-gépek bővítményeiről.

Új szabályzatok a folyamatos exportálási és munkafolyamat-automatizálási konfigurációk nagy léptékű létrehozásához

A szervezet monitorozási és incidenskezelési folyamatainak automatizálása jelentősen javíthatja a biztonsági incidensek kivizsgálásához és enyhítéséhez szükséges időt.

Az automatizálási konfigurációk szervezeten belüli üzembe helyezéséhez használja az alábbi beépített "DeployIfdNotExist" Azure-szabályzatokat a folyamatos exportálási és munkafolyamat-automatizálási eljárások létrehozásához és konfigurálásához:

A szabályzatdefiníciók az Azure Policyban találhatók:

Cél Szabályzat Szabályzat azonosítója
Folyamatos exportálás az Event Hubsba Exportálás üzembe helyezése az Event Hubsba az Azure Security Centerhez készült riasztásokhoz és javaslatokhoz cdfcce10-4578-4ecd-9703-530938e4abcb
Folyamatos exportálás a Log Analytics-munkaterületre Az Azure Security Center-riasztások és -javaslatok Log Analytics-munkaterületre való exportálásának üzembe helyezése ffb6f416-7bd2-4488-8828-56585fef2be9
Munkafolyamat-automatizálás biztonsági riasztásokhoz Azure Security Center-riasztásokat automatizáló munkafolyamat üzembe helyezése f1525828-9a90-4fcf-be48-268cdd02361e
Munkafolyamat-automatizálás biztonsági javaslatokhoz Azure Security Center-javaslatokat automatizáló munkafolyamat üzembe helyezése 73d6ab6c-2475-4850-afd6-43795f3492ef

A munkafolyamat-automatizálási sablonok használatának első lépései.

További információ a két exportálási szabályzat használatáról a munkafolyamat-automatizálás nagy méretekben való konfigurálásához a megadott szabályzatok használatával és a folyamatos exportálás beállításával.

Új javaslat az NSG-k használatára a nem internetkapcsolattal rendelkező virtuális gépek védelmére

A "biztonsági ajánlott eljárások implementálása" biztonsági vezérlő mostantól a következő új javaslatot tartalmazza:

  • A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni

Egy meglévő javaslat szerint az internetre néző virtuális gépeket hálózati biztonsági csoportokkal kell védeni, és nem kell különbséget tenni az internetkapcsolattal rendelkező és a nem internetkapcsolattal rendelkező virtuális gépek között. Mindkettő esetében nagy súlyosságú javaslat jött létre, ha egy virtuális gép nincs hálózati biztonsági csoporthoz rendelve. Ez az új javaslat elkülöníti a nem internetkapcsolattal rendelkező gépeket a hamis pozitív értékek csökkentése és a szükségtelen nagy súlyosságú riasztások elkerülése érdekében.

További információ a Hálózatjavaslatok táblában.

Új szabályzatok a veszélyforrások elleni védelem és a fokozott adatbiztonság engedélyezéséhez

Az alábbi új szabályzatdefiníciók hozzá lettek adva az ASC alapértelmezett kezdeményezéséhez, és úgy lettek kialakítva, hogy segítsenek a veszélyforrások elleni védelem vagy a fejlett adatbiztonság engedélyezésében a megfelelő erőforrástípusok számára.

A szabályzatdefiníciók az Azure Policyban találhatók:

Szabályzat Szabályzat azonosítója
A speciális adatbiztonságot engedélyezni kell az Azure SQL Database-kiszolgálókon 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2
A speciális adatbiztonságot engedélyezni kell a gépeken futó SQL-kiszolgálókon 6581d072-105e-4418-827f-bd446d56421b
A fokozott veszélyforrások elleni védelmet engedélyezni kell az Azure Storage-fiókokban 308fbb08-4ab8-4e67-9b29-592e93fb94fa
A komplex veszélyforrások elleni védelmet engedélyezni kell az Azure Key Vault-tárolókban 0e6763cc-5078-4e64-889d-ff4d9a839047
A komplex veszélyforrások elleni védelmet engedélyezni kell Azure-alkalmazás szolgáltatáscsomagokon 2913021d-f2fd-4f3d-b958-22354e2bdbcb
A fokozott veszélyforrások elleni védelmet engedélyezni kell az Azure Container Registry-adatbázisokban c25d9a16-bc35-4e15-a7e5-9db606bf9ed4
A komplex veszélyforrások elleni védelmet engedélyezni kell az Azure Kubernetes Service-fürtökön 523b5cd1-3e23-492f-a539-13118b6d1e3a
A fokozott veszélyforrások elleni védelmet engedélyezni kell a virtuális gépeken 4da35fc9-c9e7-4960-aec9-797fe7d9051d

További információ az Azure Security Center veszélyforrások elleni védelméről.

május 2020.

májusi Frissítések a következők:

Riasztások letiltására vonatkozó szabályok (előzetes verzió)

Ez az új funkció (jelenleg előzetes verzióban) segít csökkenteni a riasztások kimerültségét. Szabályok használatával automatikusan elrejtheti azokat a riasztásokat, amelyekről ismert, hogy nem ártalmatlanok, vagy amelyek a szervezet normál tevékenységeihez kapcsolódnak. Így a legfontosabb fenyegetésekre összpontosíthat.

Az engedélyezett letiltási szabályoknak megfelelő riasztások továbbra is létrejönnek, de az állapotuk el lesz utasítva. Az állapotot az Azure Portalon tekintheti meg, vagy azonban elérheti a Security Center biztonsági riasztásait.

