Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa pagina fornisce informazioni sulle funzionalità, le correzioni e le deprecazioni precedenti a sei mesi.This page provides with information about features, fixes, and deprecations that are older than six months. Per gli aggiornamenti più recenti, leggere Novità di Defender per il cloud?.
Giugno 2025
| Date | Category | Update |
|---|---|---|
| 30 giugno | Preview | Defender per i rilevamenti DNS dei contenitori basati su Helm (anteprima) |
| 25 giugno | Preview | Tag di indice facoltativi per l'archiviazione dei risultati dell'analisi malware (anteprima) |
| 25 giugno | Preview | Individuazione api e comportamento di sicurezza per le API ospitate in App per le funzioni e App per la logica (anteprima) |
| 25 giugno | Preview | Monitoraggio dell'integrità dei file senza agente (anteprima) |
| 18 giugno | Preview | analisi del codice Agentless: GitHub supporto e copertura personalizzabile ora disponibile (anteprima) |
Defender per i rilevamenti DNS dei contenitori basati su Helm (anteprima)
Elementi inclusi:
Supporto della distribuzione basata su Helm
Per istruzioni sull'installazione e altri dettagli, vedere Installare Defender per i contenitori con Helm.
Rilevamenti delle minacce DNS
Migliora l'efficienza della memoria e riduce il consumo di CPU per distribuzioni di cluster di grandi dimensioni.
Per altre informazioni, vedere: Sensor for Defender for Containers Changelog.
Tag di indice facoltativi per l'archiviazione dei risultati dell'analisi malware (anteprima)
25 giugno 2025
Defender per l'analisi malware di archiviazione introduce tag di indice facoltativi sia per le analisi on-upload che su richiesta. Con questa nuova funzionalità, gli utenti possono scegliere se pubblicare i risultati nei tag di indice del BLOB quando un BLOB viene analizzato (impostazione predefinita) o non usare tag di indice. I tag di indice possono essere abilitati o disabilitati a livello di sottoscrizione e account di archiviazione tramite il portale di Azure o tramite l'API.
Individuazione api e comportamento di sicurezza per le API ospitate in App per le funzioni e App per la logica (anteprima)
25 giugno 2025
Defender per il cloud ora estende le funzionalità di individuazione API e comportamento di sicurezza per includere le API ospitate in app per le funzioni Azure e Logic Apps oltre al supporto esistente per le API pubblicate in Gestione API di Azure.
Questo miglioramento consente ai team di sicurezza di avere una visualizzazione completa e costantemente aggiornata della superficie di attacco dell'API dell'organizzazione. Le funzionalità principali includono:
- Centralized API Inventory: individuare e catalogare automaticamente le API nei servizi di Azure supportati.
- Valutazioni dei rischi di sicurezza: identificare e classificare in ordine di priorità i rischi, inclusa l'identificazione di API inattiva che possono giustificare la rimozione, nonché API non crittografate che potrebbero esporre dati sensibili.
Queste funzionalità sono automaticamente disponibili a tutti i clienti Defender per il cloud Security Posture Management (DCSPM) che hanno abilitato l'estensione API Security Posture Management.
Sequenza temporale implementazione: l'implementazione di questi aggiornamenti inizierà il 25 giugno 2025 e dovrebbe raggiungere tutte le aree supportate entro una settimana.
Monitoraggio dell'integrità dei file senza agente (anteprima)
25 giugno 2025
Monitoraggio dell'integrità dei file senza agente (FIM) è ora disponibile in anteprima. Questa funzionalità integra la soluzione FIM disponibile a livello generale in base all'agente Microsoft Defender per endpoint e introduce il supporto per il monitoraggio personalizzato dei file e del Registro di sistema.
FIM senza agente consente alle organizzazioni di monitorare le modifiche dei file e del Registro di sistema nell'ambiente senza distribuire altri agenti. Offre un'alternativa leggera e scalabile mantenendo al tempo stesso la compatibilità con la soluzione basata su agente esistente.
Le funzionalità principali includono:
- Monitoraggio personalizzato: soddisfare specifici requisiti di conformità e sicurezza definendo e monitorando i percorsi di file personalizzati e le chiavi del Registro di sistema.
- Esperienza unificata: gli eventi di FIM senza agente e basati su MDE vengono archiviati nella stessa tabella dell'area di lavoro, con indicatori di origine chiari.
Altre informazioni sul monitoraggio dell'integrità dei file e su come abilitare il monitoraggio dell'integrità dei file.
Analisi del codice senza agente: GitHub supporto e copertura personalizzabile ora disponibile (anteprima)
18 giugno 2025
È stata aggiornata la funzionalità di analisi del codice senza agente per includere funzionalità chiave che estendono sia la copertura che il controllo. Questi aggiornamenti includono:
- Supporto per i repository GitHub, oltre a Azure DevOps
- Selezione dello scanner personalizzabile: selezionare gli strumenti (ad esempio, Bandit, Checkov, ESLint) da eseguire
- Configurazione dell'ambito granulare: includere o escludere organizzazioni, progetti o repository specifici
L'analisi del codice senza agente offre un'analisi scalabile della sicurezza per il codice e l'infrastruttura come codice (IaC) senza richiedere modifiche alle pipeline CI/CD. Consente ai team di sicurezza di rilevare vulnerabilità e errori di configurazione senza interrompere i flussi di lavoro degli sviluppatori.
Altre informazioni su configurazione dell'analisi del codice senza agente in Azure DevOps o GitHub.
Maggio 2025
Disponibilità generale per filtri di analisi malware su caricamento personalizzabili in Defender per l'archiviazione
28 maggio 2025
L'analisi malware on-upload supporta ora filtri personalizzabili. Gli utenti possono impostare regole di esclusione per le analisi malware on-upload in base ai prefissi del percorso BLOB, ai suffissi e alle dimensioni del BLOB. Escludendo percorsi e tipi di BLOB specifici, ad esempio log o file temporanei, è possibile evitare analisi non necessarie e ridurre i costi.
Scopri come configurare filtri di analisi malware personalizzabili durante il caricamento.
Utente attivo (anteprima pubblica)
La funzionalità Utente attivo consente agli amministratori della sicurezza di identificare e assegnare rapidamente raccomandazioni agli utenti più rilevanti in base all'attività recente del piano di controllo. Per ogni raccomandazione, vengono suggeriti fino a tre potenziali utenti attivi a livello di risorsa, gruppo di risorse o sottoscrizione. Gli amministratori possono selezionare un utente dall'elenco, assegnare la raccomandazione e impostare una data di scadenza, attivando una notifica all'utente assegnato. Questo semplifica i flussi di lavoro di correzione, riduce il tempo di indagine e rafforza il comportamento di sicurezza complessivo.
Disponibilità generale per Defender per i servizi di intelligenza artificiale
1° maggio 2025
Defender per il cloud ora supporta la protezione di runtime per Servizi di Azure AI (chiamata in precedenza protezione dalle minacce per i carichi di lavoro di intelligenza artificiale).
La protezione per Servizi di Azure AI copre le minacce specifiche per i servizi e le applicazioni di intelligenza artificiale, ad esempio jailbreak, uso improprio del portafoglio, esposizione dei dati, modelli di accesso sospetti e altro ancora. I rilevamenti usano segnali provenienti da Microsoft Threat Intelligence e Azure i prompt shield di intelligenza artificiale e applicano Machine Learning e intelligenza artificiale per proteggere i servizi di intelligenza artificiale.
Altre informazioni su Defender per i servizi di intelligenza artificiale.
Microsoft Security Copilot è ora disponibile a livello generale in Defender per il cloud
1° maggio 2025
Microsoft Security Copilot è ora disponibile a livello generale in Defender per il cloud.
Security Copilot accelera la correzione dei rischi per i team di sicurezza, rendendo più veloce e facile per gli amministratori affrontare i rischi del cloud. Fornisce riepiloghi generati dall'intelligenza artificiale, azioni correttive e messaggi di posta elettronica di delega, guidando gli utenti attraverso ogni passaggio del processo di riduzione dei rischi.
Gli amministratori della sicurezza possono riepilogare rapidamente le raccomandazioni, generare script di correzione e delegare attività tramite posta elettronica ai proprietari delle risorse. Queste funzionalità riducono il tempo di indagine, aiutano i team di sicurezza a comprendere i rischi nel contesto e a identificare le risorse per una correzione rapida.
Altre informazioni su Microsoft Security Copilot in Defender per il cloud.
Dashboard per la sicurezza dei dati di disponibilità generale e dell'intelligenza artificiale
1° maggio 2025
Defender per il cloud sta migliorando il dashboard sicurezza dei dati per includere la sicurezza dell'intelligenza artificiale con il nuovo dashboard di sicurezza dei dati e dell'intelligenza artificiale nella disponibilità generale. Il dashboard offre una piattaforma centralizzata per monitorare e gestire i dati e le risorse di intelligenza artificiale, oltre ai rischi e allo stato di protezione associati.
I vantaggi principali del dashboard sicurezza dati e intelligenza artificiale includono:
- Visualizzazione unificata: ottenere una visualizzazione completa di tutti i dati dell'organizzazione e delle risorse di intelligenza artificiale.
- Informazioni dettagliate sui dati: comprendere dove vengono archiviati i dati e i tipi di risorse che contengono.
- Copertura della protezione: valutare la copertura della protezione dei dati e delle risorse di intelligenza artificiale.
- Problemi critici: evidenziare le risorse che richiedono un'attenzione immediata in base a raccomandazioni, avvisi e percorsi di attacco con gravità elevata.
- Individuazione dei dati sensibili: individuare e riepilogare le risorse dei dati sensibili negli asset cloud e di intelligenza artificiale.
- Carichi di lavoro di intelligenza artificiale: individuare i footprint delle applicazioni di intelligenza artificiale, inclusi servizi, contenitori, set di dati e modelli.
Altre informazioni sul dashboard di sicurezza dei dati e dell'intelligenza artificiale.
Defender CSPM avvia la fatturazione per Database di Azure per MySQL server flessibile e risorse server flessibili Database di Azure per PostgreSQL
1° maggio 2025
Data stimata per la modifica: Giugno 2025
A partire dal 1° giugno 2025, Microsoft Defender CSPM avvierà la fatturazione per Database di Azure per MySQL server flessibile e Database di Azure per PostgreSQL Server flessibile nella sottoscrizione in cui Defender CSPM è abilitato. Queste risorse sono già protette da Defender CSPM e non è necessaria alcuna azione dell'utente. Dopo l'avvio della fatturazione, la fattura potrebbe aumentare.
Per altre informazioni, vedere Prezzi dei piani CSPM
Aprile 2025
| Date | Category | Update |
|---|---|---|
| 29 aprile | Preview | Gestione del comportamento di intelligenza artificiale in GCP Vertex AI (anteprima) |
| 29 aprile | Preview | integrazione di Defender per il cloud con Mend.io (anteprima) |
| 29 aprile | Change | Updated GitHub Autorizzazioni applicazione |
| Aprile 28 | Change | Update per Defender per i server SQL nel piano computer |
| 27 aprile | GA | Nuovo limite predefinito per l'analisi di malware su caricamento in Microsoft Defender per Archiviazione |
| 24 aprile | GA | General Availability of API Security Posture Management native integration within Defender CSPM Plan |
| 7 aprile | Modifica imminente | Enhancements for Defender for app service alerts |
Gestione della postura AI in GCP Vertex AI (anteprima)
29 aprile 2025
le funzionalità di gestione del comportamento di sicurezza dell'intelligenza artificiale di Defender per il cloud supportano ora i carichi di lavoro di intelligenza artificiale in Google Cloud Platform (GCP) Vertex AI (anteprima).
Le funzionalità principali per questa versione includono:
- Individuazione moderna delle applicazioni di intelligenza artificiale: individuazione automatica e catalogo di componenti, dati e artefatti di intelligenza artificiale distribuiti in GCP Vertex AI.
- Rafforzamento della postura di sicurezza: rilevare errori di configurazione e ricevere raccomandazioni predefinite e azioni correttive per migliorare il comportamento di sicurezza delle applicazioni di intelligenza artificiale.
- Analisi del percorso di attacco: identificare e correggere i rischi usando l'analisi avanzata del percorso di attacco per proteggere i carichi di lavoro di intelligenza artificiale da potenziali minacce.
Queste funzionalità sono progettate per offrire visibilità completa, rilevamento della configurazione errata e protezione avanzata per le risorse di intelligenza artificiale, garantendo una riduzione dei rischi per i carichi di lavoro di intelligenza artificiale sviluppati nella piattaforma GCP Vertex AI.
Altre informazioni sulla gestione della postura di sicurezza dell'IA.
integrazione di Defender per il cloud con Mend.io (anteprima)
29 aprile 2025
Defender per il cloud è ora integrato con Mend.io in anteprima. Questa integrazione migliora la sicurezza delle applicazioni software identificando e attenuando le vulnerabilità nelle dipendenze dei partner. Questa integrazione semplifica i processi di individuazione e correzione, migliorando la sicurezza complessiva.
Altre informazioni sull'integrazione Mend.io.
aggiornamento delle autorizzazioni dell'applicazione GitHub
29 aprile 2025
GitHub connettori in Defender per il cloud verranno aggiornati per includere le autorizzazioni di amministratore per [Proprietà personalizzate]. Questa autorizzazione viene usata per fornire nuove funzionalità di contestualizzazione e ha come ambito la gestione dello schema delle proprietà personalizzate. Le autorizzazioni possono essere concesse in due modi diversi:
Nell'organizzazione GitHub passare alle applicazioni DevOps Microsoft Security in Impostazioni > GitHub Apps e accettare la richiesta di autorizzazioni.
In un messaggio di posta elettronica automatizzato dal supporto GitHub selezionare Visualizzare la richiesta di autorizzazione per accettare o rifiutare questa modifica.
Nota: i connettori esistenti continuano a funzionare senza la nuova funzionalità se l'azione precedente non viene eseguita.
Eseguire l'aggiornamento a Defender per i server SQL nel piano Computer
28 aprile 2025
Il Defender per SQL Server nei computer pianificati in Microsoft Defender per il cloud protegge le istanze di SQL Server ospitate in Azure, AWS, GCP e computer locali.
A partire da oggi, viene gradualmente rilasciata una soluzione agente avanzata per il piano. La soluzione basata su agente elimina la necessità di distribuire Monitoraggio di Azure Agent (AMA) e usa invece l'infrastruttura SQL esistente. La soluzione è progettata per semplificare i processi di onboarding e migliorare la copertura della protezione.
Azioni del cliente necessarie:
Update Defender for SQL Server on Machines plan configuration: Clienti che hanno abilitato Defender per SQL Server nei computer pianificati prima di oggi devono seguire queste istruzioni per aggiornare la configurazione, dopo la versione avanzata dell'agente.
Verify SQL Server istanze di stato di protezione: con una data di inizio stimata di maggio 2025, i clienti devono verificare lo stato di protezione delle istanze di SQL Server negli ambienti. Informazioni su come troubleshoot any deployment issues Defender for SQL on machines configuration(
Note
Dopo l'aggiornamento dell'agente, è possibile che si verifichi un aumento della fatturazione se sono protette altre istanze di SQL Server con il piano abilitato Defender per SQL Server nei computer. Per informazioni sulla fatturazione, vedere la pagina dei prezzi Defender per il cloud.
Nuovo limite predefinito per l'analisi di malware su caricamento in Microsoft Defender per l'archiviazione
27 aprile 2025
Il valore limite predefinito per l'analisi malware on-upload è stato aggiornato da 5.000 GB a 10.000 GB. Questo nuovo limite si applica agli scenari seguenti:
Nuova sottoscrizione: sottoscrizioni in cui Defender per l'archiviazione è abilitata per la prima volta.
Scrizioni abilitate per l'utente: sottoscrizioni in cui Defender per l'archiviazione è stata disabilitata in precedenza ed è ora riabilitata.
Quando Defender per l'analisi malware di archiviazione è abilitata per queste sottoscrizioni, il limite predefinito per l'analisi malware su caricamento sarà impostato su 10.000 GB. Questo limite è regolabile per soddisfare le esigenze specifiche.
Per informazioni più dettagliate, vedere la sezione Analisi malware - Fatturazione per GB, limite mensile e configurazione
Disponibilità generale dell'integrazione nativa di Gestione del comportamento di sicurezza dell'API all'interno del piano di Defender CSPM
24 aprile 2025
Gestione del comportamento di sicurezza API è ora disponibile a livello generale come parte del piano di Defender CSPM. Questa versione introduce un inventario unificato delle API insieme alle informazioni dettagliate sul comportamento, consentendo di identificare e classificare in ordine di priorità i rischi dell'API in modo più efficace direttamente dal piano di Defender CSPM. È possibile abilitare questa funzionalità tramite la pagina Impostazioni ambiente attivando l'estensione Comportamento di sicurezza API.
Con questo aggiornamento sono stati aggiunti nuovi fattori di rischio, inclusi i fattori di rischio per le API non autenticate (AllowAnonymousAccess) e le API senza crittografia (UnencryptedAccess). Inoltre, le API pubblicate tramite Gestione API di Azure consentono ora di eseguire il mapping a qualsiasi ingresso e vm Kubernetes connesse, offrendo visibilità end-to-end nell'esposizione delle API e supportare la correzione dei rischi tramite l'analisi del percorso di attacco.
Miglioramenti per Defender per gli avvisi del servizio app
7 aprile 2025
Il 30 aprile 2025, Defender per le funzionalità di avviso del servizio app verranno migliorate. Verranno aggiunti avvisi per esecuzioni di codice sospette e l'accesso a endpoint interni o remoti. Inoltre, è stata migliorata la copertura e si è ridotto il rumore degli avvisi pertinenti espandendo la logica e rimuovendo avvisi che causavano rumori non necessari. Nell'ambito di questo processo, l'avviso "Rilevata chiamata al tema WordPress sospetta" sarà deprecato.
Marzo 2025
La protezione avanzata dei contenitori con la valutazione delle vulnerabilità e il rilevamento di malware per i nodi del servizio Azure Kubernetes ora è disponibile a livello generale
30 marzo 2025
Defender per il cloud ora fornisce la valutazione della vulnerabilità e il rilevamento di malware per i nodi in Servizio Azure Kubernetes (AKS) come disponibilità generale. Fornire la protezione della sicurezza per questi nodi Kubernetes consente ai clienti di mantenere la sicurezza e la conformità nel servizio Kubernetes gestito e di comprendere la loro parte nella responsabilità di sicurezza condivisa che hanno con il provider di servizi cloud gestiti. Per ricevere le nuove funzionalità, è necessario abilitare l'analisi Agentless per i computer" come parte di Defender CSPM, Defender per contenitori o Defender per i server P2 pianificare la sottoscrizione.
Valutazione della vulnerabilità
È ora disponibile una nuova raccomandazione nel portale di Azure: i nodi AKS devono avere i risultati della vulnerabilità risolti. Usando questa raccomandazione, è ora possibile esaminare e correggere le vulnerabilità e le CVE rilevate nei nodi Servizio Azure Kubernetes (AKS).
Rilevamento malware
I nuovi avvisi di sicurezza vengono attivati quando la funzionalità di rilevamento malware senza agente rileva malware nei nodi del servizio Azure Kubernetes. Il rilevamento di malware senza agente usa il motore antivirus antimalware Microsoft Defender per analizzare e rilevare file dannosi. Quando vengono rilevate minacce, gli avvisi di sicurezza vengono indirizzati a Defender per il cloud e Defender XDR, dove possono essere esaminati e risolti.
Note: Il rilevamento malware per i nodi del servizio Azure Kubernetes è disponibile solo per Defender per contenitori o Defender per gli ambienti abilitati per Server P2.
Distribuzione controllata di Kubernetes (anteprima)
27 marzo 2025
La funzionalità distribuzione controllata (anteprima) di Kubernetes è stata introduttiva al piano di Defender per i contenitori. La distribuzione controllata da Kubernetes è un meccanismo per migliorare la sicurezza di Kubernetes controllando la distribuzione di immagini del contenitore che violano i criteri di sicurezza dell'organizzazione.
Questa funzionalità si basa su due nuove funzionalità:
- Artefatto dei risultati della vulnerabilità: generazione di risultati per ogni immagine del contenitore analizzata per la valutazione della vulnerabilità.
- Regole di sicurezza: aggiunta di regole di sicurezza per avvisare o impedire la distribuzione di immagini del contenitore vulnerabili nei cluster Kubernetes.
Regole di sicurezza personalizzate: i clienti possono personalizzare le regole di sicurezza per vari ambienti, per i cluster Kubernetes all'interno dell'organizzazione o per gli spazi dei nomi, per abilitare i controlli di sicurezza personalizzati in base a specifiche esigenze e requisiti di conformità.
Azioni configurabili per una regola di sicurezza:
Controllo: il tentativo di distribuire un'immagine del contenitore vulnerabile attiva un'azione "Audit", generando una raccomandazione con dettagli di violazione sull'immagine del contenitore.
Nega: il tentativo di distribuire un'immagine del contenitore vulnerabile attiva un'azione "Nega" per impedire la distribuzione dell'immagine del contenitore, assicurandosi che vengano distribuite solo immagini sicure e conformi.
Sicurezza end-to-end: Definendo la protezione contro la distribuzione di immagini container vulnerabili come prima regola di sicurezza, introduciamo il meccanismo di blocco sicuro end-to-end di Kubernetes, garantendo che i container vulnerabili non penetrino nell'ambiente Kubernetes del cliente.
Per altre informazioni su questa funzionalità, vedere Panoramica della soluzione di distribuzione controllata.
Filtri di analisi malware personalizzabili in Defender per l'archiviazione (anteprima)
27 marzo 2025
L'analisi malware on-upload supporta ora filtri personalizzabili. Gli utenti possono impostare regole di esclusione per le analisi malware on-upload in base ai prefissi del percorso BLOB, ai suffissi e alle dimensioni del BLOB. Escludendo percorsi e tipi di BLOB specifici, ad esempio log o file temporanei, è possibile evitare analisi non necessarie e ridurre i costi.
Scopri come configurare filtri di analisi malware personalizzabili durante il caricamento.
Disponibilità generale per il supporto dell'analisi delle macchine virtuali senza agente per cmk in Azure
26 marzo 2025
L'analisi senza agente per le macchine virtuali Azure con dischi crittografati cmk è ora disponibile a livello generale. Sia il piano di Defender CSPM che il Defender per i server P2 forniscono il supporto per l'analisi senza agente per le macchine virtuali, ora con il supporto della chiave gestita dal cliente in tutti i cloud
Informazioni su come abilitare l'analisi senza agente per le macchine virtuali Azure con dischi crittografati con chiave gestita dal cliente.
Modifica imminente ai livelli di gravità delle raccomandazioni
11 marzo 2025
Stiamo migliorando i livelli di gravità delle raccomandazioni per migliorare la valutazione e la definizione delle priorità dei rischi. Come parte di questo aggiornamento, abbiamo rivalutato tutte le classificazioni di gravità e introdotto un nuovo livello : Critico. In precedenza, le raccomandazioni sono state classificate in tre livelli: Basso, Medio e Alto. Con questo aggiornamento, sono ora disponibili quattro livelli distinti: Basso, Medio, Alto e Critico, offrendo una valutazione più granulare dei rischi per aiutare i clienti a concentrarsi sui problemi di sicurezza più urgenti.
Di conseguenza, i clienti potrebbero notare modifiche nella gravità delle raccomandazioni esistenti. Inoltre, la valutazione del livello di rischio, disponibile solo per i clienti Defender CSPM, potrebbe essere influenzata anche in quanto vengono presi in considerazione sia la gravità della raccomandazione che il contesto degli asset. Queste rettifiche potrebbero influire sul livello di rischio complessivo.
La modifica prevista avrà luogo il 25 marzo 2025.
Disponibilità generale del monitoraggio dell'integrità dei file (FIM) in base alle Microsoft Defender per endpoint in Azure per enti pubblici
3 marzo 2025
Monitoraggio dell'integrità dei file basato su Microsoft Defender per endpoint è ora disponibile a livello generale in Azure per enti pubblici (GCCH) come parte di Defender per i server piano 2.
- Soddisfare i requisiti di conformità monitorando i file e i registri critici in tempo reale e controllando le modifiche.
- Identificare potenziali problemi di sicurezza rilevando modifiche sospette ai contenuti dei file.
Questa migliore esperienza FIM sostituisce quella esistente impostata per la deprecazione con il ritiro di Log Analytics Agent (MMA). L'esperienza FIM su MMA rimarrà supportata in Azure per enti pubblici fino alla fine di marzo 2023.
Con questa versione, verrà rilasciata un'esperienza nel prodotto per consentire di eseguire la migrazione della configurazione FIM tramite MMA alla nuova versione FIM su Defender per endpoint.
Per informazioni su come abilitare FIM su Defender per endpoint, vedere File Integrity Monitoring tramite Microsoft Defender per endpoint. Per informazioni su come disabilitare le versioni precedenti e usare lo strumento di migrazione, vedere Eseguire la migrazione del monitoraggio dell'integrità dei file dalle versioni precedenti.
Important
La disponibilità di Monitoraggio dell'integrità dei file in Azure gestita da 21Vianet e nei cloud GCCM non è attualmente supportata.
Febbraio 2025
| Date | Category | Update |
|---|---|---|
| 27 febbraio | Change | Visualizzazione del nome della risorsa EC2 di AWS migliorata |
| 27 febbraio | GA | Analisi malware su richiesta in Microsoft Defender per Archiviazione |
| 27 febbraio | GA | Defender per l'analisi malware di archiviazione per BLOB fino a 50 GB |
| 23 febbraio | Preview | Valutazione delle vulnerabilità senza agente indipendente dal registro contenitori per i contenitori di runtime del servizio Azure Container (anteprima) |
| 23 febbraio | Preview | Dashboard di sicurezza dei dati e dell'intelligenza artificiale (anteprima) |
| 19 febbraio | Preview | Calcolatore dei costi MDC (anteprima) |
| 19 febbraio | Preview | Copertura di 31 standard normativi multicloud nuovi e migliorati |
Visualizzazione del nome della risorsa EC2 di AWS migliorata
27 febbraio 2025
Data stimata per la modifica: Marzo 2025
Stiamo migliorando il modo in cui i nomi delle risorse vengono visualizzati per le istanze DI AWS EC2 nella piattaforma. Se un'istanza EC2 ha un tag "name" definito, il campo Nome risorsa visualizzerà ora il valore di tale tag. Se non è presente alcun tag "name", il campo Nome risorsa continuerà a visualizzare l'ID istanza come in precedenza. L'ID risorsa sarà comunque disponibile nel campo ID risorsa per riferimento.
L'uso del tag EC2 "name" consente di identificare facilmente le risorse con nomi personalizzati e significativi anziché ID. In questo modo è più rapido individuare e gestire istanze specifiche, riducendo il tempo e lo sforzo impiegato per la ricerca o il riferimento incrociato dei dettagli dell'istanza.
Analisi di malware su richiesta in Microsoft Defender per l'archiviazione
27 febbraio 2025
L'analisi di malware su richiesta in Microsoft Defender per l'archiviazione, ora disponibile a livello generale, consente di analizzare i BLOB esistenti in Archiviazione di Azure account ogni volta che necessario. Le analisi possono essere avviate dall'interfaccia utente del portale di Azure o tramite l'API REST, supportando l'automazione tramite App per la logica, playbook di Automazione e script di PowerShell. Questa funzionalità usa Microsoft Defender Antivirus con le definizioni di malware più recenti per ogni analisi e fornisce una stima dei costi iniziale nel portale di Azure prima dell'analisi.
Casi d'uso:
- Risposta agli eventi imprevisti: analizzare account di archiviazione specifici dopo aver rilevato attività sospette.
- Security baseline: analizzare tutti i dati archiviati quando si abilita Defender per l'archiviazione.
- Conformità: impostare l'automazione per pianificare le analisi che consentono di soddisfare gli standard normativi e di protezione dei dati.
Per altre informazioni, vedere Analisi di malware su richiesta.
Defender per l'analisi di malware di archiviazione per BLOB fino a 50 GB
27 febbraio 2025
Defender per l'analisi malware di archiviazione supporta ora BLOB di dimensioni fino a 50 GB (precedentemente limitato a 2 GB).
Si noti che per gli account di archiviazione in cui vengono caricati blob di grandi dimensioni, un limite di dimensione del blob maggiore può comportare costi mensili più elevati.
Per evitare addebiti elevati imprevisti, è consigliabile impostare un limite appropriato per i GB totali analizzati al mese. Per ulteriori informazioni, vedere Controllo dei costi per la scansione di malware durante il caricamento.
Valutazione delle vulnerabilità senza agente indipendente dal registro contenitori per i contenitori di runtime del servizio Azure Container (anteprima)
23 febbraio 2025
Defender per i contenitori e Defender per il cloud piani di gestione del comportamento di sicurezza (CSPM), ora includono la valutazione della vulnerabilità indipendente dal registro contenitori per i contenitori di runtime del servizio Azure Kubernetes. Questo miglioramento estende la copertura della valutazione della vulnerabilità per includere l'esecuzione di contenitori con immagini da qualsiasi registro (non limitato ai registri supportati), oltre all'analisi dei componenti aggiuntivi Kubernetes e agli strumenti di terze parti in esecuzione nei cluster del servizio Azure Kubernetes. Per abilitare questa funzionalità, assicurarsi che Equisizione automatica senza agente sia abilitata per la sottoscrizione nelle impostazioni dell'ambiente Defender per il cloud.
Dashboard di sicurezza dei dati e dell'intelligenza artificiale (anteprima)
23 febbraio 2025
Defender per il cloud sta migliorando il dashboard sicurezza dei dati per includere la sicurezza dell'intelligenza artificiale con il nuovo dashboard di sicurezza dei dati e dell'intelligenza artificiale in anteprima. Il dashboard offre una piattaforma centralizzata per monitorare e gestire i dati e le risorse di intelligenza artificiale, oltre ai rischi e allo stato di protezione associati.
I vantaggi principali del dashboard di sicurezza dei dati e dell'intelligenza artificiale includono:
- Visualizzazione unificata: ottenere una visualizzazione completa di tutti i dati dell'organizzazione e delle risorse di intelligenza artificiale.
- Informazioni dettagliate sui dati: comprendere dove vengono archiviati i dati e i tipi di risorse che contengono.
- Copertura della protezione: valutare la copertura della protezione dei dati e delle risorse di intelligenza artificiale.
- Problemi critici: evidenziare le risorse che richiedono un'attenzione immediata in base a raccomandazioni, avvisi e percorsi di attacco con gravità elevata.
- Individuazione dei dati sensibili: individuare e riepilogare le risorse dei dati sensibili negli asset cloud e di intelligenza artificiale.
- Carichi di lavoro di intelligenza artificiale: individuare i footprint delle applicazioni di intelligenza artificiale, inclusi servizi, contenitori, set di dati e modelli.
Altre informazioni sul dashboard di sicurezza dei dati e dell'intelligenza artificiale.
Calcolatore dei costi MDC (anteprima)
19 febbraio 2025
Siamo lieti di presentare il nuovo calcolatore dei costi MDC per aiutarti a stimare facilmente i costi associati alla protezione degli ambienti cloud. Questo strumento è personalizzato per offrire una comprensione chiara e accurata delle spese, assicurandoti di pianificare e budget in modo efficace.
Perché usare il calcolatore dei costi?
Il calcolatore dei costi semplifica il processo di stima dei costi consentendo di definire l'ambito delle esigenze di protezione. Selezionare gli ambienti e i piani da abilitare e il calcolatore compila automaticamente le risorse fatturabili per ogni piano, inclusi gli eventuali sconti applicabili. Hai una visione completa dei tuoi costi potenziali senza sorprese.
Funzionalità principali:
Definizione ambito: Selezionare i piani e gli ambienti a cui si è interessati. Il calcolatore esegue un processo di individuazione per riempire automaticamente il numero di unità fatturabili per ogni piano per ogni ambiente.
Regolazioni automatiche e manuali: lo strumento consente sia la raccolta automatica dei dati che le regolazioni manuali. È possibile modificare la quantità di unità e i livelli di sconto per vedere come le modifiche influiscono sul costo complessivo.
Stima dei costi completa: il calcolatore fornisce una stima per ogni piano e un report sui costi totali. Viene fornita una suddivisione dettagliata dei costi, semplificando la comprensione e la gestione delle spese.
Supporto multicloud: La soluzione funziona per tutti i cloud supportati, assicurandosi di ottenere stime accurate dei costi indipendentemente dal provider di servizi cloud.
Esportazione e condivisione: dopo aver stimato i costi, è possibile esportarlo e condividerlo facilmente per la pianificazione e le approvazioni del budget.
Copertura di 31 standard normativi nuovi e migliorati per multicloud
19 febbraio 2025
Siamo lieti di annunciare il supporto avanzato ed esteso di oltre 31 framework normativi e di sicurezza in Defender per il cloud in Azure, AWS & GCP. Questo miglioramento semplifica il percorso per raggiungere e mantenere la conformità, riduce il rischio di violazioni dei dati e aiuta a evitare multe e danni alla reputazione.
I framework nuovi e avanzati sono:
| Standards | Clouds |
|---|---|
| UE 2022 2555 (NIS2) 2022 | Azure, AWS, GCP |
| Regolamento generale sulla protezione dei dati dell'UE (GDPR) 2016 679 | Azure, AWS, GCP |
| NIST CSF v2.0 | Azure, AWS, GCP |
| NIST 800 171 Rev3 | Azure, AWS, GCP |
| NIST SP 800 53 R5.1.1 | Azure, AWS, GCP |
| PCI DSS v4.0.1 | Azure, AWS, GCP |
| CIS AWS Foundations v3.0.0 | AWS |
| CIS Azure Foundations v2.1.0 | Azure |
| Controlli CIS v8.1 | Azure, AWS, GCP |
| CIS GCP Foundations v3.0 | GCP |
| HITRUST CSF v11.3.0 | Azure, AWS, GCP |
| SOC 2023 | Azure, AWS, GCP |
| Quadro di Controlli di Sicurezza dei Clienti SWIFT 2024 | Azure, AWS, GCP |
| ISO IEC 27001:2022 | Azure, AWS, GCP |
| ISO IEC 27002:2022 | Azure, AWS, GCP |
| ISO IEC 27017:2015 | Azure, AWS, GCP |
| Certificazione del Modello di Maturità della Cybersecurity (CMMC) Livello 2 v2.0 | Azure, AWS, GCP |
| AWS Well Architected Framework 2024 | AWS |
| Canada Federale PBMM 3.2020 | Azure, AWS, GCP |
| APRA CPS 234 2019 | Azure, AWS |
| Matrice di controlli cloud CSA v4.0.12 | Azure, AWS, GCP |
| Cyber Essentials v3.1 | Azure, AWS, GCP |
| Criteri di sicurezza di Criminal Justice Information Services v5.9.5 | Azure, AWS, GCP |
| FFIEC CAT 2017 | Azure, AWS, GCP |
| Legge sulla protezione dei dati generale brasiliana (LGPD) 2018 | Azure |
| NZISM v3.7 | Azure, AWS, GCP |
| Sarbanes Oxley Act 2022 (SOX) | Azure, AWS |
| NCSC Cyber Assurance Framework (CAF) v3.2 | Azure, AWS, GCP |
Questo aggiunge le versioni recenti di CIS Servizio Azure Kubernetes (AKS) v1.5, CIS Google Kubernetes Engine (GKE) v1.6 e CIS Amazon Elastic Kubernetes Service (EKS) v.15 di pochi mesi fa.
Per altre informazioni sull'offerta di conformità alle normative Defender per il cloud, Altre informazioni>
Gennaio 2025
| Date | Category | Update |
|---|---|---|
| 30 gennaio | GA | Aggiornamento dei criteri di scansione per i registri dei contenitori |
| Gennaio 29 | Change | Miglioramenti per l'analisi della valutazione delle vulnerabilità dei contenitori basata su MDVM |
| 27 gennaio | GA | Autorizzazioni aggiunte al connettore GCP per supportare le piattaforme di intelligenza artificiale |
| 20 gennaio | Change | Miglioramenti per la raccomandazione baseline Linux basata su GC |
Aggiornamento ai criteri di scansione per i registri dei contenitori
30 gennaio 2025
Viene aggiornato uno dei criteri di analisi per le immagini del Registro di sistema nella raccomandazione di anteprima per le immagini del Registro di sistema in tutti i cloud e i registri esterni (Azure, AWS, GCP, Docker, JFrog).
Cosa sta cambiando?
Attualmente, le immagini vengono analizzate nuovamente per 90 giorni dopo essere state pubblicate in un registro. Questa impostazione verrà ora modificata per scansionare gli ultimi 30 giorni.
Note
Non sono state apportate modifiche alle raccomandazioni relative alla disponibilità generale per la valutazione delle vulnerabilità dei contenitori nelle immagini del registro.
Miglioramenti per l'analisi della valutazione delle vulnerabilità dei contenitori, basata su MDVM
29 gennaio 2025
Siamo lieti di annunciare miglioramenti alla copertura di analisi della valutazione delle vulnerabilità dei contenitori con gli aggiornamenti seguenti:
Linguaggi di programmazione aggiuntivi: supporta ora PHP, Ruby e Rust.
Extended Java Language Support: include l'analisi di JAR esplosi.
Miglioramento dell'utilizzo della memoria: prestazioni ottimizzate durante la lettura di file di immagini di contenitori di grandi dimensioni.
Autorizzazioni aggiunte al connettore GCP per supportare le piattaforme di intelligenza artificiale
27 gennaio 2025
Il connettore GCP dispone ora di autorizzazioni aggiuntive per supportare GCP AI Platform (Vertex AI Platform):
- aiplatform.batchPredictionJobs.list
- aiplatform.customJobs.list
- aiplatform.datasets.list
- aiplatform.datasets.get
- aiplatform.endpoints.getIamPolicy
- aiplatform.endpoints.list
- aiplatform.indexEndpoints.list
- aiplatform.indexes.list
- aiplatform.models.list
- aiplatform.models.get
- aiplatform.pipelineJobs.list
- aiplatform.schedules.list
- aiplatform.tuningJobs.list
- discoveryengine.dataStores.list
- discoveryengine.documents.list
- discoveryengine.engines.list
- notebooks.instances.list
Miglioramenti per la raccomandazione baseline Linux basata su GC
20 gennaio 2025
Stiamo migliorando la funzionalità Baselines Linux (con tecnologia GC) per migliorarne l'accuratezza e la copertura. Durante febbraio, è possibile notare modifiche come i nomi delle regole aggiornati e le regole aggiuntive. Questi miglioramenti sono progettati per rendere la valutazione delle baseline più accurata e aggiornata. Per altre informazioni sulle modifiche, vedere il blog pertinente
Alcune delle modifiche possono includere modifiche aggiuntive di "anteprima pubblica". Questo aggiornamento è utile per voi e vogliamo tenervi informati. Se si preferisce, è possibile rifiutare esplicitamente questa raccomandazione esentandola dalla risorsa o rimuovendo l'estensione GC.
Dicembre 2024
| Date | Category | Update |
|---|---|---|
| 31 dicembre | GA | Modifiche all'intervallo di analisi dei connettori cloud esistenti |
| 22 dicembre | GA | Microsoft Defender per endpoint aggiornamento della versione client è necessario per ricevere l'esperienza FIM (File Integrity Monitoring) |
| 17 dicembre | Preview | Integrate Defender per il cloud cli with Popular CI/CD Tools |
| 10 dicembre | GA | Defender per il cloud Esperienza di installazione |
| 10 dicembre | GA | opzioni di intervallo Vised per l'analisi Defender per il cloud di un ambiente cloud |
| 17 dicembre | GA | le funzionalità di analisi di Sensitivity includono ora Azure condivisioni file |
Modifiche all'intervallo di analisi dei connettori cloud esistenti
31 dicembre 2024
All'inizio di questo mese è stato pubblicato un aggiornatore relativo alle opzioni di intervallo Defender per il cloud modificate per l'analisi di un ambiente cloud. L'impostazione dell'intervallo di analisi determina la frequenza con cui i servizi di individuazione di Defender per il cloud analizzano le risorse cloud. Questa modifica garantisce un processo di analisi più bilanciato, l'ottimizzazione delle prestazioni e la riduzione del rischio di raggiungere i limiti dell'API.
Le impostazioni dell'intervallo di analisi per i connettori cloud AWS e GCP esistenti verranno aggiornate per garantire Defender per il cloud la possibilità di analizzare gli ambienti cloud.
Verranno apportate le seguenti modifiche:
- Gli intervalli attualmente impostati tra 1 e 3 ore verranno aggiornati a 4 ore.
- Gli intervalli impostati su 5 ore verranno aggiornati a 6 ore.
- Gli intervalli impostati tra 7 e 11 ore verranno aggiornati a 12 ore.
- Gli intervalli di 13 ore o più verranno aggiornati a 24 ore.
Se si preferisce un intervallo di analisi diverso, è possibile modificare i connettori cloud usando la pagina delle impostazioni dell'ambiente. Queste modifiche verranno applicate automaticamente a tutti i clienti all'inizio di febbraio 2025 e non sono necessarie altre azioni.
Le funzionalità di analisi della riservatezza includono ora Azure condivisioni file
17 dicembre 2024
Le funzionalità di analisi della sensibilità CSPM (Security Posture Management) di Defender per il cloud includono ora Azure condivisioni file in disponibilità generale oltre ai contenitori BLOB.
Prima di questo aggiornamento, l'abilitazione del piano di Defender CSPM in una sottoscrizione analizza automaticamente i contenitori BLOB all'interno degli account di archiviazione per i dati sensibili. Con questo aggiornamento, Defender per la funzionalità di analisi della riservatezza di CSPM ora include condivisioni file all'interno di tali account di archiviazione. Questo miglioramento migliora la valutazione dei rischi e la protezione degli account di archiviazione sensibili, fornendo un'analisi più completa dei potenziali rischi.
Altre informazioni sull'analisi della riservatezza.
Integrare l'interfaccia della riga di comando di Defender per il cloud con gli strumenti CI/CD più diffusi
Defender per il cloud'integrazione dell'analisi dell'interfaccia della riga di comando con gli strumenti CI/CD più diffusi in Microsoft Defender per il cloud è ora disponibile per l'anteprima pubblica. L'interfaccia della riga di comando può ora essere incorporata nelle pipeline CI/CD per analizzare e identificare le vulnerabilità di sicurezza nel codice sorgente in contenitori. Questa funzionalità consente ai team di sviluppo di rilevare e risolvere le vulnerabilità del codice durante l'esecuzione della pipeline. Richiede l'autenticazione per Microsoft Defender per il cloud e le modifiche allo script della pipeline. I risultati dell'analisi verranno caricati in Microsoft Defender per il cloud, consentendo ai team di sicurezza di visualizzarli e correlarli con i contenitori nel registro contenitori. Questa soluzione offre informazioni dettagliate continue e automatizzate per accelerare il rilevamento e la risposta dei rischi, garantendo la sicurezza senza interrompere i flussi di lavoro.
Casi d'uso:
- Analisi delle pipeline negli strumenti CI/CD: monitorare in modo sicuro tutte le pipeline che richiamano l'interfaccia della riga di comando.
- Rilevamento anticipato della vulnerabilità: i risultati vengono pubblicati nella pipeline e inviati a Microsoft Defender per il cloud.
- Informazioni dettagliate sulla sicurezza continue: mantenere visibilità e rispondere rapidamente nei cicli di sviluppo senza ostacolare la produttività.
Per altre informazioni, vedere Integrate Defender per il cloud cli with Popular CI/CD Tools.
Defender per il cloud'esperienza di installazione
10 dicembre 2024
L'esperienza di installazione consente di avviare i passaggi iniziali con Microsoft Defender per il cloud connettendo ambienti cloud come l'infrastruttura cloud, i repository di codice e i registri contenitori esterni.
Si è guidati attraverso la configurazione dell'ambiente cloud, per proteggere gli asset con piani di sicurezza avanzati, eseguire facilmente azioni rapide per aumentare la copertura della sicurezza su larga scala, essere consapevoli dei problemi di connettività e ricevere una notifica delle nuove funzionalità di sicurezza. È possibile passare alla nuova esperienza dal menu Defender per il cloud selezionando Setup.
Opzioni di intervallo modificate per Defender per il cloud'analisi di un ambiente cloud
10 dicembre 2024
Le opzioni per l'intervallo di analisi per i connettori cloud associati a AWS, GCP, Jfrog e DockerHub sono state riviste. La funzionalità intervallo di analisi consente di controllare la frequenza con cui il Defender per il cloud avvia un'analisi dell'ambiente cloud. È possibile impostare l'intervallo di analisi su 4, 6, 12 o 24 ore, quando si aggiunge o si modifica un connettore cloud. L'intervallo di analisi predefinito per i nuovi connettori continua a essere di 12 ore.
Microsoft Defender per endpoint aggiornamento della versione client è necessario per ricevere l'esperienza FIM (File Integrity Monitoring)
Giugno 2025
A partire da giugno 2025, Il monitoraggio dell'integrità dei file (FIM) richiede una versione minima del client Defender per endpoint (MDE). Assicurarsi di avere almeno le versioni client seguenti per continuare a trarre vantaggio dall'esperienza FIM in Microsoft Defender per il cloud: per Windows: 10.8760 per Linux: 30.124082. Ulteriori informazioni
Novembre 2024
Le funzionalità di analisi della riservatezza includono ora Azure condivisioni file (anteprima)
28 novembre 2024
Le funzionalità di analisi della sensibilità cspm (Security Posture Management) di Defender per il cloud includono ora Azure condivisioni file (in anteprima) oltre ai contenitori BLOB.
Prima di questo aggiornamento, l'abilitazione del piano di Defender CSPM in una sottoscrizione analizza automaticamente i contenitori BLOB all'interno degli account di archiviazione per i dati sensibili. Con questo aggiornamento, Defender per la funzionalità di analisi della riservatezza di CSPM ora include condivisioni file all'interno di tali account di archiviazione. Questo miglioramento migliora la valutazione dei rischi e la protezione degli account di archiviazione sensibili, fornendo un'analisi più completa dei potenziali rischi.
Altre informazioni sull'analisi della riservatezza.
Modifiche al consenso per le etichette di riservatezza
26 novembre 2024
Non è più necessario selezionare il pulsante di consenso dedicato nella sezione "Information Protection" all'interno della pagina "Etichette" per trarre vantaggio dai tipi di informazioni personalizzati e dalle etichette di riservatezza configurate nel portale di Microsoft 365 Defender o Portale di Microsoft Purview.
Con questa modifica, tutti i tipi di informazioni personalizzate e le etichette di riservatezza vengono importati automaticamente nel portale di Microsoft Defender per il cloud.
Altre informazioni sulle impostazioni di riservatezza dei dati.
Modifiche alle etichette di riservatezza
26 novembre 2024
Fino a poco tempo fa, Defender per il cloud importato tutte le etichette di riservatezza dal portale di Microsoft 365 Defender che soddisfano le due condizioni seguenti:
- Le etichette di riservatezza con ambito impostate su "Items -> Files" o "Items -> Emails", nella sezione "Definire l'ambito dell'etichetta" nella sezione Information Protection.
- Per l'etichetta di riservatezza è configurata una regola di etichettatura automatica.
A partire dal 26 novembre 2024 i nomi degli ambiti delle etichette di riservatezza nell'interfaccia utente sono stati aggiornati sia nel portale Microsoft 365 Defender che nel Portale di Microsoft Purview. Defender per il cloud ora importa solo etichette di riservatezza con l'ambito "File e altri asset di dati" applicato. Defender per il cloud non importa più etichette con l'ambito "Email" applicato.
Note
Le etichette configurate con "Items -> Files" prima dell'applicazione di questa modifica vengono automaticamente migrate nel nuovo ambito "File e altri asset di dati".
Altre informazioni su come configurare le etichette di riservatezza.
Defender per l'analisi malware di archiviazione per BLOB fino a 50 GB (anteprima)
25 novembre 2024
Data stimata per la modifica: 1 dicembre 2024
A partire dal 1° dicembre 2024, Defender per l'analisi malware di archiviazione supporterà i BLOB con dimensioni fino a 50 GB (precedentemente limitato a 2 GB).
Si noti che per gli account di archiviazione in cui vengono caricati blob di grandi dimensioni, un limite di dimensione del blob maggiore può comportare costi mensili più elevati.
Per evitare addebiti elevati imprevisti, è consigliabile impostare un limite appropriato per i GB totali analizzati al mese. Per ulteriori informazioni, vedere Controllo dei costi per la scansione di malware durante il caricamento.
Versioni aggiornate degli standard CIS per ambienti Kubernetes gestiti e nuove raccomandazioni
19 novembre 2024
il dashboard di conformità alle normative di Defender per il cloud offre ora versioni aggiornate degli standard CIS (Center for Internet Security) per valutare il comportamento di sicurezza degli ambienti Kubernetes gestiti.
Dal dashboard è possibile assegnare gli standard seguenti alle risorse Kubernetes AWS/EKS/GKE:
- CIS Servizio Azure Kubernetes (AKS) v1.5.0
- CIS Google Kubernetes Engine (GKE) v1.6.0
- CIS Amazon Elastic Kubernetes Service (EKS) v1.5.0
Per garantire la migliore profondità possibile di copertura per questi standard, abbiamo arricchito la copertura rilasciando anche 79 nuove raccomandazioni incentrate su Kubernetes.
Per usare queste nuove raccomandazioni, assegnare gli standard elencati in precedenza o creare uno standard personalizzato e includervi una o più delle nuove valutazioni.
Anteprima pubblica degli eventi dei processi cloud di Kubernetes in rilevazione avanzata
Annuncio della versione di anteprima degli eventi dei processi cloud di Kubernetes in rilevazione avanzata. Questa potente integrazione fornisce informazioni dettagliate sugli eventi del processo Kubernetes che si verificano in ambienti multicloud. È possibile usarlo per individuare le minacce che possono essere osservate tramite i dettagli del processo, ad esempio i processi dannosi richiamati nell'infrastruttura cloud. Per altre informazioni, vedere CloudProcessEvents.
Deprecazione della funzionalità Bring Your Own License (BYOL) in gestione delle vulnerabilità
19 novembre 2024
Data stimata per la modifica:
Febbraio 3 2025: la funzionalità non sarà più disponibile per l'onboarding di nuovi computer e sottoscrizioni.
Maggio 2025: la funzionalità sarà completamente deprecata e non sarà più disponibile.
Nell'ambito dei nostri sforzi per migliorare l'esperienza di sicurezza Defender per il cloud, stiamo semplificando le soluzioni di valutazione delle vulnerabilità. La funzionalità "Bring Your Own License" viene rimossa in Defender per il cloud. A questo punto si useranno Microsoft Security connettori Di gestione dell'esposizione per una soluzione più semplice, integrata e completa.
È consigliabile passare alla nuova soluzione connettore all'interno di Microsoft Security Exposure Management. Il nostro team è qui per supportare l'utente attraverso questa transizione.
Per altre informazioni sull'uso dei connettori, vedere Panoramica della connessione delle origini dati in Microsoft Security Exposure Management - Microsoft Security Exposure Management.
Analisi del codice senza agente in Microsoft Defender per il cloud (anteprima)
19 novembre 2024
L'analisi del codice senza agente in Microsoft Defender per il cloud è ora disponibile per l'anteprima pubblica. Offre sicurezza rapida e scalabile per tutti i repository in Azure DevOps organizzazioni con un solo connettore. Questa soluzione consente ai team di sicurezza di individuare e correggere le vulnerabilità nelle configurazioni di codice e infrastruttura come codice (IaC) in ambienti Azure DevOps. Non richiede agenti, modifiche alle pipeline o interruzioni nei flussi di lavoro degli sviluppatori, semplificando la configurazione e la manutenzione. Funziona indipendentemente dalle pipeline di integrazione continua e distribuzione continua (CI/CD). La soluzione offre informazioni dettagliate continue e automatizzate per velocizzare il rilevamento e la risposta dei rischi, garantendo la sicurezza senza interrompere i flussi di lavoro.
Casi d'uso:
- Organization-wide scanning: È possibile monitorare in modo sicuro tutti i repository nelle organizzazioni Azure DevOps con un solo connettore.
- Rilevamento precoce delle vulnerabilità: trovare rapidamente il codice e i rischi IaC per la gestione proattiva dei rischi.
- Informazioni dettagliate sulla sicurezza continue: mantenere visibilità e rispondere rapidamente nei cicli di sviluppo senza influire sulla produttività.
Per altre informazioni, vedere analisi del codice Agentless in Microsoft Defender per il cloud.
Analisi di malware su richiesta in Microsoft Defender per l'archiviazione (anteprima)
19 novembre 2024
L'analisi di malware su richiesta in Microsoft Defender per l'archiviazione, ora in anteprima pubblica, consente di analizzare i BLOB esistenti in account Archiviazione di Azure ogni volta che necessario. Le analisi possono essere avviate dall'interfaccia utente del portale di Azure o tramite l'API REST, supportando l'automazione tramite App per la logica, playbook di Automazione e script di PowerShell. Questa funzionalità usa Microsoft Defender Antivirus con le definizioni di malware più recenti per ogni analisi e fornisce una stima dei costi iniziale nel portale di Azure prima dell'analisi.
Casi d'uso:
- Risposta agli eventi imprevisti: analizzare account di archiviazione specifici dopo aver rilevato attività sospette.
- Security baseline: analizzare tutti i dati archiviati quando si abilita Defender per l'archiviazione.
- Conformità: impostare l'automazione per pianificare le analisi che consentono di soddisfare gli standard normativi e di protezione dei dati.
Per altre informazioni, vedere Analisi di malware su richiesta.
Supporto del registro contenitori JFrog Artifactory da parte di Defender per contenitori (anteprima)
18 novembre 2024
Questa funzionalità estende Microsoft Defender per la copertura dei contenitori di registri esterni per includere JFrog Artifactory. Le immagini del contenitore JFrog Artifactory vengono analizzate usando Gestione delle vulnerabilità di Microsoft Defender per identificare le minacce alla sicurezza e attenuare i potenziali rischi per la sicurezza.
La gestione del comportamento di sicurezza dell'intelligenza artificiale è ora disponibile a livello generale
18 novembre 2024
le funzionalità di gestione del comportamento di sicurezza dell'intelligenza artificiale di Defender per il cloud sono ora disponibili a livello generale.
Defender per il cloud riduce i rischi per i carichi di lavoro di intelligenza artificiale tra cloud:
Individuando la distinta base per IA generativa, che include componenti, dati e artefatti di intelligenza artificiale dell'applicazione dal codice al cloud.
Rafforzamento della postura di sicurezza delle applicazioni di IA generativa con raccomandazioni predefinite e tramite l'esplorazione e la correzione dei rischi per la sicurezza.
Uso dell'analisi del percorso di attacco per identificare e correggere i rischi.
Altre informazioni sulla gestione della postura di sicurezza dell'IA.
Protezione degli asset critici in Microsoft Defender per il cloud
18 novembre 2024
Oggi siamo lieti di annunciare la disponibilità generale della protezione degli asset critici in Microsoft Defender per il cloud. Questa funzionalità consente agli amministratori della sicurezza di contrassegnare le risorse "gioielli della corona" più importanti per le proprie organizzazioni, consentendo Defender per il cloud di fornire loro il massimo livello di protezione e classificare in ordine di priorità i problemi di sicurezza su questi asset sopra tutti gli altri. Altre informazioni sulla protezione degli asset critici.
Oltre alla versione di disponibilità generale, viene anche ampliato il supporto per l'assegnazione di tag alle risorse di identità Kubernetes e non umane.
Protezione avanzata degli asset critici per i contenitori
18 novembre 2024
La protezione degli asset critici viene estesa per supportare casi d'uso aggiuntivi per i contenitori.
Gli utenti possono ora creare regole personalizzate che contrassegnano gli asset gestiti da Kubernetes (carichi di lavoro, contenitori e così via) come critici in base allo spazio dei nomi Kubernetes asset e/o all'etichetta Kubernetes asset.
Come per altri casi d'uso di protezione degli asset critici, Defender per il cloud tiene conto della criticità degli asset per la definizione delle priorità dei rischi, l'analisi del percorso di attacco e lo strumento di esplorazione della sicurezza.
Miglioramenti per rilevare e rispondere alle minacce ai contenitori
18 novembre 2024
Defender per il cloud offre una suite di nuove funzionalità per consentire ai team SOC di tackle minacce ai contenitori in ambienti nativi del cloud con maggiore velocità e precisione. Questi miglioramenti includono Analisi delle minacce, funzionalità GoHunt, Microsoft Security Copilot risposta guidata e azioni di risposta native del cloud per i pod Kubernetes.
Introduzione alle azioni di risposta native del cloud per i pod Kubernetes (anteprima)
Defender per il cloud ora offre azioni di risposta multicloud per i pod Kubernetes, accessibili esclusivamente dal portale di Defender XDR. Queste funzionalità migliorano la risposta agli eventi imprevisti per i cluster AKS, EKS e GKE.
Di seguito sono riportate le nuove azioni di risposta:
Isolamento rete : blocca immediatamente tutto il traffico verso un pod, impedendo lo spostamento laterale e l'esfiltrazione dei dati. Richiede la configurazione dei criteri di rete nel cluster kubernetes.
Terminazione pod: termina rapidamente pod sospetti, arrestando attività dannose senza interrompere l'applicazione più ampia.
Queste azioni consentono ai team SOC di contenere minacce in modo efficace in ambienti cloud.
Report di Analisi delle minacce per contenitori
Viene introdotto un report dedicato di Analisi delle minacce, progettato per offrire visibilità completa sulle minacce destinate agli ambienti in contenitori. Questo report fornisce ai team SOC informazioni dettagliate per rilevare e rispondere ai modelli di attacco più recenti nei cluster servizio Azure Kubernetes, EKS e GKE.
Evidenziazioni chiave:
- Analisi dettagliata delle principali minacce e delle tecniche di attacco associate negli ambienti Kubernetes.
- Raccomandazioni utili per rafforzare il comportamento di sicurezza nativo del cloud e attenuare i rischi emergenti.
GoHunt per pod Kubernetes e risorse Azure
GoHunt estende ora le funzionalità di ricerca per includere pod Kubernetes e risorse Azure, all'interno del portale di Defender XDR. Questa funzionalità migliora la ricerca proattiva delle minacce, consentendo agli analisti SOC di condurre indagini approfondite nei carichi di lavoro nativi del cloud.
