Apa yang baru di Microsoft Defender untuk Cloud?

Defender untuk Cloud sedang dalam pengembangan aktif dan menerima perbaikan secara berkelanjutan. Agar tetap terbarui dengan perkembangan terkini, halaman ini memberi Anda informasi tentang fitur baru, perbaikan bug, dan fungsionalitas yang tidak digunakan lagi.

Halaman ini sering diperbarui, jadi Anda sebaiknya juga sering membukanya.

Untuk mempelajari tentang perubahan terencana yang akan segera hadir di Defender untuk Cloud, lihat Perubahan penting yang akan datang pada Microsoft Defender untuk Cloud.

Tip

Jika Anda mencari item yang lebih lama dari enam bulan, Anda dapat menemukannya di Arsip untuk Apa yang baru di Microsoft Defender untuk Cloud.

Januari 2023

Pembaruan di bulan Januari meliputi:

Komponen Perlindungan titik akhir (Microsoft Defender untuk Titik Akhir) sekarang diakses di halaman Pengaturan dan pemantauan

Dalam upaya berkelanjutan kami untuk menyederhanakan pengalaman konfigurasi Defender for Cloud Anda, kami memindahkan konfigurasi untuk komponen Perlindungan titik akhir (Microsoft Defender untuk Titik Akhir) dari halamanIntegrasipengaturan> Lingkungan ke pengaturan Lingkungan>Pengaturan paket>Defenderdan halaman pemantauan, tempat komponen lain dikelola Juga. Tidak ada perubahan pada fungsionalitas selain lokasi di portal.

Pelajari selengkapnya tentang mengaktifkan Microsoft Defender untuk Titik Akhir di server Anda dengan Defender untuk Server.

Versi baru rekomendasi untuk menemukan pembaruan sistem yang hilang (Pratinjau)

Anda tidak lagi memerlukan agen di azure VM dan komputer Azure Arc untuk memastikan komputer memiliki semua pembaruan keamanan atau sistem penting terbaru.

Rekomendasi pembaruan sistem baru, System updates should be installed on your machines (powered by Update management center) dalam Apply system updates kontrol, didasarkan pada pusat manajemen Pembaruan (pratinjau). Rekomendasi ini bergantung pada agen asli yang disematkan di setiap komputer Azure VM dan Azure Arc alih-alih agen yang diinstal. Perbaikan Cepat dalam rekomendasi baru mengarahkan Anda ke penginstalan satu kali pembaruan yang hilang di portal Pusat manajemen pembaruan.

Untuk menggunakan rekomendasi baru, Anda perlu:

  • Menyambungkan komputer non-Azure Anda ke Arc
  • Aktifkan properti penilaian berkala. Anda dapat menggunakan Perbaikan Cepat di rekomendasi baru, Machines should be configured to periodically check for missing system updates untuk memperbaiki rekomendasi.

Rekomendasi "Pembaruan sistem harus diinstal pada komputer Anda" yang ada, yang bergantung pada agen Analitik Log, masih tersedia di bawah kontrol yang sama.

Pembersihan komputer Azure Arc yang dihapus di akun AWS dan GCP yang terhubung

Komputer yang terhubung ke akun AWS dan GCP yang dicakup oleh Defender untuk Server atau Defender untuk SQL pada mesin diwakili di Defender for Cloud sebagai komputer Azure Arc. Hingga saat ini, komputer tersebut tidak dihapus dari inventaris ketika mesin dihapus dari akun AWS atau GCP. Mengarah ke sumber daya Azure Arc yang tidak perlu yang tersisa di Defender for Cloud yang mewakili komputer yang dihapus.

Defender for Cloud sekarang akan secara otomatis menghapus komputer Azure Arc saat komputer tersebut dihapus di akun AWS atau GCP yang terhubung.

Mengizinkan ekspor berkelanjutan ke Azure Event Hubs di belakang firewall

Anda sekarang dapat mengaktifkan ekspor pemberitahuan dan rekomendasi berkelanjutan, sebagai layanan tepercaya ke Azure Event Hubs yang dilindungi oleh firewall Azure.

Anda dapat mengaktifkan ekspor berkelanjutan saat pemberitahuan atau rekomendasi dibuat. Anda juga dapat menentukan jadwal untuk mengirim rekam jepret berkala dari semua data baru.

Pelajari cara mengaktifkan ekspor berkelanjutan ke Azure Event Hubs di belakang firewall Azure.

Nama kontrol Skor aman Lindungi aplikasi Anda dengan solusi jaringan tingkat lanjut Azure telah diubah

Kontrol skor aman, Protect your applications with Azure advanced networking solutions telah diubah menjadi Protect applications against DDoS attacks.

Nama yang diperbarui tercermin pada Azure Resource Graph (ARG), SECURE Score Controls API dan Download CSV report.

