Arsip tentang apa yang baru di Defender untuk Cloud?
Halaman ini memberi Anda informasi tentang fitur, perbaikan, dan penghentian yang lebih lama dari enam bulan. Untuk pembaruan terbaru, baca Apa yang baru dalam Defender untuk Cloud?.
September 2023
Dasbor keamanan data tersedia di pratinjau publik
27 September 2023
Dasbor keamanan data sekarang tersedia dalam pratinjau publik sebagai bagian dari paket Defender CSPM. Dasbor keamanan data adalah dasbor interaktif yang berpusat pada data yang menyinari risiko signifikan terhadap data sensitif, memprioritaskan pemberitahuan, dan jalur serangan potensial untuk data di seluruh beban kerja cloud hibrid. Pelajari selengkapnya tentang dasbor keamanan data.
Rilis pratinjau: Proses provisi otomatis baru untuk SQL Server pada paket komputer
21 September 2023
Microsoft Monitoring Agent (MMA) tidak digunakan lagi pada Agustus 2024. Defender untuk Cloud memperbarui strateginya dengan mengganti MMA dengan rilis proses provisi otomatis Azure Monitoring Agent yang ditargetkan SQL Server.
Selama pratinjau, pelanggan yang menggunakan opsi Proses provisi otomatis MMA dengan Agen Azure Monitor (Pratinjau), diminta untuk bermigrasi ke server Azure Monitoring Agent for SQL baru pada proses provisi otomatis komputer (Pratinjau). Proses migrasi mulus dan memberikan perlindungan berkelanjutan untuk semua komputer.
Untuk informasi selengkapnya, lihat Migrasi ke proses provisi otomatis Azure Monitoring Agent yang ditargetkan server SQL.
Pemberitahuan GitHub Advanced Security untuk Azure DevOps di Defender untuk Cloud
20 September 2023
Sekarang Anda dapat melihat pemberitahuan GitHub Advanced Security for Azure DevOps (GHAzDO) yang terkait dengan CodeQL, rahasia, dan dependensi di Defender untuk Cloud. Hasil ditampilkan di halaman DevOps dan di Rekomendasi. Untuk melihat hasil ini, onboarding repositori berkemampuan GHAzDO Anda ke Defender untuk Cloud.
Pelajari selengkapnya tentang GitHub Advanced Security untuk Azure DevOps.
Mengecualikan fungsionalitas sekarang tersedia untuk rekomendasi Defender untuk API
11 September 2023
Anda sekarang dapat mengecualikan rekomendasi untuk rekomendasi keamanan Defender for API berikut.
| Rekomendasi | Deskripsi & terkait | Tingkat keparahan |
|---|---|---|
| (Pratinjau) Titik akhir API yang tidak digunakan harus dinonaktifkan dan dihapus dari layanan Azure API Management | Sebagai praktik terbaik keamanan, titik akhir API yang belum menerima lalu lintas selama 30 hari dianggap tidak digunakan, dan harus dihapus dari layanan Azure API Management. Menjaga titik akhir API yang tidak digunakan mungkin menimbulkan risiko keamanan. Ini mungkin API yang seharusnya tidak digunakan lagi dari layanan Azure API Management, tetapi secara tidak sengaja telah dibiarkan aktif. API tersebut biasanya tidak menerima cakupan keamanan terbaru. | Kurang Penting |
| (Pratinjau) Titik akhir API di Azure API Management harus diautentikasi | Titik akhir API yang diterbitkan dalam Azure API Management harus menerapkan autentikasi untuk membantu meminimalkan risiko keamanan. Mekanisme autentikasi terkadang diimplementasikan dengan tidak benar atau hilang. Ini memungkinkan penyerang untuk mengeksploitasi kelemahan implementasi dan mengakses data. Untuk API yang diterbitkan di Azure API Management, rekomendasi ini menilai eksekusi autentikasi melalui Kunci Langganan, JWT, dan Sertifikat Klien yang dikonfigurasi dalam Azure API Management. Jika tidak ada mekanisme autentikasi ini yang dijalankan selama panggilan API, API akan menerima rekomendasi ini. | Sangat Penting |
Pelajari selengkapnya tentang mengecualikan rekomendasi di Defender untuk Cloud.
Membuat contoh pemberitahuan untuk deteksi Defender untuk API
11 September 2023
Anda sekarang dapat membuat contoh pemberitahuan untuk deteksi keamanan yang dirilis sebagai bagian dari pratinjau publik Defender untuk API. Pelajari selengkapnya tentang membuat pemberitahuan sampel di Defender untuk Cloud.
Rilis pratinjau: penilaian kerentanan kontainer yang didukung oleh Pengelolaan Kerentanan Microsoft Defender sekarang mendukung pemindaian saat ditarik
6 September 2023
Penilaian kerentanan kontainer yang didukung oleh Pengelolaan Kerentanan Microsoft Defender, sekarang mendukung pemicu tambahan untuk memindai gambar yang ditarik dari ACR. Pemicu yang baru ditambahkan ini memberikan cakupan tambahan untuk gambar aktif selain pemicu yang ada yang memindai gambar yang didorong ke ACR dalam 90 hari terakhir dan gambar yang saat ini berjalan di AKS.
Pemicu baru akan mulai diluncurkan hari ini, dan diharapkan tersedia untuk semua pelanggan pada akhir September.
Format penamaan standar Center for Internet Security (CIS) yang diperbarui dalam kepatuhan terhadap peraturan
6 September 2023
Format penamaan tolok ukur yayasan CIS (Center for Internet Security) di dasbor kepatuhan diubah dari [Cloud] CIS [version number] ke CIS [Cloud] Foundations v[version number]. Lihat tabel berikut:
| Nama Saat Ini | Nama Baru |
|---|---|
| Azure CIS 1.1.0 | CIS Azure Foundations v1.1.0 |
| Azure CIS 1.3.0 | CIS Azure Foundations v1.3.0 |
| Azure CIS 1.4.0 | CIS Azure Foundations v1.4.0 |
| AWS CIS 1.2.0 | CIS AWS Foundations v1.2.0 |
| AWS CIS 1.5.0 | CIS AWS Foundations v1.5.0 |
| GCP CIS 1.1.0 | CIS GCP Foundations v1.1.0 |
| GCP CIS 1.2.0 | CIS GCP Foundations v1.2.0 |
Pelajari cara meningkatkan kepatuhan terhadap peraturan Anda.
Penemuan data sensitif untuk database PaaS (Pratinjau)
5 September 2023
Kemampuan postur keamanan sadar data untuk penemuan data sensitif tanpa gesekan untuk PaaS Database (Azure SQL Databases dan Amazon RDS Instances dari jenis apa pun) sekarang dalam pratinjau publik. Pratinjau publik ini memungkinkan Anda membuat peta data penting Anda di mana pun data berada, dan jenis data yang ditemukan dalam database tersebut.
Penemuan data sensitif untuk database Azure dan AWS, menambahkan taksonomi dan konfigurasi bersama, yang sudah tersedia untuk umum untuk sumber daya penyimpanan objek cloud (Azure Blob Storage, wadah AWS S3, dan wadah penyimpanan GCP) dan memberikan satu pengalaman konfigurasi dan pengaktifan.
Database dipindai setiap minggu. Jika Anda mengaktifkan sensitive data discovery, penemuan berjalan dalam waktu 24 jam. Hasilnya dapat dilihat di Cloud Security Explorer atau dengan meninjau jalur serangan baru untuk database terkelola dengan data sensitif.
Postur keamanan sadar data untuk database tersedia melalui paket Defender CSPM, dan secara otomatis diaktifkan pada langganan tempat sensitive data discovery opsi diaktifkan.
Anda dapat mempelajari selengkapnya tentang postur keamanan sadar data di artikel berikut:
- Dukungan dan prasyarat untuk postur keamanan sadar data
- Mengaktifkan postur keamanan sadar data
- Menjelajahi risiko terhadap data sensitif
Ketersediaan Umum (GA): pemindaian malware di Defender for Storage
1 September 2023
Pemindaian malware sekarang tersedia secara umum (GA) sebagai add-on untuk Defender for Storage. Pemindaian malware di Defender for Storage membantu melindungi akun penyimpanan Anda dari konten berbahaya dengan melakukan pemindaian malware penuh pada konten yang diunggah hampir secara real time, menggunakan kemampuan Antivirus Microsoft Defender. Ini dirancang untuk membantu memenuhi persyaratan keamanan dan kepatuhan untuk menangani konten yang tidak tepercaya. Kemampuan pemindaian malware adalah solusi SaaS tanpa agen yang memungkinkan penyiapan dalam skala besar, dan mendukung respons otomatis dalam skala besar.
Pelajari selengkapnya tentang pemindaian malware di Defender for Storage.
Pemindaian malware dihargai sesuai dengan penggunaan dan anggaran data Anda. Penagihan dimulai pada 3 September 2023. Kunjungi halaman harga untuk informasi selengkapnya.
Jika Anda menggunakan paket sebelumnya, Anda perlu secara proaktif bermigrasi ke paket baru untuk mengaktifkan pemindaian malware.
Baca posting blog pengumuman Microsoft Defender untuk Cloud.
Agustus 2023
Pembaruan pada bulan Agustus meliputi:
Defender For Containers: Penemuan tanpa agen untuk Kubernetes
30 Agustus 2023
Kami sangat senang memperkenalkan Defender For Containers: Penemuan tanpa agen untuk Kubernetes. Rilis ini menandai langkah maju yang signifikan dalam keamanan kontainer, memberdayakan Anda dengan wawasan tingkat lanjut dan kemampuan inventori komprehensif untuk lingkungan Kubernetes. Penawaran kontainer baru didukung oleh grafik keamanan kontekstual Defender untuk Cloud. Inilah yang dapat Anda harapkan dari pembaruan terbaru ini:
- Penemuan Kubernetes tanpa agen
- Kemampuan inventori yang komprehensif
- Wawasan keamanan khusus Kubernetes
- Perburuan risiko yang ditingkatkan dengan Cloud Security Explorer
Penemuan tanpa agen untuk Kubernetes sekarang tersedia untuk semua pelanggan Defender For Containers. Anda dapat mulai menggunakan kemampuan tingkat lanjut ini hari ini. Kami mendorong Anda untuk memperbarui langganan agar set ekstensi lengkap diaktifkan, dan mendapat manfaat dari penambahan dan fitur terbaru. Kunjungi panel Lingkungan dan pengaturan langganan Defender for Containers Anda untuk mengaktifkan ekstensi.
Catatan
Mengaktifkan penambahan terbaru tidak akan dikenakan biaya baru ke pelanggan Defender untuk Kontainer aktif.
Untuk informasi selengkapnya, lihat Gambaran Umum keamanan Kontainer Pertahanan Microsoft untuk Kontainer.
Rilis rekomendasi: Pertahanan Microsoft untuk Penyimpanan harus diaktifkan dengan pemindaian malware dan deteksi ancaman data sensitif
Selasa, 22 Agustus 2023
Rekomendasi baru di Defender for Storage telah dirilis. Rekomendasi ini memastikan bahwa Defender for Storage diaktifkan di tingkat langganan dengan pemindaian malware dan kemampuan deteksi ancaman data sensitif.
| Rekomendasi | Deskripsi |
|---|---|
| Pertahanan Microsoft untuk Penyimpanan harus diaktifkan dengan pemindaian malware dan deteksi ancaman data sensitif | Microsoft Defender for Storage mendeteksi potensi ancaman terhadap akun penyimpanan Anda. Ini membantu mencegah tiga dampak utama pada data dan beban kerja Anda: unggahan file berbahaya, penyelundupan data sensitif, dan kerusakan data. Paket Defender for Storage baru mencakup pemindaian malware dan deteksi ancaman data sensitif. Paket ini juga menyediakan struktur harga yang dapat diprediksi (per akun penyimpanan) untuk kontrol atas cakupan dan biaya. Dengan penyiapan tanpa agen sederhana dalam skala besar, ketika diaktifkan di tingkat langganan, semua akun penyimpanan yang ada dan yang baru dibuat di bawah langganan tersebut akan dilindungi secara otomatis. Anda juga dapat mengecualikan akun penyimpanan tertentu dari langganan yang dilindungi. |
Rekomendasi baru ini menggantikan rekomendasi Microsoft Defender for Storage should be enabled saat ini (kunci penilaian 1be22853-8ed1-4005-9907-ddad64cb1417). Namun, rekomendasi ini masih akan tersedia di cloud Azure Government.
Pelajari selengkapnya tentang Pertahanan Microsoft untuk Penyimpanan.
Properti yang diperluas dalam pemberitahuan keamanan Defender untuk Cloud ditutupi dari log aktivitas
17 Agustus 2023
Kami baru-baru ini mengubah cara pemberitahuan keamanan dan log aktivitas terintegrasi. Untuk melindungi informasi pelanggan yang sensitif dengan lebih baik, kami tidak lagi menyertakan informasi ini dalam log aktivitas. Sebaliknya, kita menutupinya dengan tanda bintang. Namun, informasi ini masih tersedia melalui API pemberitahuan, ekspor berkelanjutan, dan portal Defender untuk Cloud.
Pelanggan yang mengandalkan log aktivitas untuk mengekspor pemberitahuan ke solusi SIEM mereka harus mempertimbangkan untuk menggunakan solusi yang berbeda, karena ini bukan metode yang direkomendasikan untuk mengekspor pemberitahuan keamanan Defender untuk Cloud.
Untuk petunjuk tentang cara mengekspor pemberitahuan keamanan Defender untuk Cloud ke SIEM, SOAR, dan aplikasi pihak ketiga lainnya, lihat Mengalirkan pemberitahuan ke solusi SIEM, SOAR, atau IT Service Management.
Rilis pratinjau dukungan GCP di Defender CSPM
15 Agustus 2023
Kami mengumumkan rilis pratinjau grafik keamanan cloud kontekstual Defender CSPM dan analisis jalur serangan dengan dukungan untuk sumber daya GCP. Anda dapat menerapkan kekuatan Defender CSPM untuk visibilitas komprehensif dan keamanan cloud cerdas di seluruh sumber daya GCP.
Fitur utama dukungan GCP kami meliputi:
- Analisis jalur serangan - Pahami potensi rute yang mungkin diambil penyerang.
- Penjelajah keamanan cloud - Mengidentifikasi risiko keamanan secara proaktif dengan menjalankan kueri berbasis grafik pada grafik keamanan.
- Pemindaian tanpa agen - Memindai server dan mengidentifikasi rahasia dan kerentanan tanpa menginstal agen.
- Postur keamanan sadar data - Menemukan dan memulihkan risiko terhadap data sensitif di wadah Google Cloud Storage.
Pelajari selengkapnya tentang opsi paket Defender CSPM.
Pemberitahuan keamanan baru di Defender untuk Server Paket 2: Mendeteksi potensi serangan yang menyalahgunakan ekstensi komputer virtual Azure
7 Agustus 2023
Rangkaian pemberitahuan baru ini berfokus pada mendeteksi aktivitas mencurigakan ekstensi komputer virtual Azure dan memberikan wawasan tentang upaya penyerang untuk membahayakan dan melakukan aktivitas berbahaya pada komputer virtual Anda.
Pertahanan Microsoft untuk Server sekarang dapat mendeteksi aktivitas mencurigakan dari ekstensi komputer virtual, yang memungkinkan Anda mendapatkan cakupan keamanan beban kerja yang lebih baik.
Ekstensi komputer virtual Azure adalah aplikasi kecil yang menjalankan pasca-penyebaran pada komputer virtual dan menyediakan kemampuan seperti konfigurasi, otomatisasi, pemantauan, keamanan, dan banyak lagi. Meskipun ekstensi adalah alat yang kuat, ekstensi tersebut dapat digunakan oleh pelaku ancaman untuk berbagai niat jahat, misalnya:
- Untuk pengumpulan dan pemantauan data.
- Untuk eksekusi kode dan penyebaran konfigurasi dengan hak istimewa tinggi.
- Untuk mengatur ulang kredensial dan membuat pengguna administratif.
- Untuk mengenkripsi disk.
Berikut adalah tabel pemberitahuan baru.
| Peringatan (jenis peringatan) | Deskripsi | Taktik MITRE | Tingkat keparahan |
|---|---|---|---|
| Kegagalan mencurigakan menginstal ekstensi GPU di langganan Anda (Pratinjau) (VM_GPUExtensionSuspiciousFailure) |
Niat mencurigakan untuk menginstal ekstensi GPU pada VM yang tidak didukung. Ekstensi ini harus dipasang pada komputer virtual yang dilengkapi dengan prosesor grafis, dan dalam hal ini komputer virtual tidak dilengkapi dengan hal tersebut. Kegagalan ini dapat dilihat ketika iklan berbahaya menjalankan beberapa penginstalan ekstensi tersebut untuk tujuan penambangan kripto. | Dampak | Medium |
| Penginstalan ekstensi GPU yang mencurigakan terdeteksi di komputer virtual Anda (Pratinjau) (VM_GPUDriverExtensionUnusualExecution) Pemberitahuan ini dirilis pada Juli 2023. |
Penginstalan ekstensi GPU yang mencurigakan terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda. Penyerang mungkin menggunakan ekstensi driver GPU untuk menginstal driver GPU di komputer virtual Anda melalui Azure Resource Manager untuk melakukan cryptojacking. Kegiatan ini dianggap mencurigakan karena perilaku kepala sekolah berangkat dari polanya yang biasa. | Dampak | Kurang Penting |
| Jalankan Perintah dengan skrip mencurigakan terdeteksi di komputer virtual Anda (Pratinjau) (VM_RunCommandSuspiciousScript) |
Perintah Jalankan dengan skrip mencurigakan terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda. Penyerang mungkin menggunakan Run Command untuk menjalankan kode berbahaya dengan hak istimewa tinggi di komputer virtual Anda melalui Azure Resource Manager. Skrip dianggap mencurigakan karena bagian tertentu diidentifikasi berpotensi berbahaya. | Eksekusi | Sangat Penting |
| Penggunaan Perintah Jalankan tidak sah yang mencurigakan terdeteksi di komputer virtual Anda (Pratinjau) (VM_RunCommandSuspiciousFailure) |
Penggunaan Perintah Jalankan yang tidak sah yang mencurigakan telah gagal dan terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager dalam langganan Anda. Penyerang mungkin mencoba menggunakan Jalankan Perintah untuk menjalankan kode berbahaya dengan hak istimewa tinggi di komputer virtual Anda melalui Azure Resource Manager. Aktivitas ini dianggap mencurigakan karena belum pernah terlihat sebelumnya. | Eksekusi | Medium |
| Penggunaan Perintah Jalankan mencurigakan terdeteksi di komputer virtual Anda (Pratinjau) (VM_RunCommandSuspiciousUsage) |
Penggunaan Perintah Jalankan yang mencurigakan terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda. Penyerang mungkin menggunakan Run Command untuk menjalankan kode berbahaya dengan hak istimewa tinggi di komputer virtual Anda melalui Azure Resource Manager. Aktivitas ini dianggap mencurigakan karena belum pernah terlihat sebelumnya. | Eksekusi | Kurang Penting |
| Penggunaan mencurigakan dari beberapa ekstensi pemantauan atau pengumpulan data terdeteksi di komputer virtual Anda (Pratinjau) (VM_SuspiciousMultiExtensionUsage) |
Penggunaan mencurigakan dari beberapa ekstensi pemantauan atau pengumpulan data terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager dalam langganan Anda. Penyerang mungkin menyalahgunakan ekstensi tersebut untuk pengumpulan data, pemantauan lalu lintas jaringan, dan banyak lagi, di langganan Anda. Penggunaan ini dianggap mencurigakan karena belum pernah terlihat sebelumnya. | Pengintaian | Medium |
| Penginstalan ekstensi enkripsi disk yang mencurigakan terdeteksi pada komputer virtual Anda (Pratinjau) (VM_DiskEncryptionSuspiciousUsage) |
Penginstalan ekstensi enkripsi disk yang mencurigakan terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager dalam langganan Anda. Penyerang mungkin menyalahgunakan ekstensi enkripsi disk untuk menyebarkan enkripsi disk penuh di komputer virtual Anda melalui Azure Resource Manager dalam upaya untuk melakukan aktivitas ransomware. Aktivitas ini dianggap mencurigakan karena belum sering terlihat sebelumnya dan karena tingginya jumlah instalasi ekstensi. | Dampak | Medium |
| Penggunaan ekstensi Akses VM yang mencurigakan terdeteksi pada komputer virtual Anda (Pratinjau) (VM_VMAccessSuspiciousUsage) |
Penggunaan ekstensi Akses VM yang mencurigakan terdeteksi pada komputer virtual Anda. Penyerang mungkin menyalahgunakan ekstensi Akses VM untuk mendapatkan akses dan membahayakan komputer virtual Anda dengan hak istimewa tinggi dengan mengatur ulang akses atau mengelola pengguna administratif. Aktivitas ini dianggap mencurigakan karena perilaku prinsipal berangkat dari polanya yang biasa, dan karena tingginya jumlah instalasi ekstensi. | Persistensi | Medium |
| Ekstensi Konfigurasi Status yang Diinginkan (DSC) dengan skrip mencurigakan terdeteksi di komputer virtual Anda (Pratinjau) (VM_DSCExtensionSuspiciousScript) |
Ekstensi Konfigurasi Status yang Diinginkan (DSC) dengan skrip mencurigakan terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda. Penyerang mungkin menggunakan ekstensi Desired State Configuration (DSC) untuk menyebarkan konfigurasi berbahaya, seperti mekanisme persistensi, skrip berbahaya, dan banyak lagi, dengan hak istimewa tinggi, pada komputer virtual Anda. Skrip dianggap mencurigakan karena bagian tertentu diidentifikasi berpotensi berbahaya. | Eksekusi | Sangat Penting |
| Penggunaan ekstensi Desired State Configuration (DSC) yang mencurigakan terdeteksi pada komputer virtual Anda (Pratinjau) (VM_DSCExtensionSuspiciousUsage) |
Penggunaan ekstensi Desired State Configuration (DSC) yang mencurigakan terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda. Penyerang mungkin menggunakan ekstensi Desired State Configuration (DSC) untuk menyebarkan konfigurasi berbahaya, seperti mekanisme persistensi, skrip berbahaya, dan banyak lagi, dengan hak istimewa tinggi, pada komputer virtual Anda. Aktivitas ini dianggap mencurigakan karena perilaku prinsipal berangkat dari polanya yang biasa, dan karena tingginya jumlah instalasi ekstensi. | Dampak | Kurang Penting |
| Ekstensi skrip kustom dengan skrip mencurigakan terdeteksi di komputer virtual Anda (Pratinjau) (VM_CustomScriptExtensionSuspiciousCmd) (Pemberitahuan ini sudah ada dan telah ditingkatkan dengan metode logika dan deteksi yang lebih ditingkatkan.) |
Ekstensi skrip kustom dengan skrip mencurigakan terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager dalam langganan Anda. Penyerang mungkin menggunakan ekstensi skrip Kustom untuk menjalankan kode berbahaya dengan hak istimewa tinggi di komputer virtual Anda melalui Azure Resource Manager. Skrip dianggap mencurigakan karena bagian tertentu diidentifikasi berpotensi berbahaya. | Eksekusi | Sangat Penting |
Lihat pemberitahuan berbasis ekstensi di Defender untuk Server.
Untuk daftar lengkap pemberitahuan, lihat tabel referensi untuk semua pemberitahuan keamanan di Microsoft Defender untuk Cloud.
Model bisnis dan pembaruan harga untuk paket Defender untuk Cloud
1 Agustus 2023
Microsoft Defender untuk Cloud memiliki tiga paket yang menawarkan perlindungan lapisan layanan:
Defender untuk Key Vault
Defender untuk Resource Manager
Defender untuk DNS
Paket ini telah beralih ke model bisnis baru dengan harga dan pengemasan yang berbeda untuk mengatasi umpan balik pelanggan mengenai prediksi pengeluaran dan menyederhanakan struktur biaya keseluruhan.
Ringkasan perubahan model bisnis dan harga:
Pelanggan Defender untuk Key-Vault, Defender for Resource Manager, dan Defender untuk DNS yang sudah ada menyimpan model dan harga bisnis mereka saat ini kecuali mereka secara aktif memilih untuk beralih ke model dan harga bisnis baru.
- Defender untuk Resource Manager: Paket ini memiliki harga tetap per langganan per bulan. Pelanggan dapat beralih ke model bisnis baru dengan memilih Defender untuk Resource Manager baru per model langganan.
Pelanggan Defender untuk Key-Vault, Defender for Resource Manager, dan Defender untuk DNS yang sudah ada menyimpan model dan harga bisnis mereka saat ini kecuali mereka secara aktif memilih untuk beralih ke model dan harga bisnis baru.
- Defender untuk Resource Manager: Paket ini memiliki harga tetap per langganan per bulan. Pelanggan dapat beralih ke model bisnis baru dengan memilih Defender untuk Resource Manager baru per model langganan.
- Defender untuk Key Vault: Paket ini memiliki harga tetap per vault, per bulan tanpa biaya kelebihan pemakaian. Pelanggan dapat beralih ke model bisnis baru dengan memilih model Defender for Key Vault baru per vault
- Defender untuk DNS: Pelanggan Defender untuk Server Paket 2 mendapatkan akses ke Defender untuk nilai DNS sebagai bagian dari Defender untuk Server Paket 2 tanpa biaya tambahan. Pelanggan yang memiliki Defender untuk Server Paket 2 dan Defender untuk DNS tidak lagi dikenakan biaya untuk Defender untuk DNS. Defender untuk DNS tidak lagi tersedia sebagai paket mandiri.
Pelajari selengkapnya tentang harga untuk paket ini di halaman harga Defender untuk Cloud.
Juli 2023
Pembaruan pada bulan Juli meliputi:
Pratinjau rilis penilaian kerentanan kontainer dengan Pengelolaan Kerentanan Microsoft Defender
31 Juli 2023
Kami mengumumkan rilis Penilaian Kerentanan (VA) untuk gambar kontainer Linux di registri kontainer Azure yang didukung oleh Pengelolaan Kerentanan Microsoft Defender di Defender untuk Kontainer dan Defender untuk Container Registries. Penawaran VA kontainer baru akan disediakan bersama penawaran Container VA kami yang ada yang didukung oleh Qualys di Defender untuk Kontainer dan Defender untuk Container Registries, dan mencakup pemulaian ulang harian gambar kontainer, informasi eksploitasibilitas, dukungan untuk OS dan bahasa pemrograman (SCA) dan banyak lagi.
Penawaran baru ini akan mulai diluncurkan hari ini, dan diharapkan tersedia untuk semua pelanggan pada 7 Agustus.
Pelajari selengkapnya tentang penilaian kerentanan kontainer dengan Pengelolaan Kerentanan Microsoft Defender.
Postur kontainer tanpa agen di Defender CSPM sekarang Tersedia Secara Umum
30 Juli 2023
Kemampuan postur kontainer tanpa agen sekarang Tersedia Secara Umum (GA) sebagai bagian dari paket Defender CSPM (Cloud Security Posture Management).
Pelajari selengkapnya tentang postur kontainer tanpa agen di Defender CSPM.
Manajemen pembaruan otomatis untuk Defender untuk Titik Akhir untuk Linux
20 Juli 2023
Secara default, Defender untuk Cloud mencoba memperbarui Defender for Endpoint untuk agen Linux yang di-onboarding dengan MDE.Linux ekstensi. Dengan rilis ini, Anda dapat mengelola pengaturan ini dan menolak konfigurasi default untuk mengelola siklus pembaruan Anda secara manual.
Pelajari cara mengelola konfigurasi pembaruan otomatis untuk Linux.
Pemindaian rahasia tanpa agen untuk komputer virtual di Defender untuk server P2 & Defender CSPM
18 Juli 2023
Pemindaian rahasia sekarang tersedia sebagai bagian dari pemindaian tanpa agen di Defender untuk Server P2 dan Defender CSPM. Kemampuan ini membantu mendeteksi rahasia yang tidak dikelola dan tidak aman yang disimpan di komputer virtual di sumber daya Azure atau AWS yang dapat digunakan untuk bergerak secara lateral di jaringan. Jika rahasia terdeteksi, Defender untuk Cloud dapat membantu memprioritaskan dan mengambil langkah-langkah remediasi yang dapat ditindaklanjuti untuk meminimalkan risiko gerakan lateral, semuanya tanpa memengaruhi performa komputer Anda.
Untuk informasi selengkapnya tentang cara melindungi rahasia Anda dengan pemindaian rahasia, lihat Mengelola rahasia dengan pemindaian rahasia tanpa agen.
Pemberitahuan keamanan baru di Defender untuk Server paket 2: mendeteksi potensi serangan yang memanfaatkan ekstensi driver GPU Azure VM
12 Juli 2023
Pemberitahuan ini berfokus pada mengidentifikasi aktivitas mencurigakan yang memanfaatkan ekstensi driver GPU komputer virtual Azure dan memberikan wawasan tentang upaya penyerang untuk membahayakan komputer virtual Anda. Pemberitahuan menargetkan penyebaran ekstensi driver GPU yang mencurigakan; ekstensi tersebut sering disalahgunakan oleh pelaku ancaman untuk memanfaatkan kekuatan penuh kartu GPU dan melakukan cryptojacking.
| Nama Tampilan Pemberitahuan (Jenis Pemberitahuan) |
Deskripsi | Tingkat keparahan | Taktik MITRE |
|---|---|---|---|
| Penginstalan ekstensi GPU yang mencurigakan di komputer virtual Anda (Pratinjau) (VM_GPUDriverExtensionUnusualExecution) |
Penginstalan ekstensi GPU yang mencurigakan terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda. Penyerang mungkin menggunakan ekstensi driver GPU untuk menginstal driver GPU di komputer virtual Anda melalui Azure Resource Manager untuk melakukan cryptojacking. | Kurang Penting | Dampak |
Untuk daftar lengkap pemberitahuan, lihat tabel referensi untuk semua pemberitahuan keamanan di Microsoft Defender untuk Cloud.
Dukungan untuk menonaktifkan temuan kerentanan tertentu
9 Juli 2023
Rilis dukungan untuk menonaktifkan temuan kerentanan untuk gambar registri kontainer Anda atau menjalankan gambar sebagai bagian dari postur kontainer tanpa agen. Jika Anda memiliki kebutuhan organisasi untuk mengabaikan temuan kerentanan pada gambar registri kontainer Anda, daripada memulihkannya, Anda dapat menonaktifkannya secara opsional. Temuan yang dinonaktifkan tidak memengaruhi skor aman Anda atau menghasilkan kebisingan yang tidak diinginkan.
Pelajari cara menonaktifkan temuan penilaian kerentanan pada gambar registri Kontainer.
Postur Keamanan Sadar Data sekarang Tersedia Secara Umum
1 Juli 2023
Postur keamanan sadar data di Microsoft Defender untuk Cloud sekarang Tersedia Secara Umum. Ini membantu pelanggan mengurangi risiko data, dan menanggapi pelanggaran data. Dengan menggunakan postur keamanan sadar data, Anda dapat:
- Temukan sumber daya data sensitif secara otomatis di seluruh Azure dan AWS.
- Mengevaluasi sensitivitas data, paparan data, dan bagaimana data mengalir di seluruh organisasi.
- Secara proaktif dan terus mengungkap risiko yang dapat menyebabkan pelanggaran data.
- Mendeteksi aktivitas mencurigakan yang mungkin menunjukkan ancaman berkelanjutan terhadap sumber daya data sensitif
Untuk informasi selengkapnya, lihat Postur keamanan sadar data di Microsoft Defender untuk Cloud.
Juni 2023
Pembaruan di bulan Juni meliputi:
Onboarding akun multicloud yang disederhanakan dengan pengaturan yang disempurnakan
26 Juni 2023
Defender untuk Cloud telah meningkatkan pengalaman onboarding untuk menyertakan antarmuka dan instruksi pengguna baru yang disederhanakan selain kemampuan baru yang memungkinkan Anda untuk onboarding lingkungan AWS dan GCP sambil menyediakan akses ke fitur onboarding tingkat lanjut.
Untuk organisasi yang telah mengadopsi Hashicorp Terraform untuk otomatisasi, Defender untuk Cloud sekarang menyertakan kemampuan untuk menggunakan Terraform sebagai metode penyebaran bersama AWS CloudFormation atau GCP Cloud Shell. Anda sekarang dapat menyesuaikan nama peran yang diperlukan saat membuat integrasi. Anda juga dapat memilih antara:
Akses default - Memungkinkan Defender untuk Cloud memindai sumber daya Anda dan secara otomatis menyertakan kemampuan di masa mendatang.
Akses dengan hak istimewa paling sedikit -Memberikan akses Defender untuk Cloud hanya ke izin saat ini yang diperlukan untuk paket yang dipilih.
Jika Anda memilih izin dengan hak istimewa paling sedikit, Anda hanya akan menerima pemberitahuan tentang peran dan izin baru yang diperlukan untuk mendapatkan fungsionalitas penuh pada kesehatan konektor.
Defender untuk Cloud memungkinkan Anda membedakan antara akun cloud Anda dengan nama aslinya dari vendor cloud. Misalnya, alias akun AWS dan nama proyek GCP.
Dukungan Titik Akhir Privat untuk Pemindaian Malware di Defender for Storage
25 Juni 2023
Dukungan Titik Akhir Privat sekarang tersedia sebagai bagian dari pratinjau publik Pemindaian Malware di Defender for Storage. Kemampuan ini memungkinkan pengaktifan Pemindaian Malware pada akun penyimpanan yang menggunakan titik akhir privat. Tidak diperlukan konfigurasi lain.
Pemindaian Malware (Pratinjau) di Defender for Storage membantu melindungi akun penyimpanan Anda dari konten berbahaya dengan melakukan pemindaian malware penuh pada konten yang diunggah mendekati real-time, menggunakan kemampuan Antivirus Microsoft Defender. Ini dirancang untuk membantu memenuhi persyaratan keamanan dan kepatuhan untuk menangani konten yang tidak tepercaya. Ini adalah solusi SaaS tanpa agen yang memungkinkan penyiapan sederhana dalam skala besar, tanpa pemeliharaan, dan mendukung respons otomatis dalam skala besar.
Titik akhir privat menyediakan konektivitas yang aman ke layanan Azure Storage Anda, secara efektif menghilangkan paparan internet publik, dan dianggap sebagai praktik terbaik keamanan.
Untuk akun penyimpanan dengan titik akhir privat yang telah mengaktifkan Pemindaian Malware, Anda harus menonaktifkan dan mengaktifkan paket dengan Pemindaian Malware agar ini berfungsi.
Pelajari selengkapnya tentang menggunakan titik akhir privat di Defender for Storage dan cara mengamankan layanan penyimpanan Anda lebih lanjut.
Rekomendasi yang dirilis untuk pratinjau: Menjalankan gambar kontainer harus memiliki temuan kerentanan yang diselesaikan (didukung oleh Pengelolaan Kerentanan Microsoft Defender)
21 Juni 2023
Rekomendasi kontainer baru di Defender CSPM yang didukung oleh Pengelolaan Kerentanan Microsoft Defender dirilis untuk pratinjau:
| Rekomendasi | Deskripsi | Kunci Penilaian |
|---|---|---|
| Menjalankan gambar kontainer harus memiliki temuan kerentanan yang diselesaikan (didukung oleh Pengelolaan Kerentanan Microsoft Defender)(Pratinjau) | Penilaian kerentanan gambar kontainer memindai registri Anda untuk kerentanan (CVE) yang umum diketahui dan memberikan laporan kerentanan terperinci untuk setiap gambar. Rekomendasi ini memberikan visibilitas ke gambar rentan yang saat ini berjalan di kluster Kubernetes Anda. Memulihkan kerentanan dalam gambar kontainer yang saat ini berjalan adalah kunci untuk meningkatkan postur keamanan Anda, secara signifikan mengurangi permukaan serangan untuk beban kerja kontainer Anda. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Rekomendasi baru ini menggantikan rekomendasi saat ini dengan nama yang sama, didukung oleh Qualys, hanya di Defender CSPM (mengganti kunci penilaian 41503391-efa5-47ee-9282-4eff6131462c).
Pembaruan kontrol dilakukan pada standar NIST 800-53 dalam kepatuhan terhadap peraturan
15 Juni 2023
Standar NIST 800-53 (R4 dan R5) baru-baru ini telah diperbarui dengan perubahan kontrol dalam kepatuhan peraturan Microsoft Defender untuk Cloud. Kontrol yang dikelola Microsoft telah dihapus dari standar, dan informasi tentang implementasi tanggung jawab Microsoft (sebagai bagian dari model tanggung jawab bersama cloud) sekarang hanya tersedia di panel detail kontrol di bawah Tindakan Microsoft.
Kontrol ini sebelumnya dihitung sebagai kontrol yang diteruskan, sehingga Anda mungkin melihat penurunan signifikan dalam skor kepatuhan Anda untuk standar NIST antara April 2023 dan Mei 2023.
Untuk informasi selengkapnya tentang kontrol kepatuhan, lihat Tutorial: Pemeriksaan kepatuhan terhadap peraturan - Microsoft Defender untuk Cloud.
Perencanaan migrasi cloud dengan kasus bisnis Azure Migrate sekarang mencakup Defender untuk Cloud
11 Juni 2023
Sekarang Anda dapat menemukan potensi penghematan biaya dalam keamanan dengan menerapkan Defender untuk Cloud dalam konteks kasus bisnis Azure Migrate.
Konfigurasi ekspres untuk penilaian kerentanan di Defender untuk SQL sekarang Tersedia Secara Umum
7 Juni 2023
Konfigurasi ekspres untuk penilaian kerentanan di Defender untuk SQL sekarang Tersedia Secara Umum. Konfigurasi ekspres memberikan pengalaman orientasi yang disederhanakan untuk penilaian kerentanan SQL dengan menggunakan konfigurasi satu klik (atau panggilan API). Tidak ada pengaturan atau dependensi tambahan pada akun penyimpanan terkelola yang diperlukan.
Lihat blog ini untuk mempelajari selengkapnya tentang konfigurasi ekspres.
Anda dapat mempelajari perbedaan antara konfigurasi ekspres dan klasik.
Cakupan lainnya ditambahkan ke Koneksi or Azure DevOps yang sudah ada
6 Juni 2023
Defender untuk DevOps menambahkan cakupan tambahan berikut ke aplikasi Azure DevOps (ADO):
Manajemen Keamanan Lanjutan:
vso.advsec_manage. Yang diperlukan untuk memungkinkan Anda mengaktifkan, menonaktifkan, dan mengelola GitHub Advanced Security untuk ADO.Pemetaan Kontainer:
vso.extension_manage,vso.gallery_manager; Yang diperlukan untuk memungkinkan Anda berbagi ekstensi dekorator dengan organisasi ADO.
Hanya pelanggan Defender for DevOps baru yang mencoba menyetor sumber daya ADO ke Microsoft Defender untuk Cloud yang terpengaruh oleh perubahan ini.
Onboarding langsung (tanpa Azure Arc) ke Defender untuk Server sekarang Tersedia Secara Umum
5 Juni 2023
Sebelumnya, Azure Arc diperlukan untuk onboarding server non-Azure ke Defender for Servers. Namun, dengan rilis terbaru Anda juga dapat onboarding server lokal Anda ke Defender for Servers hanya menggunakan agen Microsoft Defender untuk Titik Akhir.
Metode baru ini menyederhanakan proses onboarding untuk pelanggan yang berfokus pada perlindungan titik akhir inti dan memungkinkan Anda memanfaatkan penagihan berbasis konsumsi Defender for Server untuk aset cloud dan noncloud. Opsi onboarding langsung melalui Defender for Endpoint tersedia sekarang, dengan penagihan untuk mesin onboarding mulai 1 Juli.
Untuk informasi selengkapnya, lihat Koneksi komputer non-Azure Anda untuk Microsoft Defender untuk Cloud dengan Defender for Endpoint.
Mengganti penemuan berbasis agen dengan penemuan tanpa agen untuk kemampuan kontainer di Defender CSPM
4 Juni 2023
Dengan kemampuan Postur Kontainer Tanpa Agen yang tersedia di Defender CSPM, kemampuan penemuan berbasis agen sekarang dihentikan. Jika saat ini Anda menggunakan kemampuan kontainer dalam Defender CSPM, pastikan ekstensi yang relevan diaktifkan untuk terus menerima nilai terkait kontainer dari kemampuan tanpa agen baru seperti jalur serangan, wawasan, dan inventori terkait kontainer. (Dibutuhkan waktu hingga 24 jam untuk melihat efek mengaktifkan ekstensi).
Pelajari selengkapnya tentang postur kontainer tanpa agen.
Mei 2023
Pembaruan di mungkin meliputi:
- Pemberitahuan baru di Defender untuk Key Vault.
- Dukungan untuk pemindaian disk terenkripsi tanpa agen di AWS.
- Perubahan konvensi penamaan aturan JIT (Just-In-Time) di Defender untuk Cloud.
- Onboarding wilayah AWS yang dipilih.
- Perubahan pada rekomendasi identitas.
- Penghentian standar warisan di dasbor kepatuhan.
- Pembaruan dua rekomendasi Defender for DevOps untuk menyertakan temuan pemindaian Azure DevOps.
- Pengaturan default baru untuk solusi penilaian kerentanan Defender for Server.
- Kemampuan untuk mengunduh laporan CSV hasil kueri penjelajah keamanan cloud Anda (Pratinjau).
- Rilis penilaian kerentanan kontainer dengan Pengelolaan Kerentanan Microsoft Defender.
- Penggantian nama rekomendasi kontainer yang didukung oleh Qualys.
- Pembaruan untuk Aplikasi GitHub Defender for DevOps.
- Ubah ke anotasi Permintaan Pull Defender for DevOps di repositori Azure DevOps yang sekarang menyertakan Infrastruktur sebagai Kesalahan konfigurasi Kode.
Pemberitahuan baru di Defender untuk Key Vault
| Peringatan (jenis peringatan) | Deskripsi | Taktik MITRE | Tingkat keparahan |
|---|---|---|---|
| Akses yang tidak biasa ke brankas kunci dari IP yang mencurigakan (Non-Microsoft atau Eksternal) (KV_UnusualAccessSuspiciousIP) |
Pengguna atau perwakilan layanan telah mencoba akses anomali ke brankas kunci dari IP non-Microsoft dalam 24 jam terakhir. Pola akses anomali ini mungkin merupakan aktivitas yang sah. Ini bisa menjadi indikasi kemungkinan upaya untuk mendapatkan akses brankas kunci dan rahasia yang terkandung di dalamnya. Kami merekomendasikan investigasi lebih lanjut. | Akses Info Masuk | Medium |
Untuk semua pemberitahuan yang tersedia, lihat Pemberitahuan untuk Azure Key Vault.
Pemindaian tanpa agen sekarang mendukung disk terenkripsi di AWS
Pemindaian tanpa agen untuk VM sekarang mendukung pemrosesan instans dengan disk terenkripsi di AWS, menggunakan CMK dan PMK.
Dukungan yang diperluas ini meningkatkan cakupan dan visibilitas atas estat cloud Anda tanpa memengaruhi beban kerja anda yang sedang berjalan. Dukungan untuk disk terenkripsi mempertahankan metode dampak nol yang sama pada instans yang berjalan.
- Untuk pelanggan baru yang mengaktifkan pemindaian tanpa agen di AWS - cakupan disk terenkripsi dibangun dan didukung secara default.
- Untuk pelanggan yang sudah ada yang sudah mengaktifkan konektor AWS dengan pemindaian tanpa agen, Anda perlu menerapkan kembali tumpukan CloudFormation ke akun AWS onboarding Anda untuk memperbarui dan menambahkan izin baru yang diperlukan untuk memproses disk terenkripsi. Templat CloudFormation yang diperbarui mencakup penetapan baru yang memungkinkan Defender untuk Cloud memproses disk terenkripsi.
Anda dapat mempelajari selengkapnya tentang izin yang digunakan untuk memindai instans AWS.
Untuk menerapkan kembali tumpukan CloudFormation Anda:
- Buka pengaturan lingkungan Defender untuk Cloud dan buka konektor AWS Anda.
- Navigasikan ke tab Konfigurasi Akses .
- Pilih Klik untuk mengunduh templat CloudFormation.
- Navigasi ke lingkungan AWS Anda dan terapkan templat yang diperbarui.
Pelajari selengkapnya tentang pemindaian tanpa agen dan mengaktifkan pemindaian tanpa agen di AWS.
Konvensi penamaan aturan JIT (Just-In-Time) yang direvisi di Defender untuk Cloud
Kami merevisi aturan JIT (Just-In-Time) untuk menyelaraskan dengan merek Microsoft Defender untuk Cloud. Kami mengubah konvensi penamaan untuk aturan Azure Firewall dan NSG (Kelompok Keamanan Jaringan).
Perubahan dicantumkan sebagai berikut:
| Deskripsi | Nama Lama | Nama Baru |
|---|---|---|
| Nama aturan JIT (izinkan dan tolak) di NSG (Kelompok Keamanan Jaringan) | SecurityCenter-JITRule | MicrosoftDefenderForCloud-JITRule |
| Deskripsi aturan JIT di NSG | Aturan Akses Jaringan JIT ASC | Aturan Akses Jaringan JIT MDC |
| Nama kumpulan aturan firewall JIT | ASC-JIT | MDC-JIT |
| Nama aturan firewall JIT | ASC-JIT | MDC-JIT |
Pelajari cara mengamankan port manajemen Anda dengan akses Just-In-Time.
Onboard wilayah AWS yang dipilih
Untuk membantu Mengelola biaya dan kebutuhan kepatuhan AWS CloudTrail, Anda sekarang dapat memilih wilayah AWS mana yang akan dipindai saat menambahkan atau mengedit konektor cloud. Sekarang Anda dapat memindai wilayah AWS tertentu yang dipilih atau semua wilayah yang tersedia (default), saat Anda melakukan onboarding akun AWS untuk Defender untuk Cloud. Pelajari selengkapnya di Koneksi akun AWS Anda untuk Microsoft Defender untuk Cloud.
Beberapa perubahan pada rekomendasi identitas
Rekomendasi berikut sekarang dirilis sebagai Ketersediaan Umum (GA) dan menggantikan rekomendasi V1 yang sekarang tidak digunakan lagi.
Rilis Ketersediaan Umum (GA) rekomendasi identitas V2
Rilis V2 rekomendasi identitas memperkenalkan penyempurnaan berikut:
- Cakupan pemindaian telah diperluas untuk menyertakan semua sumber daya Azure, bukan hanya langganan. Ini memungkinkan administrator keamanan untuk melihat penetapan peran per akun.
- Akun tertentu sekarang dapat dikecualikan dari evaluasi. Akun seperti break glass atau akun layanan dapat dikecualikan oleh administrator keamanan.
- Frekuensi pemindaian telah ditingkatkan dari 24 jam menjadi 12 jam, sehingga memastikan bahwa rekomendasi identitas lebih terbaru dan akurat.
Rekomendasi keamanan berikut tersedia di GA dan mengganti rekomendasi V1:
| Rekomendasi | Kunci Penilaian |
|---|---|
| Akun dengan izin pemilik pada sumber daya Azure harus didukung oleh MFA | 6240402e-f77c-46fa-9060-a7ce53997754 |
| Akun dengan izin tulis pada sumber daya Azure harus didukung oleh MFA | c0cb17b2-0607-48a7-b0e0-903ed22de39b |
| Akun dengan izin baca pada sumber daya Azure harus didukung oleh MFA | dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c |
| Akun tamu dengan izin pemilik pada sumber daya Azure harus dihapus | 20606e75-05c4-48c0-9d97-add6daa2109a |
| Akun tamu dengan izin tulis pada sumber daya Azure harus dihapus | 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb |
| Akun tamu dengan izin baca pada sumber daya Azure harus dihapus | fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 |
| Akun yang diblokir dengan izin pemilik pada sumber daya Azure harus dihapus | 050ac097-3dda-4d24-ab6d-82568e7a50cf |
| Akun yang diblokir dengan izin baca dan tulis pada sumber daya Azure harus dihapus | 1ff0b4c9-ed56-4de6-be9c-d7ab39645926 |
Penghentian rekomendasi identitas V1
Rekomendasi keamanan berikut sekarang tidak digunakan lagi:
| Rekomendasi | Kunci Penilaian |
|---|---|
| MFA harus diaktifkan pada akun dengan izin pemilik pada langganan. | 94290b00-4d0c-d7b4-7cea-064a9554e681 |
| MFA harus diaktifkan pada akun dengan izin tulis pada langganan. | 57e98606-6b1e-6193-0e3d-fe621387c16b |
| MFA harus diaktifkan pada akun dengan izin baca pada langganan. | 151e82c5-5341-a74b-1eb0-bc38d2c84bb5 |
| Akun eksternal dengan izin pemilik harus dihapus dari langganan. | c3b6ae71-f1f0-31b4-e6c1-d5951285d03d |
| Akun eksternal dengan izin tulis harus dihapus dari langganan. | 04e7147b-0deb-9796-2e5c-0336343ceb3d |
| Akun eksternal dengan izin baca harus dihapus dari langganan. | a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b |
| Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan. | e52064aa-6853-e252-a11e-dffc675689c2 |
| Akun yang tidak digunakan lagi harus dihapus dari langganan | 00c6d40b-e990-6acf-d4f3-471e747a27c4 |
Sebaiknya perbarui skrip, alur kerja, dan aturan tata kelola kustom Anda agar sesuai dengan rekomendasi V2.
Penghentian standar warisan di dasbor kepatuhan
PCI DSS v3.2.1 dan warisan SOC TSP telah sepenuhnya tidak digunakan lagi di dasbor kepatuhan Defender untuk Cloud, dan digantikan oleh inisiatif SOC 2 Tipe 2 dan standar kepatuhan berbasis inisiatif PCI DSS v4. Kami telah sepenuhnya menghentikan dukungan standar/inisiatif PCI DSS di Microsoft Azure yang dioperasikan oleh 21Vianet.
Pelajari cara menyesuaikan kumpulan standar di dasbor kepatuhan peraturan Anda.
Dua rekomendasi Defender untuk DevOps sekarang menyertakan temuan pemindaian Azure DevOps
Defender untuk DevOps Code dan IaC telah memperluas cakupan rekomendasinya dalam Microsoft Defender untuk Cloud untuk menyertakan temuan keamanan Azure DevOps untuk dua rekomendasi berikut:
Code repositories should have code scanning findings resolvedCode repositories should have infrastructure as code scanning findings resolved
Sebelumnya, cakupan untuk pemindaian keamanan Azure DevOps hanya menyertakan rekomendasi rahasia.
Pelajari selengkapnya tentang Defender untuk DevOps.
Pengaturan default baru untuk solusi penilaian kerentanan Defender for Server
Solusi penilaian kerentanan (VA) sangat penting untuk melindungi mesin dari serangan cyber dan pelanggaran data.
Pengelolaan Kerentanan Microsoft Defender sekarang diaktifkan sebagai solusi bawaan default untuk semua langganan yang dilindungi oleh Defender untuk Server yang belum memiliki solusi VA yang dipilih.
Jika langganan memiliki solusi VA yang diaktifkan pada salah satu VM-nya, tidak ada perubahan yang dilakukan dan Pengelolaan Kerentanan Microsoft Defender tidak akan diaktifkan secara default pada VM yang tersisa dalam langganan tersebut. Anda dapat memilih untuk mengaktifkan solusi VA pada VM yang tersisa pada langganan Anda.
Pelajari cara Menemukan kerentanan dan mengumpulkan inventaritas perangkat lunak dengan pemindaian tanpa agen (Pratinjau).
Mengunduh laporan CSV hasil kueri penjelajah keamanan cloud Anda (Pratinjau)
Defender untuk Cloud telah menambahkan kemampuan untuk mengunduh laporan CSV hasil kueri penjelajah keamanan cloud Anda.
Setelah menjalankan pencarian kueri, Anda dapat memilih tombol Unduh laporan CSV (Pratinjau) dari halaman Cloud Security Explorer di Defender untuk Cloud.
Pelajari cara membuat kueri dengan penjelajah keamanan cloud
Rilis penilaian kerentanan kontainer dengan Pengelolaan Kerentanan Microsoft Defender
Kami mengumumkan rilis Penilaian Kerentanan untuk gambar Linux di registri kontainer Azure yang didukung oleh Pengelolaan Kerentanan Microsoft Defender di Defender CSPM. Rilis ini mencakup pemindaian gambar harian. Temuan yang digunakan di Penjelajah Keamanan dan jalur serangan mengandalkan Penilaian Kerentanan Pertahanan Microsoft, bukan pemindai Qualys.
Rekomendasi Container registry images should have vulnerability findings resolved yang ada digantikan oleh rekomendasi baru:
| Rekomendasi | Deskripsi | Kunci Penilaian |
|---|---|---|
| Gambar registri kontainer harus memiliki temuan kerentanan yang diselesaikan (didukung oleh Pengelolaan Kerentanan Microsoft Defender) | Penilaian kerentanan gambar kontainer memindai registri Anda untuk kerentanan (CVE) yang umum diketahui dan memberikan laporan kerentanan terperinci untuk setiap gambar. Rekomendasi ini memberikan visibilitas ke gambar rentan yang saat ini berjalan di kluster Kubernetes Anda. Memulihkan kerentanan dalam gambar kontainer yang saat ini berjalan adalah kunci untuk meningkatkan postur keamanan Anda, secara signifikan mengurangi permukaan serangan untuk beban kerja kontainer Anda. | dbd0cb49-b563-45e7-9724-889e799fa648 digantikan oleh c0b7cfc6-3172-465a-b378-53c7ff2cc0d5. |
Pelajari selengkapnya tentang postur kontainer Tanpa Agen di Defender CSPM.