Funzionalità principali:
- Funzionalità di query avanzate per rilevare anomalie nei pod Kubernetes e nelle risorse Azure, offrendo un contesto più completo per l'analisi delle minacce.
- Integrazione perfetta con le entità Kubernetes per una ricerca e un'analisi efficienti delle minacce.
Security Copilot risposta guidata per i pod Kubernetes
Introduzione alla risposta guidata per i pod Kubernetes, una funzionalità basata su Security Copilot. Questa nuova funzionalità offre indicazioni dettagliate e in tempo reale, aiutando i team SOC a rispondere alle minacce ai contenitori in modo rapido ed efficace.
Vantaggi principali:
- Playbook di risposta contestuali personalizzati per scenari di attacco comuni di Kubernetes.
- Esperto, supporto in tempo reale da Security Copilot, colmare il divario di conoscenze e abilitare una risoluzione più rapida.
Integrazione nativa di Gestione del comportamento di sicurezza API all'interno del piano Defender CSPM ora in anteprima pubblica
15 novembre 2024
Le funzionalità di gestione del comportamento di sicurezza API (anteprima) sono ora incluse nel piano di Defender CSPM e possono essere abilitate tramite estensioni all'interno del piano nella pagina delle impostazioni dell'ambiente. Per altre informazioni, vedere Migliorare il comportamento di sicurezza delle API (anteprima).
Protezione avanzata dei contenitori con la valutazione della vulnerabilità e il rilevamento di malware per i nodi del servizio Azure Kubernetes (anteprima)
13 novembre 2024
Defender per il cloud fornisce ora la valutazione della vulnerabilità e il rilevamento di malware per i nodi in Servizio Azure Kubernetes (AKS) e fornisce chiarezza ai clienti nella responsabilità di sicurezza condivisa che hanno con il provider di servizi cloud gestiti.
Fornire la protezione della sicurezza per questi nodi Kubernetes consente ai clienti di mantenere la sicurezza e la conformità nel servizio Kubernetes gestito.
Per ricevere le nuove funzionalità, è necessario abilitare l'opzione agentless scan for machines nell'opzione Defender CSPM, Defender for Containers o Defender for Servers P2 plan nella sottoscrizione.
Valutazione della vulnerabilità
È ora disponibile una nuova raccomandazione nel portale di Azure: AKS nodes should have vulnerability findings resolved. Tramite questa raccomandazione, è ora possibile esaminare e correggere le vulnerabilità e le CVE rilevate nei nodi Servizio Azure Kubernetes (AKS).
Rilevamento malware
I nuovi avvisi di sicurezza vengono attivati quando la funzionalità di rilevamento malware senza agente rileva malware nei nodi del servizio Azure Kubernetes.
Il rilevamento di malware senza agente usa il motore antivirus antimalware Microsoft Defender per analizzare e rilevare file dannosi. Quando vengono rilevate minacce, gli avvisi di sicurezza vengono indirizzati a Defender per il cloud e Defender XDR, dove possono essere esaminati e risolti.
Important
Il rilevamento di malware per i nodi del servizio Azure Kubernetes è disponibile solo per Defender per contenitori o Defender per gli ambienti abilitati per server P2.
Documentazione e strumento di simulazione per gli avvisi di Kubernetes (K8s) avanzati
7 novembre 2024
Funzionalità principali
- Documentazione degli avvisi basati su scenari: gli avvisi K8s sono ora documentati in base a scenari reali, fornendo indicazioni più chiare sulle potenziali minacce e sulle azioni consigliate.
- integrazione di Microsoft Defender per endpoint (MDE): gli avvisi sono arricchiti con contesto aggiuntivo e intelligence sulle minacce di MDE, migliorando la possibilità di rispondere in modo efficace.
- Nuovo strumento di simulazione: un potente strumento di simulazione è disponibile per testare il comportamento di sicurezza simulando vari scenari di attacco e generando avvisi corrispondenti.
Benefits
- Miglioramento della comprensione degli avvisi: la documentazione basata su scenario offre una comprensione più intuitiva degli avvisi K8s.
- Risposta avanzata alle minacce: gli avvisi sono arricchiti con contesto prezioso, consentendo risposte più veloci e accurate.
- Test proattivi della sicurezza: il nuovo strumento di simulazione consente di testare le difese di sicurezza e identificare potenziali vulnerabilità prima che vengano sfruttate.
Supporto avanzato per la classificazione dei dati sensibili all'API
6 novembre 2024
Microsoft Defender per il cloud estende le funzionalità di classificazione dei dati sensibili di Sicurezza API ai parametri di query e percorso DELL'URL DELL'API insieme alle risposte e alle richieste API, inclusa l'origine delle informazioni riservate disponibili nelle proprietà dell'API. Queste informazioni saranno disponibili nell'esperienza di analisi del percorso di attacco, nella pagina Dettagli aggiuntivi di Cloud Security Explorer quando vengono selezionate operazioni di Gestione API con dati sensibili e nel dashboard sicurezza API nella pagina Dei dettagli della raccolta API, con un nuovo menu di scelta rapida laterale che fornisce informazioni dettagliate sui dati sensibili trovati, consentire ai team di sicurezza di individuare e mitigare in modo efficiente i rischi di esposizione dei dati.
Note
Questa modifica includerà un'implementazione una tantum all'Defender esistente per le API e i clienti Defender CSPM.
Nuovo supporto per il mapping degli endpoint API Gestione API di Azure al calcolo back-end
6 novembre 2024
il comportamento di sicurezza api di Defender per il cloud supporta ora il mapping degli endpoint API pubblicati tramite Gestione API di Azure Gateway alle risorse di calcolo back-end, ad esempio le macchine virtuali, nel Defender Cloud Security Posture Management (Defender CSPM) Cloud Security Explorer. Questa visibilità consente di identificare il routing del traffico API verso destinazioni di calcolo cloud back-end, consentendo di rilevare e risolvere i rischi di esposizione associati agli endpoint API e alle relative risorse back-end connesse.
Supporto avanzato della sicurezza api per distribuzioni di Gestione API di Azure a più aree e gestione delle revisioni dell'API
6 novembre 2024
La copertura della sicurezza DELLE API all'interno di Defender per il cloud ora avrà il supporto completo per le distribuzioni in più aree Gestione API di Azure, tra cui il comportamento di sicurezza completo e il supporto per il rilevamento delle minacce sia nelle aree primarie che secondarie
L'onboarding e l'offboarding delle API per Defender per le API verranno ora gestite a livello di API Gestione API di Azure. Tutte le revisioni Gestione API di Azure associate verranno incluse automaticamente nel processo, eliminando la necessità di gestire l'onboarding e l'offboarding per ogni revisione API singolarmente.
Questa modifica include un'implementazione una tantum alle Defender esistenti per i clienti delle API.
Dettagli implementazione:
- L'implementazione verrà eseguita durante la settimana del 6 novembre per le Defender esistenti per i clienti delle API.
- Se la revisione "corrente" per un'API Gestione API di Azure è già stata usata per Defender per le API, tutte le revisioni associate per tale API verranno caricate automaticamente in Defender per le API.
- Se la revisione "corrente" per un'API Gestione API di Azure non viene usata per Defender per le API, le revisioni API associate di cui è stato eseguito l'onboarding in Defender per le API verranno disattivate.
Ottobre 2024
L'esperienza di migrazione di MMA è ora disponibile
28 ottobre 2024
È ora possibile assicurarsi che tutti gli ambienti siano completamente preparati per la deprecazione post Log Analytics agent (MMA) prevista alla fine di novembre 2024.
Defender per il cloud aggiunto una nuova esperienza che consente di intervenire su larga scala per tutti gli ambienti interessati:
- Prerequisiti mancanti necessari per ottenere la copertura completa della sicurezza offerta da Defender per i server piano 2.
- Si tratta di connessa a Defender per i server piano 2 usando l'approccio di onboarding legacy tramite Log Analytics'area di lavoro.
- Che usa la versione FIM (File Integrity Monitoring) precedente con l'agente Log Analytics (MMA) deve eseguire la migrazione alla nuova versione FIM improved FIM con Defender per endpoint (MDE).
Informazioni su come usare la nuova esperienza di migrazione di MMA.
I risultati della sicurezza per i repository di GitHub senza GitHub Sicurezza avanzata sono ora disponibili a livello generale
21 ottobre 2024
La possibilità di ricevere i risultati della sicurezza per errori di configurazione di infrastruttura come codice (IaC), vulnerabilità dei contenitori e punti deboli del codice per i repository GitHub senza GitHub Sicurezza avanzata è ora disponibile a livello generale.
Si noti che l'analisi dei segreti, l'analisi del codice usando GitHub CodeQL e l'analisi delle dipendenze richiedono comunque GitHub analisi avanzata.
Per altre informazioni sulle licenze necessarie, vedere la pagina di supporto DevOps. Per informazioni su come eseguire l'onboarding dell'ambiente GitHub per Defender per il cloud, seguire la guida GitHub di onboarding. Per informazioni su come configurare l'azione GitHub Microsoft Security DevOps, vedere la documentazione GitHub Action.
Deprecazione di tre standard di conformità
14 ottobre 2024
Data stimata per la modifica: 17 novembre 2024
Tre standard di conformità vengono rimossi dal prodotto:
- SWIFT CSP-CSCF v2020 (per Azure) - Questa opzione è stata sostituita dalla versione v2022
- CIS Microsoft Azure Foundations Benchmark v1.1.0 e v1.3.0- Sono disponibili due versioni più recenti (v1.4.0 e v2.0.0)
Altre informazioni sugli standard di conformità disponibili in Defender per il cloud in Standard di conformità disponibili.
Deprecazione di tre standard Defender per il cloud
8 ottobre 2024
Data stimata per la modifica: 17 novembre 2024
Per semplificare la gestione di Defender per il cloud con gli account AWS e i progetti GCP, vengono rimosse le tre Defender per il cloud standard seguenti:
- Per AWS - AWS CSPM
- Per GCP - GCP CSPM e GCP predefinito
Lo standard predefinito Microsoft Cloud Security Benchmark (MCSB) contiene ora tutte le valutazioni specifiche di questi standard.
Rilevamento della deriva binaria rilasciato in disponibilità generale
9 ottobre 2024
Il rilevamento della deriva binaria viene ora rilasciato come disponibilità generale nella Defender per il piano contenitore. Si noti che il rilevamento della deriva binaria funziona ora in tutte le versioni del servizio Azure Kubernetes.
Raccomandazioni aggiornate sul runtime dei contenitori (anteprima)
6 ottobre 2024
Le raccomandazioni di anteprima per "I contenitori in esecuzione in AWS/Azure/GCP devono avere i risultati delle vulnerabilità risolti" vengono aggiornati per raggruppare tutti i contenitori che fanno parte dello stesso carico di lavoro in un'unica raccomandazione, riducendo le duplicazioni ed evitando fluttuazioni dovute a contenitori nuovi e terminati.
A partire dal 6 ottobre 2024, gli ID di valutazione seguenti vengono sostituiti per queste raccomandazioni:
| Recommendation | ID valutazione precedente | Nuovo identificativo di valutazione |
|---|---|---|
| -- | -- | -- |
| I contenitori in esecuzione in Azure devono avere i risultati della vulnerabilità risolti | e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0 | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
| I contenitori in esecuzione in AWS devono avere i risultati della vulnerabilità risolti | d5d1e526-363a-4223-b860-f4b6e710859f | 8749bb43-cd24-4cf9-848c-2a50f632043c |
| I contenitori in esecuzione in GCP devono avere i risultati della vulnerabilità risolti | c7c1d31d-a604-4b86-96df-63448618e165 | 1b3abfa4-9e53-46f1-9627-51f2957f8bba |
Se stai recuperando report sulle vulnerabilità da queste raccomandazioni tramite API, assicurati di aggiornare la chiamata API con il nuovo ID di valutazione.
Informazioni sull'identità e l'accesso di Kubernetes nel grafico della sicurezza (anteprima)
6 ottobre 2024
Le informazioni sull'identità e l'accesso di Kubernetes vengono aggiunte al grafico della sicurezza, inclusi i nodi che rappresentano tutte le entità correlate al Controllo di accesso controllo degli accessi in base al ruolo di Kubernetes (RBAC) (account del servizio, ruoli, associazioni di ruoli e così via) e archi che rappresentano le autorizzazioni tra gli oggetti Kubernetes. I clienti possono ora eseguire query sul grafico di sicurezza per il controllo degli accessi in base al ruolo di Kubernetes e sulle relazioni correlate tra entità Kubernetes (Can Authenticate As, Can Impersonate As, Grants Role, Access Defined By, Grants Access To, Has Permission To e così via).
Percorsi di attacco basati su identità e accesso di Kubernetes (anteprima)
6 ottobre 2024
Usando i dati del controllo degli accessi in base al ruolo di Kubernetes nel grafico della sicurezza, Defender per il cloud ora rileva Kubernetes, Kubernetes nel cloud e lo spostamento laterale di Kubernetes e segnala altri percorsi di attacco in cui gli utenti malintenzionati possono abusare dell'autorizzazione Kubernetes e cloud per lo spostamento laterale da e verso i cluster Kubernetes.
Miglioramento dell'analisi del percorso di attacco per i contenitori
6 ottobre 2024
Il nuovo motore di analisi dei percorsi di attacco rilasciato lo scorso novembre supporta anche i casi d'uso dei contenitori, rilevando dinamicamente nuovi tipi di percorsi di attacco negli ambienti cloud in base ai dati aggiunti al grafico. È ora possibile trovare più percorsi di attacco per i contenitori e rilevare modelli di attacco più complessi e sofisticati usati dagli utenti malintenzionati per infiltrarsi negli ambienti cloud e Kubernetes.
Individuazione completa delle immagini del contenitore nei registri supportati
6 ottobre 2024
Defender per il cloud ora raccoglie i dati di inventario per tutte le immagini dei contenitori nei registri supportati, offrendo visibilità completa all'interno del grafico di sicurezza per tutte le immagini negli ambienti cloud, incluse le immagini che attualmente non hanno alcuna raccomandazione sul comportamento.
Le funzionalità di query tramite Cloud Security Explorer sono migliorate in modo che gli utenti possano ora cercare immagini del contenitore in base ai metadati (digest, repository, sistema operativo, tag e così via)
Inventario software dei contenitori con Cloud Security Explorer
6 ottobre 2024
I clienti sono ora in grado di ottenere un elenco di software installato nei contenitori e nelle immagini dei contenitori tramite Cloud Security Explorer. Questo elenco può essere usato anche per ottenere rapidamente altre informazioni dettagliate sull'ambiente del cliente, ad esempio per trovare tutti i contenitori e le immagini del contenitore con software interessato da una vulnerabilità zero-day, anche prima della pubblicazione di un CVE.
Settembre 2024
Miglioramenti all'esperienza di Cloud Security Explorer
22 settembre 2024
Data stimata per la modifica: ottobre 2024
Cloud Security Explorer è impostato per migliorare le prestazioni e le funzionalità della griglia, offrire un maggiore arricchimento dei dati in ogni asset cloud, migliorare le categorie di ricerca e migliorare il report di esportazione CSV con altre informazioni dettagliate sugli asset cloud esportati.
Disponibilità generale del monitoraggio dell'integrità dei file in base a Microsoft Defender per endpoint
18 settembre 2024
La nuova versione di Monitoraggio dell'integrità dei file basata su Microsoft Defender per endpoint è ora disponibile a livello generale come parte di Defender per i server piano 2. FIM consente di:
- Soddisfare i requisiti di conformità monitorando i file e i registri critici in tempo reale e controllando le modifiche.
- Identificare potenziali problemi di sicurezza rilevando modifiche sospette ai contenuti dei file.
Questa migliore esperienza FIM sostituisce quella esistente impostata per la deprecazione con il ritiro di Log Analytics Agent (MMA). L'esperienza di Monitoraggio dell'integrità dei file su MMA continuerà a essere supportata fino alla fine di novembre 2024.
Con questa versione, viene rilasciata un'esperienza nel prodotto per consentire di eseguire la migrazione della configurazione FIM tramite MMA alla nuova versione FIM su Defender per endpoint.
Per informazioni su come abilitare FIM su Defender per endpoint, vedere File Integrity Monitoring tramite Microsoft Defender per endpoint. Per informazioni su come disabilitare le versioni precedenti, vedere Migrazione del monitoraggio dell'integrità dei file dalle versioni precedenti.
L'esperienza di migrazione FIM è disponibile in Defender per il cloud
18 settembre 2024
Viene rilasciata un'esperienza nel prodotto per consentire di eseguire la migrazione della configurazione FIM tramite MMA alla nuova versione FIM su Defender per endpoint. Con questa esperienza puoi:
- Esaminare l'ambiente interessato con la versione precedente di Monitoraggio dell'integrità dei file su MMA abilitata e verificare la migrazione necessaria.
- Esportare le regole correnti di Monitoraggio dell'integrità dei file dall'esperienza basata su MMA e inserirle nelle aree di lavoro
- Eseguire la migrazione alle sottoscrizioni abilitate per il piano 2 con la nuova versione di Monitoraggio dell'integrità dei file su Microsoft Defender per endpoint.
Per usare l'esperienza di migrazione, passare al riquadro Impostazioni ambiente e selezionare il pulsante migrazione MMA nella riga superiore.
Deprecazione della funzionalità di provisioning automatico di MMA
Il 18 settembre 2024, come parte del ritiro dell'agente MMA, anche la funzionalità di provisioning automatico, che consente l'installazione e la configurazione dell'agente per i clienti di Microsoft Defender per il cloud, verrà gradualmente deprecata in due fasi:
Entro la fine di settembre 2024, il provisioning automatico di MMA verrà disabilitato per i clienti che non usano più questa funzionalità, nonché per le nuove sottoscrizioni. Dopo settembre, la funzionalità non potrà più essere riabilitata in tali abbonamenti.
Fine novembre 2024: il provisioning automatico di MMA verrà disabilitato nelle sottoscrizioni in cui non è stato ancora disattivato. Da quel momento in poi, non sarà più possibile abilitare la funzionalità nelle sottoscrizioni esistenti.
Integrazione con Power BI
15 settembre 2024
Defender per il cloud ora può essere integrato con Power BI. Questa integrazione consente di creare report e dashboard personalizzati usando i dati di Defender per il cloud. È possibile usare Power BI per visualizzare e analizzare il comportamento di sicurezza, la conformità e le raccomandazioni sulla sicurezza.
Altre informazioni sul nuovo integration con Power BI.
Eseguire l'aggiornamento ai requisiti di rete multicloud di CSPM
11 settembre 2024
Data stimata per la modifica: ottobre 2024
A partire da ottobre 2024, vengono aggiunti altri indirizzi IP ai servizi di individuazione multicloud per supportare miglioramenti e garantire un'esperienza più efficiente per tutti gli utenti.
Per garantire l'accesso ininterrotto dai nostri servizi, è necessario aggiornare l'elenco di indirizzi IP consentiti con i nuovi intervalli forniti qui. È necessario apportare le modifiche necessarie nelle impostazioni del firewall, nei gruppi di sicurezza o in qualsiasi altra configurazione applicabile all'ambiente. L'elenco è sufficiente per la piena funzionalità dell'offerta di base (gratuita) CSPM.
Defender per la funzionalità Server deprecata
9 settembre 2024
I controlli applicazioni adattivi e la protezione avanzata adattiva per la rete sono ora deprecati.
Framework di sicurezza nazionale spagnolo (Esquema Framework de Seguridad (ENS)) aggiunto al dashboard di conformità alle normative per Azure
9 settembre 2024
Le organizzazioni che desiderano controllare gli ambienti di Azure per la conformità allo standard ENS possono ora farlo usando Defender per il cloud.
Lo standard ENS si applica all'intero settore pubblico spagnolo, nonché ai fornitori che collaborano con l'Amministrazione. Definisce principi di base, requisiti e misure di sicurezza per proteggere le informazioni e i servizi elaborati elettronicamente. L'obiettivo è garantire l'accesso, la riservatezza, l'integrità, la tracciabilità, l'autenticità, la disponibilità e la conservazione dei dati.
Consultare l'elenco completo degli standard di conformità supportati.
Applicare gli aggiornamenti di sistema e le patch consigliate sui tuoi computer.
8 settembre 2024
È ora possibile correggere gli aggiornamenti del sistema e le patch consigliati per i computer abilitati Azure Arc e le macchine virtuali Azure. Gli aggiornamenti e le patch di sistema sono fondamentali per mantenere la sicurezza e l'integrità dei computer. Gli aggiornamenti contengono spesso patch di sicurezza per le vulnerabilità che, se lasciate non risolte, sono sfruttabili dagli attaccanti.
Le informazioni sugli aggiornamenti del computer mancanti vengono raccolte usando Gestore aggiornamenti di Azure.
Per mantenere la sicurezza delle macchine per gli aggiornamenti e le patch di sistema, è necessario abilitare le impostazioni degli aggiornamenti di valutazione periodici sui computer.
Maggiori informazioni su come Correggere gli aggiornamenti del sistema e le raccomandazioni dei patch nei computer.
L'integrazione di ServiceNow include ora il modulo Conformità della configurazione
4 settembre 2024
l'integrazione del piano CSPM di Defender per il cloud con ServiceNow include ora il modulo Conformità alla configurazione di ServiceNow. Questa funzionalità consente di identificare, classificare in ordine di priorità e correggere i problemi di configurazione negli asset cloud, riducendo al contempo i rischi per la sicurezza e migliorando il comportamento di conformità complessivo tramite flussi di lavoro automatizzati e informazioni dettagliate in tempo reale.
Altre informazioni sull'integrazione di ServiceNow con Defender per il cloud.
Defender per il piano di protezione archiviazione per transazione (versione classica) non disponibile per le nuove sottoscrizioni
4 settembre 2024
Data stimata per la modifica: 5 febbraio 2025
Dopo il 5 febbraio 2025 non sarà possibile attivare il piano di protezione legacy Defender per archiviazione (versione classica) per transazione, a meno che non sia già abilitato nella sottoscrizione. Per altre informazioni, vedere Move alla nuova Defender per il piano di archiviazione.
Criteri di Azure configurazione guest è ora disponibile a livello generale
domenica 1 settembre 2024
Defender per la configurazione guest Criteri di Azure server è ora disponibile a livello generale per tutti i clienti multicloud Defender per i server piano 2. La configurazione guest offre un'esperienza unificata per la gestione delle baseline di sicurezza in tutto 'ambiente. Consente di valutare e applicare configurazioni di sicurezza nei server, tra cui computer Windows e Linux, Azure macchine virtuali, AWS EC2 e istanze GCP.
Informazioni su come abilitare la configurazione del computer Criteri di Azure nell'ambiente.
Anteprima per il supporto del registro contenitori di Docker Hub da parte di Defender per contenitori
domenica 1 settembre 2024
Viene introduttiva l'anteprima pubblica del Microsoft Defender per l'estensione di copertura dei contenitori per includere registri esterni, a partire dai registri contenitori Docker Hub. Nell'ambito della gestione del comportamento di sicurezza Microsoft Cloud dell'organizzazione, l'estensione della copertura ai registri contenitori Docker Hub offre i vantaggi dell'analisi delle immagini dei contenitori Docker Hub usando Gestione delle vulnerabilità di Microsoft Defender identificare le minacce alla sicurezza e attenuare i potenziali rischi per la sicurezza.
Per altre informazioni su questa funzionalità, vedere Vulnerability Assessment for Docker Hub
Agosto 2024
| Date | Category | Update |
|---|---|---|
| 28 agosto | Preview | Nuova versione di Monitoraggio dell'integrità dei file basata su Microsoft Defender per endpoint |
| Agosto 22 | Dismissione imminente | Retirement dell'integrazione degli avvisi di Defender per il cloud con avvisi WAF Azure |
| 1 agosto | GA | Enable Microsoft Defender for SQL Servers on machines at scale |
Nuova versione di Monitoraggio dell'integrità dei file basata su Microsoft Defender per endpoint
28 agosto 2024
La nuova versione di Monitoraggio dell'integrità dei file basata su Microsoft Defender per endpoint è ora disponibile in anteprima pubblica. Fa parte di Defender per server piano 2. Consente di:
- Soddisfare i requisiti di conformità monitorando i file e i registri critici in tempo reale e controllando le modifiche.
- Identificare potenziali problemi di sicurezza rilevando modifiche sospette ai contenuti dei file.
Come parte di questa versione, l'esperienza FIM su AMA non sarà più disponibile nel portale di Defender per il cloud. L'esperienza di Monitoraggio dell'integrità dei file su MMA continuerà a essere supportata fino alla fine di novembre 2024. All'inizio di settembre verrà rilasciata un'esperienza in-product che consente di eseguire la migrazione della configurazione FIM tramite MMA alla nuova versione FIM su Defender per endpoint.
Per informazioni su come abilitare FIM su Defender per endpoint, vedere File Integrity Monitoring tramite Microsoft Defender per endpoint. Per informazioni su come eseguire la migrazione dalle versioni precedenti, vedere Migrazione del monitoraggio dell'integrità dei file dalle versioni precedenti.
Ritiro dell'integrazione degli avvisi di Defender per il cloud con avvisi waf Azure
22 agosto 2024
Data stimata per la modifica: 25 settembre 2024
Defender per il cloud avviso integration con avvisi WAF Azure verranno ritirati il 25 settembre 2024. Non è necessaria alcuna azione da parte dell'utente. Per Microsoft Sentinel clienti, è possibile configurare il Web application firewall di Azure connector.
Abilitare Microsoft Defender per i server SQL su computer su larga scala
1 agosto 2024
È ora possibile abilitare Microsoft Defender per i server SQL su computer su larga scala nei cloud per enti pubblici. Questa funzionalità consente di abilitare Microsoft Defender per SQL in più server contemporaneamente, risparmiando tempo e fatica.
Informazioni su come abilitare Microsoft Defender per i server SQL su computer su larga scala.
Luglio 2024
Disponibilità generale delle raccomandazioni per l'individuazione e la configurazione avanzate della protezione endpoint
31 luglio 2024
Le funzionalità di individuazione migliorate per le soluzioni di protezione endpoint e l'identificazione avanzata dei problemi di configurazione sono ora disponibili a livello generale per i server multi-cloud. Questi aggiornamenti sono inclusi nella Defender per server piano 2 e Defender Cloud Security Posture Management (CSPM).
La funzionalità di raccomandazioni avanzate usa l'analisi automatica senza agente, consentendo l'individuazione completa e la valutazione della configurazione di soluzioni di rilevamento e risposta degli endpoint supportate. In caso di problemi di configurazione, viene indicata una procedura di correzione.
Con questa versione di disponibilità generale, l'elenco delle soluzioni supportate viene ampliato per includere altri due strumenti di rilevamento e risposta degli endpoint:
- Singularity Platform di SentinelOne
- Cortex XDR
Deprecazione della protezione avanzata adattiva della rete
31 luglio 2024
Data stimata per la modifica: 31 agosto 2024
Defender per la protezione avanzata adattiva della rete server è deprecata.
La deprecazione delle funzionalità include le esperienze seguenti:
- Raccomandazione: Le raccomandazioni per la protezione avanzata adattiva della rete devono essere applicate alle macchine virtuali con connessione Internet [chiave di valutazione: f9f0eed0-f143-47bf-b856-671ea2eeed62]
- Avviso: il traffico rilevato dagli indirizzi IP consigliati per il blocco
Anteprima: le valutazioni della sicurezza per GitHub non richiedono più licenze aggiuntive
22 luglio 2024
GitHub gli utenti in Defender per il cloud non hanno più bisogno di una licenza di sicurezza avanzata GitHub per visualizzare i risultati della sicurezza. Questo vale per le verifiche della sicurezza per punti deboli del codice, errori di configurazione dell'infrastruttura come codice (IaC) e vulnerabilità nelle immagini del contenitore rilevate in fase di compilazione.
I clienti con GitHub Sicurezza avanzata continueranno a ricevere ulteriori valutazioni della sicurezza in Defender per il cloud per le credenziali esposte, le vulnerabilità nelle dipendenze open source e i risultati di CodeQL.
Per altre informazioni sulla sicurezza di DevOps in Defender per il cloud, vedere DevOps Security Overview. Per informazioni su come eseguire l'onboarding dell'ambiente GitHub per Defender per il cloud, seguire la guida GitHub di onboarding. Per informazioni su come configurare Microsoft Security Azione GitHub DevOps, vedere la documentazione GitHub Action.
Sequenze temporali aggiornate per la deprecazione di MMA in Defender per server piano 2
18 luglio 2024
Data stimata per la modifica: agosto 2024
Con la deprecazione upcoming dell'agente di Log Analytics in agosto, tutto il valore di sicurezza per la protezione server in Defender per il cloud si baserà sull'integrazione con Microsoft Defender per endpoint (MDE) come singolo agente e sulle funzionalità senza agente fornite dalla piattaforma cloud e dall'analisi automatica senza agente.
Le funzionalità seguenti hanno aggiornato sequenze temporali e piani, pertanto il supporto per loro su MMA verrà esteso per Defender per il cloud clienti alla fine di novembre 2024:
Monitoraggio dell'integrità dei file (FIM): la versione di anteprima pubblica per la nuova versione FIM su MDE è prevista per agosto 2024. La versione GA di FIM con tecnologia Log Analytics agent continuerà a essere supportata per i clienti esistenti fino alla fine di November 2024.
Security Baseline: come alternativa alla versione basata su MMA, La versione di anteprima corrente basata sulla configurazione guest verrà rilasciata alla disponibilità generale in September 2024. le baseline di sicurezza del sistema operativo basate su Log Analytics agente continueranno a essere supportate per i clienti esistenti fino alla fine di November 2024.
Per altre informazioni, vedere Prepare per il ritiro dell'agente di Log Analytics.
Deprecazione delle funzionalità correlate a MMA nell'ambito del ritiro dell'agente
18 luglio 2024
Data stimata per la modifica: agosto 2024
Nell'ambito dell'deprecation dell'agente di monitoraggio Microsoft e dell'Defender aggiornato per la strategia di distribuzione dei server, tutte le funzionalità di sicurezza per Defender per i server verranno ora fornite tramite un singolo agente (Defender per endpoint) o tramite funzionalità di analisi senza agente. Questa operazione non richiederà la dipendenza da MMA o da Azure Monitoring Agent (AMA).
Man mano che ci avviciniamo al ritiro dell'agente nel mese di agosto 2024, le funzionalità correlate a MMA seguenti verranno rimosse dal portale di Defender per il cloud:
- Visualizzazione dello stato di installazione di MMA nei pannelli Inventory e Integrità risorse.
- La possibilità di eseguire l'onboarding di nuovi server non Azure per Defender per i server tramite aree di lavoro Log Analytics verrà rimossa sia dai pannelli Inventory che da Getting Started.
Note
È consigliabile che i clienti correnti, che hanno eseguito l'onboarding di server locali che usano l'approccio legacy, dovrebbero ora connettere questi computer tramite server abilitati per Azure Arc. È anche consigliabile abilitare la Defender per i server piano 2 nelle sottoscrizioni Azure a cui sono connessi questi server.
Se è stata abilitata in modo selettivo Defender per server piano 2 in macchine virtuali Azure specifiche tramite l'approccio legacy, abilitare Defender per i server piano 2 nelle sottoscrizioni Azure di questi computer. Escludere singoli computer dal Defender per la copertura dei server usando il Defender per server configurazione per risorse.
Questa procedura garantisce che non si verifichi alcuna perdita di copertura della sicurezza a causa del ritiro dell'agente Log Analytics.
Per mantenere la continuità della sicurezza, è consigliabile che i clienti con Defender per server piano 2 consentano l'analisi dei computer senza agente e integrazione con Microsoft Defender per endpoint nelle sottoscrizioni.
È possibile usare questa cartella di lavoro personalizzata per tenere traccia del patrimonio Log Analytics Agent (MMA) e monitorare lo stato di distribuzione di Defender per server in macchine virtuali Azure e Azure Arc.
Per altre informazioni, vedere Prepare per il ritiro dell'agente di Log Analytics.
Anteprima pubblica di Binary Drift ora disponibile in Defender per contenitori
Verrà introduttiva l'anteprima pubblica di Binary Drift for Defender for Containers (Deviazione binaria per i contenitori). Questa funzionalità consente di identificare e mitigare i potenziali rischi di sicurezza associati ai file binari non autorizzati nei contenitori. Deriva binaria identifica e invia in modo autonomo avvisi sui processi binari potenzialmente dannosi all'interno dei contenitori. Inoltre, consente l'implementazione di un nuovo criterio di deriva binaria per controllare le preferenze di avviso, offrendo la possibilità di personalizzare le notifiche in base a specifiche esigenze di sicurezza. Per altre informazioni su questa funzionalità, vedere Rilevamento deriva binaria
Gli script di correzione automatizzati per AWS e GCP sono ora disponibili a livello generale
14 luglio 2024
A marzo sono stati rilasciati script di correzione automatizzati per AWS & GCP all'anteprima pubblica, che consente di correggere gli elementi consigliati per AWS e GCP su larga scala a livello di codice.
Oggi stiamo rilasciando questa funzionalità per la disponibilità generale (GA). Informazioni su come usare script di correzione automatizzati.
aggiornamento delle autorizzazioni dell'applicazione GitHub
11 luglio 2024
Data stimata per la modifica: 18 luglio 2024
La sicurezza di DevOps in Defender per il cloud sta costantemente apportando aggiornamenti che richiedono ai clienti con connettori GitHub in Defender per il cloud di aggiornare le autorizzazioni per l'applicazione Microsoft Security DevOps in GitHub.
Come parte di questo aggiornamento, l'applicazione GitHub richiederà autorizzazioni di lettura GitHub Copilot Business. Questa autorizzazione verrà usata per aiutare i clienti a proteggere meglio le distribuzioni GitHub Copilot. È consigliabile aggiornare l'applicazione il prima possibile.
Le autorizzazioni possono essere concesse in due modi diversi:
Nell'organizzazione GitHub passare all'applicazione Microsoft Security DevOps all'interno di Settings > GitHub Apps e accettare la richiesta di autorizzazioni.
In un messaggio di posta elettronica automatizzato dal supporto GitHub selezionare Visualizzare la richiesta di autorizzazione per accettare o rifiutare questa modifica.
Gli standard di conformità sono ora disponibili a livello generale
10 luglio 2024
A marzo sono state aggiunte versioni di anteprima di molti nuovi standard di conformità per i clienti per convalidare le risorse AWS e GCP.
Questi standard includono CIS Google Kubernetes Engine (GKE) Benchmark, ISO/IEC 27001 e ISO/IEC 27002, Profilo CRI, CSA Cloud Controls Matrix (CCM), Legge sulla protezione dei dati personali (LGPD) generale brasiliana, California Consumer Privacy Act (CCPA) e altro ancora.
Questi standard di anteprima sono ora disponibili a livello generale.
Consultare l'elenco completo degli standard di conformità supportati.
Miglioramento dell'esperienza di inventario
9 luglio 2024
Data stimata per la modifica: 11 luglio 2024
L'esperienza di inventario verrà aggiornata per migliorare le prestazioni, inclusi i miglioramenti apportati alla logica di query "Apri query" del riquadro in Azure Resource Graph. Gli aggiornamenti alla logica sottostante Azure calcolo delle risorse potrebbero comportare il conteggio e la presentazione di altre risorse.
Strumento di mapping dei contenitori da eseguire per impostazione predefinita in GitHub
8 luglio 2024
Data stimata per la modifica: 12 agosto 2024
Con le funzionalità di sicurezza di DevOps in Microsoft Defender Cloud Security Posture Management (CSPM), è possibile eseguire il mapping delle applicazioni native del cloud dal codice al cloud per avviare facilmente i flussi di lavoro di correzione degli sviluppatori e ridurre il tempo necessario per correggere le vulnerabilità nelle immagini del contenitore. Attualmente, è necessario configurare manualmente lo strumento di mapping delle immagini del contenitore per l'esecuzione nell'azione Microsoft Security DevOps in GitHub. Con questa modifica, il mapping dei contenitori verrà eseguito per impostazione predefinita come parte dell'azione Microsoft Security DevOps. Altre informazioni sull'azione Microsoft Security DevOps.
Giugno 2024
| Date | Category | Update |
|---|---|---|
| 27 giugno | GA | Checkov Analisi IaC in Defender per il cloud. |
| 24 giugno | Update | Modifica dei prezzi per Defender multicloud per contenitori |
| 20 giugno | Dismissione imminente |
Reminder di deprecazione per le raccomandazioni adattive in Microsoft Monitoring Agent (MMA) deprecazione. Dismissione stimata: agosto 2024. |
| 10 giugno | Preview | Copilot in Defender per il cloud |
| 10 giugno | Aggiornamento imminente |
Abilitazione automatica della valutazione della vulnerabilità di SQL con la configurazione rapida nei server non configurati. Aggiornamento stimato: 10 luglio 2024. |
| 3 giugno | Aggiornamento imminente |
Modifiche al comportamento delle raccomandazioni per le identità Aggiornamento stimato: 10 luglio 2024. |
GA: Analisi IaC checkov in Defender per il cloud
27 giugno 2024
Viene annunciata la disponibilità generale dell'analisi Checkov integration for Infrastructure-as-Code (IaC) tramite Microsoft Security DevOps (MSDO). Come parte di questa versione, Checkov sostituirà TerraScan come analizzatore IaC predefinito che viene eseguito come parte dell'interfaccia della riga di comando di MSDO. TerraScan potrebbe comunque essere configurato manualmente tramite le variabili di ambiente di MSDO, ma non verrà eseguito per impostazione predefinita.
I risultati della sicurezza di Checkov presenti come raccomandazioni sia per i repository Azure DevOps che per i repository GitHub nelle valutazioni Azure DevOps devono avere un'infrastruttura in quanto i risultati del codice sono stati risolti e GitHub i repository devono avere un'infrastruttura come risultati del codice risolti.
Per altre informazioni sulla sicurezza di DevOps in Defender per il cloud, vedere DevOps Security Overview. Per informazioni su come configurare l'interfaccia della riga di comando di MSDO, vedere la documentazione Azure DevOps o GitHub.
Aggiornamento: modifica dei prezzi per Defender per i contenitori in multicloud
24 giugno 2024
Poiché Defender per i contenitori in multicloud è ora disponibile a livello generale, non è più gratuito. Per altre informazioni, vedere Microsoft Defender per il cloud pricing.
Dismissione: Promemoria della dismissione per le raccomandazioni adattive
20 giugno 2024
Data stimata per la modifica: agosto 2024
Nell'ambito della deprecazione MMA e della strategia di distribuzione aggiornata Defender per server, Defender per le funzionalità di sicurezza server verranno fornite tramite l'agente Microsoft Defender per endpoint (MDE) o tramite le funzionalità di analisi agentless. Entrambe queste opzioni non dipendono da MMA o da Azure Monitoring Agent (AMA).
Le raccomandazioni per la sicurezza adattiva, note come controlli applicazioni adattivi e protezione avanzata adattiva per la rete, verranno sospese. L'attuale versione con disponibilità generale basata su MMA e la versione di anteprima basata su AMA saranno dismesse ad agosto 2024.
Anteprima: Copilot in Defender per il cloud
10 giugno 2024
Verrà annunciata l'integrazione di Microsoft Security Copilot in Defender per il cloud in anteprima pubblica. Copilot'esperienza incorporata in Defender per il cloud offre agli utenti la possibilità di porre domande e ottenere risposte in linguaggio naturale. Copilot consente di comprendere il contesto di una raccomandazione, l'effetto dell'implementazione di una raccomandazione, i passaggi necessari per implementare una raccomandazione, facilitare la delega delle raccomandazioni e facilitare la correzione delle configurazioni errate nel codice.
Altre informazioni su Microsoft Security Copilot in Defender per il cloud.
Aggiornamento: abilitazione automatica valutazione della vulnerabilità SQL
10 giugno 2024
Data stimata per la modifica: 10 luglio 2024
In origine, la valutazione della vulnerabilità SQL con configurazione rapida è stata abilitata automaticamente solo nei server in cui Microsoft Defender per SQL è stata attivata dopo l'introduzione di Express Configuration nel dicembre 2022.
Verranno aggiornati tutti i server Azure SQL che avevano Microsoft Defender per SQL attivato prima di dicembre 2022 e non erano presenti criteri di valutazione della vulnerabilità SQL (SQL VA) abilitati automaticamente con La configurazione rapida.
- L'implementazione di questa modifica sarà graduale, che dura diverse settimane e non richiede alcuna azione da parte dell'utente.
- Questa modifica si applica ai server Azure SQL in cui Microsoft Defender per SQL è stato attivato a livello di sottoscrizione Azure.
- I server con una configurazione classica esistente (valida o non valida) non saranno interessati da questa modifica.
- Dopo l'attivazione, la raccomandazione "I database SQL devono avere risultati di vulnerabilità risolti" potrebbe apparire e potrebbe influire potenzialmente sul punteggio di sicurezza.
Aggiornamento: modifiche nel comportamento delle raccomandazioni relative alle identità
3 giugno 2024
Data stimata per la modifica: luglio 2024
Queste modifiche:
- La risorsa valutata diventerà l'identità anziché la sottoscrizione
- Le raccomandazioni non avranno più 'sottocomendazioni'
- Il valore del campo "assessmentKey" nell'API verrà modificato per tali raccomandazioni
Verranno applicate alle raccomandazioni seguenti:
- Gli account con autorizzazioni di proprietario per le risorse di Azure devono essere abilitati per MFA
- Gli account con autorizzazioni di scrittura per le risorse di Azure devono essere abilitati per MFA
- Gli account con autorizzazioni di lettura per le risorse di Azure devono essere abilitati per MFA
- Gli account guest con autorizzazioni di proprietario per le risorse Azure devono essere rimossi
- Gli account guest con autorizzazioni di scrittura per le risorse di Azure devono essere rimossi
- Gli account guest con autorizzazioni di lettura per le risorse di Azure devono essere rimossi
- Gli account bloccati con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi
- Gli account bloccati con autorizzazioni di lettura e scrittura per le risorse di Azure devono essere rimossi
- È necessario designare un massimo di tre proprietari per la sottoscrizione
- Alla sottoscrizione deve essere assegnato più di un proprietario
Maggio 2024
| Date | Category | Update |
|---|---|---|
| 30 maggio | GA | rilevamento malware Agentless in Defender per server piano 2 |
| 22 maggio | Update | Configurare le notifiche tramite e-mail per i percorsi di attacco |
| 21 maggio | Update | Advanced hunting in Microsoft Defender XDR include avvisi ed eventi imprevisti Defender per il cloud |
| 9 maggio | Preview | integrazione di Checkov per l'analisi IaC in Defender per il cloud |
| 7 maggio | GA | gestione Permissions in Defender per il cloud |
| 6 maggio | Preview | AI multicloud security posture management è disponibile per Azure e AWS. |
| 6 maggio | Anteprima limitata | Protezione per i carichi di lavoro di intelligenza artificiale in Azure. |
| 2° maggio | Update | Gestione dei criteri di sicurezza. |
| 1 maggio | Preview | Defender per i database open source è ora disponibile in AWS per le istanze di Amazon. |
| 1 maggio | Dismissione imminente |
Removal di FIM su AMA e il rilascio di una nuova versione su Defender per Endpoint. Dismissione stimata: agosto 2024. |
DISPONIBILITÀ generale: rilevamento di malware senza agente in Defender per server piano 2
30 maggio 2024
Il rilevamento di malware senza agente di Defender per il cloud per macchine virtuali Azure, istanze DI AWS EC2 e istanze di macchine virtuali GCP è ora disponibile a livello generale come nuova funzionalità in Defender per server piano 2.
Il rilevamento di malware senza agente usa Microsoft Defender Antivirus motore antimalware per analizzare e rilevare file dannosi. Le minacce rilevate attivano avvisi di sicurezza direttamente in Defender per il cloud e Defender XDR, in cui possono essere analizzate e risolte. Altre informazioni sull'analisi di malware senza agente per i server e sull'analisi senza agente per le macchine virtuali.
Aggiornamento: Configurare le notifiche via e-mail per i percorsi di attacco
22 maggio 2024
Ora è possibile configurare le notifiche via e-mail quando viene rilevato un percorso di attacco con un livello di rischio specificato o superiore. Vedere come configurare le notifiche e-mail.
Aggiornamento: ricerca avanzata in Microsoft Defender XDR include avvisi ed eventi imprevisti Defender per il cloud
21 maggio 2024
gli avvisi e gli eventi imprevisti di Defender per il cloud sono ora integrati con Microsoft Defender XDR e sono accessibili nel portale di Microsoft Defender. Questa integrazione offre un contesto più completo per le indagini che riguardano risorse, dispositivi e identità cloud. Informazioni sulla ricerca avanzata nell'integrazione di XDR.
Anteprima: Integrazione checkov per l'analisi IaC in Defender per il cloud
9 maggio 2024
L'integrazione checkov per la sicurezza devOps in Defender per il cloud è ora disponibile in anteprima. Questa integrazione migliora sia la qualità che il numero totale di controlli infrastruttura come codice eseguiti dall'interfaccia della riga di comando di MSDO durante l'analisi dei modelli IaC.
Durante l'anteprima, Checkov deve essere richiamato in modo esplicito tramite il parametro di input 'tools' per l'interfaccia della riga di comando di MSDO.
Altre informazioni sulla sicurezza di DevOps in Defender per il cloud e sulla configurazione dell'interfaccia della riga di comando MSDO per Azure DevOps e GitHub.
DISPONIBILITÀ generale: Gestione delle autorizzazioni in Defender per il cloud
7 maggio 2024
Gestione delle autorizzazioni è ora disponibile a livello generale in Defender per il cloud.
Anteprima: Gestione postura di sicurezza multi-cloud per l'intelligenza artificiale
6 maggio 2024
La gestione del comportamento di sicurezza dell'intelligenza artificiale è disponibile in anteprima in Defender per il cloud. Offre funzionalità di gestione del comportamento di sicurezza dell'intelligenza artificiale per Azure e AWS, per migliorare la sicurezza delle pipeline e dei servizi di intelligenza artificiale.
Altre informazioni sulla gestione della postura di sicurezza dell'IA.
Anteprima limitata: protezione dalle minacce per i carichi di lavoro di intelligenza artificiale in Azure
6 maggio 2024
La protezione dalle minacce per i carichi di lavoro di intelligenza artificiale in Defender per il cloud è disponibile in anteprima limitata. Questo piano consente di monitorare le applicazioni basate su OpenAI Azure in fase di esecuzione per individuare attività dannose, identificare e correggere i rischi per la sicurezza. Fornisce informazioni contestuali sulla protezione dalle minacce del carico di lavoro di intelligenza artificiale, l'integrazione con Responsible AI e Microsoft Threat Intelligence. Gli avvisi di sicurezza pertinenti sono integrati nel portale di Defender.
Altre informazioni sulla protezione dalle minacce per i carichi di lavoro di intelligenza artificiale.
Disponibilità generale: Gestione dei criteri di sicurezza
2 maggio 2024
La gestione dei criteri di sicurezza nei cloud (Azure, AWS, GCP) è ora disponibile a livello generale. Consente ai team di sicurezza di gestire i criteri di sicurezza in modo coerente e con nuove funzionalità
Altre informazioni sui criteri di sicurezza in Microsoft Defender per il cloud.
Anteprima: Defender per i database open source disponibili in AWS
1° maggio 2024
Defender per i database open source in AWS è ora disponibile in anteprima. È stato aggiunto il supporto per vari tipi di istanze di Amazon Relational Database Service (RDS).
Altre informazioni su Defender per database open source e su come enable Defender per i database open source in AWS.
Dismissione: Rimozione di FIM (con AMA)
1° maggio 2024
Data stimata per la modifica: agosto 2024
Come parte della deprecazione di MMA e della Defender per server aggiornati strategia di distribuzione, tutte le Defender per le funzionalità di sicurezza dei server verranno fornite tramite un singolo agente (MDE) o tramite funzionalità di analisi senza agente e senza dipendenze da MMA o AMA.
La nuova versione di Monitoraggio dell'integrità dei file (FIM) su Microsoft Defender per endpoint (MDE) consente di soddisfare i requisiti di conformità monitorando i file e i registri critici in tempo reale, controllando le modifiche al controllo e rilevando modifiche sospette del contenuto dei file.
Nell'ambito di questa versione, l'esperienza FIM su AMA non sarà più disponibile tramite il portale di Defender per il cloud a partire da agosto 2024. Per altre informazioni, vedere Esperienza di monitoraggio dell'integrità dei file - Linee guida per le modifiche e la migrazione.
Per informazioni dettagliate sulla nuova versione dell'API, vedere Microsoft Defender per il cloud API REST.
Aprile 2024
| Date | Category | Update |
|---|---|---|
| 16 aprile | Aggiornamento imminente |
Modifica degli ID di valutazione CIEM. Aggiornamento stimato: maggio 2024. |
| 15 aprile | GA | Defender per i contenitori è ora disponibile per AWS e GCP. |
| 3 aprile | Update | Risk è ora l'esperienza predefinita in Defender per il cloud |
| 3 aprile | Update | Defender per gli aggiornamenti dei database relazionali open source. |
Aggiornamento: Modifica degli ID di valutazione CIEM
16 aprile 2024
Data stimata per la modifica: maggio 2024
Le raccomandazioni seguenti sono pianificate per il rimodellamento che comporterà modifiche agli ID di valutazione:
Azure overprovisioned identities should have only the necessary permissionsAWS Overprovisioned identities should have only the necessary permissionsGCP overprovisioned identities should have only the necessary permissionsSuper identities in your Azure environment should be removedUnused identities in your Azure environment should be removed
GA: Defender per contenitori per AWS e GCP
15 aprile 2024
Il rilevamento delle minacce di runtime e l'individuazione senza agente per AWS e GCP in Defender per contenitori sono ora disponibili a livello generale. Inoltre, è disponibile una nuova funzionalità di autenticazione in AWS che semplifica il provisioning.
Altre informazioni sulla matrice di supporto di containers in Defender per il cloud e su come configurare Defender per i componenti dei contenitori.
Aggiornamento: assegnazione delle priorità dei rischi
3 aprile 2024
La definizione delle priorità dei rischi è ora l'esperienza predefinita in Defender per il cloud. Questa funzionalità consente di concentrarsi sui problemi di sicurezza più critici nell'ambiente assegnando priorità alle raccomandazioni in base ai fattori di rischio di ogni risorsa. I fattori di rischio includono il potenziale impatto del problema di sicurezza violato, le categorie di rischio e il percorso di attacco di cui fa parte il problema di sicurezza. Altre informazioni sulla definizione delle priorità dei rischi.
Aggiornamento: Defender per database relazionali Open-Source
3 aprile 2024
- Defender per i server flessibili PostgreSQL dopo gli aggiornamenti ga: l'aggiornamento consente ai clienti di applicare la protezione per i server flessibili PostgreSQL esistenti a livello di sottoscrizione, consentendo una flessibilità completa per abilitare la protezione per ogni risorsa o per la protezione automatica di tutte le risorse a livello di sottoscrizione.
- Defender per la disponibilità dei server flessibili MySQL e ga- Defender per il cloud ampliato il supporto per Azure database relazionali open source incorporando i server flessibili MySQL.
Questa versione include:
- Compatibilità degli avvisi con gli avvisi esistenti per Defender per i server singoli MySQL.
- Abilitazione di singole risorse.
- Abilitazione a livello di sottoscrizione.
- Gli aggiornamenti per Database di Azure per MySQL server flessibili vengono eseguiti nelle prossime settimane. Se viene visualizzato l'errore
The server <servername> is not compatible with Advanced Threat Protection, è possibile attendere l'aggiornamento o aprire un ticket di supporto per aggiornare il server prima a una versione supportata.
Se si sta già proteggendo la sottoscrizione con Defender per i database relazionali open source, le risorse del server flessibili vengono abilitate, protette e fatturate automaticamente. Le notifiche di fatturazione specifiche sono state inviate tramite e-mail per le sottoscrizioni interessate.
Altre informazioni su Microsoft Defender per database relazionali open source.
Marzo 2024
GA: analisi delle immagini dei contenitori Windows
31 marzo 2024
È in corso l'annuncio della disponibilità generale (GA) del supporto delle immagini dei contenitori Windows per l'analisi tramite Defender per contenitori.
Aggiornamento: Ora l'esportazione continua include i dati del percorso di attacco
25 marzo 2024
Si annuncia che l'esportazione continua include ora i dati del percorso di attacco. Questa funzionalità consente di trasmettere i dati di sicurezza a Log Analytics in Monitoraggio di Azure, a Hub eventi di Azure o a un'altra soluzione SIEM (Security Information and Event Management), Security Orchestration Automated Response (SOAR) o modello di distribuzione classica IT.
Altre informazioni sull'esportazione continua.
Anteprima: l'analisi senza agente supporta macchine virtuali crittografate tramite chiave gestita dal cliente in Azure
21 marzo 2024
Fino ad ora l'analisi senza agente ha coperto le macchine virtuali crittografate con chiave gestita dal cliente in AWS e GCP. Con questa versione, stiamo completando anche il supporto per Azure. La funzionalità usa un approccio di analisi univoco per la chiave gestita dal cliente in Azure:
- Defender per il cloud non gestisce il processo di decrittografia o chiave. Le chiavi e la decrittografia vengono gestite senza problemi da Azure Compute e sono trasparenti per il servizio di analisi senza agente di Defender per il cloud.
- I dati del disco della macchina virtuale non crittografati non vengono mai copiati o crittografati nuovamente con un'altra chiave.
- La chiave originale non viene replicata durante il processo. Eliminando i dati sia nella macchina virtuale di produzione che nello snapshot temporaneo di Defender per il cloud.
Durante l'anteprima pubblica questa funzionalità non viene abilitata automaticamente. Se si usa Defender per server P2 o Defender CSPM e l'ambiente dispone di macchine virtuali con dischi crittografati cmk, è ora possibile eseguirne l'analisi per individuare vulnerabilità, segreti e malware seguendo questi passaggi enablement.
Anteprima: raccomandazioni personalizzate basate su KQL per Azure
17 marzo 2024
Le raccomandazioni personalizzate basate su KQL per Azure sono ora disponibili in anteprima pubblica e supportate per tutti i cloud. Per altre informazioni, vedere Creare standard di sicurezza personalizzati e consigli.
Aggiornamento: inclusione delle raccomandazioni di DevOps nel benchmark della sicurezza cloud Microsoft
13 marzo 2024
Oggi annunciamo che è ora possibile monitorare il comportamento di sicurezza e conformità di DevOps nel benchmark della sicurezza e della conformità del cloud Microsoft cloud (MCSB) oltre a Azure, AWS e GCP. Le valutazioni DevOps fanno parte del controllo DevOps Security nel MCSB.
MCSB è un framework che definisce i principi fondamentali di sicurezza del cloud basati su standard di settore e framework di conformità comuni. MCSB fornisce informazioni prescrittive su come implementare le raccomandazioni di sicurezza indipendenti dal cloud.
Altre informazioni sulle raccomandazioni DevOps che verranno incluse e Microsoft cloud security benchmark.
Disponibilità generale: L'integrazione di ServiceNow è disponibile a livello generale
12 marzo 2024
È in corso l'annuncio della disponibilità generale dell'integrazione di ServiceNow.
Anteprima: Protezione degli asset critici in Microsoft Defender per il cloud
12 marzo 2024
Defender per il cloud include ora una funzionalità di criticità aziendale, che usa il motore di asset critici di Microsoft Security Exposure Management, per identificare e proteggere asset importanti tramite la definizione delle priorità dei rischi, l'analisi del percorso di attacco e Esplora sicurezza cloud. Per altre informazioni, vedere protezione degli asset Critical in Microsoft Defender per il cloud (anteprima).
Aggiornamento: Raccomandazioni avanzate di AWS e GCP con script di correzione automatizzati
12 marzo 2024
Stiamo migliorando le raccomandazioni AWS e GCP con script di correzione automatizzati che consentono di correggerli a livello di codice e su larga scala. Altre informazioni sugli script di correzione automatizzati.
Anteprima: Standard di conformità aggiunti al dashboard della conformità
6 marzo 2024
In base al feedback dei clienti, sono stati aggiunti standard di conformità in anteprima per Defender per il cloud.
Vedere l'elenco completo degli standard di conformità supportati
Stiamo lavorando costantemente all'aggiunta e all'aggiornamento di nuovi standard per gli ambienti Azure, AWS e GCP.
Informazioni su come assegnare uno standard di sicurezza.
Aggiornamento: Defender per gli aggiornamenti dei database relazionali open source
6 marzo 2024**
Data stimata per la modifica: aprile 2024
Defender per i server flessibili PostgreSQL dopo gli aggiornamenti ga: l'aggiornamento consente ai clienti di applicare la protezione per i server flessibili PostgreSQL esistenti a livello di sottoscrizione, consentendo una flessibilità completa per abilitare la protezione per ogni risorsa o per la protezione automatica di tutte le risorse a livello di sottoscrizione.
Defender per la disponibilità dei server flessibili MySQL e disponibilità ga: Defender per il cloud è impostato per espandere il supporto per Azure database relazionali open source incorporando i server flessibili MySQL. Questa versione includerà:
- Compatibilità degli avvisi con gli avvisi esistenti per Defender per i server singoli MySQL.
- Abilitazione di singole risorse.
- Abilitazione a livello di sottoscrizione.
Se si sta già proteggendo la sottoscrizione con Defender per i database relazionali open source, le risorse del server flessibili vengono abilitate, protette e fatturate automaticamente. Le notifiche di fatturazione specifiche sono state inviate tramite e-mail per le sottoscrizioni interessate.
Altre informazioni su Microsoft Defender per database relazionali open source.
Aggiornamento: modifiche alle offerte di conformità e alle impostazioni delle azioni Microsoft
3 marzo 2024
Data stimata per la modifica: 30 settembre 2025
Il 30 settembre 2025, le posizioni in cui si accede a due funzionalità di anteprima, l'offerta conformità e le azioni Microsoft, cambieranno.
Tabella che elenca lo stato di conformità dei prodotti di Microsoft (a cui si accede dal dashboard di conformità Applicenza nella barra degli strumenti del dashboard di conformità Defender regulatory). Dopo aver rimosso questo pulsante da Defender per il cloud, sarà comunque possibile accedere a queste informazioni usando Service Trust Portal.