Pengaturan Penilaian Kerentanan kebijakan untuk server SQL harus berisi alamat email untuk menerima laporan pemindaian tidak digunakan lagi

Kebijakan Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports tidak digunakan lagi.

Laporan email penilaian kerentanan Defender untuk SQL masih tersedia dan konfigurasi email yang ada belum berubah.

Rekomendasi untuk mengaktifkan log diagnostik untuk Virtual Machine Scale Sets tidak digunakan lagi

Rekomendasi Diagnostic logs in Virtual Machine Scale Sets should be enabled tidak digunakan lagi.

Definisi kebijakan terkait juga telah ditolak dari standar apa pun yang ditampilkan di dasbor kepatuhan peraturan.

Rekomendasi Deskripsi Tingkat keparahan
Log diagnostik di Microsoft Azure Virtual Machine Scale Sets harus diaktifkan Aktifkan log dan pertahankan hingga satu tahun, memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan penyelidikan ketika insiden keamanan terjadi atau jaringan Anda disusupi. Rendah

Desember 2022

Pembaruan pada bulan Desember meliputi:

Mengumumkan konfigurasi ekspres untuk penilaian kerentanan di Defender untuk SQL

Konfigurasi ekspres untuk penilaian kerentanan di Microsoft Defender untuk SQL memberi tim keamanan pengalaman konfigurasi yang efisien pada database Azure SQL dan Kumpulan SQL Khusus di luar Ruang Kerja Synapse.

Dengan pengalaman konfigurasi ekspres untuk penilaian kerentanan, tim keamanan dapat:

  • Selesaikan konfigurasi penilaian kerentanan dalam konfigurasi keamanan sumber daya SQL, tanpa pengaturan atau dependensi lain pada akun penyimpanan yang dikelola pelanggan.
  • Segera tambahkan hasil pemindaian ke garis besar sehingga status temuan berubah dari Tidak Sehat menjadi Sehat tanpa memindai ulang database.
  • Tambahkan beberapa aturan ke garis besar sekaligus dan gunakan hasil pemindaian terbaru.
  • Aktifkan penilaian kerentanan untuk semua server Azure SQL saat Anda mengaktifkan Microsoft Defender untuk database di tingkat langganan.

Pelajari selengkapnya tentang penilaian kerentanan Defender untuk SQL.

November 2022

Pembaruan pada bulan November meliputi:

Melindungi kontainer di seluruh organisasi GCP Anda dengan Defender untuk Kontainer

Sekarang Anda dapat mengaktifkan Defender untuk Kontainer untuk lingkungan GCP Anda untuk melindungi kluster GKE standar di seluruh organisasi GCP. Cukup buat konektor GCP baru dengan Defender for Containers diaktifkan atau aktifkan Defender for Containers pada konektor GCP tingkat organisasi yang ada.

Pelajari selengkapnya tentang menyambungkan proyek dan organisasi GCP ke Defender for Cloud.

Memvalidasi perlindungan Defender untuk Kontainer dengan pemberitahuan sampel

Sekarang Anda dapat membuat pemberitahuan sampel juga untuk paket Defender for Containers. Pemberitahuan sampel baru disajikan sebagai berasal dari AKS, kluster yang terhubung dengan Arc, EKS, dan sumber daya GKE dengan tingkat keparahan dan taktik MITRE yang berbeda. Anda dapat menggunakan pemberitahuan sampel untuk memvalidasi konfigurasi pemberitahuan keamanan, seperti integrasi SIEM, otomatisasi alur kerja, dan pemberitahuan email.

Pelajari selengkapnya tentang validasi pemberitahuan.

Aturan tata kelola dalam skala besar (Pratinjau)

Kami dengan senang hati mengumumkan kemampuan baru untuk menerapkan aturan tata kelola dalam skala besar (Pratinjau) di Defender for Cloud.

Dengan pengalaman baru ini, tim keamanan dapat menentukan aturan tata kelola secara massal untuk berbagai cakupan (langganan dan konektor). Tim keamanan dapat menyelesaikan tugas ini dengan menggunakan cakupan manajemen seperti grup manajemen Azure, akun tingkat atas AWS, atau organisasi GCP.

Selain itu, halaman Aturan tata kelola (Pratinjau) menyajikan semua aturan tata kelola yang tersedia yang efektif di lingkungan organisasi.

Pelajari selengkapnya tentang aturan tata kelola baru dalam pengalaman skala besar.

Catatan

Mulai 1 Januari 2023, untuk mengalami kemampuan yang ditawarkan oleh Tata Kelola, Anda harus mengaktifkan paket Defender CSPM pada langganan atau konektor Anda.

Kemampuan untuk membuat penilaian kustom di AWS dan GCP (Pratinjau) tidak digunakan lagi

Kemampuan untuk membuat penilaian kustom untuk akun AWS dan proyek GCP, yang merupakan fitur Pratinjau, telah ditolak.