Pelajari selengkapnya tentang Pengelolaan Kerentanan Microsoft Defender.
Mengganti nama rekomendasi kontainer yang didukung oleh Qualys
Rekomendasi kontainer saat ini di Defender untuk Kontainer akan diganti namanya sebagai berikut:
| Rekomendasi | Deskripsi | Kunci Penilaian |
|---|---|---|
| Gambar registri kontainer harus menyelesaikan temuan kerentanan (didukung oleh Qualys) | Penilaian kerentanan citra kontainer memindai registri Anda dari kerentanan keamanan dan memaparkan temuan terperinci untuk setiap citra. Menyelesaikan kerentanan dapat meningkatkan postur keamanan kontainer Anda dengan pesat dan melindunginya dari serangan. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Menjalankan gambar kontainer harus memiliki temuan kerentanan yang diselesaikan (didukung oleh Qualys) | Penilaian kerentanan gambar kontainer memindai gambar kontainer yang berjalan di kluster Kubernetes Anda untuk kerentanan keamanan dan memperlihatkan temuan mendetail untuk setiap gambar. Menyelesaikan kerentanan dapat meningkatkan postur keamanan kontainer Anda dengan pesat dan melindunginya dari serangan. | 41503391-efa5-47ee-9282-4eff6131462c |
Pembaruan Aplikasi Defender for DevOps GitHub
Pertahanan Microsoft untuk DevOps terus-menerus membuat perubahan dan pembaruan yang mengharuskan pelanggan Defender untuk DevOps yang telah melakukan onboarding lingkungan GitHub mereka di Defender untuk Cloud untuk memberikan izin sebagai bagian dari aplikasi yang disebarkan di organisasi GitHub mereka. Izin ini diperlukan untuk memastikan semua fitur keamanan Defender for DevOps beroperasi secara normal dan tanpa masalah.
Sebaiknya perbarui izin sesegera mungkin untuk memastikan akses berkelanjutan ke semua fitur Defender for DevOps yang tersedia.
Izin dapat diberikan dengan dua cara berbeda:
Di organisasi Anda, pilih Aplikasi GitHub. Temukan organisasi Anda, dan pilih Tinjau permintaan.
Anda akan mendapatkan email otomatis dari Dukungan GitHub. Di email, pilih Tinjau permintaan izin untuk menerima atau menolak perubahan ini.
Setelah mengikuti salah satu opsi ini, Anda akan dinavigasi ke layar tinjauan tempat Anda harus meninjau permintaan. Pilih Terima izin baru untuk menyetujui permintaan.
Jika Memerlukan bantuan untuk memperbarui izin, Anda dapat membuat permintaan dukungan Azure.
Anda juga dapat mempelajari lebih lanjut tentang Defender untuk DevOps. Jika langganan memiliki solusi VA yang diaktifkan pada salah satu VM-nya, tidak ada perubahan yang dilakukan dan Pengelolaan Kerentanan Microsoft Defender tidak akan diaktifkan secara default pada VM yang tersisa dalam langganan tersebut. Anda dapat memilih untuk mengaktifkan solusi VA pada VM yang tersisa pada langganan Anda.
Pelajari cara Menemukan kerentanan dan mengumpulkan inventaritas perangkat lunak dengan pemindaian tanpa agen (Pratinjau).
Anotasi Permintaan Pull Defender for DevOps di repositori Azure DevOps sekarang menyertakan Infrastruktur sebagai Kesalahan konfigurasi Kode
Defender for DevOps telah memperluas cakupan anotasi Permintaan Pull (PR) di Azure DevOps untuk menyertakan kesalahan konfigurasi Infrastruktur sebagai Kode (IaC) yang terdeteksi di templat Azure Resource Manager dan Bicep.
Pengembang sekarang dapat melihat anotasi untuk kesalahan konfigurasi IaC langsung di PR mereka. Pengembang juga dapat memulihkan masalah keamanan penting sebelum infrastruktur disediakan ke dalam beban kerja cloud. Untuk menyederhanakan remediasi, pengembang diberikan tingkat keparahan, deskripsi kesalahan konfigurasi, dan instruksi remediasi dalam setiap anotasi.
Sebelumnya, cakupan untuk anotasi Defender untuk DevOps PR di Azure DevOps hanya menyertakan rahasia.
Pelajari selengkapnya tentang anotasi Defender for DevOps dan Pull Request.
April 2023
Pembaruan di bulan April meliputi:
- Postur Kontainer Tanpa Agen di Defender CSPM (Pratinjau)
- Rekomendasi Enkripsi Disk Terpadu pratinjau baru
- Perubahan mesin rekomendasi harus dikonfigurasi dengan aman
- Penghentian kebijakan pemantauan bahasa App Service
- Pemberitahuan baru di Defender untuk Resource Manager
- Tiga pemberitahuan dalam paket Defender untuk Resource Manager telah ditolak
- Pemberitahuan ekspor otomatis ke ruang kerja Analitik Log tidak digunakan lagi
- Penghentian dan penyempurnaan pemberitahuan yang dipilih untuk Server Windows dan Linux
- Rekomendasi terkait autentikasi Azure Active Directory baru untuk Azure Data Services
- Dua rekomendasi terkait pembaruan Sistem Operasi (OS) yang hilang dirilis ke GA
- Defender untuk API (Pratinjau)
Postur Kontainer Tanpa Agen di Defender CSPM (Pratinjau)
Kemampuan Postur Kontainer Tanpa Agen (Pratinjau) baru tersedia sebagai bagian dari paket Defender CSPM (Manajemen Postur Keamanan Cloud).
Postur Kontainer Tanpa Agen memungkinkan tim keamanan mengidentifikasi risiko keamanan dalam kontainer dan ranah Kubernetes. Pendekatan tanpa agen memungkinkan tim keamanan untuk mendapatkan visibilitas ke registri Kubernetes dan kontainer mereka di seluruh SDLC dan runtime, menghapus gesekan dan jejak dari beban kerja.
Postur Kontainer Tanpa Agen menawarkan penilaian kerentanan kontainer yang, dikombinasikan dengan analisis jalur serangan, memungkinkan tim keamanan untuk memprioritaskan dan memperbesar kerentanan kontainer tertentu. Anda juga dapat menggunakan penjelajah keamanan cloud untuk mengungkap risiko dan berburu wawasan postur kontainer, seperti penemuan aplikasi yang menjalankan gambar yang rentan atau terekspos ke internet.
Pelajari lebih lanjut di Postur Kontainer Tanpa Agen (Pratinjau).
Rekomendasi Enkripsi Disk Terpadu (pratinjau)
Ada rekomendasi enkripsi disk terpadu baru dalam pratinjau.
Wndows virtual machines should enable Azure Disk Encryption or EncryptionAtHostLinux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.
Rekomendasi ini menggantikan Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, yang mendeteksi Azure Disk Encryption dan kebijakan Virtual machines and virtual machine scale sets should have encryption at host enabled, yang mendeteksi EncryptionAtHost. ADE dan EncryptionAtHost menyediakan enkripsi yang sebanding saat istirahat, dan sebaiknya aktifkan salah satunya di setiap komputer virtual. Rekomendasi baru mendeteksi apakah ADE atau EncryptionAtHost diaktifkan dan hanya memperingatkan jika tidak diaktifkan. Kami juga memperingatkan apakah ADE diaktifkan pada beberapa, tetapi tidak semua disk VM (kondisi ini tidak berlaku untuk EncryptionAtHost).
Rekomendasi baru memerlukan Konfigurasi Mesin Azure Automanage.
Rekomendasi ini didasarkan pada kebijakan berikut:
- (Pratinjau) Komputer virtual Windows harus mengaktifkan Azure Disk Encryption atau EncryptionAtHost
- (Pratinjau) Komputer virtual Linux harus mengaktifkan Azure Disk Encryption atau EncryptionAtHost
Pelajari selengkapnya tentang ADE dan EncryptionAtHost dan cara mengaktifkan salah satunya.
Perubahan mesin rekomendasi harus dikonfigurasi dengan aman
Rekomendasi Machines should be configured securely telah diperbarui. Pembaruan ini meningkatkan performa dan stabilitas rekomendasi dan menyelaraskan pengalamannya dengan perilaku umum rekomendasi Defender untuk Cloud.
Sebagai bagian dari pembaruan ini, ID rekomendasi diubah dari 181ac480-f7c4-544b-9865-11b8ffe87f47 ke c476dc48-8110-4139-91af-c8d940896b98.
Tidak ada tindakan yang diperlukan di sisi pelanggan, dan tidak ada efek yang diharapkan pada skor aman.
Penghentian kebijakan pemantauan bahasa App Service
Kebijakan pemantauan bahasa App Service berikut tidak digunakan lagi karena kemampuannya untuk menghasilkan negatif palsu dan karena tidak memberikan keamanan yang lebih baik. Anda harus selalu memastikan Anda menggunakan versi bahasa tanpa kerentanan yang diketahui.
| Nama Azure Policy | ID Azure Policy |
|---|---|
| Aplikasi App Service yang menggunakan Java harus menggunakan 'versi Java' terbaru | 496223c3-ad65-4ecd-878a-bae78737e9ed |
| Aplikasi App Service yang menggunakan Python harus menggunakan 'versi Python' terbaru | 7008174a-fd10-4ef0-817e-fc820a951d73 |
| Aplikasi Fungsi yang menggunakan Java harus menggunakan 'versi Java' terbaru | 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc |
| Aplikasi Fungsi yang menggunakan Python harus menggunakan 'versi Python' terbaru | 7238174a-fd10-4ef0-817e-fc820a951d73 |
| Aplikasi App Service yang menggunakan PHP harus menggunakan 'versi PHP' terbaru | 7261b898-8a84-4db8-9e04-18527132abb3 |
Pelanggan dapat menggunakan kebijakan bawaan alternatif untuk memantau versi bahasa yang ditentukan untuk App Services mereka.
Kebijakan ini tidak lagi tersedia dalam rekomendasi bawaan Defender untuk Cloud. Anda dapat menambahkannya sebagai rekomendasi kustom agar Defender untuk Cloud memantaunya.
Pemberitahuan baru di Defender untuk Resource Manager
Defender untuk Resource Manager memiliki pemberitahuan baru berikut:
| Peringatan (jenis peringatan) | Deskripsi | Taktik MITRE | Tingkat keparahan |
|---|---|---|---|
| PRATINJAU - Pembuatan sumber daya komputasi yang mencurigakan terdeteksi (ARM_SuspiciousComputeCreation) |
Microsoft Defender untuk Resource Manager mengidentifikasi pembuatan sumber daya komputasi yang mencurigakan dalam langganan Anda menggunakan Virtual Machines/Azure Scale Set. Operasi yang diidentifikasi dirancang untuk memungkinkan administrator mengelola lingkungan mereka secara efisien dengan menyebarkan sumber daya baru saat diperlukan. Meskipun aktivitas ini mungkin sah, pelaku ancaman mungkin menggunakan operasi tersebut untuk melakukan penambangan kripto. Aktivitas ini dianggap mencurigakan karena skala sumber daya komputasi lebih tinggi dari yang diamati sebelumnya dalam langganan. Ini dapat menunjukkan bahwa prinsipal disusupi dan digunakan dengan niat jahat. |
Dampak | Medium |
Anda dapat melihat daftar semua pemberitahuan yang tersedia untuk Resource Manager.
Tiga pemberitahuan dalam paket Defender untuk Resource Manager telah ditolak
Tiga pemberitahuan berikut untuk paket Defender for Resource Manager telah ditolak:
Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
Dalam skenario di mana aktivitas dari alamat IP yang mencurigakan terdeteksi, salah satu pemberitahuan Azure Resource Manager operation from suspicious IP address paket Defenders for Resource Manager berikut atau Azure Resource Manager operation from suspicious proxy IP address akan ada.
Pemberitahuan ekspor otomatis ke ruang kerja Analitik Log tidak digunakan lagi
Pemberitahuan keamanan Defenders for Cloud secara otomatis diekspor ke ruang kerja Analitik Log default di tingkat sumber daya. Ini menyebabkan perilaku yang tidak deterministik dan oleh karena itu kami telah menghentikan fitur ini.
Sebagai gantinya, Anda dapat mengekspor pemberitahuan keamanan ke ruang kerja Analitik Log khusus dengan Ekspor Berkelanjutan.
Jika Anda telah mengonfigurasi ekspor berkelanjutan pemberitahuan Anda ke ruang kerja Analitik Log, tidak ada tindakan lebih lanjut yang diperlukan.
Penghentian dan penyempurnaan pemberitahuan yang dipilih untuk Server Windows dan Linux
Proses peningkatan kualitas pemberitahuan keamanan untuk Defender untuk Server mencakup penghentian beberapa pemberitahuan untuk server Windows dan Linux. Pemberitahuan yang tidak digunakan lagi sekarang bersumber dari dan dicakup oleh pemberitahuan ancaman Defender for Endpoint.
Jika Anda sudah mengaktifkan integrasi Defender for Endpoint, tidak diperlukan tindakan lebih lanjut. Anda mungkin mengalami penurunan volume pemberitahuan pada bulan April 2023.
Jika Anda tidak mengaktifkan integrasi Defender for Endpoint di Defender for Servers, Anda harus mengaktifkan integrasi Defender for Endpoint untuk mempertahankan dan meningkatkan cakupan pemberitahuan Anda.
Semua pelanggan Defender for Servers, memiliki akses penuh ke integrasi Defender for Endpoint sebagai bagian dari paket Defender for Servers.
Anda dapat mempelajari selengkapnya tentang opsi onboarding Microsoft Defender untuk Titik Akhir.
Anda juga dapat melihat daftar lengkap pemberitahuan yang diatur agar tidak digunakan lagi.
Baca blog Microsoft Defender untuk Cloud.
Rekomendasi terkait autentikasi Azure Active Directory baru untuk Azure Data Services
Kami telah menambahkan empat rekomendasi autentikasi Azure Active Directory baru untuk Azure Data Services.
| Nama Rekomendasi | Deskripsi Rekomendasi | Kebijakan |
|---|---|---|
| Mode autentikasi Azure SQL Managed Instance harus Azure Active Directory Saja | Menonaktifkan metode autentikasi lokal dan hanya memungkinkan Autentikasi Azure Active Directory meningkatkan keamanan dengan memastikan bahwa Azure SQL Managed Instance dapat diakses secara eksklusif oleh identitas Azure Active Directory. | Azure SQL Managed Instance harus mengaktifkan Hanya Autentikasi Azure Active Directory |
| Mode autentikasi Ruang Kerja Azure Synapse harus Azure Active Directory Saja | Azure Active Directory hanya metode autentikasi yang meningkatkan keamanan dengan memastikan bahwa Ruang Kerja Synapse secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya. | Ruang Kerja Synapse hanya boleh menggunakan identitas Azure Active Directory untuk autentikasi |
| Azure Database for MySQL harus memiliki administrator Azure Active Directory yang disediakan | Provisikan administrator Azure ACTIVE Directory untuk Azure Database for MySQL Anda untuk mengaktifkan autentikasi Azure ACTIVE Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya | Administrator Azure Active Directory harus disediakan untuk server MySQL |
| Azure Database for PostgreSQL harus memiliki administrator Azure Active Directory yang disediakan | Provisikan administrator Azure ACTIVE Directory untuk Azure Database for PostgreSQL Anda untuk mengaktifkan autentikasi Azure ACTIVE Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya | Administrator Azure Active Directory harus disediakan untuk server PostgreSQL |
Dua rekomendasi terkait pembaruan Sistem Operasi (OS) yang hilang dirilis ke GA
Rekomendasi System updates should be installed on your machines (powered by Azure Update Manager) dan Machines should be configured to periodically check for missing system updates telah dirilis untuk Ketersediaan Umum.
Untuk menggunakan rekomendasi baru, Anda perlu:
- Koneksi komputer non-Azure Anda ke Arc.
- Aktifkan properti penilaian berkala. Anda dapat menggunakan tombol Perbaiki.
dalam rekomendasi baru,
Machines should be configured to periodically check for missing system updatesuntuk memperbaiki rekomendasi.
Setelah menyelesaikan langkah-langkah ini, Anda dapat menghapus rekomendasi System updates should be installed on your machineslama , dengan menonaktifkannya dari inisiatif bawaan Defender untuk Cloud dalam kebijakan Azure.
Dua versi rekomendasi:
System updates should be installed on your machinesSystem updates should be installed on your machines (powered by Azure Update Manager)
Keduanya akan tersedia sampai agen Analitik Log tidak digunakan lagi pada 31 Agustus 2024, yaitu ketika versi yang lebih lama (System updates should be installed on your machines) dari rekomendasi juga akan ditolak. Kedua rekomendasi mengembalikan hasil yang sama dan tersedia di bawah kontrol Apply system updatesyang sama .
Rekomendasi System updates should be installed on your machines (powered by Azure Update Manager) baru memiliki alur remediasi yang tersedia melalui tombol Perbaikan, yang dapat digunakan untuk memulihkan hasil apa pun melalui Manajer Pembaruan (Pratinjau). Proses remediasi ini masih dalam Pratinjau.
Rekomendasi System updates should be installed on your machines (powered by Azure Update Manager) baru tidak diharapkan memengaruhi Skor Aman Anda, karena memiliki hasil yang sama dengan rekomendasi System updates should be installed on your machineslama .
Rekomendasi prasyarat (Aktifkan properti penilaian berkala) memiliki efek negatif pada Skor Aman Anda. Anda dapat memulihkan efek negatif dengan tombol Perbaikan yang tersedia.
Defender untuk API (Pratinjau)
Defender untuk Cloud Microsoft mengumumkan Defender untuk API baru tersedia dalam pratinjau.
Defender untuk API menawarkan perlindungan siklus hidup penuh, deteksi, dan cakupan respons untuk API.
Defender untuk API membantu Anda mendapatkan visibilitas ke API yang penting bagi bisnis. Anda dapat menyelidiki dan meningkatkan postur keamanan API Anda, memprioritaskan perbaikan kerentanan, dan dengan cepat mendeteksi ancaman real time aktif.
Pelajari selengkapnya tentang Defender untuk API.
Maret 2023
Pembaruan di bulan Maret meliputi:
- Paket Defender for Storage baru tersedia, termasuk pemindaian malware hampir real time dan deteksi ancaman data sensitif
- Postur keamanan sadar data (pratinjau)
- Pengalaman yang ditingkatkan untuk mengelola kebijakan keamanan Azure default
- Defender CSPM (Cloud Security Posture Management) sekarang Tersedia Secara Umum (GA)
- Opsi untuk membuat rekomendasi kustom dan standar keamanan di Microsoft Defender untuk Cloud
- Tolok ukur keamanan cloud Microsoft (MCSB) versi 1.0 sekarang Tersedia Secara Umum (GA)
- Beberapa standar kepatuhan peraturan sekarang tersedia di cloud pemerintah
- Rekomendasi pratinjau baru untuk Azure SQL Server
- Pemberitahuan baru di Defender untuk Key Vault
Paket Defender for Storage baru tersedia, termasuk pemindaian malware hampir real time dan deteksi ancaman data sensitif
Penyimpanan cloud memainkan peran utama dalam organisasi dan menyimpan data berharga dan sensitif dalam volume besar. Hari ini kami mengumumkan paket Defender for Storage baru. Jika Anda menggunakan paket sebelumnya (sekarang diganti namanya menjadi "Defender for Storage (klasik)"), Anda perlu secara proaktif bermigrasi ke paket baru untuk menggunakan fitur dan manfaat baru.
Paket baru mencakup kemampuan keamanan tingkat lanjut untuk membantu melindungi dari unggahan file berbahaya, penyelundupan data sensitif, dan kerusakan data. Ini juga menyediakan struktur harga yang lebih dapat diprediksi dan fleksibel untuk kontrol yang lebih baik atas cakupan dan biaya.
Paket baru memiliki kemampuan baru sekarang dalam pratinjau publik:
Mendeteksi paparan data sensitif dan peristiwa eksfiltrasi
Pemindaian malware yang hampir real-time blob on-upload di semua jenis file
Mendeteksi entitas tanpa identitas menggunakan token SAS
Kemampuan ini meningkatkan kemampuan Pemantauan Aktivitas yang ada, berdasarkan kontrol dan analisis log sarana data dan pemodelan perilaku untuk mengidentifikasi tanda-tanda awal pelanggaran.
Semua kemampuan ini tersedia dalam paket harga baru yang dapat diprediksi dan fleksibel yang memberikan kontrol terperinci atas perlindungan data di tingkat langganan dan sumber daya.
Pelajari selengkapnya di Gambaran Umum Pertahanan Microsoft untuk Penyimpanan.
Postur keamanan sadar data (pratinjau)
Microsoft Defender untuk Cloud membantu tim keamanan menjadi lebih produktif dalam mengurangi risiko dan merespons pelanggaran data di cloud. Ini memungkinkan mereka untuk memotong kebisingan dengan konteks data dan memprioritaskan risiko keamanan yang paling penting, mencegah pelanggaran data yang mahal.
- Temukan sumber daya data secara otomatis di seluruh estat cloud dan evaluasi aksesibilitas, sensitivitas data, dan aliran data yang dikonfigurasi. -Terus mengungkap risiko terhadap pelanggaran data sumber daya data sensitif, jalur paparan atau serangan yang dapat menyebabkan sumber daya data menggunakan teknik gerakan lateral.
- Mendeteksi aktivitas mencurigakan yang mungkin menunjukkan ancaman berkelanjutan terhadap sumber daya data sensitif.
Pelajari selengkapnya tentang postur keamanan sadar data.
Pengalaman yang ditingkatkan untuk mengelola kebijakan keamanan Azure default
Kami memperkenalkan pengalaman manajemen kebijakan keamanan Azure yang ditingkatkan untuk rekomendasi bawaan yang menyederhanakan cara pelanggan Defender untuk Cloud menyempurnakan persyaratan keamanan mereka. Pengalaman baru mencakup kemampuan baru berikut:
- Antarmuka sederhana memungkinkan performa dan pengalaman yang lebih baik saat mengelola kebijakan keamanan default dalam Defender untuk Cloud.
- Tampilan tunggal dari semua rekomendasi keamanan bawaan yang ditawarkan oleh tolok ukur keamanan cloud Microsoft (sebelumnya tolok ukur keamanan Azure). Rekomendasi diatur ke dalam grup logis, sehingga lebih mudah untuk memahami jenis sumber daya yang tercakup, dan hubungan antara parameter dan rekomendasi.
- Fitur baru seperti filter dan pencarian ditambahkan.
Pelajari cara mengelola kebijakan keamanan.
Baca blog Microsoft Defender untuk Cloud.
Defender CSPM (Cloud Security Posture Management) sekarang Tersedia Secara Umum (GA)
Kami mengumumkan bahwa Defender CSPM sekarang Tersedia Secara Umum (GA). Defender CSPM menawarkan semua layanan yang tersedia di bawah kemampuan CSPM Dasar dan menambahkan manfaat berikut:
- Analisis jalur serangan dan ARG API - Analisis jalur serangan menggunakan algoritma berbasis grafik yang memindai grafik keamanan cloud untuk mengekspos jalur serangan dan menyarankan rekomendasi tentang cara terbaik memulihkan masalah yang merusak jalur serangan dan mencegah pelanggaran yang berhasil. Anda juga dapat menggunakan jalur serangan secara terprogram dengan mengkueri API Azure Resource Graph (ARG). Pelajari cara menggunakan analisis jalur serangan
- Penjelajah Keamanan Cloud - Gunakan Cloud Security Explorer untuk menjalankan kueri berbasis grafik pada grafik keamanan cloud, untuk secara proaktif mengidentifikasi risiko keamanan di lingkungan multicloud Anda. Pelajari selengkapnya tentang penjelajah keamanan cloud.
Pelajari selengkapnya tentang Defender CSPM.
Opsi untuk membuat rekomendasi kustom dan standar keamanan di Microsoft Defender untuk Cloud
Microsoft Defender untuk Cloud menyediakan opsi untuk membuat rekomendasi dan standar kustom untuk AWS dan GCP menggunakan kueri KQL. Anda bisa menggunakan editor kueri untuk membuat dan menguji kueri atas data Anda. Fitur ini adalah bagian dari paket Defender CSPM (Cloud Security Posture Management). Pelajari cara membuat rekomendasi dan standar kustom.
Tolok ukur keamanan cloud Microsoft (MCSB) versi 1.0 sekarang Tersedia Secara Umum (GA)
Microsoft Defender untuk Cloud mengumumkan bahwa tolok ukur keamanan cloud Microsoft (MCSB) versi 1.0 sekarang Tersedia Secara Umum (GA).
MCSB versi 1.0 menggantikan Azure Security Benchmark (ASB) versi 3 sebagai kebijakan keamanan default Defender untuk Cloud. MCSB versi 1.0 muncul sebagai standar kepatuhan default di dasbor kepatuhan, dan diaktifkan secara default untuk semua pelanggan Defender untuk Cloud.
Anda juga dapat mempelajari Bagaimana tolok ukur keamanan cloud Microsoft (MCSB) membantu Anda berhasil dalam perjalanan keamanan cloud Anda.
Pelajari selengkapnya tentang MCSB.
Beberapa standar kepatuhan peraturan sekarang tersedia di cloud pemerintah
Kami memperbarui standar ini untuk pelanggan di Azure Government dan Microsoft Azure yang dioperasikan oleh 21Vianet.
Azure Government:
Microsoft Azure dioperasikan oleh 21Vianet:
Pelajari cara Menyesuaikan sekumpulan standar di dasbor kepatuhan peraturan Anda.
Rekomendasi pratinjau baru untuk Azure SQL Server
Kami telah menambahkan rekomendasi baru untuk Azure SQL Servers, Azure SQL Server authentication mode should be Azure Active Directory Only (Preview).
Rekomendasi didasarkan pada kebijakan yang ada Azure SQL Database should have Azure Active Directory Only Authentication enabled
Rekomendasi ini menonaktifkan metode autentikasi lokal dan hanya memungkinkan Autentikasi Azure Active Directory, yang meningkatkan keamanan dengan memastikan bahwa Azure SQL Database dapat diakses secara eksklusif oleh identitas Azure Active Directory.
Pelajari cara membuat server dengan autentikasi khusus Azure AD yang diaktifkan di Azure SQL.
Pemberitahuan baru di Defender untuk Key Vault
Defender untuk Key Vault memiliki pemberitahuan baru berikut:
| Peringatan (jenis peringatan) | Deskripsi | Taktik MITRE | Tingkat keparahan |
|---|---|---|---|
| Akses ditolak dari IP yang mencurigakan ke brankas kunci (KV_SuspiciousIPAccessDenied) |
Akses brankas kunci yang tidak berhasil telah dicoba oleh IP yang telah diidentifikasi oleh Inteligensi Ancaman Microsoft sebagai alamat IP yang mencurigakan. Meskipun upaya ini tidak berhasil, ini menunjukkan bahwa infrastruktur Anda mungkin telah disusupi. Kami merekomendasikan investigasi lebih lanjut. | Akses Info Masuk | Kurang Penting |
Anda dapat melihat daftar semua pemberitahuan yang tersedia untuk Key Vault.
Februari 2023
Pembaruan di bulan Februari meliputi:
- Penjelajah Keamanan Cloud yang Ditingkatkan
- Pemindaian kerentanan Defender untuk Kontainer menjalankan citra Linux sekarang GA
- Mengumumkan dukungan untuk standar kepatuhan AWS CIS 1.5.0
- Pertahanan Microsoft untuk DevOps (pratinjau) sekarang tersedia di wilayah lain
- Kebijakan bawaan [Pratinjau]: Titik akhir privat harus dikonfigurasi untuk Key Vault tidak digunakan lagi
Penjelajah Keamanan Cloud yang Ditingkatkan
Versi yang ditingkatkan dari penjelajah keamanan cloud mencakup pengalaman pengguna yang disegarkan yang menghapus gesekan kueri secara dramatis, menambahkan kemampuan untuk menjalankan kueri multicloud dan multi-sumber daya, dan dokumentasi yang disematkan untuk setiap opsi kueri.
Cloud Security Explorer sekarang memungkinkan Anda menjalankan kueri abstrak cloud di seluruh sumber daya. Anda bisa menggunakan templat kueri bawaan atau menggunakan pencarian kustom untuk menerapkan filter untuk menyusun kueri Anda. Pelajari cara mengelola Cloud Security Explorer.
Pemindaian kerentanan Defender untuk Kontainer menjalankan citra Linux sekarang GA
Defender untuk Kontainer mendeteksi kerentanan dalam menjalankan kontainer. Kontainer Windows dan Linux didukung.
Pada Agustus 2022, kemampuan ini dirilis dalam pratinjau untuk Windows dan Linux. Kami sekarang merilisnya untuk ketersediaan umum (GA) untuk Linux.
Ketika kerentanan terdeteksi, Defender untuk Cloud menghasilkan rekomendasi keamanan berikut yang mencantumkan temuan pemindaian: Menjalankan gambar kontainer harus menyelesaikan temuan kerentanan.
Pelajari selengkapnya tentang menampilkan kerentanan untuk menjalankan gambar.
Mengumumkan dukungan untuk standar kepatuhan AWS CIS 1.5.0
Defender untuk Cloud sekarang mendukung standar kepatuhan CIS Amazon Web Services Foundations v1.5.0. Standar dapat ditambahkan ke dasbor Kepatuhan Peraturan Anda, dan dibangun berdasarkan penawaran MDC yang ada untuk rekomendasi dan standar multicloud.
Standar baru ini mencakup rekomendasi yang ada dan baru yang memperluas cakupan Defender untuk Cloud ke layanan dan sumber daya AWS baru.
Pelajari cara Mengelola penilaian dan standar AWS.
Pertahanan Microsoft untuk DevOps (pratinjau) sekarang tersedia di wilayah lain
Pertahanan Microsoft untuk DevOps telah memperluas pratinjaunya dan sekarang tersedia di wilayah Eropa Barat dan Australia Timur, saat Anda onboarding sumber daya Azure DevOps dan GitHub Anda.
Pelajari selengkapnya tentang Pertahanan Microsoft untuk DevOps.
Kebijakan bawaan [Pratinjau]: Titik akhir privat harus dikonfigurasi untuk Key Vault tidak digunakan lagi
Kebijakan bawaan [Preview]: Private endpoint should be configured for Key Vault tidak digunakan lagi dan diganti dengan [Preview]: Azure Key Vaults should use private link kebijakan.
Pelajari selengkapnya tentang mengintegrasikan Azure Key Vault dengan Azure Policy.
January 2023
Pembaruan di bulan Januari meliputi:
- Komponen Perlindungan titik akhir (Microsoft Defender untuk Titik Akhir) sekarang diakses di halaman Pengaturan dan pemantauan
- Versi baru rekomendasi untuk menemukan pembaruan sistem yang hilang (Pratinjau)
- Pembersihan komputer Azure Arc yang dihapus di akun AWS dan GCP yang terhubung
- Mengizinkan ekspor berkelanjutan ke Azure Event Hubs di belakang firewall
- Nama kontrol Skor aman Melindungi aplikasi Anda dengan solusi jaringan tingkat lanjut Azure telah berubah
- Pengaturan Penilaian Kerentanan kebijakan untuk server SQL harus berisi alamat email untuk menerima laporan pemindaian tidak digunakan lagi
- Rekomendasi untuk mengaktifkan log diagnostik untuk Virtual Machine Scale Sets tidak digunakan lagi
Komponen Perlindungan titik akhir (Microsoft Defender untuk Titik Akhir) sekarang diakses di halaman Pengaturan dan pemantauan
Untuk mengakses Perlindungan titik akhir, buka Pengaturan>lingkungan Paket> pertahanan Pengaturan dan pemantauan. Dari sini Anda dapat mengatur Perlindungan titik akhir ke Aktif. Anda juga dapat melihat komponen lain yang dikelola.
Pelajari selengkapnya tentang mengaktifkan Microsoft Defender untuk Titik Akhir di server Anda dengan Defender untuk Server.
Versi baru rekomendasi untuk menemukan pembaruan sistem yang hilang (Pratinjau)
Anda tidak lagi memerlukan agen di Komputer Virtual Azure dan komputer Azure Arc Anda untuk memastikan mesin memiliki semua pembaruan keamanan terbaru atau sistem penting.
Rekomendasi pembaruan sistem baru, System updates should be installed on your machines (powered by Azure Update Manager) dalam Apply system updates kontrol, didasarkan pada Manajer Pembaruan (pratinjau). Rekomendasi ini bergantung pada agen asli yang disematkan di setiap mesin Azure VM dan Azure Arc alih-alih agen yang diinstal. Perbaikan Cepat dalam rekomendasi baru mengarahkan Anda ke penginstalan satu kali pembaruan yang hilang di portal Update Manager.
Untuk menggunakan rekomendasi baru, Anda perlu:
- Koneksi komputer non-Azure Anda ke Arc
- Aktifkan properti penilaian berkala. Anda dapat menggunakan Perbaikan Cepat dalam rekomendasi baru,
Machines should be configured to periodically check for missing system updatesuntuk memperbaiki rekomendasi.
Rekomendasi "Pembaruan sistem yang ada harus diinstal pada komputer Anda", yang bergantung pada agen Analitik Log, masih tersedia di bawah kontrol yang sama.
Pembersihan komputer Azure Arc yang dihapus di akun AWS dan GCP yang terhubung
Komputer yang terhubung ke akun AWS dan GCP yang dicakup oleh Defender untuk Server atau Defender untuk SQL pada komputer diwakili dalam Defender untuk Cloud sebagai komputer Azure Arc. Hingga saat ini, komputer tersebut tidak dihapus dari inventaris ketika komputer dihapus dari akun AWS atau GCP. Mengarah ke sumber daya Azure Arc yang tidak perlu yang tersisa di Defender untuk Cloud yang mewakili komputer yang dihapus.
Defender untuk Cloud sekarang akan secara otomatis menghapus komputer Azure Arc saat komputer tersebut dihapus di akun AWS atau GCP yang terhubung.
Mengizinkan ekspor berkelanjutan ke Azure Event Hubs di belakang firewall
Anda sekarang dapat mengaktifkan ekspor berkelanjutan pemberitahuan dan rekomendasi, sebagai layanan tepercaya ke Azure Event Hubs yang dilindungi oleh firewall Azure.
Anda dapat mengaktifkan ekspor berkelanjutan saat pemberitahuan atau rekomendasi dihasilkan. Anda juga dapat menentukan jadwal untuk mengirim rekam jepret berkala dari semua data baru.
Pelajari cara mengaktifkan ekspor berkelanjutan ke Azure Event Hubs di belakang firewall Azure.
Nama kontrol Skor aman Melindungi aplikasi Anda dengan solusi jaringan tingkat lanjut Azure diubah
Kontrol skor aman, Protect your applications with Azure advanced networking solutions diubah menjadi Protect applications against DDoS attacks.
Nama yang diperbarui tercermin pada Azure Resource Graph (ARG), SECURE Score Controls API dan Download CSV report.
Pengaturan Penilaian Kerentanan kebijakan untuk server SQL harus berisi alamat email untuk menerima laporan pemindaian tidak digunakan lagi
Kebijakan Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports tidak digunakan lagi.
Laporan email penilaian kerentanan Defender untuk SQL masih tersedia dan konfigurasi email yang ada belum berubah.
Rekomendasi untuk mengaktifkan log diagnostik untuk Virtual Machine Scale Sets tidak digunakan lagi
Rekomendasi Diagnostic logs in Virtual Machine Scale Sets should be enabled tidak digunakan lagi.
Definisi kebijakan terkait juga telah ditolak dari standar apa pun yang ditampilkan di dasbor kepatuhan peraturan.
| Rekomendasi | Deskripsi | Tingkat keparahan |
|---|---|---|
| Log diagnostik di Microsoft Azure Virtual Machine Scale Sets harus diaktifkan | Aktifkan log dan pertahankan hingga satu tahun, memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan penyelidikan ketika insiden keamanan terjadi atau jaringan Anda disusupi. | Kurang Penting |
Desember 2022
Pembaruan pada bulan Desember meliputi:
Mengumumkan konfigurasi ekspres untuk penilaian kerentanan di Defender untuk SQL
Konfigurasi ekspres untuk penilaian kerentanan di Pertahanan Microsoft untuk SQL memberi tim keamanan pengalaman konfigurasi yang disederhanakan pada Azure SQL Database dan Kumpulan SQL Khusus di luar Ruang Kerja Synapse.
Dengan pengalaman konfigurasi ekspres untuk penilaian kerentanan, tim keamanan dapat:
- Selesaikan konfigurasi penilaian kerentanan dalam konfigurasi keamanan sumber daya SQL, tanpa pengaturan atau dependensi lain pada akun penyimpanan yang dikelola pelanggan.
- Segera tambahkan hasil pemindaian ke garis besar sehingga status temuan perubahan dari Tidak Sehat menjadi Sehat tanpa memindai ulang database.
- Tambahkan beberapa aturan ke garis besar sekaligus dan gunakan hasil pemindaian terbaru.
- Aktifkan penilaian kerentanan untuk semua Azure SQL Server saat Anda mengaktifkan Pertahanan Microsoft untuk database di tingkat langganan.
Pelajari selengkapnya tentang penilaian kerentanan Defender untuk SQL.
November 2022
Pembaruan pada bulan November meliputi:
- Melindungi kontainer di seluruh organisasi GCP Anda dengan Defender untuk Kontainer
- Memvalidasi perlindungan Defender untuk Kontainer dengan pemberitahuan sampel
- Aturan tata kelola dalam skala besar (Pratinjau)
- Kemampuan untuk membuat penilaian kustom di AWS dan GCP (Pratinjau) tidak digunakan lagi
- Rekomendasi untuk mengonfigurasi antrean dead-letter untuk fungsi Lambda tidak digunakan lagi
Melindungi kontainer di seluruh organisasi GCP Anda dengan Defender untuk Kontainer
Sekarang Anda dapat mengaktifkan Defender untuk Kontainer untuk lingkungan GCP Anda untuk melindungi kluster GKE standar di seluruh organisasi GCP. Cukup buat konektor GCP baru dengan Defender untuk Kontainer diaktifkan atau aktifkan Defender untuk Kontainer pada konektor GCP tingkat organisasi yang ada.
Pelajari selengkapnya tentang menyambungkan proyek dan organisasi GCP ke Defender untuk Cloud.
Memvalidasi perlindungan Defender untuk Kontainer dengan pemberitahuan sampel
Sekarang Anda dapat membuat pemberitahuan sampel juga untuk paket Defender for Containers. Pemberitahuan sampel baru disajikan sebagai berasal dari AKS, kluster yang terhubung dengan Arc, EKS, dan sumber daya GKE dengan tingkat keparahan dan taktik MITRE yang berbeda. Anda dapat menggunakan pemberitahuan sampel untuk memvalidasi konfigurasi pemberitahuan keamanan, seperti integrasi SIEM, otomatisasi alur kerja, dan pemberitahuan email.
Pelajari selengkapnya tentang validasi pemberitahuan.
Aturan tata kelola dalam skala besar (Pratinjau)
Kami dengan senang hati mengumumkan kemampuan baru untuk menerapkan aturan tata kelola dalam skala besar (Pratinjau) dalam Defender untuk Cloud.
Dengan pengalaman baru ini, tim keamanan dapat menentukan aturan tata kelola secara massal untuk berbagai cakupan (langganan dan konektor). Tim keamanan dapat menyelesaikan tugas ini dengan menggunakan cakupan manajemen seperti grup manajemen Azure, akun tingkat atas AWS, atau organisasi GCP.
Selain itu, halaman Aturan tata kelola (Pratinjau) menyajikan semua aturan tata kelola yang tersedia yang efektif di lingkungan organisasi.
Pelajari selengkapnya tentang pengalaman aturan tata kelola baru dalam skala besar.
Catatan
Mulai 1 Januari 2023, untuk mengalami kemampuan yang ditawarkan oleh Tata Kelola, Anda harus mengaktifkan paket Defender CSPM pada langganan atau konektor Anda.
Kemampuan untuk membuat penilaian kustom di AWS dan GCP (Pratinjau) tidak digunakan lagi
Kemampuan untuk membuat penilaian kustom untuk akun AWS dan proyek GCP, yang merupakan fitur Pratinjau, tidak digunakan lagi.
Rekomendasi untuk mengonfigurasi antrean dead-letter untuk fungsi Lambda tidak digunakan lagi
Rekomendasi Lambda functions should have a dead-letter queue configured tidak digunakan lagi.
| Rekomendasi | Deskripsi | Tingkat keparahan |
|---|---|---|
| Fungsi Lambda harus memiliki antrean huruf mati yang dikonfigurasi | Kontrol ini memeriksa apakah fungsi Lambda dikonfigurasi dengan antrean dead-letter. Kontrol gagal jika fungsi Lambda tidak dikonfigurasi dengan antrean dead-letter. Sebagai alternatif untuk tujuan yang gagal, Anda dapat mengonfigurasi fungsi Anda dengan antrean dead-letter untuk menyimpan peristiwa yang dibuang untuk diproses lebih lanjut. Antrian dead-letter bertindak sama dengan tujuan pada kegagalan. Ini digunakan ketika peristiwa gagal semua upaya pemrosesan atau kedaluwarsa tanpa diproses. Antrean dead-letter memungkinkan Anda melihat kembali kesalahan atau permintaan yang gagal ke fungsi Lambda Anda untuk men-debug atau mengidentifikasi perilaku yang tidak biasa. Dari perspektif keamanan, penting untuk memahami mengapa fungsi Anda gagal dan memastikan bahwa fungsi Anda tidak menghilangkan data atau membahayakan keamanan data sebagai hasilnya. Misalnya, jika fungsi Anda tidak dapat berkomunikasi ke sumber daya yang mendasar yang dapat menjadi gejala serangan penolakan layanan (DoS) di tempat lain dalam jaringan. | Medium |
Oktober 2022
Pembaruan pada bulan Oktober meliputi:
- Mengumumkan tolok ukur keamanan cloud Microsoft
- Analisis jalur serangan dan kemampuan keamanan kontekstual dalam Defender untuk Cloud (Pratinjau)
- Pemindaian tanpa agen untuk mesin Azure dan AWS (Pratinjau)
- Defender untuk DevOps (Pratinjau)
- Dasbor Kepatuhan Terhadap Peraturan sekarang mendukung manajemen kontrol manual dan informasi terperinci tentang status kepatuhan Microsoft
- Provisi otomatis diganti namanya menjadi Pengaturan & pemantauan dan memiliki pengalaman yang diperbarui
- Defender Cloud Security Posture Management (CSPM) (Pratinjau)
- Pemetaan kerangka kerja MITRE ATT&CK sekarang tersedia juga untuk rekomendasi keamanan AWS dan GCP
- Defender untuk Kontainer sekarang mendukung penilaian kerentanan untuk Elastic Container Registry (Pratinjau)
Mengumumkan tolok ukur keamanan cloud Microsoft
Tolok ukur keamanan cloud Microsoft (MCSB) adalah kerangka kerja baru yang menentukan prinsip keamanan cloud dasar berdasarkan standar industri umum dan kerangka kerja kepatuhan. Bersama dengan panduan teknis terperinci untuk menerapkan praktik terbaik ini di seluruh platform cloud. MCSB menggantikan Azure Security Benchmark. MCSB memberikan detail preskriptif tentang cara menerapkan rekomendasi keamanan cloud-agnostiknya pada beberapa platform layanan cloud, awalnya mencakup Azure dan AWS.
Anda sekarang dapat memantau postur kepatuhan keamanan cloud per cloud dalam satu dasbor terintegrasi. Anda dapat melihat MCSB sebagai standar kepatuhan default saat menavigasi ke dasbor kepatuhan peraturan Defender untuk Cloud.
Tolok ukur keamanan cloud Microsoft secara otomatis ditetapkan ke langganan Azure dan akun AWS Anda saat Anda melakukan onboarding Defender untuk Cloud.
Pelajari selengkapnya tentang tolok ukur keamanan cloud Microsoft.
Analisis jalur serangan dan kemampuan keamanan kontekstual dalam Defender untuk Cloud (Pratinjau)
Grafik keamanan cloud baru, analisis jalur serangan, dan kemampuan keamanan cloud kontekstual sekarang tersedia di Defender untuk Cloud dalam pratinjau.
Salah satu tantangan terbesar yang dihadapi tim keamanan saat ini adalah jumlah masalah keamanan yang mereka hadapi setiap hari. Ada banyak masalah keamanan yang perlu diselesaikan dan tidak pernah cukup sumber daya untuk mengatasi semuanya.
Defender untuk Cloud grafik keamanan cloud baru dan kemampuan analisis jalur serangan memberi tim keamanan kemampuan untuk menilai risiko di balik setiap masalah keamanan. Tim keamanan juga dapat mengidentifikasi masalah risiko tertinggi yang perlu diselesaikan paling cepat. Defender untuk Cloud bekerja sama dengan tim keamanan untuk mengurangi risiko pelanggaran yang memengaruhi lingkungan mereka dengan cara yang paling efektif.
Pelajari selengkapnya tentang grafik keamanan cloud baru , analisis jalur serangan, dan penjelajah keamanan cloud.
Pemindaian tanpa agen untuk mesin Azure dan AWS (Pratinjau)
Hingga saat ini, Defender untuk Cloud berdasarkan penilaian posturnya untuk VM pada solusi berbasis agen. Untuk membantu pelanggan memaksimalkan cakupan dan mengurangi onboarding dan gesekan manajemen, kami merilis pemindaian tanpa agen untuk VM untuk dipratinjau.
Dengan pemindaian tanpa agen untuk VM, Anda mendapatkan visibilitas luas pada CVE perangkat lunak dan perangkat lunak yang diinstal. Anda mendapatkan visibilitas tanpa tantangan penginstalan dan pemeliharaan agen, persyaratan konektivitas jaringan, dan pengaruh performa pada beban kerja Anda. Analisis ini didukung oleh Pengelolaan Kerentanan Microsoft Defender.
Pemindaian kerentanan tanpa agen tersedia di Defender Cloud Security Posture Management (CSPM) dan di Defender for Servers P2, dengan dukungan asli untuk AWS dan Azure VM.
- Pelajari selengkapnya tentang pemindaian tanpa agen.
- Cari tahu cara mengaktifkan penilaian kerentanan tanpa agen.
Defender untuk DevOps (Pratinjau)
Microsoft Defender untuk Cloud memungkinkan visibilitas komprehensif, manajemen postur, dan perlindungan ancaman di seluruh lingkungan hibrid dan multicloud termasuk Sumber daya Azure, AWS, Google, dan lokal.
Sekarang, paket Defender for DevOps baru mengintegrasikan sistem manajemen kode sumber, seperti GitHub dan Azure DevOps, ke dalam Defender untuk Cloud. Dengan integrasi baru ini, kami memberdayakan tim keamanan untuk melindungi sumber daya mereka dari kode ke cloud.
Defender for DevOps memungkinkan Anda untuk mendapatkan visibilitas ke dalam dan mengelola lingkungan pengembang dan sumber daya kode yang terhubung. Saat ini, Anda dapat menyambungkan sistem Azure DevOps dan GitHub ke repositori DevOps Defender untuk Cloud dan onboard ke Inventarisasi dan halaman Keamanan DevOps baru. Ini memberi tim keamanan gambaran umum tingkat tinggi tentang masalah keamanan yang ditemukan yang ada di dalamnya di halaman Keamanan DevOps terpadu.
Anda dapat mengonfigurasi anotasi pada permintaan pull, untuk membantu pengembang mengatasi temuan pemindaian rahasia di Azure DevOps langsung pada permintaan pull mereka.
Anda dapat mengonfigurasi alat Microsoft Security DevOps pada alur kerja Azure Pipelines dan GitHub untuk mengaktifkan pemindaian keamanan berikut:
| Nama | Bahasa | Lisensi |
|---|---|---|
| Bandit | Python | Lisensi Apache 2.0 |
| BinSkim | Biner – Windows, ELF | Lisensi MIT |
| ESlint | JavaScript | Lisensi MIT |
| CredScan (Khusus Azure DevOps) | Credential Scanner (juga dikenal sebagai CredScan) adalah alat yang dikembangkan dan dikelola oleh Microsoft untuk mengidentifikasi kebocoran kredensial seperti yang ada dalam kode sumber dan file konfigurasi jenis umum: kata sandi default, string koneksi SQL, Sertifikat dengan kunci privat | Bukan Sumber Terbuka |
| Analisis Templat | Templat ARM, file Bicep | Lisensi MIT |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, Cloud Formion | Lisensi Apache 2.0 |
| Trivy | Gambar kontainer, sistem file, repositori git | Lisensi Apache 2.0 |
Rekomendasi baru berikut sekarang tersedia untuk DevOps:
| Rekomendasi | Deskripsi | Tingkat keparahan |
|---|---|---|
| (Pratinjau) Repositori kode harus menyelesaikan temuan pemindaian kode | Defender untuk DevOps telah menemukan kerentanan dalam repositori kode. Untuk meningkatkan postur keamanan repositori, sangat disarankan untuk memulihkan kerentanan ini. (Tidak ada kebijakan terkait) | Medium |
| (Pratinjau) Repositori kode harus menyelesaikan temuan pemindaian rahasia | Defender untuk DevOps telah menemukan rahasia dalam repositori kode. Hal ini harus segera diremediasi untuk mencegah pelanggaran keamanan. Rahasia yang ditemukan di repositori dapat bocor atau ditemukan oleh musuh, sehingga menyebabkan bahaya pada aplikasi atau layanan. Untuk Azure DevOps, alat Microsoft Security DevOps CredScan hanya memindai build yang dikonfigurasi untuk dijalankan. Oleh karena itu, hasil mungkin tidak mencerminkan status lengkap rahasia di repositori Anda. (Tidak ada kebijakan terkait) | Sangat Penting |
| (Pratinjau) Repositori kode harus menyelesaikan temuan pemindaian Dependabot | Defender untuk DevOps telah menemukan kerentanan dalam repositori kode. Untuk meningkatkan postur keamanan repositori, sangat disarankan untuk memulihkan kerentanan ini. (Tidak ada kebijakan terkait) | Medium |
| (Pratinjau) Repositori kode harus memiliki infrastruktur saat temuan pemindaian kode diselesaikan | (Pratinjau) Repositori kode harus memiliki infrastruktur saat temuan pemindaian kode diselesaikan | Medium |
| (Pratinjau) Repositori GitHub harus mengaktifkan pemindaian kode | GitHub menggunakan pemindaian kode untuk menganalisis kode guna menemukan kerentanan dan kerentanan keamanan dalam kode. Pemindaian kode dapat digunakan untuk menemukan, melakukan triase, dan memprioritaskan perbaikan untuk masalah yang ada dalam kode Anda. Pemindaian kode juga mencegah pengembang menyebabkan masalah baru. Pemindaian dapat dijadwalkan untuk hari dan waktu tertentu, atau pemindaian dapat dipicu saat peristiwa tertentu terjadi di repositori, seperti pendorongan. Jika pemindaian kode menemukan potensi kerentanan atau kesalahan dalam kode, GitHub akan menampilkan peringatan di repositori. Kerentanan adalah masalah dalam kode proyek yang dapat dieksploitasi untuk merusak kerahasiaan, integritas, atau ketersediaan proyek. (Tidak ada kebijakan terkait) | Medium |
| (Pratinjau) Repositori GitHub harus mengaktifkan pemindaian rahasia | GitHub memindai repositori untuk jenis rahasia yang diketahui, untuk mencegah penipuan penggunaan rahasia yang secara tidak sengaja diterapkan ke repositori. Pemindaian rahasia otomatis memindai seluruh riwayat Git Anda di semua cabang yang ada di repositori GitHub untuk menemukan rahasia apa pun. Contoh rahasia adalah token dan kunci privat yang dapat dikeluarkan penyedia layanan untuk autentikasi. Jika rahasia dimasukkan ke dalam repositori, siapa pun yang memiliki akses baca ke repositori dapat menggunakan rahasia untuk mengakses layanan eksternal dengan hak istimewa tersebut. Rahasia harus disimpan di lokasi khusus yang aman di luar repositori untuk proyek. (Tidak ada kebijakan terkait) | Sangat Penting |
| (Pratinjau) Repositori GitHub harus mengaktifkan pemindaian Dependabot | GitHub mengirim peringatan Dependabot saat mendeteksi kerentanan dalam dependensi kode yang memengaruhi repositori. Kerentanan adalah masalah dalam kode proyek yang dapat dieksploitasi untuk merusak kerahasiaan, integritas, atau ketersediaan proyek atau proyek lain yang menggunakan kodenya. Kerentanan bervariasi menurut jenis, tingkat keparahan, dan metode serangan. Saat kode bergantung pada paket yang memiliki kerentanan keamanan, dependensi yang rentan ini dapat menyebabkan berbagai masalah. (Tidak ada kebijakan terkait) | Medium |
Rekomendasi Defender for DevOps menggantikan pemindai kerentanan yang tidak digunakan lagi untuk alur kerja CI/CD yang disertakan dalam Defender untuk Kontainer.
Pelajari selengkapnya tentang Defender untuk DevOps
Dasbor Kepatuhan Terhadap Peraturan sekarang mendukung manajemen kontrol manual dan informasi terperinci tentang status kepatuhan Microsoft
Dasbor kepatuhan di Defender untuk Cloud adalah alat utama bagi pelanggan untuk membantu mereka memahami dan melacak status kepatuhan mereka. Pelanggan dapat terus memantau lingkungan sesuai dengan persyaratan dari berbagai standar dan peraturan.
