Dukungan dan prasyarat untuk postur keamanan sadar data
Tinjau persyaratan di halaman ini sebelum menyiapkan postur keamanan sadar data di Microsoft Defender untuk Cloud.
Mengaktifkan penemuan data sensitif
Penemuan data sensitif tersedia dalam paket Defender CSPM, Defender for Storage, dan Defender for Databases.
- Saat Anda mengaktifkan salah satu paket, ekstensi penemuan data sensitif diaktifkan sebagai bagian dari paket.
- Jika Anda memiliki paket yang sudah ada yang berjalan, ekstensi tersedia, tetapi dinonaktifkan secara default.
- Status paket yang ada ditampilkan sebagai "Parsial" daripada "Penuh" jika satu atau beberapa ekstensi tidak diaktifkan.
- Fitur diaktifkan di tingkat langganan.
- Jika penemuan data sensitif diaktifkan, tetapi Defender CSPM tidak diaktifkan, hanya sumber daya penyimpanan yang akan dipindai.
- Jika langganan diaktifkan dengan Defender CSPM dan secara paralel Anda memindai sumber daya yang sama dengan Purview, hasil pemindaian Purview diabaikan dan default untuk menampilkan hasil pemindaian Microsoft Defender untuk Cloud untuk jenis sumber daya yang didukung.
Apa yang didukung
Tabel ini meringkas ketersediaan dan skenario yang didukung untuk penemuan data sensitif.
| Dukungan | Rincian |
|---|---|
| Sumber daya data Azure apa yang dapat saya temukan? | Penyimpanan objek: Memblokir akun penyimpanan blob di Azure Storage v1/v2 Azure Data Lake Storage Gen2 Akun penyimpanan di belakang jaringan privat didukung. Akun penyimpanan yang dienkripsi dengan kunci sisi server yang dikelola pelanggan didukung. Akun tidak didukung jika salah satu pengaturan ini diaktifkan: Akun penyimpanan didefinisikan sebagai Zona Azure DNS; Titik akhir akun penyimpanan memiliki domain kustom yang dipetakan ke dalamnya. Database Azure SQL Database |
| Sumber daya data AWS apa yang dapat saya temukan? | Penyimpanan objek: Wadah AWS S3 Defender untuk Cloud dapat menemukan data terenkripsi KMS, tetapi tidak data yang dienkripsi dengan kunci yang dikelola pelanggan. Database - Amazon Aurora - Amazon RDS for PostgreSQL - Amazon RDS for MySQL - Amazon RDS for MariaDB - Amazon RDS untuk SQL Server (tidak biasa) - Amazon RDS untuk Oracle Database (tidak biasa, hanya Edisi SE2) Prasyarat dan batasan: - Pencadangan otomatis perlu diaktifkan. - Peran IAM yang dibuat untuk tujuan pemindaian (DefenderForCloud-DataSecurityPostureDB secara default) harus memiliki izin ke kunci KMS yang digunakan untuk enkripsi instans RDS. - Anda tidak dapat berbagi rekam jepret DB yang menggunakan grup opsi dengan opsi permanen atau persisten, kecuali untuk instans Oracle DB yang memiliki opsi Zona Waktu atau OLS (atau keduanya). Pelajari lebih lanjut |
| Sumber daya data GCP apa yang dapat saya temukan? | Wadah penyimpanan GCP Kelas Standar Geo: wilayah, wilayah ganda, multi wilayah |
| Izin apa yang saya butuhkan untuk penemuan? | Akun penyimpanan: Pemilik Langganan atau Microsoft.Authorization/roleAssignments/* (baca, tulis, hapus) danMicrosoft.Security/pricings/* (baca, tulis, hapus) danMicrosoft.Security/pricings/SecurityOperators (baca, tulis)Wadah Amazon S3 dan instans RDS: Izin akun AWS untuk menjalankan Formasi Cloud (untuk membuat peran). Wadah penyimpanan GCP: Izin akun Google untuk menjalankan skrip (untuk membuat peran). |