Rekomendasi untuk mengonfigurasi antrean surat mati untuk fungsi Lambda tidak digunakan lagi

Rekomendasi Lambda functions should have a dead-letter queue configured tidak digunakan lagi.

Rekomendasi Deskripsi Tingkat keparahan
Fungsi Lambda harus memiliki antrean huruf mati yang dikonfigurasi Kontrol ini memeriksa apakah fungsi Lambda dikonfigurasi dengan antrean dead-letter. Kontrol gagal jika fungsi Lambda tidak dikonfigurasi dengan antrean dead-letter. Sebagai alternatif untuk tujuan yang gagal, Anda dapat mengonfigurasi fungsi Anda dengan antrean dead-letter untuk menyimpan peristiwa yang dibuang untuk diproses lebih lanjut. Antrian dead-letter bertindak sama dengan tujuan pada kegagalan. Ini digunakan ketika peristiwa gagal semua upaya pemrosesan atau kedaluwarsa tanpa diproses. Antrean dead-letter memungkinkan Anda melihat kembali kesalahan atau permintaan yang gagal ke fungsi Lambda Anda untuk men-debug atau mengidentifikasi perilaku yang tidak biasa. Dari perspektif keamanan, penting untuk memahami mengapa fungsi Anda gagal dan memastikan bahwa fungsi Anda tidak menghilangkan data atau membahayakan keamanan data sebagai hasilnya. Misalnya, jika fungsi Anda tidak dapat berkomunikasi ke sumber daya yang mendasar yang bisa menjadi gejala serangan penolakan layanan (DoS) di tempat lain di jaringan. Medium

Oktober 2022

Pembaruan pada bulan Oktober meliputi:

Mengumumkan tolok ukur keamanan cloud Microsoft

Tolok ukur keamanan cloud Microsoft (MCSB) adalah kerangka kerja baru yang menentukan prinsip keamanan cloud dasar berdasarkan standar industri umum dan kerangka kerja kepatuhan. Bersama dengan panduan teknis terperinci untuk menerapkan praktik terbaik ini di seluruh platform cloud. MCSB menggantikan Azure Security Benchmark. MCSB memberikan detail preskriptif tentang cara menerapkan rekomendasi keamanan cloud-agnostiknya pada beberapa platform layanan cloud, yang awalnya mencakup Azure dan AWS.

Sekarang Anda dapat memantau postur kepatuhan keamanan cloud per cloud dalam satu dasbor terintegrasi. Anda dapat melihat MCSB sebagai standar kepatuhan default saat menavigasi ke dasbor kepatuhan peraturan Defender untuk Cloud.

Tolok ukur keamanan cloud Microsoft secara otomatis ditetapkan ke langganan Azure dan akun AWS Anda saat Anda melakukan onboarding Defender untuk Cloud.

Pelajari selengkapnya tentang tolok ukur keamanan cloud Microsoft.

Analisis jalur serangan dan kemampuan keamanan kontekstual di Defender for Cloud (Pratinjau)

Grafik keamanan cloud baru, analisis jalur serangan, dan kemampuan keamanan cloud kontekstual sekarang tersedia di Defender for Cloud dalam pratinjau.

Salah satu tantangan terbesar yang dihadapi tim keamanan saat ini adalah jumlah masalah keamanan yang mereka hadapi setiap hari. Ada banyak masalah keamanan yang perlu diselesaikan dan tidak pernah cukup sumber daya untuk mengatasi semuanya.

Grafik keamanan cloud baru Defender untuk Cloud dan kemampuan analisis jalur serangan memberi tim keamanan kemampuan untuk menilai risiko di balik setiap masalah keamanan. Tim keamanan juga dapat mengidentifikasi masalah risiko tertinggi yang perlu diselesaikan paling cepat. Defender for Cloud bekerja sama dengan tim keamanan untuk mengurangi risiko pelanggaran yang memengaruhi lingkungan mereka dengan cara yang paling efektif.

Pelajari selengkapnya tentang grafik keamanan cloud baru, analisis jalur serangan, dan penjelajah keamanan cloud.

Pemindaian tanpa agen untuk mesin Azure dan AWS (Pratinjau)

Hingga saat ini, Defender for Cloud didasarkan pada penilaian posturnya untuk VM pada solusi berbasis agen. Untuk membantu pelanggan memaksimalkan cakupan dan mengurangi onboarding dan gesekan manajemen, kami merilis pemindaian tanpa agen untuk VM untuk dipratinjau.

Dengan pemindaian tanpa agen untuk VM, Anda mendapatkan visibilitas luas pada CVE perangkat lunak dan perangkat lunak yang diinstal. Anda mendapatkan visibilitas tanpa tantangan penginstalan dan pemeliharaan agen, persyaratan konektivitas jaringan, dan pengaruh performa pada beban kerja Anda. Analisis ini didukung oleh Microsoft Defender manajemen kerentanan.