Sekarang, Anda dapat sepenuhnya mengelola postur kepatuhan Anda dengan membuktikan kontrol operasional dan kontrol lainnya secara manual. Anda sekarang dapat memberikan bukti kepatuhan untuk kontrol yang tidak otomatis. Bersama dengan penilaian otomatis, Anda sekarang dapat membuat laporan kepatuhan lengkap dalam cakupan yang dipilih, menangani seluruh rangkaian kontrol untuk standar tertentu.
Selain itu, dengan informasi kontrol yang lebih kaya dan detail mendalam serta bukti untuk status kepatuhan Microsoft, kini Anda dapat mengakses dengan mudah semua informasi yang diperlukan untuk audit.
Beberapa keuntungan baru meliputi:
Tindakan pelanggan manual menyediakan mekanisme untuk membuktikan kepatuhan secara manual dengan kontrol non-otomatis. Termasuk kemampuan untuk menautkan bukti, menetapkan tanggal kepatuhan dan tanggal kedaluwarsa.
Detail kontrol yang lebih kaya untuk standar yang didukung yang menampilkan tindakan Microsoft dan tindakan pelanggan manual selain tindakan pelanggan otomatis yang sudah ada.
Tindakan Microsoft memberikan transparansi status kepatuhan Microsoft yang mencakup prosedur penilaian audit, hasil pengujian, dan respons Microsoft terhadap penyimpangan.
Penawaran kepatuhan menyediakan lokasi pusat untuk memeriksa produk Azure, Dynamics 365, dan Power Platform dan sertifikasi kepatuhan peraturan masing-masing.
Pelajari lebih lanjut cara Meningkatkan kepatuhan terhadap peraturan dengan Defender untuk Cloud.
Provisi otomatis diganti namanya menjadi Pengaturan & pemantauan dan memiliki pengalaman yang diperbarui
Kami telah mengganti nama halaman Provisi otomatis menjadi Pengaturan & pemantauan.
Provisi otomatis dimaksudkan untuk memungkinkan pengaktifan prasyarat dalam skala besar, yang diperlukan oleh fitur dan kemampuan lanjutan Defender untuk Cloud. Untuk mendukung kemampuan kami yang diperluas dengan lebih baik, kami meluncurkan pengalaman baru dengan perubahan berikut:
Halaman paket Defender untuk Cloud sekarang mencakup:
- Saat Anda mengaktifkan paket Defender yang memerlukan komponen pemantauan, komponen tersebut diaktifkan untuk provisi otomatis dengan pengaturan default. Pengaturan ini dapat diedit secara opsional kapan saja.
- Anda dapat mengakses pengaturan komponen pemantauan untuk setiap paket Defender dari halaman paket Defender.
- Halaman Paket Defender dengan jelas menunjukkan apakah semua komponen pemantauan tersedia untuk setiap paket Defender, atau jika cakupan pemantauan Anda tidak lengkap.
Halaman Pengaturan & pemantauan:
- Setiap komponen pemantauan menunjukkan rencana Defender yang terkait dengannya.
Pelajari selengkapnya tentang mengelola pengaturan pemantauan Anda.
Manajemen Postur Keamanan Cloud Defender (CSPM)
Salah satu pilar utama Microsoft Defender untuk Cloud untuk keamanan cloud adalah Cloud Security Posture Management (CSPM). CSPM memberi Anda panduan pengerasan yang membantu Anda meningkatkan keamanan secara efisien dan efektif. CSPM juga memberi Anda visibilitas ke dalam situasi keamanan Anda saat ini.
Kami mengumumkan rencana Defender baru: Defender CSPM. Rencana ini meningkatkan kemampuan keamanan Defender untuk Cloud dan mencakup fitur baru dan yang diperluas berikut:
- Penilaian berkelanjutan dari konfigurasi keamanan sumber daya cloud Anda
- Rekomendasi keamanan untuk memperbaiki kesalahan konfigurasi dan kelemahan
- Skor aman
- Pemerintahan
- Kepatuhan peraturan
- Grafik keamanan cloud
- Analisis jalur serangan
- Pemindaian tanpa agen untuk komputer
Pelajari selengkapnya tentang paket Defender CSPM.
Pemetaan kerangka kerja MITRE ATT&CK sekarang tersedia juga untuk rekomendasi keamanan AWS dan GCP
Untuk analis keamanan, sangat penting untuk mengidentifikasi potensi risiko yang terkait dengan rekomendasi keamanan dan memahami vektor serangan, sehingga mereka dapat memprioritaskan tugas mereka secara efisien.
Defender untuk Cloud mempermudah prioritas dengan memetakan rekomendasi keamanan Azure, AWS, dan GCP terhadap kerangka kerja MITRE ATT&CK. Kerangka kerja MITRE ATT&CK adalah basis pengetahuan taktik dan teknik lawan yang dapat diakses secara global berdasarkan pengamatan dunia nyata, memungkinkan pelanggan untuk memperkuat konfigurasi lingkungan mereka yang aman.
Kerangka kerja MITRE ATT&CK terintegrasi dengan tiga cara:
- Rekomendasi memetakan ke taktik dan teknik MITRE ATT&CK.
- Kueri taktik dan teknik MITRE ATT&CK pada rekomendasi menggunakan Azure Resource Graph.
Defender untuk Kontainer sekarang mendukung penilaian kerentanan untuk Elastic Container Registry (Pratinjau)
Pertahanan Microsoft untuk Kontainer sekarang menyediakan pemindaian penilaian kerentanan tanpa agen untuk Elastic Container Registry (ECR) di Amazon AWS. Memperluas cakupan untuk lingkungan multicloud, dibangun pada rilis awal tahun ini perlindungan ancaman tingkat lanjut dan pengerasan lingkungan Kubernetes untuk AWS dan Google GCP. Model tanpa agen membuat sumber daya AWS di akun Anda untuk memindai gambar Anda tanpa mengekstrak gambar dari akun AWS Anda dan tanpa jejak pada beban kerja Anda.
Pemindaian penilaian kerentanan tanpa agen untuk gambar di repositori ECR membantu mengurangi permukaan serangan estate kontainer Anda dengan terus memindai gambar untuk mengidentifikasi dan mengelola kerentanan kontainer. Dengan rilis baru ini, Defender untuk Cloud memindai gambar kontainer setelah didorong ke repositori dan terus menilai kembali gambar kontainer ECR dalam registri. Temuan ini tersedia di Microsoft Defender untuk Cloud sebagai rekomendasi, dan Anda dapat menggunakan alur kerja otomatis bawaan Defender untuk Cloud untuk mengambil tindakan pada temuan, seperti membuka tiket untuk memperbaiki kerentanan tingkat keparahan tinggi dalam gambar.
Pelajari selengkapnya tentang penilaian kerentanan untuk gambar Amazon ECR.
September 2022
Pembaruan pada bulan September meliputi:
- Menekan pemberitahuan berdasarkan entitas Kontainer dan Kubernetes
- Defender untuk Server mendukung Pemantauan Integritas File dengan Azure Monitor Agent
- Penghentian API Penilaian Lama
- Rekomendasi tambahan ditambahkan ke identitas
- Menghapus pemberitahuan keamanan untuk komputer yang melaporkan ke ruang kerja Analitik Log lintas penyewa
Menekan pemberitahuan berdasarkan entitas Kontainer dan Kubernetes
- Kubernetes Namespace
- Pod Kubernetes
- Rahasia Kubernetes
- Kubernetes ServiceAccount
- Kubernetes ReplicaSet
- Kubernetes StatefulSet
- Kubernetes DaemonSet
- Kubernetes Job
- Kubernetes CronJob
Pelajari lebih lanjut tentang aturan supresi peringatan.
Defender untuk Server mendukung Pemantauan Integritas File dengan Azure Monitor Agent
Pemantauan integritas file (FIM) memeriksa file dan registri sistem operasi untuk menemukan perubahan yang mungkin mengindikasikan serangan.
FIM sekarang tersedia dalam versi baru berdasarkan Azure Monitor Agent (AMA), yang dapat Anda sebarkan melalui Defender untuk Cloud.
Pelajari selengkapnya mengenai Pemantauan Integritas File dengan Azure Monitor Agent.
Penghentian API Penilaian Lama
API berikut tidak digunakan lagi:
- Tugas Keamanan
- Status Keamanan
- Ringkasan Keamanan
Ketiga API ini mengekspos format penilaian lama dan digantikan oleh API Penilaian dan API Sub-Penilaian. Semua data yang diekspos oleh API warisan ini juga tersedia di API baru.
Rekomendasi tambahan ditambahkan ke identitas
Defender untuk Cloud rekomendasi untuk meningkatkan manajemen pengguna dan akun.
Rekomendasi baru
Rilis baru berisi kemampuan berikut:
Cakupan evaluasi yang diperluas – Cakupan ditingkatkan untuk akun identitas tanpa MFA dan akun eksternal pada sumber daya Azure (bukan hanya langganan) yang memungkinkan administrator keamanan Anda untuk melihat penetapan peran per akun.
Interval kesegaran yang ditingkatkan - Rekomendasi identitas sekarang memiliki interval kesegaran 12 jam.
Kemampuan pengecualian akun - Defender untuk Cloud memiliki banyak fitur yang dapat digunakan untuk mengkustomisasi pengalaman Anda dan memastikan skor aman mencerminkan prioritas keamanan organisasi Anda. Misalnya, Anda dapat mengecualikan sumber daya dan rekomendasi dari skor aman Anda.
Pembaruan ini memungkinkan Anda mengecualikan akun tertentu dari evaluasi dengan enam rekomendasi yang tercantum dalam tabel berikut.
Biasanya, Anda akan mengecualikan akun "break glass" darurat dari rekomendasi MFA, karena akun tersebut sering kali sengaja dikecualikan dari persyaratan MFA organisasi. Atau, Anda mungkin memiliki akun eksternal yang ingin Anda izinkan aksesnya, yang tidak mengaktifkan MFA.
Tip
Saat Anda mengecualikan akun, akun tidak akan ditampilkan sebagai tidak sehat dan tidak akan menyebabkan langganan tampak tidak sehat.
Rekomendasi Kunci penilaian Akun dengan izin pemilik pada sumber daya Azure harus didukung oleh MFA 6240402e-f77c-46fa-9060-a7ce53997754 Akun dengan izin tulis pada sumber daya Azure harus didukung oleh MFA c0cb17b2-0607-48a7-b0e0-903ed22de39b Akun dengan izin baca pada sumber daya Azure harus didukung oleh MFA dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c Akun tamu dengan izin pemilik pada sumber daya Azure harus dihapus 20606e75-05c4-48c0-9d97-add6daa2109a Akun tamu dengan izin tulis pada sumber daya Azure harus dihapus 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb Akun tamu dengan izin baca pada sumber daya Azure harus dihapus fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 Akun yang diblokir dengan izin pemilik pada sumber daya Azure harus dihapus 050ac097-3dda-4d24-ab6d-82568e7a50cf Akun yang diblokir dengan izin baca dan tulis pada sumber daya Azure harus dihapus 1ff0b4c9-ed56-4de6-be9c-d7ab39645926
Rekomendasi meskipun dalam pratinjau, akan muncul di samping rekomendasi yang saat ini berada di GA.
Menghapus pemberitahuan keamanan untuk komputer yang melaporkan ke ruang kerja Analitik Log lintas penyewa
Di masa lalu, Defender untuk Cloud memungkinkan Anda memilih ruang kerja yang dilaporkan agen Analitik Log Anda. Ketika komputer milik satu penyewa (Penyewa A) tetapi agen Log Analytics-nya melaporkan ke ruang kerja di penyewa yang berbeda ("Penyewa B"), pemberitahuan keamanan tentang komputer dilaporkan ke penyewa pertama (Penyewa A).
Dengan perubahan ini, pemberitahuan pada komputer yang terhubung ke ruang kerja Analitik Log di penyewa yang berbeda tidak lagi muncul di Defender untuk Cloud.
Jika Anda ingin terus menerima peringatan di Defender untuk Cloud, sambungkan agen Analitik Log dari komputer yang relevan ke ruang kerja di penyewa yang sama dengan komputer tersebut.
Pelajari selengkapnya tentang pemberitahuan keamanan.
Agustus 2022
Pembaruan pada bulan Agustus meliputi:
- Kerentanan untuk menjalankan gambar sekarang terlihat dengan Defender untuk Kontainer pada kontainer Windows Anda
- Integrasi Agen Azure Monitor sekarang dalam pratinjau
- Peringatan mesin virtual yang tidak digunakan lagi mengenai aktivitas mencurigakan yang terkait dengan kluster Kubernetes
Kerentanan untuk menjalankan gambar sekarang terlihat dengan Defender untuk Kontainer pada kontainer Windows Anda
Defender untuk Kontainer sekarang menunjukkan kerentanan untuk menjalankan kontainer Windows.
Saat kerentanan terdeteksi, Defender untuk Cloud menghasilkan rekomendasi keamanan berikut yang mencantumkan masalah yang terdeteksi: Untuk menjalankan gambar kontainer, kerentanan yang ditemukan harus diselesaikan.
Pelajari selengkapnya tentang menampilkan kerentanan untuk menjalankan gambar.
Integrasi Agen Azure Monitor sekarang dalam pratinjau
Defender untuk Cloud sekarang menyertakan dukungan pratinjau untuk Agen Azure Monitor (AMA). AMA dimaksudkan untuk menggantikan agen Analitik Log lama (juga disebut sebagai Microsoft Monitoring Agent (MMA)), yang berada di jalur penghentian. AMA memberikan banyak manfaat dibandingkan agen warisan.
Di Defender untuk Cloud, saat Anda mengaktifkan provisi otomatis untuk AMA, agen disebarkan pada komputer virtual yang sudah ada dan baru serta komputer dengan dukungan Azure Arc yang terdeteksi dalam langganan Anda. Jika paket Defenders for Cloud diaktifkan, AMA mengumpulkan informasi konfigurasi dan log peristiwa dari Azure VM dan komputer Azure Arc. Integrasi AMA sedang dalam pratinjau, jadi sebaiknya gunakan di lingkungan pengujian, bukan di lingkungan produksi.
Peringatan mesin virtual yang tidak digunakan lagi mengenai aktivitas mencurigakan yang terkait dengan kluster Kubernetes
Tabel berikut berisi peringatan yang tidak digunakan lagi:
| Nama pemberitahuan | Deskripsi | Taktik | Tingkat keparahan |
|---|---|---|---|
| Operasi build Docker terdeteksi pada sebuah node Kubernetes (VM_ImageBuildOnNode) |
Log komputer menunjukkan operasi build dari gambar kontainer pada node Kubernetes. Meskipun perilaku ini mungkin sah, penyerang mungkin membangun gambar berbahaya mereka secara lokal untuk menghindari deteksi. | Penghindaran Pertahanan | Kurang Penting |
| Permintaan mencurigakan ke API Kubernetes (VM_KubernetesAPI) |
Log mesin menunjukkan bahwa permintaan mencurigakan dibuat ke API Kubernetes. Permintaan dikirim dari sebuah node Kubernetes, kemungkinan dari salah satu kontainer yang berjalan di node. Meskipun perilaku ini dapat disengaja, itu mungkin menunjukkan bahwa node menjalankan kontainer yang dikompromikan. | GerakanLateral | Medium |
| Server SSH berjalan di dalam kontainer (VM_ContainerSSH) |
Log komputer menunjukkan bahwa server SSH berjalan di dalam kontainer Docker. Meskipun perilaku ini dapat disengaja, ini sering kali menunjukkan bahwa kontainer salah dikonfigurasi atau dilanggar. | Eksekusi | Medium |
Pemberitahuan ini digunakan untuk memberi tahu pengguna tentang aktivitas mencurigakan yang terhubung ke kluster Kubernetes. Pemberitahuan akan diganti dengan pemberitahuan yang cocok yang merupakan bagian dari pemberitahuan kontainer Microsoft Defender untuk Cloud (K8S.NODE_ImageBuildOnNode, K8S.NODE_ KubernetesAPI dan K8S.NODE_ ContainerSSH) yang akan memberikan peningkatan keakuratan dan konteks komprehensif untuk menyelidiki dan bertindak pada pemberitahuan. Pelajari lebih lanjut tentang pemberitahuan untuk Kluster Kubernetes.
Kerentanan kontainer sekarang menyertakan informasi paket terperinci
Penilaian kerentanan Defender untuk Kontainer (VA) sekarang mencakup informasi paket terperinci untuk setiap temuan, termasuk: nama paket, jenis paket, jalur, versi yang diinstal, dan versi tetap. Informasi paket memungkinkan Anda menemukan paket yang rentan sehingga Anda dapat memulihkan kerentanan atau menghapus paket.
Informasi paket terperinci ini tersedia untuk pemindaian gambar baru.
Juli 2022
Pembaruan pada bulan Juli meliputi:
- Ketersediaan umum (GA) Agen keamanan cloud-native untuk perlindungan runtime Kubernetes
- VA Defender untuk Kontainer menambahkan dukungan untuk deteksi paket spesifik bahasa (Pratinjau)
- Melindungi dari kerentanan Infrastruktur Manajemen Operasi CVE-2022-29149
- Integrasi dengan Manajemen Izin Entra
- Rekomendasi Key Vault yang diubah ke "audit"
- Menghentikan kebijakan Aplikasi API untuk App Service
Ketersediaan umum (GA) agen keamanan asli cloud untuk perlindungan runtime Kubernetes
Kami sangat senang untuk memberitahukan bahwa agen keamanan asli cloud untuk perlindungan runtime Kubernetes kini tersedia secara umum (GA)!
Penyebaran produksi kluster Kubernetes terus bertambah saat pelanggan terus melakukan kontainerisasi aplikasi mereka. Untuk membantu pertumbuhan ini, tim Defender untuk Kontainer telah mengembangkan agen keamanan berorientasi Kubernetes cloud-native.
Agen keamanan baru adalah Kubernetes DaemonSet, berdasarkan teknologi eBPF dan sepenuhnya terintegrasi ke dalam kluster AKS sebagai bagian dari Profil Keamanan AKS.
Pengaktifan agen keamanan tersedia melalui provisi otomatis, alur rekomendasi, AKS RP atau dalam skala besar menggunakan Azure Policy.
Anda dapat menyebarkan agen Defender hari ini di kluster AKS Anda.
Dengan pengumuman ini, perlindungan runtime - deteksi ancaman (beban kerja) kini juga tersedia secara umum.
Pelajari selengkapnya ketersediaan fitur Defender untuk Kontainer.
Anda juga dapat meninjau semua peringatan yang tersedia.
Harap diingat, jika Anda menggunakan versi pratinjau, bendera fitur AKS-AzureDefender tidak lagi diperlukan.
VA Defender untuk Kontainer menambahkan dukungan untuk deteksi paket spesifik bahasa (Pratinjau)
Penilaian kerentanan (VA) Defender untuk Kontainer mampu mendeteksi kerentanan dalam paket OS yang disebarkan melalui manajer paket OS. Saat ini kami telah memperluas kemampuan VA untuk mendeteksi kerentanan yang disertakan dalam paket spesifik bahasa.
Fitur ini dalam pratinjau dan hanya tersedia untuk gambar Linux.
Untuk melihat semua paket spesifik bahasa yang disertakan dan telah ditambahkan, lihat daftar lengkap fitur dan ketersediaannya dari Defender untuk Kontainer.
Melindungi dari kerentanan Infrastruktur Manajemen Operasi CVE-2022-29149
Infrastruktur Manajemen Operasi (OMI) adalah kumpulan layanan berbasis cloud untuk mengelola lingkungan lokal dan cloud dari satu tempat. Alih-alih menyebarkan dan mengelola sumber daya lokal, komponen OMI sepenuhnya dihosting di Azure.
Analitik Log yang terintegrasi dengan Azure HDInsight yang menjalankan OMI versi 13 memerlukan patch untuk memulihkan CVE-2022-29149. Tinjau laporan tentang kerentanan ini dalam panduan Pembaruan Keamanan Microsoft untuk informasi tentang cara mengidentifikasi sumber daya yang terpengaruh oleh langkah-langkah kerentanan dan remediasi ini.
Jika Anda mengaktifkan Defender untuk Server dengan Penilaian Kerentanan, Anda dapat menggunakan buku kerja ini untuk mengidentifikasi sumber daya yang terpengaruh.
Integrasi dengan Manajemen Izin Entra
Defender untuk Cloud telah terintegrasi dengan Manajemen Izin Microsoft Entra, solusi pengelolaan pemberian hak infrastruktur cloud (CIEM) yang memberikan visibilitas dan kontrol komprehensif atas izin untuk identitas dan sumber daya apa pun di Azure, AWS, dan GCP.
Setiap langganan Azure, akun AWS, dan proyek GCP yang Anda onboarding, sekarang akan menampilkan tampilan Permission Creep Index (PCI) Anda.
Pelajari selengkapnya tentang Manajemen Izin Entra (sebelumnya Cloudknox)
Rekomendasi Key Vault yang diubah ke "audit"
Efek untuk rekomendasi Key Vault yang tercantum di sini diubah menjadi "audit":
| Nama rekomendasi | ID Rekomendasi |
|---|---|
| Masa berlaku sertifikat yang disimpan di Azure Key Vault tidak boleh melebihi 12 bulan | fc84abc0-eee6-4758-8372-a7681965ca44 |
| Rahasia Azure Key Vault harus memiliki tanggal kedaluwarsa | 14257785-9437-97fa-11ae-898cfb24302b |
| Kunci Azure Key Vault harus memiliki tanggal kedaluwarsa | 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2 |
Menghentikan kebijakan Aplikasi API untuk App Service
Kami akan menghentikan kebijakan berikut ke kebijakan terkait yang sudah ada untuk menyertakan aplikasi API:
| Akan tidak digunakan lagi | Berubah menjadi |
|---|---|
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' |
App Service apps should have 'Client Certificates (Incoming client certificates)' enabled |
Ensure that 'Python version' is the latest, if used as a part of the API app |
App Service apps that use Python should use the latest Python version' |
CORS should not allow every resource to access your API App |
App Service apps should not have CORS configured to allow every resource to access your apps |
Managed identity should be used in your API App |
App Service apps should use managed identity |
Remote debugging should be turned off for API Apps |
App Service apps should have remote debugging turned off |
Ensure that 'PHP version' is the latest, if used as a part of the API app |
App Service apps that use PHP should use the latest 'PHP version' |
FTPS only should be required in your API App |
App Service apps should require FTPS only |
Ensure that 'Java version' is the latest, if used as a part of the API app |
App Service apps that use Java should use the latest 'Java version' |
Latest TLS version should be used in your API App |
App Service apps should use the latest TLS version |
Juni 2022
Pembaruan di bulan Juni meliputi:
- Ketersediaan umum (GA) untuk Microsoft Defender untuk Azure Cosmos DB
- Ketersediaan umum (GA) Defender untuk SQL bagi lingkungan AWS dan GCP
- Mendorong implementasi rekomendasi keamanan untuk meningkatkan kondisi keamanan Anda
- Memfilter pemberitahuan keamanan berdasarkan alamat IP
- Peringatan berdasarkan grup sumber daya
- Provisi otomatis solusi terpadu Microsoft Defender untuk Titik Akhir
- Menghentikan kebijakan "Aplikasi API hanya dapat diakses melalui HTTPS"
- Peringatan Key Vault baru
Ketersediaan umum (GA) untuk Microsoft Defender untuk Azure Cosmos DB
Microsoft Defender untuk Azure Cosmos DB sekarang tersedia secara umum (GA) dan mendukung jenis akun API SQL (inti).
Rilis baru ke GA ini adalah bagian dari rangkaian perlindungan database Microsoft Defender untuk Cloud, yang mencakup berbagai jenis database SQL dan MariaDB. Microsoft Defender untuk Azure Cosmos DB merupakan lapisan keamanan Azure yang dapat mendeteksi setiap upaya untuk mengeksploitasi database pada akun Azure Cosmos DB Anda.
Dengan mengaktifkan rencana ini, Anda akan diberi tahu tentang potensi injeksi SQL, pelaku jahat yang dikenal, pola akses mencurigakan, dan eksplorasi potensial database Anda melalui identitas yang disusupi atau orang dalam yang berbahaya.
Peringatan keamanan akan timbul ketika aktivitas yang berpotensi berbahaya terdeteksi. Peringatan tersebut berisi detail aktivitas mencurigakan bersama dengan langkah investigasi, tindakan perbaikan, dan rekomendasi keamanan yang relevan.
Microsoft Defender untuk Azure Cosmos DB terus menganalisis aliran telemetri yang dihasilkan oleh layanan Azure Cosmos DB dan melintasinya dengan Inteligensi Ancaman Microsoft dan model perilaku untuk mendeteksi aktivitas yang mencurigakan. Defender untuk Azure Cosmos DB tidak mengakses data akun Azure Cosmos DB dan tidak memengaruhi performanya.
Pelajari selengkapnya tentang Microsoft Defender untuk Azure Cosmos DB.
Dengan penambahan dukungan untuk Azure Cosmos DB, Defender untuk Cloud sekarang menyediakan salah satu penawaran perlindungan beban kerja paling komprehensif untuk database berbasis cloud. Tim keamanan dan pemilik database sekarang dapat memiliki pengalaman terpusat untuk mengelola keamanan database lingkungan mereka.
Pelajari cara mengaktifkan perlindungan untuk database Anda.
Ketersediaan umum (GA) Defender untuk SQL bagi lingkungan AWS dan GCP
Kemampuan perlindungan database yang disediakan oleh Microsoft Defender untuk Cloud telah menambahkan dukungan untuk server SQL Anda yang dihosting di lingkungan AWS atau GCP.
Defender untuk SQL, perusahaan sekarang dapat melindungi seluruh properti database mereka yang dihosting pada Azure, AWS, GCP, dan mesin lokal.
Microsoft Defender for SQL memberikan pengalaman multicloud terpadu untuk melihat rekomendasi keamanan, pemberitahuan keamanan, serta temuan penilaian kerentanan untuk server SQL dan OS Windows yang menjadi dasarnya.
Dengan menggunakan pengalaman onboarding multicloud, Anda bisa mengaktifkan dan menerapkan perlindungan database untuk server SQL yang berjalan di AWS EC2, RDS Custom untuk mesin komputasi SQL Server dan GCP. Saat Anda mengaktifkan salah satu paket ini, semua sumber daya yang didukung yang ada dalam langganan terlindungi. Sumber daya masa depan yang dibuat pada langganan yang sama juga akan dilindungi.
Pelajari cara untuk melindungi dan menyambungkan lingkungan AWS dan organisasi GCP Anda dengan Microsoft Defender untuk Cloud.
Mendorong implementasi rekomendasi keamanan untuk meningkatkan kondisi keamanan Anda
Ancaman yang meningkat pada organisasi saat ini membentangkan batas personel keamanan guna melindungi beban kerja mereka yang berkembang. Tim keamanan ditantang untuk menerapkan perlindungan yang telah ditentukan dalam kebijakan keamanan mereka.
Sekarang dengan pengalaman tata kelola dalam pratinjau, tim keamanan dapat menetapkan remediasi rekomendasi keamanan kepada pemilik sumber daya dan memerlukan jadwal remediasi. Mereka dapat memperoleh transparansi penuh dalam kemajuan remediasi dan mendapatkan pemberitahuan ketika tugas terlambat.
Pelajari selengkapnya tentang pengalaman tata kelola dalam Mendorong organisasi Anda guna memulihkan masalah keamanan dengan tata kelola rekomendasi.
Memfilter pemberitahuan keamanan berdasarkan alamat IP
Dalam banyak kasus serangan, Anda ingin melacak pemberitahuan berdasarkan alamat IP entitas yang terlibat dalam serangan tersebut. Hingga kini, IP hanya muncul di bagian "Entitas Terkait" dalam panel peringatan tunggal. Kini, Anda dapat memfilter peringatan di halaman peringatan keamanan untuk melihat peringatan yang terkait dengan alamat IP dan Anda dapat mencari alamat IP tertentu.
Peringatan berdasarkan grup sumber daya
Kemampuan untuk memfilter, mengurutkan, dan mengelompokkan menurut grup sumber daya ditambahkan ke halaman Pemberitahuan keamanan.
Kolom grup sumber daya ditambahkan ke kisi pemberitahuan.
Filter baru ditambahkan yang memungkinkan Anda melihat semua pemberitahuan untuk grup sumber daya tertentu.
Kini Anda juga dapat mengelompokkan pemberitahuan berdasarkan grup sumber daya untuk melihat semua pemberitahuan bagi setiap grup sumber daya Anda.
Provisi otomatis solusi terpadu Microsoft Defender untuk Titik Akhir
Hingga saat ini, integrasi dengan Pertahanan Microsoft untuk Titik Akhir (MDE) menyertakan penginstalan otomatis solusi terpadu MDE baru untuk mesin (langganan Azure dan konektor multicloud) dengan Defender untuk Server Paket 1 diaktifkan, dan untuk konektor multicloud dengan Defender untuk Server Paket 2 diaktifkan. Paket 2 untuk langganan Azure mengaktifkan solusi terpadu untuk mesin Linux dan server Windows 2019 dan 2022 saja. Windows server 2012R2 dan 2016 menggunakan solusi warisan MDE tergantung pada agen Analitik Log.
Sekarang solusi terpadu baru tersedia untuk semua mesin dalam kedua paket, untuk langganan Azure dan konektor multi-cloud. Untuk langganan Azure dengan Server Paket 2 yang mengaktifkan integrasi MDE setelah 20 Juni 2022, solusi terpadu diaktifkan secara default untuk semua langganan Azure mesin dengan Defender untuk Server Paket 2 yang diaktifkan dengan integrasi MDE sebelum 20 Juni 2022 sekarang dapat mengaktifkan penginstalan solusi terpadu untuk server Windows 2012R2 dan 2016 melalui tombol khusus di halaman Integrasi:
Pelajari selengkapnya tentang integrasi MDE dengan Defender untuk Server.
Menghentikan kebijakan "Aplikasi API hanya dapat diakses melalui HTTPS"
Kebijakan API App should only be accessible over HTTPS tidak digunakan lagi. Kebijakan ini diganti dengan Web Application should only be accessible over HTTPS kebijakan, yang diganti namanya menjadi App Service apps should only be accessible over HTTPS.
Untuk mempelajari selengkapnya tentang definisi kebijakan untuk Azure App Service, lihat definisi bawaan Azure Policy untuk Azure App Service.
Peringatan Key Vault baru
Untuk memperluas perlindungan ancaman dari Microsoft Defender untuk Key Vault, kami menambahkan dua peringatan baru.
Pemberitahuan ini akan memberi tahu Anda tentang anomali akses yang ditolak dan terdeteksi untuk salah satu key vault Anda.
| Peringatan (jenis peringatan) | Deskripsi | Taktik MITRE | Tingkat keparahan |
|---|---|---|---|
| Akses yang tidak biasa ditolak - Pengguna yang mengakses volume tinggi brankas kunci ditolak (KV_DeniedAccountVolumeAnomaly) |
Pengguna atau perwakilan layanan telah mencoba mengakses brankas kunci dengan volume yang sangat tinggi dalam 24 jam terakhir. Pola akses yang tidak biasa ini mungkin aktivitas yang sah. Meskipun percobaan ini tidak berhasil, hal ini bisa mengindikasikan kemungkinan percobaan untuk mendapatkan akses brankas kunci dan rahasia di dalamnya. Kami merekomendasikan investigasi lebih lanjut. | Penemuan | Kurang Penting |
| Akses yang tidak biasa ditolak - Akses brankas kunci oleh pengguna yang tidak biasa ditolak (KV_UserAccessDeniedAnomaly) |
Percobaan akses brankas kunci dilakukan oleh pengguna yang tidak biasa mengaksesnya, pola akses tidak biasa ini mungkin merupakan aktivitas yang sah. Meskipun percobaan ini tidak berhasil, hal ini bisa mengindikasikan kemungkinan percobaan untuk mendapatkan akses brankas kunci dan rahasia di dalamnya. | Akses Awal, Penemuan | Kurang Penting |
Mei 2022
Pembaruan pada bulan Mei meliputi:
- Pengaturan multicloud dari paket Server sekarang tersedia di tingkat konektor
- Akses JIT (Just-in-time) untuk Mesin Virtual sekarang tersedia untuk instans AWS EC2 (Pratinjau)
- Menambahkan dan menghapus sensor Defender untuk kluster AKS menggunakan CLI
Pengaturan multicloud dari paket Server sekarang tersedia di tingkat konektor
Sekarang terdapat pengaturan tingkat konektor untuk Defender untuk Server di multicloud.
Pengaturan tingkat konektor baru memberikan granularitas untuk konfigurasi harga dan provisi otomatis per konektor, secara independen dari langganan.
Semua komponen provisi otomatis yang tersedia di tingkat konektor (penilaian Azure Arc, MDE, dan kerentanan) diaktifkan secara default, dan konfigurasi baru mendukung tingkat harga Paket 1 dan Paket 2.
Pembaruan di antarmuka pengguna mencakup refleksi dari tingkat harga yang dipilih dan komponen yang diperlukan dikonfigurasi.
Perubahan terhadap penilaian kerentanan
Defender untuk Kontainer sekarang menampilkan kerentanan yang memiliki keparahan sedang dan rendah yang tidak dapat diperbaiki.
Sebagai bagian dari pembaruan ini, kerentanan yang memiliki keparahan sedang dan rendah sekarang ditampilkan, terlepas dari apakah patch tersedia atau tidak. Pembaruan ini memberikan visibilitas maksimum, tetapi masih memungkinkan Anda memfilter kerentanan yang tidak diinginkan dengan menggunakan aturan Nonaktifkan yang disediakan.
Pelajari selengkapnya tentang penilaian kerentanan
Akses JIT (Just-in-time) untuk Mesin Virtual sekarang tersedia untuk instans AWS EC2 (Pratinjau)
Saat Anda menghubungkan akun AWS, JIT akan secara otomatis mengevaluasi konfigurasi jaringan kelompok keamanan instans Anda dan merekomendasikan instans mana yang memerlukan perlindungan untuk port manajemen yang terbuka. Ini mirip dengan cara kerja JIT dengan Azure. Saat Anda melakukan onboarding instans EC2 yang tidak terlindungi, JIT akan memblokir akses publik ke port manajemen dan hanya membukanya dengan permintaan yang diotorisasi untuk jangka waktu terbatas.
Mempelajari cara JIT melindungi instans AWS EC2 Anda
Menambahkan dan menghapus sensor Defender untuk kluster AKS menggunakan CLI
Agen Defender diperlukan untuk Defender untuk Kontainer untuk memberikan perlindungan runtime dan mengumpulkan sinyal dari simpul. Sekarang Anda dapat menggunakan Azure CLI untuk menambahkan dan menghapus agen Defender untuk kluster AKS.
Catatan
Opsi ini disertakan dalam Azure CLI 3.7 dan yang lebih baru.
April 2022
Pembaruan di bulan April meliputi:
- Paket terbaru Defender untuk Server
- Relokasi rekomendasi kustom
- Skrip PowerShell untuk mengalirkan peringatan ke Splunk dan QRadar
- Menghentikan rekomendasi Azure Cache for Redis
- Varian peringatan baru untuk Microsoft Defender untuk Storage (pratinjau) untuk mendeteksi paparan data sensitif
- Judul peringatan pemindaian kontainer yang ditambah dengan reputasi alamat IP
- Lihat log aktivitas yang terkait dengan peringatan keamanan
Paket terbaru Defender untuk Server
Microsoft Defender untuk Server kini ditawarkan dalam dua paket bertahap:
- Defender untuk Server Paket 2, sebelumnya Defender untuk Server
- Defender untuk Server Paket 1, hanya menyediakan dukungan untuk Microsoft Defender untuk Titik Akhir
Meskipun Defender untuk Server Paket 2 terus memberikan perlindungan dari ancaman dan kerentanan terhadap beban kerja cloud dan lokal Anda, Defender untuk Server Paket 1 hanya menyediakan perlindungan titik akhir, didukung oleh Defender untuk Titik Akhir terintegrasi secara asli. Baca selengkapnya mengenai paket Defender untuk Server.
Jika Anda telah menggunakan Defender untuk Server hingga saat ini, tidak ada tindakan yang diperlukan.
Selain itu, Defender untuk Cloud juga memulai dukungan bertahap untuk agen terpadu Defender untuk Titik Akhir untuk Windows Server 2012 R2 dan 2016. Defender untuk Server Paket 1 menyebarkan agen terpadu baru ke beban kerja Windows Server 2012 R2 dan 2016.
Relokasi rekomendasi kustom
Rekomendasi kustom adalah rekomendasi yang dibuat oleh pengguna dan tidak berdampak pada skor aman. Rekomendasi kustom sekarang dapat ditemukan di tab Semua rekomendasi.
Gunakan filter "jenis rekomendasi" baru, untuk menemukan rekomendasi kustom.
Pelajari selengkapnya di Buat inisiatif dan kebijakan keamanan kustom.
Skrip PowerShell untuk mengalirkan peringatan ke Splunk dan IBM QRadar
Sebaiknya gunakan Pusat Aktivitas dan konektor bawaan untuk mengekspor peringatan keamanan ke Splunk dan IBM QRadar. Sekarang Anda dapat menggunakan skrip PowerShell untuk menyiapkan sumber daya Azure yang diperlukan guna mengekspor peringatan keamanan untuk langganan atau penyewa Anda.
Cukup unduh dan jalankan skrip PowerShell. Setelah Anda memberikan beberapa detail lingkungan Anda, skrip akan mengonfigurasi sumber daya untuk Anda. Skrip kemudian menghasilkan output yang bisa Anda gunakan di platform SIEM untuk menyelesaikan integrasi.
Untuk mempelajari selengkapnya, lihat Mengalirkan peringatan ke Splunk dan QRadar.
Menghentikan rekomendasi Azure Cache for Redis
Rekomendasi Azure Cache for Redis should reside within a virtual network (Pratinjau) tidak digunakan lagi. Kami telah mengubah panduan kami untuk mengamankan instans Azure Cache for Redis. Sebaiknya gunakan titik akhir privat untuk membatasi akses ke instans Azure Cache for Redis Anda, bukan jaringan virtual.
Varian peringatan baru Microsoft Defender untuk Storage (pratinjau) untuk mendeteksi paparan data sensitif
Peringatan Microsoft Defender untuk Storage memberi tahu Anda saat pelaku ancaman mencoba memindai dan mengekspos, berhasil atau tidak, wadah penyimpanan yang terbuka untuk umum dan salah konfigurasi untuk mencoba mengekstrak informasi sensitif.
Untuk memungkinkan triaging dan waktu respons yang lebih cepat, ketika penyelundupan data yang berpotensi sensitif mungkin terjadi, kami telah merilis variasi baru ke peringatan Publicly accessible storage containers have been exposed yang ada.
Pemberitahuan baru, Publicly accessible storage containers with potentially sensitive data have been exposed, dipicu dengan High tingkat keparahan, setelah penemuan kontainer penyimpanan yang terbuka untuk umum dengan nama yang secara statistik telah ditemukan jarang diekspos secara publik, menunjukkan bahwa mereka mungkin menyimpan informasi sensitif.
| Peringatan (jenis peringatan) | Deskripsi | Taktik MITRE | Tingkat keparahan |
|---|---|---|---|
| PRATINJAU - Kontainer penyimpanan yang dapat diakses secara publik beserta data sensitif yang berpotensi telah diekspos (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive) |
Seseorang telah memindai akun Azure Storage Anda dan mengekspos kontainer yang memungkinkan akses publik. Satu atau beberapa kontainer yang diekspos memiliki nama yang menunjukkan bahwa kontainer tersebut mungkin berisi data sensitif. Tindakan ini biasanya menunjukkan adanya pengintaian oleh pelaku ancaman dengan memindai kontainer penyimpanan yang salah dikonfigurasi dan dapat diakses publik yang mungkin berisi data sensitif. Setelah pelaku ancaman berhasil menemukan kontainer, mereka dapat melanjutkan dengan menyelundupkan data. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Koleksi | Sangat Penting |
Judul peringatan pemindaian kontainer yang ditambah dengan reputasi alamat IP
Reputasi alamat IP dapat menunjukkan apakah aktivitas pemindaian berasal dari pelaku ancaman yang diketahui, atau dari pelaku yang menggunakan jaringan Tor untuk menyembunyikan identitas mereka. Kedua indikator ini, menunjukkan bahwa ada niat jahat. Reputasi alamat IP disediakan oleh Inteligensi Ancaman Microsoft.
Penambahan reputasi alamat IP ke judul peringatan dapat mempercepat proses evaluasi niat pelaku, sekaligus menunjukkan tingkat keparahan ancaman dengan cepat.
Peringatan berikut akan menyertakan informasi ini:
Publicly accessible storage containers have been exposedPublicly accessible storage containers with potentially sensitive data have been exposedPublicly accessible storage containers have been scanned. No publicly accessible data was discovered
Misalnya, informasi yang ditambahkan pada judul peringatan Publicly accessible storage containers have been exposed akan terlihat seperti ini:
Publicly accessible storage containers have been exposedby a suspicious IP addressPublicly accessible storage containers have been exposedby a Tor exit node
Semua peringatan Microsoft Defender untuk Storage akan terus menyertakan informasi inteligensi ancaman di entitas IP di bagian Entitas Terkait peringatan.
Lihat log aktivitas yang terkait dengan peringatan keamanan
Sebagai bagian dari tindakan yang dapat Anda lakukan untuk mengevaluasi peringatan keamanan, Anda dapat menemukan log platform terkait di Memeriksa konteks sumber daya untuk mendapatkan konteks mengenai sumber daya yang terpengaruh. Microsoft Defender untuk Cloud mengidentifikasi log platform yang berada dalam satu hari peringatan.
Log platform dapat membantu Anda mengevaluasi ancaman keamanan dan mengidentifikasi langkah-langkah yang dapat Anda ambil untuk mengurangi risiko yang diidentifikasi.
Maret 2022
Pembaruan di bulan Maret meliputi:
- Ketersediaan global Skor Aman untuk lingkungan AWS dan GCP
- Menghentikan rekomendasi untuk memasang agen koleksi data lalu lintas
- Defender untuk Kontainer saat ini sudah dapat memindai kerentanan citra Windows (pratinjau)
- Peringatan baru Microsoft Defender untuk Storage (pratinjau)
- Mengonfigurasi pengaturan pemberitahuan email dari peringatan
- Peringatan pratinjau yang tidak digunakan lagi: ARM.MCAS_ActivityFromAnonymousIPAddresses
- Pemindahan Kerentanan rekomendasi pada konfigurasi keamanan kontainer harus diperbaiki dari skor aman menjadi praktik terbaik
- Menghentikan penggunaan rekomendasi menggunakan perwakilan layanan untuk melindungi langganan Anda
- Implementasi warisan ISO 27001 diganti dengan inisiatif ISO 27001:2013 baru
- Rekomendasi perangkat Microsoft Defender for IoT yang sudah tidak digunakan lagi
- Peringatan perangkat Microsoft Defender for IoT yang sudah tidak digunakan lagi
- Manajemen postur dan perlindungan ancaman untuk AWS dan GCP dirilis untuk ketersediaan umum (GA)
- Pemindaian registri untuk gambar Windows di ACR menambahkan dukungan untuk cloud nasional
Ketersediaan global Skor Aman untuk lingkungan AWS dan GCP
Kemampuan manajemen postur keamanan cloud yang disediakan oleh Microsoft Defender untuk Cloud, sekarang telah menambahkan dukungan untuk lingkungan AWS dan GCP Anda dalam Skor Aman Anda.
Perusahaan sekarang dapat melihat postur keamanan mereka secara keseluruhan, di berbagai lingkungan, seperti Azure, AWS, dan GCP.
Halaman Skor Aman diganti dengan dasbor Postur keamanan. Dasbor Postur keamanan memungkinkan Anda melihat skor gabungan semua lingkungan Anda secara keseluruhan, atau perincian postur keamanan Anda berdasarkan kombinasi lingkungan apa pun yang Anda pilih.
Halaman Rekomendasi juga telah dirancang ulang untuk menyediakan kemampuan baru seperti: pemilihan lingkungan cloud, filter tingkat lanjut berdasarkan konten (grup sumber daya, akun AWS, proyek GCP, dan banyak lagi), antarmuka pengguna yang ditingkatkan pada resolusi rendah, dukungan untuk kueri terbuka dalam grafik sumber daya, dan banyak lagi. Anda dapat mempelajari lebih lanjut tentang postur keamanan dan rekomendasi keamanan Anda secara keseluruhan.
Tidak lagi menggunakan rekomendasi untuk memasang agen koleksi data lalu lintas
Perubahan pada peta jalan dan prioritas telah menghapus kebutuhan untuk agen pengumpulan data lalu lintas. Dua rekomendasi berikut serta kebijakan terkait keduanya tidak digunakan lagi.
| Rekomendasi | Deskripsi | Tingkat keparahan |
|---|---|---|
| Agen pengumpulan data lalu lintas jaringan harus dipasang di komputer virtual Linux | Defender untuk Cloud mengumpulkan data lalu lintas menggunakan agen dependensi Microsoft dari mesin virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas pada peta jaringan, rekomendasi pengerasan jaringan dan ancaman jaringan tertentu. | Medium |
| Agen pengumpulan data lalu lintas jaringan harus dipasang di komputer virtual Windows | Defender untuk Cloud mengumpulkan data lalu lintas menggunakan agen dependensi Microsoft dari mesin virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas pada peta jaringan, rekomendasi pengerasan jaringan dan ancaman jaringan tertentu. | Medium |
Defender untuk Kontainer saat ini sudah dapat memindai kerentanan citra Windows (pratinjau)
Defender untuk memindai citra Kontainer saat ini mendukung citra Windows yang diselenggarakan di Azure Container Registry. Fitur ini gratis saat pratinjau, dan akan dikenakan biaya ketika tersedia secara umum.
Pelajari selengkapnya dalam Menggunakan Microsoft Defender untuk Kontainer untuk memindai kerentanan pada citra Anda.
Peringatan baru Microsoft Defender untuk Storage (pratinjau)
Untuk memperluas perlindungan ancaman oleh Microsoft Defender untuk Storage, kami telah menambahkan peringatan pratinjau yang baru.
Pelaku ancaman menggunakan aplikasi dan alat untuk menemukan dan mengakses akun penyimpanan. Microsoft Defender untuk Storage mendeteksi aplikasi dan alat ini sehingga Anda dapat memblokirnya dan memulihkan postur Anda.
Peringatan pratinjau disebut Access from a suspicious application. Peringatan ini hanya relevan untuk Azure Blob Storage, dan ADLS Gen2.
| Peringatan (jenis peringatan) | Deskripsi | Taktik MITRE | Tingkat keparahan |
|---|---|---|---|
| PRATINJAU - Akses dari aplikasi yang mencurigakan (Storage.Blob_SuspiciousApp) |
Menunjukkan bahwa aplikasi mencurigakan telah sukses mengakses akun penyimpanan Kontainer dengan autentikasi. Hal ini kemungkinan menunjukkan bahwa penyerang telah memperoleh info masuk yang diperlukan untuk mengakses akun dan sedang mengeksploitasinya. Dan bisa juga menjadi indikasi dari uji penetrasi yang dilakukan organisasi Anda. Berlaku untuk: Azure Blob Storage, Azure Data Lake Storage Gen2 |
Akses Awal | Medium |
Mengonfigurasi pengaturan pemberitahuan email dari peringatan
Bagian baru ditambahkan ke pemberitahuan Antarmuka Pengguna (UI) yang memungkinkan Anda melihat dan mengedit siapa yang akan menerima pemberitahuan email untuk pemberitahuan yang dipicu pada langganan saat ini.
Pelajari cara Mengonfigurasi pemberitahuan email untuk peringatan keamanan.
Peringatan pratinjau yang tidak digunakan lagi: ARM.MCAS_ActivityFromAnonymousIPAddresses
Pemberitahuan pratinjau berikut tidak digunakan lagi:
| Nama pemberitahuan | Deskripsi |
|---|---|
| PRATINJAU - Aktivitas dari alamat IP yang berisiko (ARM.MCAS_ActivityFromAnonymousIPAddresses) |
Aktivitas pengguna dari alamat IP yang telah diidentifikasi sebagai alamat IP proxy anonim telah terdeteksi. Proxy ini digunakan oleh orang-orang yang ingin menyembunyikan alamat IP perangkat mereka, dan dapat digunakan untuk maksud tidak baik. Deteksi ini menggunakan algoritme pembelajaran komputer yang mengurangi kesalahan positif, seperti alamat IP yang salah ditandai yang banyak digunakan oleh pengguna di organisasi. Membutuhkan lisensi aktif aplikasi Microsoft Defender untuk Cloud. |
Pemberitahuan baru dibuat yang menyediakan informasi ini dan menambahkannya. Selain itu, pemberitahuan yang lebih baru (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) tidak memerlukan lisensi untuk Microsoft Defender untuk Cloud Apps (sebelumnya dikenal sebagai Microsoft Cloud App Security).
Lihat peringatan lebih lanjut untuk Resource Manager.
Pemindahan Kerentanan rekomendasi pada konfigurasi keamanan kontainer harus diperbaiki dari skor aman menjadi praktik terbaik
Rekomendasi Vulnerabilities in container security configurations should be remediated dipindahkan dari bagian skor aman ke bagian praktik terbaik.
Saat ini pengguna yang berpengalaman hanya menyediakan skor ketika seluruh pemeriksaan kepatuhan dinyatakan telah lulus. Sebagian besar pelanggan mengalami kesulitan dalam memenuhi seluruh pemeriksaan yang diperlukan. Kami sedang mengerjakan pengalaman yang ditingkatkan untuk rekomendasi ini, dan setelah dirilis, rekomendasi akan dipindahkan kembali ke skor aman.
Menghentikan penggunaan rekomendasi menggunakan perwakilan layanan untuk melindungi langganan Anda
Ketika organisasi beralih dari menggunakan sertifikat manajemen untuk mengelola langganan, dan pengumuman terbaru kami bahwa kami menghentikan model penyebaran Cloud Services (klasik), kami tidak menggunakan lagi rekomendasi Defender untuk Cloud berikut dan kebijakan yang terkait dengannya:
| Rekomendasi | Deskripsi | Tingkat keparahan |
|---|---|---|
| Perwakilan layanan harus digunakan untuk melindungi langganan Anda, bukan Sertifikat Manajemen | Sertifikat manajemen memungkinkan siapa saja yang mengautentikasi untuk mengelola langganan yang terkait dengannya. Untuk mengelola langganan dengan lebih aman, sebaiknya gunakan perwakilan layanan dengan Resource Manager guna membatasi radius sebaran jika sertifikat disusupi. Ini juga mengotomatisasi manajemen sumber daya. (Kebijakan terkait: Perwakilan layanan harus digunakan untuk melindungi langganan Anda, bukan sertifikat manajemen) |
Medium |
Selengkapnya:
- Model penyebaran Cloud Services (klasik) akan dihentikan pada 31 Agustus 2024
- Gambaran umum Azure Cloud Services (klasik)
- Alur kerja Arsitektur mesin virtual klasik Microsoft Azure - termasuk dasar-dasar alur kerja RDFE
Implementasi warisan ISO 27001 diganti dengan inisiatif ISO 27001:2013 baru
Implementasi warisan ISO 27001 dihapus dari dasbor kepatuhan peraturan Defender untuk Cloud. Jika Anda melacak kepatuhan ISO 27001 dengan Defender untuk Cloud, onboard standar ISO 27001:2013 yang baru untuk seluruh grup atau langganan manajemen yang relevan.
Rekomendasi perangkat Microsoft Defender for IoT yang sudah tidak digunakan lagi
Rekomendasi perangkat Microsoft Defender untuk IoT tidak lagi terlihat di Microsoft Defender untuk Cloud. Rekomendasi ini masih tersedia di halaman Rekomendasi Microsoft Defender untuk IoT.
Rekomendasi berikut ini tidak digunakan lagi:
| Kunci penilaian | Rekomendasi |
|---|---|
| 1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: Perangkat IoT | Membuka Port Pada Perangkat |
| ba975338-f956-41e7-a9f2-7614832d382d: Perangkat IoT | Aturan firewall permisif dalam rantai input ditemukan |
| beb62be3-5e78-49bd-ac5f-099250ef3c7c: Perangkat IoT | Kebijakan firewall permisif pada salah satu rantai sudah ditemukan |
| d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: Perangkat IoT | Aturan firewall permisif dalam rantai output ditemukan |
| 5f65e47f-7a00-4bf3-acae-90ee441ee876: Perangkat IoT | Kegagalan validasi garis besar sistem operasi |
| a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: Perangkat IoT | Agen mengirimkan pesan yang kurang digunakan |
| 2acc27c6-5fdb-405e-9080-cb66b850c8f5: Perangkat IoT | Diperlukan peningkatan cipher suite TLS |
| d74d2738-2485-4103-9919-69c7e63776ec: Perangkat IoT | Auditd proses berhenti mengirim peristiwa |
Peringatan perangkat Microsoft Defender for IoT yang sudah tidak digunakan lagi
Seluruh peringatan perangkat Microsoft Defender untuk IoT tidak lagi terlihat pada Microsoft Defender untuk Cloud. Peringatan ini masih tersedia di halaman Peringatan Microsoft Defender untuk IoT dan di Microsoft Sentinel.