| Jenis file apa yang didukung untuk penemuan data sensitif? | Jenis file yang didukung (Anda tidak dapat memilih subset) - .doc, .docm, .docx, .dot, .gz, .odp, .ods, .odt, .pdf, .pot, .pps, .ppsx, .ppt, .pptm, .pptx, .xlc, .xls, .xlsb, .xlsm, .xlsx, .xlt, .csv, .json, .psv, .ssv, .tsv, .txt., xml, .parquet, .avro, .orc. |
| Wilayah Azure mana yang didukung? | Anda dapat menemukan akun penyimpanan Azure di: Asia Timur; Asia Tenggara; Australia Tengah; Australia Tengah 2; Australia Timur; Australia Tenggara; Brasil Selatan; Brasil Tenggara; Kanada Tengah; Kanada Timur; Eropa Utara; Eropa Barat; Prancis Tengah; Prancis Selatan; Jerman Utara; Jerman Barat Tengah; India Tengah; India Selatan; Jepang Timur; Jepang Barat; Jio India Barat; Korea Tengah; Korea Selatan; Norwegia Timur; Norwegia Barat; Afrika Selatan Utara; Afrika Selatan Barat; Swedia Tengah; Swiss Utara; Swiss Barat; UEA Utara; UK Selatan; UK Barat; AS Tengah; US Timur; US Timur 2; AS Tengah Utara; US Selatan Tengah; US Barat; US Barat 2; US Barat 3; US Barat Tengah; Anda dapat menemukan Azure SQL Database di wilayah mana pun di mana Defender CSPM dan Azure SQL Databases didukung. |
| Wilayah AWS apa yang didukung? | S3: Asia Pasifik (Mumbai); Asia Pasifik (Singapura); Asia Pasifik (Sydney); Asia Pasifik (Tokyo); Kanada (Montreal); Eropa (Frankfurt); Eropa (Irlandia); Eropa (London); Eropa (Paris); Eropa (Stockholm); Amerika Selatan (São Paulo); AS Timur (Ohio); AS Timur (Virginia U.); AS Barat (N. California): AS Barat (Oregon). RDS: Afrika (Cape Town); Asia Pasifik (Hong Kong SAR); Asia Pasifik (Hyderabad); Asia Pasifik (Melbourne); Asia Pasifik (Mumbai); Asia Pasifik (Osaka); Asia Pasifik (Seoul); Asia Pasifik (Singapura); Asia Pasifik (Sydney); Asia Pasifik (Tokyo); Kanada (Tengah); Eropa (Frankfurt); Eropa (Irlandia); Eropa (London); Eropa (Paris); Eropa (Stockholm); Eropa (Zurich); Timur Tengah (UEA); Amerika Selatan (São Paulo); AS Timur (Ohio); AS Timur (Virginia U.); AS Barat (N. California): AS Barat (Oregon). Penemuan dilakukan secara lokal di dalam wilayah tersebut. |
| Wilayah GCP apa yang didukung? | eropa-barat1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1 |
| Apakah saya perlu menginstal agen? | Tidak, penemuan tidak memerlukan penginstalan agen. |
| Berapa biayanya? | Fitur ini disertakan dengan paket Defender CSPM dan Defender for Storage, dan tidak dikenakan biaya tambahan kecuali untuk biaya paket masing-masing. |
| Izin apa yang saya perlukan untuk melihat/mengedit pengaturan sensitivitas data? | Anda memerlukan salah satu peran Microsoft Entra ini: Administrator Global, Administrator Kepatuhan, Administrator Data Kepatuhan, Administrator Keamanan, Operator Keamanan. |
| Izin apa yang saya perlukan untuk melakukan onboarding? | Anda memerlukan salah satu peran kontrol akses berbasis peran Azure (Azure RBAC) ini: Admin Keamanan, Kontributor, Pemilik di tingkat langganan (tempat proyek/s GCP berada). Untuk menggunakan temuan keamanan: Pembaca Keamanan, Admin Keamanan, Pembaca, Kontributor, Pemilik di tingkat langganan (tempat proyek/s GCP berada). |
Mengonfigurasi pengaturan sensitivitas data
Langkah utama untuk mengonfigurasi pengaturan sensitivitas data meliputi:
- Mengimpor jenis/label info sensitivitas kustom dari portal kepatuhan Microsoft Purview
- Mengkustomisasi kategori/jenis data sensitif
- Mengatur ambang batas untuk label sensitivitas
Pelajari selengkapnya tentang label sensitivitas di Microsoft Purview.