Per un sottoinsieme di controlli, Microsoft Actions è stato accessibile dal pulsante Microsoft Actions (anteprima) nel riquadro dei dettagli dei controlli. Dopo aver rimosso questo pulsante, è possibile visualizzare Microsoft Azioni visitando Microsoft'Service Trust Portal for FedRAMP e accedendo al documento Azure Piano di sicurezza del sistema.
Aggiornamento: modifiche in cui si accede alle offerte di conformità e alle azioni Microsoft
3 marzo 2024**
Data stimata per la modifica: settembre 2025
Il 30 settembre 2025, le posizioni in cui si accede a due funzionalità di anteprima, l'offerta conformità e le azioni Microsoft, cambieranno.
Tabella che elenca lo stato di conformità dei prodotti di Microsoft (a cui si accede dal dashboard di conformità Applicenza nella barra degli strumenti del dashboard di conformità Defender regulatory). Dopo aver rimosso questo pulsante da Defender per il cloud, sarà comunque possibile accedere a queste informazioni usando Service Trust Portal.
Per un sottoinsieme di controlli, Microsoft Actions è stato accessibile dal pulsante Microsoft Actions (anteprima) nel riquadro dei dettagli dei controlli. Dopo aver rimosso questo pulsante, è possibile visualizzare Microsoft Azioni visitando Microsoft'Service Trust Portal for FedRAMP e accedendo al documento Azure Piano di sicurezza del sistema.
Deprecazione: valutazione della vulnerabilità dei contenitori Defender per il cloud basata sul ritiro di Qualys
3 marzo 2024
La valutazione della vulnerabilità dei contenitori Defender per il cloud basata su Qualys viene ritirata. Il ritiro verrà completato entro il 6 marzo e fino a quel momento i risultati parziali potrebbero essere visualizzati sia nelle raccomandazioni Qualys che nei risultati qualys nel grafico della sicurezza. Tutti i clienti che in precedenza usavano questa valutazione devono eseguire l'aggiornamento alle valutazioni Vulnerability per Azure con Gestione delle vulnerabilità di Microsoft Defender. Per informazioni sulla transizione all'offerta di valutazione della vulnerabilità dei contenitori basata su Gestione delle vulnerabilità di Microsoft Defender, vedere Transition da Qualys a Gestione delle vulnerabilità di Microsoft Defender.
Febbraio 2024
| Date | Category | Update |
|---|---|---|
| 28 febbraio | Deprecation | Microsoft Security Code Analysis (MSCA) non è più operativo. |
| 28 febbraio | Update | La gestione dei criteri di sicurezza aggiornata espande il supporto per AWS e GCP. |
| 26 febbraio | Update | supporto di Cloud per Defender per contenitori |
| 20 febbraio | Update | Nuova versione del sensore di Defender per Defender per contenitori |
| 18 febbraio | Update | Supporto alla specifica di formato di immagine OCI (Open Container Initiative) |
| 13 febbraio | Deprecation | Valutazione della vulnerabilità dei contenitori AWS basata su Trivy ritirata. |
| 5 febbraio | Aggiornamento imminente |
Decommissione di Microsoft. Provider di risorse SecurityDevOps Previsto: 6 marzo 2024 |
Deprecazione: Microsoft Security Code Analysis (MSCA) non è più operativa
28 febbraio 2024
Nel febbraio 2021, la deprecazione dell'attività MSCA è stata comunicata a tutti i clienti ed è stata superata la fine del supporto per la vita a partire da marzo 2022. Dal 26 febbraio 2024 la funzione MSCA non è più operativa.
I clienti possono ottenere gli strumenti di sicurezza devOps più recenti da Defender per il cloud tramite Microsoft Security DevOps e altri strumenti di sicurezza tramite GitHub Sicurezza avanzata per Azure DevOps.
Aggiornamento: La gestione dei criteri di sicurezza aggiornata espande il supporto per AWS e GCP
28 febbraio 2024
L'esperienza aggiornata per la gestione dei criteri di sicurezza, inizialmente rilasciata in anteprima per Azure, sta espandendo il supporto per gli ambienti tra cloud (AWS e GCP). Questa versione di anteprima include:
- Gestione degli standard di conformità regulatory in Defender per il cloud in ambienti Azure, AWS e GCP.
- Stessa esperienza di interfaccia multi-cloud per la creazione e la gestione di raccomandazioni personalizzate Microsoft Cloud Security Benchmark (MCSB).
- L'esperienza aggiornata viene applicata a AWS e GCP per la creazione di raccomandazioni personalizzate con una query KQL.
Aggiornamento: supporto cloud per Defender per contenitori
26 febbraio 2024
Servizio Azure Kubernetes (AKS) funzionalità di rilevamento delle minacce in Defender per contenitori sono ora completamente supportate nei cloud commerciali, Azure per enti pubblici e Azure China (21Vianet). Esaminare le funzionalità supportate.
Aggiornamento: nuova versione del sensore di Defender per Defender per contenitori
20 febbraio 2024
A nuova versione del sensore Defender per Defender per contenitori disponibile. Include miglioramenti delle prestazioni e della sicurezza, supporto per i nodi arch AMD64 e Arm64 (solo Linux) e usa Inspektor Gadget come agente di raccolta di processi invece di Sysdig. La nuova versione è supportata solo nelle versioni del kernel Linux 5.4 e successive, quindi se sono presenti versioni precedenti del kernel Linux, è necessario eseguire l'aggiornamento. Il supporto per Arm64 è disponibile solo a partire da AKS V1.29 e versioni successive. Per ulteriori informazioni, vedere Sistemi operativi host supportati.
Aggiornamento: Supporto della specifica Open Container Initiative (OCI) per il formato delle immagini
18 febbraio 2024
La specifica del formato di immagine
Dismissione: Valutazione della vulnerabilità dei contenitori AWS basata su Trivy ritirata
13 febbraio 2024
La valutazione della vulnerabilità dei contenitori basata su Trivy è stata ritirata. Tutti i clienti che in precedenza usano questa valutazione devono eseguire l'aggiornamento alla nuova valutazione della vulnerabilità del contenitore AWS basata su Gestione delle vulnerabilità di Microsoft Defender. Per istruzioni su come eseguire l'aggiornamento, vedere Come si esegue l'aggiornamento dalla valutazione della vulnerabilità Trivy ritirata alla valutazione della vulnerabilità AWS basata su Gestione delle vulnerabilità di Microsoft Defender?
Aggiornamento: rimozione delle autorizzazioni di Microsoft. Provider di risorse SecurityDevOps
5 febbraio 2024
Data stimata per la modifica: 6 marzo 2024
Microsoft Defender per il cloud sta ritirando il provider di risorse
I clienti che usano ancora la versione api 2022-09-01-preview in Microsoft.SecurityDevOps per eseguire query Defender per il cloud dati di sicurezza DevOps saranno interessati. Per evitare interruzioni del servizio, il cliente dovrà eseguire l'aggiornamento alla nuova versione dell'API 2023-09-01-preview nel provider Microsoft.Security.
I clienti che usano attualmente la sicurezza Defender per il cloud DevOps dal portale di Azure non saranno interessati.
Gennaio 2024
Aggiornamento: Nuove informazioni dettagliate per i repository attivi in Cloud Security Explorer
31 gennaio 2024
Sono state aggiunte nuove informazioni dettagliate per i repository Azure DevOps a Cloud Security Explorer per indicare se i repository sono attivi. Queste informazioni dettagliate indicano che il repository di codice non è archiviato o disabilitato, ovvero l'accesso in scrittura al codice, alle compilazioni e alle richieste pull è ancora disponibile per gli utenti. I repository archiviati e disabilitati possono essere considerati priorità più bassa perché il codice non viene in genere usato nelle distribuzioni attive.
Per testare la query tramite Cloud Security Explorer, usare questo link alla query.
Aggiornamento: Variazione dei prezzi per il rilevamento delle minacce nei contenitori multi-cloud
30 gennaio 2024**
Data stimata per la modifica: aprile 2024
Quando il rilevamento delle minacce del contenitore multicloud passa alla disponibilità generale, non sarà più gratuito. Per altre informazioni, vedere Microsoft Defender per il cloud pricing.
Aggiornamento: imposizione di Defender CSPM per il valore di sicurezza DevOps Premium
29 gennaio 2024**
Data stimata per la modifica: 7 marzo 2024
Defender per il cloud inizierà ad applicare il controllo del piano di Defender CSPM per il valore di sicurezza DevOps Premium a partire da March 7th, 2024. Se il piano di Defender CSPM è abilitato in un ambiente cloud (Azure, AWS, GCP) nello stesso tenant in cui vengono creati i connettori DevOps, si continuerà a ricevere funzionalità DevOps Premium senza costi aggiuntivi. Se non si è un cliente Defender CSPM, è necessario fino a March 7° 2024 per abilitare Defender CSPM prima di perdere l'accesso a queste funzionalità di sicurezza. Per abilitare Defender CSPM in un ambiente cloud connesso prima del 7 marzo 2024, seguire la documentazione sull'abilitazione descritta here.
Per altre informazioni sulle funzionalità di sicurezza di DevOps disponibili sia nei piani CSPM di base che nei piani di Defender CSPM, vedere our documentazione che delinea la disponibilità delle funzionalità.
Per altre informazioni su DevOps Security in Defender per il cloud, vedere la documentazione di overview.
Per altre informazioni sulle funzionalità di sicurezza da codice a cloud in Defender CSPM, vedere come proteggere le risorse con Defender CSPM.
Anteprima: comportamento del contenitore senza agente per GCP in Defender per contenitori e Defender CSPM
24 gennaio 2024
Le nuove funzionalità di comportamento dei contenitori senza agente (anteprima) sono disponibili per GCP, incluse le valutazioni Vulnerability per GCP con Gestione delle vulnerabilità di Microsoft Defender. Per altre informazioni su tutte le funzionalità, vedere Comportamento del contenitore senza agente in Defender CSPM e Funzionalità senza agente in Defender per contenitori.
È anche possibile leggere informazioni sulla gestione del comportamento dei contenitori senza agente per multi-cloud in questo post di blog.
Anteprima: Scansione del malware senza agente per i server
16 gennaio 2024
Verrà annunciato il rilascio del rilevamento di malware senza agente di Defender per il cloud per Azure macchine virtuali (VM), istanze di AWS EC2 e istanze di vm GCP, come nuova funzionalità inclusa in Defender per server piano 2.
Il rilevamento di malware senza agente per le macchine virtuali è ora incluso nella piattaforma di analisi senza agente. L'analisi di malware senza agente usa Microsoft Defender Antivirus motore antimalware per analizzare e rilevare file dannosi. Eventuali minacce rilevate, attivano avvisi di sicurezza direttamente in Defender per il cloud e Defender XDR, dove possono essere esaminati e risolti. Lo scanner di malware senza agente integra la copertura basata sull'agente con un secondo livello di rilevamento delle minacce con onboarding senza attriti e non ha alcun effetto sulle prestazioni del computer.
Altre informazioni sull'analisi di malware senza agente per i server e sull'analisi senza agente per le macchine virtuali.
Disponibilità generale dell'integrazione di Defender per il cloud con Microsoft Defender XDR
15 gennaio 2024
Viene annunciata la disponibilità generale dell'integrazione tra Defender per il cloud e Microsoft Defender XDR (in precedenza Office 365 Defender).
L'integrazione offre funzionalità di protezione cloud competitive nel Centro operazioni di sicurezza (SOC) quotidiane. Con Microsoft Defender per il cloud e l'integrazione Defender XDR, i team SOC possono individuare attacchi che combinano rilevamenti da più pilastri, tra cui Cloud, Endpoint, Identità, Microsoft 365 e altro ancora.
Altre informazioni su alerts e eventi imprevisti in Microsoft Defender XDR.
Aggiornamento: ruolo Azure predefinito dell'analisi delle macchine virtuali senza agente
14 gennaio 2024**
Data stimata per la modifica: febbraio 2024
In Azure l'analisi senza agente per le macchine virtuali usa un ruolo predefinito (denominato operatore scanner VM) con le autorizzazioni minime necessarie per analizzare e valutare le macchine virtuali per problemi di sicurezza. Per fornire in modo continuo raccomandazioni relative all'integrità e alla configurazione dell'analisi pertinenti per le macchine virtuali con volumi crittografati, è pianificato un aggiornamento delle autorizzazioni di questo ruolo. L'aggiornamento include l'aggiunta dell'autorizzazione Microsoft.Compute/DiskEncryptionSets/read. Questa autorizzazione consente esclusivamente l'identificazione migliorata dell'utilizzo del disco crittografato nelle macchine virtuali. Non offre Defender per il cloud altre funzionalità per decrittografare o accedere al contenuto di questi volumi crittografati oltre i metodi di crittografia already supportati prima di questa modifica. Questa modifica dovrebbe essere eseguita a febbraio 2024 e non è necessaria alcuna azione da parte del cliente.
Aggiornamento: annotazioni delle richieste pull di sicurezza devOps abilitate per impostazione predefinita per i connettori Azure DevOps
12 gennaio 2024
La sicurezza DevOps espone i risultati della sicurezza come annotazioni nelle richieste pull per aiutare gli sviluppatori a prevenire e correggere potenziali vulnerabilità di sicurezza e configurazioni errate prima di entrare nell'ambiente di produzione. A partire dal 12 gennaio 2024, le annotazioni pull sono ora abilitate per impostazione predefinita per tutti i repository di Azure DevOps nuovi ed esistenti connessi a Defender per il cloud.
Per impostazione predefinita, le annotazioni pr sono abilitate solo per i risultati dell'infrastruttura con gravità elevata come codice (IaC). I clienti dovranno comunque configurare Microsoft Security per DevOps (MSDO) per l'esecuzione nelle compilazioni pull e abilitare i criteri di convalida della compilazione per le compilazioni CI nelle impostazioni del repository Azure DevOps. I clienti possono disabilitare la funzionalità di annotazione delle richieste pull per repository specifici all'interno delle opzioni di configurazione del repository del riquadro di sicurezza DevOps.
Altre informazioni sulle annotazioni enabling pull Request per Azure DevOps.
Deprecazione: Defender per il percorso di ritiro della vulnerabilità predefinito dei server (Qualys)
9 gennaio 2024**
Data stimata per la modifica: maggio 2024
La soluzione di valutazione della vulnerabilità predefinita dei server Defender basata su Qualys è in un percorso di ritiro, che viene stimato per il completamento di May 1st, 2024. Se attualmente si usa la soluzione di valutazione della vulnerabilità basata su Qualys, è consigliabile pianificare la transition alla soluzione integrata di gestione delle vulnerabilità Microsoft Defender.
Per altre informazioni sulla decisione di unificare l'offerta di valutazione della vulnerabilità con Gestione delle vulnerabilità di Microsoft Defender, è possibile leggere questo post di blog.
È anche possibile consultare le domande common relative alla transizione alla soluzione Gestione delle vulnerabilità di Microsoft Defender.
Aggiornamento: requisiti di rete multicloud di Defender per il cloud
3 gennaio 2024**
Data stimata per la modifica: maggio 2024
A partire da maggio 2024, verranno ritirati i vecchi indirizzi IP associati ai servizi di individuazione multicloud per supportare miglioramenti e garantire un'esperienza più sicura ed efficiente per tutti gli utenti.
Per garantire l'accesso ininterrotto ai servizi, è necessario aggiornare l'elenco di indirizzi IP consentiti con i nuovi intervalli forniti nelle sezioni seguenti. È necessario apportare le modifiche necessarie nelle impostazioni del firewall, nei gruppi di sicurezza o in qualsiasi altra configurazione applicabile all'ambiente.
L'elenco è applicabile a tutti i piani ed è sufficiente per la funzionalità completa dell'offerta di base (gratuita) di CSPM.
Indirizzi IP da ritirare:
- Individuazione GCP: 104.208.29.200, 52.232.56.127
- Individuazione AWS: 52.165.47.219, 20.107.8.204
- Onboarding: 13.67.139.3
Nuovi intervalli IP specifici dell'area da aggiungere:
- Europa occidentale: 52.178.17.48/28
- Europa settentrionale: 13.69.233.80/28
- Stati Uniti centrali: 20.44.10.240/28
- Stati Uniti orientali 2: 20.44.19.128/28
Dicembre 2023
Consolidamento dei nomi del livello di servizio 2 di Defender per il cloud
30 dicembre 2023
Stiamo consolidando i nomi legacy del livello di servizio 2 per tutti i piani di Defender per il cloud in un unico nuovo nome del livello di servizio 2, Microsoft Defender per il cloud.
Attualmente sono disponibili quattro nomi di livello di servizio: Azure Defender, Advanced Threat Protection, sicurezza dei dati avanzata e Centro sicurezza. I vari contatori per Microsoft Defender per il cloud sono raggruppati tra questi nomi separati del livello di servizio 2, creando complessità quando si usano Gestione costi e fatturazione, fatturazione e altri strumenti correlati alla fatturazione Azure.
La modifica semplifica il processo di revisione degli addebiti Defender per il cloud e offre maggiore chiarezza nell'analisi dei costi.
Per garantire una transizione uniforme, sono state adottate misure per mantenere la coerenza degli ID prodotto/servizio, SKU e contatore. I clienti interessati riceveranno una notifica informativa Azure notifica del servizio per comunicare le modifiche.
Le organizzazioni che recuperano i dati sui costi chiamando le API, dovranno aggiornare i valori nelle chiamate per supportare la modifica. In questa funzione di filtro, ad esempio, i valori non restituiscono informazioni:
"filter": {
"dimensions": {
"name": "MeterCategory",
"operator": "In",
"values": [
"Advanced Threat Protection",
"Advanced Data Security",
"Azure Defender",
"Security Center"
]
}
}
| VECCHIO nome del livello di servizio 2 | NUOVO nome del livello di servizio 2 | Livello di servizio - Livello di servizio 4 (nessuna modifica) |
|---|---|---|
| Sicurezza dei dati avanzata | Microsoft Defender per il cloud | Defender per SQL |
| Advanced Threat Protection | Microsoft Defender per il cloud | Defender per registri contenitori |
| Advanced Threat Protection | Microsoft Defender per il cloud | Defender per DNS |
| Advanced Threat Protection | Microsoft Defender per il cloud | Defender per Key Vault |
| Advanced Threat Protection | Microsoft Defender per il cloud | Defender per Kubernetes |
| Advanced Threat Protection | Microsoft Defender per il cloud | Defender per MySQL |
| Advanced Threat Protection | Microsoft Defender per il cloud | Defender per PostgreSQL |
| Advanced Threat Protection | Microsoft Defender per il cloud | Defender per Resource Manager |
| Advanced Threat Protection | Microsoft Defender per il cloud | Defender per l'archiviazione |
| Azure Defender | Microsoft Defender per il cloud | Defender per la gestione dell'Surface di attacco esterno |
| Azure Defender | Microsoft Defender per il cloud | Defender per Azure Cosmos DB |
| Azure Defender | Microsoft Defender per il cloud | Defender per contenitori |
| Azure Defender | Microsoft Defender per il cloud | Defender per MariaDB |
| Security Center | Microsoft Defender per il cloud | Defender per il servizio app |
| Security Center | Microsoft Defender per il cloud | Defender per i server |
| Security Center | Microsoft Defender per il cloud | Defender CSPM |
Defender per i server a livello di risorsa disponibile come disponibilità generale
24 dicembre 2023
È ora possibile gestire Defender per i server in risorse specifiche all'interno della sottoscrizione, offrendo il controllo completo sulla strategia di protezione. Con questa funzionalità, è possibile configurare risorse specifiche con configurazioni personalizzate diverse dalle impostazioni configurate a livello di sottoscrizione.
Altre informazioni su enibling Defender per server a livello di risorsa.
Ritiro dei connettori classici per multi-cloud
21 dicembre 2023
L'esperienza classica del connettore multi-cloud viene ritirata e i dati non vengono più trasmessi ai connettori creati tramite tale meccanismo. Questi connettori classici sono stati usati per connettere aws Security Hub e GCP Security Command Center raccomandazioni per Defender per il cloud ed eseguire l'onboarding di AWS EC2s per Defender per i server.
Il valore completo di questi connettori è stato sostituito con l'esperienza nativa dei connettori di sicurezza multi-cloud, disponibile a livello generale per AWS e GCP a partire da marzo 2022 senza costi aggiuntivi.
I nuovi connettori nativi sono inclusi nel piano e offrono un'esperienza di onboarding automatizzato con opzioni per l'onboarding di singoli account, più account (con Terraform) e l'onboarding dell'organizzazione con provisioning automatico per i piani di Defender seguenti: funzionalità CSPM di base gratuite, Defender Cloud Security Posture Management (CSPM), Defender per i server, Defender per SQL e Defender per i contenitori.
Rilascio della cartella di lavoro coverage
21 dicembre 2023
La cartella di lavoro Coverage consente di tenere traccia dei piani di Defender per il cloud attivi in quali parti degli ambienti. Questa cartella di lavoro consente di assicurarsi che gli ambienti e le sottoscrizioni siano completamente protetti. Avendo accesso a informazioni dettagliate sulla copertura, è anche possibile identificare tutte le aree che potrebbero richiedere altre misure di protezione e intervenire per risolvere tali aree.
Altre informazioni sulla cartella di lavoro coverage.
Disponibilità generale della valutazione della vulnerabilità dei contenitori basata su Gestione delle vulnerabilità di Microsoft Defender in Azure per enti pubblici e Azure gestita da 21Vianet
14 dicembre 2023
La valutazione della vulnerabilità (VA) per le immagini dei contenitori Linux nei registri contenitori Azure con tecnologia Gestione delle vulnerabilità di Microsoft Defender viene rilasciata per disponibilità generale (GA) in Azure per enti pubblici e Azure gestito da 21Vianet. Questa nuova versione è disponibile nei Defender per contenitori e Defender per i piani registri contenitori.
- Come parte di questa modifica, sono state rilasciate nuove raccomandazioni per la disponibilità generale e incluse nel calcolo del punteggio di sicurezza. Esaminare le raccomandazioni sulla sicurezza nuove e aggiornate
- L'analisi delle immagini del contenitore con tecnologia Gestione delle vulnerabilità di Microsoft Defender ora comporta anche addebiti in base ai prezzi di plan. Le immagini analizzate sia dall'offerta di valutazione del contenitore basata su Qualys che dall'offerta Contenitore VA con tecnologia Gestione delle vulnerabilità di Microsoft Defender verranno fatturate una sola volta.
Le raccomandazioni qualys per la valutazione della vulnerabilità dei contenitori sono state rinominate e continuano a essere disponibili per i clienti che hanno abilitato Defender per contenitori in una delle sottoscrizioni precedenti a questa versione. I nuovi clienti che eseguino l'onboarding di Defender per contenitori dopo questa versione vedranno solo le nuove raccomandazioni di valutazione della vulnerabilità dei contenitori basate su Gestione delle vulnerabilità di Microsoft Defender.
Anteprima pubblica del supporto di Windows per la valutazione della vulnerabilità dei contenitori basata su Gestione delle vulnerabilità di Microsoft Defender
14 dicembre 2023
Il supporto per le immagini Windows è stato rilasciato in anteprima pubblica come parte della valutazione della vulnerabilità (VA) basata su Gestione delle vulnerabilità di Microsoft Defender per i registri contenitori Azure e i servizi Kubernetes Azure.
Ritiro della valutazione della vulnerabilità dei contenitori AWS basata su Trivy
13 dicembre 2023
La valutazione della vulnerabilità dei contenitori basata su Trivy è ora in un percorso di ritiro da completare entro il 13 febbraio. Questa funzionalità è ora deprecata e continuerà a essere disponibile per i clienti esistenti che usano questa funzionalità fino al 13 febbraio. Si consiglia ai clienti di usare questa funzionalità per eseguire l'aggiornamento alla nuova valutazione della vulnerabilità del contenitore AWS basata su Gestione delle vulnerabilità di Microsoft Defender entro il 13 febbraio.
Comportamento dei contenitori senza agente per AWS in Defender per contenitori e Defender CSPM (anteprima)
13 dicembre 2023
Le nuove funzionalità di comportamento dei contenitori senza agente (anteprima) sono disponibili per AWS. Per altre informazioni, vedere Comportamento del contenitore senza agente in Defender CSPM e Funzionalità senza agente in Defender per contenitori.
Supporto della disponibilità generale per il server flessibile PostgreSQL in Defender per il piano dei database relazionali open source
13 dicembre 2023
Verrà annunciata la versione disponibile a livello generale del supporto del server flessibile PostgreSQL nel piano Microsoft Defender per i database relazionali open source. Microsoft Defender per i database relazionali open source fornisce una protezione avanzata dalle minacce ai server flessibili PostgreSQL, rilevando attività anomale e generando avvisi di sicurezza security.
Informazioni su come Enable Microsoft Defender per database relazionali open source.
Valutazione della vulnerabilità dei contenitori basata su Gestione delle vulnerabilità di Microsoft Defender ora supporta Google Distroless
12 dicembre 2023
Le valutazioni delle vulnerabilità dei contenitori basate su Gestione delle vulnerabilità di Microsoft Defender sono state estese con maggiore copertura per i pacchetti del sistema operativo Linux, ora supportando Google Distroless.
Per un elenco di tutti i sistemi operativi supportati, vedere Registries e il supporto delle immagini per Azure - Valutazione della vulnerabilità basata su Gestione delle vulnerabilità di Microsoft Defender.
Novembre 2023
Quattro avvisi sono deprecati
30 novembre 2023
Nell'ambito del processo di miglioramento della qualità, gli avvisi di sicurezza seguenti sono deprecati:
Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)Suspicious process termination burst (VM_TaskkillBurst)PsExec execution detected (VM_RunByPsExec)
Disponibilità generale dell'analisi dei segreti senza agente in Defender per server e Defender CSPM
27 novembre 2023
L'analisi dei segreti senza agente migliora l'Macchine virtuali (VM) basata sul cloud di sicurezza identificando i segreti in testo non crittografato nei dischi delle macchine virtuali. L'analisi dei segreti senza agente fornisce informazioni complete per aiutare a classificare in ordine di priorità i risultati rilevati e ridurre i rischi di spostamento laterale prima che si verifichino. Questo approccio proattivo impedisce l'accesso non autorizzato, assicurando che l'ambiente cloud rimanga sicuro.
Verrà annunciata la disponibilità generale dell'analisi dei segreti senza agente, inclusa sia nei piani Defender per i server P2 che nei piani Defender CSPM.
L'analisi dei segreti senza agente usa le API cloud per acquisire snapshot dei dischi, effettuando analisi fuori banda che garantisce che non vi siano effetti sulle prestazioni della macchina virtuale. L'analisi dei segreti senza agente amplia la copertura offerta da Defender per il cloud sugli asset cloud in ambienti Azure, AWS e GCP per migliorare la sicurezza del cloud.
Con questa versione, le funzionalità di rilevamento di Defender per il cloud ora supportano altri tipi di database, URL firmati dall'archivio dati, token di accesso e altro ancora.
Informazioni su come gestire i segreti con l'analisi dei segreti senza agente.
Abilitare la gestione delle autorizzazioni con Defender per il cloud (anteprima)
22 novembre 2023
Microsoft offre ora soluzioni CIEM (Application Protection Platforms) Cloud-Native e CIEM (Cloud Infrastructure Entitlement Management) con Microsoft Defender per il cloud (CNAPP) e Microsoft Entra gestione delle autorizzazioni (CIEM).
Gli amministratori della sicurezza possono ottenere una visualizzazione centralizzata delle autorizzazioni di accesso inutilizzate o eccessive all'interno di Defender per il cloud.
I team di sicurezza possono guidare i controlli di accesso con privilegi minimi per le risorse cloud e ricevere raccomandazioni utili per risolvere i rischi delle autorizzazioni in ambienti cloud Azure, AWS e GCP come parte del proprio Defender Cloud Security Posture Management (CSPM), senza requisiti di licenza aggiuntivi.
Informazioni su come Gestione delle autorizzazioni in Microsoft Defender per il cloud (anteprima).
integrazione di Defender per il cloud con ServiceNow
22 novembre 2023
ServiceNow è ora integrato con Microsoft Defender per il cloud, che consente ai clienti di connettere ServiceNow al proprio ambiente di Defender per il cloud per classificare in ordine di priorità la correzione delle raccomandazioni che influiscono sull'azienda. Microsoft Defender per il cloud si integra con il modulo ITSM (gestione degli eventi imprevisti). Come parte di questa connessione, i clienti possono creare/visualizzare i ticket ServiceNow (collegati alle raccomandazioni) da Microsoft Defender per il cloud.
Altre informazioni sull'integrazione di Defender per il cloud con ServiceNow.
Disponibilità generale del processo di provisioning automatico per SQL Server nei computer
20 novembre 2023
In preparazione alla deprecazione di Microsoft Monitoring Agent (MMA) nel mese di agosto 2024, Defender per il cloud rilasciato un processo di provisioning automatico di Azure monitoring agent (AMA) di destinazione SQL Server. Il nuovo processo viene abilitato e configurato automaticamente per tutti i nuovi clienti e offre anche la possibilità di abilitare a livello di risorsa per Azure SQL macchine virtuali e SQL Server abilitati per Arc.
Ai clienti che usano il processo di provisioning automatico MMA viene richiesto di migrate al nuovo agente di monitoraggio di Azure per SQL Server nei computer che eseguono il provisioning automatico. Il processo di migrazione è facile e offre protezione continua per tutti i computer.
Disponibilità generale delle Defender per le API
15 novembre 2023
È in corso l'annuncio della disponibilità generale (GA) di Microsoft Defender per le API. Defender per le API è progettato per proteggere le organizzazioni dalle minacce alla sicurezza delle API.
Defender per le API consente alle organizzazioni di proteggere le API e i dati da attori malintenzionati. Le organizzazioni possono analizzare e migliorare il comportamento di sicurezza delle API, classificare in ordine di priorità le correzioni delle vulnerabilità e rilevare e rispondere rapidamente alle minacce attive in tempo reale. Le organizzazioni possono anche integrare gli avvisi di sicurezza direttamente nella piattaforma SIEM (Security Incident and Event Management), ad esempio Microsoft Sentinel, per analizzare e valutare i problemi.
È possibile imparare a Proteggere le API con Defender per le API. È anche possibile ottenere altre informazioni su Informazioni Microsoft Defender per le API.
È anche possibile leggere questo blog per altre informazioni sull'annuncio ga.
Defender per il cloud è ora integrato con Microsoft 365 Defender (anteprima)
15 novembre 2023
Le aziende possono proteggere le risorse e i dispositivi cloud con la nuova integrazione tra Microsoft Defender per il cloud e Microsoft Defender XDR. Questa integrazione connette i puntini tra risorse cloud, dispositivi e identità, che in precedenza richiedevano più esperienze.
L'integrazione offre anche funzionalità di protezione cloud competitive nel Centro operazioni di sicurezza (SOC) quotidiane. Con Microsoft Defender XDR, i team SOC possono facilmente individuare attacchi che combinano rilevamenti da più pilastri, tra cui Cloud, Endpoint, Identità, Microsoft 365 e altro ancora.
Alcuni dei vantaggi principali includono:
Un'interfaccia facile da usare per i team SOC: con gli avvisi e le correlazioni cloud di Defender per il cloud integrati in M365D, i team SOC possono ora accedere a tutte le informazioni di sicurezza da una singola interfaccia, migliorando significativamente l'efficienza operativa.
Una storia di attacco: i clienti sono in grado di comprendere la storia completa degli attacchi, incluso l'ambiente cloud, usando correlazioni predefinite che combinano avvisi di sicurezza da più origini.
Nuova entità cloud in Microsoft Defender XDR: Microsoft Defender XDR supporta ora nuove entità cloud univoche per Microsoft Defender per il cloud, ad esempio le risorse cloud. I clienti possono associare le entità di macchina virtuale alle entità del dispositivo, fornendo una visualizzazione unificata di tutte le informazioni pertinenti su un computer, inclusi avvisi ed eventi imprevisti attivati.
API unificata per prodotti Microsoft Security: i clienti possono ora esportare i dati degli avvisi di sicurezza nei sistemi scelti usando una singola API, poiché gli avvisi e gli eventi imprevisti Microsoft Defender per il cloud fanno ora parte dell'API pubblica di Microsoft Defender XDR.
L'integrazione tra Defender per il cloud e Microsoft Defender XDR è disponibile per tutti i clienti Defender per il cloud nuovi ed esistenti.
Disponibilità generale della valutazione della vulnerabilità dei contenitori basata su Gestione delle vulnerabilità di Microsoft Defender (MDVM) in Defender per contenitori e Defender per registri contenitori
15 novembre 2023
La valutazione della vulnerabilità (VA) per le immagini dei contenitori Linux in Azure registri contenitori basati su Gestione delle vulnerabilità di Microsoft Defender (MDVM) viene rilasciata per la disponibilità generale (GA) in Defender per contenitori e Defender per registri contenitori.
Come parte di questa modifica, sono state rilasciate le raccomandazioni seguenti per la disponibilità generale e rinominate e sono ora incluse nel calcolo del punteggio di sicurezza:
| Nome della raccomandazione corrente | Nuovo nome della raccomandazione | Description | Chiave di valutazione |
|---|---|---|---|
| Le immagini del registro contenitori devono avere i risultati della vulnerabilità risolti (basati su Gestione delle vulnerabilità di Microsoft Defender) | Azure le immagini del contenitore del Registro di sistema devono avere vulnerabilità risolte (basate su Gestione delle vulnerabilità di Microsoft Defender) | Le valutazioni delle vulnerabilità dell'immagine del contenitore analizzano il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. La risoluzione delle vulnerabilità può migliorare notevolmente il comportamento di sicurezza, assicurandosi che le immagini siano sicure da usare prima della distribuzione. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| L'esecuzione di immagini del contenitore deve avere i risultati della vulnerabilità risolti (basati su Gestione delle vulnerabilità di Microsoft Defender) | Azure le immagini del contenitore in esecuzione devono essere risolte vulnerabilità (basate su Gestione delle vulnerabilità di Microsoft Defender | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente la superficie di attacco per i carichi di lavoro in contenitori. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
L'analisi delle immagini del contenitore basata su MDVM ora comporta anche addebiti in base ai prezzi del piano.
Note
Le immagini analizzate sia dall'offerta di valutazione del contenitore basata su Qualys che dall'offerta contenitore VA basata su MDVM verranno fatturate una sola volta.
Le raccomandazioni Qualys seguenti per la valutazione della vulnerabilità dei contenitori sono state rinominate e continueranno a essere disponibili per i clienti che hanno abilitato Defender per i contenitori in una delle sottoscrizioni precedenti al 15 novembre. I nuovi clienti che eseguino l'onboarding Defender per i contenitori dopo il 15 novembre vedranno solo le nuove raccomandazioni per la valutazione delle vulnerabilità dei contenitori basate su Gestione delle vulnerabilità di Microsoft Defender.
| Nome della raccomandazione corrente | Nuovo nome della raccomandazione | Description | Chiave di valutazione |
|---|---|---|---|
| I risultati della vulnerabilità nelle immagini del contenitore del registro devono essere risolti (basato su Qualys) | Azure le immagini del contenitore del Registro di sistema devono avere vulnerabilità risolte (con tecnologia Qualys) | La valutazione delle vulnerabilità delle immagini del contenitore analizza il registro alla ricerca di vulnerabilità di sicurezza ed espone risultati dettagliati per ogni immagine. La risoluzione delle vulnerabilità può migliorare significativamente il comportamento di sicurezza dei contenitori e proteggerli dagli attacchi. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate su Qualys) | Azure le immagini del contenitore in esecuzione devono essere risolte vulnerabilità ( con tecnologia Qualys) | La valutazione della vulnerabilità dell'immagine del contenitore analizza le immagini del contenitore in esecuzione nei cluster Kubernetes per individuare le vulnerabilità di sicurezza ed espone risultati dettagliati per ogni immagine. La risoluzione delle vulnerabilità può migliorare significativamente il comportamento di sicurezza dei contenitori e proteggerli dagli attacchi. | 41503391-efa5-47ee-9282-4eff6131462c |
Passare ai nomi delle raccomandazioni per le valutazioni delle vulnerabilità dei contenitori
Sono state rinominate le raccomandazioni seguenti relative alle valutazioni delle vulnerabilità dei contenitori:
| Nome della raccomandazione corrente | Nuovo nome della raccomandazione | Description | Chiave di valutazione |
|---|---|---|---|
| I risultati della vulnerabilità nelle immagini del contenitore del registro devono essere risolti (basato su Qualys) | Azure le immagini del contenitore del Registro di sistema devono avere vulnerabilità risolte (con tecnologia Qualys) | La valutazione delle vulnerabilità delle immagini del contenitore analizza il registro alla ricerca di vulnerabilità di sicurezza ed espone risultati dettagliati per ogni immagine. La risoluzione delle vulnerabilità può migliorare significativamente il comportamento di sicurezza dei contenitori e proteggerli dagli attacchi. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate su Qualys) | Azure le immagini del contenitore in esecuzione devono essere risolte vulnerabilità ( con tecnologia Qualys) | La valutazione della vulnerabilità dell'immagine del contenitore analizza le immagini del contenitore in esecuzione nei cluster Kubernetes per individuare le vulnerabilità di sicurezza ed espone risultati dettagliati per ogni immagine. La risoluzione delle vulnerabilità può migliorare significativamente il comportamento di sicurezza dei contenitori e proteggerli dagli attacchi. | 41503391-efa5-47ee-9282-4eff6131462c |
| Le immagini del registro contenitori elastici devono avere i risultati della vulnerabilità risolti | Le immagini dei contenitori del registro AWS devono avere vulnerabilità risolte: (con tecnologia Trivy) | La valutazione delle vulnerabilità delle immagini del contenitore analizza il registro alla ricerca di vulnerabilità di sicurezza ed espone risultati dettagliati per ogni immagine. La risoluzione delle vulnerabilità può migliorare significativamente il comportamento di sicurezza dei contenitori e proteggerli dagli attacchi. | 03587042-5d4b-44ff-af42-ae99e3c71c87 |
La definizione delle priorità dei rischi è ora disponibile per le raccomandazioni
15 novembre 2023
È ora possibile classificare in ordine di priorità le raccomandazioni sulla sicurezza in base al livello di rischio che rappresentano, prendendo in considerazione sia l'exploitbilità che il potenziale effetto aziendale di ogni problema di sicurezza sottostante.
Organizzando le raccomandazioni in base al livello di rischio (critico, alto, medio, basso), è possibile affrontare i rischi più critici all'interno dell'ambiente e classificare in ordine di priorità in modo efficiente la correzione dei problemi di sicurezza in base al rischio effettivo, ad esempio l'esposizione a Internet, la riservatezza dei dati, le possibilità di spostamento laterale e i possibili percorsi di attacco che potrebbero essere mitigati risolvendo le raccomandazioni.
Altre informazioni sulla definizione delle priorità dei rischi.
Analisi del percorso di attacco nuovo motore e miglioramenti estesi
15 novembre 2023
Vengono rilasciati miglioramenti alle funzionalità di analisi del percorso di attacco in Defender per il cloud.
Nuovo motore : l'analisi del percorso di attacco ha un nuovo motore, che usa l'algoritmo di ricerca del percorso per rilevare ogni possibile percorso di attacco presente nell'ambiente cloud (in base ai dati presenti nel grafico). È possibile trovare molti altri percorsi di attacco nell'ambiente e rilevare modelli di attacco più complessi e sofisticati che gli utenti malintenzionati possono usare per violare l'organizzazione.
Miglioramenti : vengono rilasciati i miglioramenti seguenti:
- Definizione delle priorità dei rischi : elenco con priorità dei percorsi di attacco in base al rischio (exploitability & business affect).
- Correzione migliorata : individuando le raccomandazioni specifiche che devono essere risolte per interrompere effettivamente la catena.
- Percorsi di attacco tra cloud: rilevamento dei percorsi di attacco tra cloud (percorsi che iniziano in un cloud e terminano in un altro).
- MITRE : mapping di tutti i percorsi di attacco al framework MITRE.
- Esperienza utente aggiornata: esperienza aggiornata con funzionalità più avanzate: filtri avanzati, ricerca e raggruppamento di percorsi di attacco per consentire una valutazione più semplice.
Informazioni su come identificare e correggere i percorsi di attacco.
Modifiche allo schema di tabella Azure Resource Graph del percorso di attacco
15 novembre 2023
Lo schema di tabella Azure Resource Graph del percorso di attacco viene aggiornato. La attackPathType proprietà viene rimossa e vengono aggiunte altre proprietà.
Versione di disponibilità generale del supporto GCP in Defender CSPM
15 novembre 2023
È in corso l'annuncio della versione ga (disponibilità generale) del grafico di sicurezza del cloud contestuale Defender CSPM e l'analisi del percorso di attacco con supporto per le risorse GCP. È possibile applicare la potenza di Defender CSPM per la visibilità completa e la sicurezza del cloud intelligente tra le risorse GCP.
Le funzionalità principali del supporto GCP includono:
- Analisi del percorso di attacco: comprendere le potenziali route che potrebbero essere usate dagli utenti malintenzionati.
- Esplora sicurezza cloud: identificare in modo proattivo i rischi per la sicurezza eseguendo query basate su grafo nel grafico della sicurezza.
- Analisi senza agente : consente di analizzare i server e identificare segreti e vulnerabilità senza installare un agente.
- Comportamento di sicurezza compatibile con i dati: individuare e correggere i rischi per i dati sensibili nei bucket di Google Cloud Storage.
Altre informazioni sulle opzioni di piano Defender CSPM.
Note
La fatturazione per la versione ga del supporto GCP in Defender CSPM inizierà il 1° febbraio 2024.
Versione di disponibilità generale del dashboard sicurezza dei dati
15 novembre 2023
Il dashboard di sicurezza dei dati è ora disponibile in Disponibilità generale (GA) come parte del piano di Defender CSPM.
Il dashboard sulla sicurezza dei dati consente di visualizzare il patrimonio di dati dell'organizzazione, i rischi per i dati sensibili e le informazioni dettagliate sulle risorse dei dati.
Altre informazioni sul dashboard di sicurezza dei dati.
Rilascio di disponibilità generale dell'individuazione dei dati sensibili per i database
15 novembre 2023
L'individuazione dei dati sensibili per i database gestiti, inclusi i database Azure SQL e le istanze di AWS RDS (tutte le versioni RDBMS) è ora disponibile a livello generale e consente l'individuazione automatica dei database critici che contengono dati sensibili.
Per abilitare questa funzionalità in tutti gli archivi dati supportati negli ambienti, è necessario abilitare Sensitive data discovery in Defender CSPM. Informazioni come abilitare l'individuazione dei dati sensibili in Defender CSPM.
È anche possibile scoprire come viene usata l'individuazione dei dati sensibili nel comportamento di sicurezza compatibile con i dati.
Annuncio dell'anteprima pubblica: Nuova visibilità estesa sulla sicurezza dei dati multicloud in Microsoft Defender per il cloud.
La nuova versione della raccomandazione per trovare gli aggiornamenti di sistema mancanti è ora disponibile a livello generale
6 novembre 2023
Un agente aggiuntivo non è più necessario nelle macchine virtuali Azure e nei computer Azure Arc per garantire che i computer dispongano di tutti gli aggiornamenti di sistema critici o della sicurezza più recenti.
Il nuovo consiglio per gli aggiornamenti del sistema, System updates should be installed on your machines (powered by Gestore aggiornamenti di Azure) nel controllo Apply system updates, si basa sul Update Manager ed è ora completamente disponibile a livello generale. La raccomandazione si basa su un agente nativo incorporato in ogni macchina virtuale Azure e Azure Arc computer anziché un agente installato. La correzione rapida nella nuova raccomandazione consente di passare a un'installazione unica degli aggiornamenti mancanti nel portale di Gestione aggiornamenti.
Le versioni precedenti e le nuove delle raccomandazioni per trovare gli aggiornamenti di sistema mancanti saranno entrambi disponibili fino ad agosto 2024, ovvero quando la versione precedente è deprecata. Entrambe le raccomandazioni: System updates should be installed on your machines (powered by Gestore aggiornamenti di Azure)e System updates should be installed on your machines sono disponibili nello stesso controllo: Apply system updates e ha gli stessi risultati. Di conseguenza, non c'è duplicazione nell'effetto sul punteggio di sicurezza.
È consigliabile eseguire la migrazione alla nuova raccomandazione e rimuovere quella precedente disabilitandola dall'iniziativa predefinita di Defender per il cloud nei criteri di Azure.
La raccomandazione [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) è anche disponibile a livello generale ed è un prerequisito, che avrà un effetto negativo sul punteggio di sicurezza. È possibile correggere l'effetto negativo con la correzione disponibile.
Per applicare la nuova raccomandazione, è necessario:
- Connettere i computer non Azure ad Arc.
- Attivare la proprietà di valutazione periodica. È possibile usare la correzione rapida nella nuova raccomandazione per
[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)correggere la raccomandazione.
Note
L'abilitazione delle valutazioni periodiche per i computer con abilitazione di Arc che Defender per server piano 2 non è abilitata nella sottoscrizione o nel connettore correlato è soggetta a prezzi Gestore aggiornamenti di Azure. I computer con abilitazione di Arc che Defender per server piano 2 sono abilitati nella sottoscrizione o nei connettori correlati o in qualsiasi macchina virtuale Azure, sono idonei per questa funzionalità senza costi aggiuntivi.
Ottobre 2023
Modifica della gravità dell'avviso di sicurezza dei controlli applicazioni adattivi
Data annuncio: 30 ottobre 2023
Come parte del processo di miglioramento della qualità degli avvisi di sicurezza di Defender per i server e come parte dei controlli applicazione adaptive funzionalità, la gravità dell'avviso di sicurezza seguente cambia in "Informativo":
| Avviso [Tipo di avviso] | Descrizione avviso |
|---|---|
| È stata controllato la violazione dei criteri di controllo delle applicazioni adattivi. [VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] | Gli utenti seguenti hanno eseguito applicazioni che violano i criteri di controllo delle applicazioni dell'organizzazione in questo computer. Può esporre il computer a vulnerabilità malware o dell'applicazione. |
Per continuare a visualizzare questo avviso nella pagina "Avvisi di sicurezza" nel portale di Microsoft Defender per il cloud, modificare il filtro di visualizzazione predefinito Severity per includere informational avvisi nella griglia.
Revisioni Gestione API di Azure offline rimosse da Defender per le API
25 ottobre 2023
Defender per le API ha aggiornato il supporto per le revisioni dell'API Gestione API di Azure. Le revisioni offline non vengono più visualizzate nell'Defender di onboarding per l'inventario delle API e non sembrano più essere caricate in Defender per le API. Le revisioni offline non consentono l'invio di traffico e non comportano alcun rischio dal punto di vista della sicurezza.
Raccomandazioni sulla gestione del comportamento di sicurezza DevOps disponibili nell'anteprima pubblica
19 ottobre 2023
Le nuove raccomandazioni per la gestione del comportamento devOps sono ora disponibili in anteprima pubblica per tutti i clienti con un connettore per Azure DevOps o GitHub. La gestione del comportamento devOps consente di ridurre la superficie di attacco degli ambienti DevOps individuando punti deboli nelle configurazioni di sicurezza e nei controlli di accesso. Altre informazioni sulla gestione del comportamento di DevOps.
Rilascio di CIS Azure Foundations Benchmark v2.0.0 nel dashboard di conformità alle normative
18 ottobre 2023
Microsoft Defender per il cloud ora supporta la versione più recente CIS Azure Security Foundations Benchmark - versione 2.0.0 nella dashboard e un'iniziativa di criteri predefinita in Criteri di Azure. Il rilascio della versione 2.0.0 in Microsoft Defender per il cloud è uno sforzo collaborativo congiunto tra Microsoft, il Center for Internet Security (CIS) e le community degli utenti. La versione 2.0.0 espande significativamente l'ambito di valutazione, che ora include 90 criteri predefiniti Azure e ha esito positivo nelle versioni precedenti 1.4.0 e 1.3.0 e 1.0 in Microsoft Defender per il cloud e Criteri di Azure. Per altre informazioni, è possibile consultare questo post di blog.
Settembre 2023
Passare al limite giornaliero di Log Analytics
Azure monitoraggio offre la possibilità di impostare un limite giornaliero sui dati inseriti nelle aree di lavoro Log Analytics. Tuttavia, gli eventi di sicurezza di Defender per cloud non sono attualmente supportati in tali esclusioni.
Il limite giornaliero di Log Analytics non esclude più il set di tipi di dati seguente:
- WindowsEvent
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- MaliciousIPCommunication
- LinuxAuditLog
- SysmonEvent
- ProtectionStatus
- Update
- UpdateSummary
- CommonSecurityLog
- Syslog
Tutti i tipi di dati fatturabili verranno limitati se viene raggiunto il limite giornaliero. Questa modifica migliora la capacità di contenere completamente i costi derivanti dall'inserimento dei dati superiore al previsto.
Altre informazioni su workspaces con Microsoft Defender per il cloud.
Dashboard di sicurezza dei dati disponibile in anteprima pubblica
27 settembre 2023
Il dashboard di sicurezza dei dati è ora disponibile in anteprima pubblica come parte del piano di Defender CSPM. Il dashboard di sicurezza dei dati è un dashboard interattivo incentrato sui dati che illumina rischi significativi per i dati sensibili, assegnando priorità agli avvisi e ai potenziali percorsi di attacco per i dati nei carichi di lavoro cloud ibridi. Altre informazioni sul dashboard di sicurezza dei dati.
Versione di anteprima: nuovo processo di provisioning automatico per SQL Server nei computer
21 settembre 2023
Microsoft Monitoring Agent (MMA) è deprecato nell'agosto 2024. Defender per il cloud aggiornamento della strategia sostituendo MMA con il rilascio di un processo di provisioning automatico dell'agente di monitoraggio di Azure SQL Server di destinazione SQL Server.
Durante l'anteprima, ai clienti che usano il processo di provisioning automatico MMA con l'opzione Monitoraggio di Azure Agent (anteprima) viene richiesto di migrate al nuovo Monitoraggio di Azureing Agent per SQL Server nei computer (anteprima) processo di provisioning automatico. Il processo di migrazione è facile e offre protezione continua per tutti i computer.
Per altre informazioni, vedere Migrate to SQL Server target Azure Monitoring Agent autoprovisioning process.
GitHub sicurezza avanzata per gli avvisi di Azure DevOps in Defender per il cloud
20 settembre 2023
È ora possibile visualizzare GitHub avvisi di sicurezza avanzata per Azure DevOps (GHAzDO) correlati a CodeQL, segreti e dipendenze in Defender per il cloud. I risultati vengono visualizzati nella pagina DevOps e in Raccomandazioni. Per visualizzare questi risultati, eseguire l'onboarding dei repository abilitati per GHAzDO per Defender per il cloud.
Altre informazioni su GitHub Sicurezza avanzata per Azure DevOps.
Funzionalità esentate ora disponibili per Defender per le raccomandazioni sulle API
11 settembre 2023
È ora possibile esentare le raccomandazioni per i Defender seguenti per le raccomandazioni sulla sicurezza delle API.
| Recommendation | Descrizione e criteri correlati | Severity |
|---|---|---|
| (Anteprima) Gli endpoint API inutilizzati devono essere disabilitati e rimossi dal servizio Gestione API di Azure | Come procedura consigliata per la sicurezza, gli endpoint API che non hanno ricevuto traffico per 30 giorni vengono considerati inutilizzati e devono essere rimossi dal servizio Gestione API di Azure. Mantenere gli endpoint API inutilizzati potrebbe comportare un rischio per la sicurezza. Potrebbero trattarsi di API che dovrebbero essere deprecate dal servizio Gestione API di Azure, ma che sono state accidentalmente lasciate attive. Queste API in genere non ricevono la copertura di sicurezza più aggiornata. | Low |
| (Anteprima) Gli endpoint API in Gestione API di Azure devono essere autenticati | Gli endpoint API pubblicati all'interno di Gestione API di Azure devono applicare l'autenticazione per ridurre al minimo i rischi di sicurezza. I meccanismi di autenticazione vengono talvolta implementati in modo non corretto o mancanti. Ciò consente agli utenti malintenzionati di sfruttare i difetti di implementazione e di accedere ai dati. Per le API pubblicate in Gestione API di Azure, questa raccomandazione valuta l'esecuzione dell'autenticazione tramite le chiavi di sottoscrizione, il token JWT e il certificato client configurati all'interno di Gestione API di Azure. Se nessuno di questi meccanismi di autenticazione viene eseguito durante la chiamata API, l'API riceverà questa raccomandazione. | High |
Altre informazioni sulle raccomandazioni exempting in Defender per il cloud.
Creare avvisi di esempio per Defender per i rilevamenti delle API
11 settembre 2023
È ora possibile generare avvisi di esempio per i rilevamenti di sicurezza rilasciati come parte della Defender per l'anteprima pubblica delle API. Altre informazioni su generare avvisi di esempio in Defender per il cloud.
Versione di anteprima: la valutazione delle vulnerabilità dei contenitori basata su Gestione delle vulnerabilità di Microsoft Defender ora supporta l'analisi sul pull
6 settembre 2023
La valutazione della vulnerabilità dei contenitori basata su Gestione delle vulnerabilità di Microsoft Defender supporta ora un trigger aggiuntivo per l'analisi delle immagini estratte da un Registro Azure Container. Questo trigger appena aggiunto offre una copertura aggiuntiva per le immagini attive oltre ai trigger esistenti che analizzano le immagini di cui è stato eseguito il push in un Registro Azure Container negli ultimi 90 giorni e le immagini attualmente in esecuzione nel servizio Azure Kubernetes.
Il nuovo trigger inizierà a essere implementato oggi e dovrebbe essere disponibile per tutti i clienti entro la fine di settembre.
Aggiornamento del formato di denominazione degli standard CIS (Center for Internet Security) nella conformità alle normative
6 settembre 2023
Il formato di denominazione dei benchmark di base CIS (Center for Internet Security) nel dashboard di conformità viene modificato da [Cloud] CIS [version number] a CIS [Cloud] Foundations v[version number]. Fare riferimento alla tabella seguente:
| Nome corrente | Nuovo nome |
|---|---|
| Azure CIS 1.1.0 | CIS Azure Foundations v1.1.0 |
| Azure CIS 1.3.0 | CIS Azure Foundations v1.3.0 |
| Azure CIS 1.4.0 | CIS Azure Foundations v1.4.0 |
| AWS CIS 1.2.0 | CIS AWS Foundations v1.2.0 |
| AWS CIS 1.5.0 | CIS AWS Foundations v1.5.0 |
| GCP CIS 1.1.0 | CIS GCP Foundations v1.1.0 |
| GCP CIS 1.2.0 | CIS GCP Foundations v1.2.0 |
Informazioni su come migliorare la conformità alle normative.
Individuazione dei dati sensibili per i database PaaS (anteprima)
5 settembre 2023
Le funzionalità di sicurezza con riconoscimento dei dati per l'individuazione dei dati sensibili senza problemi per i database PaaS (database Azure SQL e le istanze di Amazon RDS di qualsiasi tipo) sono ora disponibili in anteprima pubblica. Questa anteprima pubblica consente di creare una mappa dei dati critici ovunque si trovino e il tipo di dati presenti in tali database.
L'individuazione dei dati sensibili per i database Azure e AWS aggiunge alla tassonomia e alla configurazione condivisa, che è già disponibile pubblicamente per le risorse di archiviazione degli oggetti cloud (Archiviazione BLOB di Azure, bucket AWS S3 e bucket di archiviazione GCP) e offre una singola configurazione e un'esperienza di abilitazione.
I database vengono analizzati su base settimanale. Se si abilita sensitive data discovery, l'individuazione viene eseguita entro 24 ore. I risultati possono essere visualizzati in Cloud Security Explorer o esaminando i nuovi percorsi di attacco per i database gestiti con dati sensibili.
Il comportamento di sicurezza compatibile con i dati per i database è disponibile tramite il piano
Per altre informazioni sul comportamento di sicurezza compatibile con i dati, vedere gli articoli seguenti:
- Supporto e prerequisiti per il comportamento di sicurezza compatibile con i dati
- Abilitare il comportamento di sicurezza compatibile con i dati
- Esplorare i rischi per i dati sensibili
Disponibilità generale (GA): analisi malware in Defender per l'archiviazione
1 settembre 2023
L'analisi malware è ora disponibile a livello generale come componente aggiuntivo per Defender per l'archiviazione. L'analisi di malware in Defender per l'archiviazione consente di proteggere gli account di archiviazione da contenuti dannosi eseguendo un'analisi malware completa sui contenuti caricati quasi in tempo reale, usando Microsoft Defender funzionalità antivirus. È progettata per soddisfare i requisiti di sicurezza e conformità per la gestione dei contenuti non attendibili. La funzionalità di analisi malware è una soluzione SaaS senza agente che consente la configurazione su larga scala e supporta l'automazione della risposta su larga scala.
Altre informazioni sull'analisi malware in Defender per Archiviazione.
L'analisi malware è prezzo in base all'utilizzo e al budget dei dati. La fatturazione inizia il 3 settembre 2023. Per altre informazioni, visitare la pagina dei prezzi .
Se si usa il piano precedente, è necessario eseguire la migrazione proattiva al nuovo piano per abilitare l'analisi malware.
Leggere il post di blog Microsoft Defender per il cloud annuncio.
Agosto 2023
Gli aggiornamenti del mese di agosto includono quanto segue:
Defender per contenitori: individuazione senza agente per Kubernetes
30 agosto 2023
Siamo lieti di presentare Defender for containers: agentless discovery for Kubernetes. Questa versione segna un passo avanti significativo nella sicurezza dei contenitori, consentendo di ottenere informazioni dettagliate avanzate e funzionalità di inventario complete per gli ambienti Kubernetes. La nuova offerta di contenitori è basata sul grafico di sicurezza contestuale Defender per il cloud. Ecco cosa ci si può aspettare da questo aggiornamento più recente:
- Individuazione Kubernetes senza agente
- Funzionalità complete di inventario
- Informazioni dettagliate sulla sicurezza specifiche di Kubernetes
- Ricerca avanzata dei rischi con Cloud Security Explorer
L'individuazione senza agente per Kubernetes è ora disponibile per tutti i Defender per i clienti dei contenitori. È possibile iniziare subito a usare queste funzionalità avanzate. È consigliabile aggiornare le sottoscrizioni per avere il set completo di estensioni abilitate e trarre vantaggio dalle aggiunte e dalle funzionalità più recenti. Visitare il riquadro Environment e impostazioni della sottoscrizione Defender per contenitori per abilitare l'estensione.