Manajemen postur dan perlindungan ancaman untuk AWS dan GCP dirilis untuk ketersediaan umum (GA)
Fitur CSPM Defender untuk Cloud diperluas ke sumber daya AWS dan GCP Anda. Paket tanpa agen ini menilai sumber daya multi-cloud Anda sesuai dengan rekomendasi keamanan khusus-cloud yang termasuk dalam skor aman Anda. Kepatuhan sumber daya dinilai menggunakan standar bawaan. Halaman inventaris aset Defender untuk Cloud adalah fitur yang mendukung multicloud yang memungkinkan Anda mengelola sumber daya AWS bersama sumber daya Azure Anda.
Microsoft Defender untuk Server menghadirkan deteksi ancaman dan pertahanan tingkat lanjut ke instans komputasi Anda di AWS dan GCP. Paket Defender untuk Server mencakup lisensi terintegrasi Microsoft Defender untuk Titik Akhir, pemindaian penilaian kerentanan, dan banyak lagi. Pelajari tentang semua fitur yang didukung untuk komputer virtual dan server. Kemampuan onboarding otomatis memungkinkan Anda untuk dengan mudah menghubungkan instans komputasi lama atau baru yang ditemukan di lingkungan Anda.
Pelajari cara melindungi dan menyambungkan lingkungan AWS dan organisasi GCP Anda dengan Microsoft Defender untuk Cloud.
Pemindaian registri untuk gambar Windows di ACR menambahkan dukungan untuk cloud nasional
Pemindaian registri untuk gambar Windows sekarang didukung di Azure Government dan Microsoft Azure yang dioperasikan oleh 21Vianet. Penambahan ini sedang dalam pratinjau.
Pelajari selengkapnya tentang ketersediaan fitur kami.
Februari 2022
Pembaruan di bulan Februari meliputi:
- Perlindungan beban kerja Kubernetes untuk Azure Arc mengaktifkan kluster Kubernetes
- CSPM asli untuk GCP dan perlindungan ancaman untuk instans komputasi GCP
- Paket Microsoft Defender untuk Azure Cosmos DB dirilis untuk pratinjau
- Perlindungan ancaman untuk kluster Mesin Google Kubernetes (GKE)
Perlindungan beban kerja Kubernetes untuk Azure Arc mengaktifkan kluster Kubernetes
Defender untuk Kontainer sebelumnya hanya melindungi beban kerja Kubernetes yang berjalan dalam Azure Kubernetes Service. Saat ini kami memperluas cakupan perlindungan termasuk kluster Kubernetes yang diaktifkan Azure Arc.
Pelajari cara menyiapkan perlindungan beban kerja Kubernetes Anda untuk AKS dan kluster Kubernetes yang diaktifkan Azure Arc.
CSPM asli untuk GCP dan perlindungan ancaman bagi instans komputasi GCP
Onboarding otomatis lingkungan GCP yang baru memungkinkan Anda melindungi beban kerja GCP dengan Microsoft Defender untuk Cloud. Defender untuk Cloud melindungi sumber daya Anda dengan tindakan berikut:
Fitur CSPM Defender untuk Cloud diperluas ke sumber daya GCP Anda. Paket tanpa agen menilai sumber daya GCP Anda berdasarkan rekomendasi keamanan khusus GCP, yang disediakan Defender untuk Cloud. Rekomendasi GCP dimasukkan dalam skor keamanan Anda, dan sumber daya akan dinilai kepatuhannya dengan standar CIS GCP bawaan. Halaman inventaris aset Defender untuk Cloud adalah fitur yang mendukung multicloud yang membantu Anda mengelola sumber daya di Azure, AWS, dan GCP.
Microsoft Defender untuk server menghadirkan deteksi ancaman dan pertahanan tingkat lanjut untuk instans komputasi GCP Anda. Paket ini mencakup lisensi terintegrasi Microsoft Defender untuk Titik Akhir, pemindaian penilaian kerentanan, dan lainnya.
Untuk daftar lengkap fitur yang tersedia, lihatlah fitur yang mendukung server dan mesin virtual. Kemampuan penyesuaian otomatis akan membiarkan Anda tersambung dengan mudah dalam semua keadaan dan menemukan instans komputasi baru dalam lingkungan.
Pelajari cara melindungi, dan menyambungkan proyek GCP Anda dengan Microsoft Defender untuk Cloud.
Paket Microsoft Defender untuk Azure Cosmos DB dirilis untuk pratinjau
Kami telah memperluas cakupan database Microsoft Defender untuk Cloud. Saat ini Anda dapat mengaktifkan perlindungan bagi database Azure Cosmos DB Anda.
Microsoft Defender untuk Azure Cosmos DB merupakan lapisan keamanan Azure yang dapat mendeteksi setiap upaya untuk mengeksploitasi database pada akun Azure Cosmos DB Anda. MIcrosoft Defender untuk Azure Cosmos DB mendeteksi potensi adanya injeksi SQL, yang dikenal sebagai pelaku kejahatan menurut inteligensi ancaman Microsoft, pola akses yang mencurigakan, dan potensi eksploitasi database Anda melalui penyusupan identitas, atau kejahatan orang dalam.
Hal tersebut terus menerus menganalisis aliran data pelanggan oleh layanan Azure Cosmos DB.
Peringatan keamanan akan timbul ketika aktivitas yang berpotensi berbahaya terdeteksi. Microsoft Defender untuk Cloud akan menampilkan peringatan disertai detail aktivitas yang mencurigakan dengan langkah-langkah penyelidikan, tindakan remediasi dan rekomendasi keamanan yang relevan.
Ketika layanan diaktifkan tidak akan berdampak pada performa database, karena Defender untuk Azure Cosmos DB tidak mengakses data akun Azure Cosmos DB.
Pelajari selengkapnya di Gambaran Umum Microsoft Defender untuk Azure Cosmos DB.
Kami juga memperkenalkan pengalaman pemberdayaan baru bagi keamanan database. Saat ini Anda dapat mengaktifkan perlindungan Microsoft Defender untuk Cloud pada langganan untuk melindungi seluruh jenis database, seperti, Azure Cosmos DB, Azure SQL Database, Azure SQL server pada komputer, dan Microsoft Defender untuk database hubungan sumber terbuka melalui suatu proses pemberdayaan. Jenis sumber daya tertentu dapat dimuat atau ditiadakan dengan paket Anda.
Pelajari cara mengaktifkan keamanan database Anda pada tingkat langganan.
Perlindungan ancaman untuk kluster Mesin Google Kubernetes (GKE)
Mengikuti pengumuman terkini CSPM native untuk GCP dan perlindungan ancaman untuk instans komputasi GCP, Microsoft Defender untuk Kontainer telah memperluas perlindungan ancaman Kubernetes, analitik perilaku, dan kebijakan kontrol penerimaan bawaan untuk kluster standar mesin Kubernetes Google. Anda dapat menyesuaikan dengan keadaan apa pun, atau pada kluster standar GKE baru untuk lingkungan melalui kemampuan penyesuaian Otomatis. Periksa Keamanan kontainer dengan Microsoft Defender untuk Cloud, untuk daftar lengkap fitur yang tersedia.
2022 Januari
Pembaruan di bulan Januari meliputi:
- Microsoft Defender untuk Resource Manager diperbarui dengan pemberitahuan baru dan penekanan yang lebih besar pada operasi berisiko tinggi yang dipetakan ke MITRE ATT&CK® Matrix
- Rekomendasi untuk mengaktifkan paket Microsoft Defender pada ruang kerja (dalam pratinjau)
- Agen Autoprovision Log Analytics ke komputer yang didukung Azure Arc (pratinjau)
- Tidak lagi menggunakan rekomendasi untuk mengklasifikasikan data sensitif dalam database SQL
- Komunikasi dengan peringatan domain yang mencurigakan diperluas untuk mengetahui hubungan domain Log4Shell
- Tombol 'Copy alert JSON' ditambahkan untuk panel detail peringatan keamanan
- Mengganti nama dua rekomendasi
- Kluster kontainer Kubernetes seharusnya hanya mendengarkan pada kebijakan port yang diizinkan tidak digunakan lagi
- Menambahkan buku kerja ‘Peringatan Aktif
- Rekomendasi 'Pembaruan Sistem' ditambahkan ke cloud pemerintah
Microsoft Defender untuk Resource Manager diperbarui dengan pemberitahuan baru dan penekanan yang lebih besar pada operasi berisiko tinggi yang dipetakan ke MITRE ATT&CK® Matrix
Lapisan manajemen cloud adalah layanan penting yang terhubung ke semua sumber daya cloud Anda. Karena itu menjadikannya juga merupakan target potensial bagi penyerang. Kami merekomendasikan tim operasi keamanan yang memantau dengan teliti lapisan manajemen sumber daya.
Microsoft Defender untuk Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda, baik yang dilakukan melalui portal Microsoft Azure, API REST Azure, Azure CLI, atau klien terprogram Azure lainnya. Defender untuk Cloud menjalankan analitik keamanan tingkat lanjut untuk mendeteksi ancaman dan memberi tahu Anda tentang aktivitas yang mencurigakan.
Perlindungan paket sangat meningkatkan ketahanan organisasi melawan serangan pelaku kejahatan dan jumlah sumber daya Azure yang dilindungi Defender untuk Cloud meningkat secara signifikan.
Pada Desember 2020, kami memperkenalkan pratinjau Defender untuk Azure Resource Manager, dan pada bulan Mei 2021 paket dirilis untuk ketersediaan umum.
Dengan pembaruan ini, Kami telah merevisi secara komprehensif fokus Microsoft Defender untuk paket Azure Resource Manager. Paket yang diperbarui mencakup banyak peringatan baru yang memfokuskan kepada pengidentifikasian invokasi mencurigakan dari operasi risiko tinggi. Pemberitahuan baru ini memberikan pemantauan ekstensif untuk serangan di seluruh matriks MITRE ATT&CK® lengkapuntuk teknik berbasis cloud.
Matriks ini meliputi rentang potensi niat pelaku ancaman yang mungkin menargetkan sumber daya organisasi Anda sebagai berikut: Akses Awal, Eksekusi, Persistensi, Eskalasi Hak istimewa, Penghindaran Pertahanan, Akses Info Masuk, Penemuan, Gerakan Lateral, Koleksi, Penyelundupan, dan Dampak.
Peringatan baru untuk paket Defender ini meliputi niat yang terlihat dalam tabel berikut.
Tip
Peringatan ini juga muncul pada halaman referensi peringatan.
| Peringatan (jenis peringatan) | Deskripsi | Taktik MITRE (niat) | Tingkat keparahan |
|---|---|---|---|
| Pemanggilan mencurigakan dari operasi 'Akses Awal' berisiko tinggi terdeteksi (Pratinjau) (ARM_AnomalousOperation.InitialAccess) |
Microsoft Defender untuk Resource Manager mengidentifikasi invokasi mencurigakan pada operasi risiko tinggi di langganan Anda, yang menunjukkan sebuah usaha untuk mengakses sumber daya terbatas. Operasi yang diidentifikasi dirancang untuk memungkinkan administrator mengakses lingkungan mereka secara efisien. Meskipun kemungkinan aktivitas ini sah, pelaku ancaman mungkin saja menggunakan operasi tertentu untuk mendapatkan akses awal ke sumber daya terbatas di lingkungan Anda. Hal ini menunjukkan bahwa akun disusupi dan sedang digunakan dengan niat berbahaya. | Akses Awal | Medium |
| Invokasi mencurigakan dari operasi 'Eksekusi' risiko tinggi terdeteksi (Pratinjau) (ARM_AnomalousOperation.Execution) |
Microsoft Defender untuk Resource Manager mengidentifikasi invokasi mencurigakan pada operasi risiko tinggi di komputer langganan Anda, yang menunjukkan sebuah usaha untuk menjalankan kode. Operasi yang teridentifikasi dirancang untuk mengizinkan administrator mengelola lingkungan mereka secara efisien. Meskipun kemungkinan aktivitas ini sah, pelaku ancaman mungkin saja menggunakan operasi tertentu untuk mengakses info masuk terbatas dan menyusupi sumber daya di lingkungan Anda. Hal ini menunjukkan bahwa akun disusupi dan sedang digunakan dengan niat berbahaya. | Eksekusi | Medium |
| Invokasi mencurigakan dari operasi 'Persistensi' risiko tinggi terdeteksi (Pratinjau) (ARM_AnomalousOperation.Persistence) |
Microsoft Defender untuk Azure Resource Manager mengidentifikasi invokasi mencurigakan pada operasi risiko tinggi di langganan Anda, yang menunjukkan sebuah usaha untuk membangun persistensi. Operasi yang teridentifikasi dirancang untuk mengizinkan administrator mengelola lingkungan mereka secara efisien. Meskipun kemungkinan aktivitas ini sah, pelaku ancaman mungkin saja menggunakan operasi tertentu untuk membangun persistensi di lingkungan Anda. Hal ini menunjukkan bahwa akun disusupi dan sedang digunakan dengan niat berbahaya. | Persistensi | Medium |
| Invokasi mencurigakan dari operasi 'Eskalasi Hak istimewa' risiko tinggi terdeteksi (Pratinjau) (ARM_AnomalousOperation.PrivilegeEscalation) |
Microsoft Defender untuk Resource Manager mengidentifikasi invokasi mencurigakan pada operasi risiko tinggi di langganan Anda, yang menunjukkan sebuah usaha untuk eskalasi hak isitimewa. Operasi yang teridentifikasi dirancang untuk mengizinkan administrator mengelola lingkungan mereka secara efisien. Meskipun kemungkinan aktivitas ini sah, pelaku ancaman mungkin saja menggunakan operasi tertentu untuk eskalasi hak istimewa ketika menyusupi sumber daya di lingkungan Anda. Hal ini menunjukkan bahwa akun disusupi dan sedang digunakan dengan niat berbahaya. | Eskalasi Hak Istimewa | Medium |
| Invokasi mencurigakan dari operasi 'Penghindaran Pertahanan' risiko tinggi terdeteksi (Pratinjau) (ARM_AnomalousOperation.DefenseEvasion) |
Microsoft Defender untuk Azure Resource Manager mengidentifikasi invokasi mencurigakan pada operasi risiko tinggi di langganan Anda, yang menunjukkan sebuah usaha untuk menghindari pertahanan. Operasi yang teridentifikasi dirancang untuk mengizinkan administrator mengelola postur keamanan lingkungan mereka secara efisien. Meskipun kemungkinan aktivitas ini sah, pelaku ancaman mungkin saja menggunakan operasi tertentu untuk menghindari terdeteksi ketika menyusupi sumber daya di lingkungan Anda. Hal ini menunjukkan bahwa akun disusupi dan sedang digunakan dengan niat berbahaya. | Penghindaran Pertahanan | Medium |
| Pemanggilan mencurigakan dari operasi 'Akses Info Masuk' berisiko tinggi terdeteksi (Pratinjau) (ARM_AnomalousOperation.CredentialAccess) |
Microsoft Defender untuk Azure Resource Manager mengidentifikasi invokasi mencurigakan pada operasi risiko tinggi di langganan Anda, yang menunjukkan sebuah usaha untuk mengakses info masuk. Operasi yang diidentifikasi dirancang untuk memungkinkan administrator mengakses lingkungan mereka secara efisien. Meskipun kemungkinan aktivitas ini sah, pelaku ancaman mungkin saja menggunakan operasi tertentu untuk mengakses info masuk terbatas dan menyusupi sumber daya di lingkungan Anda. Hal ini menunjukkan bahwa akun disusupi dan sedang digunakan dengan niat berbahaya. | Akses Info Masuk | Medium |
| Invokasi mencurigakan dari operasi 'Gerakan Lateral' risiko tinggi terdeteksi (Pratinjau) (ARM_AnomalousOperation.LateralMovement) |
Microsoft Defender untuk Azure Resource Manager mengidentifikasi invokasi mencurigakan pada operasi risiko tinggi di langganan Anda, yang menunjukkan sebuah usaha untuk melakukan gerakan lateral. Operasi yang teridentifikasi dirancang untuk mengizinkan administrator mengelola lingkungan mereka secara efisien. Meskipun kemungkinan aktivitas ini sah, pelaku ancaman mungkin saja menggunakan operasi tertentu untuk menyusupi sumber daya tambahan di lingkungan Anda. Hal ini menunjukkan bahwa akun disusupi dan sedang digunakan dengan niat berbahaya. | Gerakan Lateral | Medium |
| Invokasi mencurigakan dari operasi 'Koleksi Data' risiko tinggi terdeteksi (Pratinjau) (ARM_AnomalousOperation.Collection) |
Microsoft Defender untuk Azure Resource Manager mengidentifikasi invokasi mencurigakan pada operasi risiko tinggi di langganan Anda, yang menunjukkan sebuah usaha untuk mengumpulkan data. Operasi yang teridentifikasi dirancang untuk mengizinkan administrator mengelola lingkungan mereka secara efisien. Meskipun kemungkinan aktivitas ini sah, pelaku ancaman mungkin saja menggunakan operasi tertentu untuk mengumpulkan data sensitif pada sumber daya di lingkungan Anda. Hal ini menunjukkan bahwa akun disusupi dan sedang digunakan dengan niat berbahaya. | Koleksi | Medium |
| Invokasi mencurigakan dari operasi 'Dampak' risiko tinggi terdeteksi (Pratinjau) (ARM_AnomalousOperation.Impact) |
Microsoft Defender untuk Azure Resource Manager mengidentifikasi invokasi mencurigakan pada operasi risiko tinggi di langganan Anda, yang menunjukkan sebuah usaha perubahan konfigurasi. Operasi yang teridentifikasi dirancang untuk mengizinkan administrator mengelola lingkungan mereka secara efisien. Meskipun kemungkinan aktivitas ini sah, pelaku ancaman mungkin saja menggunakan operasi tertentu untuk mengakses info masuk terbatas dan menyusupi sumber daya di lingkungan Anda. Hal ini menunjukkan bahwa akun disusupi dan sedang digunakan dengan niat berbahaya. | Dampak | Medium |
Sebagai tambahan, dua peringatan dari paket ini telah keluar dari pratinjau:
| Peringatan (jenis peringatan) | Deskripsi | Taktik MITRE (niat) | Tingkat keparahan |
|---|---|---|---|
| Operasi Azure Resource Manager dari alamat IP yang mencurigakan (ARM_OperationFromSuspiciousIP) |
Microsoft Defender untuk Resource Manager mendeteksi operasi dari alamat IP yang telah ditandai sebagai hal yang mencurigakan dalam umpan inteligensi ancaman. | Eksekusi | Medium |
| Operasi Azure Resource Manager dari alamat IP proksi yang mencurigakan (ARM_OperationFromSuspiciousProxyIP) |
Microsoft Defender untuk Resource Manager mendeteksi operasi dari alamat IP yang terhubung dengan layanan proksi, seperti TOR. Meskipun perilaku ini bisa jadi sah, perilaku tersebut sering terlihat dalam kegiatan berbahaya, ketika pelaku ancaman mencoba menyembunyikan IP sumber mereka. | Penghindaran Pertahanan | Medium |
Rekomendasi untuk mengaktifkan paket Microsoft Defender pada ruang kerja (dalam pratinjau)
Untuk mendapatkan keuntungan dari semua fitur keamanan yang tersedia pada Microsoft Defender untuk Server dan Microsoft Defender untuk SQL di komputer, maka paket harus diaktifkan pada kedua tingkat langganan dan ruang kerja.
Ketika komputer dalam masa berlangganan dengan salah satu paket yang diaktifkan, maka Anda akan ditagih untuk perlindungan penuh. Namun, jika komputer melaporkan ke ruang kerja tanpa paket yang diaktifkan, maka sesungguhnya Anda tidak akan menerima keuntungan tersebut.
Kami telah menambahkan dua rekomendasi yang menyoroti ruang kerja tanpa paket yang diaktifkan, namun demikian terdapat komputer yang melaporkan kepada mereka berasal dari langganan yang benar-benar memiliki paket yang diaktifkan.
Kedua rekomendasi yang menawarkan remediasi otomatis (tindakan ‘Perbaikan’), adalah:
| Rekomendasi | Deskripsi | Tingkat keparahan |
|---|---|---|
| Microsoft Defender untuk Server harus diaktifkan di ruang kerja | Microsoft Defender untuk Server menyediakan deteksi ancaman dan pertahanan tingkat lanjut untuk mesin Windows dan Linux Anda. Dengan paket Defender yang diaktifkan di langganan tetapi tidak di ruang kerja, Anda membayar kemampuan penuh Microsoft Defender untuk Server tetapi tidak mendapatkan beberapa keuntungannya. Saat Anda mengaktifkan Microsoft Defender untuk Server di ruang kerja, semua komputer yang melaporkan ke ruang kerja tersebut akan ditagih untuk Microsoft Defender untuk Server - bahkan jika komputer berlangganan tanpa mengaktifkan paket Defender. Kecuali Anda juga mengaktifkan Microsoft Defender untuk Server pada langganan, komputer tersebut tidak akan dapat memanfaatkan akses mesin virtual just-in-time, kontrol aplikasi adaptif, dan deteksi jaringan untuk sumber daya Azure. Pelajari selengkapnya di Gambaran Umum Microsoft Defender untuk Server. (Tidak ada kebijakan terkait) |
Medium |
| Microsoft Defender untuk SQL di komputer harus diaktifkan pada ruang kerja | Microsoft Defender untuk Server menyediakan deteksi ancaman dan pertahanan tingkat lanjut untuk mesin Windows dan Linux Anda. Dengan paket Defender yang diaktifkan di langganan tetapi tidak di ruang kerja, Anda membayar kemampuan penuh Microsoft Defender untuk Server tetapi tidak mendapatkan beberapa keuntungannya. Saat Anda mengaktifkan Microsoft Defender untuk Server di ruang kerja, semua komputer yang melaporkan ke ruang kerja tersebut akan ditagih untuk Microsoft Defender untuk Server - bahkan jika komputer berlangganan tanpa mengaktifkan paket Defender. Kecuali Anda juga mengaktifkan Microsoft Defender untuk Server pada langganan, komputer tersebut tidak akan dapat memanfaatkan akses mesin virtual just-in-time, kontrol aplikasi adaptif, dan deteksi jaringan untuk sumber daya Azure. Pelajari selengkapnya di Gambaran Umum Microsoft Defender untuk Server. (Tidak ada kebijakan terkait) |
Medium |
Agen Autoprovision Log Analytics ke komputer yang didukung Azure Arc (pratinjau)
Defender untuk Cloud menggunakan agen Analitik Log untuk mengumpulkan data yang berhubungan dengan keamanan dari komputer. Agen membaca berbagai macam konfigurasi yang berhubungan dengan keamanan dan log peristiwa serta menyalin data ke ruang kerja Anda untuk analisis.
pengaturan provisi otomatis Defender untuk Cloud memiliki tombol untuk setiap jenis ekstensi yang didukung, termasuk agen Analitik Log.
Dalam perluasan lebih lanjut fitur cloud hibrid kami, kami telah menambahkan opsi untuk menyediakan agen Log Analytics secara otomatis ke mesin yang terhubung ke Azure Arc.
Seperti halnya opsi provisi otomatis lainnya, ini dikonfigurasi di tingkat langganan.
Saat Anda mengaktifkan opsi ini, Anda akan dimintai ruang kerja.
Catatan
Untuk pratinjau ini, Anda tidak dapat memilih ruang kerja default yang dibuat oleh Defender untuk Cloud. Untuk memastikan Anda menerima set fitur keamanan lengkap yang tersedia untuk server yang diaktifkan Azure Arc, maka verifikasikan bahwa Anda memiliki solusi keamanan yang relevan yang dipasang pada ruang kerja terpilih.
Tidak lagi menggunakan rekomendasi untuk mengklasifikasikan data sensitif dalam database SQL
Kami telah menghapus rekomendasi Data sensitif pada database SQL Anda harus diklasifikasikan sebagai bagian dari perombakan cara Defender untuk Cloud mengidentifikasi dan melindungi tanggal sensitif pada sumber daya Cloud anda.
Pemberitahuan lebih lanjut tentang perubahan ini muncul selama enam bulan terakhir di halaman Perubahan penting yang akan datang pada Microsoft Defender untuk Cloud.
Komunikasi dengan peringatan domain yang mencurigakan diperluas untuk mengetahui hubungan domain Log4Shell
Peringatan berikut ini sebelumnya hanya tersedia untuk organisasi yang telah mengaktifkan paket Microsoft Defender untuk DNS.
Dengan pembaruan ini, peringatan juga akan muncul kepada orang yang berlangganan Microsoft Defender untuk Server atau paket Defender untuk App Service yang diaktifkan.
Sebagai tambahan, Inteligensi Ancaman Microsoft telah memperluas daftar domain berbahaya yang telah diketahui untuk memuat domain yang terhubung dengan pengeksploitasian kerentanan yang dipublikasikan secara luas terkait dengan Log4j.
| Peringatan (jenis peringatan) | Deskripsi | Taktik MITRE | Tingkat keparahan |
|---|---|---|---|
| Komunikasi dengan domain mencurigakan yang diidentifikasi oleh intelijen ancaman (AzureDNS_ThreatIntelSuspectDomain) |
Komunikasi dengan domain yang mencurigakan terdeteksi dengan menganalisis transaksi DNS dari sumber daya Anda dan membandingkannya dengan domain berbahaya yang diketahui yang diidentifikasi oleh umpan intelijen ancaman. Komunikasi ke domain jahat sering dilakukan oleh penyerang dan dapat menyiratkan bahwa sumber daya Anda telah disusupi. | Akses Awal/Persistensi/Eksekusi/Perintah Dan Kontrol/Eksploitasi | Medium |
Tombol 'Copy alert JSON' ditambahkan untuk panel detail peringatan keamanan
Untuk membantu pengguna berbagi dengan cepat detail peringatan terhadap yang lainnya (sebagai contoh, analis SOC, pemilik sumber daya, dan pengembang) kami telah menambahkan kemampuan mengekstrak dengan mudah seluruh detail atau peringatan tertentu dengan satu tombol dari panel detail peringatan keamanan.
Tombol baru Copy Alert JSON menempatkan detail peringatan, dalam format JSON, ke dalam clipboard pengguna.
Mengganti nama dua rekomendasi
Untuk konsistensi dengan nama rekomendasi lainnya, kami telah mengganti nama dua rekomendasi berikut:
Rekomendasi untuk mengatasi kerentanan yang ditemukan dalam menjalankan citra kontainer
- Nama sebelumnya: Kerentanan dalam menjalankan citra kontainer harus dipulihkan (didukung oleh Qualys)
- Nama baru: Menjalankan citra kontainer harus memiliki temuan kerentanan yang teratasi
Rekomendasi untuk mengaktifkan log diagnostik untuk Azure App Service
- Nama sebelumnya: Log diagnostik harus diaktifkan di App Service
- Nama baru: Log diagnostik di App Service harus diaktifkan
Kluster kontainer Kubernetes seharusnya hanya mendengarkan pada kebijakan port yang diizinkan tidak digunakan lagi
Kami tidak menggunakan lagi rekomendasi kluster kontainer Kubernetes seharusnya hanya mendengarkan pada kebijakan port yang diizinkan.
| Nama Azure Policy | Deskripsi | Efek | Versi |
|---|---|---|---|
| Container kluster Kubernetes hanya boleh mendengarkan pada port yang diizinkan | Batasi kontainer untuk mendengarkan hanya pada port yang diizinkan untuk mengamankan akses ke kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk AKS Engine serta Kube berkemampuan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | mengaudit, menolak, menonaktifkan | 6.1.2 |
Layanan hanya harus mendengarkan pada rekomendasi port yang diizinkan harus digunakan untuk membatasi port bahwa aplikasi mengekspos ke internet.
Menambahkan buku kerja 'Peringatan Aktif'
Kami telah menambahkan buku kerja Peringatan Aktif untuk membantu pengguna dalam memahami ancaman aktif ke lingkungannya, dan memprioritaskan di antara peringatan aktif selama proses remediasi.
Buku kerja pemberitahuan aktif memungkinkan pengguna untuk melihat dasbor terpadu dari pemberitahuan agregat mereka berdasarkan tingkat keparahan, jenis, tag, taktik MITRE ATT&CK, dan lokasi. Pelajari lebih lanjut Penggunaan buku kerja ‘Peringatan Aktif’.
Rekomendasi 'Pembaruan Sistem' ditambahkan ke cloud pemerintah
Rekomendasi ‘Pembaruan sistem harus diinstal di komputer Anda’ saat ini tersedia di seluruh cloud pemerintah.
Perubahan ini kemungkinan akan mempengaruhi skor aman langganan cloud pemerintah Anda. Kami mengharapkan perubahan akan mengarah pada penurunan skor, tetapi penyertaan rekomendasi mungkin saja dapat menghasilkan peningkatan skor dalam beberapa kasus.
Desember 2021
Pembaruan pada bulan Desember meliputi:
- Paket Microsoft Defender untuk Kontainer dirilis untuk ketersediaan umum (GA)
- Peringatan baru Microsoft Defender untuk Storage dirilis untuk ketersediaan umum (GA)
- Peningkatan peringatan Microsoft Defender untuk Storage
- Peringatan 'PortSweeping' dihapus dari peringatan lapisan jaringan
Paket Microsoft Defender untuk Kontainer dirilis untuk ketersediaan umum (GA)
Lebih dari dua tahun yang lalu, kami memperkenalkan Defender untuk Kubernetes dan Defender untuk registri kontainer sebagai bagian dari penawaran Azure Defender dalam Microsoft Defender untuk Cloud.
Dengan dirilisnya Microsoft Defender untuk Kontainer, kami telah menggabungkan dua paket Defender yang telah ada.
Paket baru:
- Menggabungkan fitur dari dua paket yang telah ada - deteksi ancaman untuk kluster Kubernetes dan penilaian kerentanan untuk citra yang disimpan dalam registri kontainer
- Memeberikan fitur baru dan ditingkatkan - termasuk dukungan multicloud, deteksi ancaman tingkat host dengan lebih dari enam puluh analitik berbasis Kubernetes baru, dan penilaian kerentanan untuk menjalankan gambar
- Memperkenalkan onboarding Kubernetes-native at-scale - secara default, ketika anda mengaktifkan paket seluruh komponen relevan dikonfigurasikan untuk disebarkan secara otomatis
Dengan rilis ini, ketersediaan dan presentasi Defender untuk Kubernetes dan registri Defender untuk Kontainer telah berubah sebagai berikut:
- Langganan baru - Dua paket kontainer sebelumnya sudah tidak lagi tersedia
- Langganan yang ada - Di mana pun langganan muncul di portal Azure, paket ditampilkan sebagai Tidak digunakan lagi dengan instruksi tentang cara meningkatkan ke paket yang lebih baru
Paket baru gratis untuk bulan Desember 2021. Untuk kemungkinan perubahan penagihan dari paket lama ke Defender untuk Kontainer, dan untuk informasi selengkapnya tentang keuntungan yang didapatkan dari paket ini, lihat Pengenalan Microsoft Defender untuk Kontainer.
Untuk informasi selengkapnya, lihat:
- Ringkasan Microsoft Defender untuk Kontainer
- Mengaktifkan Microsoft Defender untuk Kontainer
- Memperkenalkan Microsoft Defender untuk Kontainer - Microsoft Tech Community
- Microsoft Defender untuk Kontainer | Defender untuk Cloud pada Bidang #3 - YouTube
Peringatan baru Microsoft Defender untuk Storage dirilis untuk ketersediaan umum (GA)
Pelaku ancaman menggunakan alat dan skrip untuk memindai kontainer yang terbuka secara umum dengan harapan menemukan kontainer penyimpanan terbuka yang salah konfigurasi dengan data sensitif.
Microsoft Defender untuk Storage mendeteksi pemindai sehingga Anda dapat memblokir mereka dan memulihkan postur Anda.
Peringatan pratinjau yang terdeteksi disebut “Pemindaian anonim dari kontainer penyimpanan publik”. Untuk menjelaskan dengan baik peristiwa mencurigakan yang ditemukan, kami telah membaginya menjadi dua peringatan baru. Peringatan ini hanya relevan dengan Azure Blob Storage.
Kami telah memperbaiki logika deteksi, memperbarui peringatan metadata, dan merubah jenis dan nama peringatan.
Berikut adalah peringatan baru:
| Peringatan (jenis peringatan) | Deskripsi | Taktik MITRE | Tingkat keparahan |
|---|---|---|---|
| Kontainer penyimpanan yang dapat diakses publik berhasil ditemukan (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
Keberhasilan penemuan kontainer penyimpanan yang terbuka untuk umum pada akun penyimpanan Anda, dilakukan di jam terakhir dengan skrip dan alat pemindaian. Upaya ini biasanya menunjukkan serangan pengintaian, di mana pelaku ancaman berusaha membuat daftar blob dengan menebak nama kontainer, dengan harapan menemukan kontainer penyimpanan terbuka yang salah konfigurasi dengan data sensitif di dalamnya. Pelaku ancaman dapat menggunakan skrip mereka sendiri atau menggunakan alat pemindaian yang sudah dikenal seperti Microburst untuk memindai kontainer yang terbuka untuk umum. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Koleksi | Medium |
| Kontainer penyimpanan yang dapat diakses publik tidak berhasil dipindai (Storage.Blob_OpenContainersScanning.FailedAttempt) |
Serangkaian upaya yang gagal untuk memindai kontainer penyimpanan yang terbuka untuk umum dilakukan pada jam terakhir. Upaya ini biasanya menunjukkan serangan pengintaian, di mana pelaku ancaman berusaha membuat daftar blob dengan menebak nama kontainer, dengan harapan menemukan kontainer penyimpanan terbuka yang salah konfigurasi dengan data sensitif di dalamnya. Pelaku ancaman dapat menggunakan skrip mereka sendiri atau menggunakan alat pemindaian yang sudah dikenal seperti Microburst untuk memindai kontainer yang terbuka untuk umum. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Koleksi | Kurang Penting |
Untuk informasi selengkapnya, lihat:
- Matriks ancaman untuk layanan penyimpanan
- Gambaran Umum Microsoft Defender untuk Storage
- Daftar peringatan yang disediakan oleh Microsoft Defender untuk Storage
Peningkatan peringatan Microsoft Defender untuk Storage
Peringatan akses awal saat ini telah memiliki peningkatan akurasi dan data yang lebih banyak untuk mendukung penyelidikan.
Pelaku ancaman menggunakan berbagai macam teknik dalam akses awal untuk mendapatkan pijakan di dalam jaringan. Dua peringatan Microsoft Defender untuk Storage yang mendeteksi anomali perilaku pada tahap ini kini telah meningkatkan logika deteksi dan data tambahan untuk mendukung penyelidikan.
Jika Anda telah mengonfigurasi automasi atau menentukan aturan pengurangan peringatan untuk peringatan ini di masa lalu, maka perbarui sesuai dengan perubahannya.
Mendeteksi akses dari node keluar Tor
Akses dari node keluar Tor kemungkinan menunjukkan pelaku ancaman yang mencoba menyembunyikan identitas mereka.
Saat ini peringatan disetel hanya untuk menghasilkan akses yang diautentikasi, yang menghasilkan keyakinan dan akurasi yang lebih tinggi bahwa aktivitas tersebut berbahaya. Peningkatan ini mengurangi tingkat positif yang tidak berbahaya.
Pola terluar akan memiliki tingkat keparahan yang tinggi, sementara pola anomali yang lebih sedikit akan memiliki tingkat keparahan sedang.
Nama dan deskripsi peringatan telah diperbarui. AlertType tetap tidak berubah.
- Nama peringatan (lama): Akses dari node keluar Tor ke akun penyimpanan
- Nama peringatan (baru): Akses yang diautentikasi dari node keluar Tor
- Jenis peringatan: Storage.Blob_TorAnomaly / Storage.Files_TorAnomaly
- Keterangan: Satu atau beberapa kontainer penyimpanan/berbagi file di akun penyimpanan Anda berhasil diakses dari alamat IP yang dikenal sebagai node keluar aktif Tor (proksi anonim). Pelaku ancaman menggunakan Tor untuk mempersulit pelacakan aktivitas mereka. Akses yang diautentikasi dari node keluar Tor kemungkinan besar merupakan indikasi bahwa pelaku ancaman berusaha menyembunyikan identitas mereka. Berlaku untuk: Microsoft Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
- Taktik MITRE: Akses awal
- Tingkat Keparahan: Tinggi/Sedang
Akses yang tidak biasa dan tidak diautentikasi
Perubahan pola akses menunjukkan bahwa pelaku ancaman dapat mengeksploitasi akses baca publik ke kontainer penyimpanan, baik dengan mengeksploitasi kesalahan dalam konfigurasi akses, maupun dengan mengubah izin akses.
Peringatan tingkat keparahan sedang saat ini disetel dengan logika perilaku yang ditingkatkan, akurasi yang lebih tinggi, dan keyakinan bahwa aktivitas itu berbahaya. Peningkatan ini mengurangi tingkat positif yang tidak berbahaya.
Nama dan deskripsi peringatan telah diperbarui. AlertType tetap tidak berubah.
- Nama peringatan (lama): Akses anonim untuk akun penyimpanan
- Nama peringatan (baru): akses ke kontainer penyimpanan yang tidak biasa dan tidak diautentikasi
- Jenis peringatan: Storage.Blob_AnonymousAccessAnomaly
- Keterangan: Akun penyimpanan yang diakses tanpa autentikasi, merupakan perubahan pada pola akses umum. Akses baca untuk kontainer ini biasanya diautentikasi. Hal ini mungkin menunjukkan bahwa pelaku ancaman dapat mengeksploitasi akses baca publik ke kontainer penyimpanan dalam akun penyimpanan. Berlaku untuk: Azure Blob Storage
- Taktik MITRE: Koleksi
- Tingkat keparahan: Sedang
Untuk informasi selengkapnya, lihat:
- Matriks ancaman untuk layanan penyimpanan
- Pengantar Pertahanan Microsoft untuk Penyimpanan
- Daftar peringatan yang disediakan oleh Microsoft Defender untuk Storage
Peringatan 'PortSweeping' dihapus dari peringatan lapisan jaringan
Peringatan berikut telah dihapus dari peringatan lapisan jaringan karena inefisiensi:
| Peringatan (jenis peringatan) | Deskripsi | Taktik MITRE | Tingkat keparahan |
|---|---|---|---|
| Kemungkinan aktifitas pemindaian port terdeteksi (PortSweeping) |
Analisis lalu lintas jaringan mendeteksi lalu lintas keluar yang mencurigakan dari %{Compromised Host}. Lalu lintas ini mungkin merupakan hasil dari aktivitas pemindaian port. Ketika sumber daya yang disusupi adalah load balancer atau gateway aplikasi, lalu lintas keluar yang dicurigai berasal dari satu atau beberapa sumber daya di kumpulan backend (load balancer atau gateway aplikasi). Jika perilaku ini disengaja, tolong dicatat bahwa melakukan pemindaian port melanggar Peraturan Pelayanan dari Azure. Jika perilaku ini tidak disengaja, maka dapat berarti sumber daya Anda telah disusupi. | Penemuan | Medium |
November 2021
Rilis Ignite kami meliputi:
- Azure Security Center dan Azure Defender menjadi Microsoft Defender untuk Cloud
- CSPM asli untuk AWS dan perlindungan ancaman untuk Amazon EKS, dan AWS EC2
- Memprioritaskan tindakan keamanan berdasarkan sensitivitas data (didukung oleh Microsoft Purview) (dalam pratinjau)
- Penilaian kontrol keamanan yang diperluas dengan Azure Security Benchmark v3
- Sinkronisasi pemberitahuan dua arah opsional konektor Microsoft Sentinel yang dirilis untuk ketersediaan umum (GA)
- Rekomendasi baru untuk mendorong log Azure Kubernetes Service (AKS) ke Sentinel
- Rekomendasi dipetakan ke kerangka kerja MITRE ATT&CK® - dirilis untuk ketersediaan umum (GA)
Perubahan lain pada bulan November meliputi:
- Manajemen Ancaman dan Kerentanan Microsoft ditambahkan sebagai solusi penilaian kerentanan - dirilis untuk ketersediaan umum (GA)
- Microsoft Defender untuk Titik Akhir Linux sekarang didukung oleh Microsoft Defender untuk Server - dirilis untuk ketersediaan umum (GA)
- Ekspor salinan bayangan untuk rekomendasi dan temuan keamanan (dalam pratinjau)
- Penyediaan otomatis solusi penilaian kerentanan yang dirilis untuk ketersediaan umum (GA)
- Filter inventaris perangkat lunak dalam inventaris aset yang dirilis untuk ketersediaan umum (GA)
- Kebijakan keamanan AKS baru ditambahkan ke inisiatif default – pratinjau
- Nama sumber daya pada tampilan inventaris komputer lokal menggunakan templat yang berbeda
Azure Security Center dan Azure Defender menjadi Microsoft Defender untuk Cloud
Menurut laporan State of the Cloud 2021, 92% organisasi sekarang memiliki strategi multi-cloud. Di Microsoft, tujuan kami adalah untuk mempusatkan keamanan di seluruh lingkungan, dan untuk membantu tim keamanan bekerja lebih efektif.
Microsoft Defender untuk Cloud adalah solusi Cloud Security Posture Management (CSPM) dan cloud workload protection (CWP) yang menemukan kelemahan di seluruh konfigurasi cloud Anda, membantu memperkuat postur keamanan keseluruhan lingkungan Anda, dan melindungi beban kerja di seluruh lingkungan multicloud dan hibrid.
Di Ignite 2019, kami membagikan visi kami untuk menciptakan pendekatan terlengkap guna mengamankan kawasan digital Anda dan mengintegrasikan teknologi XDR di bawah merek Microsoft Defender. Menyatukan Azure Security Center dan Azure Defender dengan nama baru Microsoft Defender untuk Cloud mencerminkan kemampuan terintegrasi dari penawaran keamanan kami dan kemampuan kami untuk mendukung platform cloud apa pun.
CSPM asli untuk AWS dan perlindungan ancaman untuk Amazon EKS, dan AWS EC2
Halaman pengaturan lingkungan baru memberikan visibilitas dan kontrol yang lebih besar atas grup manajemen, langganan, dan akun AWS Anda. Halaman ini dirancang untuk memasukkan akun AWS dalam skala besar: sambungkan akun manajemen, AWS Anda, dan Anda akan secara otomatis mengaktifkan akun yang ada dan yang akan datang.
Saat Anda telah menambahkan akun AWS, Defender untuk Cloud melindungi sumber daya AWS Anda dengan salah satu atau semua paket berikut:
- Fitur CSPM Defender untuk Cloud diperluas ke sumber daya AWS Anda. Paket tanpa agen ini menilai sumber daya AWS Anda sesuai dengan rekomendasi keamanan khusus AWS dan ini termasuk dalam skor aman Anda. Sumber daya juga akan dinilai kepatuhannya terhadap standar bawaan khusus untuk AWS (AWS CIS, AWS PCI DSS, dan Praktik Terbaik Keamanan Dasar AWS). Halaman inventaris aset Defender untuk Cloud adalah fitur berkemampuan multi-cloud yang membantu Anda mengelola sumber daya AWS bersama sumber daya Azure Anda.
- Microsoft Defender untuk Kube memperluas deteksi ancaman kontainer dan pertahanan lanjutannya ke kluster Amazon EKS Linux Anda.
- Microsoft Defender untuk Server menghadirkan deteksi ancaman dan pertahanan tingkat lanjut ke instans Windows dan Linux EC2 Anda. Paket ini mencakup lisensi terintegrasi untuk Pertahanan Microsoft untuk Titik Akhir, garis besar keamanan dan penilaian tingkat OS, pemindaian penilaian kerentanan, kontrol aplikasi adaptif (AAC), pemantauan integritas file (FIM), dan banyak lagi.
Pelajari selengkapnya tentang menyambungkan akun AWS Anda ke Microsoft Defender untuk Cloud.
Memprioritaskan tindakan keamanan berdasarkan sensitivitas data (didukung oleh Microsoft Purview) (dalam pratinjau)
Sumber daya data tetap menjadi target populer bagi pelaku ancaman. Jadi, sangat penting bagi tim keamanan untuk mengidentifikasi, memprioritaskan, dan mengamankan sumber daya data sensitif di seluruh lingkungan cloud mereka.
Untuk mengatasi tantangan ini, Microsoft Defender untuk Cloud kini mengintegrasikan informasi sensitivitas dari Microsoft Purview. Microsoft Purview adalah layanan tata kelola data terpadu yang memberikan wawasan kaya tentang sensitivitas data Anda dalam multicloud, dan beban kerja lokal.
Berintegrasi dengan Microsoft Purview memperluas visibilitas keamanan Anda di Defender untuk Cloud dari tingkat infrastruktur hingga ke tingkat data, memungkinkan cara yang benar-benar baru guna memprioritaskan sumber daya dan aktivitas keamanan untuk tim keamanan Anda.
Pelajari selengkapnya di Memprioritaskan tindakan keamanan menurut sensitivitas data.
Penilaian kontrol keamanan yang diperluas dengan Azure Security Benchmark v3
Rekomendasi keamanan di Defender untuk Cloud didukung oleh Azure Security Benchmark.
Azure Security Benchmark adalah serangkaian pedoman khusus Azure yang dibuat oleh Microsoft untuk praktik terbaik keamanan dan kepatuhan berdasarkan kerangka kerja kepatuhan umum. Tolok ukur yang dihormati secara luas ini dibangun berdasarkan kontrol dari Pusat Keamanan Internet (CIS) dan Institut Standar dan Teknologi Nasional (NIST) dengan fokus pada keamanan yang berpusat pada cloud.
Mulai Ignite 2021, Azure Security Benchmark v3 tersedia di dasbor kepatuhan peraturan Defender untuk Cloud dan diaktifkan sebagai inisiatif default baru untuk semua langganan Azure yang dilindungi dengan Microsoft Defender untuk Cloud.
Peningkatan untuk v3 meliputi:
Pemetaan tambahan untuk kerangka kerja industri PCI-DSS v3.2.1 dan Kontrol CIS v8.
Panduan yang lebih terperinci dan dapat ditindaklanjuti untuk kontrol dengan pengenalan dari:
- Prinsip Keamanan - Memberikan wawasan tentang tujuan keamanan keseluruhan yang membangun fondasi untuk rekomendasi kami.
- Panduan Azure - “Petunjuk” teknis untuk memenuhi tujuan ini.
Kontrol baru mencakup keamanan DevOps untuk masalah seperti pemodelan ancaman dan keamanan rantai pasokan perangkat lunak, serta manajemen kunci dan sertifikat untuk praktik terbaik di Azure.
Pelajari selengkapnya di Pengantar Azure Security Benchmark.
Sinkronisasi pemberitahuan dua arah opsional konektor Microsoft Sentinel yang dirilis untuk ketersediaan umum (GA)
Pada bulan Juli, kami mengumumkan fitur pratinjau, sinkronisasi pemberitahuan dua arah, untuk konektor bawaan di Microsoft Sentinel (Solusi SIEM dan SOAR cloud-native Microsoft). Fitur ini sekarang dirilis untuk ketersediaan umum (GA).
Saat Anda menyambungkan Microsoft Defender untuk Cloud ke Microsoft Sentinel, status pemberitahuan keamanan disinkronkan antara kedua layanan. Jadi, misalnya, saat pemberitahuan ditutup di Defender for Cloud, pemberitahuan itu juga akan tampil dengan kondisi tertutup di Microsoft Sentinel. Mengubah status pemberitahuan di Defender untuk Cloud tidak akan memengaruhi status insiden Microsoft Sentinel apa pun yang berisi pemberitahuan Microsoft Sentinel yang disinkronkan, hanya pemberitahuan yang disinkronkan itu sendiri.
Saat mengaktifkan sinkronisasi pemberitahuan dua arah, Anda akan secara otomatis menyinkronkan status pemberitahuan Defender untuk Cloud asli dengan insiden Microsoft Azure Sentinel yang berisi salinan pemberitahuan tersebut. Jadi, misalnya, saat insiden Microsoft Sentinel yang berisi pemberitahuan Defender untuk Cloud ditutup, Defender untuk Cloud akan secara otomatis menutup pemberitahuan asli yang sesuai.
Pelajari selengkapnya di Menyambungkan pemberitahuan Azure Defender dari Azure Security Center dan Mengalirkan pemberitahuan ke Azure Sentinel.
Rekomendasi baru untuk mendorong log Azure Kubernetes Service (AKS) ke Sentinel
Dalam peningkatan lebih lanjut pada nilai gabungan Defender untuk Cloud dan Microsoft Sentinel, kami sekarang akan menyoroti instans Azure Kubernetes Service yang tidak mengirimkan data log ke Microsoft Sentinel.
Tim SecOps dapat memilih ruang kerja Microsoft Sentinel yang relevan langsung dari halaman detail rekomendasi dan segera mengaktifkan streaming log mentah. Koneksi tanpa hambatan antara kedua produk ini memudahkan tim keamanan untuk memastikan cakupan pengelogan yang lengkap di seluruh beban kerjanya agar tetap di atas seluruh lingkungannya.
Rekomendasi baru, "Log diagnostik di layanan Kube harus diaktifkan" menyertakan opsi 'Perbaiki' untuk remediasi yang lebih cepat.
Kami juga telah meningkatkan rekomendasi "Audit pada server SQL harus diaktifkan" dengan kemampuan streaming Sentinel yang sama.
Rekomendasi dipetakan ke kerangka kerja MITRE ATT&CK® - dirilis untuk ketersediaan umum (GA)
Kami telah meningkatkan rekomendasi keamanan Defender for Cloud untuk menunjukkan posisi mereka di kerangka MITRE ATT&CK®. Basis pengetahuan taktik dan teknik aktor ancaman yang dapat diakses secara global ini berdasarkan pengamatan di dunia nyata, memberikan lebih banyak konteks untuk membantu Anda memahami risiko terkait dari rekomendasi untuk lingkungan Anda.
Anda akan menemukan taktik ini di mana pun Anda mengakses informasi rekomendasi:
Hasil kueri Azure Resource Graph untuk rekomendasi yang relevan mencakup taktik dan teknik MITRE ATT&CK®.
Halaman detail rekomendasi menunjukkan pemetaan untuk semua rekomendasi yang relevan:
Halaman rekomendasi di Defender for Cloud memiliki filter baru
untuk memilih rekomendasi sesuai dengan taktik terkait mereka:
Pelajari lebih lanjut di Meninjau rekomendasi keamanan Anda.
Manajemen Ancaman dan Kerentanan Microsoft ditambahkan sebagai solusi penilaian kerentanan - dirilis untuk ketersediaan umum (GA)
Pada bulan Oktober, kami mengumumkan ekstensi integrasi antara Microsoft Defender untuk Server dan Microsoft Defender untuk Titik Akhir, guna mendukung penyedia penilaian kerentanan baru untuk komputer Anda: Manajemen ancaman dan kerentanan Microsoft. Fitur ini sekarang dirilis untuk ketersediaan umum (GA).
Gunakan Manajemen Ancaman dan Kerentanan untuk menemukan kerentanan dan kesalahan konfigurasi dalam waktu dekat dengan integrasi dengan Microsoft Defender for Endpoint diaktifkan, dan tanpa perlu agen tambahan atau pemindaian berkala. Manajemen ancaman dan kerentanan memprioritaskan kerentanan berdasarkan lanskap dan deteksi ancaman di organisasi Anda.
Gunakan rekomendasi keamanan"Solusi penilaian kerentanan harus diaktifkan pada komputer virtual Anda" untuk memunculkan kerentanan yang terdeteksi oleh Manajemen Ancaman dan Kerentanan untuk komputer Anda yang didukung.
Agar secara otomatis memunculkan kerentanan, pada komputer yang ada dan baru, tanpa perlu memulihkan rekomendasi secara manual, lihat Solusi penilaian kerentanan sekarang dapat diaktifkan secara otomatis (dalam pratinjau).
Pelajari lebih lanjut di Menyelidiki kelemahan dengan manajemen ancaman dan kerentanan dari Pertahanan Microsoft untuk Titik Akhir.
Microsoft Defender untuk Titik Akhir Linux sekarang didukung oleh Microsoft Defender untuk Server - dirilis untuk ketersediaan umum (GA)
Pada bulan Agustus, kami mengumumkan dukungan pratinjau untuk menyebarkan sensor Defender untuk Titik Akhir untuk Linux ke komputer Linux yang didukung. Fitur ini sekarang dirilis untuk ketersediaan umum (GA).
Microsoft Defender untuk Server menyertakan lisensi terintegrasi bagi Microsoft Defender untuk Titik Akhir. Sistem pertahanan tersebut menyediakan kemampuan deteksi dan respons titik akhir (EDR) yang komprehensif.
Saat Pertahanan untuk Titik Akhir mendeteksi ancaman, maka ia akan memicu pemberitahuan. Pemberitahuan ditampilkan di Defender for Cloud. Dari Defender for Cloud, Anda juga dapat melakukan putaran ke konsol Defender for Endpoint, dan melakukan penyelidikan mendetail untuk mengungkap cakupan serangan.
Pelajari lebih lanjut di Melindungi titik akhir Anda dengan solusi EDR terintegrasi Security Center: Pertahanan Microsoft untuk Titik Akhir.
Ekspor salinan bayangan untuk rekomendasi dan temuan keamanan (dalam pratinjau)
Defender untuk Cloud menghasilkan peringatan dan rekomendasi keamanan mendetail. Anda dapat melihatnya di portal atau melalui alat terprogram. Anda mungkin juga perlu mengekspor beberapa atau semua informasi ini untuk melacak dengan alat pemantauan lain di lingkungan Anda.
Fitur ekspor berkelanjutan Defender untuk Cloud memungkinkan Anda menyesuaikan sepenuhnya apa yang akan diekspor, dan ke mana akan pergi. Pelajari selengkapnya di Terus mengekspor data Microsoft Defender untuk Cloud.