Pemindaian kerentanan tanpa agen tersedia di Defender Cloud Security Posture Management (CSPM) dan di Defender for Servers P2, dengan dukungan asli untuk AWS dan Azure VM.

Defender untuk DevOps (Pratinjau)

Microsoft Defender untuk Cloud memungkinkan visibilitas komprehensif, manajemen postur, dan perlindungan ancaman di seluruh lingkungan hibrid dan multicloud termasuk sumber daya Azure, AWS, Google, dan lokal.

Sekarang, paket Defender for DevOps baru mengintegrasikan sistem manajemen kode sumber, seperti GitHub dan Azure DevOps, ke Dalam Defender for Cloud. Dengan integrasi baru ini, kami memberdayakan tim keamanan untuk melindungi sumber daya mereka dari kode ke cloud.

Defender for DevOps memungkinkan Anda untuk mendapatkan visibilitas ke dalam dan mengelola lingkungan pengembang dan sumber daya kode yang terhubung. Saat ini, Anda dapat menghubungkan sistem Azure DevOps dan GitHub ke Defender for Cloud dan repositori DevOps onboard ke Inventarisasi dan halaman Keamanan DevOps baru. Ini memberi tim keamanan gambaran umum tingkat tinggi tentang masalah keamanan yang ditemukan yang ada di dalamnya di halaman Keamanan DevOps terpadu.

Tim keamanan, sekarang dapat mengonfigurasi anotasi permintaan pull untuk membantu pengembang mengatasi temuan pemindaian rahasia di Azure DevOps langsung pada permintaan pull mereka.

Anda dapat mengonfigurasi alat Microsoft Security DevOps pada alur kerja Azure Pipelines dan GitHub untuk mengaktifkan pemindaian keamanan berikut:

Nama Bahasa Lisensi
Bandit Python Lisensi Apache 2.0
BinSkim Biner – Windows, ELF Lisensi MIT
ESlint JavaScript Lisensi MIT
CredScan (Khusus Azure DevOps) Credential Scanner (juga dikenal sebagai CredScan) adalah alat yang dikembangkan dan dikelola oleh Microsoft untuk mengidentifikasi kebocoran kredensial seperti yang ada di kode sumber dan jenis umum file konfigurasi: kata sandi default, string koneksi SQL, Sertifikat dengan kunci privat Bukan Sumber Terbuka
Analisis Templat Templat ARM, file Bicep Lisensi MIT
Terrascan Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, Cloud Formion Lisensi Apache 2.0
Trivy Gambar kontainer, sistem file, repositori git Lisensi Apache 2.0

Rekomendasi baru berikut sekarang tersedia untuk DevOps:

Rekomendasi Deskripsi Tingkat keparahan
(Pratinjau) Repositori kode harus menyelesaikan temuan pemindaian kode  Defender untuk DevOps telah menemukan kerentanan dalam repositori kode. Untuk meningkatkan postur keamanan repositori, sangat disarankan untuk memulihkan kerentanan ini. (Tidak ada kebijakan terkait) Medium
(Pratinjau) Repositori kode harus menyelesaikan temuan pemindaian rahasia  Defender untuk DevOps telah menemukan rahasia dalam repositori kode.  Hal ini harus segera diremediasi untuk mencegah pelanggaran keamanan.  Rahasia yang ditemukan di repositori dapat bocor atau ditemukan oleh musuh, sehingga menyebabkan bahaya pada aplikasi atau layanan. Untuk Azure DevOps, alat CredScan DevOps Microsoft Security hanya memindai build yang telah dikonfigurasi untuk dijalankan. Oleh karena itu, hasil mungkin tidak mencerminkan status lengkap rahasia di repositori Anda. (Tidak ada kebijakan terkait) Tinggi
(Pratinjau) Repositori kode harus menyelesaikan temuan pemindaian Dependabot  Defender untuk DevOps telah menemukan kerentanan dalam repositori kode. Untuk meningkatkan postur keamanan repositori, sangat disarankan untuk memulihkan kerentanan ini. (Tidak ada kebijakan terkait) Medium
(Pratinjau) Repositori kode harus memiliki infrastruktur saat temuan pemindaian kode diselesaikan  (Pratinjau) Repositori kode harus memiliki infrastruktur saat temuan pemindaian kode diselesaikan Medium
(Pratinjau) Repositori GitHub harus mengaktifkan pemindaian kode  GitHub menggunakan pemindaian kode untuk menganalisis kode guna menemukan kerentanan dan kerentanan keamanan dalam kode. Pemindaian kode dapat digunakan untuk menemukan, melakukan triase, dan memprioritaskan perbaikan untuk masalah yang ada dalam kode Anda. Pemindaian kode juga mencegah pengembang menyebabkan masalah baru. Pemindaian dapat dijadwalkan untuk hari dan waktu tertentu, atau pemindaian dapat dipicu saat peristiwa tertentu terjadi di repositori, seperti pendorongan. Jika pemindaian kode menemukan potensi kerentanan atau kesalahan dalam kode, GitHub akan menampilkan peringatan di repositori. Kerentanan adalah masalah dalam kode proyek yang dapat dieksploitasi untuk merusak kerahasiaan, integritas, atau ketersediaan proyek. (Tidak ada kebijakan terkait) Medium
(Pratinjau) Repositori GitHub harus mengaktifkan pemindaian rahasia  GitHub memindai repositori untuk jenis rahasia yang diketahui, untuk mencegah penipuan penggunaan rahasia yang secara tidak sengaja diterapkan ke repositori. Pemindaian rahasia otomatis memindai seluruh riwayat Git Anda di semua cabang yang ada di repositori GitHub untuk menemukan rahasia apa pun. Contoh rahasia adalah token dan kunci privat yang dapat dikeluarkan penyedia layanan untuk autentikasi. Jika rahasia dimasukkan ke dalam repositori, siapa pun yang memiliki akses baca ke repositori dapat menggunakan rahasia untuk mengakses layanan eksternal dengan hak istimewa tersebut. Rahasia harus disimpan di lokasi khusus yang aman di luar repositori untuk proyek. (Tidak ada kebijakan terkait) Tinggi
(Pratinjau) Repositori GitHub harus mengaktifkan pemindaian Dependabot  GitHub mengirim peringatan Dependabot saat mendeteksi kerentanan dalam dependensi kode yang memengaruhi repositori. Kerentanan adalah masalah dalam kode proyek yang dapat dieksploitasi untuk merusak kerahasiaan, integritas, atau ketersediaan proyek atau proyek lain yang menggunakan kodenya. Kerentanan bervariasi menurut jenis, tingkat keparahan, dan metode serangan. Saat kode bergantung pada paket yang memiliki kerentanan keamanan, dependensi yang rentan ini dapat menyebabkan berbagai masalah. (Tidak ada kebijakan terkait) Medium