Note
L'abilitazione delle aggiunte più recenti non comporta nuovi costi per il Defender attivo per i clienti dei contenitori.
Per altre informazioni, vedere Panoramica dei Microsoft Defender di sicurezza dei contenitori per contenitori.
Versione consigliata: Microsoft Defender per l'archiviazione deve essere abilitata con l'analisi malware e il rilevamento delle minacce ai dati sensibili
22 agosto 2023
È stata rilasciata una nuova raccomandazione in Defender per l'archiviazione. Questa raccomandazione garantisce che Defender per l'archiviazione sia abilitato a livello di sottoscrizione con funzionalità di analisi malware e rilevamento delle minacce ai dati sensibili.
| Recommendation | Description |
|---|---|
| Microsoft Defender per l'archiviazione deve essere abilitata con l'analisi malware e il rilevamento delle minacce ai dati sensibili | Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo Defender per il piano di archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura prezzi stimabile (per account di archiviazione) per avere controllo sulla copertura e sui costi. Con una semplice configurazione senza agente su larga scala, se abilitata a livello di sottoscrizione, tutti gli account di archiviazione esistenti e appena creati in tale sottoscrizione verranno protetti automaticamente. È anche possibile escludere account di archiviazione specifici da sottoscrizioni protette. |
Questa nuova raccomandazione sostituisce la raccomandazione corrente Microsoft Defender for Storage should be enabled (chiave di valutazione 1be22853-8ed1-4005-9907-ddad64cb1417). Tuttavia, questa raccomandazione sarà ancora disponibile nei cloud Azure per enti pubblici.
Altre informazioni su Microsoft Defender per Archiviazione.
Le proprietà estese in Defender per il cloud gli avvisi di sicurezza vengono mascherati dai log attività
17 agosto 2023
Di recente è stato modificato il modo in cui sono integrati gli avvisi di sicurezza e i log attività. Per proteggere meglio le informazioni riservate dei clienti, queste informazioni non sono più incluse nei log attività. Invece, lo mascheramo con asterischi. Tuttavia, queste informazioni sono ancora disponibili tramite l'API degli avvisi, l'esportazione continua e il portale di Defender per il cloud.
I clienti che si basano sui log attività per esportare gli avvisi nelle soluzioni SIEM devono prendere in considerazione l'uso di una soluzione diversa, perché non è il metodo consigliato per esportare gli avvisi di sicurezza Defender per il cloud.
Per istruzioni su come esportare Defender per il cloud avvisi di sicurezza in SIEM, SOAR e altre applicazioni di terze parti, vedere avvisi Stream in una soluzione SIEM, SOAR o IT Service Management.
Versione di anteprima del supporto GCP in Defender CSPM
15 agosto 2023
È in corso l'annuncio della versione di anteprima del grafico di sicurezza del cloud contestuale Defender CSPM e l'analisi del percorso di attacco con supporto per le risorse GCP. È possibile applicare la potenza di Defender CSPM per la visibilità completa e la sicurezza del cloud intelligente tra le risorse GCP.
Le funzionalità principali del supporto GCP includono:
- Analisi del percorso di attacco: comprendere le potenziali route che potrebbero essere usate dagli utenti malintenzionati.
- Esplora sicurezza cloud: identificare in modo proattivo i rischi per la sicurezza eseguendo query basate su grafo nel grafico della sicurezza.
- Analisi senza agente : consente di analizzare i server e identificare segreti e vulnerabilità senza installare un agente.
- Comportamento di sicurezza compatibile con i dati: individuare e correggere i rischi per i dati sensibili nei bucket di Google Cloud Storage.
Altre informazioni sulle opzioni di piano Defender CSPM.
Nuovi avvisi di sicurezza in Defender per server piano 2: rilevamento di potenziali attacchi che esbustono Azure estensioni macchina virtuale
7 agosto 2023
Questa nuova serie di avvisi è incentrata sul rilevamento di attività sospette di Azure estensioni di macchina virtuale e fornisce informazioni dettagliate sui tentativi di compromissione degli utenti malintenzionati ed eseguire attività dannose nelle macchine virtuali.
Microsoft Defender per i server può ora rilevare attività sospette delle estensioni della macchina virtuale, consentendo di ottenere una migliore copertura della sicurezza dei carichi di lavoro.
Azure estensioni macchina virtuale sono applicazioni di piccole dimensioni che eseguono post-distribuzione nelle macchine virtuali e offrono funzionalità come configurazione, automazione, monitoraggio, sicurezza e altro ancora. Anche se le estensioni sono uno strumento potente, possono essere usate dagli attori delle minacce per varie finalità dannose, ad esempio:
- Per la raccolta e il monitoraggio dei dati.
- Per l'esecuzione del codice e la distribuzione della configurazione con privilegi elevati.
- Per reimpostare le credenziali e creare utenti amministratori.
- Per crittografare i dischi.
Ecco una tabella dei nuovi avvisi.
| Avviso (tipo di avviso) | Description | Tattiche MITRE | Severity |
|---|---|---|---|
|
Errore sospetto durante l'installazione dell'estensione GPU nella sottoscrizione (anteprima) (VM_GPUExtensionSuspiciousFailure) |
Finalità sospetta dell'installazione di un'estensione GPU in macchine virtuali non supportate. Questa estensione deve essere installata nelle macchine virtuali dotate di un processore grafico e in questo caso le macchine virtuali non sono dotate di tale. Questi errori possono essere visualizzati quando avversari dannosi eseguono più installazioni di tale estensione per scopi di crypto mining. | Impact | Medium |
|
È stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale (anteprima) (VM_GPUDriverExtensionUnusualExecution) Questo avviso è stato rilasciato a luglio 2023. |
È stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione del driver GPU per installare i driver GPU nella macchina virtuale tramite il Azure Resource Manager per eseguire il cryptojacking. Questa attività viene considerata sospetta perché il comportamento dell'entità parte dai modelli consueti. | Impact | Low |
|
Esecuzione del comando con uno script sospetto rilevato nella macchina virtuale (anteprima) (VM_RunCommandSuspiciousScript) |
Un comando Esegui con uno script sospetto è stato rilevato nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare Esegui comando per eseguire codice dannoso con privilegi elevati nella macchina virtuale tramite il Azure Resource Manager. Lo script viene considerato sospetto perché alcune parti sono state identificate come potenzialmente dannose. | Execution | High |
|
È stato rilevato un uso sospetto dei comandi di esecuzione non autorizzato nella macchina virtuale (anteprima) (VM_RunCommandSuspiciousFailure) |
L'utilizzo non autorizzato sospetto del comando di esecuzione non è riuscito ed è stato rilevato nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero tentare di usare Esegui comando per eseguire codice dannoso con privilegi elevati nelle macchine virtuali tramite il Azure Resource Manager. Questa attività è considerata sospetta perché non è stata comunemente vista in precedenza. | Execution | Medium |
|
È stato rilevato un utilizzo sospetto dei comandi di esecuzione nella macchina virtuale (anteprima) (VM_RunCommandSuspiciousUsage) |
È stato rilevato un utilizzo sospetto del comando di esecuzione nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare Esegui comando per eseguire codice dannoso con privilegi elevati nelle macchine virtuali tramite il Azure Resource Manager. Questa attività è considerata sospetta perché non è stata comunemente vista in precedenza. | Execution | Low |
|
È stato rilevato un uso sospetto di più estensioni di monitoraggio o raccolta dati nelle macchine virtuali (anteprima) (VM_SuspiciousMultiExtensionUsage) |
È stato rilevato un uso sospetto di più estensioni di monitoraggio o raccolta dati nelle macchine virtuali analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero abusare di tali estensioni per la raccolta dei dati, il monitoraggio del traffico di rete e altro ancora nella sottoscrizione. Questo utilizzo è considerato sospetto perché non è stato comunemente visto in precedenza. | Reconnaissance | Medium |
|
È stata rilevata un'installazione sospetta delle estensioni di crittografia del disco nelle macchine virtuali (anteprima) (VM_DiskEncryptionSuspiciousUsage) |
È stata rilevata un'installazione sospetta delle estensioni di crittografia del disco nelle macchine virtuali analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero abusare dell'estensione di crittografia del disco per distribuire la crittografia completa dei dischi nelle macchine virtuali tramite il Azure Resource Manager nel tentativo di eseguire attività ransomware. Questa attività è considerata sospetta perché non è stata comunemente vista in precedenza e a causa del numero elevato di installazioni di estensioni. | Impact | Medium |
|
È stato rilevato un uso sospetto dell'estensione di accesso alle macchine virtuali (anteprima) (VM_VMAccessSuspiciousUsage) |
È stato rilevato un uso sospetto dell'estensione di accesso alle macchine virtuali. Gli utenti malintenzionati potrebbero abusare dell'estensione di accesso alle macchine virtuali per ottenere l'accesso e compromettere le macchine virtuali con privilegi elevati reimpostando l'accesso o gestendo gli utenti amministratori. Questa attività è considerata sospetta perché il comportamento dell'entità parte dai modelli consueti e a causa dell'elevato numero di installazioni di estensioni. | Persistence | Medium |
| Estensione Desired State Configuration (DSC) con uno script sospetto rilevato nella macchina virtuale (anteprima) (VM_DSCExtensionSuspiciousScript) |
estensione Desired State Configuration (DSC) con uno script sospetto è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione Desired State Configuration (DSC) per distribuire configurazioni dannose, ad esempio meccanismi di persistenza, script dannosi e altro ancora, con privilegi elevati nelle macchine virtuali. Lo script viene considerato sospetto perché alcune parti sono state identificate come potenzialmente dannose. | Execution | High |
|
Uso di un'estensione DESIRED STATE CONFIGURATION (DSC) rilevata nelle macchine virtuali (anteprima) (VM_DSCExtensionSuspiciousUsage) |
È stato rilevato un uso sospetto di un'estensione DESIRED STATE CONFIGURATION (DSC) nelle macchine virtuali analizzando le operazioni Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione Desired State Configuration (DSC) per distribuire configurazioni dannose, ad esempio meccanismi di persistenza, script dannosi e altro ancora, con privilegi elevati nelle macchine virtuali. Questa attività è considerata sospetta perché il comportamento dell'entità parte dai modelli consueti e a causa dell'elevato numero di installazioni di estensioni. | Impact | Low |
|
È stata rilevata un'estensione script personalizzata con uno script sospetto nella macchina virtuale (anteprima) (VM_CustomScriptExtensionSuspiciousCmd) Questo avviso esiste già ed è stato migliorato con metodi di rilevamento e logica più avanzati. |
L'estensione script personalizzata con uno script sospetto è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione script personalizzata per eseguire codice dannoso con privilegi elevati nella macchina virtuale tramite il Azure Resource Manager. Lo script viene considerato sospetto perché alcune parti sono state identificate come potenzialmente dannose. | Execution | High |
Vedere gli avvisi basati su extension in Defender per server.
Per un elenco completo degli avvisi, vedere la tabella reference per tutti gli avvisi di sicurezza in Microsoft Defender per il cloud.
Modelli aziendali e aggiornamenti dei prezzi per i piani di Defender per il cloud
1 agosto 2023
Microsoft Defender per il cloud dispone di tre piani che offrono la protezione del livello di servizio:
Defender per Key Vault
Defender per Resource Manager
Defender per DNS
Questi piani sono passati a un nuovo modello di business con prezzi e pacchetti diversi per rispondere al feedback dei clienti sulla prevedibilità della spesa e semplificare la struttura complessiva dei costi.
Riepilogo del modello aziendale e delle modifiche dei prezzi:
I clienti esistenti di Defender per Key-Vault, Defender per Resource Manager e Defender per DNS mantengono il modello di business e i prezzi correnti, a meno che non scelgano attivamente di passare al nuovo modello di business e al nuovo prezzo.
- Defender per Resource Manager: questo piano ha un prezzo fisso per sottoscrizione al mese. I clienti possono passare al nuovo modello di business selezionando il Defender per Resource Manager nuovo modello di sottoscrizione.
I clienti esistenti di Defender per Key-Vault, Defender per Resource Manager e Defender per DNS mantengono il modello di business e i prezzi correnti, a meno che non scelgano attivamente di passare al nuovo modello di business e al nuovo prezzo.
- Defender per Resource Manager: questo piano ha un prezzo fisso per sottoscrizione al mese. I clienti possono passare al nuovo modello di business selezionando il Defender per Resource Manager nuovo modello di sottoscrizione.
- Defender per Key Vault: questo piano ha un prezzo fisso per insieme di credenziali, al mese senza addebiti per eccedenza. I clienti possono passare al nuovo modello aziendale selezionando il Defender per Key Vault nuovo modello per ogni insieme di credenziali
- Defender per DNS: Defender per i server Piano 2 i clienti ottengono l'accesso a Defender per il valore DNS come parte di Defender per server piano 2 senza costi aggiuntivi. I clienti che dispongono sia di Defender per server piano 2 che di Defender per DNS non vengono più addebitati per Defender per DNS. Defender per DNS non è più disponibile come piano autonomo.
Altre informazioni sui prezzi per questi piani sono disponibili nella pagina dei prezzi Defender per il cloud.
Luglio 2023
Gli aggiornamenti del mese di luglio includono quanto segue:
Versione di anteprima della valutazione delle vulnerabilità dei contenitori con Gestione delle vulnerabilità di Microsoft Defender
31 luglio 2023
È in corso l'annuncio del rilascio di Valutazione della vulnerabilità per le immagini dei contenitori Linux nei registri contenitori Azure basati su Gestione delle vulnerabilità di Microsoft Defender in Defender per contenitori e Defender per registri contenitori. La nuova offerta di va per contenitori verrà fornita insieme all'offerta Di va contenitore esistente basata su Qualys sia in Defender per contenitori che in Defender per registri contenitori e include analisi giornaliere delle immagini dei contenitori, informazioni di sfruttabilità, supporto per i linguaggi di sistema operativo e di programmazione (SCA) e altro ancora.
Questa nuova offerta inizierà a essere implementata oggi e dovrebbe essere disponibile per tutti i clienti entro il 7 agosto.
Altre informazioni sulla valutazione della vulnerabilità container con Gestione delle vulnerabilità di Microsoft Defender.
Il comportamento dei contenitori senza agente in Defender CSPM è ora disponibile a livello generale
30 luglio 2023
Le funzionalità di comportamento dei contenitori senza agente sono ora disponibili a livello generale come parte del piano di Defender CSPM (Cloud Security Posture Management).
Altre informazioni sul comportamento del contenitore agentless in Defender CSPM.
Gestione degli aggiornamenti automatici per Defender per endpoint per Linux
20 luglio 2023
Per impostazione predefinita, Defender per il cloud tenta di aggiornare i Defender per gli agenti Endpoint per Linux caricati con l'estensione MDE.Linux. Con questa versione, è possibile gestire questa impostazione e rifiutare esplicitamente la configurazione predefinita per gestire manualmente i cicli di aggiornamento.
Analisi dei segreti senza agente per le macchine virtuali in Defender per i server P2 e Defender CSPM
18 luglio 2023
L'analisi dei segreti è ora disponibile come parte dell'analisi senza agente in Defender server P2 e Defender CSPM. Questa funzionalità consente di rilevare segreti non gestiti e non sicuri salvati nelle macchine virtuali in risorse Azure o AWS che possono essere usate per spostarsi in un secondo momento nella rete. Se vengono rilevati segreti, Defender per il cloud può aiutare a classificare in ordine di priorità ed eseguire passaggi di correzione attuabili per ridurre al minimo il rischio di spostamento laterale, senza influire sulle prestazioni del computer.
Per altre informazioni su come proteggere i segreti con l'analisi dei segreti, vedere Gestire i segreti con l'analisi dei segreti senza agente.
Nuovo avviso di sicurezza in Defender per server piano 2: rilevamento di potenziali attacchi sfruttando Azure estensioni del driver GPU della macchina virtuale
12 luglio 2023
Questo avviso è incentrato sull'identificazione di attività sospette sfruttando Azure macchina virtuale GPU estensioni del driver e fornisce informazioni dettagliate sui tentativi di compromissione delle macchine virtuali da parte degli utenti malintenzionati. L'avviso è destinato a distribuzioni sospette di estensioni del driver GPU; tali estensioni sono spesso abusate da attori di minacce per usare la potenza completa della scheda GPU ed eseguire il cryptojacking.
| Nome visualizzato avviso (Tipo di avviso) |
Description | Severity | Tattiche MITRE |
|---|---|---|---|
| Installazione sospetta dell'estensione GPU nella macchina virtuale (anteprima) (VM_GPUDriverExtensionUnusualExecution) |
È stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione del driver GPU per installare i driver GPU nella macchina virtuale tramite il Azure Resource Manager per eseguire il cryptojacking. | Low | Impact |
Per un elenco completo degli avvisi, vedere la tabella reference per tutti gli avvisi di sicurezza in Microsoft Defender per il cloud.
Supporto per la disabilitazione di specifici risultati della vulnerabilità
9 luglio 2023
Rilascio del supporto per la disabilitazione dei risultati della vulnerabilità per le immagini del registro contenitori o l'esecuzione di immagini come parte del comportamento del contenitore senza agente. Se un'organizzazione deve ignorare una ricerca di vulnerabilità nell'immagine del registro contenitori, anziché correggerla, è possibile disabilitarla facoltativamente. I risultati disabilitati non influiscono sul punteggio di sicurezza o generano rumore indesiderato.
Informazioni su come disabilitare i risultati della valutazione della vulnerabilità nelle immagini del Registro Container.
Il comportamento di sicurezza con riconoscimento dei dati è ora disponibile a livello generale
1° luglio 2023
Il comportamento di sicurezza con riconoscimento dei dati in Microsoft Defender per il cloud è ora disponibile a livello generale. Aiuta i clienti a ridurre il rischio di dati e a rispondere alle violazioni dei dati. Usando il comportamento di sicurezza basato sui dati è possibile:
- Individuare automaticamente le risorse di dati sensibili in Azure e AWS.
- Valutare la riservatezza dei dati, la loro esposizione e il modo in cui vengono trasmessi all'interno dell'organizzazione.
- Individuare in modo proattivo e continuo i rischi che potrebbero causare violazioni dei dati.
- Rilevare attività sospette che potrebbero indicare minacce continue alle risorse dei dati sensibili
Per altre informazioni, vedere Comportamento di sicurezza compatibile con i dati in Microsoft Defender per il cloud.
Giugno 2023
Gli aggiornamenti del mese di giugno includono quanto segue:
Onboarding semplificato degli account multicloud con impostazioni avanzate
26 giugno 2023
Defender per il cloud ha migliorato l'esperienza di onboarding per includere una nuova interfaccia utente semplificata e istruzioni oltre alle nuove funzionalità che consentono di eseguire l'onboarding degli ambienti AWS e GCP, fornendo al tempo stesso l'accesso alle funzionalità avanzate di onboarding.
Per le organizzazioni che hanno adottato Hashicorp Terraform per l'automazione, Defender per il cloud ora include la possibilità di usare Terraform come metodo di distribuzione insieme a AWS CloudFormation o GCP Cloud Shell. È ora possibile personalizzare i nomi dei ruoli necessari durante la creazione dell'integrazione. È anche possibile selezionare tra:
Accesso predefinito : consente a Defender per il cloud di analizzare le risorse e includere automaticamente funzionalità future.
Ast privileged access -Grants Defender per il cloud accedere solo alle autorizzazioni correnti necessarie per i piani selezionati.
Se si selezionano le autorizzazioni con privilegi minimi, si riceveranno notifiche solo per i nuovi ruoli e le autorizzazioni necessari per ottenere la funzionalità completa sull'integrità del connettore.
Defender per il cloud consente di distinguere tra gli account cloud in base ai nomi nativi dei fornitori di servizi cloud. Ad esempio, alias dell'account AWS e nomi di progetto GCP.
Supporto dell'endpoint privato per l'analisi di malware in Defender per l'archiviazione
25 giugno 2023
Il supporto dell'endpoint privato è ora disponibile come parte dell'anteprima pubblica di analisi malware in Defender per l'archiviazione. Questa funzionalità consente di abilitare l'analisi malware sugli account di archiviazione che usano endpoint privati. Non sono necessarie altre configurazioni.
Malware scansione (anteprima) in Defender per Archiviazione consente di proteggere gli account di archiviazione da contenuti dannosi eseguendo un'analisi completa del malware sui contenuti caricati quasi in tempo reale, usando le funzionalità antivirus Microsoft Defender. È progettata per soddisfare i requisiti di sicurezza e conformità per la gestione dei contenuti non attendibili. Si tratta di una soluzione SaaS senza agente che consente una configurazione semplice su larga scala, con zero manutenzione e supporta l'automazione della risposta su larga scala.
Gli endpoint privati forniscono connettività sicura ai servizi di Archiviazione di Azure, eliminando in modo efficace l'esposizione a Internet pubblico e considerati una procedura consigliata per la sicurezza.
Per gli account di archiviazione con endpoint privati in cui è già abilitata l'analisi malware, è necessario disabilitare e abilitare il piano con l'analisi malware per il funzionamento.
Altre informazioni sull'uso di endpoint private in Defender per Archiviazione e su come proteggere ulteriormente i servizi di archiviazione.
Raccomandazione rilasciata per l'anteprima: l'esecuzione di immagini del contenitore deve avere risultati della vulnerabilità risolti (basati su Gestione delle vulnerabilità di Microsoft Defender)
21 giugno 2023
Viene rilasciata una nuova raccomandazione del contenitore in Defender CSPM basata su Gestione delle vulnerabilità di Microsoft Defender per l'anteprima:
| Recommendation | Description | Chiave di valutazione |
|---|---|---|
| L'esecuzione di immagini del contenitore deve avere i risultati della vulnerabilità risolti (basati su Gestione delle vulnerabilità di Microsoft Defender)(Anteprima) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente la superficie di attacco per i carichi di lavoro in contenitori. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Questa nuova raccomandazione sostituisce la raccomandazione corrente con lo stesso nome, basata su Qualys, solo in Defender CSPM (sostituendo la chiave di valutazione 41503391-efa5-47ee-9282-4eff6131462c).
Gli aggiornamenti dei controlli sono stati apportati agli standard NIST 800-53 in conformità alle normative
15 giugno 2023
Gli standard NIST 800-53 (R4 e R5) sono stati recentemente aggiornati con modifiche al controllo nella conformità alle normative Microsoft Defender per il cloud. I controlli gestiti da Microsoft sono stati rimossi dallo standard e le informazioni sull'implementazione della responsabilità Microsoft (come parte del modello di responsabilità condivisa nel cloud) sono ora disponibili solo nel riquadro dei dettagli del controllo in Microsoft Actions.
Questi controlli sono stati calcolati in precedenza come controlli passati, pertanto è possibile che si verifichi un calo significativo nel punteggio di conformità per gli standard NIST tra aprile 2023 e maggio 2023.
Per altre informazioni sui controlli di conformità, vedere Tutorial: controlli di conformità alle normative - Microsoft Defender per il cloud.
La pianificazione della migrazione cloud con un caso aziendale Azure Migrate include ora Defender per il cloud
11 giugno 2023
È ora possibile individuare potenziali risparmi sui costi in termini di sicurezza applicando Defender per il cloud nel contesto di un caso aziendale Azure Migrate.
La configurazione rapida per le valutazioni delle vulnerabilità in Defender per SQL è ora disponibile a livello generale
7 giugno 2023
La configurazione rapida per le valutazioni delle vulnerabilità in Defender per SQL è ora disponibile a livello generale. La configurazione rapida offre un'esperienza di onboarding semplificata per le valutazioni delle vulnerabilità di SQL usando una configurazione con un clic (o una chiamata API). Non sono necessarie impostazioni o dipendenze aggiuntive per gli account di archiviazione gestiti.
Per altre informazioni sulla configurazione rapida, vedere questo blog .
È possibile apprendere le differenze tra la configurazione rapida e quella classica.
Altri ambiti aggiunti ai connettori di Azure DevOps esistenti
6 giugno 2023
Defender per DevOps aggiunto gli ambiti aggiuntivi seguenti all'applicazione Azure DevOps (ADO):
Gestione avanzata della sicurezza:
vso.advsec_manage. Ciò è necessario per consentire di abilitare, disabilitare e gestire GitHub Sicurezza avanzata per ADO.Mapping dei contenitori:
vso.extension_manage,vso.gallery_manager; Ciò è necessario per consentire di condividere l'estensione decorator con l'organizzazione ADO.
Solo i nuovi Defender per DevOps clienti che tentano di eseguire l'onboarding di risorse ADO per Microsoft Defender per il cloud sono interessati da questa modifica.
L'onboarding diretto (senza Azure Arc) per Defender per i server è ora disponibile a livello generale
5 giugno 2023
In precedenza, Azure Arc era necessario eseguire l'onboarding di server non Azure in Defender per i server. Tuttavia, con la versione più recente è anche possibile eseguire l'onboarding dei server locali in Defender per server usando solo l'agente Microsoft Defender per endpoint.
Questo nuovo metodo semplifica il processo di onboarding per i clienti incentrati sulla protezione degli endpoint di base e consente di sfruttare Defender per la fatturazione basata sul consumo dei server per asset cloud e non cloud. L'opzione di onboarding diretto tramite Defender per endpoint è ora disponibile, con la fatturazione per i computer di cui è stato eseguito l'onboarding a partire dal 1° luglio.
Per altre informazioni, vedere Connettere i computer non Azure a Microsoft Defender per il cloud con Defender per Endpoint.
Sostituzione dell'individuazione basata su agente con l'individuazione senza agente per le funzionalità dei contenitori in Defender CSPM
4 giugno 2023
Con le funzionalità Di comportamento dei contenitori senza agente disponibili in Defender CSPM, le funzionalità di individuazione basate su agente vengono ora ritirate. Se attualmente si usano le funzionalità dei contenitori all'interno di Defender CSPM, assicurarsi che le estensioni relevant siano abilitate per continuare a ricevere il valore correlato al contenitore delle nuove funzionalità senza agente, ad esempio percorsi di attacco correlati ai contenitori, informazioni dettagliate e inventario. Possono essere necessarie fino a 24 ore per vedere gli effetti dell'abilitazione delle estensioni.
Altre informazioni sul comportamento del contenitore senza agente.
maggio 2023
Gli aggiornamenti del mese di maggio includono quanto segue:
- A nuovo avviso in Defender per Key Vault.
- Supporto per l'analisi senza agente dei dischi crittografati in AWS.
- Changes in JIT (Just-In-Time) convenzioni di denominazione in Defender per il cloud.
- Onboarding delle aree AWS selezionate.
- Modifiche alle raccomandazioni relative alle identità.
- Deprecazione degli standard legacy nel dashboard di conformità.
- Aggiornare di due raccomandazioni Defender per DevOps per includere Azure DevOps risultati dell'analisi
- Nuova impostazione predefinita per la soluzione di valutazione della vulnerabilità Defender dei server.
- Possibilità di scaricare un report CSV dei risultati delle query di Cloud Security Explorer (anteprima).
- La versione di valutazione della vulnerabilità dei contenitori con Gestione delle vulnerabilità di Microsoft Defender.
- Ridenominazione delle raccomandazioni dei contenitori basate su Qualys.
- A aggiornare Defender per DevOps GitHub'applicazione.
- Change in Defender per DevOps annotazioni di richiesta pull nei repository Azure DevOps che ora includono infrastruttura come configurazioni non corretta.
Nuovo avviso in Defender per Key Vault
| Avviso (tipo di avviso) | Description | Tattiche MITRE | Severity |
|---|---|---|---|
|
Unusual access to the key vault from a suspicious IP (Non-Microsoft or External) (KV_UnusualAccessSuspiciousIP) |
Un utente o un'entità servizio ha tentato l'accesso anomalo agli insiemi di credenziali delle chiavi da un indirizzo IP non Microsoft nelle ultime 24 ore. Questo modello di accesso anomalo potrebbe essere un'attività legittima. Potrebbe essere un'indicazione di un possibile tentativo di ottenere l'accesso all'insieme di credenziali delle chiavi e dei segreti contenuti all'interno di esso. È consigliabile eseguire ulteriori indagini. | Accesso alle credenziali | Medium |
Per tutti gli avvisi disponibili, vedere Alerts per Azure Key Vault.
L'analisi senza agente supporta ora dischi crittografati in AWS
L'analisi senza agente per le macchine virtuali supporta ora l'elaborazione di istanze con dischi crittografati in AWS, usando cmk e PMK.
Questo supporto esteso aumenta la copertura e la visibilità sul cloud senza influire sui carichi di lavoro in esecuzione. Il supporto per i dischi crittografati mantiene lo stesso metodo di impatto zero sulle istanze in esecuzione.
- Per i nuovi clienti che abilitano l'analisi senza agente in AWS, la copertura dei dischi crittografati è incorporata e supportata per impostazione predefinita.
- Per i clienti esistenti che hanno già un connettore AWS con analisi senza agente abilitato, è necessario riapplicare lo stack CloudFormation agli account AWS di cui è stato eseguito l'onboarding per aggiornare e aggiungere le nuove autorizzazioni necessarie per elaborare i dischi crittografati. Il modello CloudFormation aggiornato include nuove assegnazioni che consentono Defender per il cloud di elaborare i dischi crittografati.
Altre informazioni sulle autorizzazioni usate per analizzare le istanze di AWS.
Per riapplicare lo stack CloudFormation:
- Passare a Defender per il cloud impostazioni dell'ambiente e aprire il connettore AWS.
- Passare alla scheda Configura accesso .
- Selezionare Fare clic per scaricare il modello CloudFormation.
- Passare all'ambiente AWS e applicare il modello aggiornato.
Altre informazioni sull'analisi senza agente e sull'abilitazione dell'analisi senza agente in AWS.
Convenzioni di denominazione delle regole JIT (Just-In-Time) modificate in Defender per il cloud
Sono state riviste le regole JIT (Just-In-Time) per allinearsi al marchio Microsoft Defender per il cloud. Sono state modificate le convenzioni di denominazione per le regole Firewall di Azure e NSG (Gruppo di sicurezza di rete).
Le modifiche sono elencate di seguito:
| Description | Nome precedente | Nuovo nome |
|---|---|---|
| Nomi di regole JIT (consenti e nega) nel gruppo di sicurezza di rete (gruppo di sicurezza di rete) | SecurityCenter-JITRule | MicrosoftDefenderForCloud-JITRule |
| Descrizioni delle regole JIT nel gruppo di sicurezza di rete | Regola di accesso alla rete JIT del Centro sicurezza di Azure | Regola di accesso alla rete JIT MDC |
| Nomi di raccolta regole del firewall JIT | ASC-JIT | MDC-JIT |
| Nomi delle regole del firewall JIT | ASC-JIT | MDC-JIT |
Informazioni su come proteggere le porte di gestione con l'accesso JUST-In-Time.
Eseguire l'onboarding delle aree AWS selezionate
Per gestire i costi e le esigenze di conformità di AWS CloudTrail, è ora possibile selezionare le aree AWS da analizzare quando si aggiunge o si modifica un connettore cloud. È ora possibile analizzare aree AWS specifiche o tutte le aree disponibili (impostazione predefinita), quando si esegue l'onboarding degli account AWS per Defender per il cloud. Per altre informazioni, vedere Connettere l'account AWS a Microsoft Defender per il cloud.
Modifiche multiple alle raccomandazioni relative all'identità
Le raccomandazioni seguenti vengono ora rilasciate come disponibilità generale (GA) e sostituiscono le raccomandazioni V1 ora deprecate.
Versione disponibile a livello generale delle raccomandazioni sulle identità V2
La versione V2 delle raccomandazioni per l'identità introduce i miglioramenti seguenti:
- L'ambito dell'analisi è stato esteso per includere tutte le risorse Azure, non solo le sottoscrizioni. In questo modo gli amministratori della sicurezza possono visualizzare le assegnazioni di ruolo per ogni account.
- È ora possibile esentare account specifici dalla valutazione. Gli account come break glass o account di servizio possono essere esclusi dagli amministratori della sicurezza.
- La frequenza di analisi è stata aumentata da 24 ore a 12 ore, assicurando così che le raccomandazioni sull'identità siano più aggiornate e accurate.
Le raccomandazioni sulla sicurezza seguenti sono disponibili in disponibilità generale e sostituiscono le raccomandazioni V1:
| Recommendation | Chiave di valutazione |
|---|---|
| Gli account con autorizzazioni di proprietario per le risorse di Azure devono essere abilitati per MFA | 6240402e-f77c-46fa-9060-a7ce53997754 |
| Gli account con autorizzazioni di scrittura per le risorse di Azure devono essere abilitati per MFA | c0cb17b2-0607-48a7-b0e0-903ed22de39b |
| Gli account con autorizzazioni di lettura per le risorse di Azure devono essere abilitati per MFA | dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c |
| Gli account guest con autorizzazioni di proprietario per le risorse Azure devono essere rimossi | 20606e75-05c4-48c0-9d97-add6daa2109a |
| Gli account guest con autorizzazioni di scrittura per le risorse di Azure devono essere rimossi | 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb |
| Gli account guest con autorizzazioni di lettura per le risorse di Azure devono essere rimossi | fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 |
| Gli account bloccati con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi | 050ac097-3dda-4d24-ab6d-82568e7a50cf |
| Gli account bloccati con autorizzazioni di lettura e scrittura per le risorse di Azure devono essere rimossi | 1ff0b4c9-ed56-4de6-be9c-d7ab39645926 |
Deprecazione delle raccomandazioni sulle identità V1
Le raccomandazioni di sicurezza seguenti sono ora deprecate:
| Recommendation | Chiave di valutazione |
|---|---|
| L'autenticazione a più fattori deve essere abilitata per gli account con autorizzazioni di proprietario per le sottoscrizioni. | 94290b00-4d0c-d7b4-7cea-064a9554e681 |
| L'autenticazione a più fattori deve essere abilitata per gli account con autorizzazioni di scrittura per le sottoscrizioni. | 57e98606-6b1e-6193-0e3d-fe621387c16b |
| L'autenticazione a più fattori deve essere abilitata per gli account con autorizzazioni di lettura per le sottoscrizioni. | 151e82c5-5341-a74b-1eb0-bc38d2c84bb5 |
| Gli account esterni con autorizzazioni di proprietario devono essere rimossi dalle sottoscrizioni. | c3b6ae71-f1f0-31b4-e6c1-d5951285d03d |
| Gli account esterni con autorizzazioni di scrittura devono essere rimossi dalle sottoscrizioni. | 04e7147b-0deb-9796-2e5c-0336343ceb3d |
| Gli account esterni con autorizzazioni di lettura devono essere rimossi dalle sottoscrizioni. | a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b |
| Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalle sottoscrizioni. | e52064aa-6853-e252-a11e-dffc675689c2 |
| Gli account deprecati devono essere rimossi dalle sottoscrizioni | 00c6d40b-e990-6acf-d4f3-471e747a27c4 |
È consigliabile aggiornare gli script, i flussi di lavoro e le regole di governance personalizzati in modo che corrispondano alle raccomandazioni V2.
Deprecazione degli standard legacy nel dashboard di conformità
I TSP PCI DSS v3.2.1 legacy e PCI DSS legacy sono stati completamente deprecati nel dashboard di conformità Defender per il cloud e sostituiti da SOC 2 Type 2 initiative e PCI DSS v4 standard di conformità basati sull'iniziativa. Abbiamo completamente deprecato il supporto di PCI DSS standard/initiative in Microsoft Azure gestito da 21Vianet.
Informazioni su come personalizzare il set di standard nel dashboard di conformità alle normative.
Defender per DevOps include Azure DevOps risultati dell'analisi
Defender per DevOps Codice e IaC ha ampliato la copertura delle raccomandazioni in Microsoft Defender per il cloud per includere Azure DevOps risultati della sicurezza per le due raccomandazioni seguenti:
Code repositories should have code scanning findings resolvedCode repositories should have infrastructure as code scanning findings resolved
In precedenza, la copertura per l'analisi della sicurezza Azure DevOps includeva solo la raccomandazione relativa ai segreti.
Altre informazioni su Defender per DevOps.
Nuova impostazione predefinita per Defender per la soluzione di valutazione della vulnerabilità dei server
Le soluzioni di valutazione della vulnerabilità (VA) sono essenziali per proteggere i computer da attacchi informatici e violazioni dei dati.
Gestione delle vulnerabilità di Microsoft Defender è ora abilitata come soluzione predefinita predefinita per tutte le sottoscrizioni protette da Defender per i server che non dispongono già di una soluzione va selezionata.
Se per una sottoscrizione è abilitata una soluzione di valutazione delle istanze virtuali in una delle macchine virtuali, non vengono apportate modifiche e Gestione delle vulnerabilità di Microsoft Defender non verranno abilitate per impostazione predefinita nelle macchine virtuali rimanenti di tale sottoscrizione. È possibile scegliere di abilitare una soluzione di valutazione delle istanze virtuali rimanenti nelle sottoscrizioni.
Informazioni su come trovare le vulnerabilità e raccogliere l'inventario software con l'analisi senza agente (anteprima).
Scaricare un report CSV dei risultati delle query di Cloud Security Explorer (anteprima)
Defender per il cloud ha aggiunto la possibilità di scaricare un report CSV dei risultati delle query di Cloud Security Explorer.
Dopo aver eseguito una ricerca di una query, è possibile selezionare il pulsante Scaricare report CSV (anteprima) dalla pagina Cloud Security Explorer in Defender per il cloud.
Informazioni su come creare query con Cloud Security Explorer
Il rilascio della valutazione della vulnerabilità dei contenitori con Gestione delle vulnerabilità di Microsoft Defender
È in corso l'annuncio del rilascio delle immagini di Valutazione della vulnerabilità per linux nei registri contenitori Azure basati su Gestione delle vulnerabilità di Microsoft Defender in Defender CSPM. Questa versione include l'analisi giornaliera delle immagini. I risultati usati in Esplora sicurezza e i percorsi di attacco si basano su Microsoft Defender Valutazione della vulnerabilità, anziché sullo scanner Qualys.
La raccomandazione Container registry images should have vulnerability findings resolved esistente viene sostituita da una nuova raccomandazione:
| Recommendation | Description | Chiave di valutazione |
|---|---|---|
| Le immagini del registro contenitori devono avere i risultati della vulnerabilità risolti (basati su Gestione delle vulnerabilità di Microsoft Defender) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente la superficie di attacco per i carichi di lavoro in contenitori. | dbd0cb49-b563-45e7-9724-889e799fa648 viene sostituito da c0b7cfc6-3172-465a-b378-53c7ff2cc0d5. |
Altre informazioni sul comportamento dei contenitori Agentless in Defender CSPM.
Altre informazioni su Gestione delle vulnerabilità di Microsoft Defender.
Ridenominazione delle raccomandazioni dei contenitori basate su Qualys
Le raccomandazioni correnti per i contenitori in Defender per i contenitori verranno rinominate nel modo seguente:
| Recommendation | Description | Chiave di valutazione |
|---|---|---|
| I risultati della vulnerabilità nelle immagini del contenitore del registro devono essere risolti (basato su Qualys) | La valutazione delle vulnerabilità delle immagini del contenitore analizza il registro alla ricerca di vulnerabilità di sicurezza ed espone risultati dettagliati per ogni immagine. La risoluzione delle vulnerabilità può migliorare significativamente il comportamento di sicurezza dei contenitori e proteggerli dagli attacchi. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate su Qualys) | La valutazione della vulnerabilità dell'immagine del contenitore analizza le immagini del contenitore in esecuzione nei cluster Kubernetes per individuare le vulnerabilità di sicurezza ed espone risultati dettagliati per ogni immagine. La risoluzione delle vulnerabilità può migliorare significativamente il comportamento di sicurezza dei contenitori e proteggerli dagli attacchi. | 41503391-efa5-47ee-9282-4eff6131462c |
aggiornamento dell'applicazione Defender per DevOps GitHub
Microsoft Defender per DevOps apporta costantemente modifiche e aggiornamenti che richiedono Defender per DevOps clienti che hanno eseguito l'onboarding degli ambienti GitHub in Defender per il cloud per fornire le autorizzazioni nell'ambito dell'applicazione distribuita nel proprio GitHub Organizzazione. Queste autorizzazioni sono necessarie per garantire che tutte le funzionalità di sicurezza di Defender per DevOps funzionino normalmente e senza problemi.
È consigliabile aggiornare le autorizzazioni il prima possibile per garantire l'accesso continuo a tutte le funzionalità disponibili di Defender per DevOps.
Le autorizzazioni possono essere concesse in due modi diversi:
Nell'organizzazione selezionare GitHub Apps. Individuare L'organizzazione e selezionare Rivedi richiesta.
Si riceverà un messaggio di posta elettronica automatizzato da GitHub Supporto tecnico. Nel messaggio di posta elettronica selezionare Rivedi richiesta di autorizzazione per accettare o rifiutare questa modifica.
Dopo aver seguito una di queste opzioni, si passerà alla schermata di revisione in cui è necessario esaminare la richiesta. Selezionare Accetta nuove autorizzazioni per approvare la richiesta.
Se sono necessarie autorizzazioni di aggiornamento, è possibile creare una richiesta di supporto tecnico di Azure.
Altre informazioni su Defender per DevOps. Se per una sottoscrizione è abilitata una soluzione di valutazione delle istanze virtuali in una delle macchine virtuali, non vengono apportate modifiche e Gestione delle vulnerabilità di Microsoft Defender non verranno abilitate per impostazione predefinita nelle macchine virtuali rimanenti di tale sottoscrizione. È possibile scegliere di abilitare una soluzione di valutazione delle istanze virtuali rimanenti nelle sottoscrizioni.
Informazioni su come trovare le vulnerabilità e raccogliere l'inventario software con l'analisi senza agente (anteprima).
Defender per DevOps annotazioni delle richieste pull nei repository di Azure DevOps ora include infrastruttura come configurazioni errate del codice
Defender per DevOps ha ampliato la copertura delle annotazioni pull request (PR) in Azure DevOps per includere errori di configurazione dell'infrastruttura come codice (IaC) rilevati nei modelli di Azure Resource Manager e Bicep.
Gli sviluppatori possono ora visualizzare le annotazioni per errori di configurazione IaC direttamente nelle richieste pull. Gli sviluppatori possono anche correggere i problemi di sicurezza critici prima del provisioning dell'infrastruttura nei carichi di lavoro cloud. Per semplificare la correzione, gli sviluppatori vengono forniti con un livello di gravità, una descrizione errata della configurazione e istruzioni di correzione all'interno di ogni annotazione.
In precedenza, la copertura per Defender per DevOps annotazioni pull in Azure DevOps includeva solo segreti.
Altre informazioni su Defender per DevOps e Pull Request annotations.
Aprile 2023
Gli aggiornamenti del mese di aprile includono quanto segue:
- Comportamento contenitore senza agente in Defender CSPM (anteprima)
- Nuova raccomandazione di Crittografia dischi unificata in anteprima
- Le modifiche apportate ai computer consigliati devono essere configurate in modo sicuro
- Deprecazione dei criteri di monitoraggio del linguaggio di servizio app
- Nuovo avviso in Defender per Resource Manager
- gli avvisi Three nel Defender per il piano di Resource Manager sono stati deprecati
- Alerts l'esportazione automatica nell'area di lavoro Log Analytics è stata deprecata
- Deprecation and improvement of selected alerts for Windows and Linux Servers
- Nuova Microsoft Entra raccomandazioni relative all'autenticazione per Azure Data Services
- Due raccomandazioni relative agli aggiornamenti mancanti del sistema operativo sono stati rilasciati a livello generale
- Defender per le API (anteprima)
Comportamento contenitore senza agente in Defender CSPM (anteprima)
Le nuove funzionalità di Comportamento contenitore senza agente (anteprima) sono disponibili come parte del piano di Defender CSPM (Cloud Security Posture Management).
Il comportamento del contenitore senza agente consente ai team di sicurezza di identificare i rischi per la sicurezza nei contenitori e nelle aree di autenticazione kubernetes. Un approccio senza agente consente ai team di sicurezza di ottenere visibilità sui registri Kubernetes e contenitori in SDLC e runtime, rimuovendo l'attrito e il footprint dai carichi di lavoro.
Il comportamento del contenitore senza agente offre valutazioni delle vulnerabilità dei contenitori che, combinate con l'analisi del percorso di attacco, consentono ai team di sicurezza di assegnare priorità e ingrandire specifiche vulnerabilità dei contenitori. È anche possibile usare Cloud Security Explorer per individuare i rischi e cercare informazioni dettagliate sul comportamento dei contenitori, ad esempio l'individuazione di applicazioni che eseguono immagini vulnerabili o esposte a Internet.
Per altre informazioni, vedere Comportamento contenitore senza agente (anteprima).
Raccomandazione di Crittografia dischi unificata (anteprima)
Sono disponibili nuove raccomandazioni per la crittografia dei dischi unificata in anteprima.
Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost-
Linux virtual machines should enable Crittografia dischi di Azure or EncryptionAtHost.
Queste raccomandazioni sostituiscono Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, che ha rilevato Crittografia dischi di Azure e il criterio Virtual machines and virtual machine scale sets should have encryption at host enabled, che ha rilevato EncryptionAtHost. ADE e EncryptionAtHost forniscono una crittografia paragonabile alla copertura dei dati inattivi ed è consigliabile abilitare una di esse in ogni macchina virtuale. Le nuove raccomandazioni rilevano se ADE o EncryptionAtHost sono abilitati e avvisano solo se nessuno dei due elementi è abilitato. Viene anche visualizzato un avviso se AdE è abilitato in alcuni dischi, ma non tutti i dischi di una macchina virtuale (questa condizione non è applicabile a EncryptionAtHost).
Le nuove raccomandazioni richiedono Gestione automatica di Azure Configurazione computer.
Queste raccomandazioni sono basate sui criteri seguenti:
- (anteprima) Windows le macchine virtuali devono abilitare Crittografia dischi di Azure o EncryptionAtHost
- Le macchine virtuali Linux (anteprima) devono abilitare Crittografia dischi di Azure o EncryptionAtHost
Altre informazioni su ADE e EncryptionAtHost e su come abilitare una di esse.
Le modifiche apportate ai computer consigliati devono essere configurate in modo sicuro
La raccomandazione Machines should be configured securely è stata aggiornata. L'aggiornamento migliora le prestazioni e la stabilità della raccomandazione e ne allinea l'esperienza con il comportamento generico delle raccomandazioni di Defender per il cloud.
Nell'ambito di questo aggiornamento, l'ID della raccomandazione è stato modificato da 181ac480-f7c4-544b-9865-11b8ffe87f47 a c476dc48-8110-4139-91af-c8d940896b98.
Non è necessaria alcuna azione sul lato cliente e non è previsto alcun effetto sul punteggio di sicurezza.
Deprecazione dei criteri di monitoraggio del linguaggio di servizio app
I seguenti servizio app criteri di monitoraggio del linguaggio sono stati deprecati a causa della loro capacità di generare falsi negativi e perché non offrono una maggiore sicurezza. È sempre necessario assicurarsi di usare una versione del linguaggio senza vulnerabilità note.
| Nome del criterio | ID criterio |
|---|---|
| App Service apps that use Java should use the latest 'Java version' | 496223c3-ad65-4ecd-878a-bae78737e9ed |
| App Service apps that use Python should use the latest 'Python version' | 7008174a-fd10-4ef0-817e-fc820a951d73 |
| App per le funzioni che usano Java devono usare l'ultima "versione Java" | 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc |
| Appfunction che usano Python devono usare la versione più recente Python | 7238174a-fd10-4ef0-817e-fc820a951d73 |
| Le app del servizio app che usano PHP devono usare la "versione PHP" più recente | 7261b898-8a84-4db8-9e04-18527132abb3 |
I clienti possono usare criteri predefiniti alternativi per monitorare qualsiasi versione della lingua specificata per le servizio app.
Questi criteri non sono più disponibili nelle raccomandazioni predefinite di Defender per il cloud. È possibile aggiungerli come raccomandazioni personalizzate per monitorarli Defender per il cloud.
Nuovo avviso in Defender per Resource Manager
Defender per Resource Manager ha il nuovo avviso seguente:
| Avviso (tipo di avviso) | Description | Tattiche MITRE | Severity |
|---|---|---|---|
|
ANTEPRIMA - Rilevata creazione sospetta di risorse di calcolo (ARM_SuspiciousComputeCreation) |
Microsoft Defender per Resource Manager identificato una creazione sospetta di risorse di calcolo nella sottoscrizione usando Macchine virtuali/Azure set di scalabilità. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente i propri ambienti distribuendo nuove risorse quando necessario. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe utilizzare tali operazioni per eseguire il crypto mining. L'attività viene considerata sospetta perché la scalabilità delle risorse di calcolo è superiore a quella osservata in precedenza nella sottoscrizione. Ciò può indicare che l'entità è compromessa e viene usata con finalità dannose. |
Impact | Medium |
È possibile visualizzare un elenco di tutti gli alert disponibili per Resource Manager.
Sono stati deprecati tre avvisi nella Defender per il piano di Resource Manager
I tre avvisi seguenti per il Defender per Resource Manager piano sono stati deprecati:
Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
In uno scenario in cui viene rilevata l'attività da un indirizzo IP sospetto, sarà presente uno dei seguenti defender per gli avvisi del piano di Resource Manager Azure Resource Manager operation from suspicious IP address o Azure Resource Manager operation from suspicious proxy IP address.
Gli avvisi di esportazione automatica in Log Analytics'area di lavoro sono stati deprecati
Gli avvisi di sicurezza di Defender per cloud vengono esportati automaticamente in un'area di lavoro predefinita Log Analytics a livello di risorsa. Ciò causa un comportamento indeterminato e pertanto questa funzionalità è deprecata.
È invece possibile esportare gli avvisi di sicurezza in un'area di lavoro dedicata Log Analytics con Esportare.
Se l'esportazione continua degli avvisi è già stata configurata in un'area di lavoro di Log Analytics, non è necessaria alcuna ulteriore azione.
Deprecazione e miglioramento degli avvisi selezionati per Windows e server Linux
Il processo di miglioramento della qualità degli avvisi di sicurezza per Defender per i server include la deprecazione di alcuni avvisi per i server Windows e Linux. Gli avvisi deprecati sono ora originati da e coperti da Defender per gli avvisi delle minacce degli endpoint.
Se l'Defender per l'integrazione degli endpoint è già abilitata, non sono necessarie altre azioni. È possibile che si verifichi una diminuzione del volume degli avvisi nell'aprile 2023.
Se l'Defender per l'integrazione degli endpoint non è abilitata in Defender per i server, sarà necessario abilitare la Defender per l'integrazione degli endpoint per mantenere e migliorare la copertura degli avvisi.
Tutti i Defender per i clienti server hanno accesso completo al Defender per l'integrazione dell'endpoint come parte del piano Defender per server.
Altre informazioni sulle opzioni di onboarding Microsoft Defender per endpoint.
È anche possibile visualizzare l'elenco completo degli avvisi impostati per essere deprecati.
Leggere il blog Microsoft Defender per il cloud.
Nuove raccomandazioni relative all'autenticazione di Microsoft Entra per Azure Data Services
Sono state aggiunte quattro nuove raccomandazioni per l'autenticazione Microsoft Entra per Azure Data Services.
| Nome raccomandazione | Descrizione raccomandazione | Policy |
|---|---|---|
| Istanza gestita di SQL di Azure modalità di autenticazione deve essere solo Microsoft Entra ID | La disabilitazione dei metodi di autenticazione locale e la possibilità di Microsoft Entra solo l'autenticazione migliora la sicurezza assicurando che Azure SQL istanze gestite sia accessibile esclusivamente da Microsoft Entra ID identità. | Istanza gestita di SQL di Azure deve essere abilitata Microsoft Entra ID solo l'autenticazione |
| Azure Synapse modalità di autenticazione dell'area di lavoro deve essere solo Microsoft Entra ID | Microsoft Entra ID solo i metodi di autenticazione migliorano la sicurezza assicurando che le aree di lavoro di Synapse richiedano esclusivamente identità Microsoft Entra ID per l'autenticazione. Ulteriori informazioni. | Le aree di lavoro Synapse devono usare solo identità Microsoft Entra ID per l'autenticazione |
| Database di Azure per MySQL deve disporre di un amministratore di Microsoft Entra di cui è stato effettuato il provisioning | Effettuare il provisioning di un amministratore di Microsoft Entra per l'Database di Azure per MySQL per abilitare l'autenticazione Microsoft Entra. Microsoft Entra'autenticazione consente la gestione semplificata delle autorizzazioni e la gestione centralizzata delle identità degli utenti del database e di altri servizi Microsoft | A amministratore di Microsoft Entra deve essere sottoposto a provisioning per i server MySQL |
| Database di Azure per PostgreSQL deve disporre di un amministratore di Microsoft Entra di cui è stato effettuato il provisioning | Effettuare il provisioning di un amministratore di Microsoft Entra per l'Database di Azure per PostgreSQL per abilitare l'autenticazione Microsoft Entra. Microsoft Entra'autenticazione consente la gestione semplificata delle autorizzazioni e la gestione centralizzata delle identità degli utenti del database e di altri servizi Microsoft | A amministratore di Microsoft Entra deve essere sottoposto a provisioning per i server PostgreSQL |
Due raccomandazioni relative agli aggiornamenti mancanti del sistema operativo sono stati rilasciati a livello generale
Le raccomandazioni System updates should be installed on your machines (powered by Gestore aggiornamenti di Azure) e Machines should be configured to periodically check for missing system updates sono state rilasciate per la disponibilità generale.
Per usare la nuova raccomandazione, è necessario:
- Connettere i computer non Azure ad Arc.
-
Abilitare la proprietà di valutazione periodica. È possibile usare il pulsante Correggi.
nella nuova raccomandazione per
Machines should be configured to periodically check for missing system updatescorreggere la raccomandazione.
Dopo aver completato questi passaggi, è possibile rimuovere la raccomandazione precedente System updates should be installed on your machines disabilitandola dall'iniziativa predefinita di Defender per il cloud nei criteri di Azure.
Le due versioni delle raccomandazioni:
System updates should be installed on your machinesSystem updates should be installed on your machines (powered by Azure Update Manager)
Entrambi saranno disponibili fino a quando l'agente Log Analytics è deprecato il 31 agosto 2024, ovvero quando verrà deprecata anche la versione precedente (System updates should be installed on your machines). Entrambe le raccomandazioni restituiscono gli stessi risultati e sono disponibili nello stesso controllo Apply system updates.
La nuova raccomandazione System updates should be installed on your machines (powered by Gestore aggiornamenti di Azure) include un flusso di correzione disponibile tramite il pulsante Correzione, che può essere usato per correggere i risultati tramite Gestione aggiornamenti (anteprima). Questo processo di correzione è ancora in anteprima.
La nuova raccomandazione System updates should be installed on your machines (powered by Gestore aggiornamenti di Azure) non influisce sul punteggio di sicurezza, perché ha gli stessi risultati della raccomandazione precedente System updates should be installed on your machines.
La raccomandazione dei prerequisiti (Abilita la proprietà di valutazione periodica) ha un effetto negativo sul punteggio di sicurezza. È possibile correggere l'effetto negativo con il pulsante Correzione disponibile.
Defender per le API (anteprima)
Defender per il cloud di Microsoft annuncia che la nuova Defender per le API è disponibile in anteprima.
Defender per le API offre protezione completa del ciclo di vita, rilevamento e copertura delle risposte per le API.
Defender per le API consente di ottenere visibilità sulle API critiche per l'azienda. È possibile analizzare e migliorare la postura di sicurezza delle API, assegnare priorità alle correzioni delle vulnerabilità e rilevare rapidamente minacce attive in tempo reale.
Altre informazioni su Defender per le API.
Marzo 2023
Gli aggiornamenti di marzo includono:
- A nuova Defender per il piano di archiviazione è disponibile, tra cui l'analisi di malware near real time e il rilevamento delle minacce ai dati sensibili
- Comportamento di sicurezza compatibile con i dati (anteprima)
- Improved experience for managing the default Azure security policies
- Defender CSPM (Cloud Security Posture Management) è ora disponibile a livello generale (GA)
- Opzione per creare raccomandazioni e standard di sicurezza personalizzati in Microsoft Defender per il cloud
- Microsoft cloud security benchmark (MCSB) versione 1.0 è ora disponibile a livello generale (GA)
- Alcuni standard di conformità alle normative sono ora disponibili nei cloud per enti pubblici
- Nuova raccomandazione di anteprima per i server Azure SQL
- Nuovo avviso in Defender per Key Vault
È disponibile un nuovo Defender per il piano di archiviazione, tra cui l'analisi di malware quasi in tempo reale e il rilevamento delle minacce ai dati sensibili
L'archiviazione cloud svolge un ruolo fondamentale nell'organizzazione e archivia grandi volumi di dati importanti e sensibili. Oggi viene annunciato un nuovo Defender per il piano di archiviazione. Se si usa il piano precedente (ora rinominato in "Defender for Storage (classic)"), è necessario
Il nuovo piano include funzionalità di sicurezza avanzate che consentono di proteggersi da caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Fornisce inoltre una struttura dei prezzi più prevedibile e flessibile per un migliore controllo sulla copertura e sui costi.
Il nuovo piano include nuove funzionalità ora in anteprima pubblica:
Rilevamento di eventi di esposizione ed esfiltrazione di dati sensibili
Analisi malware quasi in tempo reale su tutti i tipi di file
Rilevamento di entità senza identità tramite token di firma di accesso condiviso
Queste funzionalità migliorano la funzionalità di monitoraggio delle attività esistente, in base all'analisi dei log del piano dati e alla modellazione comportamentale del piano dati per identificare i primi segni di violazione.
Tutte queste funzionalità sono disponibili in un nuovo piano tariffario prevedibile e flessibile che offre un controllo granulare sulla protezione dei dati sia a livello di sottoscrizione che di risorse.
Per altre informazioni, vedere Panoramica di Microsoft Defender per Archiviazione.
Comportamento di sicurezza compatibile con i dati (anteprima)
Microsoft Defender per il cloud consente ai team di sicurezza di essere più produttivi per ridurre i rischi e rispondere alle violazioni dei dati nel cloud. Consente loro di tagliare il rumore con il contesto dei dati e classificare in ordine di priorità i rischi di sicurezza più critici, impedendo una violazione costosa dei dati.