Meskipun fitur tersebut disebut berkelanjutan, ada juga opsi untuk mengekspor salinan bayangan mingguan. Hingga saat ini, salinan bayangan mingguan ini terbatas pada skor aman dan data kepatuhan terhadap peraturan. Kami telah menambahkan kemampuan untuk rekomendasi ekspor dan temuan keamanan.
Penyediaan otomatis solusi penilaian kerentanan yang dirilis untuk ketersediaan umum (GA)
Pada bulan Oktober, kami mengumumkan penambahan solusi penilaian kerentanan ke halaman provisi otomatis Defender untuk Cloud. Ini relevan dengan mesin virtual Azure dan komputer Azure Arc pada langganan yang dilindungi oleh Azure Defender untuk Server. Fitur ini sekarang dirilis untuk ketersediaan umum (GA).
Jika integrasi dengan Pertahanan Microsoft untuk Titik Akhir diaktifkan, Defender untuk Cloud menyajikan pilihan solusi penilaian kerentanan:
- (BARU) Modul Manajemen Ancaman dan Kerentanan Microsoft dari Microsoft Defender for Endpoint (lihat catatan rilis)
- Agen Qualys yang terintegrasi
Solusi yang Anda pilih akan diaktifkan secara otomatis pada komputer yang didukung.
Pelajari selengkapnya di Mengonfigurasi penilaian kerentanan secara otomatis untuk komputer Anda.
Filter inventaris perangkat lunak dalam inventaris aset yang dirilis untuk ketersediaan umum (GA)
Pada bulan Oktober, kami mengumumkan filter baru untuk halaman inventaris aset untuk memilih komputer yang menjalankan perangkat lunak tertentu - dan bahkan menentukan versi yang diinginkan. Fitur ini sekarang dirilis untuk ketersediaan umum (GA).
Anda dapat menanyakan data inventaris perangkat lunak di Azure Resource Graph Explorer.
Untuk menggunakan fitur ini, Anda harus mengaktifkan integrasi dengan Pertahanan Microsoft untuk Titik Akhir.
Untuk detail lengkapnya, termasuk contoh kueri Kusto untuk Azure Resource Graph, lihat Mengakses inventaris perangkat lunak.
Kebijakan keamanan AKS baru ditambahkan ke inisiatif default
Untuk memastikan bahwa beban kerja Kube aman secara default, Defender untuk Cloud menyertakan kebijakan level Kube dan rekomendasi penguatan, termasuk opsi pemberlakuan dengan kontrol admisi Kube.
Sebagai bagian dari proyek ini, kami telah menambahkan kebijakan dan rekomendasi (dinonaktifkan secara default) untuk penyebaran gating pada kluster Kube. Kebijakan berada dalam inisiatif default tetapi hanya relevan untuk organisasi yang mendaftar untuk pratinjau terkait.
Anda dapat dengan aman mengabaikan kebijakan dan rekomendasi ("Kluster Kube harus menggerbangi penyebaran gambar yang rentan") dan tidak akan ada dampak pada lingkungan Anda.
Jika Anda ingin berpartisipasi dalam pratinjau, Anda harus menjadi anggota cincin pratinjau. Jika Anda belum menjadi anggota, kirimkan permintaan di sini. Anggota akan diberi tahu saat pratinjau dimulai.
Nama sumber daya pada tampilan inventaris komputer lokal menggunakan templat yang berbeda
Untuk meningkatkan penyajian sumber daya dalam Inventaris aset, kami telah menghapus elemen "source-computer-IP" dari templat untuk penamaan komputer lokal.
- Format sebelumnya:
machine-name_source-computer-id_VMUUID - Dari pembaruan ini:
machine-name_VMUUID
Oktober 2021
Pembaruan pada bulan Oktober meliputi:
- Manajemen Ancaman dan Kerentanan Microsoft ditambahkan sebagai solusi penilaian kerentanan (dalam pratinjau)
- Solusi penilaian kerentanan sekarang dapat diaktifkan secara otomatis (dalam pratinjau)
- Filter inventaris perangkat lunak ditambahkan ke inventaris aset (dalam pratinjau)
- Mengubah awalan dari beberapa jenis pemberitahuan dari "ARM_" menjadi "VM_"
- Perubahan logika rekomendasi keamanan untuk kluster Kube
- Halaman detail Rekomendasi sekarang menunjukkan rekomendasi terkait
- Pemberitahuan baru untuk Azure Defender untuk Kube (dalam pratinjau)
Manajemen Ancaman dan Kerentanan Microsoft ditambahkan sebagai solusi penilaian kerentanan (dalam pratinjau)
Kami telah memperluas integrasi antara Azure Defender untuk Server dan Pertahanan Microsoft untuk Titik Akhir, untuk mendukung penyedia penilaian kerentanan baru untuk mesin Anda: Manajemen ancaman dan kerentanan Microsoft.
Gunakan Manajemen Ancaman dan Kerentanan untuk menemukan kerentanan dan kesalahan konfigurasi dalam waktu dekat dengan integrasi dengan Microsoft Defender for Endpoint diaktifkan, dan tanpa perlu agen tambahan atau pemindaian berkala. Manajemen ancaman dan kerentanan memprioritaskan kerentanan berdasarkan lanskap dan deteksi ancaman di organisasi Anda.
Gunakan rekomendasi keamanan"Solusi penilaian kerentanan harus diaktifkan pada komputer virtual Anda" untuk memunculkan kerentanan yang terdeteksi oleh Manajemen Ancaman dan Kerentanan untuk komputer Anda yang didukung.
Agar secara otomatis memunculkan kerentanan, pada komputer yang ada dan baru, tanpa perlu memulihkan rekomendasi secara manual, lihat Solusi penilaian kerentanan sekarang dapat diaktifkan secara otomatis (dalam pratinjau).
Pelajari lebih lanjut di Menyelidiki kelemahan dengan manajemen ancaman dan kerentanan dari Pertahanan Microsoft untuk Titik Akhir.
Solusi penilaian kerentanan sekarang dapat diaktifkan secara otomatis (dalam pratinjau)
Halaman provisi otomatis Security Center sekarang menyertakan opsi untuk mengaktifkan solusi penilaian kerentanan secara otomatis ke komputer virtual Azure dan komputer Azure Arc pada langganan yang dilindungi oleh Azure Defender untuk Server.
Jika integrasi dengan Pertahanan Microsoft untuk Titik Akhir diaktifkan, Defender untuk Cloud menyajikan pilihan solusi penilaian kerentanan:
- (BARU) Modul Manajemen Ancaman dan Kerentanan Microsoft dari Microsoft Defender for Endpoint (lihat catatan rilis)
- Agen Qualys yang terintegrasi
Solusi yang Anda pilih akan diaktifkan secara otomatis pada komputer yang didukung.
Pelajari selengkapnya di Mengonfigurasi penilaian kerentanan secara otomatis untuk komputer Anda.
Filter inventaris perangkat lunak yang ditambahkan ke inventaris aset (dalam pratinjau)
Halaman inventaris aset sekarang menyertakan filter untuk memilih komputer yang menjalankan perangkat lunak tertentu, dan bahkan menentukan versi minat.
Selain itu, Anda dapat mengkueri data inventaris perangkat lunak di Azure Resource Graph Explorer.
Untuk menggunakan fitur-fitur baru ini, Anda harus mengaktifkan integrasi dengan Microsoft Defender for Endpoint.
Untuk detail lengkapnya, termasuk contoh kueri Kusto untuk Azure Resource Graph, lihat Mengakses inventaris perangkat lunak.
Mengubah awalan dari beberapa jenis pemberitahuan dari "ARM_" menjadi "VM_"
Pada bulan Juli 2021, kami mengumumkan reorganisasi logis pemberitahuan Azure Defender untuk Resource Manager
Selama reorganisasi paket Defender, kami memindahkan pemberitahuan dari Azure Defender untuk Resource Manager ke Azure Defender untuk Server.
Dengan pembaruan ini, kami telah mengubah awalan peringatan ini agar sesuai dengan penetapan ulang ini dan mengganti "ARM_" dengan "VM_" seperti yang ditunjukkan dalam tabel berikut:
| Nama asli | Dari perubahan ini |
|---|---|
| ARM_AmBroadFilesExclusion | ARM_AmBroadFilesExclusion |
| ARM_AmDisablementAndCodeExecution | ARM_AmDisablementAndCodeExecution |
| ARM_AmDisablement | ARM_AmDisablement |
| ARM_AmFileExclusionAndCodeExecution | ARM_AmFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusion | ARM_AmTempFileExclusion |
| ARM_AmRealtimeProtectionDisabled | ARM_AmRealtimeProtectionDisabled |
| ARM_AmTempRealtimeProtectionDisablement | ARM_AmTempRealtimeProtectionDisablement |
| ARM_AmRealtimeProtectionDisablementAndCodeExec | ARM_AmRealtimeProtectionDisablementAndCodeExec |
| ARM_AmMalwareCampaignRelatedExclusion | ARM_AmMalwareCampaignRelatedExclusion |
| ARM_AmTemporarilyDisablement | ARM_AmTemporarilyDisablement |
| ARM_UnusualAmFileExclusion | ARM_UnusualAmFileExclusion |
| ARM_CustomScriptExtensionSuspiciousCmd | ARM_CustomScriptExtensionSuspiciousCmd |
| ARM_CustomScriptExtensionSuspiciousEntryPoint | ARM_CustomScriptExtensionSuspiciousEntryPoint |
| ARM_CustomScriptExtensionSuspiciousPayload | ARM_CustomScriptExtensionSuspiciousPayload |
| ARM_CustomScriptExtensionSuspiciousFailure | ARM_CustomScriptExtensionSuspiciousFailure |
| ARM_CustomScriptExtensionUnusualDeletion | ARM_CustomScriptExtensionUnusualDeletion |
| ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
| ARM_VMAccessUnusualConfigReset | ARM_VMAccessUnusualConfigReset |
| ARM_VMAccessUnusualPasswordReset | ARM_VMAccessUnusualPasswordReset |
| ARM_VMAccessUnusualSSHReset | ARM_VMAccessUnusualSSHReset |
Pelajari selengkapnya tentang paket Azure Defender untuk Resource Manager dan Azure Defender untuk Server.
Perubahan logika rekomendasi keamanan untuk kluster Kube
Rekomendasi "Kluster Kube tidak boleh menggunakan ruang nama default" mencegah penggunaan ruang nama default untuk berbagai jenis sumber daya. Dua jenis sumber daya yang termasuk dalam rekomendasi ini telah dihapus: ConfigMap dan Secret.
Pelajari lebih lanjut tentang rekomendasi ini dan mengeraskan kluster Kube Anda di Pahami Azure Policy untuk kluster Kube.
Halaman detail Rekomendasi sekarang menunjukkan rekomendasi terkait
Untuk memperjelas hubungan antara berbagai rekomendasi, kami telah menambahkan area Rekomendasi terkait ke halaman detail dari banyak rekomendasi.
Tiga jenis hubungan yang ditampilkan pada halaman ini adalah:
- Prasyarat - Rekomendasi yang harus diselesaikan sebelum rekomendasi yang dipilih
- Alternatif - Rekomendasi lain yang menyediakan cara lain untuk mencapai tujuan rekomendasi yang dipilih
- Dependen - Rekomendasi di mana rekomendasi yang dipilih adalah prasyarat
Untuk setiap rekomendasi terkait, jumlah sumber daya yang tidak sehat ditampilkan di kolom "Sumber daya yang terpengaruh".
Tip
Jika rekomendasi terkait berwarna abu-abu, artinya dependensinya belum selesai dan tidak tersedia.
Contoh rekomendasi terkait:
Security Center memeriksa komputer Anda untuk menemukan solusi penilaian kerentanan yang didukung:
Solusi penilaian kerentanan harus diaktifkan pada komputer virtual AndaJika ditemukan, Anda akan mendapatkan pemberitahuan tentang kerentanan yang ditemukan:
Kerentanan di komputer virtual Anda harus diremediasi
Jelas, Security Center tidak dapat memberi tahu Anda tentang kerentanan yang ditemukan kecuali jika menemukan solusi penilaian kerentanan yang didukung.
Karena itu:
- Rekomendasi #1 adalah prasyarat untuk rekomendasi #2
- Rekomendasi #2 tergantung rekomendasi #1
Pemberitahuan baru untuk Azure Defender untuk Kube (dalam pratinjau)
Untuk memperluas perlindungan ancaman yang disediakan oleh Azure Defender untuk Kube, kami telah menambahkan dua pemberitahuan pratinjau.
Pemberitahuan ini dibuat berdasarkan model pembelajaran mesin baru dan analitik lanjutan Kube, yang mengukur beberapa penyebaran dan atribut penetapan peran terhadap aktivitas sebelumnya di kluster dan di semua kluster yang dipantau oleh Azure Defender.
| Peringatan (jenis peringatan) | Deskripsi | Taktik MITRE | Tingkat keparahan |
|---|---|---|---|
| Penyebaran pod anomali (Pratinjau) (K8S_AnomalousPodDeployment) |
Analisis log audit Kubernetes mendeteksi penyebaran pod yang anomali, berdasarkan aktivitas penyebaran pod sebelumnya. Aktivitas ini dianggap sebagai anomali ketika mempertimbangkan bagaimana fitur berbeda yang terlihat dalam operasi penyebaran dalam hubungan satu sama lain. Fitur yang dipantau oleh analitik ini termasuk registri gambar kontainer yang digunakan, akun yang melakukan penyebaran, hari dalam seminggu, seberapa sering akun ini melakukan penyebaran pod, agen pengguna yang digunakan dalam operasi, apakah ini adalah namespace yang sering terjadi penyebaran pod, atau fitur lainnya. Alasan utama untuk meningkatkan peringatan ini karena aktivitas anomali dirinci di bawah properti peringatan yang diperluas. | Eksekusi | Medium |
| Izin peran berlebihan yang ditetapkan di klaster Kubernetes (Pratinjau) (K8S_ServiceAcountPermissionAnomaly) |
Analisis log audit Kubernetes mendeteksi tugas peran izin yang berlebihan ke klaster Anda. Dari pemeriksaan tugas peran, izin yang tercantum tidak biasa untuk akun layanan tertentu. Deteksi ini mempertimbangkan penugasan peran sebelumnya ke akun layanan yang sama di seluruh kluster yang dipantau oleh Azure, volume per izin, dan dampak dari izin spesifik. Model deteksi anomali yang digunakan untuk peringatan ini memperhitungkan bagaimana izin ini digunakan di semua kluster yang dipantau oleh Azure Defender. | Eskalasi Hak Istimewa | Kurang Penting |
Untuk daftar lengkap peringatan Kubernetes, lihat Peringatan untuk kluster Kubernetes.
September 2021
Pada bulan September, pembaruan berikut dirilis:
Dua rekomendasi baru untuk mengaudit konfigurasi OS untuk kepatuhan garis besar keamanan Azure (dalam pratinjau)
Dua rekomendasi berikut telah dirilis untuk menilai kepatuhan meisn Anda dengan garis besar keamanan Windows dan garis besar keamanan Linux:
- Untuk mesin Windows, Kerentanan dalam konfigurasi keamanan pada mesin Windows Anda harus diremediasi (didukung oleh Konfigurasi Tamu)
- Untuk mesin Linux, Kerentanan dalam konfigurasi keamanan pada mesin Linux Anda harus diremediasi (didukung oleh Konfigurasi Tamu)
Rekomendasi ini memanfaatkan fitur konfigurasi tamu Azure Policy untuk membandingkan konfigurasi OS suatu mesin dengan garis besar yang ditentukan dalam Azure Security Benchmark.
Pelajari lebih lanjut penggunaan rekomendasi ini dalam Memperkuat konfigurasi OS mesin menggunakan konfigurasi tamu.
Agustus 2021
Pembaruan pada bulan Agustus meliputi:
- Pertahanan Microsoft untuk Titik Akhir untuk Linux sekarang didukung oleh Azure Defender untuk Server (dalam pratinjau)
- Dua rekomendasi baru untuk mengelola solusi perlindungan titik akhir (dalam pratinjau)
- Pemecahan masalah dan panduan bawaan untuk memecahkan masalah umum
- Laporan Azure Audit dasbor kepatuhan peraturan dirilis untuk ketersediaan umum (GA)
- Rekomendasi yang tidak digunakan lagi 'Masalah kesehatan agen Log Analytics harus diselesaikan pada komputer Anda'
- Azure Defender untuk registri kontainer sekarang memindai kerentanan dalam registri yang dilindungi dengan Azure Private Link
- Security Center sekarang dapat melakukan provisi otomatis ekstensi Konfigurasi Tamu Azure Policy (dalam pratinjau)
- Rekomendasi untuk mengaktifkan paket Azure Defender sekarang mendukung "Terapkan"
- Ekspor data rekomendasi CSV sekarang dibatasi hingga 20 MB
- Halaman rekomendasi sekarang mencakup beberapa tampilan
Pertahanan Microsoft untuk Titik Akhir untuk Linux sekarang didukung oleh Azure Defender untuk Server (dalam pratinjau)
Azure Defender untuk Server menyertakan lisensi terintegrasi untuk Pertahanan Microsoft untuk Titik Akhir. Sistem pertahanan tersebut menyediakan kemampuan deteksi dan respons titik akhir (EDR) yang komprehensif.
Saat Pertahanan untuk Titik Akhir mendeteksi ancaman, maka ia akan memicu pemberitahuan. Pemberitahuan ditampilkan di Security Center. Dari Security Center, Anda juga dapat kembali ke konsol Pertahanan untuk Titik Akhir dan melakukan penyelidikan mendetail untuk mengetahui cakupan serangan.
Selama periode pratinjau, Anda akan menerapkan sensor Defender untuk Titik Akhir untuk Linux ke komputer Linux yang didukung dengan salah satu dari dua cara tergantung pada apakah Anda sudah menerapkannya ke komputer Windows Anda:
- Pengguna yang sudah ada dengan fitur keamanan yang ditingkatkan Defender untuk Cloud dan Pertahanan Microsoft untuk Titik Akhir untuk Windows
- Pengguna baru yang belum pernah mengaktifkan integrasi dengan Pertahanan Microsoft untuk Titik Akhir untuk Windows
Pelajari lebih lanjut di Melindungi titik akhir Anda dengan solusi EDR terintegrasi Security Center: Pertahanan Microsoft untuk Titik Akhir.
Dua rekomendasi baru untuk mengelola solusi perlindungan titik akhir (dalam pratinjau)
Kami telah menambahkan dua rekomendasi pratinjau untuk menerapkan dan memelihara solusi perlindungan titik akhir pada komputer Anda. Kedua rekomendasi tersebut mencakup dukungan untuk komputer virtual Azure dan komputer yang tersambung ke server yang diaktifkan Azure Arc.
| Rekomendasi | Deskripsi | Tingkat keparahan |
|---|---|---|
| Perlindungan titik akhir harus dipasang di komputer Anda | Untuk melindungi komputer Anda dari ancaman dan kerentanan, instal solusi perlindungan titik akhir yang didukung. Pelajari selengkapnya tentang bagaimana Perlindungan Titik Akhir untuk komputer yang dievaluasi. (Kebijakan terkait: Memantau Perlindungan Titik Akhir yang tidak ada di Azure Security Center) |
Sangat Penting |
| Masalah kesehatan perlindungan titik akhir harus diselesaikan di komputer Anda | Mengatasi masalah kesehatan perlindungan titik akhir pada komputer virtual Anda untuk melindungi mereka dari ancaman dan kerentanan terbaru. Solusi perlindungan titik akhir yang didukung Azure Security Center didokumentasikan di sini. Penilaian perlindungan titik akhir didokumentasikan di sini. (Kebijakan terkait: Memantau Perlindungan Titik Akhir yang tidak ada di Azure Security Center) |
Medium |
Catatan
Rekomendasi menunjukkan interval kesegarannya sebagai 8 jam, tetapi ada beberapa skenario di mana ini mungkin memerlukan waktu lebih lama secara signifikan. Misalnya, ketika komputer lokal dihapus, Security Center membutuhkan waktu 24 jam untuk mengidentifikasi penghapusan. Setelah itu, penilaian akan memerlukan waktu hingga 8 jam untuk mengembalikan informasi. Oleh karena itu, dalam situasi tertentu, mungkin diperlukan waktu 32 jam agar mesin dihapus dari daftar sumber daya yang terkena dampak.
Pemecahan masalah dan panduan bawaan untuk memecahkan masalah umum
Area khusus halaman Security Center baru di portal Azure menyediakan kumpulan materi bantuan mandiri yang terus berkembang untuk memecahkan tantangan umum dengan Security Center dan Azure Defender.
Saat Anda menghadapi masalah, atau mencari saran dari tim dukungan kami, Mendiagnosis dan memecahkan masalah adalah alat lain untuk membantu Anda menemukan solusinya:
Laporan Azure Audit dasbor kepatuhan peraturan dirilis untuk ketersediaan umum (GA)
Toolbar dasbor kepatuhan peraturan menawarkan laporan sertifikasi Azure dan Dynamics untuk standar yang diterapkan pada langganan Anda.
Anda dapat memilih tab untuk jenis laporan yang relevan (PCI, SOC, ISO, dan lainnya) dan menggunakan filter untuk menemukan laporan tertentu yang Anda butuhkan.
Untuk informasi selengkapnya, lihat Membuat laporan dan sertifikat status kepatuhan.
Rekomendasi yang tidak digunakan lagi 'Masalah kesehatan agenLog Analytics harus diselesaikan pada komputer Anda'
Kami menemukan bahwa masalah kesehatan agen Analitik Log rekomendasi harus diselesaikan pada mesin Anda memengaruhi skor aman dengan cara yang tidak konsisten dengan fokus Manajemen Postur Keamanan Cloud (CSPM) Azure Security Center. Biasanya, CSPM berkaitan dengan mengidentifikasi kesalahan konfigurasi keamanan. Masalah kesehatan agen tidak sesuai dengan kategori masalah ini.
Juga, rekomendasi adalah anomali jika dibandingkan dengan agen lain yang terkait dengan Azure Security Center: ini adalah satu-satunya agen dengan rekomendasi yang terkait dengan masalah kesehatan.
Rekomendasi tidak digunakan lagi.
Sebagai akibat dari penghentian ini, kami juga telah membuat perubahan kecil pada rekomendasi untuk menginstal agen Analisis Log (Agen Log Analytics harus diinstal di...).
Kemungkinan perubahan ini akan berdampak pada skor aman Anda. Untuk sebagian besar langganan, kami mengharapkan perubahan tersebut mengarah pada peningkatan skor, tetapi ada kemungkinan pembaruan pada rekomendasi penginstalan dapat mengakibatkan penurunan skor dalam beberapa kasus.
Tip
Halaman inventaris aset juga terpengaruh oleh perubahan ini karena menampilkan status yang dipantau untuk komputer (dipantau, tidak dipantau, atau dipantau sebagian - status yang merujuk pada agen dengan masalah kesehatan).
Azure Defender untuk registri kontainer sekarang memindai kerentanan dalam registri yang dilindungi dengan Azure Private Link
Azure Defender untuk registri kontainer menyertakan pemindai kerentanan untuk memindai gambar di registri Azure Container Registry Anda. Pelajari cara memindai registri Anda dan memulihkan temuan di Menggunakan Azure Defender untuk registri kontainer untuk memindai gambar Anda dari kerentanan.
Untuk membatasi akses ke registri yang dihosting di Azure Container Registry, tetapkan alamat IP privat jaringan virtual ke titik akhir registri dan gunakan Azure Private Link seperti yang dijelaskan dalam Menyambungkan secara privat ke registri kontainer Azure menggunakan Azure Private Link.
Sebagai bagian dari upaya berkelanjutan kami untuk mendukung lingkungan dan kasus penggunaan tambahan, Azure Defender kini juga memindai registri kontainer yang dilindungi dengan Azure Private Link.
Security Center sekarang dapat melakukan provisi otomatis ekstensi Konfigurasi Tamu Azure Policy (dalam pratinjau)
Azure Policy dapat mengaudit pengaturan di dalam komputer, baik untuk komputer yang berjalan di Azure dan komputer yang tersambung Arc. Validasi dilakukan oleh ekstensi Konfigurasi Tamu dan klien. Pelajari lebih lanjut dalamMemahami Konfigurasi Tamu dalam Azure Policy.
Dengan pembaruan ini, Anda sekarang dapat mengatur Security Center untuk secara otomatis memprovisikan ekstensi ini ke semua komputer yang didukung.
Pelajari selengkapnya tentang cara kerja provisi otomatis di Mengonfigurasi provisi otomatis untuk agen dan ekstensi.
Rekomendasi untuk mengaktifkan paket Azure Defender sekarang mendukung "Terapkan"
Security Center menyertakan dua fitur yang membantu memastikan sumber daya yang baru dibuat disediakan dengan cara yang aman: terapkan dan tolak. Saat rekomendasi menawarkan opsi ini, Anda dapat memastikan persyaratan keamanan Anda terpenuhi setiap kali seseorang mencoba membuat sumber daya:
- Tolak menghentikan pembuatan sumber daya yang tidak sehat
- Terapkan secara otomatis memulihkan sumber daya yang tidak sesuai saat dibuat
Dengan pembaruan ini, opsi penerapan kini tersedia pada rekomendasi untuk mengaktifkan paket Azure Defender (seperti Azure Defender untuk App Service harus diaktifkan, Azure Defender untuk Key Vault harus diaktifkan, Azure Defender untuk Storage harus diaktifkan).
Pelajari selengkapnya tentang opsi ini di Mencegah kesalahan konfigurasi dengan rekomendasi Terapkan/Tolak.
Ekspor data rekomendasi CSV sekarang dibatasi hingga 20 MB
Kami menerapkan batas 20 MB saat mengekspor data rekomendasi Security Center.
Jika Anda perlu mengekspor data dalam jumlah yang lebih besar, gunakan filter yang tersedia sebelum memilih, atau pilih subkumpulan langganan Anda dan unduh data dalam batch.
Pelajari selengkapnya tentang melakukan ekspor CSV rekomendasi keamanan Anda.
Halaman rekomendasi sekarang mencakup beberapa tampilan
Halaman rekomendasi sekarang memiliki dua tab untuk memberikan cara alternatif untuk melihat rekomendasi yang relevan dengan sumber daya Anda:
- Rekomendasi skor aman - Gunakan tab ini untuk melihat daftar rekomendasi yang dikelompokkan menurut kontrol keamanan. Pelajari selengkapnya tentang kontrol ini di Kontrol keamanan dan rekomendasinya.
- Semua rekomendasi - Gunakan tab ini untuk melihat daftar rekomendasi sebagai daftar datar. Tab ini juga bagus untuk memahami inisiatif mana (termasuk standar kepatuhan peraturan) yang menghasilkan rekomendasi. Pelajari selengkapnya tentang inisiatif dan hubungannya dengan rekomendasi di Apakah yang dimaksud dengan kebijakan, inisiatif, dan rekomendasi keamanan?.
Juli 2021
Pembaruan pada bulan Juli meliputi:
- Konektor Azure Sentinel sekarang menyertakan sinkronisasi pemberitahuan dua arah opsional (dalam pratinjau)
- Reorganisasi logika pemberitahuan Azure Defender for Resource Manager
- Penyempurnaan rekomendasi untuk mengaktifkan Azure Disk Encryption (ADE)
- Ekspor berkelanjutan dari skor aman dan data kepatuhan peraturan dirilis untuk ketersediaan umum (GA)
- Otomatisasi alur kerja dapat dipicu oleh perubahan pada penilaian kepatuhan peraturan (GA)
- Bidang API Penilaian 'FirstEvaluationDate' dan 'StatusChangeDate' sekarang tersedia di skema ruang kerja dan aplikasi logika
- Templat buku kerja 'Kepatuhan dari waktu ke waktu' ditambahkan ke galeri Buku Kerja Azure Monitor
Konektor Azure Sentinel sekarang menyertakan sinkronisasi pemberitahuan dua arah opsional (dalam pratinjau)
Security Center terintegrasi secara bawaan dengan Azure Sentinel, solusi SOAR dan SIEM cloud asli Azure.
Azure Sentinel menyertakan konektor bawaan untuk Azure Security Center di tingkat langganan dan penyewa. Pelajari selengkapnya di Pemberitahuan stream ke Azure Sentinel.
Saat Anda menyambungkan Azure Defender ke Azure Sentinel, status pemberitahuan Azure Defender yang diserap ke Azure Sentinel disinkronkan di antara dua layanan. Jadi, misalnya, saat pemberitahuan ditutup di Azure Defender, pemberitahuan itu juga akan ditampilkan sebagai ditutup di Azure Sentinel. Mengubah status pemberitahuan di Azure Defender "tidak akan"* memengaruhi status insiden Azure Sentinel yang berisi pemberitahuan Azure Sentinel yang disinkronkan, hanya status pemberitahuan yang disinkronkan itu sendiri.
Saat Anda mengaktifkan sinkronisasi pemberitahuan dua arah fitur pratinjau, fitur tersebut secara otomatis menyinkronkan status pemberitahuan Azure Defender asli dengan insiden Azure Sentinel yang berisi salinan pemberitahuan Azure Defender tersebut. Jadi, misalnya, saat insiden Azure Sentinel yang berisi pemberitahuan Azure Defender ditutup, Azure Defender akan secara otomatis menutup pemberitahuan asli yang sesuai.
Pelajari selengkapnya di Menyambungkan pemberitahuan Azure Defender dari Azure Security Center.
Reorganisasi logika pemberitahuan Azure Defender for Resource Manager
Pemberitahuan yang tercantum di bawah diberikan sebagai bagian dari paket Azure Defender untuk Resource Manager.
Sebagai bagian dari reorganisasi logis dari beberapa paket Azure Defender, kami telah memindahkan beberapa peringatan dari Azure Defender untuk Resource Manager ke Azure Defender untuk Server.
Pemberitahuan diatur sesuai dua prinsip utama:
- Pemberitahuan yang memberikan perlindungan bidang kontrol - di banyak jenis sumber daya Azure - adalah bagian dari Azure Defender untuk Resource Manager
- Pemberitahuan yang melindungi beban kerja tertentu ada dalam paket Azure Defender yang terkait dengan beban kerja terkait
Ini adalah peringatan yang merupakan bagian dari Azure Defender untuk Resource Manager, dan yang, sebagai akibat dari perubahan ini, sekarang menjadi bagian dari Azure Defender untuk Server:
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
Pelajari selengkapnya tentang paket Azure Defender untuk Resource Manager dan Azure Defender untuk Server.
Penyempurnaan rekomendasi untuk mengaktifkan Azure Disk Encryption (ADE)
Mengikuti umpan balik pengguna, kami telah mengganti nama rekomendasi Enkripsi disk harus diterapkan pada mesin virtual.
Rekomendasi baru menggunakan ID penilaian yang sama dan disebut Mesin virtual harus mengenkripsi disk sementara, cache, dan aliran data antara sumber daya Compute dan Storage.
Deskripsi juga telah diperbarui untuk lebih menjelaskan tujuan rekomendasi penguatan ini:
| Rekomendasi | Deskripsi | Tingkat keparahan |
|---|---|---|
| Komputer virtual harus mengenkripsi disk sementara, cache, dan aliran data antara sumber daya Compute dan Storage | Secara default, OS mesin virtual dan disk data dienkripsi saat tidak digunakan menggunakan kunci yang dikelola platform; disk sementara dan cache data tidak dienkripsi, dan data tidak dienkripsi saat mengalir di antara sumber daya komputasi dan penyimpanan. Untuk informasi selengkapnya, lihat perbandingan berbagai teknologi enkripsi disk di Azure. Gunakan Azure Disk Encryption untuk mengenkripsi semua data ini. Abaikan rekomendasi ini jika: (1) Anda menggunakan fitur enkripsi-di-host, atau (2) enkripsi sisi server pada Disk Terkelola memenuhi persyaratan keamanan Anda. Pelajari selengkapnya di Enkripsi sisi server Penyimpanan Disk Azure. |
Sangat Penting |
Ekspor berkelanjutan dari skor aman dan data kepatuhan peraturan dirilis untuk ketersediaan umum (GA)
Ekspor berkelanjutan menyediakan mekanisme untuk mengekspor pemberitahuan keamanan Anda dan rekomendasi untuk pelacakan dengan alat pemantauan lain di lingkungan Anda.
Saat Anda mengatur ekspor berkelanjutan, Anda mengonfigurasi apa yang diekspor, dan ke mana akan pergi. Pelajari selengkapnya di ringkasan ekspor berkelanjutan.
Kami telah meningkatkan dan memperluas fitur ini dari waktu ke waktu:
Pada November 2020, kami menambahkan opsi pratinjau untuk mengalirkan perubahan ke skor aman Anda.
Untuk detail selengkapnya, lihat Skor aman kini tersedia dalam ekspor berkelanjutan (pratinjau).Pada bulan Desember 2020, kami menambahkan opsi pratinjau untuk mengalirkan perubahan pada data penilaian kepatuhan terhadap peraturan Anda.
Untuk detail selengkapnya, lihat Ekspor berkelanjutan mendapatkan jenis data baru (pratinjau).
Dengan pembaruan ini, dua opsi ini dirilis untuk ketersediaan umum (GA).
Otomatisasi alur kerja dapat dipicu oleh perubahan pada penilaian kepatuhan peraturan (GA)
Pada bulan Februari 2021, kami menambahkan jenis data ketiga pratinjau ke opsi pemicu untuk otomatisasi alur kerja Anda: perubahan pada penilaian kepatuhan terhadap peraturan. Pelajari lebih lanjut di Otomatisasi alur kerja dapat dipicu oleh perubahan pada penilaian kepatuhan terhadap peraturan.
Dengan pembaruan ini, opsi pemicu ini dirilis untuk ketersediaan umum (GA).
Pelajari cara menggunakan alat otomatisasi alur kerja dalam Otomatisasi respon ke pemicu Security Center.
Bidang API Penilaian 'FirstEvaluationDate' dan 'StatusChangeDate' sekarang tersedia di skema ruang kerja dan aplikasi logika
Pada Mei 2021, kami memperbarui API Penilaian dengan dua bidang baru, FirstEvaluationDate dan StatusChangeDate. Untuk detail selengkapnya, lihat API Penilaian diluaskan dengan dua bidang baru.
Bidang tersebut dapat diakses melalui REST API, Azure Resource Graph, ekspor berkelanjutan, dan dalam ekspor CSV.
Dengan perubahan ini, kami membuat informasi tersedia di skema ruang kerja Log Analytics dan dari aplikasi logika.
Templat buku kerja 'Kepatuhan dari waktu ke waktu' ditambahkan ke galeri Buku Kerja Azure Monitor
Pada bulan Maret, kami mengumumkan pengalaman Buku Kerja Azure Monitor terintegrasi di Security Center (lihat Buku Kerja Azure Monitor terintegrasi ke dalam Security Center dan tiga templat yang disediakan).
Rilis awal menyertakan tiga templat untuk membuat laporan dinamis dan visual tentang postur keamanan organisasi Anda.
Kami kini menambahkan buku kerja yang didedikasikan untuk melacak kepatuhan langganan dengan peraturan atau standar industri yang diterapkan padanya.
Pelajari tentang menggunakan laporan ini atau membuat laporan Anda sendiri di Membuat laporan yang kaya dan interaktif dari data Security Center.
Juni 2021
Pembaruan di bulan Juni meliputi:
- Peringatan baru untuk Azure Defender atas Key Vault
- Rekomendasi untuk mengenkripsi dengan kunci yang dikelola pelanggan (CMK) yang dinonaktifkan secara default
- Awalan untuk peringatan Kube berubah dari "AKS_" ke "K8S_"
- Dua rekomendasi dari kontrol keamanan "Terapkan pembaruan sistem" tidak digunakan lagi
Peringatan baru untuk Azure Defender atas Key Vault
Untuk memperluas perlindungan ancaman yang disediakan oleh Azure Defender untuk Key Vault, kami telah menambah peringatan berikut:
| Peringatan (jenis peringatan) | Deskripsi | Taktik MITRE | Tingkat keparahan |
|---|---|---|---|
| Akses dari alamat IP yang mencurigakan ke key vault (KV_SuspiciousIPAccess) |
Sebuah key vault telah berhasil diakses oleh IP yang telah teridentifikasi oleh Microsoft Threat Intelligence sebagai alamat IP yang mencurigakan. Ini mungkin menunjukkan bahwa infrastruktur Anda telah disusupi. Kami merekomendasikan investigasi lebih lanjut. Pelajari lebih lanjut tentang kemampuan intelijen ancaman Microsoft. | Akses Info Masuk | Medium |
Untuk informasi selengkapnya, lihat:
- Pengenalan Azure Defender untuk Brankas Kunci
- Merespon Azure Defender untuk peringatan Brankas Kunci
- Daftar peringatan yang disediakan oleh Azure Defender untuk Brankas Kunci
Rekomendasi untuk mengenkripsi dengan kunci yang dikelola pelanggan (CMK) yang dinonaktifkan secara default
Security Center menyertakan beberapa rekomendasi untuk mengenkripsi data tidak aktif dengan kunci yang dikelola pelanggan, seperti:
- Registri kontainer harus dienkripsi dengan kunci yang dikelola pelanggan (CMK)
- Akun Azure Cosmos DB harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif
- Ruang kerja Azure Machine Learning harus dienkripsi dengan kunci yang dikelola pelanggan (CMK)
Data di Azure dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diperlukan untuk mematuhi kebijakan tertentu yang dipilih organisasi Anda untuk diberlakukan.
Dengan perubahan ini, rekomendasi untuk menggunakan CMK sekarang dinonaktifkan secara default. Jika relevan dengan organisasi Anda, Anda dapat mengaktifkannya dengan mengubah parameter Effect untuk kebijakan keamanan terkait ke AuditIfNotExists atau Enforce. Pelajari selengkapnya di Mengaktifkan rekomendasi keamanan.
Perubahan ini tercermin dalam nama rekomendasi dengan awalan baru, [Aktifkan jika perlu], seperti yang ditunjukkan dalam contoh berikut:
- [Aktifkan jika diperlukan] Akun penyimpanan harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif
- [Aktifkan jika diperlukan] Registri kontainer harus dienkripsi dengan kunci yang dikelola pelanggan (CMK)
- [Aktifkan jika diperlukan] Akun Azure Cosmos DB harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif
Awalan untuk peringatan Kube berubah dari "AKS_" ke "K8S_"
Azure Defender untuk Kubernetes akhir-akhir ini diperluas untuk melindungi kluster Kubernetes yang dihosting di lokasi dan di lingkungan multicloud. Pelajari lebih lanjut menggunakan Azure Defender untuk Kubernetes guna melindungi penyebaran Kubernetes hibrid dan multicloud (dalam pratinjau).
Untuk mencerminkan fakta bahwa pemberitahuan keamanan yang disediakan oleh Azure Defender untuk Kubernetes tidak lagi dibatasi untuk kluster di Azure Kubernetes Service, kami telah mengubah awalan untuk jenis pemberitahuan dari "AKS_" menjadi "K8S_." Jika perlu, nama dan deskripsi juga diperbarui. Misalnya, peringatan ini:
| Peringatan (jenis peringatan) | Deskripsi |
|---|---|
| Alat pengujian penetrasi Kubernetes terdeteksi (AKS_PenTestToolsKubeHunter) |
Analisis log audit Kubernetes mendeteksi penggunaan alat pengujian penetrasi Kubernetes di kluster AKS. Meskipun perilaku ini dapat sah, penyerang mungkin menggunakan alat publik tersebut untuk tujuan berbahaya. |
Diubah ke pemberitahuan ini:
| Peringatan (jenis peringatan) | Deskripsi |
|---|---|
| Alat pengujian penetrasi Kubernetes terdeteksi (K8S_PenTestToolsKubeHunter) |
Analisis log audit Kubernetes mendeteksi penggunaan alat pengujian penetrasi Kubernetes di kluster AKS. Meskipun perilaku ini dapat sah, penyerang mungkin menggunakan alat publik tersebut untuk tujuan berbahaya. |
Setiap aturan pencegahan yang merujuk pada peringatan yang dimulai dengan "AKS_" secara otomatis dikonversi. Jika telah menyiapkan ekspor SIEM, atau skrip otomatis khusus yang merujuk ke peringatan Kubernetes berdasarkan jenis peringatan, Anda harus memperbaruinya dengan jenis peringatan baru.
Untuk daftar lengkap peringatan Kubernetes, lihat Peringatan untuk kluster Kubernetes.
Dua rekomendasi dari kontrol keamanan "Terapkan pembaruan sistem" tidak digunakan lagi
Dua rekomendasi berikut tidak digunakan lagi:
- Versi OS harus diperbarui untuk peran layanan awan Anda - Secara default, Azure secara berkala memperbarui OS tamu Anda ke gambar terbaru yang didukung dalam keluarga OS yang telah Anda tentukan dalam konfigurasi layanan Anda (.cscfg), seperti Windows Server 2016.
- Layanan Kubernetes harus ditingkatkan ke versi Kubernetes yang tidakrentan - Evaluasi rekomendasi ini tidak seluas yang kami inginkan. Kami berencana mengubah rekomendasi dengan versi yang disempurnakan yang lebih selaras dengan kebutuhan keamanan Anda.
Mei 2021
Pembaruan pada bulan Mei meliputi:
- Azure Defender untuk DNS dan Azure Defender untuk Resource Manager dirilis untuk ketersediaan umum (GA)
- Azure Defender untuk database relasional sumber terbuka dirilis untuk ketersediaan umum (GA)
- Peringatan baru untuk Azure Defender bagi Resource Manager
- CI/CD kerentanan pemindaian gambar kontainer dengan alur kerja GitHub dan Azure Defender (pratinjau)
- Lebih banyak permintaan Resource Graph tersedia untuk beberapa rekomendasi
- Tingkat keparahan rekomendasi klasifikasi data SQL berubah
- Rekomendasi baru untuk mengaktifkan kapabilitas peluncuran terpercaya (dalam pratinjau)
- Rekomendasi baru untuk penguatan kluster Kubernetes (dalam pratinjau)
- Assessments API diperluas dengan dua bidang baru
- Inventaris aset memperoleh filter lingkungan cloud
Azure Defender untuk DNS dan Azure Defender untuk Resource Manager dirilis untuk ketersediaan umum (GA)
Dua rencana perlindungan ancaman luas cloud-asli ini sekarang GA, tersedia untuk umum.
Perlindungan baru ini sangat meningkatkan ketahanan Anda terhadap serangan dari pelaku ancaman, dan secara signifikan meningkatkan jumlah sumber daya Azure yang dilindungi oleh Azure Defender.
Azure Defender untuk Resource Manager- secara otomatis memantau semua operasi manajemen sumber daya yang dilakukan di organisasi Anda. Untuk informasi selengkapnya, lihat:
Azure Defender untuk DNS - terus memantau semua permintaan DNS dari sumber daya Azure Anda. Untuk informasi selengkapnya, lihat:
Untuk menyederhanakan proses pengaktifan paket ini, gunakan rekomendasi:
- Azure Defender untuk Resource Manager harus diaktifkan
- Azure Defender untuk DNS harus diaktifkan
Catatan
Mengaktifkan paket Azure Defender menimbulkan biaya. Pelajari tentang detail harga per wilayah di halaman harga Security Center.
Azure Defender untuk database relasional sumber terbuka dirilis untuk ketersediaan umum (GA)
Azure Security Center memperluas penawarannya untuk perlindungan SQL dengan bundel baru untuk mencakup database hubungan sumber terbuka Anda:
- Azure Defender untuk server database Azure SQL - melindungi Server SQL asli Azure Anda
- Azure Defender untuk server SQL pada mesin - memperluas perlindungan yang sama ke server SQL Anda di lingkungan hibrid, multicloud, dan lokal
- Azure Defender untuk database hubungan sumber terbuka - melindungi database Azure Anda untuk server tunggal MySQL, PostgreSQL, dan MariaDB
Azure Defender untuk database hubungan sumber terbuka terus memantau server Anda terhadap ancaman keamanan dan mendeteksi aktivitas database anomali yang menunjukkan potensi ancaman terhadap Azure Database for MySQL, PostgreSQL, dan MariaDB. Beberapa contohnya adalah:
- Deteksi granular serangan brute force - Azure Defender untuk database hubungan sumber terbuka memberikan informasi terperinci tentang percobaan dan keberhasilan serangan brute force. Hal ini membuat Anda dapat menyelidiki dan merespon dengan pemahaman yang lebih lengkap tentang sifat dan status serangan terhadap lingkungan Anda.
- Deteksi peringatan perilaku - Azure Defender untuk database hubungan sumber terbuka memperingatkan Anda tentang perilaku mencurigakan dan tidak terduga di server Anda, seperti perubahan pola akses ke database Anda.
- Deteksi berbasis intelijen ancaman - Azure Defender menerapkan intelijen ancaman Microsoft dan basis pengetahuan yang luas untuk memunculkan peringatan ancaman sehingga Anda dapat bertindak mengatasinya.
Pelajari selengkapnya pada Pengenalan Azure Defender untuk database hubungan sumber terbuka.
Peringatan baru untuk Azure Defender bagi Resource Manager
Untuk memperluas perlindungan ancaman yang disediakan oleh Azure Defender untuk Resource Manager, kami telah menambah peringatan berikut:
| Peringatan (jenis peringatan) | Deskripsi | Taktik MITRE | Tingkat keparahan |
|---|---|---|---|
| Izin yang diberikan untuk peran RBAC dengan cara yang tidak biasa untuk lingkungan Azure Anda (Pratinjau) (ARM_AnomalousRBACRoleAssignment) |
Azure Defender untuk Resource Manager mendeteksi penetapan peran RBAC yang tidak biasa jika dibandingkan dengan penugasan lain yang dilakukan oleh pemberi tugas yang sama / dilakukan untuk penerima tugas yang sama / di penyewa Anda karena anomali berikut: waktu penugasan, lokasi penugasan, pemberi tugas, metode autentikasi, entitas yang ditetapkan, perangkat lunak klien yang digunakan, cakupan penugasan. Pengoperasian ini mungkin telah dilakukan oleh pengguna yang sah di organisasi Anda. Atau, itu mungkin menunjukkan bahwa akun di organisasi Anda dilanggar, dan bahwa aktor ancaman mencoba memberikan izin ke akun pengguna lain yang mereka miliki. | Gerakan Lateral, Penghindaran Perlindungan | Medium |
| Peran khusus istimewa yang dibuat untuk langganan Anda dengan cara yang mencurigakan (Pratinjau) (ARM_PrivilegedRoleDefinitionCreation) |
Azure Defender untuk Resource Manager mendeteksi kreasi yang mencurigakan dari definisi peran khusus yang diistimewakan dalam langganan Anda. Pengoperasian ini mungkin telah dilakukan oleh pengguna yang sah di organisasi Anda. Atau, ini mungkin menunjukkan bahwa akun di organisasi Anda dilanggar, dan bahwa aktor ancaman mencoba membuat peran istimewa untuk digunakan di masa mendatang untuk menghindari deteksi. | Gerakan Lateral, Penghindaran Perlindungan | Kurang Penting |
| Pengoperasian Azure Resource Manager dari alamat IP yang mencurigakan (Pratinjau) (ARM_OperationFromSuspiciousIP) |
Azure Defender for Resource Manager mendeteksi operasi dari alamat IP yang telah ditandai sebagai mencurigakan dalam umpan intelijen ancaman. | Eksekusi | Medium |
| Operasi Azure Resource Manager dari alamat IP proksi yang mencurigakan (Pratinjau) (ARM_OperationFromSuspiciousProxyIP) |
Azure Defender untuk Resource Manager mendeteksi operasi manajemen sumber daya dari alamat IP yang terkait dengan layanan proxy, seperti TOR. Meskipun perilaku ini bisa jadi sah, perilaku tersebut sering terlihat dalam kegiatan berbahaya, ketika pelaku ancaman mencoba menyembunyikan IP sumber mereka. | Penghindaran Pertahanan | Medium |
Untuk informasi selengkapnya, lihat:
- Pengantar Azure Defender untuk Resource Manager
- Merespons Azure Defender atas pemberitahuan Resource Manager
- Daftar peringatan yang disediakan oleh Azure Defender untuk Resource Manager
CI/CD kerentanan pemindaian gambar kontainer dengan alur kerja GitHub dan Azure Defender (pratinjau)
Azure Defender untuk registri kontainer sekarang memberikan kemampuan observasi tim DevSecOps ke dalam alur kerja GitHub Action.
Fitur pemindaian kerentanan baru untuk gambar kontainer, menggunakan Trivy, membantu Anda memindai kerentanan umum dalam gambar kontainer mereka sebelum mendorong gambar ke registri kontainer.
Laporan pemindaian kontainer dirangkum di Azure Security Center, yang memberikan wawasan dan pemahaman yang lebih baik kepada tim keamanan tentang sumber gambar kontainer yang rentan serta alur kerja dan repositori dari tempat asalnya.
Pelajari selengkapnya dalam Mengidentifikasi gambar kontainer yang rentan di alur kerja CI/CD Anda.
Lebih banyak permintaan Resource Graph yang tersedia untuk beberapa rekomendasi
Semua rekomendasi Security Center memiliki opsi untuk menampilkan informasi tentang status sumber daya yang terpengaruh menggunakan Azure Resource Graph dari Buka permintaan. Untuk detail selengkapnya tentang fitur canggih ini, lihat Tinjau data rekomendasi di Azure Resource Graph Explorer (ARG).
Security Center mencakup pemindai kerentanan bawaan untuk memindai VM, server SQL, dan host mereka, serta registri kontainer untuk kerentanan keamanan. Temuan dikembalikan sebagai rekomendasi dengan semua temuan individual untuk setiap jenis sumber daya yang dikumpulkan ke dalam satu tampilan. Rekomendasi-rekomendasi tersebut adalah:
- Kerentanan dalam gambar Azure Container Registry harus dipulihkan (didukung oleh Qualys)
- Kerentanan di komputer virtual Anda harus diremediasi
- Database SQL harus memiliki temuan kerentanan yang diselesaikan
- SQL Server pada komputer harus mengatasi temuan kerentanan
Dengan perubahan ini, Anda bisa menggunakan tombol Buka permintaan untuk membuka kueri yang menunjukkan temuan keamanan.
Tombol Buka kueri menawarkan opsi tambahan untuk beberapa rekomendasi lain jika relevan.
Pelajari selengkapnya tentang pemindai kerentanan Security Center:
- Pemindai kerentanan Qualys terintegrasi Azure Defender untuk Azure dan komputer hibrid
- Pemindai penilaian kerentanan terpadu Azure Defender untuk server SQL
- Pemindai penilaian kerentanan terpadu Azure Defender untuk registri kontainer
Tingkat keparahan rekomendasi klasifikasi data SQL berubah
Tingkat keparahan rekomendasi Data sensitif dalam database SQL Anda harus diklasifikasikan diubah dari Tinggi ke Rendah.
Ini adalah bagian dari perubahan berkelanjutan pada rekomendasi ini yang diumumkan di halaman perubahan kami yang akan datang.
Rekomendasi baru untuk mengaktifkan kapabilitas peluncuran terpercaya (dalam pratinjau)
Azure menawarkan peluncuran tepercaya sebagai cara mulus untuk meningkatkan keamanan VM generasi 2. Peluncuran tepercaya melindungi dari teknik serangan canggih dan terus-menerus. Peluncuran tepercaya terdiri dari beberapa teknologi infrastruktur terkoordinasi yang dapat diaktifkan secara independen. Setiap teknologi menyediakan lapisan pertahanan lain terhadap ancaman canggih. Pelajari selengkapnya di Peluncuran kepercayaan untuk komputer virtual Azure.
Penting
Peluncuran terpercaya membutuhkan pembuatan komputer virtual baru. Anda tidak dapat mengaktifkan peluncuran tepercaya pada komputer virtual yang ada dan awalnya dibuat tanpanya.
Peluncuran terpercaya saat ini berada dalam pratinjau publik. Pratinjau ini disediakan tanpa perjanjian tingkat layanan, dan tidak disarankan untuk beban kerja produksi. Fitur tertentu mungkin tidak didukung atau mungkin memiliki kemampuan terbatas.
Rekomendasi Security Center, vTPM harus diaktifkan pada komputer virtual yang didukung, memastikan Azure VM Anda menggunakan vTPM. Versi virtual Modul Platform Terpercaya perangkat keras ini memungkinkan pengesahan dengan mengukur seluruh rantai boot VM Anda (UEFI, OS, sistem, dan driver).
Dengan mengaktifkan vTPM, Ekstensi Pengesahan Tamu dapat memvalidasi boot aman dari jarak jauh. Rekomendasi berikut memastikan ekstensi ini disebarkan:
- Boot aman harus diaktifkan pada komputer virtual Windows yang didukung
- Ekstensi Pengesahan Tamu harus diinstal pada komputer virtual yang didukung Windows
- Ekstensi Pengesahan Tamu harus diinstal pada Windows Virtual Machine Scale Sets yang didukung
- Ekstensi Pengesahan Tamu harus dipasang pada komputer virtual Linux yang didukung
- Ekstensi Pengesahan Tamu harus diinstal pada Linux Virtual Machine Scale Sets yang didukung
Pelajari selengkapnya di Peluncuran kepercayaan untuk komputer virtual Azure.
Rekomendasi baru untuk penguatan kluster Kubernetes (dalam pratinjau)
Rekomendasi berikut memungkinkan Anda lebih bisa menguatkan kluster Kubernetes
- Kluster Kubernetes tidak boleh menggunakan namespace default- Untuk melindungi akses tidak sah terhadap jenis sumber daya ConfigMap, Pod, Secret, Service, dan ServiceAccount, cegah penggunaan namespace default dalam kluster Kubernetes.