Rekomendasi Defender for DevOps menggantikan pemindai kerentanan yang tidak digunakan lagi untuk alur kerja CI/CD yang disertakan dalam Defender for Containers.

Pelajari selengkapnya tentang Defender untuk DevOps

Dasbor Kepatuhan Terhadap Peraturan sekarang mendukung manajemen kontrol manual dan informasi terperinci tentang status kepatuhan Microsoft

Dasbor kepatuhan di Defender untuk Cloud adalah alat utama bagi pelanggan untuk membantu mereka memahami dan melacak status kepatuhan mereka. Pelanggan dapat terus memantau lingkungan sesuai dengan persyaratan dari berbagai standar dan peraturan.

Sekarang, Anda dapat sepenuhnya mengelola postur kepatuhan Anda dengan membuktikan kontrol operasional dan non-teknis secara manual. Anda sekarang dapat memberikan bukti kepatuhan untuk kontrol yang tidak otomatis. Bersama dengan penilaian otomatis, Anda sekarang dapat membuat laporan kepatuhan lengkap dalam cakupan yang dipilih, menangani seluruh rangkaian kontrol untuk standar tertentu.

Selain itu, dengan informasi kontrol yang lebih kaya dan detail mendalam serta bukti untuk status kepatuhan Microsoft, kini Anda dapat mengakses dengan mudah semua informasi yang diperlukan untuk audit.

Beberapa keuntungan baru meliputi:

  • Tindakan pelanggan manual menyediakan mekanisme untuk membuktikan kepatuhan secara manual dengan kontrol non-otomatis. Termasuk kemampuan untuk menautkan bukti, menetapkan tanggal kepatuhan dan tanggal kedaluwarsa.

  • Detail kontrol yang lebih kaya untuk standar yang didukung yang menampilkan tindakan Microsoft dan tindakan pelanggan manual selain tindakan pelanggan otomatis yang sudah ada.

  • Tindakan Microsoft memberikan transparansi status kepatuhan Microsoft yang mencakup prosedur penilaian audit, hasil pengujian, dan respons Microsoft terhadap penyimpangan.

  • Penawaran kepatuhan menyediakan lokasi terpusat untuk memeriksa produk Azure, Dynamics 365, dan Power Platform serta sertifikasi kepatuhan peraturan masing-masing.

Pelajari selengkapnya tentang cara Meningkatkan kepatuhan terhadap peraturan Anda dengan Defender for Cloud.

Provisi otomatis telah diganti namanya menjadi pemantauan Pengaturan & dan memiliki pengalaman yang diperbarui

Kami telah mengganti nama halaman Provisi otomatis menjadi Pemantauan pengaturan&.