A letiltási szabályok határozzák meg azokat a feltételeket, amelyekhez a riasztásokat automatikusan el kell utasítani. Általában egy letiltási szabályt használ a következőhöz:

  • a hamis pozitívként azonosított riasztások letiltása

  • túl gyakran aktivált riasztások letiltása a hasznosság érdekében

További információ az Azure Security Center veszélyforrások elleni védelméből származó riasztások letiltásáról.

Általánosan elérhető a virtuális gépek sebezhetőségi felmérése

A Security Center standard szintje mostantól tartalmaz egy integrált biztonságirés-felmérést a virtuális gépekre további díj nélkül. Ezt a bővítményt a Qualys működteti, de eredményeiről közvetlenül a Security Centerben számol be. Nincs szüksége Qualys-licencre vagy akár Qualys-fiókra sem – minden zökkenőmentesen kezelhető a Security Centerben.

Az új megoldás folyamatosan átvizsgálhatja a virtuális gépeket, hogy biztonsági réseket találjon, és bemutassa az eredményeket a Security Centerben.

A megoldás üzembe helyezéséhez használja az új biztonsági javaslatot:

"A beépített sebezhetőségi felmérési megoldás engedélyezése virtuális gépeken (a Qualys által üzemeltetett)"

További információ a Security Center virtuális gépekre vonatkozó integrált sebezhetőségi felméréséről.

A virtuális gépekhez történő igény szerinti (JIT) hozzáférés változásai

A Security Center tartalmaz egy választható funkciót a virtuális gépek felügyeleti portjainak védelméhez. Ez védelmet nyújt a találgatásos támadások leggyakoribb formája ellen.

Ez a frissítés a következő módosításokat hajtja végre a funkcióban:

  • Átnevezték azt a javaslatot, amely azt javasolja, hogy engedélyezze a JIT-t egy virtuális gépen. Korábban a "Just-in-time hálózati hozzáférés-vezérlést kell alkalmazni a virtuális gépeken", ez a következő: "A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell védenie."

  • A javaslat csak nyitott felügyeleti portok esetén aktiválódik.

További információ a JIT hozzáférési funkciójáról.

Az egyéni javaslatok át lettek helyezve egy külön biztonsági vezérlőbe

A fokozott biztonsági pontszámmal bevezetett egyik biztonsági vezérlő a "Biztonsági ajánlott eljárások megvalósítása" volt. Az előfizetésekhez létrehozott egyéni javaslatok automatikusan bekerültek a vezérlőbe.

Az egyéni javaslatok könnyebb megtalálása érdekében áthelyeztük őket egy dedikált biztonsági vezérlőbe, az "Egyéni javaslatokba". Ez a vezérlő nincs hatással a biztonságos pontszámra.

További információ a fokozott biztonsági pontszám (előzetes verzió) biztonsági vezérlőiről az Azure Security Centerben.

Váltógombbal választható a javaslatok vezérlőkben vagy egyszerű listaként való megtekintése

A biztonsági vezérlők a kapcsolódó biztonsági javaslatok logikai csoportjai. A sebezhető támadási felületeket tükrözik. A vezérlők biztonsági javaslatok, amelyek segítenek a javaslatok megvalósításában.

Ha azonnal látni szeretné, hogy szervezete milyen jól biztosítja az egyes támadási felületeket, tekintse át az egyes biztonsági vezérlők pontszámait.

Alapértelmezés szerint a javaslatok megjelennek a biztonsági vezérlőkben. Ebből a frissítésből listaként is megjelenítheti őket. Ha az érintett erőforrások állapota szerint rendezett egyszerű listaként szeretné megtekinteni őket, használja a "Csoportosítás vezérlők szerint" új kapcsolót. A kapcsoló a portálon található lista fölött van.

A biztonsági vezérlők - és ez a kapcsoló - az új biztonsági pontszámok felületének részét képezik. Ne felejtse el elküldeni visszajelzését a portálról.

További információ a fokozott biztonsági pontszám (előzetes verzió) biztonsági vezérlőiről az Azure Security Centerben.

Csoportosítás vezérlők szerint váltógombok a javaslatokhoz.

Kibővített biztonsági szabályozás – az ajánlott biztonsági eljárások megvalósítása

A fokozott biztonsági pontszámmal bevezetett biztonsági vezérlők egyike a "Biztonsági ajánlott eljárások megvalósítása". Ha egy javaslat szerepel ebben a vezérlőben, az nem befolyásolja a biztonságos pontszámot.

Ezzel a frissítéssel három javaslat került ki a vezérlők közül, amelyekbe eredetileg helyezték őket, és ebbe az ajánlott eljárásokat vezérlőbe. Ezt a lépést azért tettük meg, mert megállapítottuk, hogy a három javaslat kockázata alacsonyabb, mint eredetileg gondolták.

Emellett két új javaslatot is bevezettek, és hozzáadtak ehhez a vezérlőhöz.

Az áthelyezett három javaslat a következő:

  • Az MFA-t engedélyezni kell az előfizetés olvasási engedélyekkel rendelkező fiókjain (eredetileg az "MFA engedélyezése" vezérlőben)
  • Az olvasási engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésből (eredetileg a "Hozzáférés és engedélyek kezelése" vezérlőben)
  • Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni (eredetileg a "Hozzáférés és engedélyek kezelése" vezérlőben)

A vezérlőhöz hozzáadott két új javaslat a következő:

  • A vendégkonfigurációs bővítményt windowsos virtuális gépekre (előzetes verzió) kell telepíteni – Az Azure Policy Vendégkonfiguráció használata a virtuális gépeken keresztül biztosítja a kiszolgáló- és alkalmazásbeállítások láthatóságát (csak Windows esetén).