- Kluster Kubernetes harus menonaktifkan penulisan otomatis informasi masuk API - Untuk mencegah sumber daya Pod yang berpotensi disusupi menjalankan perintah API terhadap kluster Kubernetes, nonaktifkan penulisan otomatis informasi masuk API.
- Kluster Kubernetes tidak boleh memberi kemampuan keamanan CAPSYSADMIN
Pelajari cara Security Center dapat melindungi lingkungan kontainer Anda di Keamanan kontainer di Security Center.
Assessments API diperluas dengan dua bidang baru
Kami telah menambah dua bidang berikut keAssessments REST API:
- TanggalEvaluasiPertama - Waktu pada saat rekomendasi dibuat dan dievaluasi pertama kali. Ditampilkan sebagai waktu UTC dalam format ISO 8601.
- TanggalPerubahanStatus – Waktu di mana status rekomendasi terakhir diubah. Ditampilkan sebagai waktu UTC dalam format ISO 8601.
Nilai default awal untuk bidang ini - untuk semua rekomendasi - adalah 2021-03-14T00:00:00+0000000Z.
Untuk mengakses informasi ini, Anda dapat menggunakan salah satu metode pada tabel di bawah ini.
| Alat | Detail |
|---|---|
| Panggilan REST API | GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates |
| Azure Resource Graph | securityresourceswhere type == "microsoft.security/assessments" |
| Ekspor berkelanjutan | Dua bidang khusus akan tersedia data ruang kerja Log Analitik |
| Ekspor CSV | Dua bidang ini dimasukkan dalam file CSV |
Pelajari selengkapnya tentang Assessments REST API.
Inventaris aset memperoleh filter lingkungan cloud
Halaman inventaris aset Security Center menawarkan banyak filter untuk memperbaiki daftar sumber daya yang ditampilkan dengan cepat. Pelajari selengkapnya dalamMenjelajahi dan mengelola sumber daya Anda dengan inventaris aset.
Filter baru menawarkan opsi untuk memperbaiki daftar sesuai dengan akun awan yang telah Anda hubungkan dengan fitur multicloud Security Center:
Pelajari selengkapnya tentang kapabilitas multicloud:
- Menghubungkan akun AWS Anda ke Azure Security Center
- Menghubungkan akun GCP Anda ke Azure Security Center
April 2021
Pembaruan di bulan April meliputi:
- Halaman kesehatan sumber daya yang disegarkan (dalam pratinjau)
- Gambar registri kontainer yang baru saja ditarik saat ini dipindai ulang setiap minggu (dirilis untuk ketersediaan umum (GA))
- Menggunakan Azure Defender bagi Kubernetes untuk melindungi penyebaran Kubernetes hibrid dan multicloud (dalam pratinjau)
- Integrasi Microsoft Defender untuk Titik Akhir dengan Azure Defender kini mendukung Windows Server 2019 dan Windows 10 Virtual Desktop (WVD) yang dirilis untuk ketersediaan umum (GA)
- Rekomendasi untuk mengaktifkan Azure Defender bagi DNS dan Resource Manager (dalam pratinjau)
- Tiga standar kepatuhan peraturan ditambahkan: Azure CIS 1.3.0, CMMC Level 3, dan ISM Selandia Baru Dibatasi
- Empat rekomendasi baru terkait konfigurasi tamu (dalam pratinjau)
- Rekomendasi CMK dipindahkan ke kontrol keamanan praktik terbaik
- Sebelas pemberitahuan Azure Defender tidak digunakan lagi
- Dua rekomendasi dari kontrol keamanan "Terapkan pembaruan sistem" tidak lagi digunakan
- Azure Defender untuk SQL pada petak komputer dihapus dari dasbor Azure Defender
- Rekomendasi dipindahkan antar kontrol keamanan
Halaman kesehatan sumber daya yang disegarkan (dalam pratinjau)
Kesehatan sumber daya diperluas, ditingkatkan, dan ditingkatkan untuk memberikan tampilan rekam jepret tentang kesehatan keseluruhan satu sumber daya.
Anda dapat meninjau informasi terperinci tentang sumber daya dan semua rekomendasi yang berlaku untuk sumber daya tersebut. Selain itu, jika Anda menggunakan paket perlindungan lanjutan dari Microsoft Defender, Anda juga dapat melihat pemberitahuan keamanan yang luar biasa untuk sumber daya tertentu tersebut.
Untuk membuka halaman kesehatan sumber daya untuk satu sumber daya, pilih sumber daya apa pun dari halaman inventaris aset.
Halaman pratinjau ini di halaman portal Security Center menunjukkan:
- Informasi sumber daya - Grup sumber daya dan langganan yang dilampirkannya, lokasi geografis, dan banyak lagi.
- Fitur keamanan yang diterapkan - Apakah Azure Defender diaktifkan untuk sumber daya.
- Jumlah rekomendasi dan pemberitahuan yang luar biasa - Jumlah rekomendasi keamanan yang luar biasa dan pemberitahuan Azure Defender.
- Rekomendasi dan pemberitahuan yang dapat ditindaklanjuti - Dua tab mencantumkan rekomendasi dan pemberitahuan yang berlaku untuk sumber daya.
Pelajari lebih lanjut di Tutorial: Selidiki kesehatan sumber daya Anda.
Gambar registri kontainer yang baru saja ditarik saat ini dipindai ulang setiap minggu (dirilis untuk ketersediaan umum (GA))
Azure Defender untuk registri kontainer memasukkan pemindai kerentanan bawaan. Pemindai ini segera memindai gambar apa pun yang Anda dorong ke registri Anda dan gambar apa pun yang ditarik dalam 30 hari terakhir.
Kerentanan baru ditemukan setiap hari. Dengan pembaruan ini, gambar kontainer yang diambil dari registri Anda selama 30 hari terakhir akan dipindai-ulang setiap minggu. Ini memastikan bahwa kerentanan yang baru ditemukan teridentifikasi dalam gambar Anda.
Pemindaian dikenakan hara per gambar, sehingga tidak ada biaya tambahan untuk pemindaian ulang ini.
Pelajari selengkapnya tentang pemindai ini dalamGunakan Azure Defender untuk registri kontainer untuk memindai gambar Anda untuk identifikasi kerentanan.
Menggunakan Azure Defender bagi Kubernetes untuk melindungi penyebaran Kubernetes hibrid dan multicloud (dalam pratinjau)
Azure Defender untuk Kubernetes memperluas kemampuan perlindungan ancaman untuk mempertahankan kluster Anda di mana pun disebarkan. Ini diaktifkan dengan mengintegrasikan dengan Kubernetes dengan dukungan Azure Arc dan kemampuan ekstensi barunya.
Saat Anda telah mengaktifkan Azure Arc pada kluster non-Azure Kubernetes, rekomendasi baru dari Azure Security Center menawarkan untuk menyebarkan agen Azure Defender kepada mereka hanya dengan beberapa klik.
Gunakan rekomendasi (klaster Kubernetes yang didukung Azure Arc harus memiliki ekstensi Azure Defender yang terinstal ) dan ekstensi untuk melindungi klaster Kubernetes yang diterapkan di penyedia cloud lain, meskipun tidak pada layanan Kubernetes terkelola mereka.
Integrasi antara Azure Security Center, Azure Defender, dan Azure Arc yang didukung Kubernetes ini membuat:
- Provisi yang mudah dari agen Azure Defender ke kluster Kubernetes dengan dukungan Azure Arc yang tidak terlindungi (secara manual dan dalam skala besar)
- Pemantauan agen Azure Defender dan status provisinya dari Portal Azure Arc
- Rekomendasi keamanan dari Security Center dilaporkan di halaman Keamanan baru Portal Azure Arc
- Ancaman keamanan yang diidentifikasi dari Azure Defender dilaporkan di halaman Keamanan baru Portal Azure Arc
- Klaster Kubernetes yang didukung Azure Arc diintegrasikan ke dalam platform dan pengalaman Azure Security Center
Pelajari lebih lanjut dalamMenggunakan Azure Defender untuk Kubernetes dengan kluster Kubernetes lokal dan multiclould Anda.
Integrasi Microsoft Defender untuk Titik Akhir dengan Azure Defender kini mendukung Windows Server 2019 dan Windows 10 Virtual Desktop (WVD) yang dirilis untuk ketersediaan umum (GA)
Microsoft Defender for Endpoint adalah solusi keamanan titik akhir yang holistik dan dikirim melalui cloud. Ini memberikan manajemen dan penilaian kerentanan berbasis risiko serta deteksi dan tanggapan titik akhir (EDR). Untuk daftar lengkap manfaat penggunaan Defender untuk Titik Akhir bersama dengan Azure Security Center, lihat Lindungi titik akhir Anda dengan solusi EDR terintegrasi Security Center: Microsoft Defender untuk Titik Akhir.
Saat Anda mengaktifkan Azure Defender untuk Server yang menjalankan Windows Server, lisensi untuk Pertahanan untuk Titik Akhir disertakan dengan paket. Jika Anda telah mengaktifkan Azure Defender untuk Server dan Anda memiliki server Windows Server 2019 dalam langganan Anda, mereka akan secara otomatis menerima Pertahanan untuk Titik Akhir dengan pembaruan ini. Tindakan manual tidak diperlukan.
Dukungan sekarang telah diperluas untuk memasukkan Windows Server 2019 dan Windows 10 di Windows Virtual Desktop.
Catatan
Jika Anda mengaktifkan Defender untuk titik akhir pada mesin Windows Server 2019, pastikan sudah memenuhi persyaratan yang dijelaskan dalam Mengaktifkan Integrasi Microsoft Defender untuk Titik Akhir.
Rekomendasi untuk mengaktifkan Azure Defender bagi DNS dan Resource Manager (dalam pratinjau)
Dua rekomendasi baru telah ditambahkan untuk menyederhanakan proses mengaktifkan Azure Defender untuk Resource Manager dan Azure Defender untuk DNS:
- Azure Defender untuk Resource Manager harus diaktifkan - Defender untuk Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan.
- Azure Defender untuk DNS harus diaktifkan - Defender untuk DNS menyediakan lapisan perlindungan tambahan untuk sumber daya cloud Anda dengan terus memantau semua permintaan DNS dari sumber daya Azure Anda. Azure Defender mengingatkan Anda tentang aktivitas yang mencurigakan di lapisan DNS.
Mengaktifkan paket Azure Defender menimbulkan biaya. Pelajari tentang detail harga per wilayah di halaman harga Security Center.
Tip
Rekomendasi pratinjau tidak berarti sumber daya tidak sehat, dan rekomendasi tersebut tidak dimasukkan dalam perhitungan skor aman Anda. Perbaiki sedapat mungkin, sehingga saat periode pratinjau berakhir, hal tersebut akan berkontribusi terhadap skor Anda. Pelajari selengkapnya tentang cara menanggapi rekomendasi ini di Perbaiki rekomendasi di Azure Security Center.
Tiga standar kepatuhan peraturan ditambahkan: Azure CIS 1.3.0, CMMC Level 3, dan ISM Selandia Baru Dibatasi
Kami telah menambahkan tiga standar untuk digunakan di Azure Security Center. Dengan menggunakan dasbor kepatuhan terhadap peraturan, Anda sekarang dapat melacak kepatuhan Anda dengan:
Anda dapat menetapkan ini ke langganan Anda sebagaimana dijelaskan dalamKustomisasi kumpulan standar di dasbor kepatuhan peraturan Anda.
Pelajari lebih lanjut di:
- Kustomisasi sekumpulan standar di dasbor kepatuhan peraturan Anda
- Tutorial: Meningkatkan kepatuhan terhadap peraturan Anda
- FAQ - Dasbor kepatuhan terhadap peraturan
Empat rekomendasi baru terkait konfigurasi tamu (dalam pratinjau)
Ekstensi Konfigurasi Tamu Azure melaporkan ke Security Center untuk membantu memastikan pengaturan tamu komputer virtual Anda diperkuat. Ekstensi ini tidak diperlukan untuk server yang didukung Arc karena dimasukkan dalam agen Arc Connected Machine. Ekstensi memerlukan identitas yang dikelola sistem pada komputer.
Kami telah menambahkan empat rekomendasi baru ke Security Center untuk memaksimalkan ekstensi ini.
Dua rekomendasi meminta Anda untuk menginstal ekstensi dan identitas yang dikelola sistem yang diperlukan:
- Ekstensi Konfigurasi Tamu harus dipasang di mesin Anda
- Ekstensi Konfigurasi Tamu di komputer virtual harus disebarkan dengan identitas terkelola yang ditetapkan sistem
Ketika ekstensi diinstal dan berjalan, ekstensi akan mulai mengaudit komputer Anda dan Anda akan diminta untuk menguatkan pengaturan seperti konfigurasi sistem operasi dan pengaturan lingkungan. Kedua rekomendasi ini akan meminta Anda untuk menguatkan mesin Windows dan Linux Anda sebagaimana dijelaskan:
- Windows Defender Exploit Guard harus diaktifkan di komputer Anda
- Autentikasi ke komputer Linux memerlukan kunci SSH
Pelajari lebih lanjut dalamMemahami Konfigurasi Tamu dalam Azure Policy.
Rekomendasi CMK dipindahkan ke kontrol keamanan praktik terbaik
Setiap program keamanan organisasi mencakup persyaratan enkripsi data. Secara default, data pelanggan Azure dienkripsi saat tidak aktif dengan kunci yang dikelola layanan. Namun, kunci yang dikelola pelanggan (CMK) biasanya dibutuhkan untuk memenuhi standar kepatuhan peraturan. CMK memungkinkan Anda mengenkripsi data dengan kunci Azure Key Vault yang Anda buat dan miliki. Hal ini memberikan Anda kontrol dan tanggung jawab penuh untuk siklus hidup kunci, termasuk rotasi dan manajemen.
Kontrol keamanan Azure Security Center adalah grup logis dari rekomendasi keamanan terkait, dan menunjukkan penampakan serangan yang rentan. Setiap kontrol memiliki jumlah poin maksimum yang dapat Anda tambahkan ke skor aman Jika Anda merevisi semua rekomendasi yang tercantum dalam kontrol, untuk semua sumber daya Anda. Pelaksanaan kontrol keamanan praktik terbaik bernilai nol poin. Jadi rekomendasi dalam kontrol ini tidak mempengaruhi skor aman Anda.
Rekomendasi yang tercantum di bawah ini dipindahkan ke Pelaksanaan kontrol keamanan praktik terbaik Keamanan untuk menunjukkan sifat opsional mereka dengan lebih baik. Perpindahan ini memastikan bahwa rekomendasi ini berada dalam kontrol yang paling tepat untuk memenuhi tujuannya.
- Akun Azure Cosmos DB harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif
- Ruang kerja Azure Machine Learning harus dienkripsi dengan kunci yang dikelola pelanggan (CMK)
- Akun layanan Azure AI harus mengaktifkan enkripsi data dengan kunci yang dikelola pelanggan (CMK)
- Registri kontainer harus dienkripsi dengan kunci yang dikelola pelanggan (CMK)
- ISQL managed instances harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data yang tidak aktif
- Server SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif
- Akun penyimpanan harus menggunakan kunci yang dikelola pelanggan (CMK) untuk enkripsi
Pelajari rekomendasi mana yang ada di setiap kontrol keamanan dalam kontrol Keamanan dan rekomendasinya.
11 Peringatan Azure Defender tidak digunakan lagi
Sebelas peringatan Azure Defender yang tercantum di bawah ini sudah tidak digunakan lagi.
Peringatan baru akan menggantikan kedua peringatan ini dan memberikan cakupan yang lebih baik:
AlertType AlertDisplayName ARM_MicroBurstDomainInfo PRATINJAU - MicroBurst toolkit "Get-AzureDomainInfo" fungsi berjalan terdeteksi ARM_MicroBurstRunbook PRATINJAU - MicroBurst toolkit "Get-AzurePasswords" fungsi berjalan terdeteksi Sembilan peringatan ini terkait dengan konektor Azure Active Directory Identity Protection (IPC) yang sudah tidak digunakan lagi:
AlertType AlertDisplayName Lokasi Tidak Dikenal Properti masuk yang tidak dikenal DaftarmasukAnonim Alamat IP anonim DaftarMasukPerangkatTerinfeksi Alamat IP tertaut malware PerjalananMustahil Perjalanan tidak normal MaliciousIP Alamat IP berbahaya InfoMasukBocor Info masuk yang bocor KataSandiSpray Kata Sandi Spray InfoMasukBocor Inteligensi ancaman Azure Active Directory AADAI Azure AD AI Tip
Sembilan peringatan IPC ini bukan merupakan peringatan Security Center. Peringatan tersebut adalah bagian dari konektor Perlindungan Identitas (IPC) Azure Active Directory (AAD) yang mengirimkannya ke Security Center. Selama dua tahun terakhir, satu-satunya pelanggan yang telah melihat peringatan tersebut adalah organisasi yang mengkonfigurasi ekspor (dari konektor ke ASC) pada tahun 2019 atau sebelumnya. AAD IPC terus menunjukkannya dalam sistem peringatan sendiri dan masih terus tersedia di Azure Sentinel. Satu-satunya perubahan adalah tidak lagi muncul di Security Center.
Dua rekomendasi dari kontrol keamanan "Terapkan pembaruan sistem" tidak lagi digunakan
Dua rekomendasi berikut tidak digunakan lagi dan perubahan dapat sedikit berdampak pada skor aman Anda:
- Mesin Anda harus dinyalakan ulang untuk menerapkan pembaruan sistem
- Agen pemantauan harus diinstal di komputer Anda. Rekomendasi ini hanya berkaitan dengan komputer lokal dan beberapa logikanya akan ditransfer ke rekomendasi lain, masalah kesehatan agen Analitik Log harus diselesaikan di komputer Anda
Kami menyarankan Anda memeriksa konfigurasi otomatisasi ekspor dan alur kerja Anda secara berkesinambungan untuk melihat apakah rekomendasi ini dimasukkan di dalamnya. Selain itu, dasbor atau alat pemantauan lainnya yang mungkin digunakan harus diperbarui.
Pelajari lebih lanjut tentang rekomendasi ini di halaman referensi rekomendasi keamanan.
Azure Defender untuk SQL pada petak peta mesin dihapus dari dasbor Azure Defender
Area cakupan dasbor Azure Defender meliputi petak untuk paket Azure Defender yang relevan untuk lingkungan Anda. Sehubungan dengan masalah pelaporan jumlah sumber daya yang dilindungi dan tidak dilindungi, kami memutuskan untuk menghapus status cakupan sumber daya untuk Azure Defender untuk SQL pada komputer untuk sementara waktu hingga masalah ini diselesaikan.
Rekomendasi berpindah antar kontrol keamanan
Rekomendasi berikut dipindahkan ke kontrol keamanan yang berbeda. Kontrol keamanan adalah grup logis dari rekomendasi keamanan terkait, dan menunjukkan permukaan serangan Anda yang rentan. Pemindahan ini memastikan bahwa setiap rekomendasi ini berada dalam kontrol yang paling tepat untuk memenuhi tujuannya.
Pelajari rekomendasi mana yang ada di setiap kontrol keamanan dalam kontrol Keamanan dan rekomendasinya.
| Rekomendasi | Perubahan dan dampak |
|---|---|
| Penilaian kerentanan harus diaktifkan di server SQL Anda Penilaian kerentanan harus diaktifkan di instans terkelola SQL Anda Kerentanan pada database SQL Anda harus dipulihkan baru Kerentanan pada database SQL Anda dalam VM harus dipulihkan |
Berpindah dari kerentanan Remediasi (senilai enam poin) untuk Memulihkan konfigurasi keamanan (senilai empat poin). Tergantung pada lingkungan Anda, rekomendasi ini akan berdampak mengurangi skor Anda. |
| Harus ada lebih dari satu pemilik yang ditetapkan ke langganan Anda Variabel akun Automation harus dienkripsi Perangkat IoT - Proses Auditd berhenti mengirimkan peristiwa Perangkat IoT - Kegagalan validasi garis besar sistem operasi Perangkat IoT - Peningkatan TLS cipher suite diperlukan Perangkat IoT - Buka Port di Perangkat Perangkat IoT - Kebijakan firewall permisif di salah satu rantai ditemukan Perangkat IoT - Aturan firewall permisif dalam rantai input ditemukan Perangkat IoT - Aturan firewall permisif dalam rantai output ditemukan Log diagnostik di IoT Hub harus diaktifkan Perangkat IoT - Agen yang mengirim pesan yang kurang dimanfaatkan Perangkat IoT - Azure Policy filter IP default harus Ditolak Perangkat IoT - Aturan filter IP rentang IP besar Perangkat IoT - Interval dan ukuran pesan agen harus disesuaikan Perangkat IoT - Info Masuk Autentikasi Identik Perangkat IoT - Proses yang diaudit berhenti mengirimkan peristiwa Perangkat IoT - Konfigurasi dasar sistem operasi (OS) harus diperbaiki |
Pindah ke Terapkan praktik keamanan terbaik. Saat rekomendasi beralih ke kontrol keamanan terapkan praktik terbaik, yang tidak bernilai, rekomendasi tidak lagi mempengaruhi skor aman Anda. |
Maret 2021
Pembaruan di bulan Maret meliputi:
- Manajemen Azure Firewall terintegrasi ke dalam Security Center
- Penilaian kerentanan SQL sekarang mencakup pengalaman "Nonaktifkan aturan" (pratinjau)
- Azure Monitor Workbooks terintegrasi ke dalam Security Center dan tiga templat yang disediakan
- Dasbor kepatuhan peraturan sekarang mencakup laporan Azure Audit (pratinjau)
- Data rekomendasi dapat dilihat di Azure Resource Graph dengan "Jelajahi di ARG"
- Pembaruan atas kebijakan untuk menyebarkan otomatisasi alur kerja
- Dua rekomendasi warisan tidak lagi menulis data langsung ke log aktivitas Azure
- Penyempurnaan halaman rekomendasi
Manajemen Azure Firewall terintegrasi ke dalam Security Center
Saat Anda membuka Azure Security Center, halaman pertama yang muncul adalah halaman gambaran umum.
Dasbor interaktif ini menyediakan tampilan terpadu ke dalam postur keamanan beban kerja {i>cloud
Sebagai bagian dari membantu Anda melihat status keamanan Anda dari pengalaman sentral, kami telah mengintegrasikan Azure Firewall Manager ke dasbor ini. Kini Anda dapat memeriksa status cakupan firewall di semua jaringan dan mengelola kebijakan Azure Firewall secara terpusat mulai dari Security Center.
Pelajari selengkapnya tentang dasbor ini di halaman ringkasan Azure Security Center.
Penilaian kerentanan SQL sekarang mencakup pengalaman "Nonaktifkan aturan" (pratinjau)
Security Center mencakup pemindai kerentanan bawaan untuk membantu Anda menemukan, melacak, dan memulihkan potensi kerentanan database. Hasil dari pemindaian penilaian Anda memberikan ringkasan tentang kondisi keamanan mesin SQL Anda, dan detail setiap temuan keamanan.
Jika Anda memiliki kebutuhan organisasi untuk mengabaikan temuan, daripada melakukan remediasi, Anda dapat menonaktifkannya secara opsional. Temuan yang dinonaktifkan tidak memengaruhi secure score Anda atau menghasilkan kebisingan yang tidak diinginkan.
Pelajari selengkapnya dalamNonaktifkan temuan tertentu.
Azure Monitor Workbooks terintegrasi ke dalam Security Center dan tiga templat yang disediakan
Sebagai bagian dari Ignite Spring 2021, kami mengumumkan pengalaman Azure Monitor Workbooks terintegrasi di Security Center.
Anda dapat menggunakan integrasi baru untuk mulai menggunakan templat siap pakai dari galeri Security Center. Dengan menggunakan templat buku kerja, Anda bisa mengakses dan menyusun laporan dinamis dan visual untuk melacak postur keamanan organisasi Anda. Selain itu, Anda bisa membuat buku kerja baru berdasarkan data Security Center atau tipe data lain yang didukung dan dengan cepat menggunakan buku kerja komunitas dari komunitas GitHub Security Center.
Tiga laporan templat disediakan:
- Amankan Skor Setiap Saat- Lacak skor langganan Anda dan perubahan rekomendasi untuk sumber daya Anda
- Pembaruan Sistem - Lihat pembaruan sistem yang hilang menurut sumber daya, OS, tingkat keparahan, dan lainnya
- Temuan Penilaian Kerentanan - Lihat temuan pemindaian kerentanan sumber daya Azure Anda
Pelajari tentang menggunakan laporan ini atau membuat laporan Anda sendiri di Membuat laporan yang kaya dan interaktif dari data Security Center.
Dasbor kepatuhan terhadap peraturan sekarang mencakup laporan Azure Audit (pratinjau)
Dari toolbar dasbor kepatuhan terhadap peraturan, Anda sekarang dapat mengunduh laporan sertifikasi Azure dan Dynamics.
Anda dapat memilih tab untuk jenis laporan yang relevan (PCI, SOC, ISO, dan lainnya) dan menggunakan filter untuk menemukan laporan tertentu yang Anda butuhkan.
Pelajari selengkapnya tentang Mengelola standar di dasbor kepatuhan terhadap peraturan Anda.
Data rekomendasi dapat dilihat di Azure Resource Graph dengan "Jelajahi di ARG"
Halaman detail rekomendasi sekarang menyertakan tombol toolbar "Jelajahi di ARG". Gunakan tombol ini untuk membuka permintaan Azure Resource Graph dan menjelajahi, mengekspor, dan berbagi data rekomendasi.
Azure Resource Graph (ARG) menyediakan akses instan ke informasi sumber daya di seluruh lingkungan cloud Anda dengan kemampuan filter, pengelompokan, dan pengurutan yang andal. Ini adalah cara cepat dan efisien untuk meminta informasi di seluruh langganan Azure secara terprogram atau dari dalam portal Microsoft Azure.
Pelajari lebih lanjut tentang Azure Resource Graph (ARG).
Pembaruan atas kebijakan untuk menyebarkan otomatisasi alur kerja
Melakukan otomatisasi proses pemantauan dan respon atas insiden organisasi Anda akan sangat meningkatkan efisiensi waktu yang diperlukan untuk menyelidiki dan mengatasi insiden keamanan.
Kami menyediakan tiga kebijakan 'DeployIfNotExist' dalam Azure Policy yang membuat dan mengkonfigurasi prosedur otomatisasi alur kerja sehingga Anda dapat menerapkan otomatisasi di seluruh organisasi Anda:
| Goal | Kebijakan | ID Azure Policy |
|---|---|---|
| Otomatisasi alur kerja untuk pemberitahuan terhadap keamanan | Menggunakan Automasi Alur Kerja untuk pemberitahuan Azure Security Center | f1525828-9a90-4fcf-be48-268cdd02361e |
| Otomatisasi alur kerja untuk rekomendasi keamanan | Menggunakan Automasi Alur Kerja untuk rekomendasi Azure Security Center | 73d6ab6c-2475-4850-afd6-43795f3492ef |
| Otomatisasi alur kerja untuk perubahan kepatuhan terhadap peraturan | Menggunakan Automasi Alur Kerja untuk kepatuhan terhadap peraturan Azure Security Center | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
Ada dua pembaruan untuk fitur kebijakan ini:
- Bila ditetapkan, kebajakan itu akan tetap diaktifkan dengan penegakan.
- Anda sekarang dapat menyesuaikan kebijakan ini dan memperbarui salah satu parameter bahkan setelah diterapkan. Misalnya, Anda dapat menambahkan atau mengedit kunci penilaian.
Memulai templat automasi alur kerja.
Pelajari selengkapnya di Automasi respon pemicu Security Center.
Dua rekomendasi warisan tidak lagi menulis data langsung ke log aktivitas Azure
Security Center meneruskan data untuk hampir semua rekomendasi keamanan ke Azure Advisor, yang pada gilirannya, menulisnya ke log aktivitas Azure.
Untuk dua rekomendasi, data secara bersamaan ditulis langsung ke log aktivitas Azure. Dengan perubahan ini, Security Center berhenti menulis data untuk rekomendasi keamanan warisan ini langsung ke log aktivitas. Sebagai ganti, kami mengekspor data ke Azure Advisor seperti yang kami lakukan untuk semua rekomendasi lainnya.
Dua rekomendasi warisan tersebut adalah:
- Masalah kesehatan perlindungan titik akhir harus diselesaikan di komputer Anda
- Kerentanan dalam konfigurasi keamanan di komputer Anda harus diremediasi
Jika Anda telah mengakses informasi untuk dua rekomendasi ini dalam kategori log aktivitas "Rekomendasi jenis PenemuanTugas", ini tidak lagi tersedia.
Penyempurnaan halaman rekomendasi
Kami telah merilis versi yang disempurnakan dari daftar rekomendasi untuk menyajikan informasi lebih lanjut secara sekilas.
Sekarang di halaman Anda akan melihat:
- Skor maksimum dan skor saat ini untuk setiap kontrol keamanan.
- Ikon yang menggantikan tag seperti Perbaiki dan Pratinjau.
- Kolom baru yang menunjukkan Inisiatif kebijakan yang terkait dengan setiap rekomendasi - terlihat bila "Pengelompokan menurut kontrol" dinonaktifkan.
Pelajari selengkapnya dalamRekomendasi Keamanan di Azure Security Center.
Februari 2021
Pembaruan di bulan Februari meliputi:
- Halaman pemberitahuan keamanan baru di portal Azure dirilis untuk ketersediaan umum (GA)
- Rekomendasi perlindungan beban kerja Kube dirilis untuk ketersediaan umum (GA)
- Integrasi Microsoft Defender untuk Titik Akhir dengan Azure Defender kini mendukung Windows Server 2019 dan Windows 10 Virtual Desktop (WVD) (dalam pratinjau)
- Tautan langsung ke kebijakan dari halaman detail rekomendasi
- Rekomendasi klasifikasi data SQL tidak lagi mempengaruhi skor aman Anda
- Otomatisasi alur kerja dapat dipicu oleh perubahan penilaian kepatuhan terhadap peraturan (dalam pratinjau)
- Penyempurnaan halaman inventaris aset
Halaman pemberitahuan keamanan baru di portal Azure dirilis untuk ketersediaan umum (GA)
Halaman pemberitahuan keamanan Azure Security Center didesain ulang untuk menyediakan:
- Pengalaman triase yang ditingkatkan untuk peringatan - membantu mengurangi kelelahan peringatan dan fokus pada ancaman yang paling relevan lebih mudah, daftar ini mencakup filter dan opsi pengelompokan yang dapat disesuaikan.
- Informasi lebih lanjut dalam daftar peringatan - seperti MITRE ATT&taktik ACK.
- Tombol untuk membuat contoh peringatan - untuk mengevaluasi kemampuan Azure Defender dan menguji peringatan Anda. konfigurasi (untuk integrasi SIEM, peringatan email, dan otomatisasi alur kerja), Anda dapat membuat contoh peringatan dari semua paket Azure Defender.
- Penyelarasan dengan pengalaman insiden Azure Sentinel - bagi pelanggan yang menggunakan kedua produk, beralih di antara mereka sekarang adalah pengalaman yang lebih lugas dan mudah untuk mempelajari satu dengan yang lain.
- Kinerja yang lebih baik untuk daftar peringatan besar.
- Navigasi papan tombol melalui daftar peringatan.
- Peringatan dari Azure Resource Graph - Anda dapat meminta peringatan di Azure Resource Graph, API seperti Kusto untuk semua sumber daya Anda. Hal ini juga berguna jika Anda membuat dasbor pemberitahuan Anda sendiri. Pelajari lebih lanjut tentang Azure Resource Graph.
- Buat fitur peringatan sampel - Untuk membuat contoh peringatan dari pengalaman peringatan baru, lihatMembuat sampel peringatan Azure Defender.
Rekomendasi perlindungan beban kerja Kube dirilis untuk ketersediaan umum (GA)
Dengan senang hati kami umumkan ketersediaan umum (GA) kumpulan rekomendasi untuk perlindungan beban kerja Kube.
Untuk memastikan beban kerja Kubernetes aman secara default, Security Center telah menambahkan rekomendasi penguatan level Kubernetes, termasuk opsi penegakan dengan kontrol penerimaan Kubernetes.
Ketika Azure Policy untuk Kubernetes diinstal pada kluster Azure Kubernetes Service (AKS), setiap permintaan ke server API Kubernetes akan dipantau terhadap serangkaian praktik terbaik yang telah ditentukan sebelumnya - ditampilkan sebagai 13 rekomendasi keamanan - sebelum dipertahankan ke kluster. Selanjutnya Anda dapat mengonfigurasi untuk memberlakukan praktik terbaik dan memandatkannya untuk beban kerja di masa depan.
Misalnya, Anda dapat memandatkan bahwa kontainer hak istimewa tidak boleh dibuat, dan permintaan apa pun di masa depan untuk melakukannya akan diblokir.
Pelajari selengkapnya di Praktik terbaik perlindungan beban kerja menggunakan kontrol admisi Kube.
Catatan
Sementara dalam pratinjau, rekomendasi tidak membuat sumber daya kluster AKS tidak sehat, dan rekomendasi tersebut tidak dimasukkan dalam perhitungan skor aman Anda. dengan pengumuman GA, rekomendasi akan dimasukkan dalam perhitungan skor. Jika Anda belum memulihkannya, kemungkinan sedikit berdampak pada skor aman Anda. Pulihkan rekomendasi tersebut sedapat mungkin seperti yang dijelaskan dalam Pulihkan Rekomendasi di Azure Security Center.
Integrasi Microsoft Defender untuk Titik Akhir dengan Azure Defender kini mendukung Windows Server 2019 dan Windows 10 Virtual Desktop (WVD) (dalam pratinjau)
Microsoft Defender for Endpoint adalah solusi keamanan titik akhir yang holistik dan dikirim melalui cloud. Ini memberikan manajemen dan penilaian kerentanan berbasis risiko serta deteksi dan tanggapan titik akhir (EDR). Untuk daftar lengkap manfaat penggunaan Defender untuk Titik Akhir bersama dengan Azure Security Center, lihat Lindungi titik akhir Anda dengan solusi EDR terintegrasi Security Center: Microsoft Defender untuk Titik Akhir.
Saat Anda mengaktifkan Azure Defender untuk Server yang menjalankan Windows Server, lisensi untuk Pertahanan untuk Titik Akhir disertakan dengan paket. Jika Anda telah mengaktifkan Azure Defender untuk Server dan Anda memiliki server Windows Server 2019 dalam langganan Anda, mereka akan secara otomatis menerima Pertahanan untuk Titik Akhir dengan pembaruan ini. Tindakan manual tidak diperlukan.
Dukungan sekarang telah diperluas untuk memasukkan Windows Server 2019 dan Windows 10 di Windows Virtual Desktop.
Catatan
Jika Anda mengaktifkan Defender untuk titik akhir pada mesin Windows Server 2019, pastikan sudah memenuhi persyaratan yang dijelaskan dalam Mengaktifkan Integrasi Microsoft Defender untuk Titik Akhir.
Tautan langsung ke kebijakan dari halaman detail rekomendasi
Saat Anda sedang meninjau detail rekomendasi, sangat membantu bila dapat melihat kebijakan dasar. Untuk setiap rekomendasi yang didukung oleh kebijakan, ada tautan baru dari halaman detail rekomendasi:
Gunakan tautan ini untuk melihat definisi kebijakan dan meninjau logika evaluasi.
Jika Anda meninjau daftar rekomendasi pada panduan referensi rekomendasi Keamanankami, Anda juga akan melihat tautan ke halaman definisi kebijakan:
Rekomendasi klasifikasi data SQL tidak lagi mempengaruhi skor aman Anda
Rekomendasi Data sensitif dalam database SQL Anda harus diklasifikasikan tidak lagi mempengaruhi skor aman Anda. Kontrol keamanan Terapkan klasifikasi data yang berisinya sekarang memiliki nilai skor aman 0.
Untuk daftar lengkap semua kontrol keamanan, bersama dengan skor mereka dan daftar rekomendasi di masing-masing, lihat Kontrol keamanan dan rekomendasinya.
Otomatisasi alur kerja dapat dipicu oleh perubahan penilaian kepatuhan terhadap peraturan (dalam pratinjau)
Kami telah menambahkan jenis data ketiga ke opsi pemicu untuk otomatisasi alur kerja Anda: perubahan pada penilaian kepatuhan terhadap peraturan.
Pelajari cara menggunakan alat otomatisasi alur kerja dalam Otomatisasi respon ke pemicu Security Center.
Penyempurnaan halaman inventaris aset
Halaman inventori aset Security Center ditingkatkan:
Ringkasan di bagian atas halaman sekarang mencakup Langganan yang tidak terdaftar, menunjukkan jumlah langganan tanpa Security Center diaktifkan.
Filter telah diperluas dan ditingkatkan untuk mencakup:
Hitungan - Setiap filter menyajikan jumlah sumber daya yang memenuhi kriteria setiap kategori
Memuat filter pengecualian (Opsional) - persempit hasilnya ke sumber daya yang memiliki/belum mendapat pengecualian. Filter ini tidak ditampilkan secara default, tetapi dapat diakses dari tombol Tambahkan filter.
Pelajari lebih lanjut caraMenjelajahi dan mengelola sumber daya Anda dengan inventaris aset.
Januari 2021
Pembaruan di bulan Januari meliputi:
- Tolok ukur Azure Security sekarang menjadi inisiatif kebijakan default untuk Azure Security Center
- Penilaian kerentanan untuk mesin lokal dan multicloud dirilis bagi ketersediaan umum (GA)
- Skor aman untuk grup manajemen sekarang tersedia dalam pratinjau
- API skor aman dirilis untuk ketersediaan umum (GA)
- Perlindungan DNS juntai yang ditambahkan ke Azure Defender untuk Layanan Aplikasi
- Konektor multicloud dirilis untuk ketersediaan umum (GA)
- Bebaskan seluruh rekomendasi dari skor aman Anda untuk langganan dan grup manajemen
- Pengguna sekarang dapat meminta visibilitas di seluruh penyewa dari administrator global mereka
- 35 rekomendasi pratinjau ditambahkan untuk meningkatkan cakupan Tolok ukur Azure Security
- Ekspor CSV dari daftar rekomendasi yang difilter
- Sumber daya "Tidak berlaku" sekarang dilaporkan sebagai "Sesuai" dalam penilaian Azure Policy
- Mengekspor rekam jepret mingguan data skor aman dan kepatuhan terhadap peraturan dengan ekspor berkelanjutan (pratinjau)
Tolok ukur Azure Security sekarang menjadi inisiatif kebijakan default untuk Azure Security Center
Azure Security Benchmark adalah serangkaian pedoman khusus Azure yang dibuat oleh Microsoft untuk praktik terbaik keamanan dan kepatuhan berdasarkan kerangka kerja kepatuhan umum. Tolok ukur yang dihormati secara luas ini dibangun berdasarkan kontrol dari Pusat Keamanan Internet (CIS) dan Institut Standar dan Teknologi Nasional (NIST) dengan fokus pada keamanan yang berpusat pada cloud.
Dalam beberapa bulan terakhir, daftar rekomendasi keamanan bawaan Security Center telah berkembang secara signifikan untuk memperluas cakupan tolok ukur ini.
Dari rilis ini, tolok ukur adalah fondasi untuk rekomendasi Security Center dan sepenuhnya terintegrasi sebagai inisiatif kebijakan default.
Semua layanan Azure memiliki halaman garis besar keamanan dalam dokumentasi mereka. Garis besar ini dibangun di Tolok ukur Azure Security.
Jika Anda menggunakan dasbor kepatuhan terhadap peraturan Security Center, Anda akan melihat dua contoh tolok ukur selama periode transisi:
Rekomendasi yang ada tidak terpengaruh dan seiring dengan berkembangnya tolok ukur, perubahan akan secara otomatis tercermin dalam Security Center.
Untuk mempelajari selengkapnya, lihat halaman berikut ini:
- Pelajari selengkapnya tentang Tolok ukur Azure Security
- Kustomisasi sekumpulan standar di dasbor kepatuhan peraturan Anda
Penilaian kerentanan untuk mesin lokal dan multicloud dirilis bagi ketersediaan umum (GA)
Pada bulan Oktober, kami mengumumkan pratinjau untuk memindai server yang didukung Azure Arc dengan pemindai penilaian kerentanan terintegrasi Azure Defender untuk Server (didukung oleh Qualys).
Sekarang dirilis untuk ketersediaan umum (GA).
Ketika Anda telah mengaktifkan Azure Arc di komputer non-Azure Anda, Security Center akan menawarkan untuk menerapkan pemindai kerentanan terintegrasi pada mereka - secara manual dan dalam skala besar.
Dengan pembaruan ini, Anda dapat menggunakan kemampuan Azure Defender untuk Server untuk menggabungkan program manajemen kerentanan di semua aset Azure dan non-Azure Anda.
Kemampuan utama:
- Memantau status provisi pemindai VA (penilaian kerentanan) pada komputer Azure Arc
- Provisi agen VA terintegrasi untuk komputer Windows dan Linux Azure Arc yang tidak terlindungi (secara manual dan dalam skala besar)
- Menerima dan menganalisis kerentanan yang terdeteksi dari agen yang disebarkan (secara manual dan dalam skala besar)
- Pengalaman terpadu untuk komputer Azure VM dan Azure Arc
Pelajari selengkapnya tentang server dengan yang diaktifkan Azure Arc.
Skor aman untuk grup manajemen sekarang tersedia di pratinjau
Halaman skor aman sekarang menampilkan skor aman agregat untuk grup manajemen Anda selain pada tingkat langganan. Jadi sekarang Anda bisa melihat daftar grup manajemen di organisasi Anda dan skor untuk setiap grup manajemen.
Pelajari selengkapnya tentang skor aman dan kontrol keamanan di Azure Security Center.
API skor aman dirilis untuk ketersediaan umum (GA)
Anda sekarang dapat mengakses skor Anda melalui API skor aman. Metode API memberikan fleksibilitas untuk mengkueri data dan membangun mekanisme pelaporan Anda sendiri dari skor aman Anda setiap saat. Contohnya:
- gunakan API Skor Aman untuk mendapatkan skor atas langganan tertentu
- gunakan API Kontrol Skor Aman untuk mencantumkan kontrol keamanan dan skor langganan Anda saat ini
Pelajari tentang alat eksternal yang dimungkinkan dengan API skor aman di area skor aman komunitas GitHub kami.
Pelajari selengkapnya tentang skor aman dan kontrol keamanan di Azure Security Center.
Perlindungan DNS juntai yang ditambahkan ke Azure Defender untuk Layanan Aplikasi
Pengambilalihan subdomain adalah ancaman tingkat keparahan tinggi dan umum bagi organisasi. Pengambilalihan subdomain dapat terjadi ketika Anda memiliki rekaman DNS yang menunjuk ke situs web yang dicabut. Rekaman DNS semacam itu juga dikenal sebagai entri "DNS yang menjuntai". Rekaman CNAME sangat rentan terhadap ancaman ini.
Pengambilalihan subdomain memungkinkan pelaku ancaman untuk mengalihkan lalu lintas yang ditujukan untuk domain organisasi ke situs yang melakukan aktivitas berbahaya.
Azure Defender untuk layanan aplikasi sekarang mendeteksi entri DNS yang menjuntai saat situs web layanan aplikasi dinonaktifkan. Ini adalah saat di mana entri DNS menunjuk ke sumber daya yang tidak ada, dan situs web Anda rentan terhadap pengalihan subdomain. Perlindungan ini tersedia baik domain Anda dikelola dengan Azure DNS atau pencatat domain eksternal dan berlaku untuk App Service di Windows dan Linux.
Selengkapnya:
- Tabel referensi peringatan Layanan Aplikasi - Mencakup dua peringatan Azure Defender baru yang memicu saat entri DNS yang menjuntai terdeteksi
- Cegah entri DNS yang menjuntai dan hindari pengambilalihan subdomain - Pelajari tentang ancaman pengambilalihan subdomain dan aspek DNS yang menjuntai
- Pengenalan Azure Defender untuk App Service
Konektor multicloud dirilis untuk ketersediaan umum (GA)
Dengan beban kerja cloud yang umumnya mencakup beberapa platform cloud, layanan keamanan cloud harus melakukan hal yang sama.
Azure Security Center melindungi beban kerja di Azure, Amazon Web Services (AWS), dan Google Cloud Platform (GCP).
Menghubungkan akun AWS atau GCP Anda untuk mengintegrasikan alat keamanan asli mereka seperti AWS Security Hub dan GCP Security Command Center ke Azure Security Center.
Kemampuan ini berarti bahwa Security Center memberikan visibilitas dan perlindungan di semua lingkungan cloud utama. Beberapa manfaat dari integrasi ini:
- Penyediaan agen otomatis - Security Center menggunakan Azure Arc untuk menyebarkan agen Analitik Log ke instans AWS Anda
- Manajemen kebijakan
- Pengelolaan kerentanan
- Deteksi dan Respons Titik Akhir (EDR) Tersemat
- Deteksi kesalahan konfigurasi keamanan
- Satu tampilan menunjukkan rekomendasi keamanan dari semua penyedia cloud
- Penggabungan sumber daya GCP Anda ke dalam perhitungan skor aman Security Center
- Penilaian kepatuhan terhadap peraturan atas sumber daya AWS dan GCP Anda
Dari menu Defender untuk Cloud, pilih Konektor multicloud dan Anda akan melihat opsi untuk membuat konektor baru:
Pelajari lebih lanjut di:
- Menghubungkan akun AWS Anda ke Azure Security Center
- Menghubungkan akun GCP Anda ke Azure Security Center
Bebaskan seluruh rekomendasi dari skor aman Anda untuk langganan dan grup manajemen
Kami memperluas kemampuan pembebasan untuk mencakup seluruh rekomendasi. Menyediakan opsi lebih lanjut untuk menyelaraskan rekomendasi keamanan yang dilakukan Security Center untuk langganan, grup manajemen, atau sumber daya Anda.
Terkadang, sumber daya akan terdaftar sebagai tidak sehat ketika Anda tahu masalah diselesaikan oleh alat pihak ketiga yang belum terdeteksi oleh Security Center. Atau rekomendasi akan tampil dalam lingkup di mana Anda merasa itu bukan di tempatnya. Rekomendasi dapat saja tidak tepat untuk langganan tertentu. Atau mungkin organisasi Anda telah memutuskan untuk menerima risiko terkait sumber daya atau rekomendasi tertentu.
Dengan fitur pratinjau ini, Anda sekarang dapat membuat pengecualian rekomendasi untuk:
Membebaskan sumber daya untuk memastikan sumber daya tidak tercantum dengan sumber daya yang tidak sehat di masa mendatang, dan tidak mempengaruhi skor aman Anda. Sumber daya akan terdaftar sebagai tidak berlaku dan alasannya akan ditampilkan sebagai "dikecualikan" dengan pembenaran spesifik yang Anda pilih.
Mengecualikan grup langganan atau manajemen untuk memastikan bahwa rekomendasi tidak mempengaruhi skor aman Anda dan tidak akan ditampilkan untuk grup langganan atau manajemen di masa mendatang. Ini berkaitan dengan sumber daya yang ada dan apa pun yang Anda buat di masa mendatang. Rekomendasi akan ditandai dengan pembenaran spesifik yang Anda pilih untuk lingkup yang telah Anda pilih.
Pelajari selengkapnya dalam Bebaskan sumber daya dan rekomendasi dari skor aman Anda.
Pengguna sekarang dapat meminta visibilitas di seluruh penyewa dari administrator global mereka
Jika pengguna tidak memiliki izin untuk melihat data Security Center, mereka sekarang akan melihat tautan untuk meminta izin dari administrator global organisasi mereka. Permintaan ini mencakup peran yang mereka sukai dan pembenaran atas mengapa itu diperlukan.
Pelajari selengkapnya dalam Meminta izin di seluruh penyewa saat milik Anda tidak cukup.
35 rekomendasi pratinjau ditambahkan untuk meningkatkan cakupan Tolok Ukur Azure Security
Tolok Ukur Azure Securitymenjadi inisiatif kebijakan default untuk Azure Security Center.
Untuk meningkatkan cakupan tolok ukur ini, 35 rekomendasi pratinjau berikut telah ditambahkan ke Security Center.
Tip
Rekomendasi pratinjau tidak berarti sumber daya tidak sehat, dan rekomendasi tersebut tidak dimasukkan dalam perhitungan skor aman Anda. Perbaiki sedapat mungkin, sehingga saat periode pratinjau berakhir, hal tersebut akan berkontribusi terhadap skor Anda. Pelajari selengkapnya tentang cara menanggapi rekomendasi ini di Perbaiki rekomendasi di Azure Security Center.
| Kontrol keamanan | Rekomendasi baru |
|---|---|
| Mengaktifkan enkripsi yang tidak aktif | - Akun Azure Cosmos DB harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif - Ruang kerja Azure Machine Learning harus dienkripsi dengan kunci yang dikelola pelanggan (CMK) - Perlindungan data Bawalah Kunci Anda Sendiri harus diaktifkan untuk server MySQL - Perlindungan data Bawalah Kunci Anda Sendiri (BYOK) harus diaktifkan untuk server PostgreSQL - Akun layanan Azure AI harus mengaktifkan enkripsi data dengan kunci yang dikelola pelanggan (CMK) - Registri kontainer harus dienkripsi dengan kunci yang dikelola pelanggan (CMK) - Instans terkelola SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif - Server SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif - Akun penyimpanan harus menggunakan kunci yang dikelola pelanggan (CMK) untuk enkripsi |
| Menerapkan praktik keamanan terbaik | - Langganan harus memiliki alamat email kontak untuk masalah keamanan - Provisi otomatis agen Analitik Log harus diaktifkan pada langganan Anda - Pemberitahuan email untuk peringatan dengan tingkat keparahan tinggi harus diaktifkan - Pemberitahuan email kepada pemilik langganan tentang peringatan dengan tingkat keparahan tinggi harus diaktifkan - Brankas kunci harus mengaktifkan perlindungan dari penghapusan menyeluruh - Brankas kunci harus mengaktifkan penghapusan sementara |
| Mengelola akses dan izin akses | - Aplikasi Fungsi harus mengaktifkan 'Sertifikat Klien (Sertifikat klien masuk)’ |
| Lindungi aplikasi terhadap serangan DDoS | - Web Application Firewall (WAF) harus diaktifkan untuk Application Gateway - Web Application Firewall (WAF) harus diaktifkan untuk layanan Azure Front Door Service |
| Membatasi akses jaringan yang tidak sah | - Firewall harus diaktifkan pada Brankas kunci - Titik akhir privat harus dikonfigurasi untuk Brankas Kunci - Azure App Configuration harus menggunakan tautan privat - Azure Cache for Redis harus berada dalam jaringan virtual - Domain Azure Event Grid harus menggunakan tautan privat - Topik Azure Event Grid harus menggunakan tautan privat - Ruang kerja Azure Machine Learning harus menggunakan tautan privat - Azure SignalR Service harus menggunakan tautan privat - Azure Spring Cloud harus menggunakan injeksi jaringan - Registri kontainer tidak boleh mengizinkan akses jaringan tidak terbatas - Registri kontainer harus menggunakan tautan privat - Akses jaringan publik harus dinonaktifkan untuk server MariaDB - Akses jaringan publik harus dinonaktifkan untuk server MySQL - Akses jaringan publik harus dinonaktifkan untuk server PostgreSQL - Akun penyimpanan harus menggunakan koneksi tautan privat - Akun penyimpanan harus membatasi akses jaringan menggunakan aturan jaringan virtual - Templat VM Image Builder harus menggunakan tautan privat |
Tautan terkait:
- Pelajari selengkapnya tentang Tolok ukur Azure Security
- Pelajari selengkapnya tentang Azure Database for MariaDB
- Pelajari selengkapnya tentang Azure Database for MySQL
- Pelajari selengkapnya tentang Azure Database for PostgreSQL
Ekspor CSV dari daftar rekomendasi yang telah difilter
Pada bulan Nopember 2020, kami menambahkan filter ke halaman rekomendasi (Daftar rekomendasi sekarang mencakup filter). Pada bulan Desember, kami memperluas filter tersebut (halaman Rekomendasi memiliki filter baru untuk lingkungan, tingkat keparahan, dan respons yang tersedia).
Dengan pengumuman ini, kami mengubah perilaku tombol Unduh ke CSV sehingga ekspor CSV hanya mencakup rekomendasi yang saat ini ditampilkan dalam daftar yang telah difilter.
Misalnya, pada gambar di bawah ini Anda dapat melihat bahwa daftar difilter ke dua rekomendasi. File CSV yang dihasilkan mencakup detail status untuk setiap sumber daya yang dipengaruhi oleh dua rekomendasi tersebut.
Pelajari selengkapnya dalamRekomendasi Keamanan di Azure Security Center.
Sumber daya "Tidak berlaku" sekarang dilaporkan sebagai "Sesuai" dalam penilaian Azure Policy
Sebelumnya, sumber daya yang dievaluasi untuk rekomendasi dan ditemukan tidak berlaku muncul dalam Azure Policy sebagai "Tidak Sesuai". Tidak ada tindakan pengguna yang dapat mengubah status mereka menjadi "Sesuai." Dengan perubahan ini, mereka dilaporkan sebagai "Patuh" untuk meningkatkan kejelasan.
Satu-satunya dampak akan terlihat dalam Azure Policy di mana jumlah sumber daya yang sesuai akan meningkat. Tidak ada dampak terhadap skor aman Anda di Azure Security Center.