- Individuare automaticamente le risorse dei dati nel cloud e valutarne l'accessibilità, la riservatezza dei dati e i flussi di dati configurati. -Scoprire continuamente i rischi per le violazioni dei dati delle risorse dati sensibili, dell'esposizione o dei percorsi di attacco che potrebbero portare a una risorsa dati usando una tecnica di spostamento laterale.
- Rilevare attività sospette che potrebbero indicare una minaccia continua alle risorse di dati sensibili.
Altre informazioni sul comportamento di sicurezza compatibile con i dati.
Esperienza migliorata per la gestione dei criteri di sicurezza predefiniti Azure
È stata introdotta un'esperienza di gestione dei criteri di sicurezza Azure migliorata per le raccomandazioni predefinite che semplificano il modo in cui Defender per il cloud clienti ottimizzano i requisiti di sicurezza. La nuova esperienza include le nuove funzionalità seguenti:
- Un'interfaccia semplice consente prestazioni e esperienza migliori quando si gestiscono i criteri di sicurezza predefiniti all'interno di Defender per il cloud.
- Una singola visualizzazione di tutte le raccomandazioni di sicurezza predefinite offerte dal benchmark di sicurezza cloud Microsoft (in precedenza il benchmark di sicurezza Azure). Le raccomandazioni sono organizzate in gruppi logici, semplificando la comprensione dei tipi di risorse trattati e della relazione tra parametri e raccomandazioni.
- Sono state aggiunte nuove funzionalità, ad esempio filtri e ricerca.
Informazioni su come gestire i criteri di sicurezza.
Leggere il blog Microsoft Defender per il cloud.
Defender CSPM (Cloud Security Posture Management) è ora disponibile a livello generale
Stiamo annunciando che Defender CSPM è ora disponibile a livello generale. Defender CSPM offre tutti i servizi disponibili nelle funzionalità DI CSPM di base e offre i vantaggi seguenti:
- Analisi del percorso di attacco e API ARG: l'analisi del percorso di attacco usa un algoritmo basato su grafo che analizza il grafico della sicurezza cloud per esporre i percorsi di attacco e suggerisce raccomandazioni su come risolvere al meglio i problemi che interrompono il percorso di attacco e impediscono la riuscita della violazione. È anche possibile utilizzare i percorsi di attacco a livello di codice eseguendo query Azure Resource Graph API (ARG). Informazioni su come usare l'analisi del percorso di attacco
- Cloud Security Explorer : usare Cloud Security Explorer per eseguire query basate su grafo nel grafico della sicurezza cloud per identificare in modo proattivo i rischi per la sicurezza negli ambienti multicloud. Altre informazioni su Cloud Security Explorer.
Altre informazioni su Defender CSPM.
Opzione per creare raccomandazioni personalizzate e standard di sicurezza in Microsoft Defender per il cloud
Microsoft Defender per il cloud offre la possibilità di creare raccomandazioni e standard personalizzati per AWS e GCP usando query KQL. È possibile usare un editor di query per compilare e testare query sui dati. Questa funzionalità fa parte del piano di Defender CSPM (Cloud Security Posture Management). Informazioni su come creare raccomandazioni e standard personalizzati.
Microsoft cloud security benchmark (MCSB) versione 1.0 è ora disponibile a livello generale
Microsoft Defender per il cloud annuncia che l'Microsoft cloud security benchmark (MCSB) versione 1.0 è ora disponibile a livello generale.
MCSB versione 1.0 sostituisce il Azure Security Benchmark (ASB) versione 3 come criterio di sicurezza predefinito di Defender per il cloud. MCSB versione 1.0 viene visualizzato come standard di conformità predefinito nel dashboard di conformità ed è abilitato per impostazione predefinita per tutti i clienti Defender per il cloud.
È anche possibile apprendere Come Microsoft cloud security benchmark (MCSB) consente di avere successo nel percorso di sicurezza cloud.
Altre informazioni su MCSB.
Alcuni standard di conformità alle normative sono ora disponibili nei cloud per enti pubblici
Questi standard vengono aggiornati per i clienti in Azure per enti pubblici e Microsoft Azure gestiti da 21Vianet.
Azure per enti pubblici:
Microsoft Azure gestito da 21Vianet:
Informazioni su come personalizzare il set di standard nel dashboard di conformità alle normative.
Nuova raccomandazione di anteprima per i server Azure SQL
È stata aggiunta una nuova raccomandazione per i server Azure SQL, Azure SQL Server authentication mode should be Azure Active Directory Only (Preview).
La raccomandazione si basa sui criteri esistenti database SQL di Azure should have Azure Active Directory Only Authentication enabled
Questa raccomandazione disabilita i metodi di autenticazione locale e consente solo l'autenticazione Microsoft Entra, migliorando la sicurezza assicurando che Azure SQL Database sia accessibile esclusivamente dalle identità di Microsoft Entra ID.
Informazioni su come creare server con Azure autenticazione solo AD abilitata in Azure SQL.
Nuovo avviso in Defender per Key Vault
Defender per Key Vault ha il nuovo avviso seguente:
| Avviso (tipo di avviso) | Description | Tattiche MITRE | Severity |
|---|---|---|---|
|
Accesso negato da un indirizzo IP sospetto a un insieme di credenziali delle chiavi (KV_SuspiciousIPAccessDenied) |
Un accesso dell'insieme di credenziali delle chiavi non riuscito è stato tentato da un indirizzo IP identificato da Microsoft Intelligence per le minacce come indirizzo IP sospetto. Anche se questo tentativo non è riuscito, indica che l'infrastruttura potrebbe essere stata compromessa. È consigliabile eseguire ulteriori indagini. | Accesso alle credenziali | Low |
È possibile visualizzare un elenco di tutti gli alert disponibili per Key Vault.
Febbraio 2023
Gli aggiornamenti di febbraio includono:
- Cloud Security Explorer avanzato
- Defender per le analisi delle vulnerabilità dei contenitori che eseguono immagini Linux ora disponibili a livello generale
- Annuncio del supporto per lo standard di conformità AWS CIS 1.5.0
- Microsoft Defender per DevOps (anteprima) è ora disponibile in altre aree
- Il criterio predefinito [Anteprima]: l'endpoint privato deve essere configurato per Key Vault è deprecato
Cloud Security Explorer avanzato
Una versione migliorata di Cloud Security Explorer include un'esperienza utente aggiornata che rimuove notevolmente l'attrito delle query, ha aggiunto la possibilità di eseguire query multicloud e multi-risorse e la documentazione incorporata per ogni opzione di query.
Cloud Security Explorer consente ora di eseguire query astratte sul cloud tra le risorse. È possibile usare i modelli di query predefiniti o usare la ricerca personalizzata per applicare filtri per compilare la query. Informazioni su come gestire Cloud Security Explorer.
Defender per le analisi delle vulnerabilità dei contenitori per l'esecuzione di immagini Linux ora disponibili a livello generale
Defender per contenitori rileva le vulnerabilità nei contenitori in esecuzione. Sono supportati sia Windows che i contenitori Linux.
Nell'agosto 2022 questa funzionalità è stata rilasciata in anteprima per Windows e Linux. Il rilascio viene ora rilasciato per la disponibilità generale (GA) per Linux.
Quando vengono rilevate vulnerabilità, Defender per il cloud genera la raccomandazione di sicurezza seguente che elenca i risultati dell'analisi: Le immagini del contenitore devono avere risultati della vulnerabilità risolti.
Altre informazioni sulla visualizzazione delle vulnerabilità per l'esecuzione di immagini.
Annuncio del supporto per lo standard di conformità AWS CIS 1.5.0
Defender per il cloud ora supporta lo standard di conformità CIS Amazon Web Services Foundations v1.5.0. Lo standard può essere aggiunto al dashboard conformità alle normative e si basa sulle offerte esistenti di MDC per raccomandazioni e standard multicloud.
Questo nuovo standard include sia raccomandazioni esistenti che nuove che estendono la copertura Defender per il cloud ai nuovi servizi e risorse AWS.
Informazioni su come gestire valutazioni e standard AWS.
Microsoft Defender per DevOps (anteprima) è ora disponibile in altre aree
Microsoft Defender per DevOps ha ampliato l'anteprima ed è ora disponibile nelle aree Europa occidentale e Australia orientale quando si esegue l'onboarding delle risorse Azure DevOps e GitHub.
Altre informazioni su Microsoft Defender per DevOps.
Criterio predefinito [Anteprima]: l'endpoint privato deve essere configurato per Key Vault è deprecato
Il criterio predefinito [Preview]: Private endpoint should be configured for Key Vault è deprecato e sostituito con il criterio [Preview]: Azure Key Vaults should use private link.
Altre informazioni su integrating Azure Key Vault con Criteri di Azure.
Gennaio 2023
Gli aggiornamenti di gennaio includono:
- Il componente Endpoint Protection (Microsoft Defender per endpoint) è ora accessibile nella pagina Impostazioni e monitoraggio
- Nuova versione della raccomandazione per trovare gli aggiornamenti di sistema mancanti (anteprima)
- Cleanup di computer Azure Arc eliminati in account AWS e GCP connessi
- Consentire l'esportazione continua in Hub eventi dietro un firewall
- Il nome del controllo Secure Score Proteggere le applicazioni con Azure soluzioni di rete avanzate è cambiato
- Le impostazioni di valutazione della vulnerabilità dei criteri per SQL Server devono contenere un indirizzo di posta elettronica per ricevere i report di analisi è deprecato
- Recommendation per abilitare i log di diagnostica per set di scalabilità di macchine virtuali è deprecato
Il componente Endpoint Protection (Microsoft Defender per endpoint) è ora accessibile nella pagina Impostazioni e monitoraggio
Per accedere a Endpoint Protection, passare a Impostazioni diEnvironment>Defender>Settings e monitoraggio. Da qui è possibile impostare Endpoint Protection su Sì. È anche possibile visualizzare gli altri componenti gestiti.
Altre informazioni su Microsoft Defender per endpoint sui server con Defender per i server.
Nuova versione della raccomandazione per trovare gli aggiornamenti di sistema mancanti (anteprima)
Non è più necessario un agente nelle macchine virtuali Azure e nei computer Azure Arc per assicurarsi che i computer dispongano di tutti gli aggiornamenti di sistema critici o della sicurezza più recenti.
Il nuovo consiglio per gli aggiornamenti di sistema, System updates should be installed on your machines (powered by Gestore aggiornamenti di Azure) nel controllo Apply system updates, si basa sul Update Manager (anteprima). La raccomandazione si basa su un agente nativo incorporato in ogni macchina virtuale Azure e Azure Arc computer anziché un agente installato. La correzione rapida nella nuova raccomandazione consente di eseguire una sola volta l'installazione degli aggiornamenti mancanti nel portale di Gestione aggiornamenti.
Per usare la nuova raccomandazione, è necessario:
- Connettere i computer non Azure ad Arc
- Attivare la proprietà di valutazione periodica. È possibile usare la correzione rapida nella nuova raccomandazione per
Machines should be configured to periodically check for missing system updatescorreggere la raccomandazione.
La raccomandazione "Gli aggiornamenti di sistema esistenti devono essere installati nei computer", che si basa sull'agente Log Analytics, sono ancora disponibili con lo stesso controllo.
Pulizia dei computer Azure Arc eliminati in account AWS e GCP connessi
Un computer connesso a un account AWS e GCP coperto da Defender per server o Defender per SQL nei computer viene rappresentato in Defender per il cloud come computer Azure Arc. Fino ad ora, il computer non è stato eliminato dall'inventario quando il computer è stato eliminato dall'account AWS o GCP. Con conseguente Azure Arc risorse non necessarie lasciate in Defender per il cloud che rappresenta i computer eliminati.
Defender per il cloud ora eliminerà automaticamente i computer Azure Arc quando tali computer vengono eliminati nell'account AWS o GCP connesso.
Consentire l'esportazione continua in Hub eventi dietro un firewall
È ora possibile abilitare l'esportazione continua di avvisi e raccomandazioni, come servizio attendibile in Hub eventi protetti da un firewall Azure.
È possibile abilitare l'esportazione continua quando vengono generati avvisi o raccomandazioni. È anche possibile definire una pianificazione per inviare snapshot periodici di tutti i nuovi dati.
Informazioni su come abilitare l'esportazione continuous in un hub eventi dietro un firewall Azure.
Il nome del controllo Secure Score Proteggere le applicazioni con Azure soluzioni di rete avanzate viene modificato
Il controllo del punteggio di sicurezza, Protect your applications with Azure advanced networking solutions viene modificato in Protect applications against DDoS attacks.
Il nome aggiornato si riflette su Azure Resource Graph (ARG), sull'API dei controlli del punteggio di sicurezza e sull'API Download CSV report.
Le impostazioni di valutazione della vulnerabilità dei criteri per SQL Server devono contenere un indirizzo di posta elettronica per ricevere i report di analisi è deprecato
Il criterio Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports è deprecato.
Il Defender per il report di posta elettronica di valutazione della vulnerabilità SQL è ancora disponibile e le configurazioni di posta elettronica esistenti non sono state modificate.
Raccomandazione per abilitare i log di diagnostica per set di scalabilità di macchine virtuali è deprecato
La raccomandazione Diagnostic logs in set di scalabilità di macchine virtuali should be enabled è deprecata.
La definizione dei criteri correlata è stata deprecata anche da tutti gli standard visualizzati nel dashboard di conformità alle normative.
| Recommendation | Description | Severity |
|---|---|---|
| I log di diagnostica in set di scalabilità di macchine virtuali devono essere abilitati | Abilitare i log e conservarli per un massimo di un anno, consentendo di ricreare i percorsi attività a scopo di indagine quando si verifica un evento imprevisto di sicurezza o la rete viene compromessa. | Low |
Dicembre 2022
Gli aggiornamenti di dicembre includono:
Annuncio della configurazione rapida per la valutazione della vulnerabilità in Defender per SQL
La configurazione rapida per la valutazione delle vulnerabilità in Microsoft Defender per SQL offre ai team di sicurezza un'esperienza di configurazione semplificata nei database Azure SQL e nei pool SQL dedicati all'esterno delle aree di lavoro di Synapse.
Con l'esperienza di configurazione rapida per le valutazioni delle vulnerabilità, i team di sicurezza possono:
- Completare la configurazione della valutazione della vulnerabilità nella configurazione di sicurezza della risorsa SQL, senza altre impostazioni o dipendenze dagli account di archiviazione gestiti dal cliente.
- Aggiungere immediatamente i risultati dell'analisi alle linee di base in modo che lo stato della ricerca delle modifiche da Non integro a Integro senza eseguire nuovamente il ridimensionamento di un database.
- Aggiungere più regole alle baseline contemporaneamente e usare i risultati dell'analisi più recenti.
- Abilitare la valutazione della vulnerabilità per tutti i server Azure SQL quando si attiva Microsoft Defender per i database a livello di sottoscrizione.
Altre informazioni su Defender per la valutazione della vulnerabilità SQL.
Novembre 2022
Gli aggiornamenti del mese di novembre includono quanto segue:
- Proteggere i contenitori nell'organizzazione GCP con Defender per contenitori
- Validate Defender per le protezioni dei contenitori con avvisi di esempio
- Regole di governance su larga scala (anteprima)
- La possibilità di creare valutazioni personalizzate in AWS e GCP (anteprima) è deprecata
- La raccomandazione di configurare code di messaggi non recapitabili per le funzioni Lambda è deprecata
Proteggere i contenitori nell'organizzazione GCP con Defender per contenitori
È ora possibile abilitare Defender per contenitori per l'ambiente GCP per proteggere i cluster GKE standard in un'intera organizzazione GCP. È sufficiente creare un nuovo connettore GCP con Defender per contenitori abilitati o abilitare Defender per contenitori in un connettore GCP a livello di organizzazione esistente.
Altre informazioni su connessione di progetti e organizzazioni GCP a Defender per il cloud.
Convalidare Defender per le protezioni dei contenitori con avvisi di esempio
È ora possibile creare avvisi di esempio anche per Defender per il piano contenitori. I nuovi avvisi di esempio vengono presentati come provenienti da servizio Azure Kubernetes, cluster connessi ad Arc, servizio Azure Kubernetes e risorse GKE con gravità diverse e tattiche MITRE. È possibile usare gli avvisi di esempio per convalidare le configurazioni degli avvisi di sicurezza, ad esempio integrazioni SIEM, automazione del flusso di lavoro e notifiche tramite posta elettronica.
Altre informazioni sulla convalida degli avvisi.
Regole di governance su larga scala (anteprima)
Siamo lieti di annunciare la nuova possibilità di applicare regole di governance su larga scala (anteprima) in Defender per il cloud.
Con questa nuova esperienza, i team di sicurezza sono in grado di definire regole di governance in blocco per vari ambiti (sottoscrizioni e connettori). I team di sicurezza possono eseguire questa attività usando ambiti di gestione, ad esempio gruppi di gestione Azure, account di primo livello AWS o organizzazioni GCP.
Inoltre, la pagina Regole di governance (anteprima) presenta tutte le regole di governance disponibili valide negli ambienti dell'organizzazione.
Altre informazioni sulle nuove regole di governance su larga scala.
Note
A partire dal 1° gennaio 2023, per sperimentare le funzionalità offerte dalla governance, è necessario avere il piano Defender CSPM abilitato nella sottoscrizione o nel connettore.
La possibilità di creare valutazioni personalizzate in AWS e GCP (anteprima) è deprecata
La possibilità di creare valutazioni personalizzate per gli account AWS e i progetti GCP, una funzionalità di anteprima, è deprecata.
La raccomandazione di configurare code di messaggi non recapitabili per le funzioni Lambda è deprecata
La raccomandazione Lambda functions should have a dead-letter queue configured è deprecata.
| Recommendation | Description | Severity |
|---|---|---|
| Le funzioni lambda devono avere una coda di messaggi non recapitabili configurata | Questo controllo controlla se una funzione Lambda è configurata con una coda di messaggi non recapitabili. Il controllo ha esito negativo se la funzione Lambda non è configurata con una coda di messaggi non recapitabili. In alternativa a una destinazione di errore, è possibile configurare la funzione con una coda di messaggi non recapitabili per salvare gli eventi rimossi per un'ulteriore elaborazione. Una coda di messaggi non recapitabili funge da destinazione non riuscita. Viene usato quando un evento non riesce tutti i tentativi di elaborazione o scade senza essere elaborati. Una coda di messaggi non recapitabili consente di esaminare gli errori o le richieste non riuscite alla funzione Lambda per eseguire il debug o identificare comportamenti insoliti. Dal punto di vista della sicurezza, è importante comprendere il motivo per cui la funzione non è riuscita e assicurarsi che la funzione non rilasci dati o compromettere la sicurezza dei dati di conseguenza. Ad esempio, se la funzione non riesce a comunicare con una risorsa sottostante che potrebbe essere un sintomo di un attacco Denial of Service (DoS) altrove nella rete. | Medium |
Ottobre 2022
Gli aggiornamenti del mese di ottobre includono quanto segue:
- Announcing the Microsoft cloud security benchmark
- Attack path analysis and contestual security capabilities in Defender per il cloud (Preview)
- analisi Agentless per computer Azure e AWS (anteprima)
- Defender per DevOps (anteprima)
- Regulatory Compliance Dashboard supporta ora la gestione manuale dei controlli e informazioni dettagliate sullo stato di conformità di Microsoft
- Il provisioning automatico viene rinominato Impostazioni e monitoraggio e ha un'esperienza aggiornata
- Defender Cloud Security Posture Management (CSPM) (anteprima)
- Il mapping del framework MITRE ATT&CK è ora disponibile anche per le raccomandazioni sulla sicurezza di AWS e GCP
- Defender per i contenitori supporta ora la valutazione della vulnerabilità per il Registro Contenitori elastici (anteprima)
Annuncio del benchmark della sicurezza cloud Microsoft
Il Microsoft cloud security benchmark (MCSB) è un nuovo framework che definisce principi fondamentali di sicurezza del cloud basati su standard di settore e framework di conformità comuni. Insieme a indicazioni tecniche dettagliate per l'implementazione di queste procedure consigliate nelle piattaforme cloud. MCSB sostituisce Azure Security Benchmark. MCSB fornisce informazioni prescrittive su come implementare le raccomandazioni sulla sicurezza indipendente dal cloud su più piattaforme di servizi cloud, inizialmente relative a Azure e AWS.
È ora possibile monitorare il comportamento di conformità della sicurezza cloud per ogni cloud in un unico dashboard integrato. È possibile visualizzare MCSB come standard di conformità predefinito quando si passa al dashboard di conformità alle normative di Defender per il cloud.
Microsoft benchmark della sicurezza cloud viene assegnato automaticamente alle sottoscrizioni Azure e agli account AWS quando si esegue l'onboarding di Defender per il cloud.
Altre informazioni sul benchmark della sicurezza cloud Microsoft.
Analisi del percorso di attacco e funzionalità di sicurezza contestuali in Defender per il cloud (anteprima)
Il nuovo grafo della sicurezza cloud, l'analisi del percorso di attacco e le funzionalità di sicurezza del cloud contestuali sono ora disponibili in Defender per il cloud in anteprima.
Una delle principali sfide che i team di sicurezza affrontano oggi è il numero di problemi di sicurezza che affrontano quotidianamente. Esistono numerosi problemi di sicurezza che devono essere risolti e che non sono mai sufficienti risorse per risolverli tutti.
Defender per il cloud nuove funzionalità di analisi dei percorsi di sicurezza del cloud e del percorso di attacco offrono ai team di sicurezza la possibilità di valutare il rischio alla base di ogni problema di sicurezza. I team di sicurezza possono anche identificare i problemi di rischio più elevati che devono essere risolti al più presto. Defender per il cloud collabora con i team di sicurezza per ridurre il rischio di una violazione influente nel proprio ambiente nel modo più efficace.
Altre informazioni sul nuovo grafo della sicurezza cloud, sull'analisi del percorso di attacco e su Cloud Security Explorer.
Analisi senza agente per Azure e computer AWS (anteprima)
Fino ad ora, Defender per il cloud basato sulle valutazioni del comportamento per le macchine virtuali su soluzioni basate su agenti. Per aiutare i clienti a ottimizzare la copertura e ridurre l'attrito di onboarding e gestione, viene rilasciata l'analisi senza agente per le macchine virtuali in anteprima.
Con l'analisi senza agente per le macchine virtuali, si ottiene un'ampia visibilità sui CVE software e software installati. Si ottiene la visibilità senza problemi di installazione e manutenzione dell'agente, requisiti di connettività di rete e impatto sulle prestazioni sui carichi di lavoro. L'analisi è basata su Gestione delle vulnerabilità di Microsoft Defender.
L'analisi delle vulnerabilità senza agente è disponibile sia in Defender Cloud Security Posture Management (CSPM) che in Defender per server P2, con supporto nativo per AWS e macchine virtuali Azure.
- Altre informazioni sull'analisi senza agente.
- Informazioni su come abilitare la valutazione della vulnerabilità senza agente.
Defender per DevOps (anteprima)
Microsoft Defender per il cloud offre visibilità completa, gestione del comportamento e protezione dalle minacce in ambienti ibridi e multicloud, tra cui Azure, AWS, Google e risorse locali.
Il nuovo piano di Defender per DevOps integra ora sistemi di gestione del codice sorgente, ad esempio GitHub e Azure DevOps, in Defender per il cloud. Con questa nuova integrazione, i team di sicurezza possono proteggere le risorse dal codice al cloud.
Defender per DevOps consente di ottenere visibilità e gestire gli ambienti di sviluppo connessi e le risorse di codice. Attualmente è possibile connettere Azure DevOps e GitHub ai sistemi Defender per il cloud ed eseguire l'onboarding dei repository DevOps nell'inventario e nella nuova pagina DevOps Security. Fornisce ai team di sicurezza una panoramica generale dei problemi di sicurezza individuati presenti all'interno di essi in una pagina unificata di DevOps Security.
È possibile configurare annotazioni sulle richieste pull per aiutare gli sviluppatori a risolvere i risultati dell'analisi dei segreti in Azure DevOps direttamente sulle richieste pull.
È possibile configurare gli strumenti Microsoft Security DevOps nei flussi di lavoro Azure Pipelines e GitHub per abilitare le analisi di sicurezza seguenti:
| Name | Language | License |
|---|---|---|
| Bandit | Python | Licenza Apache 2.0 |
| BinSkim | Binary : Windows, ELF | Licenza MIT |
| ESlint | JavaScript | Licenza MIT |
| CredScan (solo Azure DevOps) | Credential Scanner (noto anche come CredScan) è uno strumento sviluppato e gestito da Microsoft per identificare le perdite di credenziali, ad esempio quelle nei tipi comuni di codice sorgente e file di configurazione: password predefinite, stringhe di connessione SQL, certificati con chiavi private | Non open source |
| Template Analyze | Modello di Resource Manager, file Bicep | Licenza MIT |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, Cloud Formation | Licenza Apache 2.0 |
| Trivy | Immagini del contenitore, file system, repository Git | Licenza Apache 2.0 |
Le nuove raccomandazioni seguenti sono ora disponibili per DevOps:
| Recommendation | Description | Severity |
|---|---|---|
| (Anteprima) I repository di codice devono avere i risultati di analisi del codice risolti | Defender per DevOps ha rilevato vulnerabilità nei repository di codice. Per migliorare il comportamento di sicurezza dei repository, è consigliabile correggere queste vulnerabilità. (Nessun criterio correlato) | Medium |
| (Anteprima) I repository di codice devono avere i risultati dell'analisi dei segreti risolti | Defender per DevOps ha trovato un segreto nei repository di codice. Questa operazione deve essere risolta immediatamente per evitare una violazione della sicurezza. I segreti trovati nei repository possono essere persi o individuati da avversari, causando la compromissione di un'applicazione o di un servizio. Per Azure DevOps, lo strumento DevOps CredScan Microsoft Security analizza solo le build su cui è configurato per l'esecuzione. Pertanto, i risultati potrebbero non riflettere lo stato completo dei segreti nei repository. (Nessun criterio correlato) | High |
| (Anteprima) I repository di codice devono avere i risultati di analisi Dependabot risolti | Defender per DevOps ha rilevato vulnerabilità nei repository di codice. Per migliorare il comportamento di sicurezza dei repository, è consigliabile correggere queste vulnerabilità. (Nessun criterio correlato) | Medium |
| (Anteprima) I repository di codice devono avere un'infrastruttura perché i risultati dell'analisi del codice sono stati risolti | (Anteprima) I repository di codice devono avere un'infrastruttura perché i risultati dell'analisi del codice sono stati risolti | Medium |
| (Anteprima) I repository GitHub devono avere l'analisi del codice abilitata | GitHub usa l'analisi del codice per analizzare il codice per trovare vulnerabilità ed errori di sicurezza nel codice. L'analisi del codice può essere usata per trovare, valutare e classificare in ordine di priorità le correzioni per i problemi esistenti nel codice. L'analisi del codice può anche impedire agli sviluppatori di introdurre nuovi problemi. Le analisi possono essere pianificate per giorni e ore specifiche oppure le analisi possono essere attivate quando si verifica un evento specifico nel repository, ad esempio un push. Se l'analisi del codice rileva una potenziale vulnerabilità o un errore nel codice, GitHub visualizza un avviso nel repository. Una vulnerabilità è un problema nel codice di un progetto che potrebbe essere sfruttato per danneggiare la riservatezza, l'integrità o la disponibilità del progetto. (Nessun criterio correlato) | Medium |
| (Anteprima) I repository GitHub devono avere l'analisi dei segreti abilitata | GitHub analizza i repository per i tipi noti di segreti, per evitare l'uso fraudolento di segreti di cui è stato accidentalmente eseguito il commit nei repository. L'analisi dei segreti analizzerà l'intera cronologia Git in tutti i rami presenti nel repository GitHub per individuare eventuali segreti. Esempi di segreti sono token e chiavi private che un provider di servizi può emettere per l'autenticazione. Se un segreto viene archiviato in un repository, chiunque abbia accesso in lettura al repository può usare il segreto per accedere al servizio esterno con tali privilegi. I segreti devono essere archiviati in una posizione sicura dedicata all'esterno del repository per il progetto. (Nessun criterio correlato) | High |
| (Anteprima) I repository GitHub devono avere l'analisi Dependabot abilitata | GitHub invia avvisi Dependabot quando rileva le vulnerabilità nelle dipendenze del codice che influiscono sui repository. Una vulnerabilità è un problema nel codice di un progetto che potrebbe essere sfruttato per danneggiare la riservatezza, l'integrità o la disponibilità del progetto o di altri progetti che usano il codice. Le vulnerabilità variano in base al tipo, alla gravità e al metodo di attacco. Quando il codice dipende da un pacchetto che presenta una vulnerabilità di sicurezza, questa dipendenza vulnerabile può causare una serie di problemi. (Nessun criterio correlato) | Medium |
Le raccomandazioni Defender per DevOps hanno sostituito lo scanner di vulnerabilità deprecato per i flussi di lavoro CI/CD inclusi in Defender per i contenitori.
Altre informazioni su Defender per DevOps
Il dashboard conformità alle normative supporta ora la gestione manuale del controllo e informazioni dettagliate sullo stato di conformità di Microsoft
Il dashboard di conformità in Defender per il cloud è uno strumento chiave che consente ai clienti di comprendere e tenere traccia dello stato di conformità. I clienti possono monitorare continuamente gli ambienti in conformità ai requisiti di molti standard e normative diversi.
È ora possibile gestire completamente il comportamento di conformità attestando manualmente i controlli operativi e altri controlli. È possibile fornire prove di conformità per i controlli che non sono automatizzati. Insieme alle valutazioni automatizzate, è ora possibile generare un report completo di conformità all'interno di un ambito selezionato, gestendo l'intero set di controlli per un determinato standard.
Inoltre, con informazioni di controllo più complete e dettagli approfonditi e prove per lo stato di conformità di Microsoft, sono ora disponibili tutte le informazioni necessarie per i controlli a portata di mano.
I vantaggi includono:
Le azioni manuali dei clienti forniscono un meccanismo per attestare manualmente la conformità ai controlli non automatizzati. Inclusa la possibilità di collegare l'evidenza, impostare una data di conformità e una data di scadenza.
Dettagli di controllo più avanzati per gli standard supportati che presentano Microsoft azioni e azioni dei clienti oltre alle azioni dei clienti automatizzate già esistenti.
Microsoft azioni forniscono trasparenza allo stato di conformità di Microsoft che include procedure di valutazione di controllo, risultati dei test e Microsoft risposte alle deviazioni.
Impostazioni di conformità forniscono una posizione centrale per controllare i prodotti Azure, Dynamics 365 e Power Platform e le rispettive certificazioni di conformità alle normative.
Altre informazioni su come Improve la conformità alle normative con Defender per il cloud.
Il provisioning automatico viene rinominato Impostazioni e monitoraggio e ha un'esperienza aggiornata
La pagina di provisioning automatico è stata rinominata in Impostazioni e monitoraggio.
Il provisioning automatico è stato progettato per consentire l'abilitazione su larga scala dei prerequisiti, necessari per le funzionalità e le funzionalità avanzate di Defender per il cloud. Per supportare meglio le funzionalità espanse, viene avviata una nuova esperienza con le modifiche seguenti:
La pagina dei piani di Defender per il cloud include ora:
- Quando si abilita un piano di Defender che richiede componenti di monitoraggio, tali componenti sono abilitati per il provisioning automatico con le impostazioni predefinite. Queste impostazioni possono essere modificate facoltativamente in qualsiasi momento.
- È possibile accedere alle impostazioni dei componenti di monitoraggio per ogni piano di Defender dalla pagina del piano di Defender.
- La pagina dei piani di Defender indica chiaramente se tutti i componenti di monitoraggio sono attivi per ogni piano di Defender o se la copertura del monitoraggio è incompleta.
Pagina Impostazioni e monitoraggio:
- Ogni componente di monitoraggio indica i piani di Defender a cui è correlato.
Altre informazioni sulla gestione delle impostazioni di monitoraggio.
Defender Cloud Security Posture Management (CSPM)
Uno dei principali pilastri della Microsoft Defender per il cloud per la sicurezza cloud è Cloud Security Posture Management (CSPM). CSPM offre indicazioni sulla protezione avanzata che consentono di migliorare in modo efficiente ed efficace la sicurezza. CSPM offre anche visibilità sulla situazione di sicurezza corrente.
Verrà annunciato un nuovo piano di Defender: Defender CSPM. Questo piano migliora le funzionalità di sicurezza di Defender per il cloud e include le funzionalità nuove ed espanse seguenti:
- Valutazione continua della configurazione di sicurezza delle risorse cloud
- Consigli di sicurezza per correggere errori di configurazione e punti deboli
- Punteggio di sicurezza
- Governance
- Conformità alle normative
- Grafo della sicurezza cloud
- Analisi del percorso di attacco
- Analisi senza agente per computer
Altre informazioni sul piano Defender CSPM.
Il mapping del framework MITRE ATT&CK è ora disponibile anche per le raccomandazioni sulla sicurezza di AWS e GCP
Per gli analisti della sicurezza, è essenziale identificare i potenziali rischi associati alle raccomandazioni sulla sicurezza e comprendere i vettori di attacco, in modo che possano classificare in ordine di priorità le attività in modo efficiente.
Defender per il cloud semplifica la definizione delle priorità eseguendo il mapping delle raccomandazioni di sicurezza Azure, AWS e GCP rispetto a MITRE ATT& Framework CK. Il framework MITRE ATT&CK è una knowledge base accessibile a livello globale di tattiche e tecniche antagoniste basate su osservazioni reali, consentendo ai clienti di rafforzare la configurazione sicura dei propri ambienti.
Il framework MITRE ATT&CK è integrato in tre modi:
- Le raccomandazioni sono mappate alle tattiche e alle tecniche MITRE ATT&CK.
- Query MITRE ATT & Tattiche e tecniche CK su raccomandazioni che usano il Azure Resource Graph.
Defender per i contenitori supporta ora la valutazione della vulnerabilità per il Registro Contenitori elastici (anteprima)
Microsoft Defender per i contenitori fornisce ora l'analisi della valutazione delle vulnerabilità senza agente per Il Registro Elastic Container (ECR) in Amazon AWS. Espansione della copertura per gli ambienti multicloud, basata sulla versione precedente di quest'anno della protezione avanzata dalle minacce e della protezione avanzata dell'ambiente Kubernetes per AWS e Google GCP. Il modello senza agente crea risorse AWS negli account per analizzare le immagini senza estrarre immagini dagli account AWS e senza footprint sul carico di lavoro.
L'analisi della valutazione delle vulnerabilità senza agente per le immagini nei repository ECR consente di ridurre la superficie di attacco dell'ambiente in contenitori analizzando continuamente le immagini per identificare e gestire le vulnerabilità dei contenitori. Con questa nuova versione, Defender per il cloud analizza le immagini del contenitore dopo il push nel repository e rivaluta continuamente le immagini del contenitore ECR nel registro. I risultati sono disponibili in Microsoft Defender per il cloud come raccomandazioni ed è possibile usare i flussi di lavoro automatizzati predefiniti di Defender per il cloud per intervenire sui risultati, ad esempio aprendo un ticket per correggere una vulnerabilità con gravità elevata in un'immagine.
Altre informazioni sulla valutazione delle vulnerabilità per le immagini amazon ECR.
Settembre 2022
Gli aggiornamenti del mese di settembre includono quanto segue:
- Eliminare gli avvisi in base alle entità Contenitore e Kubernetes
- Defender per server supporta il monitoraggio dell'integrità dei file con Monitoraggio di Azure Agent
- Api di valutazione legacy deprecate
- Raccomandazioni aggiuntive aggiunte all'identità
- Avavmenti di sicurezza spostati per i computer che segnalano le aree di lavoro tra tenant Log Analytics
Eliminare gli avvisi in base alle entità Contenitore e Kubernetes
- Spazio dei nomi Kubernetes
- Kubernetes Pod
- Segreto Kubernetes
- Kubernetes ServiceAccount
- Kubernetes ReplicaSet
- Kubernetes StatefulSet
- Kubernetes DaemonSet
- Processo Kubernetes
- Kubernetes CronJob
Altre informazioni sulle regole di eliminazione degli avvisi.
Defender per server supporta il monitoraggio dell'integrità dei file con Monitoraggio di Azure Agent
Il monitoraggio dell'integrità dei file esamina i file del sistema operativo e i registri per individuare le modifiche che potrebbero indicare un attacco.
FIM è ora disponibile in una nuova versione basata su Monitoraggio di Azure Agent (AMA), che è possibile deploy tramite Defender per il cloud.
Api di valutazione legacy deprecate
Le API seguenti sono deprecate:
- Attività di sicurezza
- Stati di sicurezza
- Riepiloghi della sicurezza
Queste tre API hanno esposto i vecchi formati di valutazione e sono sostituite dalle API Valutazioni e dalle API Di valutazione. Tutti i dati esposti da queste API legacy sono disponibili anche nelle nuove API.
Raccomandazioni aggiuntive aggiunte all'identità
Defender per il cloud raccomandazioni per migliorare la gestione di utenti e account.
Nuove raccomandazioni
La nuova versione contiene le funzionalità seguenti:
Area di valutazione automatica: la copertura è migliorata per gli account di identità senza autenticazione a più fattori e account esterni in Azure risorse (anziché solo sottoscrizioni) che consente agli amministratori della sicurezza di visualizzare le assegnazioni di ruolo per ogni account.
Intervallo di aggiornamento migliorato: le raccomandazioni sull'identità hanno ora un intervallo di aggiornamento di 12 ore.
funzionalità di esenzione Account: Defender per il cloud offre molte funzionalità che è possibile usare per personalizzare l'esperienza e assicurarsi che il punteggio di sicurezza rifletta le priorità di sicurezza dell'organizzazione. Ad esempio, è possibile esentare risorse e raccomandazioni dal punteggio di sicurezza.
Questo aggiornamento consente di esentare account specifici dalla valutazione con le sei raccomandazioni elencate nella tabella seguente.
In genere, si esentano gli account "break glass" di emergenza dalle raccomandazioni MFA, perché tali account vengono spesso deliberatamente esclusi dai requisiti di autenticazione a più fattori di un'organizzazione. In alternativa, potrebbero essere presenti account esterni a cui si vuole consentire l'accesso, a cui non è abilitata l'autenticazione a più fattori.
Tip
Quando si esenta un account, non verrà visualizzato come non integro e non causerà la visualizzazione di una sottoscrizione non integra.
Recommendation Chiave di valutazione Gli account con autorizzazioni di proprietario per le risorse di Azure devono essere abilitati per MFA 6240402e-f77c-46fa-9060-a7ce53997754 Gli account con autorizzazioni di scrittura per le risorse di Azure devono essere abilitati per MFA c0cb17b2-0607-48a7-b0e0-903ed22de39b Gli account con autorizzazioni di lettura per le risorse di Azure devono essere abilitati per MFA dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c Gli account guest con autorizzazioni di proprietario per le risorse Azure devono essere rimossi 20606e75-05c4-48c0-9d97-add6daa2109a Gli account guest con autorizzazioni di scrittura per le risorse di Azure devono essere rimossi 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb Gli account guest con autorizzazioni di lettura per le risorse di Azure devono essere rimossi fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 Gli account bloccati con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi 050ac097-3dda-4d24-ab6d-82568e7a50cf Gli account bloccati con autorizzazioni di lettura e scrittura per le risorse di Azure devono essere rimossi 1ff0b4c9-ed56-4de6-be9c-d7ab39645926
Le raccomandazioni, anche se in anteprima, verranno visualizzate accanto alle raccomandazioni attualmente disponibili a livello generale.
Rimozione degli avvisi di sicurezza per i computer che segnalano alle aree di lavoro di Log Analytics tra tenant
In passato, Defender per il cloud consentire di scegliere l'area di lavoro a cui gli agenti di Log Analytics segnalano. Quando un computer appartiene a un tenant (Tenant A), ma il relativo agente Log Analytics segnalato a un'area di lavoro in un tenant diverso ("Tenant B"), gli avvisi di sicurezza relativi al computer sono stati segnalati al primo tenant (Tenant A).
Con questa modifica, gli avvisi sui computer connessi a Log Analytics'area di lavoro in un tenant diverso non vengono più visualizzati in Defender per il cloud.
Se si desidera continuare a ricevere gli avvisi in Defender per il cloud, connettere l'agente Log Analytics dei computer pertinenti all'area di lavoro nello stesso tenant del computer.
Altre informazioni sugli avvisi di sicurezza.
Agosto 2022
Gli aggiornamenti del mese di agosto includono quanto segue:
- Vulnerabilities for running images are now visible with Defender for Containers on your Windows containers
- integrazione di Monitoraggio di Azure Agent ora in anteprima
- Avvisi deprecati relativi alle attività sospette correlate a un cluster Kubernetes
Le vulnerabilità per le immagini in esecuzione sono ora visibili con Defender per i contenitori nei contenitori Windows
Defender per contenitori mostra ora le vulnerabilità per l'esecuzione di contenitori Windows.
Quando vengono rilevate vulnerabilità, Defender per il cloud genera la raccomandazione di sicurezza seguente che elenca i problemi rilevati: Le immagini del contenitore devono avere risultati della vulnerabilità risolti.
Altre informazioni sulla visualizzazione delle vulnerabilità per l'esecuzione di immagini.
integrazione di Monitoraggio di Azure Agent ora in anteprima
Defender per il cloud ora include il supporto dell'anteprima per Monitoraggio di Azure Agent (AMA). Ama è progettato per sostituire l'agente Log Analytics legacy (detto anche agente di monitoraggio Microsoft), che si trova in un percorso di deprecazione. Ama offre molti vantaggi rispetto agli agenti legacy.
In Defender per il cloud, quando si enable autoprovisioning per AMA, l'agente viene distribuito in existing e new macchine virtuali e macchine virtuali abilitate per Azure Arc rilevate nelle sottoscrizioni. Se i piani defender per cloud sono abilitati, AMA raccoglie informazioni di configurazione e registri eventi dalle macchine virtuali Azure e dai computer Azure Arc. L'integrazione ama è in anteprima, quindi è consigliabile usarla in ambienti di test, anziché in ambienti di produzione.
Avvisi deprecati relativi alle attività sospette correlate a un cluster Kubernetes
La tabella seguente elenca gli avvisi deprecati:
| Nome avviso | Description | Tactics | Severity |
|---|---|---|---|
|
Operazione di compilazione Docker rilevata in un nodo Kubernetes (VM_ImageBuildOnNode) |
I log del computer indicano un'operazione di compilazione di un'immagine del contenitore in un nodo Kubernetes. Anche se questo comportamento potrebbe essere legittimo, gli utenti malintenzionati potrebbero creare le immagini dannose in locale per evitare il rilevamento. | Evasione della difesa | Low |
|
Richiesta sospetta all'API Kubernetes (VM_KubernetesAPI) |
I log del computer indicano che è stata effettuata una richiesta sospetta all'API Kubernetes. La richiesta è stata inviata da un nodo Kubernetes, probabilmente da uno dei contenitori in esecuzione nel nodo. Benché questo comportamento possa essere intenzionale, potrebbe indicare che il nodo esegue un contenitore compromesso. | LateralMovement | Medium |
|
Il server SSH è in esecuzione all'interno di un contenitore (VM_ContainerSSH) |
I log del computer indicano che un server SSH è in esecuzione all'interno di un contenitore Docker. Benché questo comportamento possa essere intenzionale, spesso indica che un contenitore non è configurato correttamente o è stato violato. | Execution | Medium |
Questi avvisi vengono usati per notificare a un utente l'attività sospetta connessa a un cluster Kubernetes. Gli avvisi verranno sostituiti con avvisi corrispondenti che fanno parte degli avvisi del contenitore Microsoft Defender per il cloud (K8S.NODE_ImageBuildOnNode, K8S.NODE_ KubernetesAPI e K8S.NODE_ ContainerSSH) che offriranno una migliore fedeltà e contesto completo per analizzare e agire sugli avvisi. Altre informazioni sugli avvisi per i cluster Kubernetes.
Le vulnerabilità dei contenitori includono ora informazioni dettagliate sui pacchetti
Defender per la valutazione della vulnerabilità del contenitore include ora informazioni dettagliate sui pacchetti per ogni ricerca, tra cui: nome del pacchetto, tipo di pacchetto, percorso, versione installata e versione fissa. Le informazioni sul pacchetto consentono di trovare pacchetti vulnerabili in modo da poter correggere la vulnerabilità o rimuovere il pacchetto.
Queste informazioni dettagliate sul pacchetto sono disponibili per le nuove analisi delle immagini.
Luglio 2022
Gli aggiornamenti del mese di luglio includono quanto segue:
- Disponibilità generale (GA) dell'agente di sicurezza nativo del cloud per la protezione del runtime Kubernetes
- Defender per l'autorità di valutazione del contenitore aggiunge il supporto per il rilevamento di pacchetti specifici del linguaggio (anteprima)
- Proteggere dalla vulnerabilità dell'infrastruttura di gestione delle operazioni CVE-2022-29149
- Integrazione con Entra Permissions Management
- Key Vault raccomandazioni sono state modificate in "audit"
- Deprecare i criteri delle app per le API per servizio app
Disponibilità generale (GA) dell'agente di sicurezza nativo del cloud per la protezione del runtime Kubernetes
Microsoft è lieta di condividere che l'agente di sicurezza nativo del cloud per la protezione del runtime Kubernetes è ora disponibile a livello generale.
Le distribuzioni di produzione dei cluster Kubernetes continuano a crescere man mano che i clienti continuano a inserire in contenitori le applicazioni. Per facilitare questa crescita, il team di Defender per contenitori ha sviluppato un agente di sicurezza orientato a Kubernetes nativo del cloud.
Il nuovo agente di sicurezza è un DaemonSet kubernetes, basato sulla tecnologia eBPF ed è completamente integrato nei cluster del servizio Azure Kubernetes come parte del profilo di sicurezza del servizio Azure Kubernetes.
L'abilitazione dell'agente di sicurezza è disponibile tramite il provisioning automatico, il flusso di raccomandazioni, il punto di ripristino del servizio Azure Kubernetes o su larga scala usando Criteri di Azure.
È possibile distribuire l'agente di Defender oggi nei cluster del servizio Azure Kubernetes.
Con questo annuncio, la protezione di runtime - rilevamento delle minacce (carico di lavoro) è ora disponibile anche a livello generale.
Altre informazioni sulla disponibilità di Defender per la disponibilità di del contenitore.
È anche possibile esaminare tutti gli avvisi disponibili.
Si noti che se si usa la versione di anteprima, il AKS-AzureDefender flag di funzionalità non è più necessario.
Defender per l'istanza di Valutazione del contenitore aggiunge il supporto per il rilevamento di pacchetti specifici della lingua (anteprima)
Defender per la valutazione della vulnerabilità del contenitore è in grado di rilevare le vulnerabilità nei pacchetti del sistema operativo distribuiti tramite gestione pacchetti del sistema operativo. Sono state ora estese le capacità dell'autorità di valutazione per rilevare le vulnerabilità incluse nei pacchetti specifici del linguaggio.
Questa funzionalità è in anteprima ed è disponibile solo per le immagini Linux.
Per visualizzare tutti i pacchetti specifici della lingua inclusi aggiunti, vedere Defender per l'elenco completo di feature e disponibilità.
Proteggere dalla vulnerabilità dell'infrastruttura di gestione delle operazioni CVE-2022-29149
Operations Management Infrastructure (OMI) è una raccolta di servizi basati sul cloud per la gestione di ambienti locali e cloud da un'unica posizione. Invece di distribuire e gestire le risorse locali, i componenti OMI sono interamente ospitati in Azure.
Log Analytics integrato con Azure HDInsight che esegue OMI versione 13 richiede una patch per correggere CVE-2022-29149. Esaminare il report su questa vulnerabilità nella guida Microsoft Security Update per informazioni su come identificare le risorse interessate da questa vulnerabilità e i passaggi di correzione.
Se si dispone di Defender per i server abilitati con Valutazione della vulnerabilità, è possibile usare questa cartella di lavoro per identificare le risorse interessate.
Integrazione con Entra Permissions Management
Defender per il cloud è integrato con Gestione delle autorizzazioni di Microsoft Entra, una soluzione CIEM (Cloud Infrastructure Entitlement Management) che offre visibilità completa e controllo sulle autorizzazioni per qualsiasi identità e risorsa in Azure, AWS e GCP.
Ogni sottoscrizione Azure, l'account AWS e il progetto GCP di cui si esegue l'onboarding mostrerà ora una visualizzazione del Permission Creep Index (PCI).
Altre informazioni su Entra Permission Management (in precedenza Cloudknox)
Key Vault raccomandazioni sono state modificate in "audit"
L'effetto per le raccomandazioni Key Vault elencate di seguito è stato modificato in "audit":
| Nome raccomandazione | ID raccomandazione |
|---|---|
| Il periodo di validità dei certificati archiviati in Azure Key Vault non deve superare i 12 mesi | fc84abc0-eee6-4758-8372-a7681965ca44 |
| Key Vault i segreti devono avere una data di scadenza | 14257785-9437-97fa-11ae-898cfb24302b |
| Key Vault chiavi devono avere una data di scadenza | 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2 |
Deprecare i criteri delle app per le API per servizio app
Sono stati deprecati i criteri seguenti ai criteri corrispondenti già esistenti per includere le app per le API:
| Per essere deprecato | Modifica di in |
|---|---|
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' |
App Service apps should have 'Client Certificates (Incoming client certificates)' enabled |
Ensure that 'Python version' is the latest, if used as a part of the API app |
App Service apps that use Python should use the latest Python version' |
CORS should not allow every resource to access your API App |
App Service apps should not have CORS configured to allow every resource to access your apps |
Managed identity should be used in your API App |
App Service apps should use managed identity |
Remote debugging should be turned off for API Apps |
App Service apps should have remote debugging turned off |
Ensure that 'PHP version' is the latest, if used as a part of the API app |
App Service apps that use PHP should use the latest 'PHP version' |
FTPS only should be required in your API App |
App Service apps should require FTPS only |
Ensure that 'Java version' is the latest, if used as a part of the API app |
App Service apps that use Java should use the latest 'Java version' |
Latest TLS version should be used in your API App |
App Service apps should use the latest TLS version |
Giugno 2022
Gli aggiornamenti del mese di giugno includono quanto segue:
- General availability (GA) per Microsoft Defender per Azure Cosmos DB
- General availability (GA) di Defender per SQL nei computer per ambienti AWS e GCP
- Promuovere l'implementazione delle raccomandazioni di sicurezza per migliorare il comportamento di sicurezza
- Filtrare gli avvisi di sicurezza in base all'indirizzo IP
- Avvisi per gruppo di risorse
- Autoprovisioning di Microsoft Defender per endpoint soluzione unificata
- Deprecazione del criterio "L'app per le API deve essere accessibile solo tramite HTTPS"
- Nuova Key Vault avvisi
Disponibilità generale (GA) per Microsoft Defender per Azure Cosmos DB
Microsoft Defender per Azure Cosmos DB è ora disponibile a livello generale e supporta i tipi di account API SQL (core).
Questa nuova versione a livello generale fa parte della suite di protezione del database Microsoft Defender per il cloud, che include diversi tipi di database SQL e MariaDB. Microsoft Defender per Azure Cosmos DB è un livello di sicurezza nativo Azure che rileva i tentativi di sfruttare i database negli account Azure Cosmos DB.
Abilitando questo piano, si riceverà un avviso per potenziali attacchi SQL injection, attori malintenzionati noti, modelli di accesso sospetti e potenziali esplorazioni del database tramite identità compromesse o utenti malintenzionati.
Quando vengono rilevate attività potenzialmente dannose, vengono generati avvisi di sicurezza. Questi avvisi forniscono informazioni dettagliate sulle attività sospette insieme ai passaggi di indagine pertinenti, alle azioni correttive e alle raccomandazioni sulla sicurezza.
Microsoft Defender per Azure Cosmos DB analizza continuamente il flusso di telemetria generato dai servizi di Azure Cosmos DB e li incrocia con Microsoft intelligence sulle minacce e i modelli comportamentali per rilevare eventuali attività sospette. Defender per Azure Cosmos DB non accede ai dati dell'account Azure Cosmos DB e non ha alcun effetto sulle prestazioni del database.
Altre informazioni su Microsoft Defender per Azure Cosmos DB.
Con l'aggiunta del supporto per Azure Cosmos DB, Defender per il cloud offre ora una delle offerte di protezione dei carichi di lavoro più complete per i database basati sul cloud. I team di sicurezza e i proprietari di database possono ora avere un'esperienza centralizzata per gestire la sicurezza del database degli ambienti.
Informazioni su come abilitare le protezioni per i database.
Disponibilità generale (GA) di Defender per SQL nei computer per ambienti AWS e GCP
Le funzionalità di protezione del database fornite da Microsoft Defender per il cloud, hanno aggiunto il supporto per i server SQL ospitati in ambienti AWS o GCP.
Defender per SQL, le aziende possono ora proteggere l'intero patrimonio di database, ospitato in Azure, AWS, GCP e computer locali.
Microsoft Defender per SQL offre un'esperienza multicloud unificata per visualizzare raccomandazioni sulla sicurezza, avvisi di sicurezza e risultati della valutazione delle vulnerabilità sia per SQL Server che per la sottolineatura del sistema operativo Windows.
Usando l'esperienza di onboarding multicloud, è possibile abilitare e applicare la protezione dei database per i server SQL in esecuzione in AWS EC2, RDS Custom per SQL Server e il motore di calcolo GCP. Dopo aver abilitato uno di questi piani, tutte le risorse supportate presenti nella sottoscrizione sono protette. Verranno protette anche le risorse future create nella stessa sottoscrizione.
Informazioni su come proteggere e connettere l'ambiente AWS e l'organizzazione GCP con Microsoft Defender per il cloud.
Promuovere l'implementazione delle raccomandazioni di sicurezza per migliorare il comportamento di sicurezza
Oggi le minacce crescenti alle organizzazioni estendono i limiti del personale di sicurezza per proteggere i carichi di lavoro in espansione. I team di sicurezza devono implementare le protezioni definite nei criteri di sicurezza.
Ora con l'esperienza di governance in anteprima, i team di sicurezza possono assegnare correzioni delle raccomandazioni di sicurezza ai proprietari delle risorse e richiedere una pianificazione di correzione. Possono avere piena trasparenza nello stato di avanzamento della correzione e ricevere una notifica quando le attività sono scadute.
Altre informazioni sull'esperienza di governance in Guida all'organizzazione per correggere i problemi di sicurezza con la governance delle raccomandazioni.
Filtrare gli avvisi di sicurezza in base all'indirizzo IP
In molti casi di attacchi, è necessario tenere traccia degli avvisi in base all'indirizzo IP dell'entità coinvolta nell'attacco. Fino ad ora, l'INDIRIZZO IP è apparso solo nella sezione "Entità correlate" nel riquadro singolo avviso. È ora possibile filtrare gli avvisi nella pagina degli avvisi di sicurezza per visualizzare gli avvisi correlati all'indirizzo IP ed è possibile cercare un indirizzo IP specifico.
Avvisi per gruppo di risorse
La possibilità di filtrare, ordinare e raggruppare per gruppo di risorse viene aggiunta alla pagina Avvisi di sicurezza.
Alla griglia degli avvisi viene aggiunta una colonna del gruppo di risorse.
Viene aggiunto un nuovo filtro che consente di visualizzare tutti gli avvisi per gruppi di risorse specifici.
È ora anche possibile raggruppare gli avvisi in base al gruppo di risorse per visualizzare tutti gli avvisi per ognuno dei gruppi di risorse.
Provisioning automatico di Microsoft Defender per endpoint soluzione unificata
Fino ad ora, l'integrazione con Microsoft Defender per endpoint (MDE) includeva l'installazione automatica della nuova soluzione unificata MDE unificata per i computer (sottoscrizioni Azure e connettori multicloud) con Defender per server piano 1 abilitato e per i connettori multicloud con Defender per Server piano 2 abilitato. Il piano 2 per le sottoscrizioni Azure ha abilitato solo la soluzione unificata per i computer Linux e Windows server 2019 e 2022. Windows server 2012R2 e 2016 hanno usato la soluzione legacy MDE dipendente dall'agente Log Analytics.
La nuova soluzione unificata è ora disponibile per tutti i computer in entrambi i piani, sia per le sottoscrizioni Azure che per i connettori multicloud. Per le sottoscrizioni Azure con server piano 2 che hanno abilitato l'integrazione mde after 20 giugno 2022, la soluzione unificata è abilitata per impostazione predefinita per tutti i computer Azure sottoscrizioni con il Defender per server piano 2 abilitato con l'integrazione mde before giugno 2022 può ora abilitare l'installazione unificata della soluzione per Windows server 2012R2 e 2016 tramite il pulsante dedicato nella pagina Integrazioni:
Altre informazioni sull'integrazione di MDE con Defender per Server.
Deprecazione del criterio "L'app per le API deve essere accessibile solo tramite HTTPS"
Il criterio API App should only be accessible over HTTPS è deprecato. Questo criterio viene sostituito con il Web Application should only be accessible over HTTPS criterio, che viene rinominato in App Service apps should only be accessible over HTTPS.
Per altre informazioni sulle definizioni dei criteri per Servizio app di Azure, vedere Criteri di Azure definizioni predefinite per Servizio app di Azure.
Nuovi avvisi di Key Vault
Per espandere le protezioni dalle minacce fornite da Microsoft Defender per Key Vault, sono stati aggiunti due nuovi avvisi.
Questi avvisi informano l'utente di un'anomalia di accesso negato, viene rilevato per uno degli insiemi di credenziali delle chiavi.
| Avviso (tipo di avviso) | Description | Tattiche MITRE | Severity |
|---|---|---|---|
|
Accesso insolito negato : l'utente che accede a un volume elevato di insiemi di credenziali delle chiavi negato (KV_DeniedAccountVolumeAnomaly) |
Un utente o un'entità servizio ha tentato di accedere a volumi anomali elevati di insiemi di credenziali delle chiavi nelle ultime 24 ore. Questo modello di accesso anomalo potrebbe essere un'attività legittima. Anche se questo tentativo non è riuscito, potrebbe essere un'indicazione di un possibile tentativo di ottenere l'accesso all'insieme di credenziali delle chiavi e dei segreti contenuti all'interno di esso. È consigliabile eseguire ulteriori indagini. | Discovery | Low |
|
Accesso insolito negato - Accesso insolito all'utente negato all'insieme di credenziali delle chiavi (KV_UserAccessDeniedAnomaly) |
Un accesso all'insieme di credenziali delle chiavi è stato tentato da un utente che normalmente non vi accede, questo modello di accesso anomalo può essere un'attività legittima. Anche se questo tentativo non è riuscito, potrebbe essere un'indicazione di un possibile tentativo di ottenere l'accesso all'insieme di credenziali delle chiavi e dei segreti contenuti all'interno di esso. | Accesso iniziale, individuazione | Low |
Maggio 2022
Gli aggiornamenti del mese di maggio includono quanto segue:
- Le impostazioni multicloud del piano Server sono ora disponibili a livello di connettore
- L'accesso JIT (JUST-in-time) per le macchine virtuali è ora disponibile per le istanze EC2 di AWS (anteprima)
- Aggiungi e rimuovi il sensore di Defender per i cluster del servizio Azure Kubernetes usando l'interfaccia della riga di comando
Le impostazioni multicloud del piano Server sono ora disponibili a livello di connettore
Sono ora disponibili impostazioni a livello di connettore per Defender per i server in multicloud.