  • A Windows Defender Exploit Guardot engedélyezni kell a gépeken (előzetes verzió) – A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren).

További információ a Windows Defender Exploit Guardról az Exploit Guard-szabályzat létrehozása és üzembe helyezése során.

További információ a fokozott biztonsági pontszám ( előzetes verzió) biztonsági vezérlőiről.

Általánosan elérhetők az egyéni metaadatokkal rendelkező egyéni szabályzatok

Az egyéni szabályzatok mostantól a Security Center javaslati felületének, a biztonságos pontszámnak és a szabályozási megfelelőségi szabványok irányítópultjának részei. Ez a funkció általánosan elérhető, és lehetővé teszi a szervezet biztonsági felmérési lefedettségének kiterjesztését a Security Centerben.

Hozzon létre egy egyéni kezdeményezést az Azure Policyben, adjon hozzá szabályzatokat, és vegye fel az Azure Security Centerbe, és jelenítse meg javaslatként.

Most hozzáadtuk az egyéni javaslat metaadatainak szerkesztésére vonatkozó lehetőséget is. A metaadatok beállításai közé tartozik a súlyosság, a szervizelési lépések, a fenyegetésekre vonatkozó információk és egyebek.

További információ az egyéni javaslatok részletes információval való bővítéséről.

Az összeomlási memóriakép elemzési képességei fájl nélküli támadásészlelésre migrálva

A Windows összeomlási memóriakép-elemzési (CDA) észlelési képességeit fájl nélküli támadásészlelésbe integráljuk. A fájl nélküli támadásészlelési elemzés a következő biztonsági riasztások továbbfejlesztett verzióit biztosítja a Windows rendszerű gépeken: Kódinjektálás felderítve, A Windows-modul felismerése, a rendszerhéjkód felderítése és a gyanús kódszegmens észlelése.

Az áttűnés néhány előnye:

  • Proaktív és időszerű kártevőészlelés – A CDA-megközelítés az összeomlásra való várakozást, majd az elemzés futtatását jelentette a rosszindulatú összetevők megkereséséhez. A fájl nélküli támadások észlelése proaktívan azonosítja a memórián belüli fenyegetéseket futás közben.

  • Bővített riasztások – A fájl nélküli támadásészlelés biztonsági riasztásai olyan bővítéseket tartalmaznak, amelyek nem érhetők el a CDA-ból, például az aktív hálózati kapcsolatok információi.

  • Riasztások összesítése – Ha a CDA több támadási mintát észlelt egyetlen összeomlási memóriaképen belül, több biztonsági riasztást is aktivált. A fájl nélküli támadásészlelés az azonos folyamatból származó összes azonosított támadási mintát egyetlen riasztásba egyesíti, így nincs szükség több riasztás korrelációjára.

  • Csökkentett követelmények a Log Analytics-munkaterületen – A potenciálisan bizalmas adatokat tartalmazó összeomlási memóriaképek már nem lesznek feltöltve a Log Analytics-munkaterületre.

április 2020.

áprilisi Frissítések a következők:

A dinamikus megfelelőségi csomagok már általánosan elérhetők

Az Azure Security Center jogszabályi megfelelőségi irányítópultja (mostantól általánosan elérhető) dinamikus megfelelőségi csomagokat tartalmaz a további iparági és jogszabályi szabványok nyomon követéséhez.

Dinamikus megfelelőségi csomagok a Security Center biztonsági szabályzat oldalán vehetők fel az előfizetésbe vagy felügyeleti csoportba. Ha előkészített egy szabványt vagy követelményrendszert, az a jogszabályi megfelelőségi irányítópulton jelenik meg az értékelésként leképezett összes hozzá tartozó megfelelőségi adattal együtt. A bevezetett szabványok bármelyikének összesítő jelentése letölthető lesz.

Most hozzáadhat olyan szabványokat, mint például:

  • NIST SP 800-53 R4
  • SWIFT CSP CSCF-v2020
  • Uk Official és UK NHS
  • Canada Federal PBMM
  • Azure CIS 1.1.0 (új) (amely az Azure CIS 1.1.0 teljesebb bemutatása)

Emellett a közelmúltban megjelent az Azure Security Benchmark, a Microsoft által az elterjedt megfelelőségi keretrendszerek alapján készített, Azure-specifikus ajánlott biztonsági és megfelelőségi eljárásokra vonatkozó irányelvek gyűjteménye. Az irányítópulton a később elérhetővé váló további szabványok is támogatottak lesznek.

További információ a szabványkészlet testreszabásáról a szabályozási megfelelőségi irányítópulton.

Már az Azure Security Center ingyenes szintjén is szerepelnek az identitással kapcsolatos javaslatok

Az Azure Security Center ingyenes szolgáltatási szintjén már általánosan elérhetők az identitásra és a hozzáférésre vonatkozó biztonsági javaslatok. Ez része annak a törekvésnek, hogy a felhőbeli biztonsági helyzetkezelés (CSPM) funkciói ingyenesek legyenek. Eddig ezek a javaslatok csak a standard díjszabási szinten voltak elérhetők.