Mengekspor rekam jepret mingguan data skor aman dan kepatuhan terhadap peraturan dengan ekspor berkelanjutan (pratinjau)
Kami telah menambahkan fitur pratinjau baru ke alat ekspor berkelanjutan untuk mengekspor rekam jepret mingguan skor aman dan data kepatuhan terhadap peraturan.
Saat Anda menentukan ekspor berkelanjutan, atur frekuensi ekspor:
- Streaming – penilaian akan dikirim ketika status kesehatan sumber daya diperbarui (jika tidak ada pembaruan, tidak ada data yang akan dikirim).
- Rekam jepret - rekam jepret dari status saat ini dari semua penilaian kepatuhan terhadap peraturan akan dikirim setiap minggu (ini adalah fitur pratinjau untuk rekam jepret mingguan skor aman dan data kepatuhan terhadap peraturan).
Pelajari selengkapnya tentang kemampuan lengkap fitur ini dalam Data Security Center yang terus-menerus diekspor.
Desember 2020
Pembaruan pada bulan Desember meliputi:
- Azure Defender untuk server SQL pada komputer tersedia secara umum
- Dukungan Azure Defender untuk SQL untuk kumpulan SQL khusus Azure Synapse Analytics tersedia secara umum
- Administrator Global sekarang dapat memberi dirinya sendiri izin tingkat penyewa
- Dua paket Baru Azure Defender: Azure Defender untuk DNS dan Azure Defender untuk Resource Manager (dalam pratinjau)
- Halaman pemberitahuan keamanan baru di portal Azure (pratinjau)
- Pengalaman Pusat Keamanan Yang Direvitalisasi di Azure SQL Database & SQL Managed Instance
- Alat dan filter inventaris aset diperbarui
- Rekomendasi tentang aplikasi web yang meminta sertifikat SSL tidak lagi menjadi bagian dari skor aman
- Halaman rekomendasi memiliki filter baru untuk lingkungan, tingkat keparahan, dan respons yang tersedia
- Ekspor berkelanjutan mendapatkan jenis data baru dan kebijakan deployifnotexist yang disempurnakan
Azure Defender untuk server SQL pada komputer tersedia secara umum
Azure Security Center menawarkan dua paket Azure Defender untuk SQL Server:
- Azure Defender untuk server database Azure SQL - melindungi Server SQL asli Azure Anda
- Azure Defender untuk server SQL pada mesin - memperluas perlindungan yang sama ke server SQL Anda di lingkungan hibrid, multicloud, dan lokal
Dengan pengumuman ini, Azure Defender untuk SQL sekarang melindungi database Anda dan datanya di mana pun database berada.
Azure Defender untuk SQL menyertakan kemampuan penilaian kerentanan. Alat penilaian kerentanan mencakup fitur-fitur canggih berikut:
- Konfigurasi garis besar (Baru!) untuk secara cerdas memperbaiki hasil pemindaian kerentanan kepada yang mungkin mewakili masalah keamanan nyata. Setelah Anda menetapkan status keamanan garis besar, alat penilaian kerentanan hanya melaporkan penyimpangan dari status garis besar tersebut. Hasil yang cocok dengan garis besar dianggap lolos dalam pemindaian berikutnya. Ini memungkinkan Anda dan analis Anda memusatkan perhatian Anda di tempat yang penting.
- Informasi tolok ukur terperinci untuk membantu Anda memahami temuan yang ditemukan, dan mengapa temuan tersebut terkait dengan sumber daya Anda.
- Skrip remediasi untuk membantu Anda mengurangi risiko yang diidentifikasi.
Pelajari selengkapnya Azure Defender untuk SQL.
Dukungan Azure Defender untuk SQL untuk kumpulan SQL khusus Azure Synapse Analytics tersedia secara umum
Azure Synapse Analytics (sebelumnya SQL DW) adalah layanan analitik yang menggabungkan pergudangan data perusahaan dan analitik data besar. Kumpulan SQL khusus adalah fitur pergudangan data perusahaan Azure Synapse. Pelajari selengkapnya di Apa yang dimaksud dengan Azure Synapse Analytics (sebelumnya SQL DW)?.
Azure Defender untuk SQL melindungi kumpulan SQL khusus Anda dengan:
- Perlindungan ancaman tingkat lanjut untuk mendeteksi ancaman dan serangan
- Kemampuan penilaian kerentanan untuk mengidentifikasi dan memulihkan kesalahan konfigurasi keamanan
Dukungan Azure Defender untuk SQL untuk kumpulan SQL Azure Synapse Analytics secara otomatis ditambahkan ke bundel database Azure SQL di Azure Security Center. Ada tab Azure Defender untuk SQL baru di halaman ruang kerja Synapse Anda di portal Azure.
Pelajari selengkapnya Azure Defender untuk SQL.
Administrator Global sekarang dapat memberi dirinya sendiri izin tingkat penyewa
Pengguna dengan peran Azure Active Directory dari Administrator Global mungkin memiliki tanggung jawab di seluruh penyewa, tetapi tidak memiliki izin Azure untuk menampilkan informasi di seluruh organisasi tersebut di Azure Security Center.
Untuk menetapkan izin tingkat penyewa, ikuti instruksi di Memberikan izin di seluruh penyewa untuk Anda sendiri.
Dua paket Azure Defender baru: Azure Defender untuk DNS dan Azure Defender untuk Resource Manager (dalam pratinjau)
Kami telah menambahkan dua kemampuan perlindungan ancaman luas cloud-native baru untuk lingkungan Azure Anda.
Perlindungan baru ini sangat meningkatkan ketahanan Anda terhadap serangan dari pelaku ancaman, dan secara signifikan meningkatkan jumlah sumber daya Azure yang dilindungi oleh Azure Defender.
Azure Defender untuk Resource Manager- secara otomatis memantau semua operasi manajemen sumber daya yang dilakukan di organisasi Anda. Untuk informasi selengkapnya, lihat:
Azure Defender untuk DNS - terus memantau semua permintaan DNS dari sumber daya Azure Anda. Untuk informasi selengkapnya, lihat:
Halaman pemberitahuan keamanan baru di portal Azure (pratinjau)
Halaman pemberitahuan keamanan Azure Security Center didesain ulang untuk menyediakan:
- Pengalaman triase yang ditingkatkan untuk pemberitahuan - membantu mengurangi kelelahan pemberitahuan dan fokus pada ancaman yang paling relevan dengan lebih mudah, daftar ini mencakup filter yang dapat disesuaikan dan opsi pengelompokan
- Informasi selengkapnya dalam daftar pemberitahuan - seperti taktik MITRE ATT&ACK
- Tombol untuk membuat pemberitahuan sampel - untuk mengevaluasi kemampuan Azure Defender dan menguji konfigurasi pemberitahuan Anda (untuk integrasi SIEM, pemberitahuan email, dan otomatisasi alur kerja), Anda dapat membuat pemberitahuan sampel dari semua paket Azure Defender
- Penjajaran dengan pengalaman insiden Azure Sentinel - bagi pelanggan yang menggunakan kedua produk, beralih di antara keduanya kini menjadi pengalaman yang lebih mudah dan mudah untuk mempelajari satu sama lain
- Performa yang lebih baik untuk daftar pemberitahuan yang besar
- Navigasi keyboard melalui daftar pemberitahuan
- Peringatan dari Azure Resource Graph - Anda dapat meminta peringatan di Azure Resource Graph, API seperti Kusto untuk semua sumber daya Anda. Hal ini juga berguna jika Anda membuat dasbor pemberitahuan Anda sendiri. Pelajari lebih lanjut tentang Azure Resource Graph.
Untuk mengakses pengalaman baru, gunakan tautan 'coba sekarang' dari banner di bagian atas halaman pemberitahuan keamanan.
Untuk membuat pemberitahuan sampel dari pengalaman pemberitahuan baru, lihat Membuat pemberitahuan sampel Azure Defender.
Pengalaman Security Center yang direvitalisasi di Azure SQL Database dan SQL Managed Instance
Pengalaman Security Center dalam SQL menyediakan akses ke Security Center berikut dan fitur Azure Defender untuk SQL:
- Rekomendasi keamanan - Security Center secara berkala menganalisis status keamanan semua sumber daya Azure yang tersambung untuk mengidentifikasi potensi kesalahan konfigurasi keamanan. Kemudian memberikan rekomendasi tentang cara memperbaiki kerentanan tersebut dan meningkatkan postur keamanan organisasi.
- Pemberitahuan keamanan - layanan deteksi yang terus memantau aktivitas Azure SQL untuk ancaman seperti injeksi SQL, serangan brute-force, dan penyalahgunaan hak istimewa. Layanan ini memicu peringatan keamanan terperinci dan berorientasi tindakan di Security Center dan menyediakan opsi untuk melanjutkan penyelidikan dengan Azure Sentinel, solusi SIEM asli Azure Microsoft.
- Temuan - layanan penilaian kerentanan yang terus memantau konfigurasi Azure SQL dan membantu memperbaiki kerentanan. Pemindaian penilaian memberikan ringkasan tentang status keamanan Azure SQL bersama dengan temuan keamanan terperinci.
Alat dan filter inventaris aset diperbarui
Halaman inventori di Azure Security Center disegarkan dengan perubahan berikut:
Panduan dan umpan balik ditambahkan ke toolbar. Ini membuka panel dengan tautan ke informasi dan alat terkait.
Filter langganan ditambahkan ke filter default yang tersedia untuk sumber daya Anda.
Buka tautan kueri untuk membuka opsi filter saat ini sebagai kueri Azure Resource Graph (sebelumnya disebut "Tampilkan di penjelajah grafik sumber daya").
Opsi operator untuk setiap filter. Sekarang Anda dapat memilih dari operator yang lebih logis selain '='. Misalnya, Anda mungkin ingin menemukan semua sumber daya dengan rekomendasi aktif yang judulnya menyertakan string 'encrypt'.
Pelajari selengkapnya tentang inventaris diMenjelajahi dan mengelola sumber daya Anda dengan inventaris aset.
Rekomendasi tentang aplikasi web yang meminta sertifikat SSL tidak lagi menjadi bagian dari skor aman
Rekomendasi "Aplikasi web harus meminta sertifikat SSL untuk semua permintaan masuk" dipindahkan dari kontrol keamanan Kelola akses dan izin (bernilai maksimum 4 pt) ke dalam Menerapkan praktik terbaik keamanan (yang tidak bernilai poin).
Memastikan aplikasi web meminta sertifikat tentu membuatnya lebih aman. Namun, untuk aplikasi web yang behubungan dengan publik tidak relevan. Jika Anda mengakses situs Anda melalui HTTP dan bukan HTTPS, Anda tidak akan menerima sertifikat klien apa pun. Jadi jika aplikasi Anda memerlukan sertifikat klien, Anda tidak boleh mengizinkan permintaan ke aplikasi Anda melalui HTTP. Pelajari selengkapnya di Mengonfigurasi autentikasi timbal balik TLS untuk Azure App Service.
Dengan perubahan ini, rekomendasi sekarang adalah praktik terbaik yang direkomendasikan yang tidak berdampak pada skor Anda.
Pelajari rekomendasi mana yang ada di setiap kontrol keamanan dalam kontrol Keamanan dan rekomendasinya.
Halaman rekomendasi memiliki filter baru untuk lingkungan, tingkat keparahan, dan respons yang tersedia
Azure Security Center memantau semua sumber daya yang tersambung dan menghasilkan rekomendasi keamanan. Gunakan rekomendasi ini untuk memperkuat postur cloud hibrid Anda dan melacak kepatuhan terhadap kebijakan dan standar yang relevan dengan organisasi, industri, dan negara/wilayah Anda.
Karena Security Center terus memperluas cakupan dan fiturnya, sehingga daftar rekomendasi keamanan terus bertambah setiap bulannya. Misalnya, lihat Dua puluh sembilan rekomendasi pratinjau yang ditambahkan untuk meningkatkan cakupan Azure Security Benchmark.
Dengan daftar yang berkembang, ada kebutuhan untuk memfilter rekomendasi untuk menemukan yang paling menarik. Pada bulan November, kami menambahkan filter ke halaman rekomendasi (lihat Daftar rekomendasi sekarang mencakup filter).
Filter yang ditambahkan bulan ini menyediakan opsi untuk memperbaiki daftar rekomendasi yang sesuai dengan:
Lingkungan - Menampilkan rekomendasi untuk sumber daya AWS, GCP, atau Azure Anda (atau kombinasi apa pun)
Tingkat Keparahan - Menampilkan rekomendasi sesuai dengan klasifikasi tingkat keparahan yang diatur oleh Security Center
Tindakan respons - Menampilkan rekomendasi sesuai dengan ketersediaan opsi respons Security Center: Perbaiki, Tolak, dan Berlakukan
Tip
Filter tindakan respons menggantikan filter Perbaikan cepat yang tersedia (Ya/Tidak).
Pelajari selengkapnya tentang masing-masing opsi respons ini:
Ekspor berkelanjutan mendapatkan tipe data baru dan kebijakan deployifnotexist yang lebih disempurnakan
Alat ekspor berkelanjutan Azure Security Center memungkinkan Anda mengekspor rekomendasi dan pemberitahuan Security Center untuk digunakan dengan alat pemantauan lain di lingkungan Anda.
Ekspor berkelanjutan memungkinkan Anda menyesuaikan sepenuhnya apa yang akan diekspor, dan ke mana akan pergi. Untuk detail selengkapnya, lihat Terus mengekspor data Security Center.
Alat-alat ini telah ditingkatkan dan diperluas dengan cara berikut:
Kebijakan deployifnotexist ekspor berkelanjutan ditingkatkan. Kebijakan sekarang:
Periksa apakah konfigurasi diaktifkan. Jika tidak, kebijakan akan ditampilkan sebagai tidak patuh dan membuat sumber daya yang sesuai. Pelajari selengkapnya tentang templat Azure Policy yang disediakan di "Sebarkan dalam skala besar dengan tab Azure Policy" dalam Menyiapkan ekspor berkelanjutan.
Mendukung mengekspor temuan keamanan. Saat menggunakan template Azure Policy, Anda dapat mengonfigurasi ekspor berkelanjutan untuk menyertakan temuan. Ini relevan ketika mengekspor rekomendasi yang memiliki rekomendasi 'sub', seperti temuan dari pemindai penilaian kerentanan atau pembaruan sistem tertentu untuk rekomendasi 'induk' "Pembaruan sistem harus diinstal pada komputer Anda".
Mendukung mengekspor data skor aman.
Data penilaian kepatuhan terhadap peraturan ditambahkan (dalam pratinjau). Anda sekarang dapat terus mengekspor pembaruan ke penilaian kepatuhan peraturan, termasuk untuk inisiatif kustom apa pun, ke ruang kerja Analitik Log atau Azure Event Hubs. Fitur ini tidak tersedia di cloud nasional.
November 2020
Pembaruan pada bulan November meliputi:
- 29 rekomendasi pratinjau ditambahkan untuk meningkatkan cakupan Tolok Ukur Keamanan Azure
- NIST SP 800 171 R2 ditambahkan ke dasbor kepatuhan peraturan Security Center
- Daftar rekomendasi sekarang menyertakan filter
- Pengalaman provisi otomatis ditingkatkan dan diperluas
- Skor aman sekarang tersedia dalam ekspor berkelanjutan (pratinjau)
- Rekomendasi "Pembaruan sistem harus diinstal pada komputer Anda" sekarang menyertakan subrekomendasi
- Halaman manajemen kebijakan di portal Azure sekarang memperlihatkan status penugasan kebijakan default
29 rekomendasi pratinjau ditambahkan untuk meningkatkan cakupan Tolok Ukur Keamanan Azure
Tolok Ukur Keamanan Azure adalah kumpulan pedoman yang ditulis oleh Microsoft, khusus Azure, untuk praktik terbaik keamanan dan kepatuhan berdasarkan kerangka kerja kepatuhan umum. Pelajari selengkapnya tentang Tolok Ukur Keamanan Azure.
Untuk meningkatkan cakupan tolok ukur ini, 29 rekomendasi pratinjau berikut telah ditambahkan ke Security Center.
Rekomendasi pratinjau tidak berarti sumber daya tidak sehat, dan rekomendasi tersebut tidak dimasukkan dalam perhitungan skor aman Anda. Perbaiki sedapat mungkin, sehingga saat periode pratinjau berakhir, hal tersebut akan berkontribusi terhadap skor Anda. Pelajari selengkapnya tentang cara menanggapi rekomendasi ini di Perbaiki rekomendasi di Azure Security Center.
| Kontrol keamanan | Rekomendasi baru |
|---|---|
| Mengenkripsi data dalam transit | - Terapkan koneksi SSL harus diaktifkan untuk server database PostgreSQL - Pemberlakuan koneksi SSL harus diaktifkan untuk server database MySQL - TLS harus diperbarui ke versi terbaru untuk aplikasi API Anda - TLS harus diperbarui ke versi terbaru untuk aplikasi fungsi Anda - TLS harus diperbarui ke versi terbaru untuk aplikasi web Anda - FTPS harus diperlukan di Aplikasi API Anda - FTPS harus diperlukan di Aplikasi fungsi Anda - FTPS harus diperlukan di Aplikasi Web Anda |
| Mengelola akses dan izin akses | - Aplikasi web harus meminta sertifikat SSL untuk semua permintaan masuk - Identitas terkelola harus digunakan di Aplikasi API Anda - Identitas terkelola harus digunakan di Aplikasi fungsi Anda - Identitas terkelola harus digunakan di Aplikasi web |
| Membatasi akses jaringan yang tidak sah | - Titik akhir privat harus diaktifkan untuk server PostgreSQL - Titik akhir privat harus diaktifkan untuk server MariaDB - Titik akhir privat harus diaktifkan untuk server MySQL |
| Mengaktifkan audit dan pengelogan | - Log diagnostik di App Services harus diaktifkan |
| Menerapkan praktik keamanan terbaik | - Azure Backup harus diaktifkan untuk komputer virtual - Cadangan geo-redundan harus diaktifkan untuk Azure Database for MariaDB - Cadangan geo-redundan harus diaktifkan untuk Azure Database for MySQL - Cadangan geo-redundan harus diaktifkan untuk Azure Database for PostgreSQL - PHP harus diperbarui ke versi terbaru untuk aplikasi API Anda - PHP harus diperbarui ke versi terbaru untuk aplikasi web Anda - Java harus diperbarui ke versi terbaru untuk aplikasi API Anda - Java harus diperbarui ke versi terbaru untuk aplikasi fungsi Anda - Java harus diperbarui ke versi terbaru untuk aplikasi web Anda - Python harus diperbarui ke versi terbaru untuk aplikasi API Anda - Python harus diperbarui ke versi terbaru untuk aplikasi fungsi Anda - Python harus diperbarui ke versi terbaru untuk aplikasi web Anda - Retensi audit untuk server SQL harus diatur ke minimal 90 hari |
Tautan terkait:
- Pelajari selengkapnya tentang Tolok ukur Azure Security
- Pelajari selengkapnya tentang aplikasi Azure API
- Pelajari selengkapnya tentang aplikasi fungsi Azure
- Pelajari selengkapnya tentang Azure Arc
- Pelajari selengkapnya tentang Azure Database for MariaDB
- Pelajari selengkapnya tentang Azure Database for MySQL
- Pelajari selengkapnya tentang Azure Database for PostgreSQL
NIST SP 800 171 R2 ditambahkan ke dasbor kepatuhan peraturan Security Center
Standar NIST SP 800-171 R2 kini tersedia sebagai inisiatif bawaan untuk digunakan dengan dasbor kepatuhan peraturan Azure Security Center. Pemetaan untuk kontrol dijelaskan dalam Rincian inisiatif bawaan Kepatuhan Peraturan NIST SP 800-171 R2.
Untuk menerapkan standar ke langganan Anda dan terus memantau status kepatuhan Anda, gunakan petunjuk di Menyesuaikan kumpulan standar di dasbor kepatuhan peraturan Anda.
Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat NIST SP 800-171 R2.
Daftar rekomendasi sekarang menyertakan filter
Sekarang Anda dapat memfilter daftar rekomendasi keamanan berdasarkan berbagai kriteria. Dalam contoh berikut, daftar rekomendasi difilter untuk menampilkan rekomendasi yang:
- tersedia secara umum (yaitu, bukan pratinjau)
- untuk akun penyimpanan
- mendukung remediasi perbaikan cepat
Pengalaman provisi otomatis ditingkatkan dan diperluas
Fitur provisi otomatis membantu mengurangi overhead manajemen dengan menginstal ekstensi yang diperlukan pada VM Baru - dan yang sudah ada - Azure sehingga mereka dapat memperoleh manfaat dari perlindungan Security Center.
Seiring bertambahnya Azure Security Center, lebih banyak ekstensi telah dikembangkan dan Security Center dapat memantau daftar jenis sumber daya yang lebih besar. Alat provisi otomatis sekarang telah diperluas untuk mendukung ekstensi dan jenis sumber daya lainnya dengan memanfaatkan kemampuan Azure Policy.
Anda sekarang dapat mengonfigurasi provisi otomatis dari:
- Agen Analitik Log
- (Baru) Azure Policy untuk Kubernetes
- (Baru) Agen Dependensi Microsoft
Pelajari selengkapnya di Menyediakan otomatis agen dan ekstensi dari Azure Security Center.
Skor aman sekarang tersedia dalam ekspor berkelanjutan (pratinjau)
Dengan ekspor skor aman secara berkelanjutan, Anda dapat mengalirkan perubahan pada skor secara real time ke Azure Event Hubs atau ruang kerja Analitik Log. Gunakan kapabilitas ini untuk:
- melacak skor aman Anda dari waktu ke waktu dengan laporan dinamis
- mengekspor data skor aman ke Azure Sentinel (atau SIEM lainnya)
- mengintegrasikan data ini dengan proses apa pun yang mungkin sudah Anda gunakan untuk memantau skor aman di organisasi Anda
Pelajari selengkapnya tentang cara Terus mengekspor data Security Center.
Rekomendasi "Pembaruan sistem harus diinstal pada komputer Anda" sekarang menyertakan subrekommendasi
Pembaruan Sistem harus diinstal pada rekomendasi komputer Anda ditingkatkan. Versi baru ini menyertakan subrekommendasi untuk setiap pembaruan yang hilang dan menghadirkan penyempurnaan berikut:
Pengalaman yang dirancang ulang di halaman Azure Security Center dari portal Azure. Halaman detail rekomendasi untuk Pembaruan sistem harus diinstal pada komputer Anda menyertakan daftar temuan seperti yang ditunjukkan di bawah ini. Saat Anda memilih satu temuan, panel detail terbuka dengan tautan ke informasi remediasi dan daftar sumber daya yang terpengaruh.
Data yang diperkaya untuk rekomendasi dari Azure Resource Graph (ARG). ARG adalah layanan Azure yang dirancang untuk menyediakan eksplorasi sumber daya yang efisien. Anda dapat menggunakan ARG untuk mengkueri dalam skala besar di seluruh kumpulan langganan tertentu sehingga Anda dapat mengatur lingkungan Anda secara efektif.
Untuk Azure Security Center, Anda dapat menggunakan ARG dan Kusto Query Language (KQL) untuk mengkueri berbagai data postur keamanan.
Sebelumnya, jika Anda bertanya rekomendasi ini di ARG, satu-satunya informasi yang tersedia adalah bahwa rekomendasi perlu diremediasi pada komputer. Kueri berikut dari versi yang disempurnakan akan mengembalikan setiap pembaruan sistem yang hilang yang dikelompokkan berdasarkan komputer.
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27" | where properties.status.code == "Unhealthy"
Halaman manajemen kebijakan di portal Azure sekarang memperlihatkan status penugasan kebijakan default
Sekarang Anda dapat melihat apakah langganan Anda memiliki kebijakan Security Center default yang ditetapkan, di halaman kebijakan keamanan Security Center di portal Azure.
Oktober 2020
Pembaruan pada bulan Oktober meliputi:
- Penilaian kerentanan bagi mesin lokal dan multicloud (pratinjau)
- Rekomendasi Azure Firewall ditambahkan (pratinjau)
- Rentang IP resmi harus ditentukan pada rekomendasi Layanan Kube yang diperbarui dengan perbaikan cepat
- Dasbor kepatuhan peraturan sekarang menyertakan opsi untuk menghapus standar
- Tabel Microsoft.Security/securityStatuses dihapus dari Azure Resource Graph (ARG)
Penilaian kerentanan bagi mesin lokal dan multicloud (pratinjau)
Pemindai penilaian kerentanan terintegrasi Azure Defender untuk Server (didukung oleh Qualys) sekarang memindai server yang didukung Azure Arc.
Ketika Anda telah mengaktifkan Azure Arc di komputer non-Azure Anda, Security Center akan menawarkan untuk menerapkan pemindai kerentanan terintegrasi pada mereka - secara manual dan dalam skala besar.
Dengan pembaruan ini, Anda dapat menggunakan kemampuan Azure Defender untuk Server untuk menggabungkan program manajemen kerentanan di semua aset Azure dan non-Azure Anda.
Kemampuan utama:
- Memantau status provisi pemindai VA (penilaian kerentanan) pada komputer Azure Arc
- Provisi agen VA terintegrasi untuk komputer Windows dan Linux Azure Arc yang tidak terlindungi (secara manual dan dalam skala besar)
- Menerima dan menganalisis kerentanan yang terdeteksi dari agen yang disebarkan (secara manual dan dalam skala besar)
- Pengalaman terpadu untuk komputer Azure VM dan Azure Arc
Pelajari selengkapnya tentang server dengan yang diaktifkan Azure Arc.
Rekomendasi Azure Firewall ditambahkan (pratinjau)
Rekomendasi baru ditambahkan untuk melindungi semua jaringan virtual Anda dengan Azure Firewall.
Rekomendasinya, Jaringan virtual harus dilindungi oleh Azure Firewall menyarankan Anda untuk membatasi akses ke jaringan virtual Anda dan mencegah potensi ancaman dengan menggunakan Azure Firewall.
Pelajari selengkapnya tentang Azure Firewall.
Rentang IP resmi harus ditentukan pada rekomendasi Layanan Kube yang diperbarui dengan perbaikan cepat
Rekomendasi Rentang IP resmi harus idtentukan pada Layanan Kube sekarang memiliki opsi perbaikan cepat.
Untuk informasi selengkapnya tentang rekomendasi ini dan semua rekomendasi Security Center lainnya, lihat Rekomendasi keamanan - panduan referensi.
Dasbor kepatuhan peraturan sekarang menyertakan opsi untuk menghapus standar
Dasbor kepatuhan peraturan Security Center memberikan wawasan tentang postur kepatuhan Anda berdasarkan cara Anda memenuhi kontrol dan persyaratan kepatuhan tertentu.
Dasbor menyertakan kumpulan standar peraturan default. Jika salah satu standar yang disediakan tidak relevan dengan organisasi Anda, sekarang proses sederhana untuk menghapusnya dari antarmuka pengguna untuk langganan. Standar hanya dapat dihapus di tingkat langganan; bukan cakupan grup manajemen.
Pelajari selengkapnya di Menghapus standar dari dasbor Anda.
Tabel Microsoft.Security/securityStatuses dihapus dari Azure Resource Graph (ARG)
Azure Resource Graph adalah layanan di Azure yang dirancang untuk menyediakan eksplorasi sumber daya yang efisien dengan kemampuan untuk mengkueri dalam skala besar di seluruh kumpulan langganan tertentu sehingga Anda dapat mengatur lingkungan Anda secara efektif.
Untuk Azure Security Center, Anda dapat menggunakan ARG dan Kusto Query Language (KQL) untuk mengkueri berbagai data postur keamanan. Contohnya:
- Inventaris aset menggunakan (ARG)
- Kami telah mendokumentasikan contoh kueri ARG tentang cara Mengidentifikasi akun tanpa autentikasi multifaktor (MFA) diaktifkan
Dalam ARG, ada tabel data untuk Anda gunakan dalam kueri Anda.
Tip
Dokumentasi ARG mencantumkan semua tabel yang tersedia dalam tabel Azure Resource Graph dan referensi jenis sumber daya.
Dari pembaruan ini, tabel Microsoft.Security/securityStatuses dihapus. SecurityStatuses API masih tersedia.
Penggantian data dapat digunakan oleh tabel Microsoft.Security/Assessments.
Perbedaan utama antara Microsoft.Security/securityStatuses dan Microsoft.Security/Assessments adalah bahwa sementara yang pertama menunjukkan agregasi penilaian, yang kedua menahan satu rekaman untuk masing-masing.
Misalnya, Microsoft.Security/securityStatuses akan mengembalikan hasil dengan array dua policyAssessments:
{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
Sedangkan Microsoft.Security/Assessments menyimpan catatan untuk setiap penilaian kebijakan tersebut sebagai berikut:
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}
Contoh mengonversi kueri ARG yang sudah ada menggunakan securityStatuses untuk sekarang menggunakan tabel penilaian:
Kueri yang mereferensikan SecurityStatuses:
SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails
Kueri pengganti untuk tabel Assessments:
securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData
Pelajari selengkapnya di tautan berikut ini:
September 2020
Pembaruan pada bulan September meliputi:
- Security Center mendapat tampilan baru!
- Azure Defender dirilis
- Azure Defender untuk Key Vault tersedia secara umum
- Perlindungan Azure Defender untuk Storage untuk File dan ADLS Gen2 tersedia secara umum
- Alat inventaris aset sekarang tersedia secara umum
- Menonaktifkan temuan kerentanan tertentu untuk pemindaian registri kontainer dan komputer virtual
- Mengecualikan sumber daya dari rekomendasi
- Konektor AWS dan GCP di Security Center menghadirkan pengalaman multicloud
- Bundel rekomendasi perlindungan beban kerja Kube
- Temuan penilaian kerentanan sekarang tersedia dalam ekspor berkelanjutan
- Mencegah kesalahan konfigurasi keamanan dengan memberlakukan rekomendasi saat membuat sumber daya baru
- Rekomendasi kelompok keamanan jaringan ditingkatkan
- Rekomendasi AKS pratinjau "Kebijakan Keamanan Pod harus ditentukan pada Layanan Kube" yang tidak digunakan lagi
- Pemberitahuan email dari Azure Security Center disempurnakan
- Skor aman tidak menyertakan rekomendasi pratinjau
- Rekomendasi sekarang menyertakan indikator tingkat keparahan dan interval kesegaran
Security Center mendapat tampilan baru
Kami telah merilis antarmuka pengguna yang di-refresh untuk halaman portal Security Center. Halaman baru ini menyertakan halaman ringkasan dan dasbor baru untuk skor aman, inventaris aset, dan Azure Defender.
Halaman ringkasan yang dirancang ulang sekarang memiliki petak peta untuk mengakses skor aman, inventaris aset, dan dasbor Azure Defender. Ini juga memiliki petak peta yang menghubungkan ke dasbor kepatuhan peraturan.
Pelajari selengkapnya tentang halaman ringkasan.
Azure Defender dirilis
Azure Defender adalah platform perlindungan beban kerja cloud (CWPP) yang terintegrasi dalam Security Center untuk perlindungan lanjutan yang cerdas pada beban kerja Azure dan hibrida Anda. Ini menggantikan opsi tingkat harga standar Security Center.
Saat Anda mengaktifkan Azure Defender dari area Harga dan pengaturan Azure Security Center, semua paket Defender berikut ini diaktifkan secara bersamaan dan menyediakan pertahanan komprehensif untuk lapisan komputasi, data, dan layanan dari lingkungan Anda:
- Azure Defender untuk Server
- Azure Defender untuk App Service
- Azure Defender untuk Storage
- Azure Defender untuk SQL
- Azure Defender untuk Key Vault
- Azure Defender untuk Kubernetes
- Azure Defender untuk registri kontainer
Setiap paket ini dijelaskan secara terpisah dalam dokumentasi Security Center.
Dengan dasbor khusus, Azure Defender memberikan pemberitahuan keamanan dan perlindungan ancaman tingkat lanjut untuk komputer virtual, database SQL, kontainer, aplikasi web, jaringan Anda, dan banyak lagi.
Pelajari selengkapnya tentang Azure Defender
Azure Defender untuk Key Vault tersedia secara umum
Azure Key Vault adalah layanan awan yang melindungi kunci enkripsi dan rahasia seperti sertifikat, string koneksi, dan kata sandi.
Azure Defender untuk Key Vault memberikan perlindungan ancaman tingkat lanjut asli Azure untuk Azure Key Vault, memberikan lapisan tambahan kecerdasan keamanan. Dengan ekstensi, Azure Defender untuk Key Vault secara konsekuen melindungi banyak sumber daya yang bergantung pada akun Key Vault Anda.
Paket opsional sekarang adalah GA. Fitur ini dalam pratinjau sebagai "perlindungan ancaman tingkat lanjut untuk Azure Key Vault."
Selain itu, halaman Key Vault di portal Azure sekarang menyertakan halaman Keamanan khusus untuk rekomendasi dan pemberitahuan Security Center.
Pelajari selengkapnya di Azure Defender untuk Key Vault.
Perlindungan Azure Defender untuk Storage untuk File dan ADLS Gen2 tersedia secara umum
Azure Defender for Storage mendeteksi aktivitas yang berpotensi membahayakan di akun Azure Storage Anda. Data Anda dapat dilindungi baik disimpan sebagai kontainer blob, berbagi file, atau data lake.
Dukungan untuk Azure Files dan Azure Data Lake Storage Gen2 kini tersedia secara umum.
Mulai 1 Oktober 2020, kami akan mulai mengenakan biaya untuk melindungi sumber daya pada layanan ini.
Pelajari selengkapnya di Azure Defender untuk Storage.
Alat inventaris aset sekarang tersedia secara umum
Halaman inventaris aset Azure Security Center menyediakan satu halaman untuk memperlihatkan postur keamanan sumber daya yang telah Anda sambungkan ke Security Center.
Security Center secara berkala menganalisis status keamanan sumber daya Azure Anda untuk mengidentifikasi potensi kerentanan keamanan. Lalu, Security Center memberi Anda rekomendasi tentang cara mengatasi kerentanan tersebut.
Ketika sumber daya memiliki rekomendasi yang luar biasa, sumber daya tersebut akan muncul di inventaris.
Pelajari selengkapnya dalamMenjelajahi dan mengelola sumber daya Anda dengan inventaris aset.
Nonaktifkan temuan kerentanan tertentu untuk pemindaian registri kontainer dan komputer virtual
Azure Defender menyertakan pemindai kerentanan untuk memindai gambar di Azure Container Registry dan komputer virtual Anda.
Jika Anda memiliki kebutuhan organisasi untuk mengabaikan temuan, daripada melakukan remediasi, Anda dapat menonaktifkannya secara opsional. Temuan yang dinonaktifkan tidak memengaruhi secure score Anda atau menghasilkan kebisingan yang tidak diinginkan.
Saat temuan cocok dengan kriteria yang telah Anda tentukan dalam aturan penonaktifan, temuan tersebut tidak akan muncul dalam daftar temuan.
Opsi ini tersedia dari halaman detail rekomendasi untuk:
- Kerentanan dalam gambar Azure Container Registry harus dipulihkan
- Kerentanan di komputer virtual Anda harus diremediasi
Pelajari selengkapnya di Nonaktifkan temuan tertentu untuk gambar kontainer Anda dan Nonaktifkan temuan tertentu untuk komputer virtual Anda.
Mengecualikan sumber daya dari rekomendasi
Kadang-kadang, sumber daya akan terdaftar sebagai tidak sehat sehubungan dengan rekomendasi tertentu (dan karenanya menurunkan skor aman Anda) meskipun Anda merasa tidak seharusnya demikian. Sumber daya mungkin telah diremediasi oleh proses yang tidak terlacak oleh Security Center. Atau mungkin organisasi Anda telah memutuskan untuk menerima risiko untuk sumber daya tertentu.
Dalam kasus seperti itu, Anda dapat membuat aturan pengecualian dan memastikan bahwa sumber daya tidak terdaftar di antara sumber daya yang tidak sehat di masa mendatang. Aturan ini dapat mencakup pembenaran yang didokumentasikan seperti yang dijelaskan di bawah ini.
Pelajari selengkapnya di Mengecualikan sumber daya dari rekomendasi dan mengamankan skor.
Konektor AWS dan GCP di Security Center menghadirkan pengalaman multicloud
Dengan beban kerja cloud yang umumnya mencakup beberapa platform cloud, layanan keamanan cloud harus melakukan hal yang sama.
Azure Security Center melindungi beban kerja di Azure, Amazon Web Services (AWS), dan Google Cloud Platform (GCP).
Saat Anda melakukan onboarding proyek AWS dan GCP ke Security Center, itu mengintegrasikan AWS Security Hub, GCP Security Command, dan Azure Security Center.
Pelajari selengkapnya di Menyambungkan akun AWS Anda ke Azure Security Center dan Menyambungkan akun GCP Anda ke Azure Security Center.
Bundel rekomendasi perlindungan beban kerja Kube
Untuk memastikan beban kerja Kube aman secara default, Security Center telah menambahkan rekomendasi penguatan level Kube, termasuk opsi pemberlakuan dengan kontrol admisi Kube.
Ketika Anda telah menginstal Azure Policy untuk Kubernetes pada kluster AKS, setiap permintaan ke server API Kubernetes akan dipantau terhadap serangkaian praktik terbaik yang telah ditentukan sebelumnya sebelum dipertahankan ke kluster. Selanjutnya Anda dapat mengonfigurasi untuk memberlakukan praktik terbaik dan memandatkannya untuk beban kerja di masa depan.
Misalnya, Anda dapat memandatkan bahwa kontainer hak istimewa tidak boleh dibuat, dan permintaan apa pun di masa depan untuk melakukannya akan diblokir.
Pelajari selengkapnya di Praktik terbaik perlindungan beban kerja menggunakan kontrol admisi Kube.
Temuan penilaian kerentanan sekarang tersedia dalam ekspor berkelanjutan
Gunakan ekspor berkelanjutan untuk mengalirkan pemberitahuan dan rekomendasi ke Azure Event Hubs, ruang kerja Analitik Log, atau Azure Monitor. Dari sana, Anda dapat mengintegrasikan data ini dengan SIEM (seperti Azure Sentinel, Power BI, Azure Data Explorer, dan banyak lagi.
Alat penilaian kerentanan terintegrasi Security Center mengembalikan temuan tentang sumber daya Anda sebagai rekomendasi yang dapat ditindaklanjuti dalam rekomendasi 'induk' seperti "Kerentanan di komputer virtual Anda harus diremediasi".
Temuan keamanan sekarang tersedia untuk diekspor melalui ekspor berkelanjutan saat Anda memilih rekomendasi dan mengaktifkan opsi sertakan temuan keamanan.
Halaman terkait:
- Solusi penilaian kerentanan Qualys terintegrasi dari Security Center untuk mesin virtual Azure
- Solusi penilaian kerentanan terintegrasi Security Center untuk gambar Azure Container Registry
- Ekspor berkelanjutan
Mencegah kesalahan konfigurasi keamanan dengan memberlakukan rekomendasi saat membuat sumber daya baru
Kesalahan konfigurasi keamanan adalah penyebab utama insiden keamanan. Security Center sekarang memiliki kemampuan untuk membantu mencegah kesalahan konfigurasi sumber daya baru sehubungan dengan rekomendasi tertentu.
Fitur ini dapat membantu menjaga beban kerja Anda tetap aman dan menstabilkan skor aman Anda.
Anda dapat menerapkan konfigurasi aman, berdasarkan rekomendasi tertentu, dalam dua mode:
Dengan menggunakan mode Azure Policy yang ditolak, Anda dapat menghentikan sumber daya yang tidak sehat agar tidak dibuat
Dengan menggunakan opsi yang diberlakukan, Anda dapat memanfaatkan efek DeployIfNotExist Azure Policy dan secara otomatis memulihkan sumber daya yang tidak sesuai saat pembuatan
Ini tersedia untuk rekomendasi keamanan yang dipilih dan dapat ditemukan di bagian atas halaman detail sumber daya.
Cegah kesalahan konfigurasi dengan rekomendasi Terapkan/Tolak.
Rekomendasi kelompok keamanan jaringan ditingkatkan
Rekomendasi keamanan berikut yang terkait dengan kelompok keamanan jaringan telah ditingkatkan untuk mengurangi beberapa instans positif palsu.
- Port jaringan harus dibatasi pada NSG yang dikaitkan dengan VM Anda
- Port pengelolaan harus ditutup di komputer virtual Anda
- Komputer virtual yang memiliki akses Internet harus dilindungi dengan Kelompok Keamanan Jaringan
- Subnet harus dikaitkan dengan Grup Keamanan Jaringan
Rekomendasi AKS pratinjau "Kebijakan Keamanan Pod harus ditentukan pada Layanan Kube" yang tidak digunakan lagi
Rekomendasi pratinjau "Kebijakan Keamanan Pod harus ditentukan pada Layanan Kube" ditolak sebagaimana dijelaskan dalam dokumentasi Azure Kubernetes Service.
Fitur kebijakan keamanan pod (preview), diatur untuk dihentikan dan tidak akan tersedia lagi setelah 15 Oktober 2020 demi Azure Policy untuk AKS.
Setelah kebijakan keamanan pod (pratinjau) tidak digunakan lagi, Anda harus menonaktifkan fitur pada kluster yang ada menggunakan fitur yang tidak digunakan lagi untuk melakukan peningkatan kluster di masa mendatang dan tetap berada dalam dukungan Azure.
Pemberitahuan email dari Azure Security Center disempurnakan
Area email berikut mengenai pemberitahuan keamanan telah ditingkatkan:
- Menambahkan kemampuan untuk mengirim pemberitahuan email tentang pemberitahuan untuk semua tingkat keparahan
- Menambahkan kemampuan untuk memberi tahu pengguna dengan peran Azure yang berbeda pada langganan
- Kami secara proaktif memberi tahu pemilik langganan secara default tentang pemberitahuan tingkat keparahan tinggi (yang memiliki kemungkinan besar sebagai pelanggaran asli)
- Kami telah menghapus bidang nomor telepon dari halaman konfigurasi pemberitahuan email
Pelajari selengkapnya di Menyiapkan pemberitahuan email untuk pemberitahuan keamanan.
Skor aman tidak menyertakan rekomendasi pratinjau
Security Center secara berkelanjutan menilai sumber daya, langganan, dan organisasi Anda terkait masalah keamanan. Ini kemudian mengagregasi semua temuan menjadi skor tunggal sehingga Anda dapat mengetahui, secara sekilas, situasi keamanan Anda saat ini: semakin tinggi skor, semakin rendah tingkat risiko yang diidentifikasi.
Saat ancaman baru ditemukan, saran keamanan baru tersedia di Security Center melalui rekomendasi baru. Untuk menghindari perubahan mendadak pada skor aman Anda, dan untuk memberikan masa tenggang di mana Anda dapat menjelajahi rekomendasi baru sebelum memengaruhi skor Anda, rekomendasi yang berbendera sebagai Pratinjau tidak lagi disertakan dalam perhitungan skor aman Anda. Rekomendasi tersebut masih harus diremediasi sedapat mungkin, sehingga saat periode pratinjau berakhir, rekomendasi akan berkontribusi terhadap skor Anda.
Selain itu, rekomendasi Pratinjau tidak merender sumber daya "Tidak Sehat".
Contoh rekomendasi pratinjau:
Pelajari selengkapnya tentang skor aman.
Rekomendasi sekarang menyertakan indikator keparahan dan interval kesegaran
Halaman detail untuk rekomendasi sekarang menyertakan indikator interval kesegaran (jika relevan) dan tampilan yang jelas tentang tingkat keparahan rekomendasi.
Agustus 2020
Pembaruan pada bulan Agustus meliputi:
- Inventaris aset - tampilan baru yang kuat dari postur keamanan aset Anda
- Menambahkan dukungan untuk default keamanan Azure Active Directory (untuk autentikasi multifaktor)
- Rekomendasi perwakilan layanan ditambahkan
- Penilaian kerentanan pada VM - rekomendasi dan kebijakan konsolidasi
- Kebijakan keamanan AKS baru ditambahkan ke inisiatif ASC_default
Inventaris aset - tampilan baru yang kuat dari postur keamanan aset Anda
Inventaris aset Security Center (saat ini dalam pratinjau) menyediakan cara untuk menampilkan postur keamanan sumber daya yang telah Anda sambungkan ke Security Center.
Security Center secara berkala menganalisis status keamanan sumber daya Azure Anda untuk mengidentifikasi potensi kerentanan keamanan. Lalu, Security Center memberi Anda rekomendasi tentang cara mengatasi kerentanan tersebut. Ketika sumber daya memiliki rekomendasi yang luar biasa, sumber daya tersebut akan muncul di inventaris.
Anda dapat menggunakan tampilan dan filternya untuk menjelajahi data postur keamanan Anda dan mengambil tindakan lebih lanjut berdasarkan temuan Anda.
Pelajari selengkapnya tentang inventaris aset.
Menambahkan dukungan untuk default keamanan Azure Active Directory (untuk autentikasi multifaktor)
Security Center telah menambahkan dukungan penuh untuk default keamanan, perlindungan keamanan identitas gratis Microsoft.
Default keamanan menyediakan pengaturan keamanan identitas yang telah dikonfigurasikan sebelumnya untuk mempertahankan organisasi Anda dari serangan umum terkait identitas. Default keamanan sudah melindungi lebih dari 5 juta penyewa secara keseluruhan; 50.000 penyewa juga dilindungi oleh Security Center.
Security Center sekarang menyediakan rekomendasi keamanan setiap kali mengidentifikasi langganan Azure tanpa default keamanan diaktifkan. Hingga saat ini, Security Center merekomendasikan untuk mengaktifkan autentikasi multifaktor menggunakan akses bersyarat, yang merupakan bagian dari lisensi premium Azure Active Directory (AD). Untuk pelanggan yang menggunakan Azure AD gratis, sebaiknya aktifkan default keamanan.
Tujuan kami adalah mendorong lebih banyak pelanggan untuk mengamankan lingkungan cloud mereka dengan MFA, dan mengurangi salah satu risiko tertinggi yang juga paling berdampak pada skor aman Anda.
Pelajari selengkapnya tentang default keamanan.
Rekomendasi perwakilan layanan ditambahkan
Rekomendasi baru ditambahkan untuk merekomendasikan agar pelanggan Security Center yang menggunakan sertifikat manajemen untuk mengelola langganan mereka beralih ke perwakilan layanan.
Rekomendasinya, Perwakilan layanan harus digunakan untuk melindungi langganan Anda sebagai ganti dari Sertifikat Manajemen menyarankan Anda untuk menggunakan Perwakilan Layanan atau Azure Resource Manager untuk mengelola langganan Anda dengan lebih aman.
Pelajari tentang Objek aplikasi dan perwakilan layanan di Azure Active Directory.
Penilaian kerentanan pada VM - rekomendasi dan kebijakan konsolidasi
Security Center memeriksa VM Anda untuk mendeteksi apakah VM menjalankan solusi penilaian kerentanan. Jika tidak ditemukan solusi penilaian kerentanan, Security Center memberikan rekomendasi untuk menyederhanakan penyebaran.
Saat kerentanan ditemukan, Security Center memberikan rekomendasi yang meringkas temuan bagi Anda untuk menyelidiki dan meremediasi seperlunya.
Untuk memastikan pengalaman yang konsisten bagi semua pengguna, terlepas dari jenis pemindai yang mereka gunakan, kami telah menggabungkan empat rekomendasi menjadi dua rekomendasi berikut:
| Rekomendasi terpadu | Deskripsi perubahan |
|---|---|
| Solusi penilaian kerentanan harus diaktifkan pada komputer virtual Anda | Menggantikan dua rekomendasi berikut: ***** Aktifkan solusi penilaian kerentanan bawaan pada komputer virtual (didukung oleh Qualys (sekarang tidak digunakan lagi) (Disertakan dengan tingkat standar) ***** Solusi penilaian kerentanan harus diinstal pada komputer virtual Anda (sekarang tidak digunakan lagi) (Tingkat standar dan gratis) |
| Kerentanan di komputer virtual Anda harus diremediasi | Menggantikan dua rekomendasi berikut: ***** Remediasi kerentanan yang ditemukan pada komputer virtual Anda (didukung oleh Qualys) (sekarang tidak digunakan lagi) ***** Kerentanan harus diremediasi oleh solusi Penilaian Kerentanan (sekarang tidak digunakan lagi) |
Sekarang Anda akan menggunakan rekomendasi yang sama untuk menyebarkan ekstensi penilaian kerentanan Security Center atau solusi berlisensi privat ("BYOL") dari mitra seperti Qualys atau Rapid 7.
Juga, saat kerentanan ditemukan dan dilaporkan ke Security Center, satu rekomendasi akan memberitahukan Anda pada temuan terlepas dari solusi penilaian kerentanan yang mengidentifikasinya.
Memperbarui dependensi
Jika Anda memiliki skrip, kueri, atau otomatisasi yang mengacu pada rekomendasi atau kunci/nama kebijakan sebelumnya, gunakan tabel di bawah ini untuk memperbarui referensi:
Sebelum Agustus 2020
| Rekomendasi | Cakupan |
|---|---|
| Mengaktifkan solusi penilaian kerentanan bawaan pada komputer virtual (didukung oleh Qualys) Kunci: 550e890b-e652-4d22-8274-60b3bdb24c63 |
Bawaan |
| Meremediasii kerentanan yang ditemukan pada komputer virtual Anda (didukung oleh Qualys) Kunci: 1195afff-c881-495e-9bc5-1486211ae03f |
Bawaan |
| Solusi penilaian kerentanan harus diinstal pada komputer virtual Anda Kunci: 01b1ed4c-b733-4fee-b145-f23236e70cf3 |
BYOL |
| Kerentanan harus diremediasi oleh solusi Penilaian Kerentanan Kunci: 71992a2a-d168-42e0-b10e-6b45fa2ecddb |
BYOL |
| Kebijakan | Cakupan |
|---|---|
| Penilaian kerentanan harus diaktifkan pada komputer Virtual ID Kebijakan: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Bawaan |
| Kerentanan harus diremediasi oleh solusi penilaian kerentanan ID Kebijakan: 760a85ff-6162-42b3-8d70-698e268f648c |
BYOL |
Dari Agustus 2020
| Rekomendasi | Cakupan |
|---|---|
| Solusi penilaian kerentanan harus diaktifkan pada komputer virtual Anda Kunci: ffff0522-1e88-47fc-8382-2a80ba848f5d |
Bawaan + BYOL |
| Kerentanan di komputer virtual Anda harus diremediasi Kunci: 1195afff-c881-495e-9bc5-1486211ae03f |
Bawaan + BYOL |
| Kebijakan | Cakupan |
|---|---|
| Penilaian kerentanan harus diaktifkan pada komputer Virtual ID Kebijakan: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Bawaan + BYOL |
Kebijakan keamanan AKS baru ditambahkan ke inisiatif ASC_default
Untuk memastikan bahwa beban kerja Kubernetes yang aman secara default, Security Center menambahkan kebijakan tingkat Kubernetes dan rekomendasi pengerasan, termasuk opsi penegakan dengan kontrol masuk Kubernetes.
Fase awal proyek ini mencakup pratinjau dan penambahan kebijakan baru (dinonaktifkan secara default) ke inisiatif ASC_default.
Anda dapat mengabaikan kebijakan ini dengan aman dan tidak akan berdampak pada lingkungan Anda. Jika Anda ingin mengaktifkannya, daftar untuk pratinjau melalui Komunitas Privat Microsoft Cloud Security dan pilih dari opsi berikut:
- Pratinjau Tunggal – Untuk menggabungkan pratinjau ini saja. Sebutkan secara eksplisit "ASC Continuous Scan" sebagai pratinjau yang ingin Anda ikuti.
- Program yang Sedang Berlangsung - Untuk ditambahkan ke pratinjau privat ini dan yang akan datang. Anda harus menyelesaikan profil dan perjanjian privasi.
Juli 2020
Pembaruan pada bulan Juli meliputi:
- Penilaian kerentanan untuk komputer virtual sekarang tersedia untuk gambar yang tidak ada di marketplace
- Perlindungan ancaman untuk Azure Storage diperluas untuk menyertakan Azure Files dan Azure Data Lake Storage Gen2 (pratinjau)
- Delapan rekomendasi baru untuk mengaktifkan fitur perlindungan ancaman
- Peningkatan keamanan kontainer - pemindaian registri yang lebih cepat dan dokumentasi yang di-refresh
- Kontrol aplikasi adaptif diperbarui dengan rekomendasi dan dukungan baru untuk kartubebas dalam aturan jalur
- Enam kebijakan untuk keamanan data tingkat lanjut SQL tidak digunakan lagi
Penilaian kerentanan untuk komputer virtual sekarang tersedia untuk gambar non-marketplace
Saat Anda menyebarkan solusi penilaian kerentanan, Security Center sebelumnya melakukan pemeriksaan validasi sebelum penyebaran. Pemeriksaan itu untuk mengonfirmasi SKU marketplace dari komputer virtual tujuan.
Dari pembaruan ini, pemeriksaan dihapus dan Anda sekarang dapat menyebarkan alat penilaian kerentanan ke komputer Windows dan Linux 'kustom'. Gambar kustom adalah gambar yang telah Anda ubah dari default marketplace.
Meskipun Anda sekarang dapat menyebarkan ekstensi penilaian kerentanan terintegrasi (didukung oleh Qualys) pada lebih banyak komputer, dukungan hanya tersedia jika Anda menggunakan OS yang terdaftar di Menyebarkan pemindai kerentanan terintegrasi ke VM tingkat standar
Pelajari selengkapnya tentang pemindai kerentanan terintegrasi untuk koomputer virtual (memerlukan Azure Defender).