Penemuan
Defender untuk Cloud mulai menemukan data segera setelah mengaktifkan paket, atau setelah mengaktifkan fitur dalam paket yang sudah berjalan.
Untuk penyimpanan objek:
- Dibutuhkan waktu hingga 24 jam untuk melihat hasilnya untuk penemuan pertama kali.
- Setelah file diperbarui dalam sumber daya yang ditemukan, data disegarkan dalam waktu delapan hari.
- Akun penyimpanan Azure baru yang ditambahkan ke langganan yang sudah ditemukan ditemukan dalam waktu 24 jam atau kurang.
- Wadah penyimpanan AWS S3 atau wadah penyimpanan GCP baru yang ditambahkan ke akun AWS atau akun Google yang sudah ditemukan ditemukan dalam waktu 48 jam atau kurang.
Untuk database:
- Database dipindai setiap minggu.
- Untuk langganan yang baru diaktifkan, hasilnya muncul dalam waktu 24 jam.
Menemukan wadah AWS S3
Untuk melindungi sumber daya AWS di Defender untuk Cloud, Anda menyiapkan konektor AWS, menggunakan templat CloudFormation untuk onboarding akun AWS.
- Untuk menemukan sumber daya data AWS, Defender untuk Cloud memperbarui templat CloudFormation.
- Templat CloudFormation membuat peran baru di AWS IAM, untuk memungkinkan izin bagi pemindai Defender untuk Cloud mengakses data di wadah S3.
- Untuk menyambungkan akun AWS, Anda memerlukan izin Administrator di akun tersebut.
- Peran ini memungkinkan izin ini: baca S3 saja; Dekripsi KMS.
Menemukan instans AWS RDS
Untuk melindungi sumber daya AWS di Defender untuk Cloud, siapkan konektor AWS menggunakan templat CloudFormation untuk onboarding akun AWS.
- Untuk menemukan instans AWS RDS, Defender untuk Cloud memperbarui templat CloudFormation.
- Templat CloudFormation membuat peran baru di AWS IAM, untuk memungkinkan izin bagi pemindai Defender untuk Cloud mengambil rekam jepret otomatis instans otomatis terakhir yang tersedia dan membuatnya online di lingkungan pemindaian terisolasi dalam wilayah AWS yang sama.
- Untuk menyambungkan akun AWS, Anda memerlukan izin Administrator di akun tersebut.
- Rekam jepret otomatis perlu diaktifkan pada Instans/Kluster RDS yang relevan.
- Peran ini memungkinkan izin ini (tinjau templat CloudFormation untuk definisi yang tepat):
- Mencantumkan semua DB/kluster RDS
- Menyalin semua rekam jepret DB/kluster
- Menghapus/memperbarui rekam jepret DB/kluster dengan awalan defenderfordatabases
- Mencantumkan semua kunci KMS
- Gunakan semua kunci KMS hanya untuk RDS pada akun sumber
- Membuat & kontrol penuh pada semua kunci KMS dengan awalan tag DefenderForDatabases
- Membuat alias untuk kunci KMS
- Kunci KMS dibuat sekali untuk setiap wilayah yang berisi instans RDS. Pembuatan kunci KMS mungkin dikenakan biaya tambahan minimal, sesuai dengan harga AWS KMS.
Menemukan wadah penyimpanan GCP
Untuk melindungi sumber daya GCP di Defender untuk Cloud, Anda dapat menyiapkan konektor Google menggunakan templat skrip untuk onboarding akun GCP.