Le nuove impostazioni a livello di connettore offrono una granularità per i prezzi e la configurazione del provisioning automatico per connettore, indipendentemente dalla sottoscrizione.
Tutti i componenti di provisioning automatico disponibili nelle valutazioni a livello di connettore (Azure Arc, MDE e vulnerabilità) sono abilitati per impostazione predefinita e la nuova configurazione supporta sia Plan 1 che piani tariffari piano 2.
Gli aggiornamenti nell'interfaccia utente includono una reflection del piano tariffario selezionato e dei componenti necessari configurati.
Modifiche alla valutazione della vulnerabilità
Defender per i contenitori ora visualizza vulnerabilità con gravità media e bassa che non sono patchable.
Nell'ambito di questo aggiornamento, vengono ora visualizzate vulnerabilità con gravità media e bassa, indipendentemente dal fatto che siano disponibili o meno patch. Questo aggiornamento offre la massima visibilità, ma consente comunque di filtrare le vulnerabilità indesiderate usando la regola Disabilita fornita.
Altre informazioni sulla gestione delle vulnerabilità
L'accesso JIT (JUST-in-time) per le macchine virtuali è ora disponibile per le istanze EC2 di AWS (anteprima)
Quando si connettono gli account AWS, JIT valuterà automaticamente la configurazione di rete dei gruppi di sicurezza dell'istanza e consiglierà quali istanze necessitano di protezione per le porte di gestione esposte. Questo è simile al funzionamento di JIT con Azure. Quando si esegue l'onboarding di istanze EC2 non protette, JIT blocca l'accesso pubblico alle porte di gestione e le apre solo con richieste autorizzate per un intervallo di tempo limitato.
Informazioni su come JIT protegge le istanze DI AWS EC2
Aggiungere e rimuovere il sensore di Defender per i cluster del servizio Azure Kubernetes usando l'interfaccia della riga di comando
L'agente Defender è necessario per Defender per i contenitori per fornire le protezioni di runtime e raccogliere segnali dai nodi. È ora possibile usare il interfaccia della riga di comando di Azure per aggiungere e rimuovere l'agente di Defender per un cluster del servizio Azure Kubernetes.
Note
Questa opzione è inclusa in interfaccia della riga di comando di Azure 3.7 e versioni successive.
Aprile 2022
Gli aggiornamenti del mese di aprile includono quanto segue:
- Nuovo Defender per i piani server
- Rilocazione di raccomandazioni personalizzate
- Script di PowerShell per trasmettere avvisi a Splunk e QRadar
- Deprecated the cache di Azure per Redis recommendation
- Nuova variante di avviso per Microsoft Defender per Archiviazione (anteprima) per rilevare l'esposizione dei dati sensibili
- Titolo dell'avviso di analisi del contenitore aumentato con la reputazione degli indirizzi IP
- Visualizzare i log attività correlati a un avviso di sicurezza
Nuovi Defender per i piani server
Microsoft Defender per i server è ora disponibile in due piani incrementali:
- Defender per server piano 2, in precedenza Defender per i server
- Defender per server piano 1, fornisce supporto solo per Microsoft Defender per endpoint
Anche se Defender per i server piano 2 continua a fornire protezioni da minacce e vulnerabilità ai carichi di lavoro cloud e locali, Defender per i server piano 1 fornisce solo la protezione degli endpoint, basata sul Defender integrato in modo nativo per endpoint. Altre informazioni sul Defender per i piani server.
Se si usa Defender per i server fino a questo momento non è necessaria alcuna azione.
Inoltre, Defender per il cloud inizia anche il supporto graduale per il Defender per l'agente unificato endpoint per Windows Server 2012 R2 e 2016. Defender per i server piano 1 distribuisce il nuovo agente unificato nei carichi di lavoro Windows Server 2012 R2 e 2016.
Rilocazione di raccomandazioni personalizzate
Le raccomandazioni personalizzate sono quelle create dagli utenti e non hanno alcun effetto sul punteggio di sicurezza. Le raccomandazioni personalizzate sono ora disponibili nella scheda Tutti i consigli.
Usare il nuovo filtro "tipo di raccomandazione" per individuare le raccomandazioni personalizzate.
Per altre informazioni, vedere Creare iniziative e criteri di sicurezza personalizzati.
Script di PowerShell per trasmettere avvisi a Splunk e IBM QRadar
È consigliabile usare Hub eventi e un connettore predefinito per esportare gli avvisi di sicurezza in Splunk e IBM QRadar. È ora possibile usare uno script di PowerShell per configurare le risorse di Azure necessarie per esportare gli avvisi di sicurezza per la sottoscrizione o il tenant.
È sufficiente scaricare ed eseguire lo script di PowerShell. Dopo aver specificato alcuni dettagli dell'ambiente, lo script configura automaticamente le risorse. Lo script genera quindi l'output usato nella piattaforma SIEM per completare l'integrazione.
Per altre informazioni, vedere Trasmettere avvisi a Splunk e QRadar.
Deprecato il consiglio di cache di Azure per Redis
La raccomandazione cache di Azure per Redis should reside within a virtual network (anteprima) è deprecata. Sono state modificate le linee guida per la protezione delle istanze di cache di Azure per Redis. È consigliabile usare un endpoint privato per limitare l'accesso all'istanza di cache di Azure per Redis anziché a una rete virtuale.
Nuova variante di avviso per Microsoft Defender per Archiviazione (anteprima) per rilevare l'esposizione dei dati sensibili
Microsoft Defender per gli avvisi di Archiviazione invia una notifica quando gli attori delle minacce tentano di analizzare ed esporre, correttamente o meno, in modo errato, contenitori di archiviazione aperti pubblicamente per tentare di esfiltrare le informazioni riservate.
Per consentire una valutazione e un tempo di risposta più rapidi, quando si è verificata l'esfiltrazione di dati potenzialmente sensibili, è stata rilasciata una nuova variante all'avviso esistente Publicly accessible storage containers have been exposed .
Il nuovo avviso, Publicly accessible storage containers with potentially sensitive data have been exposed, viene attivato con un High livello di gravità, dopo un'individuazione corretta di uno o più contenitori di archiviazione aperti pubblicamente con nomi che sono stati individuati statisticamente per essere esposti pubblicamente, suggerendo che potrebbero contenere informazioni riservate.
| Avviso (tipo di avviso) | Description | Tattiche MITRE | Severity |
|---|---|---|---|
|
ANTEPRIMA: sono stati esposti contenitori di archiviazione accessibili pubblicamente con dati potenzialmente sensibili (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive) |
Qualcuno ha analizzato l'account Archiviazione di Azure e i contenitori esposti che consentono l'accesso pubblico. Uno o più contenitori esposti hanno nomi che indicano che potrebbero contenere dati sensibili. Ciò indica in genere la ricognizione da parte di un attore di minacce che esegue l'analisi di contenitori di archiviazione accessibili pubblicamente non configurati correttamente che potrebbero contenere dati sensibili. Dopo che un attore di minacce individua correttamente un contenitore, potrebbe continuare esfiltrando i dati. ✔ Archiviazione BLOB di Azure ✖ File di Azure ✖ Azure Data Lake Storage Gen2 |
Collection | High |
Titolo dell'avviso di analisi del contenitore aumentato con la reputazione degli indirizzi IP
La reputazione di un indirizzo IP può indicare se l'attività di analisi ha origine da un attore di minaccia noto o da un attore che usa la rete Tor per nascondere la propria identità. Entrambi questi indicatori suggeriscono che ci sia un intento dannoso. La reputazione dell'indirizzo IP viene fornita da Microsoft Threat Intelligence.
L'aggiunta della reputazione dell'indirizzo IP al titolo dell'avviso consente di valutare rapidamente la finalità dell'attore e quindi la gravità della minaccia.
Gli avvisi seguenti includono queste informazioni:
Publicly accessible storage containers have been exposedPublicly accessible storage containers with potentially sensitive data have been exposedPublicly accessible storage containers have been scanned. No publicly accessible data was discovered
Ad esempio, le informazioni aggiunte al titolo dell'avviso Publicly accessible storage containers have been exposed avranno un aspetto simile al seguente:
Publicly accessible storage containers have been exposedby a suspicious IP addressPublicly accessible storage containers have been exposedby a Tor exit node
Tutti gli avvisi per Microsoft Defender per l'archiviazione continueranno a includere informazioni sull'intelligence sulle minacce nell'entità IP nella sezione Entità correlate dell'avviso.
Visualizzare i log attività correlati a un avviso di sicurezza
Come parte delle azioni che è possibile eseguire per valutare un avviso di sicurezza, è possibile trovare i log della piattaforma correlati in Esaminare il contesto delle risorse per ottenere contesto sulla risorsa interessata. Microsoft Defender per il cloud identifica i log della piattaforma entro un giorno dall'avviso.
I log della piattaforma consentono di valutare la minaccia per la sicurezza e identificare i passaggi che è possibile eseguire per attenuare il rischio identificato.
Marzo 2022
Gli aggiornamenti di marzo includono:
- Disponibilità globale di Secure Score per ambienti AWS e GCP
- Deprecato i consigli per installare l'agente di raccolta dati del traffico di rete
- Defender per contenitori possono ora analizzare le vulnerabilità nelle immagini Windows (anteprima)
- Nuovo avviso per Microsoft Defender per Archiviazione (anteprima)
- Configurare le impostazioni delle notifiche tramite posta elettronica da un avviso
- Avviso di anteprima deprecato: ARM. MCAS_ActivityFromAnonymousIPAddresses
- Spostare le vulnerabilità delle raccomandazioni nelle configurazioni di sicurezza dei contenitori devono essere corrette dal punteggio di sicurezza alle procedure consigliate
- Deprecato il consiglio di usare le entità servizio per proteggere le sottoscrizioni
- Implementazione legacy di ISO 27001 sostituita con la nuova iniziativa ISO 27001:2013
- Deprecated Microsoft Defender for Cloud consigli per i dispositivi
- Deprecated Microsoft Defender for Cloud gli avvisi dei dispositivi
- Gestione del comportamento e protezione dalle minacce per AWS e GCP rilasciati per la disponibilità generale
- Registry scan for Windows images in ACR ha aggiunto il supporto per i cloud nazionali
Disponibilità globale di Secure Score per ambienti AWS e GCP
Le funzionalità di gestione del comportamento di sicurezza cloud fornite da Microsoft Defender per il cloud, ora hanno aggiunto il supporto per gli ambienti AWS e GCP all'interno del punteggio di sicurezza.
Le aziende possono ora visualizzare il comportamento di sicurezza complessivo in vari ambienti, ad esempio Azure, AWS e GCP.
La pagina Secure Score viene sostituita con il dashboard Comportamento di sicurezza. Il dashboard Comportamento di sicurezza consente di visualizzare un punteggio combinato complessivo per tutti gli ambienti o una suddivisione del comportamento di sicurezza in base a qualsiasi combinazione di ambienti scelti.
La pagina Raccomandazioni è stata riprogettata anche per offrire nuove funzionalità, ad esempio: selezione dell'ambiente cloud, filtri avanzati basati sul contenuto (gruppo di risorse, account AWS, progetto GCP e altro ancora), interfaccia utente migliorata a bassa risoluzione, supporto per le query aperte nel grafico delle risorse e altro ancora. È possibile ottenere altre informazioni sul comportamento di sicurezza complessivo e sulle raccomandazioni sulla sicurezza.
Deprecato i consigli per installare l'agente di raccolta dati del traffico di rete
Le modifiche apportate alla roadmap e alle priorità hanno rimosso la necessità dell'agente di raccolta dati del traffico di rete. Le due raccomandazioni seguenti e i relativi criteri sono stati deprecati.
| Recommendation | Description | Severity |
|---|---|---|
| L'agente di raccolta dati sul traffico di rete deve essere installato nelle macchine virtuali Linux | Defender per il cloud usa l'agente di dipendenza Microsoft per raccogliere i dati del traffico di rete dalle macchine virtuali Azure per abilitare funzionalità avanzate di protezione della rete, ad esempio la visualizzazione del traffico sulla mappa di rete, raccomandazioni sulla protezione avanzata della rete e minacce di rete specifiche. | Medium |
| L'agente di raccolta dati del traffico di rete deve essere installato in Windows macchine virtuali | Defender per il cloud usa l'agente di dipendenza Microsoft per raccogliere i dati del traffico di rete dalle macchine virtuali Azure per abilitare funzionalità avanzate di protezione della rete, ad esempio la visualizzazione del traffico sulla mappa di rete, raccomandazioni sulla protezione avanzata della rete e minacce di rete specifiche. | Medium |
Defender per i contenitori possono ora cercare vulnerabilità nelle immagini di Windows (anteprima)
Defender per l'analisi delle immagini del contenitore supporta ora Windows immagini ospitate in Registro Azure Container. Questa funzionalità è gratuita durante l'anteprima e comporta un costo quando diventa disponibile a livello generale.
Per altre informazioni, vedere
Nuovo avviso per Microsoft Defender per l'archiviazione (anteprima)
Per espandere le protezioni dalle minacce fornite da Microsoft Defender per Archiviazione, è stato aggiunto un nuovo avviso di anteprima.
Gli attori delle minacce usano applicazioni e strumenti per individuare e accedere agli account di archiviazione. Microsoft Defender per Archiviazione rileva queste applicazioni e questi strumenti in modo da poterli bloccare e correggere il comportamento.
Questo avviso di anteprima è denominato Access from a suspicious application. L'avviso è rilevante solo per Archiviazione BLOB di Azure e ADLS Gen2.
| Avviso (tipo di avviso) | Description | Tattiche MITRE | Severity |
|---|---|---|---|
|
ANTEPRIMA - Accesso da un'applicazione sospetta (Storage.Blob_SuspiciousApp) |
Indica che un'applicazione sospetta ha eseguito correttamente l'accesso a un contenitore di un account di archiviazione con autenticazione. Ciò potrebbe indicare che un utente malintenzionato ha ottenuto le credenziali necessarie per accedere all'account e lo sta sfruttando. Potrebbe anche essere un'indicazione di un test di penetrazione eseguito nell'organizzazione. Si applica a: Archiviazione BLOB di Azure, Azure Data Lake Storage Gen2 |
Accesso iniziale | Medium |
Configurare le impostazioni delle notifiche tramite posta elettronica da un avviso
È stata aggiunta una nuova sezione all'interfaccia utente dell'avviso che consente di visualizzare e modificare chi riceverà notifiche tramite posta elettronica per gli avvisi attivati nella sottoscrizione corrente.
Informazioni su come configurare le notifiche tramite posta elettronica per gli avvisi di sicurezza.
Avviso di anteprima deprecato: ARM. MCAS_ActivityFromAnonymousIPAddresses
L'avviso di anteprima seguente è deprecato:
| Nome avviso | Description |
|---|---|
|
ANTEPRIMA - Attività da un indirizzo IP a rischio (ARM.MCAS_ActivityFromAnonymousIPAddresses) |
È stata rilevata un'attività utente da un indirizzo IP identificato come indirizzo IP proxy anonimo. Questi proxy vengono usati da persone che vogliono nascondere l'indirizzo IP del dispositivo e possono essere usati per attacchi dannosi. Questo rilevamento usa un algoritmo di Machine Learning che riduce i falsi positivi, ad esempio gli indirizzi IP contrassegnati in modo errato che vengono usati diffusamente dagli utenti dell'organizzazione. Richiede una licenza di Microsoft Defender for Cloud Apps attiva. |
È stato creato un nuovo avviso che fornisce queste informazioni e lo aggiunge. Inoltre, gli avvisi più recenti (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) non richiedono una licenza per Microsoft Defender for Cloud Apps (in precedenza noto come Microsoft Cloud App Security).
Vedere altri avvisi per Resource Manager.
Spostare le vulnerabilità delle raccomandazioni nelle configurazioni di sicurezza dei contenitori devono essere corrette dal punteggio di sicurezza alle procedure consigliate
La raccomandazione Vulnerabilities in container security configurations should be remediated è stata spostata dalla sezione Del punteggio di sicurezza alla sezione procedure consigliate.
L'esperienza utente corrente fornisce il punteggio solo quando sono stati superati tutti i controlli di conformità. La maggior parte dei clienti ha difficoltà a soddisfare tutti i controlli richiesti. Si sta lavorando a un'esperienza migliorata per questa raccomandazione e, una volta rilasciata, la raccomandazione verrà spostata di nuovo nel punteggio di sicurezza.
Deprecato il consiglio di usare le entità servizio per proteggere le sottoscrizioni
Man mano che le organizzazioni si allontanano dall'uso dei certificati di gestione per gestire le sottoscrizioni e our annuncio recente che stiamo ritirando il modello di distribuzione Servizi cloud (versione classica) abbiamo deprecato il Defender per il cloud raccomandazione seguente e i relativi criteri:
| Recommendation | Description | Severity |
|---|---|---|
| Per proteggere le sottoscrizioni è consigliabile usare le entità servizio invece dei certificati di gestione | I certificati di gestione consentono a chiunque esegua l'autenticazione con loro di gestire le sottoscrizioni a cui sono associati. Per gestire le sottoscrizioni in modo più sicuro, è consigliabile usare entità servizio con Resource Manager per limitare il raggio di esplosione in caso di compromissione del certificato. Consente inoltre di automatizzare la gestione delle risorse. (Criterio correlato: Le entità servizio devono essere usate per proteggere le sottoscrizioni anziché i certificati di gestione) |
Medium |
Ulteriori informazioni:
- Servizi cloud modello di distribuzione (versione classica) viene ritirato il 31 agosto 2024
- Panoramica di Servizi cloud di Azure (versione classica)
- Workflow dell'architettura di macchine virtuali classica di Microsoft Azure, incluse le nozioni di base sul flusso di lavoro RDFE
Implementazione legacy di ISO 27001 sostituita con la nuova iniziativa ISO 27001:2013
L'implementazione legacy di ISO 27001 è stata rimossa dal dashboard di conformità alle normative di Defender per il cloud. Se si sta monitorando la conformità ISO 27001 con Defender per il cloud, eseguire l'onboarding del nuovo standard ISO 27001:2013 per tutti i gruppi di gestione o le sottoscrizioni pertinenti.
Raccomandazioni deprecate per i dispositivi Microsoft Defender for Cloud
Microsoft Defender for Cloud raccomandazioni sui dispositivi non è più visibile in Microsoft Defender per il cloud. Queste raccomandazioni sono ancora disponibili nella pagina Raccomandazioni di Microsoft Defender for Cloud.
Le raccomandazioni seguenti sono deprecate:
| Chiave di valutazione | Recommendations |
|---|---|
| 1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: Dispositivi IoT | Aprire porte nel dispositivo |
| ba975338-f956-41e7-a9f2-7614832d382d: Dispositivi IoT | È stata trovata una regola del firewall permissiva nella catena di input |
| beb62be3-5e78-49bd-ac5f-099250ef3c7c: Dispositivi IoT | È stato trovato un criterio firewall permissivo in una delle catene |
| d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: Dispositivi IoT | È stata trovata una regola del firewall permissiva nella catena di output |
| 5f65e47f-7a00-4bf3-acae-90ee441ee876: Dispositivi IoT | Errore di convalida della baseline del sistema operativo |
| a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: Dispositivi IoT | Agente che invia messaggi sottoutilizzati |
| 2acc27c6-5fdb-405e-9080-cb66b850c8f5: Dispositivi IoT | Aggiornamento della suite di crittografia TLS necessario |
| d74d2738-2485-4103-9919-69c7e63776ec: Dispositivi IoT |
Auditd processo interrotto l'invio di eventi |
Avvisi del dispositivo deprecati Microsoft Defender for Cloud
Tutte le Defender di Microsoft per gli avvisi dei dispositivi IoT non sono più visibili in Microsoft Defender per il cloud. Questi avvisi sono ancora disponibili nella pagina Avviso di Microsoft Defender for Cloud e in Microsoft Sentinel.
Gestione del comportamento e protezione dalle minacce per AWS e GCP rilasciati per la disponibilità generale
le funzionalità cspm di Defender per il cloud si estendono alle risorse AWS e GCP. Questo piano senza agente valuta le risorse multicloud in base alle raccomandazioni di sicurezza specifiche del cloud incluse nel punteggio di sicurezza. Le risorse vengono valutate per la conformità usando gli standard predefiniti. Defender per il cloud pagina di inventario delle risorse è una funzionalità abilitata per più cloud che consente di gestire le risorse AWS insieme alle risorse Azure.
Microsoft Defender per server porta il rilevamento delle minacce e le difese avanzate alle istanze di calcolo in AWS e GCP. Il piano Defender per server include una licenza integrata per Microsoft Defender per endpoint, analisi della valutazione delle vulnerabilità e altro ancora. Informazioni su tutte le funzionalità supportate per macchine virtuali e server. Le funzionalità di onboarding automatico consentono di connettere facilmente qualsiasi istanza di calcolo esistente o nuova individuata nell'ambiente.
Informazioni su come proteggere e connettere l'ambiente AWS e GCP con Microsoft Defender per il cloud.
Analisi del Registro di sistema per le immagini Windows in Registro Azure Container aggiunto il supporto per i cloud nazionali
L'analisi del Registro di sistema per le immagini Windows è ora supportata in Azure per enti pubblici e Microsoft Azure gestita da 21Vianet. Questa aggiunta è attualmente in anteprima.
Altre informazioni sulla disponibilità della funzionalità.
Febbraio 2022
Gli aggiornamenti di febbraio includono:
- Protezione del carico di lavoro Kubernetes per i cluster Kubernetes abilitati per Arc
- CSPM nativo per GCP e protezione dalle minacce per le istanze di calcolo GCP
- Microsoft Defender per Azure Cosmos DB piano rilasciato per l'anteprima
- Protezione dalle minacce per i cluster GKE (Google Kubernetes Engine)
Protezione del carico di lavoro Kubernetes per i cluster Kubernetes abilitati per Arc
Defender per contenitori protetti in precedenza solo i carichi di lavoro Kubernetes in esecuzione in servizio Azure Kubernetes. A questo punto è stata estesa la copertura protettiva per includere cluster Kubernetes abilitati per Azure Arc.
Informazioni su come impostare la protezione del carico di lavoro Kubernetes per il servizio Azure Kubernetes e Azure Arc cluster Kubernetes abilitati.
CSPM nativo per GCP e protezione dalle minacce per le istanze di calcolo GCP
Il nuovo onboarding automatizzato degli ambienti GCP consente di proteggere i carichi di lavoro GCP con Microsoft Defender per il cloud. Defender per il cloud protegge le risorse con i piani seguenti:
Le funzionalità CSPMDefender per il cloud di
>Defender per il cloud si estendono alle risorse GCP. Questo piano senza agente valuta le risorse GCP in base alle raccomandazioni di sicurezza specifiche di GCP, fornite con Defender per il cloud. Le raccomandazioni GCP sono incluse nel punteggio di sicurezza e le risorse verranno valutate per la conformità allo standard CIS GCP predefinito. Defender per il cloud pagina di inventario delle risorse è una funzionalità abilitata per più cloud che consente di gestire le risorse in Azure, AWS e GCP. Microsoft Defender per server porta il rilevamento delle minacce e le difese avanzate alle istanze di calcolo GCP. Questo piano include la licenza integrata per Microsoft Defender per endpoint, l'analisi della valutazione delle vulnerabilità e altro ancora.
Per un elenco completo delle funzionalità disponibili, vedere Funzionalità supportate per macchine virtuali e server. Le funzionalità di onboarding automatico consentono di connettere facilmente eventuali istanze di calcolo esistenti e nuove individuate nell'ambiente.
Informazioni su come proteggere e connettere i progetti GCP con Microsoft Defender per il cloud.
Microsoft Defender per Azure Cosmos DB piano rilasciato per l'anteprima
È stata estesa la copertura del database di Microsoft Defender per il cloud. È ora possibile abilitare la protezione per i database Azure Cosmos DB.
Microsoft Defender per Azure Cosmos DB è un livello di sicurezza nativo Azure che rileva qualsiasi tentativo di sfruttare i database negli account Azure Cosmos DB. Microsoft Defender per Azure Cosmos DB rileva potenziali attacchi SQL, attori malintenzionati noti basati su Microsoft Intelligence sulle minacce, modelli di accesso sospetti e potenziale sfruttamento del database tramite identità compromesse o utenti malintenzionati.
Analizza continuamente il flusso di dati dei clienti generato dai servizi di Azure Cosmos DB.
Quando vengono rilevate attività potenzialmente dannose, vengono generati avvisi di sicurezza. Questi avvisi vengono visualizzati in Microsoft Defender per il cloud insieme ai dettagli dell'attività sospetta insieme ai passaggi di indagine pertinenti, alle azioni di correzione e alle raccomandazioni sulla sicurezza.
Non c'è alcun impatto sulle prestazioni del database quando si abilita il servizio, perché Defender per Azure Cosmos DB non accede ai dati dell'account Azure Cosmos DB.
Per altre informazioni, vedere Panoramica di Microsoft Defender per Azure Cosmos DB.
Verrà inoltre introdotta una nuova esperienza di abilitazione per la sicurezza del database. È ora possibile abilitare la protezione Microsoft Defender per il cloud nella sottoscrizione per proteggere tutti i tipi di database, ad esempio, Azure Cosmos DB, database SQL di Azure, server Azure SQL nei computer e Microsoft Defender per i database relazionali open source tramite un processo di abilitazione. È possibile includere o escludere tipi di risorse specifici configurando il piano.
Informazioni su come abilitare la sicurezza del database a livello di sottoscrizione.
Protezione dalle minacce per i cluster GKE (Google Kubernetes Engine)
Dopo l'annuncio recente Native CSPM per GCP e la protezione dalle minacce per le istanze di calcolo GCP, Microsoft Defender per contenitori ha esteso la protezione dalle minacce Kubernetes, l'analisi comportamentale e i criteri di controllo di ammissione predefiniti ai cluster Kubernetes Engine (GKE) standard di Google. È possibile eseguire facilmente l'onboarding di qualsiasi cluster GKE Standard esistente o nuovo nell'ambiente tramite le funzionalità di onboarding automatico. Per un elenco completo delle funzionalità disponibili, vedere Security With Microsoft Defender per il cloud.
Gennaio 2022
Gli aggiornamenti di gennaio includono:
Microsoft Defender per Resource Manager aggiornati con nuovi avvisi e maggiore enfasi sulle operazioni ad alto rischio mappate a MITRE ATT& Matrice CK® - Recommendations per abilitare i piani in Microsoft Defender nelle aree di lavoro (in anteprima)
- Autoprovisioning dell'agente di Log Analytics nei computer abilitati per Azure Arc (anteprima)
- Deprecato il consiglio di classificare i dati sensibili nei database SQL
- Comunicazione con un avviso di dominio sospetto espanso in domini noti correlati a Log4Shell inclusi
- Pulsante 'Copy alert JSON' aggiunto al riquadro dei dettagli dell'avviso di sicurezza
- Due raccomandazioni rinominate
- Deprecare i contenitori del cluster Kubernetes deve essere in ascolto solo sui criteri relativi alle porte consentite
- Aggiunta della cartella di lavoro "Avvisi attivi"
- Raccomandazione "Aggiornamento del sistema" aggiunta al cloud per enti pubblici
Microsoft Defender per Resource Manager aggiornati con nuovi avvisi e maggiore enfasi sulle operazioni ad alto rischio mappate a MITRE ATT& Matrice CK®
Il livello di gestione cloud è un servizio cruciale connesso a tutte le risorse cloud. Per questo motivo, è anche un potenziale bersaglio per gli utenti malintenzionati. È consigliabile che i team addetti alle operazioni di sicurezza monitorino attentamente il livello di gestione delle risorse.
Microsoft Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione, indipendentemente dal fatto che vengano eseguite tramite il portale di Azure, Azure API REST, interfaccia della riga di comando di Azure o altri client a livello di codice Azure. Defender per il cloud esegue analisi avanzate della sicurezza per rilevare minacce e avvisi relativi alle attività sospette.
Le protezioni del piano migliorano notevolmente la resilienza di un'organizzazione contro gli attacchi da parte degli attori delle minacce e aumentano significativamente il numero di risorse Azure protette da Defender per il cloud.
Nel dicembre 2020 è stata introdotta l'anteprima di Defender per Resource Manager e nel maggio 2021 il piano è stato rilasciato per la disponibilità generale.
Con questo aggiornamento, abbiamo rivisto in modo completo l'obiettivo della Microsoft Defender per il piano di Resource Manager. Il piano aggiornato include molti nuovi avvisi incentrati sull'identificazione di chiamate sospette di operazioni ad alto rischio. Questi nuovi avvisi forniscono un monitoraggio completo per gli attacchi nella matrice MITRE ATT&CK® completa per le tecniche basate sul cloud.
Questa matrice illustra la gamma di potenziali intenzioni degli attori di minaccia che potrebbero essere destinati alle risorse dell'organizzazione: Accesso iniziale, Esecuzione, Persistenza, Escalation dei privilegi, Evasione della difesa, Accesso alle credenziali, Individuazione, Spostamento laterale, Raccolta, Esfiltrazione e Impatto.
I nuovi avvisi per questo piano Defender riguardano queste intenzioni, come illustrato nella tabella seguente.
Tip
Questi avvisi vengono visualizzati anche nella pagina di riferimento degli avvisi.
| Avviso (tipo di avviso) | Description | Tattiche MITRE (intenzioni) | Severity |
|---|---|---|---|
|
Chiamata sospetta di un'operazione "Accesso iniziale" ad alto rischio rilevata (anteprima) (ARM_AnomalousOperation.InitialAccess) |
Microsoft Defender per Resource Manager identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di accesso alle risorse limitate. Le operazioni identificate sono progettate per consentire agli amministratori di accedere in modo efficiente ai propri ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per ottenere l'accesso iniziale alle risorse limitate nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. | Accesso iniziale | Medium |
|
Chiamata sospetta di un'operazione "Esecuzione" ad alto rischio rilevata (anteprima) (ARM_AnomalousOperation.Execution) |
Microsoft Defender per Resource Manager identificato una chiamata sospetta di un'operazione ad alto rischio in un computer nella sottoscrizione, che potrebbe indicare un tentativo di esecuzione del codice. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. | Execution | Medium |
|
Chiamata sospetta di un'operazione di persistenza ad alto rischio rilevata (anteprima) (ARM_AnomalousOperation.Persistence) |
Microsoft Defender per Resource Manager identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di persistenza. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per stabilire la persistenza nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. | Persistence | Medium |
|
Chiamata sospetta di un'operazione di escalation dei privilegi ad alto rischio rilevata (anteprima) (ARM_AnomalousOperation.PrivilegeEscalation) |
Microsoft Defender per Resource Manager identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di escalation dei privilegi. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per inoltrare i privilegi compromettendo al contempo le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. | Escalation dei privilegi | Medium |
|
Chiamata sospetta di un'operazione 'Evasione difesa' ad alto rischio rilevata (anteprima) (ARM_AnomalousOperation.DefenseEvasion) |
Microsoft Defender per Resource Manager identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di evitare difese. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente il comportamento di sicurezza dei propri ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per evitare di essere rilevate compromettendo le risorse nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. | Evasione della difesa | Medium |
|
Chiamata sospetta di un'operazione di accesso alle credenziali ad alto rischio rilevata (anteprima) (ARM_AnomalousOperation.CredentialAccess) |
Microsoft Defender per Resource Manager identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di accesso alle credenziali. Le operazioni identificate sono progettate per consentire agli amministratori di accedere in modo efficiente ai propri ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. | Accesso alle credenziali | Medium |
|
Chiamata sospetta di un'operazione di spostamento laterale ad alto rischio rilevata (anteprima) (ARM_AnomalousOperation.LateralMovement) |
Microsoft Defender per Resource Manager identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di eseguire lo spostamento laterale. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per compromettere risorse aggiuntive nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. | Spostamento laterale | Medium |
|
Chiamata sospetta di un'operazione "Raccolta dati" ad alto rischio rilevata (anteprima) (ARM_AnomalousOperation.Collection) |
Microsoft Defender per Resource Manager identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di raccolta dei dati. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per raccogliere dati sensibili sulle risorse nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. | Collection | Medium |
|
Chiamata sospetta di un'operazione "Impact" ad alto rischio rilevata (anteprima) (ARM_AnomalousOperation.Impact) |
Microsoft Defender per Resource Manager identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare una modifica della configurazione tentata. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. | Impact | Medium |
Inoltre, questi due avvisi di questo piano sono usciti dall'anteprima:
| Avviso (tipo di avviso) | Description | Tattiche MITRE (intenzioni) | Severity |
|---|---|---|---|
|
Azure Resource Manager operazione dall'indirizzo IP sospetto (ARM_OperationFromSuspiciousIP) |
Microsoft Defender per Resource Manager rilevato un'operazione da un indirizzo IP contrassegnato come sospetto nei feed di intelligence per le minacce. | Execution | Medium |
|
Azure Resource Manager operazione dall'indirizzo IP proxy sospetto (ARM_OperationFromSuspiciousProxyIP) |
Microsoft Defender per Resource Manager rilevato un'operazione di gestione delle risorse da un indirizzo IP associato ai servizi proxy, ad esempio TOR. Anche se questo comportamento può essere legittimo, viene spesso visualizzato in attività dannose, quando gli attori delle minacce tentano di nascondere l'INDIRIZZO IP di origine. | Evasione della difesa | Medium |
Raccomandazioni per abilitare i piani di Microsoft Defender nelle aree di lavoro (in anteprima)
Per trarre vantaggio da tutte le funzionalità di sicurezza disponibili da Microsoft Defender per server e Microsoft Defender per SQL nei computer, i piani devono essere abilitati in both i livelli di sottoscrizione e area di lavoro.
Quando un computer si trova in una sottoscrizione con uno di questi piani abilitati, verranno addebitate le protezioni complete. Tuttavia, se il computer segnala a un'area di lavoro senza il piano abilitato, questi vantaggi non verranno effettivamente ricevuti.
Sono state aggiunte due raccomandazioni che evidenziano le aree di lavoro senza questi piani abilitati, che tuttavia dispongono di computer che li segnalano dalle sottoscrizioni in cui è abilitato il piano.
Le due raccomandazioni, entrambe offerte da correzione automatica (l'azione "Correzione"), sono:
| Recommendation | Description | Severity |
|---|---|---|
| Microsoft Defender per i server devono essere abilitati nelle aree di lavoro | Microsoft Defender per server offre il rilevamento delle minacce e difese avanzate per i computer Windows e Linux. Con questo piano di Defender abilitato per le sottoscrizioni, ma non nelle aree di lavoro, si paga per l'intera funzionalità di Microsoft Defender per i server, ma mancano alcuni dei vantaggi. Quando si abilita Microsoft Defender per i server in un'area di lavoro, tutti i computer che segnalano tale area di lavoro verranno fatturati per Microsoft Defender per i server, anche se si trovano in sottoscrizioni senza piani di Defender abilitati. A meno che non si abiliti anche Microsoft Defender per i server nella sottoscrizione, tali computer non saranno in grado di sfruttare l'accesso jite alle macchine virtuali, i controlli applicazioni adattivi e i rilevamenti di rete per le risorse Azure. Per altre informazioni, vedere Panoramica di Microsoft Defender per server. (Nessun criterio correlato) |
Medium |
| Microsoft Defender per SQL nei computer devono essere abilitati nelle aree di lavoro | Microsoft Defender per server offre il rilevamento delle minacce e difese avanzate per i computer Windows e Linux. Con questo piano di Defender abilitato per le sottoscrizioni, ma non nelle aree di lavoro, si paga per l'intera funzionalità di Microsoft Defender per i server, ma mancano alcuni dei vantaggi. Quando si abilita Microsoft Defender per i server in un'area di lavoro, tutti i computer che segnalano tale area di lavoro verranno fatturati per Microsoft Defender per i server, anche se si trovano in sottoscrizioni senza piani di Defender abilitati. A meno che non si abiliti anche Microsoft Defender per i server nella sottoscrizione, tali computer non saranno in grado di sfruttare l'accesso jite alle macchine virtuali, i controlli applicazioni adattivi e i rilevamenti di rete per le risorse Azure. Per altre informazioni, vedere Panoramica di Microsoft Defender per server. (Nessun criterio correlato) |
Medium |
Provisioning automatico dell'agente Log Analytics in computer abilitati per Azure Arc (anteprima)
Defender per il cloud usa l'agente Log Analytics per raccogliere dati correlati alla sicurezza dai computer. L'agente legge varie configurazioni e registri eventi correlati alla sicurezza e copia i dati nell'area di lavoro per l'analisi.
Le impostazioni di provisioning automatico di Defender per il cloud hanno un interruttore per ogni tipo di estensione supportata, incluso l'agente Log Analytics.
In un'ulteriore espansione delle funzionalità del cloud ibrido, è stata aggiunta un'opzione per il provisioning automatico dell'agente Log Analytics ai computer connessi a Azure Arc.
Come per le altre opzioni di provisioning automatico, questa opzione viene configurata a livello di sottoscrizione.
Quando si abilita questa opzione, verrà richiesto di specificare l'area di lavoro.
Note
Per questa anteprima non è possibile selezionare l'area di lavoro predefinita creata da Defender per il cloud. Per assicurarsi di ricevere il set completo di funzionalità di sicurezza disponibili per i server abilitati per Azure Arc, verificare di disporre della soluzione di sicurezza pertinente installata nell'area di lavoro selezionata.
Deprecato il consiglio di classificare i dati sensibili nei database SQL
È stata rimossa la raccomandazione I dati sensibili nei database SQL devono essere classificati nell'ambito di una revisione del modo in cui Defender per il cloud identifica e protegge la data sensibile nelle risorse cloud.
L'avviso anticipato di questa modifica è apparso negli ultimi sei mesi nella pagina Importante modifiche imminenti alla pagina Microsoft Defender per il cloud.
Comunicazione con un avviso di dominio sospetto espanso in domini noti correlati a Log4Shell inclusi
L'avviso seguente era precedentemente disponibile solo per le organizzazioni che avevano abilitato il piano Microsoft Defender per DNS.
Con questo aggiornamento, verrà visualizzato anche l'avviso per le sottoscrizioni con il piano Microsoft Defender per Server o Defender per il servizio app abilitato.
Inoltre, Microsoft Threat Intelligence ha ampliato l'elenco di domini dannosi noti per includere domini associati a sfruttare le vulnerabilità ampiamente pubbliche associate a Log4j.
| Avviso (tipo di avviso) | Description | Tattiche MITRE | Severity |
|---|---|---|---|
|
Comunicazione con un dominio sospetto identificato dall'intelligence sulle minacce (AzureDNS_ThreatIntelSuspectDomain) |
La comunicazione con un dominio sospetto è stata rilevata analizzando le transazioni DNS dalla risorsa e confrontando i domini dannosi noti identificati dai feed di intelligence per le minacce. La comunicazione con domini dannosi viene spesso eseguita da utenti malintenzionati e potrebbe implicare che la risorsa sia compromessa. | Accesso iniziale/persistenza/esecuzione/comando e controllo/sfruttamento | Medium |
Pulsante 'Copy alert JSON' aggiunto al riquadro dei dettagli dell'avviso di sicurezza
Per aiutare gli utenti a condividere rapidamente i dettagli di un avviso con altri utenti (ad esempio, analisti SOC, proprietari di risorse e sviluppatori) è stata aggiunta la funzionalità per estrarre facilmente tutti i dettagli di un avviso specifico con un pulsante dal riquadro dei dettagli dell'avviso di sicurezza.
Il nuovo pulsante Copia codice JSON dell'avviso inserisce i dettagli dell'avviso, in formato JSON, negli Appunti dell'utente.
Due raccomandazioni rinominate
Per coerenza con altri nomi di raccomandazione, sono stati rinominati i due consigli seguenti:
Raccomandazione per risolvere le vulnerabilità individuate nelle immagini del contenitore in esecuzione
- Nome precedente: è necessario correggere le vulnerabilità nelle immagini del contenitore in esecuzione (con tecnologia Qualys)
- Nuovo nome: l'esecuzione di immagini del contenitore deve avere i risultati della vulnerabilità risolti
Raccomandazione per abilitare i log di diagnostica per Servizio app di Azure
- Nome precedente: I log di diagnostica devono essere abilitati in servizio app
- Nuovo nome: i log di diagnostica in servizio app devono essere abilitati
Deprecare i contenitori del cluster Kubernetes deve essere in ascolto solo sui criteri relativi alle porte consentite
I contenitori del cluster Kubernetes sono deprecati devono essere in ascolto solo sulle porte consentite.
| Nome del criterio | Description | Effect(s) | Version |
|---|---|---|---|
| I contenitori del cluster Kubernetes devono essere in ascolto solo sulle porte consentite | Limitare i contenitori per l'ascolto solo sulle porte consentite per proteggere l'accesso al cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per il motore del servizio Azure Kubernetes e Azure Arc abilitato per Kubernetes. Per altre informazioni, vedere Understand Criteri di Azure per i cluster Kubernetes. | Audit, Deny, Disabled | 6.1.2 |
I servizi devono essere in ascolto solo sulle porte consentite devono essere usati per limitare le porte esposte da un'applicazione a Internet.
Aggiunta della cartella di lavoro "Avviso attivo"
Per aiutare gli utenti a comprendere le minacce attive agli ambienti e definire la priorità tra gli avvisi attivi durante il processo di correzione, è stata aggiunta la cartella di lavoro Avvisi attivi.
La cartella di lavoro avvisi attivi consente agli utenti di visualizzare un dashboard unificato degli avvisi aggregati in base alla gravità, al tipo, al tag, alle tattiche MITRE ATT&CK e alla posizione. Per altre informazioni, vedere Usare la cartella di lavoro "Avvisi attivi".
Raccomandazione "Aggiornamento del sistema" aggiunta al cloud per enti pubblici
La raccomandazione "Gli aggiornamenti di sistema devono essere installati nei computer" è ora disponibile in tutti i cloud per enti pubblici.
È probabile che questa modifica influirà sul punteggio di sicurezza della sottoscrizione del cloud per enti pubblici. Si prevede che la modifica porti a un punteggio ridotto, ma è possibile che l'inclusione della raccomandazione possa comportare un aumento del punteggio in alcuni casi.
Dicembre 2021
Gli aggiornamenti di dicembre includono:
- Microsoft Defender per i contenitori rilasciati per la disponibilità generale (GA)
- Nuova avvisi per Microsoft Defender per l'archiviazione rilasciata per la disponibilità generale (GA)
- Improvements agli avvisi per Microsoft Defender per Archiviazione
- Avviso 'PortSweeping' rimosso dagli avvisi del livello di rete
Microsoft Defender per il piano contenitori rilasciato per la disponibilità generale
Oltre due anni fa sono stati introdotti Defender per Kubernetes e Defender per i registri contenitori come parte dell'offerta Azure Defender all'interno di Microsoft Defender per il cloud.
Con il rilascio di Microsoft Defender per contenitori, sono stati uniti questi due piani di Defender esistenti.
Il nuovo piano:
- Combina le funzionalità dei due piani esistenti: rilevamento delle minacce per i cluster Kubernetes e valutazione della vulnerabilità per le immagini archiviate nei registri contenitori
- Offre funzionalità nuove e migliorate, tra cui il supporto multicloud, il rilevamento delle minacce a livello di host con oltre sessanta nuove analisi in grado di supportare Kubernetes e la valutazione della vulnerabilità per l'esecuzione di immagini
- Introduce l'onboarding nativo di Kubernetes su larga scala: per impostazione predefinita, quando si abilita il piano, tutti i componenti pertinenti vengono configurati per essere distribuiti automaticamente
Con questa versione, la disponibilità e la presentazione di Defender per Kubernetes e Defender per i registri contenitori è stata modificata nel modo seguente:
- Nuove sottoscrizioni: i due piani contenitore precedenti non sono più disponibili
- Sottoscrizioni esistenti: ovunque vengano visualizzate nel portale di Azure, I piani vengono visualizzati come
Deprecated con istruzioni su come eseguire l'aggiornamento al piano più recenteDefender per registri contenitori e Defender per i piani Kubernetes che mostrano le informazioni di aggiornamento e deprecate.
Il nuovo piano è gratuito per il mese di dicembre 2021. Per le potenziali modifiche alla fatturazione dai piani precedenti a Defender per contenitori e per altre informazioni sui vantaggi introdotti con questo piano, vedere Introducing Microsoft Defender for Containers.
Per altre informazioni, vedi:
- Panoramica di Microsoft Defender per contenitori
- Enable Microsoft Defender for Containers
- Introducing Microsoft Defender per contenitori - Microsoft Tech Community
- Microsoft Defender per contenitori | Defender per il cloud nel campo n. 3 - YouTube
Nuovi avvisi per Microsoft Defender per l'archiviazione rilasciati per la disponibilità generale
Gli attori delle minacce usano strumenti e script per cercare contenitori aperti pubblicamente nella speranza di trovare contenitori di archiviazione aperti non configurati correttamente con dati sensibili.
Microsoft Defender per Archiviazione rileva questi scanner in modo da poterli bloccare e correggere il comportamento.
L'avviso di anteprima che ha rilevato questo è stato denominato "Analisi anonima dei contenitori di archiviazione pubblici". Per fornire maggiore chiarezza sugli eventi sospetti individuati, questo è stato suddiviso in due nuovi avvisi. Questi avvisi sono rilevanti solo per Archiviazione BLOB di Azure.
È stata migliorata la logica di rilevamento, sono stati aggiornati i metadati dell'avviso e sono stati modificati il nome e il tipo di avviso.
Questi sono i nuovi avvisi:
| Avviso (tipo di avviso) | Description | Tattiche MITRE | Severity |
|---|---|---|---|
|
Individuati correttamente i contenitori di archiviazione accessibili pubblicamente (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
Un'individuazione corretta dei contenitori di archiviazione aperti pubblicamente nell'account di archiviazione è stata eseguita nell'ultima ora da uno script o uno strumento di analisi. Ciò indica in genere un attacco di ricognizione, in cui l'attore della minaccia tenta di elencare i BLOB indovinando i nomi dei contenitori, nella speranza di trovare contenitori di archiviazione aperti non configurati correttamente con dati sensibili in essi contenuti. L'attore di minacce potrebbe usare uno script personalizzato o usare strumenti di analisi noti come Microburst per cercare contenitori aperti pubblicamente. ✔ Archiviazione BLOB di Azure ✖ File di Azure ✖ Azure Data Lake Storage Gen2 |
Collection | Medium |
|
Contenitori di archiviazione accessibili pubblicamente analizzati in modo non riuscito (Storage.Blob_OpenContainersScanning.FailedAttempt) |
Nell'ultima ora sono stati eseguiti una serie di tentativi non riusciti di analizzare i contenitori di archiviazione aperti pubblicamente. Ciò indica in genere un attacco di ricognizione, in cui l'attore della minaccia tenta di elencare i BLOB indovinando i nomi dei contenitori, nella speranza di trovare contenitori di archiviazione aperti non configurati correttamente con dati sensibili in essi contenuti. L'attore di minacce potrebbe usare uno script personalizzato o usare strumenti di analisi noti come Microburst per cercare contenitori aperti pubblicamente. ✔ Archiviazione BLOB di Azure ✖ File di Azure ✖ Azure Data Lake Storage Gen2 |
Collection | Low |
Per altre informazioni, vedi:
- Matrice di minacce per i servizi di archiviazione
- Panoramica di Microsoft Defender per archiviazione
- List degli avvisi forniti da Microsoft Defender per Archiviazione
Miglioramenti agli avvisi per Microsoft Defender per l'archiviazione
Gli avvisi di accesso iniziali hanno ora una maggiore precisione e più dati per supportare l'analisi.
Gli attori delle minacce usano varie tecniche nell'accesso iniziale per ottenere un punto di accesso all'interno di una rete. Due degli avvisi Microsoft Defender per Archiviazione che rilevano anomalie comportamentali in questa fase hanno ora una logica di rilevamento migliorata e dati aggiuntivi per supportare le indagini.
Se in passato sono state configurate le automazione o le regole di eliminazione degli avvisi definite per questi avvisi, aggiornarle in base a queste modifiche.
Rilevamento dell'accesso da un nodo di uscita tor
L'accesso da un nodo di uscita tor potrebbe indicare un attore di minaccia che tenta di nascondere la propria identità.
L'avviso è ora ottimizzato per generare solo per l'accesso autenticato, con una maggiore precisione e confidenza che l'attività sia dannosa. Questo miglioramento riduce il tasso positivo non dannoso.
Un modello outlying avrà una gravità elevata, mentre i modelli meno anomali avranno una gravità media.
Il nome e la descrizione dell'avviso sono stati aggiornati. AlertType rimane invariato.
- Nome avviso (precedente): accesso da un nodo di uscita tor a un account di archiviazione
- Nome avviso (nuovo): accesso autenticato da un nodo di uscita tor
- Tipi di avviso: Storage.Blob_TorAnomaly/Storage.Files_TorAnomaly
- Descrizione: è stato eseguito l'accesso a uno o più contenitori di archiviazione/condivisioni file nell'account di archiviazione da un indirizzo IP noto come nodo di uscita attivo di Tor (proxy di anonimizzazione). Gli attori delle minacce usano Tor per rendere difficile tracciare l'attività. L'accesso autenticato da un nodo di uscita tor indica probabilmente che un attore di minaccia sta tentando di nascondere la propria identità. Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Storage Gen2
- Tattiche MITRE: Accesso iniziale
- Gravità: alta/media
Accesso non autenticato insolito
Una modifica nei modelli di accesso potrebbe indicare che un attore di minaccia è stato in grado di sfruttare l'accesso in lettura pubblico ai contenitori di archiviazione, sfruttando un errore nelle configurazioni di accesso o modificando le autorizzazioni di accesso.
Questo avviso di gravità media è ora ottimizzato con una logica comportamentale migliorata, una maggiore accuratezza e la probabilità che l'attività sia dannosa. Questo miglioramento riduce il tasso positivo non dannoso.
Il nome e la descrizione dell'avviso sono stati aggiornati. AlertType rimane invariato.
- Nome avviso (precedente): accesso anonimo a un account di archiviazione
- Nome avviso (nuovo): accesso non autenticato insolito a un contenitore di archiviazione
- Tipi di avviso: Storage.Blob_AnonymousAccessAnomaly
- Descrizione: questo account di archiviazione è stato eseguito senza autenticazione, che è una modifica nel modello di accesso comune. L'accesso in lettura a questo contenitore viene in genere autenticato. Ciò potrebbe indicare che un attore di minaccia è stato in grado di sfruttare l'accesso in lettura pubblico ai contenitori di archiviazione in questi account di archiviazione. Si applica a: Archiviazione BLOB di Azure
- Tattiche MITRE: Raccolta
- Gravità: medio
Per altre informazioni, vedi:
- Matrice di minacce per i servizi di archiviazione
- Introduzione a Microsoft Defender per archiviazione
- List degli avvisi forniti da Microsoft Defender per Archiviazione
Avviso 'PortSweeping' rimosso dagli avvisi del livello di rete
L'avviso seguente è stato rimosso dagli avvisi del livello di rete a causa di inefficienze:
| Avviso (tipo di avviso) | Description | Tattiche MITRE | Severity |
|---|---|---|---|
|
Rilevata possibile attività di analisi delle porte in uscita (PortSweeping) |
L'analisi del traffico di rete ha rilevato traffico in uscita sospetto da %{host compromesso}. Questo traffico potrebbe essere il risultato di un'attività di analisi delle porte. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). Se questo comportamento è intenzionale, tenere presente che l'esecuzione dell'analisi delle porte è in Azure Condizioni per il servizio. Se questo comportamento non è intenzionale, potrebbe significare che la risorsa è stata compromessa. | Discovery | Medium |
Novembre 2021
La versione di Ignite include:
- Centro sicurezza di Azure e Azure Defender diventano Microsoft Defender per il cloud
- CSPM nativo per AWS e la protezione dalle minacce per Amazon EKS e AWS EC2
- Prioritize security actions by data sensitivity (powered by Microsoft Purview) (in preview)
- Expanded security control assessment with Azure Security Benchmark v3
- Microsoft Sentinel la sincronizzazione facoltativa degli avvisi bidirezionali rilasciata per la disponibilità generale (GA)
- Nuova raccomandazione per eseguire il push dei log di Servizio Azure Kubernetes (AKS) in Microsoft Sentinel
- Raccomandazioni mappate al framework MITRE ATT&CK® , rilasciate per la disponibilità generale
Altre modifiche apportate a novembre includono:
- Microsoft La gestione delle minacce e della vulnerabilità è stata aggiunta come soluzione di valutazione della vulnerabilità, rilasciata per la disponibilità generale (GA)
- Microsoft Defender per endpoint per Linux ora supportato da Microsoft Defender per server , rilasciato per la disponibilità generale (GA)
- Esportazione di snapshot per raccomandazioni e risultati della sicurezza (in anteprima)
- Provisioning automatico delle soluzioni di valutazione della vulnerabilità rilasciate per la disponibilità generale
- Filtri di inventario software nell'inventario degli asset rilasciati per la disponibilità generale
- Nuovi criteri di sicurezza del servizio Azure Kubernetes aggiunti all'iniziativa predefinita - Anteprima
- La visualizzazione dell'inventario dei computer locali applica un modello diverso per il nome della risorsa
Centro sicurezza di Azure e Azure Defender diventano Microsoft Defender per il cloud
Secondo il report State of the Cloud del 2021, il 92% delle organizzazioni ha ora una strategia multicloud. A Microsoft, l'obiettivo è centralizzare la sicurezza tra ambienti e aiutare i team di sicurezza a lavorare in modo più efficace.
Microsoft Defender per il cloud è una soluzione CWPP (Cloud Security Posture Management) e Cloud Workload Protection Platform (CWPP) che individua i punti deboli nella configurazione cloud, contribuisce a rafforzare il comportamento di sicurezza complessivo dell'ambiente e protegge i carichi di lavoro in ambienti multicloud e ibridi.
In Ignite 2019 abbiamo condiviso la nostra visione per creare l'approccio più completo per proteggere il digital estate e integrare le tecnologie XDR nel marchio Microsoft Defender. Unificare Centro sicurezza di Azure e Azure Defender con il nuovo nome Microsoft Defender per il cloud riflette le funzionalità integrate dell'offerta di sicurezza e la possibilità di supportare qualsiasi piattaforma cloud.
CSPM nativo per AWS e la protezione dalle minacce per Amazon EKS e AWS EC2
Una nuova pagina delle impostazioni dell'ambiente offre maggiore visibilità e controllo sui gruppi di gestione, le sottoscrizioni e gli account AWS. La pagina è progettata per eseguire l'onboarding degli account AWS su larga scala: connettere l'account di gestione AWS e si eseguirà automaticamente l'onboarding degli account esistenti e futuri.
Dopo aver aggiunto gli account AWS, Defender per il cloud protegge le risorse AWS con uno o tutti i piani seguenti:
- le funzionalità cspm di Defender per il cloud estendersi alle risorse AWS. Questo piano senza agente valuta le risorse AWS in base alle raccomandazioni di sicurezza specifiche di AWS e queste sono incluse nel punteggio di sicurezza. Verrà anche valutata la conformità delle risorse a standard predefiniti specifici di AWS (AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices). Defender per il cloud pagina di inventario asset è una funzionalità abilitata per più cloud che consente di gestire le risorse AWS insieme alle risorse Azure.
- Microsoft Defender per Kubernetes estende il rilevamento e le difese avanzate dei contenitori ai cluster Linux Amazon EKS.
- Microsoft Defender per server porta il rilevamento delle minacce e le difese avanzate alle istanze Windows e Linux EC2. Questo piano include la licenza integrata per le Microsoft Defender per endpoint, le baseline di sicurezza e le valutazioni a livello di sistema operativo, l'analisi della valutazione delle vulnerabilità, i controlli applicazioni adattivi (AAC), il monitoraggio dell'integrità dei file (FIM) e altro ancora.
Altre informazioni su connessione degli account AWS a Microsoft Defender per il cloud.
Classificare in ordine di priorità le azioni di sicurezza in base alla riservatezza dei dati (basata su Microsoft Purview) (in anteprima)
Le risorse dati rimangono una destinazione comune per gli attori delle minacce. È quindi fondamentale per i team di sicurezza identificare, classificare in ordine di priorità e proteggere le risorse dei dati sensibili nei propri ambienti cloud.
Per risolvere questa sfida, Microsoft Defender per il cloud ora integra le informazioni di riservatezza da Microsoft Purview. Microsoft Purview è un servizio unificato di governance dei dati che fornisce informazioni dettagliate sulla riservatezza dei dati all'interno di carichi di lavoro multicloud e locali.
L'integrazione con Microsoft Purview estende la visibilità della sicurezza in Defender per il cloud dal livello dell'infrastruttura ai dati, consentendo un modo completamente nuovo per classificare in ordine di priorità le risorse e le attività di sicurezza per i team di sicurezza.
Per altre informazioni, vedere Definire la priorità delle azioni di sicurezza in base alla riservatezza dei dati.
Valutazioni del controllo di sicurezza espanse con Azure Security Benchmark v3
Le raccomandazioni sulla sicurezza in Defender per il cloud sono supportate da Azure Security Benchmark.
Azure Security Benchmark è Microsoft il set di linee guida specifiche Azure per la sicurezza e la conformità basate su framework di conformità comuni. Questo benchmark ampiamente rispettato si basa sui controlli del Center for Internet Security (CIS) e il National Institute of Standards and Technology (NIST) con particolare attenzione alla sicurezza basata sul cloud.