Az identitással és a hozzáféréssel kapcsolatos javaslatok többek között az alábbiak szerepelnek:

  • „A többtényezős hitelesítést engedélyezni kell a tulajdonosi engedélyekkel rendelkező fiókok esetében az előfizetésben.”
  • „Az előfizetéshez legfeljebb három tulajdonost lehet kijelölni.”
  • „Az elavult fiókokat el kell távolítani az előfizetésből.”

Ha előfizetései vannak az ingyenes szolgáltatási szinten, azok biztonsági pontszámaira hatással lesz ez a változás, mivel azokat még soha nem értékelték az identitás és a hozzáférés biztonsága szempontjából.

További információ az identitás- és hozzáférési javaslatokról.

További információ a többtényezős hitelesítés (MFA) kikényszerítésének kezeléséről az előfizetéseken.

2020. március

márciusi Frissítések a következők:

Általánosan elérhető a munkafolyamat-automatizálás

Általánosan elérhető a munkafolyamat-automatizálás funkció az Azure Security Centerben. Ezzel a képességgel automatikusan aktiválhatja a Logic Appst a biztonsági riasztásokra és a javaslatokra. Emellett manuális eseményindítók is elérhetők a riasztásokhoz és az összes olyan javaslathoz, amelynél elérhető a gyors javítás lehetőség.

Minden biztonsági program több munkafolyamatot tartalmaz az incidensek kezeléséhez. Ezek a folyamatok tartalmazhatják az érintett felek értesítését, egy változáskezelési folyamat indítását és meghatározott szervizelési lépések alkalmazását. A biztonsági szakértők azt ajánlják, hogy az eljárásoknál a lehető legtöbb lépést automatizálja. Az automatizálás csökkenti a terhelést és javíthatja a biztonságot azáltal, hogy gondoskodik a folyamat lépéseinek gyors, konzisztens és az előre meghatározott követelményeknek megfelelő elvégzéséről.

A munkafolyamatok futtatásához használható automatikus és manuális Security Center-funkciókkal kapcsolatos további információkért olvassa el a munkafolyamatok automatizálása című témakört.

További információ a Logic Apps létrehozásáról.

Az Azure Security Center és a Windows Rendszergazda Center integrációja

Mostantól közvetlenül az Azure Security Centerbe helyezheti át a helyszíni Windows-kiszolgálókat a Windows Rendszergazda Centerből. A Security Center ezután olyan központ helyként szolgál majd, ahol megtekintheti a Windows Admin Center összes erőforrásának biztonsági adatait (beleértve a helyszíni kiszolgálókat, a virtuális gépeket és a további PaaS-alapú számítási feladatokat is).

Miután áthelyezett egy kiszolgálót a Windows Rendszergazda Centerből az Azure Security Centerbe, a következő műveletekre lesz lehetősége:

  • A biztonsági riasztások és a javaslatok megtekintése a Windows Admin Center Security Center bővítményében.
  • Megtekintheti a biztonsági állapotot és további részletes információkat a Windows Admin Center által kezelt kiszolgálókkal kapcsolatban a Security Centerben az Azure Portalon (vagy API használatával).

További információ az Azure Security Center és a Windows Admin Center integrálásáról.

Az Azure Kubernetes Service védelme

Az Azure Security Center kibővíti a tárolóbiztonsági funkcióit az Azure Kubernetes Service (AKS) védelmére.

A kubernetes népszerű, nyílt forráskódú platformja olyan széles körben elterjedt, hogy mára a tárolóvezénylés iparági szabványa. Ennek a széles körű implementációnak ellenére még mindig nem értjük, hogyan lehet biztonságossá tenni a Kubernetes-környezetet. A tárolóalapú alkalmazások támadási felületének védelme szaktudást igényel annak biztosításához, hogy az infrastruktúra biztonságosan legyen konfigurálva, és hogy folyamatosan figyelni lehessen a potenciális fenyegetéseket.

A Security Center védelmi szolgáltatása a következőket tartalmazza:

  • Felderítés és láthatóság – Felügyelt AKS-példányok folyamatos felderítése a Security Centerben regisztrált előfizetéseken belül.
  • Biztonsági javaslatok – Végrehajtható javaslatok az AKS biztonsági ajánlott eljárásainak betartásához. Ezek a javaslatok szerepelnek a biztonsági pontszámban, hogy azok a szervezet biztonsági helyzetének részeként legyenek megtekintve. Az AKS-hez kapcsolódó javaslatokra példaként a "Szerepköralapú hozzáférés-vezérlést kell használni a Kubernetes-szolgáltatásfürthöz való hozzáférés korlátozásához".
  • Fenyegetésvédelem – Az AKS-telepítés folyamatos elemzésével a Security Center riasztást küld a gazdagép és az AKS-fürt szintjén észlelt fenyegetésekre és rosszindulatú tevékenységekre.

További információ az Azure Kubernetes Services Security Centerrel való integrációjáról.

További információ a Security Center tárolóbiztonsági funkcióiról.

Továbbfejlesztett just-in-time felület

Az Azure Security Center azon igény szerinti eszközeinek funkciói, működése és felhasználói felülete, amelyek a felügyeleti portok védelmét biztosítják, az alábbiak szerint lettek továbbfejlesztve:

  • Indoklás mező – Amikor hozzáférést kér egy virtuális géphez (virtuális géphez) az Azure Portal igény szerinti lapján, egy új választható mező áll rendelkezésre a kérés indoklásának megadásához. A mezőben megadott információ nyomon követhető a tevékenységnaplóban.
  • Redundáns just-in-time (JIT) szabályok automatikus tisztítása – A JIT-szabályzatok frissítésekor automatikusan fut egy tisztítóeszköz a teljes szabálykészlet érvényességének ellenőrzéséhez. Az eszköz eltéréseket keres a szabályzat szabályai és az NSG szabályai között. Ha a tisztítóeszköz hibát talál, meghatározza az okot, és ha biztonságos, eltávolítja a már nem szükséges beépített szabályokat. A karbantartás soha nem törli az Ön által létrehozott szabályokat.