Provisi otomatis dimaksudkan untuk memungkinkan pengaktifan prasyarat dalam skala besar, yang diperlukan oleh fitur dan kemampuan canggih Defender untuk Cloud. Untuk mendukung kemampuan kami yang diperluas dengan lebih baik, kami meluncurkan pengalaman baru dengan perubahan berikut:

Halaman paket Defender untuk Cloud sekarang mencakup:

  • Saat Anda mengaktifkan paket Defender yang memerlukan komponen pemantauan, komponen tersebut diaktifkan untuk provisi otomatis dengan pengaturan default. Pengaturan ini dapat diedit secara opsional kapan saja.
  • Anda dapat mengakses pengaturan komponen pemantauan untuk setiap paket Defender dari halaman paket Defender.
  • Halaman Paket Defender dengan jelas menunjukkan apakah semua komponen pemantauan tersedia untuk setiap paket Defender, atau jika cakupan pemantauan Anda tidak lengkap.

Halaman Pemantauan pengaturan&:

  • Setiap komponen pemantauan menunjukkan rencana Defender yang terkait dengannya.

Pelajari selengkapnya tentang mengelola pengaturan pemantauan Anda.

Defender Cloud Security Posture Management (CSPM)

Salah satu Microsoft Defender untuk pilar utama Cloud untuk keamanan cloud adalah Cloud Security Posture Management (CSPM). CSPM memberi Anda panduan pengerasan yang membantu Anda meningkatkan keamanan Anda secara efisien dan efektif. CSPM juga memberi Anda visibilitas ke dalam situasi keamanan Anda saat ini.

Kami mengumumkan rencana Defender baru: Defender CSPM. Rencana ini meningkatkan kemampuan keamanan Defender untuk Cloud dan menyertakan fitur baru dan yang diperluas berikut:

  • Penilaian berkelanjutan terhadap konfigurasi keamanan sumber daya cloud Anda
  • Rekomendasi keamanan untuk memperbaiki kesalahan konfigurasi dan kelemahan
  • Skor aman
  • Pemerintahan
  • Kepatuhan peraturan
  • Grafik keamanan cloud
  • Analisis jalur serangan
  • Pemindaian tanpa agen untuk mesin

Pelajari selengkapnya tentang paket Defender CSPM.

Pemetaan kerangka kerja MITRE ATT&CK sekarang tersedia juga untuk rekomendasi keamanan AWS dan GCP

Untuk analis keamanan, penting untuk mengidentifikasi potensi risiko yang terkait dengan rekomendasi keamanan dan memahami vektor serangan, sehingga mereka dapat memprioritaskan tugas mereka secara efisien.

Defender for Cloud memudahkan prioritas dengan memetakan rekomendasi keamanan Azure, AWS, dan GCP terhadap kerangka kerja MITRE ATT&CK. Kerangka kerja MITRE ATT&CK adalah Pangkalan Pengetahuan taktik dan teknik lawan yang dapat diakses secara global berdasarkan pengamatan dunia nyata, memungkinkan pelanggan untuk memperkuat konfigurasi lingkungan mereka yang aman.

Kerangka kerja MITRE ATT&CK telah diintegrasikan dengan tiga cara:

  • Rekomendasi memetakan ke taktik dan teknik MITRE ATT&CK.
  • Kueri taktik dan teknik MITRE ATT&CK pada rekomendasi menggunakan Resource Graph Azure.

Cuplikan layar yang memperlihatkan di mana serangan MITRE ada di portal Azure.

Defender untuk Kontainer sekarang mendukung penilaian kerentanan untuk Elastic Container Registry (Pratinjau)

Microsoft Defender untuk Kontainer sekarang menyediakan pemindaian penilaian kerentanan tanpa agen untuk Elastic Container Registry (ECR) di Amazon AWS. Memperluas cakupan untuk lingkungan multicloud, dibangun pada rilis awal tahun ini dari perlindungan ancaman lanjutan dan pengerasan lingkungan Kubernetes untuk AWS dan Google GCP. Model tanpa agen membuat sumber daya AWS di akun Anda untuk memindai gambar tanpa mengekstrak gambar dari akun AWS Anda dan tanpa jejak pada beban kerja Anda.

Pemindaian penilaian kerentanan tanpa agen untuk gambar di repositori ECR membantu mengurangi permukaan serangan estate kontainer Anda dengan terus memindai gambar untuk mengidentifikasi dan mengelola kerentanan kontainer. Dengan rilis baru ini, Defender untuk Cloud memindai gambar kontainer setelah didorong ke repositori dan terus menilai kembali gambar kontainer ECR di registri. Temuan ini tersedia di Microsoft Defender untuk Cloud sebagai rekomendasi, dan Anda dapat menggunakan alur kerja otomatis bawaan Defender untuk Cloud untuk mengambil tindakan pada temuan, seperti membuka tiket untuk memperbaiki kerentanan tingkat keparahan tinggi dalam gambar.

Pelajari selengkapnya tentang penilaian kerentanan untuk gambar Amazon ECR.