Da Ignite 2021, Azure Security Benchmark v3 è disponibile nel dashboard di conformità alle normative di Defender per il cloud e abilitato come nuova iniziativa predefinita per tutte le sottoscrizioni Azure protette con Microsoft Defender per il cloud.
I miglioramenti per v3 includono:
Mapping aggiuntivi ai framework di settore PCI-DSS v3.2.1 e ai controlli CIS v8.
Linee guida più granulari e utilizzabili per i controlli con l'introduzione di:
- Principi di sicurezza : fornisce informazioni dettagliate sugli obiettivi di sicurezza generali che creano le basi per le raccomandazioni.
- Azure Linee guida - Procedure tecniche per soddisfare questi obiettivi.
I nuovi controlli includono la sicurezza devOps per problemi quali la modellazione delle minacce e la sicurezza della supply chain del software, nonché la gestione delle chiavi e dei certificati per le procedure consigliate in Azure.
Per altre informazioni, vedere Introduzione a Azure Security Benchmark.
sincronizzazione degli avvisi bidirezionali facoltativa del connettore Microsoft Sentinel rilasciata per la disponibilità generale
A luglio, we annunciato una funzionalità di anteprima, sincronizzazione degli avvisi direzionali, per il connettore predefinito in Microsoft Sentinel (soluzione SIEM e SOAR nativa del cloud di Microsoft). Questa funzionalità viene ora rilasciata per la disponibilità generale .THIS FEATURE is now released for general availability (GA).
Quando ci si connette Microsoft Defender per il cloud a Microsoft Sentinel, lo stato degli avvisi di sicurezza viene sincronizzato tra i due servizi. Ad esempio, quando un avviso viene chiuso in Defender per il cloud, tale avviso verrà visualizzato anche come chiuso in Microsoft Sentinel. La modifica dello stato di un avviso in Defender per il cloud non influirà sullo stato di alcun Microsoft Sentinel incidents che contiene l'avviso Microsoft Sentinel sincronizzato, solo quello dell'avviso sincronizzato stesso.
Quando si abilita sincronizzazione degli avvisi direzionali si sincronizzerà automaticamente lo stato degli avvisi Defender per il cloud originali con eventi imprevisti Microsoft Sentinel contenenti le copie di tali avvisi. Ad esempio, quando viene chiuso un evento imprevisto Microsoft Sentinel contenente un avviso Defender per il cloud, Defender per il cloud chiuderà automaticamente l'avviso originale corrispondente.
Per altre informazioni, vedere Connettere gli avvisi di Azure Defender da Centro sicurezza di Azure e Stream agli avvisi Microsoft Sentinel.
Nuova raccomandazione per eseguire il push dei log di Servizio Azure Kubernetes (AKS) in Microsoft Sentinel
In un ulteriore miglioramento del valore combinato di Defender per il cloud e Microsoft Sentinel, verranno ora evidenziate servizio Azure Kubernetes istanze che non inviano dati di log a Microsoft Sentinel.
I team SecOps possono scegliere l'area di lavoro Microsoft Sentinel pertinente direttamente dalla pagina dei dettagli delle raccomandazioni e abilitare immediatamente lo streaming dei log non elaborati. Questa facile connessione tra i due prodotti semplifica ai team di sicurezza di garantire la copertura completa della registrazione tra i carichi di lavoro per rimanere al di sopra dell'intero ambiente.
La nuova raccomandazione "I log di diagnostica nei servizi Kubernetes devono essere abilitati" include l'opzione "Correzione" per una correzione più rapida.
È stata migliorata anche la raccomandazione "Il controllo in SQL Server deve essere abilitato" con le stesse funzionalità di streaming Microsoft Sentinel.
Raccomandazioni mappate al framework MITRE ATT&CK® , rilasciate per la disponibilità generale
Sono stati migliorati i consigli di sicurezza di Defender per il cloud per mostrare la propria posizione su MITRE ATT & Framework CK®. Questa knowledge base accessibile a livello globale delle tattiche e delle tecniche degli attori delle minacce basate su osservazioni reali offre un contesto più ampio per comprendere i rischi associati delle raccomandazioni per l'ambiente.
Queste tattiche sono disponibili ovunque si accassi alle informazioni sulle raccomandazioni:
Azure Resource Graph risultati delle query per le raccomandazioni pertinenti includono MITRE ATT& Tattiche e tecniche CK®.Le pagine dei dettagli delle raccomandazioni mostrano il mapping per tutte le raccomandazioni pertinenti:
La pagina raccomandazioni in Defender per il cloud include un nuovo filtro
per selezionare le raccomandazioni in base alla tattica associata:
Per altre informazioni, vedere Esaminare le raccomandazioni sulla sicurezza.
Microsoft Gestione delle minacce e delle vulnerabilità aggiunta come soluzione di valutazione della vulnerabilità, rilasciata per la disponibilità generale
A ottobre we annunciato un'estensione per l'integrazione tra Microsoft Defender per Server e Microsoft Defender per endpoint, per supportare un nuovo provider di valutazione della vulnerabilità per i computer: Microsoft la gestione delle minacce e delle vulnerabilità. Questa funzionalità viene ora rilasciata per la disponibilità generale .THIS FEATURE is now released for general availability (GA).
Usare threat e la gestione delle vulnerabilità per individuare vulnerabilità e configurazioni errate quasi in tempo reale con l'integrazione integration con Microsoft Defender per endpoint abilitata e senza la necessità di ulteriori agenti o analisi periodiche. Minacce e gestione delle vulnerabilità assegna priorità alle vulnerabilità in base al panorama delle minacce e ai rilevamenti nell'organizzazione.
Usare la raccomandazione di sicurezza "Una soluzione di valutazione della vulnerabilità deve essere abilitata nelle macchine virtuali" per individuare le vulnerabilità rilevate da gestione di minacce e vulnerabilità per i computer supportati.
Per individuare automaticamente le vulnerabilità, nei computer esistenti e nuovi, senza la necessità di correggere manualmente la raccomandazione, vedere Le soluzioni di valutazione della vulnerabilità possono ora essere abilitate automaticamente (in anteprima).
Per altre informazioni, vedere Investigate debolezze con la gestione delle minacce e delle vulnerabilità di Microsoft Defender per endpoint.
Microsoft Defender per endpoint per Linux ora supportato da Microsoft Defender per server , rilasciato per la disponibilità generale
Nel mese di agosto we annunciato supporto dell'anteprima per la distribuzione del sensore Defender per endpoint per Linux nei computer Linux supportati. Questa funzionalità viene ora rilasciata per la disponibilità generale .THIS FEATURE is now released for general availability (GA).
Microsoft Defender per server include una licenza integrata per Microsoft Defender per endpoint. Insieme, le due soluzioni offrono funzionalità di rilevamento e reazione dagli endpoint (EDR) complete.
Quando Defender per endpoint rileva una minaccia, viene attivato un avviso. L'avviso viene visualizzato in Defender per il cloud. Da Defender per il cloud è anche possibile passare alla Defender per la console endpoint ed eseguire un'indagine dettagliata per scoprire l'ambito dell'attacco.
Per altre informazioni, vedere Proteggere gli endpoint con la soluzione EDR integrata del Centro sicurezza: Microsoft Defender per endpoint.
Esportazione di snapshot per raccomandazioni e risultati della sicurezza (in anteprima)
Defender per il cloud genera avvisi di sicurezza dettagliati e raccomandazioni. È possibile visualizzarli nel portale o tramite strumenti programmatici. Potrebbe anche essere necessario esportare alcune o tutte queste informazioni per il rilevamento con altri strumenti di monitoraggio nell'ambiente.
La funzionalità Defender per il cloud >continuous export consente di personalizzare completamente verrà esportata e where verrà esportata. Per altre informazioni, vedere Esportare Microsoft Defender per il cloud dati.
Anche se la funzionalità è chiamata continua, è anche possibile esportare snapshot settimanali. Fino ad ora, questi snapshot settimanali erano limitati ai dati relativi al punteggio di sicurezza e alla conformità alle normative. È stata aggiunta la funzionalità per esportare raccomandazioni e risultati della sicurezza.
Provisioning automatico delle soluzioni di valutazione della vulnerabilità rilasciate per la disponibilità generale
A ottobre we annunciato l'aggiunta di soluzioni di valutazione della vulnerabilità alla pagina di provisioning automatico di Defender per il cloud. Questo è rilevante per Azure macchine virtuali e computer Azure Arc nelle sottoscrizioni protette da Azure Defender per server. Questa funzionalità viene ora rilasciata per la disponibilità generale .THIS FEATURE is now released for general availability (GA).
Se l'integrazione con Microsoft Defender per endpoint è abilitata, Defender per il cloud presenta una scelta di soluzioni di valutazione della vulnerabilità:
- (NEW) Modulo di gestione delle minacce e delle vulnerabilità di Microsoft di Microsoft Defender per endpoint (vedere la nota sulla versione)
- Agente Qualys integrato
La soluzione scelta verrà abilitata automaticamente nei computer supportati.
Per altre informazioni, vedere Configurare automaticamente la valutazione della vulnerabilità per i computer.
Filtri di inventario software nell'inventario degli asset rilasciati per la disponibilità generale
In ottobre sono stati annunciati nuovi filtri per la pagina inventario asset per selezionare i computer che eseguono software specifico e anche specificare le versioni di interesse. Questa funzionalità viene ora rilasciata per la disponibilità generale .THIS FEATURE is now released for general availability (GA).
È possibile eseguire query sui dati di inventario software in Azure Resource Graph Explorer.
Per usare queste funzionalità, è necessario abilitare il integrazione con Microsoft Defender per endpoint.
Per informazioni dettagliate, incluse le query Kusto di esempio per Azure Resource Graph, vedere Access a software inventory.
Nuovi criteri di sicurezza del servizio Azure Kubernetes aggiunti all'iniziativa predefinita
Per assicurarsi che i carichi di lavoro Kubernetes siano protetti per impostazione predefinita, Defender per il cloud include criteri a livello di Kubernetes e raccomandazioni per la protezione avanzata, incluse le opzioni di imposizione con il controllo di ammissione kubernetes.
Come parte di questo progetto, sono stati aggiunti criteri e raccomandazioni (disabilitati per impostazione predefinita) per la distribuzione tramite gating nei cluster Kubernetes. Il criterio si trova nell'iniziativa predefinita, ma è rilevante solo per le organizzazioni che si registrano per l'anteprima correlata.
È possibile ignorare in modo sicuro i criteri e le raccomandazioni ("I cluster Kubernetes devono controllare la distribuzione di immagini vulnerabili") e non vi sarà alcun impatto sull'ambiente.
Se vuoi partecipare all'anteprima, dovrai essere un membro dell'anello di anteprima. Se non sei già membro, invia una richiesta qui. I membri riceveranno una notifica all'inizio dell'anteprima.
La visualizzazione dell'inventario dei computer locali applica un modello diverso per il nome della risorsa
Per migliorare la presentazione delle risorse nell'inventario asset, è stato rimosso l'elemento "source-computer-IP" dal modello per la denominazione dei computer locali.
-
Formato precedente:
machine-name_source-computer-id_VMUUID -
Da questo aggiornamento:
machine-name_VMUUID
Ottobre 2021
Gli aggiornamenti del mese di ottobre includono quanto segue:
- Microsoft Gestione delle minacce e delle vulnerabilità aggiunta come soluzione di valutazione della vulnerabilità (in anteprima)
- Le soluzioni di valutazione della vulnerabilità possono ora essere abilitate automaticamente (in anteprima)
- Filtri di inventario software aggiunti all'inventario asset (in anteprima)
- Prefisso modificato di alcuni tipi di avviso da "ARM_" a "VM_"
- Modifiche alla logica di una raccomandazione di sicurezza per i cluster Kubernetes
- Le pagine dei dettagli delle raccomandazioni ora mostrano raccomandazioni correlate
- Nuova avvisi per Azure Defender per Kubernetes (in anteprima)
Microsoft gestione delle minacce e della vulnerabilità aggiunta come soluzione di valutazione della vulnerabilità (in anteprima)
È stata estesa l'integrazione tra Azure Defender per server e Microsoft Defender per endpoint, per supportare un nuovo provider di valutazione della vulnerabilità per i computer: Microsoft gestione delle minacce e delle vulnerabilità.
Usare threat e la gestione delle vulnerabilità per individuare vulnerabilità e configurazioni errate quasi in tempo reale con l'integrazione integration con Microsoft Defender per endpoint abilitata e senza la necessità di ulteriori agenti o analisi periodiche. Minacce e gestione delle vulnerabilità assegna priorità alle vulnerabilità in base al panorama delle minacce e ai rilevamenti nell'organizzazione.
Usare la raccomandazione di sicurezza "Una soluzione di valutazione della vulnerabilità deve essere abilitata nelle macchine virtuali" per individuare le vulnerabilità rilevate da gestione di minacce e vulnerabilità per i computer supportati.
Per individuare automaticamente le vulnerabilità, nei computer esistenti e nuovi, senza la necessità di correggere manualmente la raccomandazione, vedere Le soluzioni di valutazione della vulnerabilità possono ora essere abilitate automaticamente (in anteprima).
Per altre informazioni, vedere Investigate debolezze con la gestione delle minacce e delle vulnerabilità di Microsoft Defender per endpoint.
Le soluzioni di valutazione della vulnerabilità possono ora essere abilitate automaticamente (in anteprima)
La pagina di provisioning automatico del Centro sicurezza include ora la possibilità di abilitare automaticamente una soluzione di valutazione della vulnerabilità per Azure macchine virtuali e computer Azure Arc nelle sottoscrizioni protette da Azure Defender per server.
Se l'integrazione con Microsoft Defender per endpoint è abilitata, Defender per il cloud presenta una scelta di soluzioni di valutazione della vulnerabilità:
- (NEW) Modulo di gestione delle minacce e delle vulnerabilità di Microsoft di Microsoft Defender per endpoint (vedere la nota sulla versione)
- Agente Qualys integrato
La soluzione scelta verrà abilitata automaticamente nei computer supportati.
Per altre informazioni, vedere Configurare automaticamente la valutazione della vulnerabilità per i computer.
Filtri di inventario software aggiunti all'inventario asset (in anteprima)
La pagina inventario asset include ora un filtro per selezionare i computer che eseguono software specifico e persino specificare le versioni di interesse.
Inoltre, è possibile eseguire query sui dati di inventario software in Azure Resource Graph Explorer.
Per usare queste nuove funzionalità, è necessario abilitare integration con Microsoft Defender per endpoint.
Per informazioni dettagliate, incluse le query Kusto di esempio per Azure Resource Graph, vedere Access a software inventory.
Prefisso modificato di alcuni tipi di avviso da "ARM_" a "VM_"
Nel luglio 2021 è stata annunciata una riorganizzazione logica di Azure Defender per gli avvisi Resource Manager
Durante la riorganizzazione dei piani di Defender, gli avvisi sono stati spostati da Azure Defender per Resource Manager a Azure Defender per server.
Con questo aggiornamento sono stati modificati i prefissi di questi avvisi in modo che corrispondano a questa riassegnazione e sostituito "ARM_" con "VM_" come illustrato nella tabella seguente:
| Nome originale | Da questa modifica |
|---|---|
| ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
| ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
| ARM_AmDisablement | VM_AmDisablement |
| ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
| ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
| ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
| ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
| ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
| ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
| ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
| ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
| ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
| ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
| ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
| ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
| ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
| ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
| ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
| ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
Altre informazioni sul Azure Defender per Resource Manager e Azure Defender per server.
Modifiche alla logica di una raccomandazione di sicurezza per i cluster Kubernetes
La raccomandazione "I cluster Kubernetes non devono usare lo spazio dei nomi predefinito" impedisce l'utilizzo dello spazio dei nomi predefinito per un intervallo di tipi di risorse. Due dei tipi di risorse inclusi in questa raccomandazione sono stati rimossi: ConfigMap e Secret.
Altre informazioni su questa raccomandazione e la protezione avanzata dei cluster Kubernetes in Understand Criteri di Azure per i cluster Kubernetes.
Le pagine dei dettagli delle raccomandazioni ora mostrano raccomandazioni correlate
Per chiarire le relazioni tra raccomandazioni diverse, è stata aggiunta un'area Raccomandazioni correlate alle pagine dei dettagli di molte raccomandazioni.
I tre tipi di relazione visualizzati in queste pagine sono:
- prerequisiti: raccomandazione che deve essere completata prima della raccomandazione selezionata
- Alternativa: una raccomandazione diversa che offre un altro modo per raggiungere gli obiettivi della raccomandazione selezionata
- Dipendente: una raccomandazione per cui la raccomandazione selezionata è un prerequisito
Per ogni raccomandazione correlata, il numero di risorse non integre è visualizzato nella colonna "Risorse interessate".
Tip
Se una raccomandazione correlata è disattivata, la relativa dipendenza non è ancora stata completata e quindi non è disponibile.
Esempio di raccomandazioni correlate:
Il Centro sicurezza controlla i computer per verificare la presenza di soluzioni di valutazione della vulnerabilità supportate:
È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtualiSe ne viene trovata una, si riceverà una notifica sulle vulnerabilità individuate:
È consigliabile correggere le vulnerabilità nelle macchine virtuali
Ovviamente, il Centro sicurezza non può notificare le vulnerabilità individuate a meno che non trovi una soluzione di valutazione della vulnerabilità supportata.
Therefore:
- Raccomandazione n. 1 è un prerequisito per la raccomandazione n. 2
- La raccomandazione n. 2 dipende dalla raccomandazione n. 1
Nuovi avvisi per Azure Defender per Kubernetes (in anteprima)
Per espandere le protezioni dalle minacce fornite da Azure Defender per Kubernetes, sono stati aggiunti due avvisi di anteprima.
Questi avvisi vengono generati in base a un nuovo modello di Machine Learning e all'analisi avanzata di Kubernetes, misurando più attributi di distribuzione e assegnazione di ruolo rispetto alle attività precedenti nel cluster e in tutti i cluster monitorati da Azure Defender.
| Avviso (tipo di avviso) | Description | Tattiche MITRE | Severity |
|---|---|---|---|
|
Distribuzione di pod anomali (anteprima) (K8S_AnomalousPodDeployment) |
L'analisi dei log di controllo di Kubernetes ha rilevato una distribuzione anomala dei pod in base all'attività di distribuzione precedente. Questa attività viene considerata anomale quando si esamina il modo in cui le diverse funzionalità dell'operazione di distribuzione si riferiscono l'una all'altra. Le funzionalità monitorate includono il registro immagini del contenitore usato, l'account di distribuzione, il giorno della settimana, la frequenza di distribuzione per questo account, l'agente utente usato, i modelli di distribuzione dello spazio dei nomi e altre caratteristiche. Le proprietà estese dell'avviso illustrano in dettaglio i motivi principali per identificare l'avviso come attività anomale. | Execution | Medium |
|
Autorizzazioni di ruolo eccessive assegnate nel cluster Kubernetes (anteprima) (K8S_ServiceAcountPermissionAnomaly) |
L'analisi dei log di controllo di Kubernetes ha rilevato un'assegnazione di ruolo di autorizzazioni eccessiva al cluster. Esaminando le assegnazioni di ruolo, le autorizzazioni elencate non sono comuni all'account del servizio specifico. Questo rilevamento considera le assegnazioni di ruolo precedenti allo stesso account del servizio tra i cluster monitorati da Azure, volume per autorizzazione e l'impatto dell'autorizzazione specifica. Il modello di rilevamento anomalie usato per questo avviso tiene conto del modo in cui questa autorizzazione viene usata in tutti i cluster monitorati da Azure Defender. | Escalation dei privilegi | Low |
Per un elenco completo degli avvisi di Kubernetes, vedere Avvisi per i cluster Kubernetes.
Settembre 2021
A settembre è stato rilasciato l'aggiornamento seguente:
Due nuove raccomandazioni per controllare le configurazioni del sistema operativo per Azure conformità alla baseline di sicurezza (in anteprima)
Sono state rilasciate le due raccomandazioni seguenti per valutare la conformità dei computer alla baseline di sicurezza Windows e alla baseline di sicurezza Linux:
- Per i computer Windows, Vulnerabilities nella configurazione di sicurezza nei computer Windows devono essere corretti (con configurazione guest)
- Per i computer Linux, le vulnerabilità nella configurazione di sicurezza nei computer Linux devono essere corrette (con tecnologia Configurazione guest)
Queste raccomandazioni usano la funzionalità di configurazione guest di Criteri di Azure per confrontare la configurazione del sistema operativo di un computer con la baseline definita nella Azure Security Benchmark.
Altre informazioni sull'uso di queste raccomandazioni sono disponibili in Protezione avanzata della configurazione del sistema operativo di un computer usando la configurazione guest.
Agosto 2021
Gli aggiornamenti del mese di agosto includono quanto segue:
- Microsoft Defender per endpoint per Linux ora supportato da Azure Defender per server (in anteprima)
- Due nuove raccomandazioni per la gestione delle soluzioni di Endpoint Protection (in anteprima)
- Risoluzione dei problemi e linee guida predefinite per la risoluzione dei problemi comuni
- Reulatory compliance dashboard Azure Report di controllo rilasciati per la disponibilità generale (GA)
- raccomandazione Deprecated 'Log Analytics agent health issues should be resolved on your machines'
- Azure Defender per i registri contenitori ora analizza le vulnerabilità nei registri protetti con collegamento privato di Azure
- Security Center può ora eseguire il provisioning automatico dell'estensione Configurazione guest di Criteri di Azure (in anteprima)
- Le raccomandazioni ora supportano "Imponi".
- Esportazioni CSV dei dati delle raccomandazioni ora limitate a 20 MB
- La pagina Raccomandazioni include ora più visualizzazioni
Microsoft Defender per endpoint per Linux ora supportato da Azure Defender per server (in anteprima)
Azure Defender per Server include una licenza integrata per Microsoft Defender per endpoint. Insieme, le due soluzioni offrono funzionalità di rilevamento e reazione dagli endpoint (EDR) complete.
Quando Defender per endpoint rileva una minaccia, viene attivato un avviso. L'avviso viene ora mostrato nel Centro sicurezza. Dal Centro sicurezza è anche possibile passare alla Defender per la console endpoint ed eseguire un'indagine dettagliata per individuare l'ambito dell'attacco.
Durante il periodo di anteprima, si distribuirà il sensore Defender per Endpoint per Linux nei computer Linux supportati in uno dei due modi a seconda che sia già stato distribuito nei computer Windows:
- Esisting users with Defender per il cloud's enhanced security features enabled and Microsoft Defender per endpoint for Windows
- Nuovi utenti che non hanno mai abilitato l'integrazione con Microsoft Defender per endpoint per Windows
Per altre informazioni, vedere Proteggere gli endpoint con la soluzione EDR integrata del Centro sicurezza: Microsoft Defender per endpoint.
Due nuove raccomandazioni per la gestione delle soluzioni di Endpoint Protection (in anteprima)
Sono state aggiunte due raccomandazioni di anteprima per distribuire e gestire le soluzioni di Endpoint Protection nei computer. Entrambe le raccomandazioni includono il supporto per le macchine virtuali e le macchine virtuali Azure connesse ai server abilitati per Azure Arc.
| Recommendation | Description | Severity |
|---|---|---|
| È necessario installare Endpoint Protection nei computer | Per proteggere i computer da minacce e vulnerabilità, installare una soluzione supportata di Endpoint Protection.
Altre informazioni sulla valutazione di Endpoint Protection per i computer. (Criterio correlato: Monitoraggio di Endpoint Protection mancante in Centro sicurezza di Azure) |
High |
| È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer | Risolvere i problemi di integrità di Endpoint Protection nelle macchine virtuali per proteggerle dalle minacce e dalle vulnerabilità più recenti. Centro sicurezza di Azure soluzioni di Endpoint Protection supportate sono documentate here. La valutazione di Endpoint Protection è documentata qui. (Criterio correlato: Monitoraggio di Endpoint Protection mancante in Centro sicurezza di Azure) |
Medium |
Note
Le raccomandazioni mostrano l'intervallo di aggiornamento come 8 ore, ma esistono alcuni scenari in cui questa operazione potrebbe richiedere molto più tempo. Ad esempio, quando un computer locale viene eliminato, sono necessarie 24 ore prima che il Centro sicurezza identifichi l'eliminazione. Successivamente, la valutazione richiederà fino a 8 ore per restituire le informazioni. In tale situazione specifica potrebbe quindi essere necessario attendere 32 ore prima che il computer venga rimosso dall'elenco delle risorse interessate.
Risoluzione dei problemi e linee guida predefinite per la risoluzione dei problemi comuni
Una nuova area dedicata delle pagine del Centro sicurezza nel portale di Azure offre un set di materiali self-help in continua crescita per risolvere le sfide comuni con il Centro sicurezza e Azure Defender.
Quando si verifica un problema o si cercano consigli dal team di supporto, diagnosticare e risolvere i problemi è un altro strumento per trovare la soluzione:
Report di controllo Azure del dashboard di conformità alle normative rilasciati per la disponibilità generale
La barra degli strumenti del dashboard di conformità alle normative offre Azure e Dynamics report di certificazione per gli standard applicati alle sottoscrizioni.
È possibile selezionare la scheda per i tipi di report pertinenti (PCI, SOC, ISO e altri) e usare i filtri per trovare i report specifici necessari.
Per altre informazioni, vedere Generare report e certificati sullo stato di conformità.
Raccomandazione deprecata 'Log Analytics i problemi di integrità dell'agente devono essere risolti nei computer'
È stato rilevato che le raccomandazioni Log Analytics problemi di integrità dell'agente devono essere risolti nei computer influiscono sui punteggi di sicurezza in modi non coerenti con lo stato attivo di Cloud Security Posture Management (CSPM) del Centro sicurezza. In genere, CSPM si riferisce all'identificazione di errori di configurazione della sicurezza. I problemi di integrità dell'agente non rientrano in questa categoria di problemi.
Inoltre, la raccomandazione è un'anomalia rispetto agli altri agenti correlati al Centro sicurezza: questo è l'unico agente con una raccomandazione relativa ai problemi di integrità.
La raccomandazione è stata deprecata.
A seguito di questa deprecazione, sono state apportate anche modifiche secondarie ai consigli per l'installazione dell'agente Log Analytics (Log Analytics agente deve essere installato in... ).
È probabile che questa modifica influirà sul punteggio di sicurezza. Per la maggior parte delle sottoscrizioni, si prevede che la modifica porti a un punteggio maggiore, ma è possibile che gli aggiornamenti alla raccomandazione di installazione comportino una diminuzione dei punteggi in alcuni casi.
Tip
La pagina inventario asset è stata influenzata anche da questa modifica, perché visualizza lo stato monitorato per i computer (monitorato, non monitorato o parzialmente monitorato, ovvero uno stato che fa riferimento a un agente con problemi di integrità).
Azure Defender per i registri contenitori ora esegue l'analisi delle vulnerabilità nei registri protetti con collegamento privato di Azure
Azure Defender per i registri contenitori include uno scanner di vulnerabilità per analizzare le immagini nei registri Registro Azure Container. Informazioni su come analizzare i registri e correggere i risultati in Usare Azure Defender per individuare le vulnerabilità delle immagini.
Per limitare l'accesso a un registro ospitato in Registro Azure Container, assegnare indirizzi IP privati della rete virtuale agli endpoint del Registro di sistema e usare collegamento privato di Azure come illustrato in Connettersi privatamente a un Azure container registry usando collegamento privato di Azure.
Nell'ambito dei nostri continui sforzi per supportare altri ambienti e casi d'uso, Azure Defender ora analizza anche i registri contenitori protetti con collegamento privato di Azure.
Il Centro sicurezza può ora effettuare il provisioning automatico dell'estensione Configurazione guest di Criteri di Azure (in anteprima)
Criteri di Azure possibile controllare le impostazioni all'interno di un computer, sia per i computer in esecuzione in Azure che nei computer connessi ad Arc. La convalida viene eseguita dall'estensione Configurazione guest e dal client. Altre informazioni sono disponibili in Configurazione guest di Criteri di Azure.
Con questo aggiornamento, è ora possibile impostare il Centro sicurezza per effettuare automaticamente il provisioning di questa estensione in tutti i computer supportati.
Altre informazioni sul funzionamento del provisioning automatico sono disponibili in Configurare il provisioning automatico per agenti ed estensioni.
Le raccomandazioni ora supportano "Imponi"
Il Centro sicurezza include due funzionalità che consentono di garantire che il provisioning delle risorse appena create venga eseguito in modo sicuro: applicare e negare. Quando una raccomandazione offre queste opzioni, è possibile assicurarsi che i requisiti di sicurezza vengano soddisfatti ogni volta che un utente tenta di creare una risorsa:
- Nega impedisce la creazione di risorse non integre
- Applicare la correzione automatica delle risorse non conformi al momento della creazione
Con questo aggiornamento, l'opzione applica è ora disponibile nelle raccomandazioni per abilitare i piani di Azure Defender (ad esempio, Azure Defender per il servizio app deve essere abilitata, Azure Defender per Key Vault deve essere abilitata, Azure Defender per Archiviazione deve essere abilitata).
Per altre informazioni su queste opzioni, vedere Impedire configurazioni errate con le raccomandazioni Imponi/Nega.
Esportazioni CSV dei dati delle raccomandazioni ora limitate a 20 MB
Durante l'esportazione dei dati delle raccomandazioni del Centro sicurezza viene previsto un limite di 20 MB.
Se è necessario esportare grandi quantità di dati, usare i filtri disponibili prima di selezionare o selezionare subset delle sottoscrizioni e scaricare i dati in batch.
sottoscrizioni 
Altre informazioni sull'esecuzione di un'esportazione CSV delle raccomandazioni sulla sicurezza.
La pagina Raccomandazioni include ora più visualizzazioni
La pagina delle raccomandazioni include ora due schede per fornire modi alternativi per visualizzare le raccomandazioni rilevanti per le risorse:
- Raccomandazioni per il punteggio di sicurezza : usare questa scheda per visualizzare l'elenco di raccomandazioni raggruppate in base al controllo di sicurezza. Altre informazioni su questi controlli sono disponibili in Controlli di sicurezza e i relativi consigli.
- Tutti i consigli : usare questa scheda per visualizzare l'elenco di raccomandazioni come elenco semplice. Questa scheda è utile anche per comprendere quale iniziativa (inclusi gli standard di conformità alle normative) ha generato la raccomandazione. Altre informazioni sulle iniziative e sulla relazione con le raccomandazioni in Che cosa sono i criteri, le iniziative e le raccomandazioni per la sicurezza?
Luglio 2021
Gli aggiornamenti del mese di luglio includono quanto segue:
- Microsoft Sentinel connettore include ora la sincronizzazione facoltativa degli avvisi bidirezionali (in anteprima)
- Organizzare logica di Azure Defender per gli avvisi di Resource Manager
- Enhancements per abilitare Crittografia dischi di Azure (ADE)
- Esportazione continua dei dati relativi al punteggio di sicurezza e alla conformità alle normative rilasciati per la disponibilità generale
- Le automazione del flusso di lavoro possono essere attivate dalle modifiche alle valutazioni di conformità alle normative (GA)
- Il campo API Valutazioni 'FirstEvaluationDate' e 'StatusChangeDate' ora disponibile negli schemi dell'area di lavoro e nelle app per la logica
- 'Modello di cartella di lavoro Conformità nel tempo' aggiunto alla raccolta cartelle di lavoro Monitoraggio di Azure Cartelle di lavoro
Microsoft Sentinel connettore include ora la sincronizzazione facoltativa degli avvisi bidirezionali (in anteprima)
Il Centro sicurezza si integra in modo nativo con Microsoft Sentinel, la soluzione SIEM e SOAR nativa del cloud di Azure.
Microsoft Sentinel include connettori predefiniti per Centro sicurezza di Azure a livello di sottoscrizione e tenant. Per altre informazioni, vedere avvisi Stream per Microsoft Sentinel.
Quando ci si connette Azure Defender a Microsoft Sentinel, lo stato degli avvisi di Azure Defender inseriti in Microsoft Sentinel viene sincronizzato tra i due servizi. Ad esempio, quando un avviso viene chiuso in Azure Defender, tale avviso verrà visualizzato anche come chiuso in Microsoft Sentinel. La modifica dello stato di un avviso in Azure Defender "non"* influisce sullo stato di qualsiasi Microsoft Sentinel incidents che contiene l'avviso Microsoft Sentinel sincronizzato, solo quello dell'avviso sincronizzato stesso.
Quando si abilita la funzionalità di anteprima sincronizzazione degli avvisi direzionali, sincronizza automaticamente lo stato degli avvisi Azure Defender originali con eventi imprevisti Microsoft Sentinel contenenti copie di tali avvisi Azure Defender. Ad esempio, quando un evento imprevisto Microsoft Sentinel contenente un avviso di Azure Defender viene chiuso, Azure Defender chiuderà automaticamente l'avviso originale corrispondente.
Per altre informazioni, vedere Connettere gli avvisi Azure Defender da Centro sicurezza di Azure.
Riorganizzazione logica delle Azure Defender per gli avvisi di Resource Manager
Gli avvisi elencati di seguito sono stati forniti come parte del piano Azure Defender per Resource Manager.
Come parte di una riorganizzazione logica di alcuni dei piani di Azure Defender, sono stati spostati alcuni avvisi da Azure Defender per Resource Manager a Azure Defender per server.
Gli avvisi sono organizzati in base a due principi principali:
- Gli avvisi che forniscono la protezione del piano di controllo, in molti tipi di risorse Azure, fanno parte di Azure Defender per Resource Manager
- Gli avvisi che proteggono carichi di lavoro specifici si trovano nel piano di Azure Defender correlato al carico di lavoro corrispondente
Questi sono gli avvisi che fanno parte di Azure Defender per Resource Manager e che, in seguito a questa modifica, fanno ora parte di Azure Defender per i server:
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
Altre informazioni sul Azure Defender per Resource Manager e Azure Defender per server.
Miglioramenti alla raccomandazione per abilitare Crittografia dischi di Azure (ADE)
Dopo il feedback degli utenti, è stata rinominata la raccomandazione Crittografia disco deve essere applicata alle macchine virtuali.
La nuova raccomandazione usa lo stesso ID di valutazione e viene chiamata Macchine virtuali deve crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e archiviazione.
La descrizione è stata aggiornata anche per spiegare meglio lo scopo di questa raccomandazione di protezione avanzata:
| Recommendation | Description | Severity |
|---|---|---|
| Le macchine virtuali devono crittografare i dischi temporanei, le cache e i flussi di dati tra le risorse di calcolo e di archiviazione | Per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi usando chiavi gestite dalla piattaforma; I dischi temporanei e le cache dei dati non vengono crittografati e i dati non vengono crittografati durante il flusso tra risorse di calcolo e di archiviazione. Per altre informazioni, vedere comparison di tecnologie di crittografia dischi diverse in Azure. Usare Crittografia dischi di Azure per crittografare tutti i dati. Ignorare questa raccomandazione se: (1) si usa la funzionalità di crittografia at-host o (2) crittografia lato server in Managed Disks soddisfa i requisiti di sicurezza. Per altre informazioni, vedere Crittografia lato server di archiviazione su disco di Azure. |
High |
Esportazione continua dei dati relativi al punteggio di sicurezza e alla conformità alle normative rilasciati per la disponibilità generale
L'esportazione continua fornisce il meccanismo per esportare gli avvisi di sicurezza e le raccomandazioni per il rilevamento con altri strumenti di monitoraggio nell'ambiente in uso.
Quando si configura l'esportazione continua, si configurano gli elementi esportati e dove verrà eseguito. Altre informazioni sono disponibili nella panoramica dell'esportazione continua.
Questa funzionalità è stata migliorata ed espansa nel tempo:
Nel novembre 2020 è stata aggiunta l'opzione di anteprima per trasmettere le modifiche al punteggio di sicurezza.
Nel dicembre 2020 è stata aggiunta l'opzione di anteprima per trasmettere le modifiche ai dati di valutazione della conformità alle normative.
Con questo aggiornamento, queste due opzioni vengono rilasciate per la disponibilità generale .With this update, these two options are released for general availability (GA).
Le automazione del flusso di lavoro possono essere attivate dalle modifiche alle valutazioni di conformità alle normative (GA)
Nel mese di febbraio 2021 è stato aggiunto un terzo tipo di dati di anteprima alle opzioni di trigger per le automazione del flusso di lavoro: modifiche alle valutazioni di conformità alle normative. Per altre informazioni, vedere Automazione del flusso di lavoro che può essere attivata dalle modifiche alle valutazioni di conformità alle normative.
Con questo aggiornamento, questa opzione di trigger viene rilasciata per la disponibilità generale .With this update, this trigger option is released for general availability (GA).
Informazioni su come usare gli strumenti di automazione del flusso di lavoro in Automatizzare le risposte ai trigger del Centro sicurezza.
Il campo API Valutazioni 'FirstEvaluationDate' e 'StatusChangeDate' ora disponibile negli schemi dell'area di lavoro e nelle app per la logica
Nel maggio 2021 l'API di valutazione è stata aggiornata con due nuovi campi, FirstEvaluationDate e StatusChangeDate. Per informazioni dettagliate, vedere API Valutazioni espansa con due nuovi campi.
Questi campi sono stati accessibili tramite l'API REST, Azure Resource Graph, l'esportazione continua e le esportazioni CSV.
Con questa modifica, le informazioni sono disponibili nello schema dell'area di lavoro Log Analytics e dalle app per la logica.
Modello di cartella di lavoro 'Compliance over time' aggiunto alla raccolta Monitoraggio di Azure Workbooks
A marzo è stata annunciata l'esperienza integrata delle cartelle di lavoro di Monitoraggio di Azure nel Centro sicurezza (vedere Monitoraggio di Azure Cartelle di lavoro integrate nel Centro sicurezza e tre modelli forniti.
La versione iniziale include tre modelli per creare report dinamici e visivi sul comportamento di sicurezza dell'organizzazione.
È stata aggiunta una cartella di lavoro dedicata al monitoraggio della conformità di una sottoscrizione agli standard normativi o di settore applicati.
Informazioni sull'uso di questi report o sulla creazione di report personalizzati in Creare report interattivi avanzati dei dati del Centro sicurezza.
Giugno 2021
Gli aggiornamenti del mese di giugno includono quanto segue:
- Nuovo avviso per Azure Defender per Key Vault
- Raccomandazioni per la crittografia con chiavi gestite dal cliente (CMK) disabilitate per impostazione predefinita
- Il prefisso per gli avvisi kubernetes è stato modificato da "AKS_" a "K8S_"
- Due raccomandazioni deprecate dal controllo di sicurezza "Applica aggiornamenti di sistema"
Nuovo avviso per Azure Defender per Key Vault
Per espandere le protezioni dalle minacce fornite da Azure Defender per Key Vault, è stato aggiunto l'avviso seguente:
| Avviso (tipo di avviso) | Description | Tattiche MITRE | Severity |
|---|---|---|---|
| Accesso da un indirizzo IP sospetto a un insieme di credenziali delle chiavi (KV_SuspiciousIPAccess) |
Un insieme di credenziali delle chiavi è stato eseguito correttamente da un indirizzo IP identificato da Microsoft Threat Intelligence come indirizzo IP sospetto. Ciò potrebbe indicare che l'infrastruttura è stata compromessa. È consigliabile eseguire ulteriori indagini. | Accesso alle credenziali | Medium |
Per altre informazioni, vedi:
- Introduzione a Azure Defender per Key Vault
- Respond a Azure Defender per gli avvisi di Key Vault
- List degli avvisi forniti da Azure Defender per Key Vault
Raccomandazioni per la crittografia con chiavi gestite dal cliente (CMK) disabilitate per impostazione predefinita
Il Centro sicurezza include più raccomandazioni per crittografare i dati inattivi con chiavi gestite dal cliente, ad esempio:
- I registri contenitori devono essere crittografati con una chiave gestita dal cliente
- Azure Cosmos DB account devono usare chiavi gestite dal cliente per crittografare i dati inattivi
- Azure Machine Learning le aree di lavoro devono essere crittografate con una chiave gestita dal cliente
I dati in Azure vengono crittografati automaticamente usando chiavi gestite dalla piattaforma, pertanto l'uso delle chiavi gestite dal cliente deve essere applicato solo quando necessario per la conformità a un criterio specifico che l'organizzazione sta scegliendo di applicare.
Con questa modifica, le raccomandazioni per l'uso dei cmk sono ora disabilitate per impostazione predefinita. Quando pertinente per l'organizzazione, è possibile abilitarli modificando il parametro Effect per i criteri di sicurezza corrispondenti in AuditIfNotExists o Enforce. Per altre informazioni, vedere Abilitare una raccomandazione di sicurezza.
Questa modifica si riflette nei nomi della raccomandazione con un nuovo prefisso [ Abilita se necessario], come illustrato negli esempi seguenti:
- [Abilita se necessario] Gli account di archiviazione devono usare la chiave gestita dal cliente per crittografare i dati inattivi
- [Abilita se necessario] I registri contenitori devono essere crittografati con una chiave gestita dal cliente
- [Abilita se necessario] Azure Cosmos DB account devono usare chiavi gestite dal cliente per crittografare i dati inattivi
Il prefisso per gli avvisi kubernetes è stato modificato da "AKS_" a "K8S_"
Azure Defender per Kubernetes espanso di recente per proteggere i cluster Kubernetes ospitati in locale e in ambienti multicloud. Per altre informazioni, vedere Usare Azure Defender per Kubernetes per proteggere le distribuzioni Kubernetes ibride e multicloud (in anteprima).
Per riflettere il fatto che gli avvisi di sicurezza forniti da Azure Defender per Kubernetes non sono più limitati ai cluster in servizio Azure Kubernetes, è stato modificato il prefisso per i tipi di avviso da "AKS_" a "K8S_". Se necessario, anche i nomi e le descrizioni sono stati aggiornati. Ad esempio, questo avviso:
| Avviso (tipo di avviso) | Description |
|---|---|
| Rilevato lo strumento di test di penetrazione kubernetes (AKS_PenTestToolsKubeHunter) |
L'analisi dei log di controllo di Kubernetes ha rilevato l'uso dello strumento di test di penetrazione kubernetes nel cluster del servizio Azure Kubernetes. Anche se questo comportamento può essere legittimo, gli utenti malintenzionati potrebbero usare tali strumenti pubblici per scopi dannosi. |
Modificato in questo avviso:
| Avviso (tipo di avviso) | Description |
|---|---|
| Rilevato lo strumento di test di penetrazione kubernetes (K8S_PenTestToolsKubeHunter) |
L'analisi dei log di controllo di Kubernetes ha rilevato l'uso dello strumento di test di penetrazione Kubernetes nel cluster Kubernetes . Anche se questo comportamento può essere legittimo, gli utenti malintenzionati potrebbero usare tali strumenti pubblici per scopi dannosi. |
Tutte le regole di eliminazione che fanno riferimento agli avvisi che iniziano "AKS_" vengono convertite automaticamente. Se sono state configurate le esportazioni SIEM o script di automazione personalizzati che fanno riferimento agli avvisi kubernetes per tipo di avviso, sarà necessario aggiornarli con i nuovi tipi di avviso.
Per un elenco completo degli avvisi di Kubernetes, vedere Avvisi per i cluster Kubernetes.
Due raccomandazioni deprecate dal controllo di sicurezza "Applica aggiornamenti di sistema"
Sono state deprecate le due raccomandazioni seguenti:
- OS versione deve essere aggiornata per i ruoli del servizio cloud: per impostazione predefinita, Azure aggiorna periodicamente il sistema operativo guest all'immagine supportata più recente all'interno della famiglia di sistemi operativi specificata nella configurazione del servizio (.cscfg), ad esempio Windows Server 2016.
- I servizi Kubernetes devono essere aggiornati a una versione Kubernetes non vulnerabile: le valutazioni di questa raccomandazione non sono così ampie come si vuole che siano disponibili. Si prevede di sostituire la raccomandazione con una versione avanzata più adatta alle esigenze di sicurezza.
Maggio 2021
Gli aggiornamenti del mese di maggio includono quanto segue:
- Azure Defender per DNS e Azure Defender per Resource Manager rilasciati per la disponibilità generale (GA)
- Azure Defender per i database relazionali open source rilasciati per la disponibilità generale (GA)
- Nuovo avviso per Azure Defender per Resource Manager
- CI/CD analisi delle vulnerabilità dei contenitori con flussi di lavoro GitHub e Azure Defender (anteprima)
- Altre query di Resource Graph disponibili per alcune raccomandazioni
- Gravità della raccomandazione per la classificazione dei dati SQL modificata
- Nuove raccomandazioni per abilitare le funzionalità di avvio attendibili (in anteprima)
- Nuove raccomandazioni per la protezione avanzata dei cluster Kubernetes (in anteprima)
- API Valutazioni espansa con due nuovi campi
- L'inventario degli asset ottiene un filtro dell'ambiente cloud
Azure Defender per DNS e Azure Defender per Resource Manager rilasciati per la disponibilità generale (GA)
Questi due piani di protezione dalle minacce nativi del cloud sono ora disponibili a livello generale.
Queste nuove protezioni migliorano notevolmente la resilienza contro gli attacchi da parte degli attori delle minacce e aumentano significativamente il numero di risorse Azure protette da Azure Defender.
Azure Defender per Resource Manager: monitora automaticamente tutte le operazioni di gestione delle risorse eseguite nell'organizzazione. Per altre informazioni, vedi:
Azure Defender per DNS: monitora continuamente tutte le query DNS dalle risorse Azure. Per altre informazioni, vedi:
Per semplificare il processo di abilitazione di questi piani, usare le raccomandazioni:
- è necessario abilitare Azure Defender per Resource Manager
- Azure Defender per DNS deve essere abilitato
Note
L'abilitazione dei piani di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza.
Azure Defender per i database relazionali open source rilasciati per la disponibilità generale
Centro sicurezza di Azure espande l'offerta per la protezione SQL con un nuovo bundle per coprire i database relazionali open source:
- Azure Defender per i server di database di Azure SQL- difende i server SQL nativi Azure
- Azure Defender per i server SQL nei computer estende le stesse protezioni ai server SQL in ambienti ibridi, multicloud e locali
- Azure Defender per database relazionali open source: protegge i database Azure per i server singoli MySQL, PostgreSQL e MariaDB
Azure Defender per i database relazionali open source monitora costantemente i server per individuare le minacce alla sicurezza e rileva attività anomale del database che indicano potenziali minacce per Database di Azure per MySQL, PostgreSQL e MariaDB. Alcuni esempi sono:
- Rilevamentogranulare di attacchi di forza bruta: Azure Defender per i database relazionali open source fornisce informazioni dettagliate sui tentativi e sugli attacchi di forza bruta riusciti. In questo modo è possibile analizzare e rispondere con una comprensione più completa della natura e dello stato dell'attacco nell'ambiente.
- Avviazione degli avvisi di comportamento: Azure Defender per i database relazionali open source segnala comportamenti sospetti e imprevisti nei server, ad esempio le modifiche apportate al modello di accesso al database.
- Risorse basate sull'intelligence: Azure Defender applica l'intelligence sulle minacce di Microsoft e una vasta knowledge base per individuare gli avvisi sulle minacce in modo da poter agire contro di essi.
Per altre informazioni, vedere Introduzione a Azure Defender per database relazionali open source.
Nuovi avvisi per Azure Defender per Resource Manager
Per espandere le protezioni dalle minacce fornite da Azure Defender per Resource Manager, sono stati aggiunti gli avvisi seguenti:
| Avviso (tipo di avviso) | Description | Tattiche MITRE | Severity |
|---|---|---|---|
|
Permissions concessa per un ruolo controllo degli accessi in base al ruolo in modo insolito per l'ambiente di Azure (anteprima) (ARM_AnomalousRBACRoleAssignment) |
Azure Defender per Resource Manager rilevato un'assegnazione di ruolo controllo degli accessi in base al ruolo insolita rispetto ad altre assegnazioni eseguite dallo stesso assegnatare/eseguita per lo stesso assegnatario/nel tenant a causa delle anomalie seguenti: tempo di assegnazione, posizione assegnatario, assegnatario, metodo di autenticazione, entità assegnate, software client usato, extent di assegnazione. Questa operazione potrebbe essere stata eseguita da un utente legittimo nell'organizzazione. In alternativa, potrebbe indicare che un account dell'organizzazione è stato violato e che l'attore di minaccia sta tentando di concedere le autorizzazioni a un account utente aggiuntivo di cui è proprietario. | Movimento laterale, evasione della difesa | Medium |
|
Ruolo personalizzato con privilegi creato per la sottoscrizione in modo sospetto (anteprima) (ARM_PrivilegedRoleDefinitionCreation) |
Azure Defender per Resource Manager rilevato una creazione sospetta della definizione del ruolo personalizzato con privilegi nella sottoscrizione. Questa operazione potrebbe essere stata eseguita da un utente legittimo nell'organizzazione. In alternativa, potrebbe indicare che un account dell'organizzazione è stato violato e che l'attore della minaccia sta tentando di creare un ruolo con privilegi da usare in futuro per evitare il rilevamento. | Movimento laterale, evasione della difesa | Low |
| operazione Azure Resource Manager da un indirizzo IP sospetto (anteprima) (ARM_OperationFromSuspiciousIP) |
Azure Defender per Resource Manager rilevato un'operazione da un indirizzo IP contrassegnato come sospetto nei feed di intelligence per le minacce. | Execution | Medium |
| operazione Azure Resource Manager dall'indirizzo IP proxy sospetto (anteprima) (ARM_OperationFromSuspiciousProxyIP) |
Azure Defender per Resource Manager rilevato un'operazione di gestione delle risorse da un indirizzo IP associato ai servizi proxy, ad esempio TOR. Anche se questo comportamento può essere legittimo, viene spesso visualizzato in attività dannose, quando gli attori delle minacce tentano di nascondere l'INDIRIZZO IP di origine. | Evasione della difesa | Medium |
Per altre informazioni, vedi:
- Introduzione a Azure Defender per Resource Manager
- Rispond a Azure Defender per gli avvisi di Resource Manager
- Elenco degli avvisi forniti da Azure Defender per Resource Manager
Analisi delle vulnerabilità CI/CD delle immagini del contenitore con flussi di lavoro GitHub e Azure Defender (anteprima)
Azure Defender per i registri contenitori offre ora ai team DevSecOps l'osservabilità nei flussi di lavoro GitHub Actions.
La nuova funzionalità di analisi delle vulnerabilità per le immagini del contenitore, che usa Trivy, consente di analizzare le vulnerabilità comuni nelle immagini del contenitore prima di eseguire il push delle immagini nei registri contenitori.
I report di analisi dei contenitori sono riepilogati in Centro sicurezza di Azure, offrendo ai team di sicurezza informazioni più dettagliate e informazioni sull'origine delle immagini dei contenitori vulnerabili e dei flussi di lavoro e dei repository da cui provengono.
Per altre informazioni, vedere Identificare le immagini dei contenitori vulnerabili nei flussi di lavoro CI/CD.
Altre query di Resource Graph disponibili per alcune raccomandazioni
Tutte le raccomandazioni del Centro sicurezza hanno la possibilità di visualizzare le informazioni sullo stato delle risorse interessate usando Azure Resource Graph dalla query Open. Per informazioni dettagliate su questa potente funzionalità, vedere Review recommendation data in Azure Resource Graph Explorer.For full details about this potente feature, see Review recommendation data in Azure Resource Graph Explorer.
Il Centro sicurezza include scanner di vulnerabilità predefiniti per analizzare le macchine virtuali, i server SQL e i relativi host e i registri contenitori per individuare le vulnerabilità di sicurezza. I risultati vengono restituiti come raccomandazioni con tutti i singoli risultati per ogni tipo di risorsa raccolti in una singola visualizzazione. Gli elementi consigliati sono i seguenti:
- Le vulnerabilità nelle immagini Registro Azure Container devono essere risolte (con tecnologia Qualys)
- È consigliabile correggere le vulnerabilità nelle macchine virtuali
- I risultati delle vulnerabilità devono essere risolti nei database SQL
- I risultati delle vulnerabilità devono essere risolti nei server SQL
Con questa modifica, è possibile usare il pulsante Apri query per aprire anche la query che mostra i risultati della sicurezza.
Il pulsante Apri query offre opzioni aggiuntive per altre raccomandazioni, se pertinenti.
Altre informazioni sugli scanner di vulnerabilità del Centro sicurezza:
- scanner di vulnerabilità Qualys integrato di Azure Defender per Azure e macchine ibride
- scanner di valutazione della vulnerabilità integrato di Azure Defender per i server SQL
- scanner di valutazione della vulnerabilità integrato di Azure Defender per i registri contenitori
Gravità della raccomandazione per la classificazione dei dati SQL modificata
La gravità della raccomandazione Dati sensibili nei database SQL deve essere classificata è stata modificata da Alta a Bassa.
Questa è una modifica continua a questa raccomandazione annunciata nella pagina delle modifiche imminenti.
Nuove raccomandazioni per abilitare le funzionalità di avvio attendibili (in anteprima)
Azure offre un lancio affidabile come un modo semplice per migliorare la sicurezza delle macchine virtuali generation 2. L'avvio attendibile protegge da tecniche di attacco avanzate e persistenti. L'avvio attendibile è costituito da diverse tecnologie di infrastruttura coordinate che possono essere abilitate in modo indipendente. Ogni tecnologia offre un altro livello di difesa contro minacce sofisticate. Altre informazioni sono disponibili in Avvio attendibile per le macchine virtuali Azure.
Important
L'avvio attendibile richiede la creazione di nuove macchine virtuali. Non è possibile abilitare l'avvio attendibile nelle macchine virtuali esistenti create inizialmente senza di esso.
L'avvio attendibile è attualmente disponibile in anteprima pubblica. L'anteprima viene fornita senza un contratto di servizio e non è consigliata per i carichi di lavoro di produzione. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate.
Le raccomandazioni del Centro sicurezza, vTPM devono essere abilitate nelle macchine virtuali supportate, assicura che le macchine virtuali Azure usino un vTPM. Questa versione virtualizzata di un modulo trusted platform hardware consente l'attestazione misurando l'intera catena di avvio della macchina virtuale (UEFI, sistema operativo, sistema e driver).
Con vTPM abilitato, l'estensione Attestazione guest può convalidare in remoto l'avvio protetto. Le raccomandazioni seguenti assicurano che questa estensione venga distribuita:
- Avvio protetto deve essere abilitato nelle macchine virtuali supportate Windows
- Estensione attestazioneguest deve essere installata nelle macchine virtuali supportate Windows
Estensione attestazioneguest deve essere installata nelle Windows set di scalabilità di macchine virtuali - L'estensione attestazione guest deve essere installata nelle macchine virtuali Linux supportate
Estensione attestazioneguest deve essere installata in Linux set di scalabilità di macchine virtuali
Altre informazioni sono disponibili in Avvio attendibile per le macchine virtuali Azure.
Nuove raccomandazioni per la protezione avanzata dei cluster Kubernetes (in anteprima)
I consigli seguenti consentono di rafforzare ulteriormente i cluster Kubernetes
- I cluster Kubernetes non devono usare lo spazio dei nomi predefinito: per evitare accessi non autorizzati per i tipi di risorse ConfigMap, Pod, Secret, Service e ServiceAccount, impedire l'utilizzo dello spazio dei nomi predefinito nei cluster Kubernetes.
- I cluster Kubernetes devono disabilitare le credenziali API di montaggio automatico: per evitare che una risorsa pod potenzialmente compromessa esegua comandi API nei cluster Kubernetes, disabilitare il montaggio automatico delle credenziali API.
- I cluster Kubernetes non devono concedere funzionalità di sicurezza CAPSYSADMIN
Informazioni su come il Centro sicurezza può proteggere gli ambienti in contenitori nella sicurezza dei contenitori nel Centro sicurezza.
API Valutazioni espansa con due nuovi campi
All'API REST Valutazioni sono stati aggiunti i due campi seguenti:
- FirstEvaluationDate : ora di creazione e valutazione della raccomandazione. Restituito come ora UTC in formato ISO 8601.
- StatusChangeDate : ora dell'ultima modifica dello stato della raccomandazione. Restituito come ora UTC in formato ISO 8601.
Il valore predefinito iniziale per questi campi, per tutte le raccomandazioni, è 2021-03-14T00:00:00+0000000Z.
Per accedere a queste informazioni, è possibile usare uno dei metodi riportati nella tabella seguente.
| Tool | Details |
|---|---|
| Chiamata API REST | GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates |
| Azure Resource Graph | securityresourceswhere type == "microsoft.security/assessments" |
| Esportazione continua | I due campi dedicati saranno disponibili per i dati dell'area di lavoro Log Analytics |
| Esportazione CSV | I due campi sono inclusi nei file CSV |
Altre informazioni sull'API REST Valutazioni.
L'inventario degli asset ottiene un filtro dell'ambiente cloud
La pagina inventario asset del Centro sicurezza offre molti filtri per perfezionare rapidamente l'elenco delle risorse visualizzate. Per altre informazioni, vedere Esplorare e gestire le risorse con l'inventario degli asset.
Un nuovo filtro offre la possibilità di perfezionare l'elenco in base agli account cloud connessi alla funzionalità multicloud del Centro sicurezza.
Altre informazioni sulle funzionalità multicloud:
- Connettere gli account AWS a Centro sicurezza di Azure
- Connettere i progetti GCP a Centro sicurezza di Azure
Aprile 2021
Gli aggiornamenti del mese di aprile includono quanto segue:
- Pagina Integrità risorse aggiornata (in anteprima)
- Le immagini del registro contenitori di cui è stato eseguito il pull di recente vengono ora riescante settimanalmente (rilasciate per la disponibilità generale))
- Usare Azure Defender per Kubernetes per proteggere le distribuzioni Kubernetes ibride e multicloud (in anteprima)
- Microsoft Defender per endpoint l'integrazione con Azure Defender supporta ora Windows Server 2019 e Windows 10 in Windows Desktop virtuale rilasciato per la disponibilità generale (GA)
- Recommendations per abilitare Azure Defender per DNS e Resource Manager (in anteprima)
- Standard di conformità alle normative aggiunti: Azure CIS 1.3.0, CMMC Level 3 e New Zealand ISM Restricted
- Quattro nuove raccomandazioni correlate alla configurazione guest (in anteprima)
- Raccomandazioni cmk spostate nel controllo della sicurezza delle procedure consigliate
- Eleven Azure Defender avvisi deprecati
- Due raccomandazioni del controllo di sicurezza "Applica aggiornamenti di sistema" sono state deprecate
- Azure Defender per SQL nel riquadro del computer rimosso dal dashboard di Azure Defender
- Le raccomandazioni sono state spostate tra i controlli di sicurezza
Pagina Integrità risorse aggiornata (in anteprima)
Integrità risorse è stata espansa, migliorata e migliorata per offrire una visualizzazione snapshot dell'integrità complessiva di una singola risorsa.