További információ a JIT hozzáférési funkciójáról.

Két biztonsági javaslat elavult webalkalmazásokhoz

A webalkalmazásokkal kapcsolatos két biztonsági javaslatot kivontunk:

  • A IaaS NSG-beli webalkalmazásokra vonatkozó szabályokat meg kell erősíteni. (Kapcsolódó szabályzat: Az IaaS-en futó webalkalmazásokra vonatkozó NSG-szabályokat meg kell keményíteni)

  • Az App Services elérését korlátozni kell. (Kapcsolódó szabályzat: Az App Serviceshez való hozzáférést korlátozni kell [előzetes verzió])

Ezek a javaslatok többé nem jelennek meg a Security Center javaslatlistájában. A kapcsolódó szabályzatok a továbbiakban nem lesznek belefoglalva a "Security Center Default" nevű kezdeményezésbe.

További információ a biztonsági javaslatokról.

február 2020.

Fájl nélküli támadásészlelés Linuxhoz (előzetes verzió)

Mivel a támadók egyre gyakrabban alkalmaznak rejtett módszereket az észlelés elkerülése érdekében, az Azure Security Center kiterjeszti a fájl nélküli támadásészlelést a Windowson kívül a Linuxra is. A fájl nélküli támadások a szoftverek biztonsági réseit kihasználva injektálnak rosszindulatú adatokat a jóindulatú rendszerfolyamatokba, és a memóriában rejtőznek el. Ezek a technikák:

  • a lemezen lévő kártevők nyomkövetésének minimalizálása vagy megszüntetése
  • jelentősen csökkentheti a lemezalapú kártevő-ellenőrzési megoldások általi észlelés esélyét

Ennek a fenyegetésnek a ellensúlyozására az Azure Security Center 2018-ban fájl nélküli támadások észlelését tette lehetővé Windows rendszerhez, most pedig Linuxra is kiterjesztette a fájl nélküli támadásészlelést.

Január 2020.

Továbbfejlesztett biztonsági pontszám (előzetes verzió)

Az Azure Security Center biztonsági pontszám funkciójának továbbfejlesztett verziója mostantól elérhető előzetes verzióban. Ebben a verzióban több javaslat van olyan biztonsági vezérlőkbe csoportosítva, amelyek jobban tükrözik a sebezhető támadási felületet (például a felügyeleti portokhoz való hozzáférés korlátozása).

Ismerkedjen meg a biztonsági pontszám változásaival az előzetes verzióban, és határozza meg azokat a további eljárásokat is, amelyek segítséget nyújtanak a környezet további védelméhez.

További információ a fokozott biztonsági pontszámról (előzetes verzió).

2019. november

novemberi Frissítések a következők:

Fenyegetésvédelem az Azure Key Vaulthoz Észak-Amerika régiókban (előzetes verzió)

Az Azure Key Vault kiemelten fontos szolgáltatás, amellyel védheti az adatait, és javíthatja a felhőalkalmazások teljesítményét, hiszen használatával a felhőben központilag kezelheti a kulcsokat, a titkos kódokat, a titkosítási kulcsokat és a szabályzatokat. Mivel az Azure Key Vault bizalmas és üzletileg kritikus adatokat tárol, a legnagyobb szintű biztonságot követeli meg a kulcstartókhoz és a bennük tárolt adatokhoz.

Az Azure Security Center Az Azure Key Vault fenyegetésvédelemmel kapcsolatos támogatása további biztonságiintelligencia-réteget biztosít, amely észleli a kulcstartók elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. Ez az új védelmi réteg lehetővé teszi, hogy az ügyfelek anélkül kezeljék a kulcstartókat érintő fenyegetéseket, hogy ehhez biztonsági szakértői ismeretekre lenne szükségük, vagy hogy biztonsági monitorozási rendszereket kellene kezelniük. A funkció nyilvános előzetes verzióban elérhető Észak-Amerika régióiban.

Az Azure Storage-hoz használható veszélyforrások elleni védelem tartalmazza a kártevő szoftverek besorolási ellenőrzését

Az Azure Storage-hoz használható fenyegetések elleni védelem új észleléseket is lehetővé tesz a Microsoft Threat Intelligence használatával, így észlelhető a kártevő programok feltöltése az Azure Storage-ba az üzenetkivonat-besorolás elemzésének használatával, valamint észlelhető a gyanús hozzáférés egy aktív Tor-kimeneti csomópontból (anonimizáló proxy). Az Azure Security Center használatával mostantól több tárfiókra kierjedően tekintheti meg az észlelt kártevő programokat.

Munkafolyamat-automatizálás a Logic Appsszel (előzetes verzió)

Ha egy központilag felügyelt biztonsági és informatikai műveleteket használó cég eltéréseket tapasztal a környezetében, belső munkafolyamatokat indít a szükséges cégen belüli műveletek irányításához. Ezek a munkafolyamatok sok esetben megismételhető folyamatok, és az automatizálás jelentősen leegyszerűsítheti a szervezeten belüli folyamatokat.