September 2022

Pembaruan pada bulan September meliputi:

Menekan pemberitahuan berdasarkan entitas Kontainer dan Kubernetes

  • Kubernetes Namespace
  • Pod Kubernetes
  • Rahasia Kubernetes
  • Kubernetes ServiceAccount
  • Kubernetes ReplicaSet
  • Kubernetes StatefulSet
  • Kubernetes DaemonSet
  • Kubernetes Job
  • Kubernetes CronJob

Pelajari lebih lanjut tentang aturan supresi peringatan.

Defender untuk Server mendukung Pemantauan Integritas File dengan Azure Monitor Agent

Pemantauan integritas file (FIM) memeriksa file dan registri sistem operasi untuk menemukan perubahan yang mungkin mengindikasikan serangan.

FIM sekarang tersedia dalam versi baru berdasarkan Azure Monitor Agent (AMA), yang dapat Anda sebarkan melalui Defender untuk Cloud.

Pelajari selengkapnya mengenai Pemantauan Integritas File dengan Azure Monitor Agent.

Penghentian API Penilaian Lama

API berikut tidak digunakan lagi:

  • Tugas Keamanan
  • Status Keamanan
  • Ringkasan Keamanan

Ketiga API ini mengekspos format penilaian lama dan digantikan oleh API Penilaian dan API SubAssesi. Semua data yang diekspos oleh API warisan ini juga tersedia di API baru.

Rekomendasi tambahan ditambahkan ke identitas

Rekomendasi Defender for Cloud untuk meningkatkan manajemen pengguna dan akun.

Rekomendasi baru

Rilis baru berisi kemampuan berikut:

  • Cakupan evaluasi yang diperluas - Cakupan telah ditingkatkan untuk akun identitas tanpa MFA dan akun eksternal pada sumber daya Azure (bukan hanya langganan) yang memungkinkan administrator keamanan Anda untuk melihat penetapan peran per akun.

  • Interval kesegaran yang ditingkatkan - Rekomendasi identitas sekarang memiliki interval kesegaran 12 jam.

  • Kemampuan pengecualian akun - Defender untuk Cloud memiliki banyak fitur yang dapat digunakan untuk mengkustomisasi pengalaman Anda dan memastikan skor aman mencerminkan prioritas keamanan organisasi Anda. Misalnya, Anda dapat mengecualikan sumber daya dan rekomendasi dari skor aman Anda.

    Pembaruan ini memungkinkan Anda untuk mengecualikan akun tertentu dari evaluasi dengan enam rekomendasi yang tercantum dalam tabel berikut.

    Biasanya, Anda akan membebaskan akun "break glass" darurat dari rekomendasi MFA, karena akun tersebut sering sengaja dikeluarkan dari persyaratan MFA organisasi. Atau, Anda mungkin memiliki akun eksternal yang ingin Anda izinkan aksesnya, yang tidak mengaktifkan MFA.

    Tip

    Saat Anda mengecualikan akun, akun tidak akan ditampilkan sebagai tidak sehat dan tidak akan menyebabkan langganan tampak tidak sehat.

    Rekomendasi Kunci penilaian
    Akun dengan izin pemilik pada sumber daya Azure harus didukung oleh MFA 6240402e-f77c-46fa-9060-a7ce53997754
    Akun dengan izin tulis pada sumber daya Azure harus didukung oleh MFA c0cb17b2-0607-48a7-b0e0-903ed22de39b
    Akun dengan izin baca pada sumber daya Azure harus didukung oleh MFA dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
    Akun tamu dengan izin pemilik pada sumber daya Azure harus dihapus 20606e75-05c4-48c0-9d97-add6daa2109a
    Akun tamu dengan izin tulis pada sumber daya Azure harus dihapus 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
    Akun tamu dengan izin baca pada sumber daya Azure harus dihapus fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
    Akun yang diblokir dengan izin pemilik pada sumber daya Azure harus dihapus 050ac097-3dda-4d24-ab6d-82568e7a50cf
    Akun yang diblokir dengan izin baca dan tulis pada sumber daya Azure harus dihapus 1ff0b4c9-ed56-4de6-be9c-d7ab39645926

Rekomendasi meskipun dalam pratinjau, akan muncul di samping rekomendasi yang saat ini ada di GA.

Menghapus pemberitahuan keamanan untuk komputer yang melaporkan ke ruang kerja Analitik Log lintas penyewa

Di masa lalu, Defender for Cloud memungkinkan Anda memilih ruang kerja yang dilaporkan agen Analitik Log Anda. Ketika komputer milik satu penyewa ("Penyewa A") tetapi agen Analitik Log-nya melaporkan ke ruang kerja di penyewa yang berbeda ("Penyewa B"), pemberitahuan keamanan tentang komputer dilaporkan ke penyewa pertama ("Penyewa A").