Pelajari selengkapnya tentang menggunakan solusi penilaian kerentanan berlisensi privat Anda sendiri dari Qualys atau Rapid7 dalam Menyebarkan solusi pemindaian kerentanan mitra.
Perlindungan ancaman untuk Azure Storage diperluas untuk menyertakan Azure Files dan Azure Data Lake Storage Gen2 (pratinjau)
Perlindungan ancaman untuk Azure Storage mendeteksi aktivitas yang berpotensi berbahaya di akun Azure Storage Anda. Pusat Keamanan menampilkan pemberitahuan saat mendeteksi upaya untuk mengakses atau mengeksploitasi akun penyimpanan Anda.
Data Anda dapat dilindungi baik disimpan sebagai kontainer blob, berbagi file, atau data lake.
Delapan rekomendasi baru untuk mengaktifkan fitur perlindungan ancaman
Delapan rekomendasi baru telah ditambahkan untuk menyediakan cara sederhana untuk mengaktifkan fitur perlindungan ancaman Azure Security Center untuk jenis sumber daya berikut: komputer virtual, paket App Service, server Azure SQL Database, server SQL pada komputer, akun Azure Storage, kluster Azure Kubernetes Service, registri Azure Container Registry, dan brankas Azure Key Vault.
Rekomendasi baru adalah:
- Keamanan data tingkat lanjut harus diaktifkan pada server Database Azure SQL
- Keamanan data tingkat lanjut harus diaktifkan di server SQL Anda
- Perlindungan ancaman tingkat lanjut harus diaktifkan pada paket Azure App Service
- Perlindungan ancaman tingkat lanjut harus diaktifkan pada registri Azure Container Registry
- Perlindungan ancaman tingkat lanjut harus diaktifkan pada brankas Azure Key Vault
- Perlindungan ancaman lanjutan harus diaktifkan pada kluster Azure Kubernetes Service
- Perlindungan ancaman tingkat lanjut harus diaktifkan pada akun Azure Storage
- Perlindungan ancaman tingkat lanjut harus diaktifkan pada komputer virtual
Rekomendasi juga mencakup kemampuan perbaikan cepat.
Penting
Meremediasi salah satu rekomendasi ini akan mengakibatkan biaya untuk melindungi sumber daya yang relevan. Biaya ini akan segera dimulai jika Anda memiliki sumber daya terkait dalam langganan saat ini. Atau di masa depan, jika Anda menambahkannya di kemudian hari.
Misalnya, jika Anda tidak memiliki kluster Azure Kubernetes Service dalam langganan Anda dan Anda mengaktifkan perlindungan ancaman, tidak ada biaya yang akan dikenakan. Jika, di masa depan, Anda menambahkan kluster pada langganan yang sama, kluster tersebut akan secara otomatis dilindungi dan biaya akan dimulai pada saat itu.
Pelajari selengkapnya tentang rekomendasi ini di halaman referensi rekomendasi keamanan.
Pelajari selengkapnya tentang perlindungan ancaman di Azure Security Center.
Peningkatan keamanan kontainer - pemindaian registri yang lebih cepat dan dokumentasi yang di-refresh
Sebagai bagian dari investasi berkelanjutan dalam domain keamanan kontainer, kami dengan senang hati berbagi peningkatan performa yang signifikan dalam pemindaian dinamis gambar kontainer Security Center yang disimpan di Azure Container Registry. Pemindaian sekarang biasanya selesai dalam waktu sekitar dua menit. Dalam beberapa kasus, pemindaian mungkin membutuhkan waktu hingga 15 menit.
Untuk meningkatkan kejelasan dan panduan mengenai kemampuan keamanan kontainer Azure Security Center, halaman dokumentasi keamanan kontainer telah di-refresh.
Pelajari selengkapnya tentang keamanan kontainer Security Center di artikel berikut ini:
- Ringkasan fitur keamanan kontainer Security Center
- Detail integrasi dengan Azure Container Registry
- Detail integrasi dengan Azure Kubernetes Service
- Cara memindai registri Anda dan menguatkan host Docker Anda
- Pemberitahuan keamanan dari fitur perlindungan ancaman untuk kluster Azure Kubernetes Service
- Rekomendasi keamanan untuk kontainer
Kontrol aplikasi adaptif diperbarui dengan rekomendasi baru dan dukungan untuk kartubebas dalam aturan jalur
Fitur kontrol aplikasi adaptif telah menerima dua pembaruan signifikan:
Rekomendasi baru mengidentifikasi perilaku yang berpotensi sah yang sebelumnya belum diizinkan. Rekomendasi baru, Aturan Allowlist dalam kebijakan kontrol aplikasi adaptif Anda harus diperbarui, meminta Anda untuk menambahkan aturan baru ke kebijakan yang ada untuk mengurangi jumlah positif palsu dalam pemberitahuan pelanggaran kontrol aplikasi adaptif.
Aturan jalur sekarang mendukung kartubebas. Dari pembaruan ini, Anda dapat mengonfigurasi aturan jalur yang diizinkan menggunakan kartubebas. Ada dua skenario yang didukung:
Menggunakan kartubebas di akhir jalur untuk mengizinkan semua executable dalam folder dan subfolder ini.
Menggunakan kartubebas di tengah jalur untuk mengaktifkan nama yang dapat dijalankan yang dikenal dengan nama folder yang berubah (misalnya, folder pengguna pribadi yang berisi nama folder yang dapat dijalankan dan dibuat secara otomatis, dll).
Pelajari selengkapnya tentang kontrol aplikasi adaptif.
Enam kebijakan untuk keamanan data tingkat lanjut SQL tidak digunakan lagi
Enam kebijakan terkait keamanan data tingkat lanjut untuk komputer SQL tidak digunakan lagi:
- Jenis perlindungan ancaman lanjutan harus diatur ke 'Semua' dalam pengaturan keamanan data tingkat lanjut instans terkelola SQL
- Jenis perlindungan ancaman tingkat lanjut harus diatur ke 'Semua' di pengaturan keamanan data tingkat lanjut server SQL
- Pengaturan keamanan data tingkat lanjut untuk instans terkelola SQL harus berisi alamat email untuk menerima pemberitahuan keamanan
- Pengaturan keamanan data tingkat lanjut untuk server SQL harus berisi alamat email untuk menerima pemberitahuan keamanan
- Pemberitahuan email ke admin dan pemilik langganan harus diaktifkan di pengaturan keamanan data tingkat lanjut instans terkelola SQL
- Pemberitahuan email ke admin dan pemilik langganan harus diaktifkan di pengaturan keamanan data tingkat lanjut server SQL
Pelajari selengkapnya tentang kebijakan bawaan.
2020 Juni
Pembaruan di bulan Juni meliputi:
- API skor aman (pratinjau)
- Keamanan data tingkat lanjut untuk komputer SQL (Azure, cloud lain, dan lingkungan lokal) (pratinjau)
- Dua rekomendasi baru untuk menyebarkan agen Analitik Log ke komputer Azure Arc (pratinjau)
- Kebijakan baru untuk membuat konfigurasi otomatisasi ekspor dan alur kerja berkelanjutan dalam skala besar
- Rekomendasi baru untuk menggunakan NSG untuk melindungi komputer virtual yang tidak berhubungan dengan internet
- Kebijakan baru untuk memungkinkan perlindungan ancaman dan keamanan data tingkat lanjut
API skor aman (pratinjau)
Anda sekarang dapat mengakses skor Anda melalui API skor aman (saat ini dalam pratinjau). Metode API memberikan fleksibilitas untuk mengkueri data dan membangun mekanisme pelaporan Anda sendiri dari skor aman Anda setiap saat. Misalnya, Anda menggunakan API Skor Aman untuk mendapatkan skor atas langganan tertentu. Selain itu, Anda dapat menggunakan Secure Score Controls API untuk mencantumkan kontrol keamanan dan skor langganan Anda saat ini.
Untuk contoh alat eksternal yang dimungkinkan dengan API skor aman, lihat area skor aman komunitas GitHub kami.
Pelajari selengkapnya tentang skor aman dan kontrol keamanan di Azure Security Center.
Keamanan data tingkat lanjut untuk komputer SQL (Azure, cloud lain, dan lingkungan lokal) (pratinjau)
Keamanan data tingkat lanjut Azure Security Center untuk komputer SQL kini melindungi SQL Server yang dihosting di Azure, di lingkungan cloud lainnya, dan bahkan komputer lokal. Ini memperluas perlindungan untuk SQL Server asli Azure Anda untuk sepenuhnya mendukung lingkungan hibrida.
Keamanan data tingkat lanjut memberikan penilaian kerentanan dan perlindungan ancaman tingkat lanjut untuk komputer SQL Anda di mana pun komputer berada.
Penyiapan melibatkan dua langkah:
Menyebarkan agen Analitik Log ke komputer host SQL Server Anda untuk memberikan koneksi ke akun Azure.
Mengaktifkan bundel opsional di halaman pengaturan dan harga Security Center.
Pelajari selengkapnya tentang keamanan data tingkat lanjut untuk komputer SQL.
Dua rekomendasi baru untuk menyebarkan agen Analitik Log ke komputer Azure Arc (pratinjau)
Dua rekomendasi baru telah ditambahkan untuk membantu menyebarkan Agen Analitik Log ke komputer Azure Arc Anda dan memastikan rekomendasi tersebut dilindungi oleh Azure Security Center:
- Agen Analitik Log harus diinstal pada komputer Azure Arc berbasis Windows (Pratinjau)
- Agen Analitik Log harus diinstal pada komputer Azure Arc berbasis Linux (Pratinjau)
Rekomendasi baru ini akan muncul di empat kontrol keamanan yang sama dengan rekomendasi (terkait) yang ada, Agen pemantauan harus diinstal pada komputer Anda: meremediasi konfigurasi keamanan, menerapkan kontrol aplikasi adaptif, menerapkan pembaruan sistem, dan mengaktifkan perlindungan titik akhir.
Rekomendasi juga mencakup kemampuan Perbaikan cepat untuk mempercepat proses penyebaran.
Pelajari selengkapnya tentang dua rekomendasi baru ini dalam tabel Rekomendasi aplikasi dan komputasi.
Pelajari selengkapnya tentang bagaimana Azure Security Center menggunakan agen di Apa yang dimaksud dengan agen Analitik Log?.
Pelajari selengkapnya tentang ekstensi untuk komputer Azure Arc.
Kebijakan baru untuk membuat ekspor berkelanjutan dan konfigurasi otomatisasi alur kerja dalam skala besar
Melakukan otomatisasi proses pemantauan dan respon atas insiden organisasi Anda akan sangat meningkatkan efisiensi waktu yang diperlukan untuk menyelidiki dan mengatasi insiden keamanan.
Untuk menyebarkan konfigurasi otomatisasi di seluruh organisasi Anda, gunakan kebijakan Azure 'DeployIfdNotExist' bawaan ini untuk membuat dan mengonfigurasi prosedur ekspor berkelanjutan dan alur kerja berkelanjutan:
Definisi kebijakan dapat ditemukan di Azure Policy:
| Goal | Kebijakan | ID Azure Policy |
|---|---|---|
| Ekspor berkelanjutan ke Azure Event Hubs | Menyebarkan ekspor ke Azure Event Hubs untuk peringatan dan rekomendasi Azure Security Center | cdfcce10-4578-4ecd-9703-530938e4abcb |
| Ekspor berkelanjutan ke ruang kerja Log Analytics | Terapkan ekspor ke ruang kerja Analitik Log untuk pemberitahuan dan rekomendasi Azure Security Center | ffb6f416-7bd2-4488-8828-56585fef2be9 |
| Otomatisasi alur kerja untuk pemberitahuan terhadap keamanan | Menggunakan Automasi Alur Kerja untuk pemberitahuan Azure Security Center | f1525828-9a90-4fcf-be48-268cdd02361e |
| Otomatisasi alur kerja untuk rekomendasi keamanan | Menggunakan Automasi Alur Kerja untuk rekomendasi Azure Security Center | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Memulai templat automasi alur kerja.
Pelajari selengkapnya tentang menggunakan dua kebijakan ekspor dalam Mengonfigurasi otomatisasi alur kerja dalam skala besar menggunakan kebijakan yang disediakan dan Menyiapkan ekspor berkelanjutan.
Rekomendasi baru untuk menggunakan NSG guna melindungi komputer virtual yang tidak berhubungan dengan internet
Kontrol keamanan "terapkan praktik terbaik keamanan" sekarang mencakup rekomendasi baru berikut:
- Komputer virtual yang tidak memiliki akses Internet harus dilindungi dengan kelompok keamanan jaringan
Rekomendasi yang ada, komputer virtual yang berhubungan dengan internet harus dilindungi dengan kelompok keamanan jaringan, tidak membedakan antara VM yang berhubungan dan tidak berhubungan dengan internet. Untuk keduanya, rekomendasi tingkat keparahan tinggi dihasilkan jika VM tidak ditetapkan ke kelompok keamanan jaringan. Rekomendasi baru ini memisahkan komputer yang tidak berhubungan dengan internet untuk mengurangi positif palsu dan menghindari pemberitahuan tingkat keparahan tinggi yang tidak perlu.
Pelajari selengkapnya dalam tabel Rekomendasi jaringan.
Kebijakan baru untuk mengaktifkan perlindungan ancaman dan keamanan data tingkat lanjut
Definisi kebijakan baru di bawah ini ditambahkan ke inisiatif ASC Default dan dirancang untuk membantu mengaktifkan perlindungan ancaman atau keamanan data tingkat lanjut untuk jenis sumber daya yang relevan.
Definisi kebijakan dapat ditemukan di Azure Policy:
| Kebijakan | ID Azure Policy |
|---|---|
| Keamanan data tingkat lanjut harus diaktifkan pada server Database Azure SQL | 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2 |
| Keamanan data tingkat lanjut harus diaktifkan di server SQL Anda | 6581d072-105e-4418-827f-bd446d56421b |
| Perlindungan ancaman tingkat lanjut harus diaktifkan pada akun Azure Storage | 308fbb08-4ab8-4e67-9b29-592e93fb94fa |
| Perlindungan ancaman tingkat lanjut harus diaktifkan pada brankas Azure Key Vault | 0e6763cc-5078-4e64-889d-ff4d9a839047 |
| Perlindungan ancaman tingkat lanjut harus diaktifkan pada paket Azure App Service | 2913021d-f2fd-4f3d-b958-22354e2bdbcb |
| Perlindungan ancaman tingkat lanjut harus diaktifkan pada registri Azure Container Registry | c25d9a16-bc35-4e15-a7e5-9db606bf9ed4 |
| Perlindungan ancaman lanjutan harus diaktifkan pada kluster Azure Kubernetes Service | 523b5cd1-3e23-492f-a539-13118b6d1e3a |
| Perlindungan ancaman tingkat lanjut harus diaktifkan pada komputer virtual | 4da35fc9-c9e7-4960-aec9-797fe7d9051d |
Pelajari selengkapnya tentang Perlindungan ancaman di Azure Security Center.
2020 Mei
Pembaruan pada bulan Mei meliputi:
- Aturan supresi pemberitahuan (pratinjau)
- Penilaian kerentanan komputer virtual sekarang tersedia secara umum
- Perubahan pada akses komputer virtual (VM) just-in-time (JIT)
- Rekomendasi kustom telah dipindahkan ke kontrol keamanan terpisah
- Dwiarah ditambahkan untuk menampilkan rekomendasi dalam kontrol atau sebagai daftar datar
- Kontrol keamanan yang diperluas "Terapkan praktik terbaik keamanan"
- Kebijakan kustom dengan metadata kustom sekarang tersedia secara umum
- Kemampuan analisis crash dump bermigrasi ke deteksi serangan tanpa file
Aturan supresi pemberitahuan (pratinjau)
Fitur baru ini (saat ini dalam pratinjau) membantu mengurangi kelelahan pemberitahuan. Gunakan aturan untuk secara otomatis menyembunyikan pemberitahuan yang diketahui tidak berbahaya atau terkait dengan aktivitas normal di organisasi Anda. Ini memungkinkan Anda fokus pada ancaman yang paling relevan.
Pemberitahuan yang cocok dengan aturan supresi yang diaktifkan akan tetap dibuat, tetapi statusnya akan diatur untuk dimatikan. Anda dapat melihat status di portal Azure atau dengan cara apa pun Anda mengakses pemberitahuan keamanan Security Center Anda.
Aturan supresi Anda menentukan kriteria pemberitahuan yang akan dimatikan secara otomatis. Biasanya, aturan supresi digunakan untuk:
menyembunyikan pemberitahuan yang telah Anda identifikasi sebagai positif palsu
menyembunyikan pemberitahuan yang dipicu terlalu sering agar berguna
Pelajari selengkapnya tentang menyembunyikan pemberitahuan dari perlindungan ancaman Azure Security Center.
Penilaian kerentanan komputer virtual sekarang tersedia secara umum
Tingkat standar Security Center sekarang mencakup penilaian kerentanan terintegrasi untuk komputer virtual tanpa biaya tambahan. Ekstensi ini didukung oleh Qualys tetapi melaporkan temuannya langsung kembali ke Security Center. Anda tidak memerlukan lisensi Qualys atau bahkan akun Qualys - semuanya ditangani dengan tanpa hambatan di dalam Security Center.
Solusi baru ini dapat terus memindai komputer virtual Anda untuk menemukan kerentanan dan menyajikan temuan di Security Center.
Untuk menyebarkan solusi, gunakan rekomendasi keamanan baru:
"Mengaktifkan solusi penilaian kerentanan bawaan pada komputer virtual (didukung oleh Qualys)"
Pelajari selengkapnya tentang Penilaian kerentanan terintegrasi Security Center untuk komputer virtual.
Perubahan pada akses komputer virtual (VM) just-in-time (JIT)
Security Center mencakup fitur opsional untuk melindungi port manajemen VM Anda. Ini memberikan pertahanan terhadap bentuk serangan brute force yang paling umum.
Pembaruan ini membawa perubahan berikut ke fitur ini:
Rekomendasi yang menyarankan Anda untuk mengaktifkan JIT pada VM diganti namanya. Sebelumnya, "Kontrol akses jaringan just-in-time harus diterapkan pada komputer virtual" sekarang: "Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time."
Rekomendasi tersebut dipicu hanya jika ada port manajemen terbuka.
Pelajari selengkapnya tentang fitur akses JIT.
Rekomendasi kustom telah dipindahkan ke kontrol keamanan terpisah
Salah satu kontrol keamanan yang diperkenalkan dengan skor aman yang ditingkatkan adalah "Menerapkan praktik terbaik keamanan." Rekomendasi kustom apa pun yang dibuat untuk langganan Anda secara otomatis ditempatkan dalam kontrol tersebut.
Untuk mempermudah menemukan rekomendasi kustom Anda, kami telah memindahkannya ke kontrol keamanan khusus, "Rekomendasi kustom." Kontrol ini tidak berdampak pada skor aman Anda.
Pelajari selengkapnya tentang kontrol keamanan di Peningkatan skor aman (pratinjau) di Azure Security Center.
Dwiarah ditambahkan untuk menampilkan rekomendasi dalam kontrol atau sebagai daftar datar
Kontrol keamanan adalah grup logis dari rekomendasi keamanan terkait. Mereka mencerminkan permukaan serangan Anda yang rentan. Kontrol adalah sekumpulan rekomendasi keamanan, dengan instruksi yang membantu Anda menerapkan rekomendasi tersebut.
Untuk melihat seberapa baik organisasi Anda mengamankan setiap permukaan serangan individu, tinjau skor untuk setiap kontrol keamanan.
Secara default, rekomendasi Anda ditampilkan di kontrol keamanan. Dari pembaruan ini, Anda juga dapat menampilkannya sebagai daftar. Untuk menampilkannya sebagai daftar sederhana yang diurutkan berdasarkan status kesehatan sumber daya yang terpengaruh, gunakan dwiarah baru 'Kelompokkan berdasarkan kontrol'. Dwiarah berada di atas daftar di portal.
Kontrol keamanan - dan dwiarah ini - adalah bagian dari pengalaman skor aman baru. Ingatlah untuk mengirimkan kami umpan balik Anda dari dalam portal.
Pelajari selengkapnya tentang kontrol keamanan di Peningkatan skor aman (pratinjau) di Azure Security Center.
Kontrol keamanan yang diperluas "Terapkan praktik terbaik keamanan"
Salah satu kontrol keamanan yang diperkenalkan dengan skor aman yang ditingkatkan adalah "Menerapkan praktik terbaik keamanan." Ketika rekomendasi berada dalam kontrol ini, rekomendasi tidak memengaruhi skor aman.
Dengan pembaruan ini, tiga rekomendasi telah dipindahkan keluar dari kontrol di mana rekomendasi awalnya ditempatkan, dan ke dalam kontrol praktik terbaik ini. Kami telah mengambil langkah ini karena kami telah menentukan bahwa risiko dari ketiga rekomendasi ini lebih rendah dari yang diperkirakan awalnya.
Selain itu, dua rekomendasi baru telah diperkenalkan dan ditambahkan ke kontrol ini.
Tiga rekomendasi yang dipindahkan adalah:
- MFA harus diaktifkan pada akun dengan izin baca pada langganan Anda (awalnya dalam kontrol "Aktifkan MFA")
- Akun eksternal dengan izin baca harus dihapus dari langganan Anda (awalnya dalam kontrol "Kelola akses dan izin")
- Maksimal 3 pemilik harus ditunjuk untuk langganan Anda (awalnya dalam kontrol "Kelola akses dan izin")
Dua rekomendasi baru yang ditambahkan ke kontrol adalah:
Ekstensi konfigurasi tamu harus diinstal pada komputer virtual Windows (Pratinjau) - Menggunakan Azure Policy Guest Configuration memberikan visibilitas di dalam komputer virtual ke server dan pengaturan aplikasi (khusus Windows).
Windows Defender Exploit Guard harus diaktifkan pada komputer Anda (Pratinjau) - Windows Defender Exploit Guard memanfaatkan agen Konfigurasi Tamu Azure Policy. Exploit Guard memiliki empat komponen yang dirancang untuk mengunci perangkat dari berbagai vektor serangan dan memblokir perilaku yang biasa digunakan dalam serangan malware sekaligus memungkinkan perusahaan untuk menyeimbangkan risiko keamanan dan persyaratan produktivitas (khusus Windows).
Pelajari lebih lanjut tentang Windows Defender Exploit Guard dalam Membuat dan menyebarkan kebijakan Exploit Guard.
Pelajari selengkapnya tentang kontrol keamanan di Skor aman yang ditingkatkan (pratinjau).
Kebijakan kustom dengan metadata kustom sekarang tersedia secara umum
Kebijakan kustom sekarang menjadi bagian dari pengalaman rekomendasi Security Center, skor aman, dan dasbor standar kepatuhan peraturan. Fitur ini sekarang tersedia secara umum dan memungkinkan Anda memperluas cakupan penilaian keamanan organisasi Anda di Security Center.
Buat inisiatif kustom di Azure Policy, tambahkan kebijakan ke dalamnya dan lakukan onboarding ke Azure Security Center, dan visualisasikan sebagai rekomendasi.
Kami sekarang juga telah menambahkan opsi untuk mengedit metadata rekomendasi kustom. Opsi metadata meliputi tingkat keparahan, langkah remediasi, informasi ancaman, dan lainnya.
Pelajari selengkapnya tentang cara meningkatkan rekomendasi kustom Anda dengan informasi mendetail.
Kemampuan analisis crash dump bermigrasi ke deteksi serangan tanpa file
Kami mengintegrasikan kemampuan deteksi analisis crash dump (CDA) Windows ke dalam deteksi serangan tanpa file. Analitik deteksi serangan tanpa file menghadirkan versi yang ditingkatkan dari pemberitahuan keamanan berikut untuk mesin Windows: Injeksi kode ditemukan, Modul Windows Masquerading Terdeteksi, Kode Shell ditemukan, dan Segmen kode mencurigakan terdeteksi.
Beberapa keuntungan dari integrasi ini:
Deteksi malware proaktif dan tepat waktu - Pendekatan CDA yang terlibat menunggu crash terjadi lalu menjalankan analisis untuk menemukan artefak berbahaya. Menggunakan deteksi serangan tanpa file berpotensi menyebabkan identifikasi proaktif ancaman dalam memori saat sedang dijalankan.
Pemberitahuan yang diperkaya - Pemberitahuan keamanan dari deteksi serangan tanpa file termasuk pengayaan yang tidak tersedia dari CDA, seperti informasi koneksi jaringan aktif.
Agregasi pemberitahuan - Ketika CDA mendeteksi beberapa pola serangan dalam satu crash dump, CDA memicu beberapa pemberitahuan keamanan. Deteksi serangan tanpa file menggabungkan semua pola serangan yang diidentifikasi dari proses yang sama ke dalam satu pemberitahuan, sehingga menghapus kebutuhan untuk menghubungkan beberapa pemberitahuan.
Mengurangi persyaratan di ruang kerja Log Analitics - Crash dump yang berisi data yang berpotensi sensitif tidak akan lagi diunggah ke ruang kerja Log Analytics Anda.
April 2020
Pembaruan di bulan April meliputi:
- Paket kepatuhan dinamis sekarang tersedia secara umum
- Rekomendasi identitas sekarang disertakan dalam tingkat gratis Azure Security Center
Paket kepatuhan dinamis sekarang tersedia secara umum
Dasbor kepatuhan peraturan Azure Security Center sekarang menyertakan paket kepatuhan dinamis (sekarang tersedia secara umum) untuk melacak industri tambahan dan standar peraturan.
Paket kepatuhan dinamis dapat ditambahkan ke grup langganan atau manajemen Anda dari halaman kebijakan keamanan Security Center. Saat Anda telah melakukan onboarding pada standar atau tolok ukur, standar muncul di dasbor kepatuhan peraturan Anda dengan semua data kepatuhan terkait yang dipetakan sebagai penilaian. Laporan ringkasan untuk salah satu standar yang telah di-onboarding akan tersedia untuk diunduh.
Sekarang, Anda dapat menambahkan standar seperti:
- NIST SP 800-53 R4
- SWIFT CSP CSCF-v2020
- UK Official dan UK NHS
- PBMM Federal Kanada
- Azure CIS 1.1.0 (baru) (yang merupakan representasi azure CIS 1.1.0 yang lebih lengkap)
Selain itu, kami baru-baru ini menambahkan Azure Security Benchmark, yaitu panduan khusus Azure yang ditulis Microsoft untuk praktik terbaik keamanan dan kepatuhan berdasarkan kerangka kerja kepatuhan umum. Standar tambahan akan didukung di dasbor saat tersedia.
Pelajari selengkapnya tentang cara menyesuaikan kumpulan standar di dasbor kepatuhan peraturan Anda.
Rekomendasi identitas sekarang disertakan dalam tingkat gratis Azure Security Center
Rekomendasi keamanan untuk identitas dan akses di tingkat gratis Azure Security Center kini tersedia secara umum. Hal ini merupakan bagian dari upaya dalam membuat fitur manajemen postur keamanan cloud (CSPM) menjadi gratis. Hingga saat ini, rekomendasi ini hanya tersedia pada tingkat harga standar.
Contoh identitas dan rekomendasi akses meliputi:
- "Autentikasi multifaktor harus diaktifkan pada akun dengan izin pemilik pada langganan Anda."
- "Maksimal tiga pemilik harus ditetapkan untuk langganan Anda."
- "Akun yang tidak digunakan lagi harus dihapus dari langganan Anda."
Jika Anda memiliki langganan pada tingkat harga gratis, skor amannya akan terpengaruh oleh perubahan ini karena identitas dan keamanan akses langganan tidak pernah dinilai.
Pelajari selengkapnya tentang rekomendasi identitas dan akses.
Pelajari selengkapnya tentang Mengelola penerapan autentikasi multifaktor (MFA) pada langganan Anda.
Maret 2020
Pembaruan di bulan Maret meliputi:
- Otomatisasi alur kerja kini tersedia secara umum
- Integrasi Azure Security Center dengan Pusat Admin Windows
- Perlindungan untuk Azure Kubernetes Service
- Peningkatan pengalaman just-in-time
- Dua rekomendasi keamanan untuk aplikasi web tidak digunakan lagi
Otomatisasi alur kerja kini tersedia secara umum
Fitur otomatisasi alur kerja di Azure Security Center kini tersedia secara umum. Gunakan fitur ini untuk memicu Logic Apps secara otomatis pada pemberitahuan dan rekomendasi keamanan. Selain itu, pemicu manual tersedia untuk pemberitahuan dan semua rekomendasi yang memiliki opsi perbaikan cepat yang tersedia.
Setiap program keamanan mencakup beberapa alur kerja untuk respons insiden. Proses ini mungkin termasuk memberi tahu pemangku kepentingan terkait, meluncurkan proses manajemen perubahan, dan menerapkan langkah-langkah perbaikan khusus. Pakar keamanan menyarankan agar Anda mengotomatiskan sebanyak mungkin langkah-langkah prosedur tersebut. Otomatisasi mengurangi overhead dan dapat meningkatkan keamanan Anda dengan memastikan langkah-langkah proses dilakukan dengan cepat, konsisten, dan sesuai dengan persyaratan yang telah ditentukan sebelumnya.
Untuk informasi selengkapnya tentang kemampuan Security Center otomatis dan manual guna menjalankan alur kerja Anda, lihat otomatisasi alur kerja.
Pelajari selengkapnya tentang cara membuat Logic Apps.
Integrasi Azure Security Center dengan Pusat Admin Windows
Sekarang Anda dapat memindahkan server Windows lokal Anda dari Pusat Admin Windows langsung ke Azure Security Center. Security Center kemudian menjadi panel kaca tunggal Anda guna melihat informasi keamanan untuk semua sumber daya Pusat Admin Windows Anda, termasuk server lokal, komputer virtual, dan beban kerja PaaS tambahan.
Setelah memindahkan server dari Pusat Admin Windows ke Azure Security Center, Anda dapat:
- Melihat pemberitahuan dan rekomendasi keamanan di ekstensi Security Center pada Pusat Admin Windows.
- Melihat postur keamanan dan mengambil informasi detail tambahan server yang dikelola Pusat Admin Windows Anda di Security Center di dalam portal Azure (atau melalui API).
Pelajari selengkapnya tentang cara mengintegrasikan Azure Security Center dengan Pusat Admin Windows.
Perlindungan untuk Azure Kubernetes Service
Azure Security Center memperluas fitur keamanan kontainernya untuk melindungi Azure Kubernetes Service (AKS).
Platform sumber terbuka yang populer Kubernetes diadopsi begitu luas sehingga sekarang menjadi standar industri untuk orkestrasi kontainer. Meskipun implementasinya tersebar luas, masih terdapat kurangnya pemahaman mengenai cara mengamankan lingkungan Kube. Mempertahankan permukaan serangan aplikasi dalam kontainer membutuhkan keahlian untuk memastikan infrastruktur dikonfigurasi dengan aman dan terus dipantau untuk mendeteksi potensi ancaman.
Pertahanan Security Center meliputi:
- Penemuan dan visibilitas - Penemuan berkelanjutan dari instans AKS terkelola dalam langganan yang terdaftar di Security Center.
- Rekomendasi keamanan - Rekomendasi yang dapat ditindaklanjuti guna membantu Anda mematuhi praktik terbaik keamanan untuk AKS. Rekomendasi ini disertakan dalam skor aman Anda untuk memastikan rekomendasi tersebut dipandang sebagai bagian dari postur keamanan organisasi Anda. Contoh rekomendasi terkait AKS yang mungkin Anda lihat adalah "Kontrol akses berbasis peran harus digunakan untuk membatasi akses ke kluster layanan Kubernetes."
- Perlindungan ancaman - Melalui analisis berkelanjutan tentang penyebaran AKS Anda, Security Center memberi tahu Anda tentang ancaman dan aktivitas berbahaya yang terdeteksi di tingkat kluster host dan AKS.
Pelajari lebih lanjut tentang Integrasi Azure Kubernetes Service dengan Security Center.
Pelajari selengkapnya tentang fitur keamanan kontainer di Security Center.
Pengalaman just-in-time yang ditingkatkan
Fitur, operasi, dan UI untuk alat just-in-time Azure Security Center yang mengamankan port manajemen Anda telah ditingkatkan sebagai berikut:
- Bidang pembenaran - Saat meminta akses ke komputer virtual (VM) melalui halaman just-in-time portal Azure, bidang opsional baru tersedia guna memasukkan pembenaran untuk permintaan tersebut. Informasi yang dimasukkan ke dalam bidang ini dapat dilacak dalam log aktivitas.
- Pembersihan otomatis aturan just-in-time (JIT) redundan - Setiap kali Anda memperbarui kebijakan JIT, alat pembersihan secara otomatis berjalan untuk memeriksa validitas seluruh aturan Anda. Alat ini mencari ketidakcocokan antara aturan dalam kebijakan dan aturan Anda di NSG. Jika alat pembersihan menemukan ketidakcocokan, alat ini menentukan penyebabnya dan, ketika aman untuk melakukannya, akan menghapus aturan bawaan yang tidak diperlukan lagi. Pembersih tidak pernah menghapus aturan yang telah Anda buat.
Pelajari selengkapnya tentang fitur akses JIT.
Dua rekomendasi keamanan untuk aplikasi web tidak digunakan lagi
Dua rekomendasi keamanan terkait aplikasi web tidak digunakan lagi:
Aturan NSG untuk aplikasi web di IaaS harus diperkuat. (Kebijakan terkait: Aturan NSGs untuk aplikasi web di IaaS harus diperkuat)
Akses ke App Services harus dibatasi. (Kebijakan terkait: Akses ke App Services harus dibatasi [pratinjau])
Rekomendasi ini tidak akan muncul lagi di daftar rekomendasi Security Center. Kebijakan terkait tidak akan lagi disertakan dalam inisiatif bernama "Security Center Default".
Pelajari lebih lanjut tentang rekomendasi keamanan.
Februari 2020
Deteksi serangan tanpa file untuk Linux (pratinjau)
Ketika penyerang meningkat menggunakan metode siluman untuk menghindari deteksi, Azure Security Center memperluas deteksi serangan tanpa file untuk Linux, selain Windows. Serangan tanpa file mengeksploitasi kerentanan perangkat lunak, menyuntikkan payload berbahaya ke dalam proses sistem jinak, dan menyembunyikan dalam memori. Teknik-teknik ini:
- meminimalkan atau menghilangkan jejak malware pada disk
- sangat mengurangi kemungkinan deteksi oleh solusi pemindaian malware berbasis disk
Untuk melawan ancaman ini, Azure Security Center merilis deteksi serangan tanpa file untuk Windows pada Oktober 2018, dan sekarang juga telah memperluas deteksi serangan tanpa file di Linux.
Januari 2020
Skor aman yang ditingkatkan (pratinjau)
Versi yang ditingkatkan dari fitur skor aman Azure Security Center sekarang tersedia dalam pratinjau. Dalam versi ini, beberapa rekomendasi dikelompokkan ke dalam Kontrol Keamanan yang lebih mencerminkan permukaan serangan Anda yang rentan (misalnya, membatasi akses ke port manajemen).
Pahami perubahan skor aman selama fase pratinjau dan tentukan remediasi lain yang akan membantu Anda untuk lebih mengamankan lingkungan Anda.
Pelajari selengkapnya tentang skor aman (pratinjau) yang ditingkatkan.
November 2019
Pembaruan pada bulan November meliputi:
- Perlindungan Ancaman untuk Azure Key Vault di wilayah Amerika Utara (pratinjau)
- Perlindungan Ancaman untuk Azure Storage termasuk Penyaringan Reputasi Malware
- Otomatisasi alur kerja dengan Logic Apps (pratinjau)
- Perbaikan Cepat untuk sumber daya massal yang tersedia secara umum
- Citra kontainer pemindaian untuk kerentanan (pratinjau)
- Standar kepatuhan peraturan tambahan (pratinjau)
- Perlindungan Ancaman untuk Azure Kubernetes Service (pratinjau)
- Penilaian kerentanan komputer virtual (pratinjau)
- Keamanan data tingkat lanjut untuk server SQL di Azure Virtual Machines (pratinjau)
- Dukungan untuk kebijakan kustom (pratinjau)
- Memperluas cakupan Azure Security Center dengan platform untuk komunitas dan mitra
- Integrasi tingkat lanjut dengan ekspor rekomendasi dan pemberitahuan (pratinjau)
- Onboard server lokal ke Security Center dari Pusat Admin Windows (pratinjau)
Perlindungan Ancaman untuk Azure Key Vault di Wilayah Amerika Utara (pratinjau)
Azure Key Vault adalah layanan penting untuk melindungi data dan meningkatkan performa aplikasi cloud dengan menawarkan kemampuan untuk mengelola kunci, rahasia, kunci kriptografi, dan kebijakan secara terpusat di cloud. Karena Azure Key Vault menyimpan data sensitif dan penting bagi bisnis, layanan ini membutuhkan keamanan maksimum untuk brankas kunci dan data yang disimpan di dalamnya.
Dukungan Azure Security Center untuk Perlindungan Ancaman Azure Key Vault menyediakan lapisan tambahan kecerdasan keamanan yang mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi brankas kunci. Lapisan perlindungan baru ini memungkinkan pelanggan untuk mengatasi ancaman terhadap brankas kunci mereka tanpa menjadi pakar keamanan atau mengelola sistem pemantauan keamanan. Fitur ini dalam pratinjau publik di Wilayah Amerika Utara.
Perlindungan Ancaman untuk Azure Storage termasuk Penyaringan Reputasi Malware
Perlindungan ancaman untuk Azure Storage menawarkan deteksi baru yang didukung oleh Microsoft Threat Intelligence untuk mendeteksi unggahan malware ke Azure Storage menggunakan analisis reputasi hash dan akses mencurigakan dari simpul keluar Tor aktif (proksi anonim). Kini Anda dapat melihat malware yang terdeteksi di seluruh akun penyimpanan menggunakan Azure Security Center.
Otomatisasi alur kerja dengan Logic Apps (pratinjau)
Organisasi dengan keamanan terkelola secara terpusat dan IT/operasi menerapkan proses alur kerja internal untuk mendorong tindakan yang diperlukan dalam organisasi ketika perbedaan ditemukan di lingkungannya. Dalam banyak kasus, alur kerja ini adalah proses dan otomatisasi yang dapat diulang dapat sangat menyederhanakan proses dalam organisasi.
Sekarang kami memperkenalkan kemampuan baru di Security Center yang memungkinkan pelanggan membuat konfigurasi otomatisasi yang memanfaatkan Azure Logic Apps dan membuat kebijakan yang akan secara otomatis memicunya berdasarkan temuan ASC tertentu seperti Rekomendasi atau Pemberitahuan. Aplikasi Logic Azure dapat dikonfigurasi untuk melakukan tindakan kustom apa pun yang didukung oleh komunitas konektor Aplikasi Logika yang luas, atau menggunakan salah satu template yang disediakan oleh Security Center seperti mengirim email atau membuka tiket ServiceNow.
Untuk informasi selengkapnya tentang kemampuan Security Center otomatis dan manual guna menjalankan alur kerja Anda, lihat otomatisasi alur kerja.
Untuk mempelajari tentang cara membuat Logic Apps, lihat Azure Logic Apps.
Perbaikan Cepat untuk sumber daya massal yang tersedia secara umum
Dengan banyaknya tugas yang diberikan pengguna sebagai bagian dari Skor Aman, kemampuan untuk secara efektif memulihkan masalah di seluruh armada besar dapat menjadi tantangan tersendiri.
Gunakan remediasi Perbaikan Cepat untuk memperbaiki kesalahan konfigurasi keamanan, memulihkan rekomendasi pada beberapa sumber daya, dan meningkatkan skor aman Anda.
Operasi ini akan memungkinkan Anda memilih sumber daya tempat Anda ingin menerapkan remediasi dan meluncurkan tindakan remediasi yang akan mengonfigurasi pengaturan atas nama Anda.
Perbaikan cepat umumnya tersedia pelanggan saat ini sebagai bagian dari halaman rekomendasi Security Center.
Lihat rekomendasi mana yang telah diaktifkan dengan cepat dalam panduan referensi untuk rekomendasi keamanan.
Pindai citra kontainer Anda untuk kerentanan (pratinjau)
Azure Security Center sekarang dapat memindai gambar kontainer di Azure Container Registry untuk kerentanan.
Pemindaian citra berfungsi dengan menguraikan file citra kontainer, lalu memeriksa untuk melihat apakah ada kerentanan yang diketahui (didukung oleh Qualys).
Pemindaian itu sendiri secara otomatis dipicu ketika mendorong citra kontainer baru ke Azure Container Registry. Kerentanan yang ditemukan akan muncul sebagai rekomendasi Security Center dan termasuk dalam skor aman Azure bersamaan dengan informasi tentang cara melakukan patch untuk mengurangi permukaan serangan yang diizinkan.
Standar kepatuhan peraturan tambahan (pratinjau)
Dasbor Kepatuhan Terhadap Peraturan memberikan wawasan tentang postur kepatuhan Anda berdasarkan penilaian Security Center. Dasbor menunjukkan bagaimana lingkungan Anda mematuhi kontrol dan persyaratan yang ditunjuk oleh standar peraturan tertentu dan tolok ukur industri dan memberikan rekomendasi preskriptif tentang cara memenuhi persyaratan ini.
Dasbor kepatuhan peraturan sejauh ini telah mendukung empat standar bawaan: Azure CIS 1.1.0, PCI-DSS, ISO 27001, dan SOC-TSP. Kami sekarang mengumumkan rilis pratinjau publik standar tambahan yang didukung: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM, dan UK Official bersama dengan UK NHS. Kami juga merilis versi terbaru Azure CIS 1.1.0, yang mencakup lebih banyak kontrol dari standar dan meningkatkan ekstensibilitas.
Pelajari selengkapnya tentang cara menyesuaikan standar di dasbor kepatuhan terhadap peraturan Anda.
Perlindungan Ancaman untuk Azure Kubernetes Service (pratinjau)
Kube dengan cepat menjadi standar baru untuk menyebarkan dan mengelola perangkat lunak di cloud. Hanya sedikit orang yang memiliki pengalaman luas dengan Kube dan banyak yang hanya berfokus pada rekayasa dan administrasi umum dan mengabaikan aspek keamanan. Lingkungan Kube perlu dikonfigurasi dengan hati-hati agar aman, sehingga memastikan tidak ada kontainer yang terfokus menyerang pintu permukaan tidak dibiarkan terbuka bagi penyerang. Security Center memperluas dukungannya di ruang kontainer ke salah satu layanan dengan pertumbuhan tercepat di Azure - Azure Kubernetes Service (AKS).
Kemampuan baru dalam rilis pratinjau publik ini meliputi:
- Penemuan dan Visibilitas - Penemuan berkelanjutan instans AKS terkelola dalam langganan yang terdaftar di Security Center.
- Rekomendasi Skor Aman - Item yang dapat ditindaklanjuti untuk membantu pelanggan mematuhi praktik terbaik keamanan AKS, dan meningkatkan skor amannya. Rekomendasi mencakup item seperti "Kontrol akses berbasis peran harus digunakan untuk membatasi akses ke Kluster Layanan Kube".
- Deteksi Ancaman - Analitik berbasis host dan kluster, seperti "Kontainer hak istimewa terdeteksi".
Penilaian kerentanan komputer virtual (pratinjau)
Aplikasi yang diinstal di komputer virtual sering kali memiliki kerentanan yang dapat menyebabkan pelanggaran komputer virtual. Kami mengumumkan bahwa tingkat standar Security Center mencakup penilaian kerentanan bawaan untuk komputer virtual tanpa biaya tambahan. Penilaian kerentanan, yang didukung oleh Qualys dalam pratinjau publik, akan memungkinkan Anda terus memindai semua aplikasi yang diinstal pada komputer virtual untuk menemukan aplikasi yang rentan dan memberikan temuan dalam pengalaman portal Security Center. Security Center menangani semua operasi penyebaran sehingga tidak ada pekerjaan tambahan yang diperlukan dari pengguna. Selanjutnya, kami berencana untuk memberikan opsi penilaian kerentanan untuk mendukung kebutuhan bisnis pelanggan kami yang unik.
Pelajari selengkapnya tentang penilaian kerentanan untuk Azure Virtual Machines Anda.
Keamanan data tingkat lanjut untuk server SQL di Azure Virtual Machines (pratinjau)
Dukungan Azure Security Center untuk perlindungan ancaman dan penilaian kerentanan untuk SQL DB yang berjalan pada IAAS VM sekarang dalam pratinjau.
Penilaian kerentanan adalah cara mudah untuk mengonfigurasi layanan yang dapat menemukan, melacak, dan membantu Anda meremediasi potensi kerentanan database. Penilaian ini memberikan visibilitas ke dalam postur keamanan Anda sebagai bagian dari skor aman dan menyertakan langkah-langkah untuk mengatasi masalah keamanan dan meningkatkan fortifikasi database Anda.
Perlindungan ancaman tingkat lanjut mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi server SQL Anda. Perlindungan ini terus memantau database Anda untuk aktivitas yang mencurigakan dan memberikan pemberitahuan keamanan yang berorientasi pada tindakan di pola akses database anomali. Pemberitahuan ini memberikan rincian aktivitas yang mencurigakan dan tindakan yang direkomendasikan untuk menyelidiki dan mengurangi ancaman.
Dukungan untuk kebijakan kustom (pratinjau)
Azure Security Center sekarang mendukung kebijakan kustom (dalam pratinjau).
Pelanggan kami telah ingin memperluas cakupan penilaian keamanan mereka saat ini di Security Center dengan penilaian keamanan mereka sendiri berdasarkan kebijakan yang mereka buat di Azure Policy. Anda dapat melakukan tindakan ini dengan dukungan untuk kebijakan kustom.
Kebijakan baru ini akan menjadi bagian dari pengalaman rekomendasi Security Center, Skor Aman, dan dasbor standar kepatuhan peraturan. Dengan dukungan untuk kebijakan kustom, Anda sekarang dapat membuat inisiatif kustom di Azure Policy, lalu menambahkannya sebagai kebijakan di Security Center dan memvisualisasikannya sebagai rekomendasi.
Memperluas cakupan Azure Security Center dengan platform untuk komunitas dan mitra
Gunakan Security Center untuk menerima rekomendasi tidak hanya dari Microsoft, tetapi juga dari solusi yang ada dari mitra seperti Check Point, Tenable, dan CyberArk dengan lebih banyak integrasi yang akan datang. Alur onboarding Security Center yang sederhana dapat menghubungkan solusi yang ada ke Security Center, memungkinkan Anda untuk melihat rekomendasi postur keamanan Anda dalam satu tempat, menjalankan laporan terpadu, dan memanfaatkan semua kemampuan Pusat Keamanan terhadap rekomendasi bawaan dan mitra. Anda juga dapat mengekspor rekomendasi Security Center ke produk mitra.
Pelajari selengkapnya tentang Asosiasi Keamanan Cerdas Microsoft.
Integrasi tingkat lanjut dengan ekspor rekomendasi dan pemberitahuan (pratinjau)
Untuk mengaktifkan skenario tingkat perusahaan pada Security Center, Anda dapat menggunakan pemberitahuan dan rekomendasi Security Center di tempat tambahan kecuali portal Azure atau API. Hal ini dapat langsung diekspor ke event hub dan ke ruang kerja Analitik Log. Berikut adalah beberapa alur kerja yang bisa Anda buat seputar kemungkinan baru ini:
- Dengan ekspor ke ruang kerja Log Analytics, Anda bisa membuat dasbor kustom dengan Power BI.
- Dengan mengekspor ke Azure Event Hubs, Anda akan dapat mengekspor peringatan dan rekomendasi Security Center ke SIEM pihak ketiga Anda, ke solusi pihak ketiga, atau Azure Data Explorer.
Onboard server lokal ke Security Center dari Pusat Admin Windows (pratinjau)
Pusat Admin Windows adalah portal manajemen untuk Windows Server yang tidak digunakan di Azure yang menawarkan beberapa kemampuan manajemen Azure seperti pencadangan dan pembaruan sistem. Kami baru-baru ini menambahkan kemampuan untuk onboarding server non-Azure ini untuk dilindungi oleh ASC langsung dari pengalaman Pusat Admin Windows.
Pengguna sekarang dapat melakukan onboarding server WAC ke Azure Security Center dan memungkinkan melihat pemberitahuan dan rekomendasi keamanannya langsung di pengalaman Pusat Admin Windows.
September 2019
Pembaruan pada bulan September meliputi:
- Mengelola aturan dengan peningkatan kontrol aplikasi adaptif
- Mengontrol rekomendasi keamanan kontainer menggunakan Azure Policy
Mengelola aturan dengan peningkatan kontrol aplikasi adaptif
Pengalaman dalam mengelola aturan untuk komputer virtual menggunakan kontrol aplikasi adaptif telah ditingkatkan. Kontrol aplikasi adaptif Azure Security Center membantu Anda mengontrol aplikasi mana yang dapat berjalan di komputer virtual Anda. Selain peningkatan umum untuk manajemen aturan, keuntungan baru memungkinkan Anda mengontrol jenis file mana yang akan dilindungi saat Anda menambahkan aturan baru.
Pelajari selengkapnya tentang kontrol aplikasi adaptif.
Mengontrol rekomendasi keamanan kontainer menggunakan Azure Policy
Rekomendasi Azure Security Center untuk memperbaiki kerentanan dalam keamanan kontainer sekarang dapat diaktifkan atau dinonaktifkan melalui Azure Policy.
Untuk melihat kebijakan keamanan yang diaktifkan, dari Security Center buka halaman Azure Policy Keamanan.
Agustus 2019
Pembaruan pada bulan Agustus meliputi:
- Akses VM Just-in-time (JIT) untuk Azure Firewall
- Remediasi klik tunggal untuk meningkatkan postur keamanan Anda (pratinjau)
- Manajemen lintas penyewa
Akses VM Just-in-time (JIT) untuk Azure Firewall
Akses VM Just-in-time (JIT) untuk Azure Firewall kini tersedia secara umum. Gunakan untuk mengamankan lingkungan yang dilindungi Azure Firewall Anda selain lingkungan yang dilindungi NSG Anda.
Akses VM JIT mengurangi paparan terhadap serangan volumetrik jaringan dengan menyediakan akses terkontrol ke VM hanya saat diperlukan, yang menggunakan aturan NSG dan Azure Firewall Anda.
Ketika Anda mengaktifkan JIT untuk VM, Anda membuat kebijakan yang menentukan port yang akan dilindungi, berapa lama port akan tetap terbuka, dan alamat IP yang disetujui dari mana port ini dapat diakses. Kebijakan ini membantu Anda tetap mengontrol peran pengguna saat mereka meminta akses.
Permintaan dicatat di Log Aktivitas Azure, sehingga Anda dapat dengan mudah memantau dan mengaudit akses. Halaman just-in-time juga membantu Anda dengan cepat mengidentifikasi VM yang ada yang mengaktifkan JIT dan VM dengan JIT menjadi rekomendasi.
Pelajari selengkapnya tentang Azure Firewall.
Remediasi sekali klik untuk meningkatkan postur keamanan Anda (pratinjau)
Skor aman adalah alat yang membantu Anda menilai postur keamanan beban kerja Anda. Skor ini meninjau rekomendasi keamanan dan memprioritaskannya untuk Anda, sehingga Anda tahu rekomendasi mana yang harus dilakukan terlebih dahulu. Hal ini membantu Anda menemukan kerentanan keamanan yang paling serius untuk memprioritaskan penyelidikan.
Untuk menyederhanakan remediasi kesalahan konfigurasi keamanan dan membantu Anda meningkatkan skor aman dengan cepat, kami telah menambahkan kemampuan baru yang memungkinkan Anda memperbaiki rekomendasi tentang sebagian besar sumber daya dalam satu klik.
Operasi ini akan memungkinkan Anda memilih sumber daya tempat Anda ingin menerapkan remediasi dan meluncurkan tindakan remediasi yang akan mengonfigurasi pengaturan atas nama Anda.
Lihat rekomendasi mana yang telah diaktifkan dengan cepat dalam panduan referensi untuk rekomendasi keamanan.
Manajemen lintas penyewa
Security Center kini mendukung skenario manajemen lintas penyewa sebagai bagian dari Azure Lighthouse. Ini memungkinkan Anda mendapatkan visibilitas dan mengelola postur keamanan beberapa penyewa di Security Center.
Pelajari selengkapnya tentang pengalaman manajemen lintas penyewa.
Juli 2019
Pembaruan pada rekomendasi jaringan
Azure Security Center (ASC) telah meluncurkan rekomendasi jaringan baru dan meningkatkan beberapa rekomendasi yang sudah ada. Sekarang, menggunakan Security Center memastikan perlindungan jaringan yang lebih besar untuk sumber daya Anda.
Pelajari selengkapnya tentang rekomendasi jaringan.
Juni 2019
Pengerasan jaringan adaptif - tersedia secara umum
Salah satu permukaan serangan terbesar untuk beban kerja yang berjalan di cloud publik adalah koneksi ke dan dari Internet publik. Pelanggan kami merasa sulit untuk mengetahui aturan Kelompok Keamanan Jaringan (NSG) mana yang harus diberlakukan untuk memastikan bahwa beban kerja Azure hanya tersedia untuk rentang sumber yang diperlukan. Dengan fitur ini, Security Center mempelajari lalu lintas jaringan dan pola konektivitas beban kerja Azure dan memberikan rekomendasi aturan NSG, untuk komputer virtual yang memiliki akses Internet. Fitur ini membantu pelanggan kami mengonfigurasi kebijakan akses jaringan mereka dengan lebih baik dan membatasi paparan serangan mereka.