Ma bemutatjuk a Security Center új képességét, amelynek segítségével az ügyfelek az Azure Logic Apps révén automatizálási konfigurációkat hozhatnak létre, és olyan szabályzatokat adhatnak hozzájuk, amelyek a konfigurációkat automatikusan indítják el konkrét ASC-eredmények, például javaslatok vagy riasztások alapján. Az Azure Logic App konfigurálható a Logic App-összekötők által támogatott bármely egyéni műveletre, de használhatja a Security Center által biztosított sablonokat is, köztük az e-mail küldése vagy a ServiceNow™ jegy megnyitása sablont.

A munkafolyamatok futtatásához használható automatikus és manuális Security Center-funkciókkal kapcsolatos további információkért olvassa el a munkafolyamatok automatizálása című témakört.

A Logic Apps létrehozásával kapcsolatos további információkért lásd: Azure Logic Apps.

Általánosan elérhető gyorsjavítás a tömeges erőforrásokhoz

A biztonsági pontszámok rendszere igen sok feladatot ad a felhasználónak, ezért egy nagy méretek mellett nehézzé válhat a problémák hatásos kezelése.

A gyorsjavítási javítással kijavíthatja a biztonsági konfigurációkat, kijavíthatja a több erőforrásra vonatkozó javaslatokat, és javíthatja a biztonsági pontszámot.

A művelet végrehajtásánál lehetőség van kiválasztani azokat az erőforrásokat, amelyekre a javító műveletet alkalmazni szeretné, és elindítható az a szervizelési művelet, amely konfigurálja Ön helyett a beállítást.

A gyorsjavítás jelenleg általánosan elérhető az ügyfelek számára a Security Center javaslatoldalának részeként.

A biztonsági javaslatokra vonatkozó referencia-útmutatóban megtekintheti, hogy mely javaslatok rendelkeznek gyorsjavítással.

Tárolólemezképek biztonsági réseinek vizsgálata (előzetes verzió)

Az Azure Security Center mostantól képes átvizsgálni az Azure Container Registryben tárolt tárolólemezképeket és megkeresni bennük a biztonsági réseket.

A lemezkép-vizsgálat elemzi a tárolólemezképet, majd ellenőrzi, hogy az tartalmaz-e bármilyen ismert biztonsági rést (a Qualys szolgáltatás segítségével).

A vizsgálat automatikusan elindul, amikor új tárolólemezkép kerül feltöltésre az Azure Container Registrybe. A talált biztonsági rések a Security Center javaslataiként jelennek meg, és a biztonsági pontszám részét képezik, valamint a javításukra vonatkozó információkat az engedélyezett támadási felület csökkentése érdekében.

További szabályozási megfelelőségi szabványok (előzetes verzió)

A jogszabályi megfelelési irányítópult a Security Center értékelései alapján betekintést nyújt a rendszer megfelelőségi állapotába. Az irányítópult jelzi, hogy a környezet mennyire felel meg az adott jogszabályi szabványok és iparági viszonyítási alapok által meghatározott ellenőrzéseknek és követelményeknek, és előíró javaslatokat tesz a követelmények teljesítésére.

A jogszabályi megfelelési irányítópult eddig négy beépített szabványt támogatott: Azure CIS 1.1.0, PCI-DSS, ISO 27001 és SOC-TSP. Most bejelentjük a további támogatott szabványok nyilvános előzetes kiadását: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM és UK Official az Egyesült Királyság NHS-ével együtt. Ezenkívül megjelentetjük az Azure CIS 1.1.0 frissített verzióját, amely a szabványos és növekvő bővíthetőség több vezérlőjét tartalmazza.

További információ a szabványkészlet testreszabásáról a szabályozási megfelelőségi irányítópulton.

Fenyegetésvédelem az Azure Kubernetes Service-hez (előzetes verzió)

A Kubernetes gyorsan halad afelé, hogy a felhőbeli szoftvertelepítés és szoftverkezelés új szabványává váljon. Kevés felhasználó ismeri behatóan a Kubernetest, és sokan figyelmen kívül hagyják a biztonsági szempontokat, mert kizárólag az általános mérnöki és rendszergazdai feladatokra koncentrálnak. A Kubernetes-környezetet a biztonság érdekében körültekintően kell konfigurálni, hogy egyetlen tároló-fókuszú felületi ajtó se maradjon nyitva és védelem nélkül a támadók előtt. Az Azure Security Center az Azure egyik leggyorsabban növekvő szolgáltatására, az Azure Kubernetes Service-re (AKS) is kiterjeszti a tárolókhoz nyújtott támogatást.

A nyilvános előzetes verzió többek között az alábbi lehetőségeket nyújtja:

  • Felderítés és láthatóság – Felügyelt AKS-példányok folyamatos felderítése a Security Center regisztrált előfizetései között.
  • Biztonságos pontszámra vonatkozó javaslatok – Végrehajtható elemek, amelyek segítenek az ügyfeleknek megfelelni az AKS biztonsági ajánlott eljárásainak, és növelhetik a biztonsági pontszámukat. Javaslatok például a "Szerepköralapú hozzáférés-vezérlést kell használni a Kubernetes-szolgáltatásfürthöz való hozzáférés korlátozásához".
  • Fenyegetésészlelés – Gazdagép- és fürtalapú elemzések, például "Egy emelt szintű tároló észlelhető".