Dengan perubahan ini, pemberitahuan pada komputer yang terhubung ke ruang kerja Analitik Log di penyewa yang berbeda tidak lagi muncul di Defender untuk Cloud.

Jika Anda ingin terus menerima peringatan di Defender untuk Cloud, sambungkan agen Analitik Log dari komputer yang relevan ke ruang kerja di penyewa yang sama dengan komputer tersebut.

Pelajari selengkapnya tentang pemberitahuan keamanan.

Agustus 2022

Pembaruan pada bulan Agustus meliputi:

Kerentanan untuk menjalankan gambar sekarang terlihat dengan Defender untuk Kontainer pada kontainer Windows Anda

Defender untuk Kontainer sekarang menunjukkan kerentanan untuk menjalankan kontainer Windows.

Saat kerentanan terdeteksi, Defender untuk Cloud menghasilkan rekomendasi keamanan berikut yang mencantumkan masalah yang terdeteksi: Untuk menjalankan gambar kontainer, kerentanan yang ditemukan harus diselesaikan.

Pelajari selengkapnya tentang menampilkan kerentanan untuk menjalankan gambar.

Integrasi Agen Azure Monitor sekarang dalam pratinjau

Defender untuk Cloud sekarang menyertakan dukungan pratinjau untuk Agen Azure Monitor (AMA). AMA dimaksudkan untuk menggantikan agen Analitik Log lama (juga disebut sebagai Microsoft Monitoring Agent (MMA)), yang berada di jalur penghentian. AMA memberikan banyak manfaat dibandingkan agen warisan.

Di Defender untuk Cloud, saat Anda mengaktifkan provisi otomatis untuk AMA, agen disebarkan pada komputer virtual yang sudah ada dan baru serta komputer yang didukung Azure Arc yang terdeteksi dalam langganan Anda. Jika paket Defenders for Cloud diaktifkan, AMA mengumpulkan informasi konfigurasi dan log peristiwa dari Azure VM dan komputer Azure Arc. Integrasi AMA sedang dalam pratinjau, jadi sebaiknya gunakan di lingkungan pengujian, bukan di lingkungan produksi.

Tabel berikut berisi peringatan yang tidak digunakan lagi:

Nama pemberitahuan Deskripsi Taktik Tingkat keparahan
Operasi build Docker terdeteksi pada sebuah node Kubernetes
(VM_ImageBuildOnNode)
Log komputer menunjukkan operasi build dari gambar kontainer pada node Kubernetes. Meskipun perilaku ini mungkin sah, penyerang mungkin membangun gambar berbahaya mereka secara lokal untuk menghindari deteksi. Penghindaran Pertahanan Rendah
Permintaan mencurigakan ke API Kubernetes
(VM_KubernetesAPI)
Log mesin menunjukkan bahwa permintaan mencurigakan dibuat ke API Kubernetes. Permintaan dikirim dari sebuah node Kubernetes, kemungkinan dari salah satu kontainer yang berjalan di node. Meskipun perilaku ini dapat disengaja, itu mungkin menunjukkan bahwa node menjalankan kontainer yang dikompromikan. GerakanLateral Medium
Server SSH berjalan di dalam kontainer
(VM_ContainerSSH)
Log komputer menunjukkan bahwa server SSH berjalan di dalam kontainer Docker. Meskipun perilaku ini dapat disengaja, ini sering kali menunjukkan bahwa kontainer salah dikonfigurasi atau dilanggar. Eksekusi Medium

Pemberitahuan ini digunakan untuk memberi tahu pengguna tentang aktivitas mencurigakan yang terhubung ke kluster Kubernetes. Pemberitahuan akan diganti dengan pemberitahuan yang cocok yang merupakan bagian dari pemberitahuan kontainer Microsoft Defender untuk Cloud (K8S.NODE_ImageBuildOnNode, K8S.NODE_ KubernetesAPI dan K8S.NODE_ ContainerSSH) yang akan memberikan peningkatan keakuratan dan konteks komprehensif untuk menyelidiki dan bertindak pada pemberitahuan. Pelajari lebih lanjut tentang pemberitahuan untuk Kluster Kubernetes.

Kerentanan kontainer sekarang menyertakan informasi paket terperinci

Penilaian kerentanan Defender untuk Kontainer (VA) sekarang mencakup informasi paket terperinci untuk setiap temuan, termasuk: nama paket, jenis paket, jalur, versi yang diinstal, dan versi tetap. Informasi paket memungkinkan Anda menemukan paket yang rentan sehingga Anda dapat memulihkan kerentanan atau menghapus paket.

Informasi paket terperinci ini tersedia untuk pemindaian gambar baru.

Cuplikan layar informasi paket untuk kerentanan kontainer.

Langkah berikutnya

Untuk perubahan sebelumnya pada Defender for Cloud, lihat Arsip untuk apa yang baru di Defender for Cloud?.