- Untuk menemukan wadah penyimpanan GCP, Defender untuk Cloud memperbarui templat skrip.
- Templat skrip membuat peran baru di akun Google untuk memungkinkan izin bagi pemindai Defender untuk Cloud mengakses data di wadah penyimpanan GCP.
- Untuk menghubungkan akun Google, Anda memerlukan izin Administrator di akun.
Terekspos ke internet/mengizinkan akses publik
Jalur serangan Defender CSPM dan wawasan grafik keamanan cloud mencakup informasi tentang sumber daya penyimpanan yang terekspos ke internet dan memungkinkan akses publik. Tabel berikut memberikan rincian lebih lanjut.
| Solid | Akun Penyimpanan Azure | Wadah AWS S3 | Wadah Penyimpanan GCP |
|---|---|---|---|
| Terekspos ke internet | Akun penyimpanan Azure dianggap terekspos ke internet jika salah satu pengaturan ini diaktifkan: Storage_account_name Akses>jaringan Publik Jaringan>Diaktifkan dari semua jaringan > or Storage_account_name Akses>jaringan Publik Jaringan>Aktifkan dari jaringan virtual dan alamat IP yang dipilih.> |
Wadah AWS S3 dianggap terekspos ke internet jika kebijakan bucket akun AWS/AWS S3 tidak memiliki kondisi yang ditetapkan untuk alamat IP. | Semua wadah penyimpanan GCP diekspos ke internet secara default. |
| Mengizinkan akses publik | Kontainer akun penyimpanan Azure dianggap mengizinkan akses publik jika pengaturan ini diaktifkan di akun penyimpanan: >Konfigurasi>Storage_account_name Izinkan akses>publik blob Diaktifkan. dan salah satu pengaturan ini: >Storage_account_name Kontainer> container_name> Tingkat akses publik diatur ke Blob (akses baca anonim hanya untuk blob) Atau, storage_account_name >Kontainer> container_name> Tingkat akses publik diatur ke Kontainer (akses baca anonim untuk kontainer dan blob). |
Wadah AWS S3 dianggap mengizinkan akses publik jika akun AWS dan wadah AWS S3 memiliki Blokir semua akses publik yang diatur ke Nonaktif, dan salah satu pengaturan ini diatur: Dalam kebijakan, RestrictPublicBuckets tidak diaktifkan, dan pengaturan Utama diatur ke * dan Efek diatur ke Izinkan. Atau, dalam daftar kontrol akses, IgnorePublicAcl tidak diaktifkan, dan izin diizinkan untuk Semua Orang, atau untuk pengguna Terautentikasi. |
Wadah penyimpanan GCP dianggap memungkinkan akses publik jika: memiliki peran IAM (Manajemen Identitas dan Akses) yang memenuhi kriteria ini: Peran diberikan kepada allUsers utama atau allAuthenticatedUsers. Peran ini memiliki setidaknya satu izin penyimpanan yang bukanstorage.buckets.create atau storage.buckets.list. Akses publik di GCP disebut "Publik ke internet". |
Sumber daya database tidak mengizinkan akses publik tetapi masih dapat diekspos ke internet.
Wawasan paparan internet tersedia untuk sumber daya berikut:
Azure:
- Azure SQL server
- Azure Cosmos DB
- Instans Terkelola Azure SQL
- Server Tunggal Azure MySQL
- Server Fleksibel Azure MySQL
- Server Tunggal Azure PostgreSQL
- Server Fleksibel Azure PostgreSQL
- Server Tunggal Azure MariaDB
- Ruang Kerja Synapse
AWS:
- Instans RDS
Catatan
- Aturan paparan yang mencakup 0.0.0.0/0 dianggap "terekspos berlebihan", yang berarti bahwa aturan tersebut dapat diakses dari IP publik apa pun.
- Sumber daya Azure dengan aturan paparan "0.0.0.0" dapat diakses dari sumber daya apa pun di Azure (terlepas dari penyewa atau langganan).
Langkah selanjutnya
Aktifkan postur keamanan sadar data.