Virtuális gépek sebezhetőségének felmérése (előzetes verzió)

A virtuális gépeken telepített alkalmazások gyakran rendelkezhetnek olyan sebezhetőségekkel, melyek a virtuális gép sebezhetőségéhez is vezethetnek. Bejelentettük, hogy a Security Center standard szintje további díj nélkül tartalmazza a virtuális gépek beépített sebezhetőségi felmérését. A qualys által a nyilvános előzetes verzióban futtatott sebezhetőségi felmérés lehetővé teszi, hogy folyamatosan megvizsgálja a virtuális gépen telepített összes alkalmazást, hogy sebezhető alkalmazásokat keressen, és az eredményeket a Security Center portálján mutassa be. A Security Center gondoskodik minden üzembe helyezési műveletről, így a felhasználó számára ez nem jelent plusz munkát. A jövőben biztonságirés-felmérési lehetőségeket tervezünk biztosítani ügyfeleink egyedi üzleti igényeinek támogatására.

További információ az Azure-beli virtuális gépek sebezhetőségi felméréseiről.

Speciális adatbiztonság az Azure-beli virtuális gépeken futó SQL-kiszolgálókhoz (előzetes verzió)

Az Azure Security Center iaaS-alapú virtuális gépeken futó SQL-adatbázisok veszélyforrások elleni védelmének és sebezhetőségi felmérésének támogatása előzetes verzióban érhető el.

A sebezhetőségi felmérés egy könnyen konfigurálható szolgáltatás, amely képes felderíteni és követni az adatbázisok lehetséges biztonsági réseit, és segít orvosolni azokat. A biztonsági pontszám részeként betekintést nyújt a biztonsági helyzetbe, és tartalmazza a biztonsági problémák megoldásának és az adatbázis-erődítmények javításának lépéseit.

Az Advanced Threat Protection észleli az SQL-kiszolgálóhoz történő hozzáférést és a szokatlan és potenciálisan kártevő szándékú hozzáférési kísérleteket. Folyamatosan figyeli az adatbázisokat, és értesíti a felhasználót a gyanús tevékenységekről és a rendellenes adatbázis-hozzáférési mintákról. A riasztások adatokat tesznek elérhetővé a gyanús tevékenységekről, és műveleteket javasolnak a fenyegetés kivizsgálására és megfékezésére.

Egyéni szabályzatok támogatása (előzetes verzió)

Az Azure Security Center mostantól támogatja az egyéni szabályzatokat (előzetes verzió).

Ügyfeleink azt kérték, hogy lehetőségük legyen kiterjeszteni a Security Centerben jelenleg elérhető biztonsági értékeléseket a saját biztonsági értékeléseikre is olyan szabályzatok alapján, melyeket az Azure Policyben hoznak létre. Az egyéni szabályzatok támogatásával ez most már lehetségessé vált.

Az új szabályzatok a Security Center-javaslatoknál, a biztonsági pontszámnál és a szabályzatoknak való megfelelőségi irányítópulton lesznek elérhetőek. Az egyéni szabályzatok támogatásával mostantól létrehozhat egy egyéni kezdeményezést az Azure Policyben, majd hozzáadhatja szabályzatként a Security Centerben, és javaslatként megjelenítheti.

Az Azure Security Center-lefedettség kiterjesztése a közösségre és a partnerekre

A Security Center használatával nem csak a Microsofttól kaphat javaslatokat, hanem olyan partnerek meglévő megoldásaitól is, mint a Check Point, a Tenable és a CyberArk, még sok más integrációval. A Security Center egyszerű előkészítési folyamata összekapcsolhatja meglévő megoldásait a Security Centerrel, lehetővé téve a biztonsági helyzetre vonatkozó javaslatok egyetlen helyen való megtekintését, egységes jelentések futtatását és a Security Center összes funkciójának kihasználását a beépített és a partneri javaslatok alapján. Továbbá exportálhatja a Security Center javaslatait a partnerek termékeibe.

További információ a Microsoft Intelligent Security Association szolgáltatásról.

Speciális integrációk javaslatok és riasztások exportálásával (előzetes verzió)

Ahhoz, hogy a Security Centeren felül nagyvállalati szintű forgatókönyveket engedélyezhessen, mostantól további helyeken is felhasználhatja a Security Center-riasztásokat és -javaslatokat, kivéve az Azure Portalt vagy az API-t. Ezek közvetlenül exportálhatók egy eseményközpontba és a Log Analytics-munkaterületekre. Néhány forgatókönyv, amely ezeknek az új lehetőségeknek a segítségével létrehozható:

  • A Log Analytics-munkaterületre való exportálással egyéni irányítópultokat hozhat létre a Power BI-ban.
  • Az Event Hubsba való exportálással exportálhatja a Security Center-riasztásokat és -javaslatokat a külső SIEM-ekre, egy külső megoldásba vagy az Azure Data Explorerbe.

Helyszíni kiszolgálók előkészítése a Security Centerbe a Windows Rendszergazda Centerből (előzetes verzió)

A Windows Admin Center egy felügyeleti portál, amely olyan Azure-felügyeleti lehetőségeket nyújt a nem Azure-ban telepített Windows rendszerű kiszolgálók kezeléséhez is, mint a biztonsági mentés és a rendszerfrissítés. A közelmúltban elérhetővé tettük, hogy ezek a nem Azure-beli kiszolgálók közvetlenül a Windows Admin Centerből felkészíthetőek legyenek az ASC-re épülő védelem használatára.

Ezzel az új felülettel a felhasználók wac-kiszolgálót helyezhetnek az Azure Security Centerbe, és közvetlenül a Windows Rendszergazda Center felületén tekinthetik meg a biztonsági riasztásait és javaslatait.

2019. szeptember

szeptemberi Frissítések a következők:

Szabályok kezelése adaptív alkalmazásvezérlő fejlesztésekkel

Továbbfejlesztettük a virtuális gépekre vonatkozó szabályok adaptív alkalmazásvezérléssel történő kezelését. Az Azure Security Center adaptív alkalmazásvezérlői segítenek szabályozni, hogy mely alkalmazások futtathatók a virtuális gépeken. A szabálykezelés általános javítása mellett elérhetővé tettünk egy új lehetőséget is, amellyel azt vezérelheti, hogy egy új szabály felvételénél mely fájltípusok legyenek védve.

További információ az adaptív alkalmazásvezérlőkről.

Tárolóbiztonsági javaslat szabályozása az Azure Policy használatával

Az Azure Security Center a tárolóbiztonság biztonsági réseinek elhárítására vonatkozó javaslata mostantól engedélyezhető vagy letiltható az Azure Policy használatával.

Az engedélyezett biztonsági szabályzatok megtekintéséhez a Security Centerben nyissa meg a Biztonsági szabályzat lapot.

2019. augusztus

Frissítések augusztusban a következőket tartalmazza:

Igény szerinti (JIT) virtuálisgép-hozzáférés az Azure Firewallhoz

Általánosan elérhető az igény szerinti (Just-in-time, JIT) VM-hozzáférés az Azure Firewallhoz. A megoldással az NSG által védett környezetek mellett az Azure Firewall által védett környezeteket is biztonságossá teheti.

A JIT VM-hozzáférés csökkenti a hálózati túlterheléses támadások számára elérhető felületet azzal, hogy a virtuális gépekhez csak szükség esetén biztosít szabályozott hozzáférést az NSG- és az Azure Firewall-szabályokat használva.

A JIT virtuális gépekhez történő engedélyezésével olyan szabályzatot hoz létre, amely meghatározza, mely portok legyenek védve, mennyi ideig legyenek nyitva a portok, valamint azokat a jóváhagyott IP-címeket is, amelyekről ezek a portok elérhetőek lesznek. Ez a szabályzat lehetővé teszi, hogy Ön irányíthassa, mit tehetnek a felhasználók, amikor hozzáférést kérnek.

A kérelmek az Azure-tevékenységnaplóban vannak naplózva, így a hozzáféréseket egyszerűen nyomon követheti és ellenőrizheti. Az igény szerinti lap segít gyorsan azonosítani azokat a meglévő virtuális gépeket is, amelyeken engedélyezve van a JIT, illetve azokat a virtuális gépeket, amelyekben a JIT használata ajánlott.

További információ az Azure Firewallról.

Egyetlen kattintásos szervizelés a biztonsági helyzet növeléséhez (előzetes verzió)

A Biztonsági pontszám olyan eszköz, amely segít felmérni a számítási feladatok biztonsági helyzetét. Áttekinti és rangsorolja a biztonsági ajánlásokat, így egyszerűen átlátható, hogy mely javaslatokat érdemes először megvalósítani. Ez abban is segít, hogy megtalálja a legsúlyosabb biztonsági réseket a vizsgálat rangsorolásához.

Annak érdekében, hogy egyszerűbb legyen a biztonsági konfigurációk javítása és a biztonsági pontszám gyors javítása, hozzáadtunk egy új képességet, amely lehetővé teszi, hogy egyetlen kattintással kijavítsa az erőforrások nagy részének javaslatait.

A művelet végrehajtásánál lehetőség van kiválasztani azokat az erőforrásokat, amelyekre a javító műveletet alkalmazni szeretné, és elindítható az a szervizelési művelet, amely konfigurálja Ön helyett a beállítást.

A biztonsági javaslatokra vonatkozó referencia-útmutatóban megtekintheti, hogy mely javaslatok rendelkeznek gyorsjavítással.

Bérlők közötti felügyelet

Az Azure Security Center mostantól támogatja a több bérlőre kiterjedő felügyeletet az Azure Lighthouse részeként. Ez lehetővé teszi, hogy átláthassa és felügyelhesse a Security Centeren belül több bérlő biztonsági állapotát.

További információ a bérlők közötti felügyeleti szolgáltatásokról.

2019. július

hálózati javaslatok Frissítések

Az Azure Security Centerben (ASC) új hálózati javaslatok érhetőek el, és egyes meglévőket is továbbfejlesztettünk. A Security Center használatánál így mostantól még jobb hálózati védelmet alkalmazhat az erőforrásokra.

További információ a hálózati javaslatokról.

június 2019.

Adaptív hálózatmegerősítés – általánosan elérhető

A nyilvános felhőben futó számítási feladatok egyik legnagyobb támadási felülete a nyilvános Internettel való kétirányú kapcsolat. Ügyfeleink nehezen tudják eldönteni, mely hálózati biztonságicsoport- (NSG-) szabályokkal biztosítható, hogy az Azure-beli számítási feladatok csak a szükséges forrástartományok számára legyenek elérhetők. Ezzel a funkcióval az Security Center kitapasztalja az Azure-beli számítási feladatok hálózati forgalmának és a kapcsolatainak mintázatait, és javaslatokat tesz az Internetre kapcsolódó virtuális gépek NGS-szabályaira. Ezáltal ügyfeleink jobban konfigurálhatják hálózati hozzáférési szabályzataikat, és kevésbé lesznek kitéve a támadásoknak.

További információ az adaptív hálózatmegerősítésről.