È possibile esaminare informazioni dettagliate sulla risorsa e tutte le raccomandazioni applicabili a tale risorsa. Inoltre, se si usa i piani di protezione avanzata di Microsoft Defender, è possibile visualizzare anche gli avvisi di sicurezza in sospeso per tale risorsa specifica.
Per aprire la pagina integrità risorse per una risorsa, selezionare una risorsa nella pagina inventario asset.
Questa pagina di anteprima nelle pagine del portale del Centro sicurezza mostra:
- Informazioni sulle risorse: il gruppo di risorse e la sottoscrizione a cui è collegato, alla posizione geografica e altro ancora.
- Funzionalità di sicurezza applicata- Indica se Azure Defender è abilitata per la risorsa.
- Counts of outstanding recommendations and alerts - Numero di raccomandazioni di sicurezza in sospeso e avvisi Azure Defender.
- Raccomandazioni e avvisi interattivi: due schede elencano le raccomandazioni e gli avvisi che si applicano alla risorsa.
pagina di integrità delle risorse 
Per altre informazioni, vedere Esercitazione: Analizzare l'integrità delle risorse.
Le immagini del registro contenitori di cui è stato eseguito il pull di recente vengono ora riescante settimanalmente (rilasciate per la disponibilità generale))
Azure Defender per i registri contenitori include uno scanner di vulnerabilità predefinito. Questo scanner analizza immediatamente tutte le immagini di cui esegui il push nel registro e qualsiasi immagine estratta negli ultimi 30 giorni.
Le nuove vulnerabilità vengono individuate ogni giorno. Con questo aggiornamento, le immagini del contenitore estratte dai registri negli ultimi 30 giorni verranno riescante ogni settimana. In questo modo si garantisce che le vulnerabilità appena individuate vengano identificate nelle immagini.
L'analisi viene addebitata per ogni immagine, quindi non sono previsti costi aggiuntivi per queste analisi.
Altre informazioni su questo scanner in Use Azure Defender for container registries to scan your images for vulnerabilities.Learn about this scanner in use Azure Defender for container registries to scan your images for vulnerabilities.
Usare Azure Defender per Kubernetes per proteggere le distribuzioni Kubernetes ibride e multicloud (in anteprima)
Azure Defender per Kubernetes sta espandendo le funzionalità di protezione dalle minacce per difendere i cluster ovunque vengano distribuiti. Questa funzionalità è stata abilitata grazie all'integrazione con Kubernetes abilitato per Azure Arc e le nuove funzionalità di extensions.
Dopo aver abilitato Azure Arc nei cluster Kubernetes non Azure, è consigliabile usare Centro sicurezza di Azure offerte per distribuire l'agente Azure Defender in questi cluster con pochi clic.
Usare la raccomandazione (Azure Arc cluster Kubernetes abilitati devono avere l'estensione di Azure Defender installata) e l'estensione per proteggere i cluster Kubernetes distribuiti in altri provider di servizi cloud, anche se non nei servizi Kubernetes gestiti.
Questa integrazione tra Centro sicurezza di Azure, Azure Defender e Kubernetes abilitata per Azure Arc offre:
- Provisioning semplice dell'agente di Azure Defender in cluster Kubernetes abilitati per Azure Arc non protetti (manualmente e su larga scala)
- Monitoraggio dell'agente Azure Defender e del relativo stato di provisioning dal portale di Azure Arc
- Le raccomandazioni sulla sicurezza del Centro sicurezza vengono segnalate nella nuova pagina Sicurezza del portale di Azure Arc
- Le minacce alla sicurezza identificate da Azure Defender vengono segnalate nella nuova pagina Sicurezza del portale di Azure Arc
- i cluster Kubernetes abilitati per Azure Arc sono integrati nella piattaforma e nell'esperienza di Centro sicurezza di Azure
Per altre informazioni, vedere Usare Azure Defender per Kubernetes con i cluster Kubernetes locali e multicloud.
Raccomandazione di 
Microsoft Defender per endpoint'integrazione con Azure Defender supporta ora Windows Server 2019 e Windows 10 in Windows Desktop virtuale rilasciato per la disponibilità generale
Microsoft Defender per endpoint è una soluzione di sicurezza degli endpoint fornita dal cloud olistica. Fornisce gestione delle vulnerabilità e valutazione basati sul rischio, nonché rilevamento e reazione dagli endpoint (EDR). Per un elenco completo dei vantaggi dell'uso di Defender per endpoint insieme a Centro sicurezza di Azure, vedere Proteggere gli endpoint con la soluzione EDR integrata del Centro sicurezza: Microsoft Defender per endpoint.
Quando si abilita Azure Defender per i server che eseguono Windows Server, nel piano è inclusa una licenza per Defender per endpoint. Se è già stato abilitato Azure Defender per server e si dispone di server Windows Server 2019 nella sottoscrizione, riceveranno automaticamente Defender per Endpoint con questo aggiornamento. Non è necessaria alcuna azione manuale.
Il supporto è stato ampliato per includere Windows Server 2019 e Windows 10 in Windows Desktop virtuale.
Note
Se si abilita Defender per endpoint in un server Windows Server 2019, assicurarsi che soddisfi i prerequisiti descritti in Enable l'integrazione Microsoft Defender per endpoint.
Raccomandazioni per abilitare Azure Defender per DNS e Resource Manager (in anteprima)
Sono state aggiunte due nuove raccomandazioni per semplificare il processo di abilitazione di Azure Defender per Resource Manager e Azure Defender per DNS:
- Azure Defender per Resource Manager deve essere abilitato: Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi sull'attività sospetta.
- Azure Defender per DNS deve essere abilitato: Defender per DNS offre un ulteriore livello di protezione per le risorse cloud monitorando continuamente tutte le query DNS dalle risorse Azure. Azure Defender avvisi relativi alle attività sospette a livello DNS.
L'abilitazione dei piani di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza.
Tip
Le raccomandazioni in anteprima non contrassegnano una risorsa come non integra e non sono incluse nei calcoli del punteggio di sicurezza. Correggerle non appena possibile, in modo che possano contribuire al punteggio al termine del periodo di anteprima. Altre informazioni su come rispondere a queste raccomandazioni in Remediate recommendations in Centro sicurezza di Azure.
Sono stati aggiunti tre standard di conformità alle normative: Azure CIS 1.3.0, CMMC Level 3 e New Zealand ISM Restricted
Sono stati aggiunti tre standard per l'uso con Centro sicurezza di Azure. Usando il dashboard di conformità alle normative, è ora possibile tenere traccia della conformità con:
È possibile assegnarli alle sottoscrizioni come descritto in Personalizzare il set di standard nel dashboard di conformità alle normative.
Altre informazioni sono disponibili in:
- Personalizzazione del set di standard nel dashboard di conformità alle normative
- Esercitazione: Migliorare la conformità alle normative
- Domande frequenti - Dashboard sulla conformità con le normative
Quattro nuove raccomandazioni correlate alla configurazione guest (in anteprima)
Azure l'estensione di configurazione Guest del Centro sicurezza per garantire la protezione avanzata delle impostazioni guest delle macchine virtuali. L'estensione non è necessaria per i server abilitati per Arc perché è inclusa nell'agente del computer connesso con Arc. L'estensione richiede un'identità gestita dal sistema nel computer.
Sono state aggiunte quattro nuove raccomandazioni al Centro sicurezza per sfruttare al meglio questa estensione.
Due raccomandazioni richiedono di installare l'estensione e la relativa identità gestita dal sistema:
- L'estensione Configurazione guest deve essere installata nei computer
- L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema
Quando l'estensione è installata e in esecuzione, inizierà a controllare i computer e verrà richiesto di applicare la protezione avanzata delle impostazioni, ad esempio la configurazione del sistema operativo e delle impostazioni dell'ambiente. Queste due raccomandazioni richiederanno di rafforzare la protezione avanzata dei computer Windows e Linux come descritto:
- Microsoft Defender Exploit Guard deve essere abilitato nei computer
- L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH
Altre informazioni sono disponibili in Configurazione guest di Criteri di Azure.
Raccomandazioni cmk spostate nel controllo della sicurezza delle procedure consigliate
Il programma di sicurezza di ogni organizzazione include i requisiti di crittografia dei dati. Per impostazione predefinita, Azure i dati dei clienti vengono crittografati inattivi con chiavi gestite dal servizio. Tuttavia, le chiavi gestite dal cliente (CMK) sono in genere necessarie per soddisfare gli standard di conformità alle normative. I cmk consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. Ciò offre il controllo completo e la responsabilità per il ciclo di vita chiave, inclusa la rotazione e la gestione.
i controlli di sicurezza di Centro sicurezza di Azure sono gruppi logici di raccomandazioni sulla sicurezza correlate e riflettono le superfici di attacco vulnerabili. Ogni controllo ha un numero massimo di punti che è possibile aggiungere al punteggio di sicurezza se si corregge tutte le raccomandazioni elencate nel controllo, per tutte le risorse. Il controllo di sicurezza implementa le procedure consigliate per la sicurezza vale zero punti. Pertanto, le raccomandazioni in questo controllo non influiscono sul punteggio di sicurezza.
Le raccomandazioni elencate di seguito vengono spostate nel controllo implementa le procedure consigliate per la sicurezza per riflettere meglio la natura facoltativa. Questo spostamento garantisce che queste raccomandazioni siano nel controllo più appropriato per soddisfare l'obiettivo.
- Azure Cosmos DB account devono usare chiavi gestite dal cliente per crittografare i dati inattivi
- Azure Machine Learning le aree di lavoro devono essere crittografate con una chiave gestita dal cliente
- Servizi di Azure AI account devono abilitare la crittografia dei dati con una chiave gestita dal cliente
- I registri contenitori devono essere crittografati con una chiave gestita dal cliente
- Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi
- I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi
- Gli account di archiviazione devono usare la chiave gestita dal cliente per la crittografia
Per informazioni sulle raccomandazioni disponibili in ogni controllo di sicurezza, vedere Controlli di sicurezza e relative raccomandazioni.
11 Azure Defender avvisi deprecati
Gli undici avvisi Azure Defender elencati di seguito sono stati deprecati.
I nuovi avvisi sostituiranno questi due avvisi e forniranno una migliore copertura:
AlertType AlertDisplayName ARM_MicroBurstDomainInfo ANTEPRIMA - È stata rilevata l'esecuzione della funzione "Get-AzureDomainInfo" del toolkit MicroBurst ARM_MicroBurstRunbook ANTEPRIMA - È stata rilevata l'esecuzione della funzione "Get-AzurePasswords" del toolkit MicroBurst Questi nove avvisi si riferiscono a un connettore IPC (Identity Protection Connector) Microsoft Entra già deprecato:
AlertType AlertDisplayName UnfamiliarLocation Proprietà di accesso insolite AnonymousLogin Indirizzo IP anonimo InfectedDeviceLogin Indirizzo IP collegato a malware ImpossibleTravel Atypical travel MaliciousIP Indirizzo IP dannoso LeakedCredentials Leaked credentials PasswordSpray Password Spraying LeakedCredentials Microsoft Entra ID intelligence sulle minacce AADAI Microsoft Entra ID'intelligenza artificiale Tip
Questi nove avvisi IPC non sono mai stati avvisi del Centro sicurezza. Fanno parte del connettore IPC (Identity Protection Connector) di Microsoft Entra che li ha inviati al Centro sicurezza. Negli ultimi due anni, gli unici clienti che hanno visto tali avvisi sono le organizzazioni che hanno configurato l'esportazione (dal connettore al Centro sicurezza di Azure) nel 2019 o versioni precedenti. Microsoft Entra ID IPC ha continuato a mostrarli nei propri sistemi di avvisi e hanno continuato a essere disponibili in Microsoft Sentinel. L'unica modifica è che non vengono più visualizzate nel Centro sicurezza.
Due raccomandazioni del controllo di sicurezza "Applica aggiornamenti di sistema" sono state deprecate
Le due raccomandazioni seguenti sono state deprecate e le modifiche potrebbero comportare un lieve impatto sul punteggio di sicurezza:
- È consigliabile riavviare i computer per applicare gli aggiornamenti del sistema
- L'agente di monitoraggio deve essere installato nei computer. Questa raccomandazione riguarda solo i computer locali e alcune delle relative logiche verranno trasferite a un'altra raccomandazione, Log Analytics i problemi di integrità dell'agente devono essere risolti nei computer
È consigliabile controllare le configurazioni di automazione del flusso di lavoro ed esportazione continua per verificare se sono incluse in tali configurazioni. Inoltre, tutti i dashboard o altri strumenti di monitoraggio che potrebbero usarli devono essere aggiornati di conseguenza.
Azure Defender per SQL nel riquadro del computer rimosso dal dashboard di Azure Defender
L'area di copertura del dashboard di Azure Defender include riquadri per i piani di Azure Defender pertinenti per l'ambiente. A causa di un problema con la segnalazione dei numeri di risorse protette e non protette, è stato deciso di rimuovere temporaneamente lo stato di copertura delle risorse per Azure Defender per SQL nei computer fino a quando il problema non viene risolto.
Suggerimenti spostati tra controlli di sicurezza
Le raccomandazioni seguenti sono state spostate in controlli di sicurezza diversi. I controlli di sicurezza sono gruppi logici di raccomandazioni sulla sicurezza correlate e riflettono le superfici di attacco vulnerabili. Questo spostamento garantisce che ognuna di queste raccomandazioni sia nel controllo più appropriato per soddisfare l'obiettivo.
Per informazioni sulle raccomandazioni disponibili in ogni controllo di sicurezza, vedere Controlli di sicurezza e relative raccomandazioni.
| Recommendation | Modifica e impatto |
|---|---|
| È consigliabile abilitare la valutazione della vulnerabilità nei server SQL È consigliabile abilitare la valutazione della vulnerabilità nelle istanze gestite di SQL Le vulnerabilità nei database SQL devono essere risolte nuove Le vulnerabilità nei database SQL delle macchine virtuali devono essere corrette |
Spostamento dalle vulnerabilità di correzione (vale 6 punti) per correggere le configurazioni di sicurezza (vale quattro punti). A seconda dell'ambiente, queste raccomandazioni avranno un impatto ridotto sul punteggio. |
| Alla sottoscrizione deve essere assegnato più di un proprietario Le variabili dell'account di automazione devono essere crittografate Dispositivi IoT - Processo controllato interrotto l'invio di eventi Dispositivi IoT - Errore di convalida della baseline del sistema operativo Dispositivi IoT - Aggiornamento della suite di crittografia TLS necessario Dispositivi IoT - Porte aperte sul dispositivo Dispositivi IoT - È stato rilevato un criterio del firewall permissivo in una delle catene Dispositivi IoT - È stata rilevata una regola del firewall permissiva nella catena di input Dispositivi IoT - È stata rilevata una regola del firewall permissiva nella catena di output I log di diagnostica in hub IoT devono essere abilitati Dispositivi IoT - Agente che invia messaggi sottoutilizzati Dispositivi IoT: i criteri di filtro IP predefiniti devono essere Negati Dispositivi IoT - Regola di filtro IP di grandi dimensioni Dispositivi IoT : gli intervalli e le dimensioni dei messaggi dell'agente devono essere modificati Dispositivi IoT - Credenziali di autenticazione identiche Dispositivi IoT - Processo controllato interrotto l'invio di eventi I dispositivi IoT : la configurazione di base del sistema operativo (OS) deve essere corretta |
Passaggio a Implementare le procedure consigliate per la sicurezza. Quando una raccomandazione passa al controllo implementa le procedure consigliate per la sicurezza, che non vale alcun punto, la raccomandazione non influisce più sul punteggio di sicurezza. |
Marzo 2021
Gli aggiornamenti di marzo includono:
- Firewall di Azure gestione integrata nel Centro sicurezza
- La valutazione della vulnerabilità di SQL include ora l'esperienza "Disabilita regola" (anteprima)
- Monitoraggio di Azure Cartelle di lavoro integrate nel Centro sicurezza e tre modelli forniti
- il dashboard di conformità Regulatory include ora report di controllo Azure (anteprima)
- I dati di avvio possono essere visualizzati in Azure Resource Graph con "Esplora in ARG"
- Aggiornamenti ai criteri per la distribuzione dell'automazione del flusso di lavoro
- Raccomandazioni legacy non scrivono più dati direttamente nel log attività Azure
- Miglioramenti alla pagina Raccomandazioni
Firewall di Azure gestione integrata nel Centro sicurezza
Quando si apre Centro sicurezza di Azure, la prima pagina da visualizzare è la pagina di panoramica.
Questo dashboard interattivo offre una visualizzazione unificata del comportamento di sicurezza dei carichi di lavoro del cloud ibrido. Mostra inoltre avvisi di sicurezza, informazioni sulla copertura e altri dettagli.
Nell'ambito della visualizzazione dello stato di sicurezza da un'esperienza centrale, il Gestione firewall di Azure è stato integrato in questo dashboard. È ora possibile controllare lo stato di copertura del firewall in tutte le reti e gestire centralmente i criteri di Firewall di Azure a partire dal Centro sicurezza.
Altre informazioni su questo dashboard sono disponibili nella pagina di panoramica di Centro sicurezza di Azure.
dashboard di panoramica di 
La valutazione della vulnerabilità di SQL include ora l'esperienza "Disabilita regola" (anteprima)
Il Centro sicurezza include uno scanner di vulnerabilità predefinito che consente di individuare, tenere traccia e correggere potenziali vulnerabilità del database. I risultati delle analisi di valutazione forniscono una panoramica dello stato di sicurezza dei computer SQL e dei dettagli dei risultati della sicurezza.
Se l'organizzazione deve ignorare un risultato invece di correggerlo, è possibile disabilitarlo facoltativamente. I risultati disabilitati non influiscono sul punteggio di sicurezza e non generano elementi non significativi.
Per altre informazioni, vedere Disabilitare risultati specifici.
Monitoraggio di Azure cartelle di lavoro integrate nel Centro sicurezza e tre modelli forniti
Nell'ambito di Ignite Spring 2021, è stata annunciata un'esperienza integrata Monitoraggio di Azure Cartelle di lavoro nel Centro sicurezza.
È possibile usare la nuova integrazione per iniziare a usare i modelli predefiniti dalla raccolta del Centro sicurezza. Usando i modelli di cartella di lavoro, è possibile accedere ai report dinamici e visivi per tenere traccia del comportamento di sicurezza dell'organizzazione. Inoltre, è possibile creare nuove cartelle di lavoro basate sui dati del Centro sicurezza o su qualsiasi altro tipo di dati supportato e distribuire rapidamente cartelle di lavoro della community dal Centro sicurezza GitHub community.
Vengono forniti tre report di modelli:
- Punteggio di sicurezza nel tempo : tenere traccia dei punteggi e delle modifiche delle sottoscrizioni alle raccomandazioni per le risorse
- Aggiornamenti di sistema: visualizzare gli aggiornamenti di sistema mancanti per risorse, sistema operativo, gravità e altro ancora
- Risultati della valutazione dellavulnerability - Visualizzare i risultati delle analisi delle vulnerabilità delle risorse Azure
Informazioni sull'uso di questi report o sulla creazione di report personalizzati in Creare report interattivi avanzati dei dati del Centro sicurezza.
Il dashboard di conformità alle normative include ora Azure report di controllo (anteprima)
Dalla barra degli strumenti del dashboard di conformità alle normative è ora possibile scaricare Azure e Dynamics report di certificazione.
È possibile selezionare la scheda per i tipi di report pertinenti (PCI, SOC, ISO e altri) e usare i filtri per trovare i report specifici necessari.
Altre informazioni sulla gestione degli standard nel dashboard di conformità alle normative.
I dati delle raccomandazioni possono essere visualizzati in Azure Resource Graph con "Esplora in ARG"
Le pagine dei dettagli delle raccomandazioni includono ora il pulsante della barra degli strumenti "Esplora in ARG". Usare questo pulsante per aprire una query Azure Resource Graph ed esplorare, esportare e condividere i dati della raccomandazione.
Azure Resource Graph (ARG) offre accesso immediato alle informazioni sulle risorse negli ambienti cloud con funzionalità avanzate di filtro, raggruppamento e ordinamento. È un modo rapido ed efficiente per eseguire query sulle informazioni tra sottoscrizioni Azure a livello di codice o dall'interno del portale di Azure.
Altre informazioni su Azure Resource Graph.
Aggiornamenti ai criteri per la distribuzione dell'automazione del flusso di lavoro
L'automazione dei processi di monitoraggio e risposta agli eventi imprevisti dell'organizzazione può migliorare significativamente il tempo necessario per indagare e attenuare gli eventi imprevisti relativi alla sicurezza.
Sono disponibili tre Criteri di Azure criteri "DeployIfNotExist" che creano e configurano le procedure di automazione del flusso di lavoro in modo da poter distribuire le automazione nell'organizzazione:
| Goal | Policy | ID criterio |
|---|---|---|
| Automazione dei flussi di lavoro per gli avvisi di sicurezza | Deploy Workflow Automation for Centro sicurezza di Azure alerts | f1525828-9a90-4fcf-be48-268cdd02361e |
| Automazione dei flussi di lavoro per le raccomandazioni sulla sicurezza | Deploy Workflow Automation for Centro sicurezza di Azure recommendations | 73d6ab6c-2475-4850-afd6-43795f3492ef |
| Automazione del flusso di lavoro per le modifiche alla conformità normativa | Deploy Workflow Automation for Centro sicurezza di Azure regulatory compliance | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
Sono disponibili due aggiornamenti per le funzionalità di questi criteri:
- Se assegnato, rimarranno abilitati dall'imposizione.
- È ora possibile personalizzare questi criteri e aggiornare uno dei parametri anche dopo che sono già stati distribuiti. Ad esempio, è possibile aggiungere o modificare una chiave di valutazione.
Introduzione ai modelli di automazione workflow.
Altre informazioni su come automatizzare le risposte ai trigger del Centro sicurezza.
Due raccomandazioni legacy non scrivono più dati direttamente in Azure log attività
Il Centro sicurezza passa i dati per quasi tutte le raccomandazioni di sicurezza a Azure Advisor, che a sua volta lo scrive in Azure log attività.
Per due raccomandazioni, i dati vengono scritti contemporaneamente direttamente in Azure log attività. Con questa modifica, il Centro sicurezza smette di scrivere i dati per queste raccomandazioni di sicurezza legacy direttamente nel log attività. I dati vengono invece esportati in Azure Advisor come per tutte le altre raccomandazioni.
Le due raccomandazioni legacy sono:
- È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer
- Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte
Se si accede alle informazioni per queste due raccomandazioni nella categoria "Raccomandazione di tipo TaskDiscovery" del log attività, questa opzione non è più disponibile.
Miglioramenti alla pagina Raccomandazioni
È stata rilasciata una versione migliorata dell'elenco di raccomandazioni per presentare altre informazioni a colpo d'occhio.
A questo punto, nella pagina verrà visualizzato quanto illustrato di seguito:
- Punteggio massimo e punteggio corrente per ogni controllo di sicurezza.
- Icone che sostituiscono tag come Correzione e Anteprima.
- Nuova colonna che mostra l'iniziativa Criteri correlata a ogni raccomandazione, visibile quando "Raggruppa per controlli" è disabilitata.
Per altre informazioni, vedere Raccomandazioni di sicurezza in Centro sicurezza di Azure.
Febbraio 2021
Gli aggiornamenti di febbraio includono:
- Nuova pagina degli avvisi di sicurezza nel portale di Azure rilasciata per la disponibilità generale (GA)
- Raccomandazioni sulla protezione del carico di lavoro Kubernetes rilasciate per la disponibilità generale
- l'integrazione di Microsoft Defender per endpoint con Azure Defender supporta ora Windows Server 2019 e Windows 10 in desktop virtuale Windows (in anteprima)
- Collegamento diretto ai criteri dalla pagina dei dettagli delle raccomandazioni
- La raccomandazione di classificazione dei dati SQL non influisce più sul punteggio di sicurezza
- Le automazione del flusso di lavoro possono essere attivate dalle modifiche alle valutazioni di conformità alle normative (in anteprima)
- Miglioramenti della pagina inventario asset
Nuova pagina degli avvisi di sicurezza nel portale di Azure rilasciata per la disponibilità generale
La pagina degli avvisi di sicurezza di Centro sicurezza di Azure è stata riprogettata per fornire:
- Migliore esperienza di valutazione per gli avvisi: consente di ridurre l'affaticamento degli avvisi e concentrarsi sulle minacce più rilevanti più facilmente, l'elenco include filtri personalizzabili e opzioni di raggruppamento.
- Altre informazioni nell'elenco degli avvisi, ad esempio tattiche MITRE ATT&ACK.
- Button per creare avvisi di esempio: per valutare le funzionalità di Azure Defender e testare gli avvisi. configurazione (per l'integrazione SIEM, le notifiche di posta elettronica e le automazione del flusso di lavoro), è possibile creare avvisi di esempio da tutti i piani di Azure Defender.
- Alignment con l'esperienza degli eventi imprevisti di Azure Sentinel: per i clienti che usano entrambi i prodotti, passare da un'esperienza all'altra è ora un'esperienza più semplice ed è facile imparare l'una dall'altra.
- Prestazioni migliori per elenchi di avvisi di grandi dimensioni.
- Spostamento tramite tastiera nell'elenco di avvisi.
- Alerts da Azure Resource Graph: è possibile eseguire query sugli avvisi in Azure Resource Graph, l'API simile a Kusto per tutte le risorse. Questa funzionalità è utile anche per creare dashboard di avvisi personalizzati. Altre informazioni su Azure Resource Graph.
- Creare la funzionalità avvisi di esempio: per creare avvisi di esempio dalla nuova esperienza degli avvisi, vedere Generare avvisi di esempio Azure Defender.
Raccomandazioni sulla protezione del carico di lavoro Kubernetes rilasciate per la disponibilità generale
Siamo lieti di annunciare la disponibilità generale del set di raccomandazioni per le protezioni dei carichi di lavoro Kubernetes.
Per assicurarsi che i carichi di lavoro Kubernetes siano protetti per impostazione predefinita, il Centro sicurezza ha aggiunto raccomandazioni per la protezione avanzata a livello di Kubernetes, incluse le opzioni di imposizione con il controllo di ammissione kubernetes.
Quando Criteri di Azure per Kubernetes viene installato nel cluster Servizio Azure Kubernetes (AKS), ogni richiesta al server API Kubernetes verrà monitorata rispetto al set predefinito di procedure consigliate, visualizzate come 13 raccomandazioni sulla sicurezza, prima di essere salvate in modo permanente nel cluster. È quindi possibile configurare l'applicazione delle procedure consigliate e renderle obbligatorie per i carichi di lavoro futuri.
È ad esempio possibile imporre che i contenitori con privilegi non debbano essere creati ed eventuali richieste future di creazione di tali contenitori verranno bloccate.
Per altre informazioni, vedere Procedure consigliate per la protezione dei carichi di lavoro con il controllo ammissione di Kubernetes.
Note
Anche se le raccomandazioni erano in anteprima, non eseguivano il rendering di una risorsa cluster del servizio Azure Kubernetes non integre e non erano incluse nei calcoli del punteggio di sicurezza. Con questo annuncio ga questi saranno inclusi nel calcolo del punteggio. Se non sono già stati corretti, questo potrebbe comportare un lieve impatto sul punteggio di sicurezza. Correggerli laddove possibile, come descritto in Remediate recommendations in Centro sicurezza di Azure.
l'integrazione di Microsoft Defender per endpoint con Azure Defender supporta ora Windows Server 2019 e Windows 10 in desktop virtuale Windows (in anteprima)
Microsoft Defender per endpoint è una soluzione di sicurezza degli endpoint fornita dal cloud olistica. Fornisce gestione delle vulnerabilità e valutazione basati sul rischio, nonché rilevamento e reazione dagli endpoint (EDR). Per un elenco completo dei vantaggi dell'uso di Defender per endpoint insieme a Centro sicurezza di Azure, vedere Proteggere gli endpoint con la soluzione EDR integrata del Centro sicurezza: Microsoft Defender per endpoint.
Quando si abilita Azure Defender per i server che eseguono Windows Server, nel piano è inclusa una licenza per Defender per endpoint. Se è già stato abilitato Azure Defender per server e si dispone di server Windows Server 2019 nella sottoscrizione, riceveranno automaticamente Defender per Endpoint con questo aggiornamento. Non è necessaria alcuna azione manuale.
Il supporto è stato ampliato per includere Windows Server 2019 e Windows 10 in Windows Desktop virtuale.
Note
Se si abilita Defender per endpoint in un server Windows Server 2019, assicurarsi che soddisfi i prerequisiti descritti in Enable l'integrazione Microsoft Defender per endpoint.
Collegamento diretto ai criteri dalla pagina dei dettagli delle raccomandazioni
Quando si esaminano i dettagli di una raccomandazione, spesso è utile visualizzare i criteri sottostanti. Per ogni raccomandazione supportata da un criterio, è disponibile un nuovo collegamento dalla pagina dei dettagli della raccomandazione:
pagina 
Usare questo collegamento per visualizzare la definizione dei criteri ed esaminare la logica di valutazione.
La raccomandazione di classificazione dei dati SQL non influisce più sul punteggio di sicurezza
La raccomandazione Dati sensibili nei database SQL non deve più influire sul punteggio di sicurezza. Il controllo di sicurezza Applica classificazione dei dati che contiene ora ha un valore di punteggio di sicurezza pari a 0.
Per un elenco completo di tutti i controlli di sicurezza, insieme ai relativi punteggi e a un elenco dei consigli in ognuno, vedere Controlli di sicurezza e le relative raccomandazioni.
Le automazione del flusso di lavoro possono essere attivate dalle modifiche alle valutazioni di conformità alle normative (in anteprima)
È stato aggiunto un terzo tipo di dati alle opzioni di trigger per le automazione del flusso di lavoro: modifiche alle valutazioni di conformità alle normative.
Informazioni su come usare gli strumenti di automazione del flusso di lavoro in Automatizzare le risposte ai trigger del Centro sicurezza.
Miglioramenti della pagina inventario asset
La pagina inventario delle risorse del Centro sicurezza è stata migliorata:
I riepiloghi nella parte superiore della pagina includono ora sottoscrizioni non registrati, che mostrano il numero di sottoscrizioni senza il Centro sicurezza abilitato.
I filtri sono stati espansi e migliorati per includere:
Conteggi: ogni filtro presenta il numero di risorse che soddisfano i criteri di ogni categoria
Contiene il filtro delle esenzioni (facoltativo): limitare i risultati alle risorse che non dispongono o non hanno esenzioni. Questo filtro non viene visualizzato per impostazione predefinita, ma è accessibile dal pulsante Aggiungi filtro .
Altre informazioni su come esplorare e gestire le risorse con l'inventario degli asset.
Gennaio 2021
Gli aggiornamenti di gennaio includono:
- Azure Security Benchmark è ora l'iniziativa di criteri predefinita per Centro sicurezza di Azure
- La valutazione della vulnerabilità per i computer locali e multicloud viene rilasciata per la disponibilità generale
- Il punteggio di sicurezza per i gruppi di gestione è ora disponibile in anteprima
- L'API Secure Score viene rilasciata per la disponibilità generale (GA)
- Dangling funzionalità di protezione DNS aggiunte a Azure Defender per il servizio app
- I connettori multicloud vengono rilasciati per la disponibilità generale (GA)
- Escludere intere raccomandazioni dal punteggio di sicurezza per le sottoscrizioni e i gruppi di gestione
- Gli utenti possono ora richiedere visibilità a livello di tenant dall'amministratore globale
- 35 raccomandazioni di anteprima aggiunte per aumentare la copertura di Azure Security Benchmark
- Esportazione in CSV dell'elenco filtrato di raccomandazioni
- le risorse "Non applicabile" ora sono state segnalate come "Conformi" nelle valutazioni Criteri di Azure
- Esportazione di snapshot settimanali del punteggio di sicurezza e dei dati relativi alla conformità alle normative con l'esportazione continua (anteprima)
Azure Security Benchmark è ora l'iniziativa di criteri predefinita per Centro sicurezza di Azure
Azure Security Benchmark è il set di linee guida specifico Microsoft creato Azure per le procedure consigliate per la sicurezza e la conformità basate su framework di conformità comuni. Questo benchmark ampiamente rispettato si basa sui controlli del Center for Internet Security (CIS) e il National Institute of Standards and Technology (NIST) con particolare attenzione alla sicurezza basata sul cloud.
Negli ultimi mesi, l'elenco delle raccomandazioni di sicurezza predefinite del Centro sicurezza è cresciuto in modo significativo per espandere la copertura di questo benchmark.
Da questa versione, il benchmark è la base per le raccomandazioni del Centro sicurezza e completamente integrato come iniziativa di criteri predefinita.
Tutti i servizi Azure hanno una pagina di base di sicurezza nella relativa documentazione. Queste baseline sono basate su Azure Security Benchmark.
Se si usa il dashboard di conformità alle normative del Centro sicurezza, durante un periodo di transizione verranno visualizzate due istanze del benchmark:
Le raccomandazioni esistenti non sono interessate e, man mano che aumenta il benchmark, le modifiche verranno applicate automaticamente all'interno del Centro sicurezza.
Per altre informazioni, vedere le pagine seguenti:
- Altre informazioni su Azure Security Benchmark
- Personalizzazione del set di standard nel dashboard di conformità alle normative
La valutazione della vulnerabilità per i computer locali e multicloud viene rilasciata per la disponibilità generale
In ottobre è stata annunciata un'anteprima per l'analisi dei server abilitati per Azure Arc con Azure Defender per server lo scanner di valutazione della vulnerabilità integrato (con tecnologia Qualys).
Viene ora rilasciato per la disponibilità generale.
Dopo aver abilitato Azure Arc nei computer non Azure, il Centro sicurezza offre la possibilità di distribuire lo scanner di vulnerabilità integrato su di essi, manualmente e su larga scala.
Con questo aggiornamento è possibile sfruttare la potenza di Azure Defender per server per consolidare il programma di gestione delle vulnerabilità in tutti gli asset Azure e non Azure.
Funzionalità principali:
- Monitoraggio dello stato di provisioning dello scanner di valutazione della vulnerabilità nei computer Azure Arc
- Provisioning dell'agente va integrato in computer Windows non protetti e Azure Arc Linux (manualmente e su larga scala)
- Ricezione e analisi delle vulnerabilità rilevate dagli agenti distribuiti (manualmente e su larga scala)
- Esperienza unificata per macchine virtuali e Azure Arc Azure
Altre informazioni sulla distribuzione dello scanner di vulnerabilità Qualys integrato nei computer ibridi.
Altre informazioni sui server abilitati per Azure Arc.
Il punteggio di sicurezza per i gruppi di gestione è ora disponibile in anteprima
La pagina del punteggio di sicurezza mostra ora i punteggi di sicurezza aggregati per i gruppi di gestione oltre al livello di sottoscrizione. È ora possibile visualizzare l'elenco dei gruppi di gestione nell'organizzazione e il punteggio per ogni gruppo di gestione.
Altre informazioni sui controlli di sicurezza e punteggio secure in Centro sicurezza di Azure.
L'API Secure Score viene rilasciata per la disponibilità generale (GA)
È ora possibile accedere al punteggio tramite l'API secure score. I metodi dell'API offrono la flessibilità necessaria per eseguire query nei dati e creare un meccanismo personalizzato per la creazione di report sui punteggi di sicurezza nel tempo. Per esempio:
- usare l'API Secure Scores per ottenere il punteggio per una sottoscrizione specifica
- usare l'API Secure Score Controls per elencare i controlli di sicurezza e il punteggio corrente delle sottoscrizioni
Informazioni sugli strumenti esterni resi possibili con l'API del punteggio di sicurezza in il punteggio di sicurezza della community GitHub.
Altre informazioni sui controlli di sicurezza e punteggio secure in Centro sicurezza di Azure.
Protezione DNS dangling aggiunta a Azure Defender per il servizio app
Le acquisizioni di sottodominio sono una minaccia comune e con gravità elevata per le organizzazioni. Un'acquisizione di sottodominio può verificarsi quando si dispone di un record DNS che punta a un sito Web deprovisioning. Tali record DNS sono noti anche come voci "DNS in sospeso". I record CNAME sono particolarmente vulnerabili a questa minaccia.
Le acquisizioni di sottodominio consentono agli attori delle minacce di reindirizzare il traffico destinato al dominio di un'organizzazione a un sito che esegue attività dannose.
Azure Defender per il servizio app rileva ora voci DNS incerte quando viene rimosso un sito Web del servizio app. Questo è il momento in cui la voce DNS punta a una risorsa che non esiste e il sito Web è vulnerabile a un'acquisizione di sottodominio. Queste protezioni sono disponibili se i domini vengono gestiti con DNS di Azure o un registrar esterno e si applicano sia al servizio app sia in Windows che in Servizio app in Linux.
Ulteriori informazioni:
- tabella di riferimento degli avvisi del servizio App - Include due nuovi avvisi di Azure Defender che si attivano quando viene rilevata una voce DNS incerta
- Evitare voci DNS dangling ed evitare l'acquisizione del sottodominio - Informazioni sulla minaccia dell'acquisizione del sottodominio e sull'aspetto del DNS incerto
- Introduzione a Azure Defender per il servizio app
I connettori multicloud vengono rilasciati per la disponibilità generale (GA)
I carichi di lavoro cloud si estendono in genere su più piattaforme cloud, quindi anche i servizi di sicurezza cloud devono adottare lo stesso approccio.
Centro sicurezza di Azure protegge i carichi di lavoro in Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP).
La connessione dei progetti AWS o GCP integra i propri strumenti di sicurezza nativi, ad esempio AWS Security Hub e GCP Security Command Center, in Centro sicurezza di Azure.
Questa funzionalità significa che il Centro sicurezza offre visibilità e protezione in tutti gli ambienti cloud principali. Alcuni dei vantaggi di questa integrazione:
- Provisioning automatico dell'agente : il Centro sicurezza usa Azure Arc per distribuire l'agente Log Analytics nelle istanze di AWS
- Gestione dei criteri
- Gestione vulnerabilità
- Rilevamento di endpoint e risposta incorporato
- Rilevamento degli errori di configurazione per la sicurezza
- Una singola visualizzazione che mostra le raccomandazioni sulla sicurezza di tutti i provider di servizi cloud
- Incorporare tutte le risorse nei calcoli del punteggio di sicurezza del Centro sicurezza
- Valutazioni della conformità alle normative delle risorse AWS e GCP
Dal menu di Defender per il cloud selezionare ConnettoriMulticloud e verranno visualizzate le opzioni per la creazione di nuovi connettori:
Altre informazioni sono disponibili in:
- Connettere gli account AWS a Centro sicurezza di Azure
- Connettere i progetti GCP a Centro sicurezza di Azure
Escludere intere raccomandazioni dal punteggio di sicurezza per le sottoscrizioni e i gruppi di gestione
Stiamo espandendo la funzionalità di esenzione per includere intere raccomandazioni. Offrendo altre opzioni per ottimizzare le raccomandazioni sulla sicurezza fornite dal Centro sicurezza per le sottoscrizioni, i gruppi di gestione o le risorse.
In alcuni casi, una risorsa verrà elencata come non integra quando si sa che il problema viene risolto da uno strumento di terze parti che il Centro sicurezza non ha rilevato. In alternativa, una raccomandazione verrà visualizzata in un ambito in cui si ritiene che non appartenga. La raccomandazione potrebbe non essere appropriata per una sottoscrizione specifica. O forse l'organizzazione ha deciso di accettare i rischi correlati alla risorsa o alla raccomandazione specifica.
Con questa funzionalità di anteprima, è ora possibile creare un'esenzione per una raccomandazione per:
Esentare una risorsa per assicurarsi che non sia elencata con le risorse non integre in futuro e non influisca sul punteggio di sicurezza. Tale risorsa verrà elencata come non applicabile e il motivo verrà visualizzato come "esente" con la giustificazione specifica selezionata.
Esentare una sottoscrizione o un gruppo di gestione per assicurarsi che la raccomandazione non influisca sul punteggio di sicurezza e non venga visualizzata per la sottoscrizione o il gruppo di gestione in futuro. Questa opzione si riferisce alle risorse esistenti e a quelle che verranno create in futuro. La raccomandazione verrà contrassegnata con la giustificazione specifica scelta per l'ambito selezionato.
Per altre informazioni, vedere esentare risorse e raccomandazioni dal punteggio di sicurezza.
Gli utenti possono ora richiedere visibilità a livello di tenant dall'amministratore globale
Se un utente non ha le autorizzazioni per visualizzare i dati del Centro sicurezza, verrà visualizzato un collegamento per richiedere le autorizzazioni all'amministratore globale dell'organizzazione. La richiesta include il ruolo desiderato e la giustificazione per il motivo per cui è necessario.
Per altre informazioni, vedere Richiedere autorizzazioni a livello di tenant quando i dati non sono sufficienti.
35 raccomandazioni di anteprima aggiunte per aumentare la copertura di Azure Security Benchmark
Azure Security Benchmark è l'iniziativa di criteri predefinita in Centro sicurezza di Azure.
Per aumentare la copertura di questo benchmark, al Centro sicurezza sono state aggiunte le 35 raccomandazioni di anteprima seguenti.
Tip
Le raccomandazioni in anteprima non contrassegnano una risorsa come non integra e non sono incluse nei calcoli del punteggio di sicurezza. Correggerle non appena possibile, in modo che possano contribuire al punteggio al termine del periodo di anteprima. Altre informazioni su come rispondere a queste raccomandazioni in Remediate recommendations in Centro sicurezza di Azure.
| Controllo di sicurezza | Nuove raccomandazioni |
|---|---|
| Abilita la crittografia dei dati inattivi | - gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per crittografare i dati inattivi - le aree di lavoro Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente (CMK) - La protezione dei dati BYOK (Bring Your Own Key) deve essere abilitata per i server MySQL - La protezione dei dati BYOK (Bring Your Own Key) deve essere abilitata per i server PostgreSQL - gli account Servizi di Azure AI devono abilitare la crittografia dei dati con una chiave gestita dal cliente - I registri contenitori devono essere crittografati con una chiave gestita dal cliente - Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi - I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi - Gli account di archiviazione devono usare la chiave gestita dal cliente per la crittografia |
| Implementa le procedure consigliate per la sicurezza | - Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza - Il provisioning automatico dell'agente di Log Analytics deve essere abilitato nella sottoscrizione - Le notifiche di posta elettronica devono essere abilitate per gli avvisi con gravità alta - Le notifiche di posta elettronica al proprietario della sottoscrizione devono essere abilitate per gli avvisi con gravità alta - Negli insiemi di credenziali delle chiavi deve essere abilitata la protezione dalla rimozione definitiva - Negli insiemi di credenziali delle chiavi deve essere abilitata la funzionalità di eliminazione temporanea |
| Gestire l'accesso e le autorizzazioni | - Per le app per le funzioni deve essere abilitata l'opzione 'Certificati client (certificati client in ingresso)' |
| Proteggi le applicazioni da attacchi DDoS | - È necessario abilitare Web application firewall (WAF) per il gateway applicazione - Web application firewall (WAF) deve essere abilitato per il servizio servizio Frontdoor di Azure |
| Limita l'accesso non autorizzato alla rete | - Il firewall deve essere abilitato in Key Vault - L'endpoint privato deve essere configurato per Key Vault - Configurazione app deve usare collegamenti privati - cache di Azure per Redis deve trovarsi all'interno di una rete virtuale - Griglia di eventi di Azure domini devono usare un collegamento privato - Griglia di eventi di Azure argomenti devono usare il collegamento privato - le aree di lavoro Azure Machine Learning devono usare un collegamento privato - Servizio Azure SignalR deve usare un collegamento privato - Azure Spring Cloud deve usare l'inserimento di rete - I registri contenitori non devono consentire l'accesso alla rete senza restrizioni - I registri contenitori devono usare collegamenti privati - L'accesso alla rete pubblica deve essere disabilitato per i server MariaDB - L'accesso alla rete pubblica deve essere disabilitato per i server MySQL - L'accesso alla rete pubblica deve essere disabilitato per i server PostgreSQL - L'account di archiviazione deve usare una connessione collegamento privato - Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale - I modelli di Image Builder per macchine virtuali devono usare un collegamento privato |
Collegamenti correlati:
- Altre informazioni su Azure Security Benchmark
- Altre informazioni su Database di Azure per MariaDB
- Altre informazioni su Database di Azure per MySQL
- Altre informazioni su Database di Azure per PostgreSQL
Esportazione in CSV dell'elenco filtrato di raccomandazioni
Nel novembre 2020 sono stati aggiunti filtri alla pagina delle raccomandazioni.
Con questo annuncio, il comportamento del pulsante Scarica in CSV è stato cambiato in modo che l'esportazione in CSV includa solo le raccomandazioni attualmente visualizzate nell'elenco filtrato.
Ad esempio, nell'immagine seguente è possibile vedere che l'elenco viene filtrato in base a due raccomandazioni. Il file CSV generato include i dettagli sullo stato di ogni risorsa interessata da queste due raccomandazioni.
Per altre informazioni, vedere Raccomandazioni di sicurezza in Centro sicurezza di Azure.
Risorse "Non applicabili" ora segnalate come "Conformi" nelle valutazioni Criteri di Azure
In precedenza, le risorse valutate per una raccomandazione venivano non applicabili apparivano in Criteri di Azure come "Non conformi". Nessuna azione utente potrebbe modificare il proprio stato in "Conforme". Con questa modifica, vengono segnalate come "Conformi" per maggiore chiarezza.
L'unico impatto verrà visualizzato in Criteri di Azure in cui il numero di risorse conformi aumenterà. Non ci sarà alcun impatto sul punteggio di sicurezza in Centro sicurezza di Azure.
Esportazione di snapshot settimanali del punteggio di sicurezza e dei dati relativi alla conformità alle normative con l'esportazione continua (anteprima)
È stata aggiunta una nuova funzionalità di anteprima agli strumenti di esportazione continua per esportare snapshot settimanali di punteggio di sicurezza e dati di conformità alle normative.
Quando si definisce un'esportazione continua, impostare la frequenza di esportazione:
- Streaming: le valutazioni verranno inviate quando viene aggiornato lo stato di integrità di una risorsa (se non si verificano aggiornamenti, non verranno inviati dati).
- Snapshot: uno snapshot dello stato corrente di tutte le valutazioni di conformità alle normative verrà inviato ogni settimana (si tratta di una funzionalità di anteprima per gli snapshot settimanali dei punteggi sicuri e dei dati di conformità alle normative).
Altre informazioni sulle funzionalità complete di questa funzionalità sono disponibili in Esportazione continua dei dati del Centro sicurezza.
Dicembre 2020
Gli aggiornamenti di dicembre includono:
- Azure Defender per i server SQL nei computer è disponibile a livello generale
- Azure Defender per il supporto SQL per Azure Synapse Analytics pool SQL dedicato è disponibile a livello generale
- Gli amministratori globali ora possono concedere autorizzazioni a livello di tenant a se stessi
- Two new Azure Defender plans: Azure Defender for DNS and Azure Defender for Resource Manager (in preview)
- Nuova pagina Degli avvisi di sicurezza nel portale di Azure (anteprima)
Revitalized Security Center experience in database SQL di Azure & Istanza gestita di SQL - Strumenti e filtri dell'inventario degli asset aggiornati
- La raccomandazione relativa alla richiesta di certificati SSL da parte delle app Web non fa più parte del punteggio di sicurezza
- La pagina Raccomandazioni contiene nuovi filtri per ambiente, gravità e risposte disponibili
- L'esportazione continua ha nuovi tipi di dati e criteri DeployIfNotExists migliorati
Azure Defender per i server SQL nei computer è disponibile a livello generale
Centro sicurezza di Azure offre due piani di Azure Defender per SQL Server:
- Azure Defender per i server di database di Azure SQL- difende i server SQL nativi Azure
- Azure Defender per i server SQL nei computer estende le stesse protezioni ai server SQL in ambienti ibridi, multicloud e locali
Con questo annuncio, Azure Defender per SQL protegge ora i database e i relativi dati ovunque si trovino.
Azure Defender per SQL include funzionalità di valutazione della vulnerabilità. Lo strumento di valutazione delle vulnerabilità offre le seguenti funzionalità avanzate:
- Configurazione di base (Nuovo!) per perfezionare in modo intelligente i risultati delle analisi delle vulnerabilità a quelli che potrebbero rappresentare problemi di sicurezza reali. Dopo aver stabilito lo stato di sicurezza di base, lo strumento di valutazione delle vulnerabilità segnala solo le deviazioni da tale stato. I risultati corrispondenti alla base non vengono considerati problemi nelle analisi successive. In questo modo gli analisti possono dedicare la loro attenzione alle questioni importanti.
- Informazioni di benchmark dettagliate per aiutare a interpretare i risultati individuati e al motivo per cui riguardano le risorse.
- Gli script di correzione consentono di ridurre i rischi identificati.
Altre informazioni su Azure Defender per SQL.
Azure Defender per il supporto SQL per Azure Synapse Analytics pool SQL dedicato è disponibile a livello generale
Azure Synapse Analytics (in precedenza SQL Data Warehouse) è un servizio di analisi che combina il data warehousing aziendale e l'analisi dei Big Data. I pool SQL dedicati sono le funzionalità di data warehousing aziendali di Azure Synapse. Per altre informazioni, vedere Che è Azure Synapse Analytics (in precedenza SQL Data Warehouse)?.
Azure Defender per SQL protegge i pool SQL dedicati con:
- Advanced Threat Protection per rilevare minacce e attacchi
- Funzionalità di valutazione delle vulnerabilità per identificare e correggere le configurazioni di sicurezza errate
Azure Defender per il supporto di SQL per i pool SQL Azure Synapse Analytics viene aggiunto automaticamente al bundle di database Azure SQL in Centro sicurezza di Azure. È disponibile una nuova scheda Azure Defender per SQL nella pagina dell'area di lavoro di Synapse nel portale di Azure.
Altre informazioni su Azure Defender per SQL.
Gli amministratori globali ora possono concedere autorizzazioni a livello di tenant a se stessi
Un utente con il ruolo di Microsoft Entra ID di Amministratore globale potrebbe avere responsabilità a livello di tenant, ma non dispone delle autorizzazioni Azure per visualizzare le informazioni a livello di organizzazione in Centro sicurezza di Azure.
Per assegnare a se stessi le autorizzazioni a livello di tenant, seguire le istruzioni riportate in Concedere autorizzazioni a livello di tenant a se stessi.
Due nuovi piani di Azure Defender: Azure Defender per DNS e Azure Defender per Resource Manager (in anteprima)
Sono state aggiunte due nuove funzionalità di protezione dalle minacce native del cloud per l'ambiente Azure.
Queste nuove protezioni migliorano notevolmente la resilienza contro gli attacchi da parte degli attori delle minacce e aumentano significativamente il numero di risorse Azure protette da Azure Defender.
Azure Defender per Resource Manager: monitora automaticamente tutte le operazioni di gestione delle risorse eseguite nell'organizzazione. Per altre informazioni, vedi:
Azure Defender per DNS: monitora continuamente tutte le query DNS dalle risorse Azure. Per altre informazioni, vedi:
Pagina Nuovi avvisi di sicurezza nel portale di Azure (anteprima)
La pagina degli avvisi di sicurezza di Centro sicurezza di Azure è stata riprogettata per fornire:
- Esperienza di valutazione migliorata per gli avvisi: per ridurre il sovraccarico di avvisi ed evidenziare più facilmente le minacce pertinenti, l'elenco include filtri personalizzabili e opzioni di raggruppamento
- Più informazioni nell'elenco di avvisi, ad esempio tattiche MITRE ATT&ACK
- Button per creare avvisi di esempio: per valutare le funzionalità di Azure Defender e testare la configurazione degli avvisi (per l'integrazione SIEM, le notifiche di posta elettronica e le automazione del flusso di lavoro), è possibile creare avvisi di esempio da tutti i piani di Azure Defender
- Alignment con l'esperienza degli eventi imprevisti di Azure Sentinel: per i clienti che usano entrambi i prodotti, il passaggio tra di essi è ora un'esperienza più semplice ed è facile imparare una dall'altra
- Prestazioni migliori per elenchi di avvisi di grandi dimensioni
- Spostamento tramite tastiera nell'elenco di avvisi
- Alerts da Azure Resource Graph: è possibile eseguire query sugli avvisi in Azure Resource Graph, l'API simile a Kusto per tutte le risorse. Questa funzionalità è utile anche per creare dashboard di avvisi personalizzati. Altre informazioni su Azure Resource Graph.
Per accedere alla nuova esperienza, usare il collegamento 'Prova adesso' sul banner nella parte superiore della pagina Avvisi di sicurezza.
Per creare avvisi di esempio dalla nuova esperienza degli avvisi, vedere Generare avvisi di esempio Azure Defender.
Esperienza rivitalizzata del Centro sicurezza in database SQL di Azure & Istanza gestita di SQL
L'esperienza del Centro sicurezza all'interno di SQL fornisce l'accesso al Centro sicurezza seguente e Azure Defender per le funzionalità di SQL:
- Raccomandazioni di sicurezza - Centro sicurezza analizza periodicamente lo stato di sicurezza di tutte le risorse Azure connesse per identificare potenziali errori di configurazione della sicurezza. Fornisce quindi raccomandazioni su come correggere tali vulnerabilità e migliorare il comportamento di sicurezza delle organizzazioni.
- Avferi di sicurezza: un servizio di rilevamento che monitora continuamente le attività Azure SQL per individuare minacce quali attacchi SQL injection, attacchi di forza bruta e abusi dei privilegi. Questo servizio attiva avvisi di sicurezza dettagliati e orientati alle azioni nel Centro sicurezza e offre opzioni per continuare le indagini con Microsoft Sentinel, la soluzione SIEM nativa Microsoft Azure Microsoft.
- Findings: un servizio di valutazione delle vulnerabilità che monitora continuamente le configurazioni Azure SQL e consente di correggere le vulnerabilità. Le analisi di valutazione offrono una panoramica degli stati di sicurezza Azure SQL insieme ai risultati dettagliati della sicurezza.
Le funzionalità di sicurezza di 
Strumenti e filtri dell'inventario degli asset aggiornati
La pagina inventario in Centro sicurezza di Azure è stata aggiornata con le modifiche seguenti:
Guide e feedback aggiunti alla barra degli strumenti. Viene aperto un riquadro con collegamenti a informazioni e strumenti correlati.
Filtro sottoscrizioni aggiunto ai filtri predefiniti disponibili per le risorse.
collegamento Apri query per aprire le opzioni di filtro correnti come query di Azure Resource Graph (in precedenza denominata "Visualizza in Resource Graph Explorer").
Opzioni dell'operatore per ogni filtro. È ora possibile scegliere tra più operatori logici diversi da '='. Ad esempio, è possibile trovare tutte le risorse con raccomandazioni attive il cui titolo include la stringa "crittografare".
Per altre informazioni sull'inventario, vedere Esplorare e gestire le risorse con l'inventario degli asset.
La raccomandazione relativa alla richiesta di certificati SSL da parte delle app Web non fa più parte del punteggio di sicurezza
La raccomandazione "Le app Web devono richiedere un certificato SSL per tutte le richieste in ingresso" sono state spostate dal controllo di sicurezza Gestire l'accesso e le autorizzazioni (vale un massimo di 4 punti) in Implementare le procedure consigliate per la sicurezza (che non vale alcun punto).
Garantire che un'app Web richieda un certificato lo rende certamente più sicuro. Questa impostazione è tuttavia irrilevante per le app Web pubbliche. se si accede al sito tramite HTTP e non HTTPS, non si riceveranno i certificati client. Pertanto, se l'applicazione richiede i certificati client, è consigliabile non consentire le richieste all'applicazione tramite HTTP. Per altre informazioni, vedere Configurare l'autenticazione reciproca TLS per Servizio app di Azure.
Con questa modifica, la raccomandazione è ora una procedura consigliata che non influisce sul punteggio.
Per informazioni sulle raccomandazioni disponibili in ogni controllo di sicurezza, vedere Controlli di sicurezza e relative raccomandazioni.
La pagina Raccomandazioni contiene nuovi filtri per ambiente, gravità e risposte disponibili
Centro sicurezza di Azure monitora tutte le risorse connesse e genera raccomandazioni sulla sicurezza. Usare queste raccomandazioni per rafforzare il comportamento del cloud ibrido e tenere traccia della conformità ai criteri e agli standard pertinenti per l'organizzazione, il settore e il paese/area geografica.
L'elenco delle raccomandazioni sulla sicurezza cresce ogni mese, man mano che il Centro sicurezza continua a espandere la propria copertura e le funzionalità. Ad esempio, vedere Raccomandazioni di anteprimaTwenty nove aggiunte per aumentare la copertura di Azure Security Benchmark.
Con l'elenco in crescita, è necessario filtrare le raccomandazioni per trovare quelle di maggiore interesse. Lo scorso novembre sono stati aggiunti i filtri alla pagina Raccomandazioni (vedere L'elenco di raccomandazioni ora include i filtri).
I filtri aggiunti questo mese forniscono le opzioni per affinare l'elenco delle raccomandazioni in base a:
Environment - Visualizzare le raccomandazioni per le risorse AWS, GCP o Azure (o qualsiasi combinazione)
Gravità : visualizzare le raccomandazioni in base alla classificazione di gravità impostata dal Centro sicurezza
Azioni di risposta : visualizzare le raccomandazioni in base alla disponibilità delle opzioni di risposta del Centro sicurezza: Correzione, Negazione e Imposizione
Tip
Il filtro delle azioni di risposta sostituisce il filtro Correzione rapida disponibile (Sì/No).
Per altre informazioni su ognuna di queste opzioni di risposta, vedere:
L'esportazione continua ha nuovi tipi di dati e criteri DeployIfNotExists migliorati
gli strumenti di esportazione continua di Centro sicurezza di Azure consentono di esportare le raccomandazioni e gli avvisi del Centro sicurezza da usare con altri strumenti di monitoraggio nell'ambiente in uso.
L'esportazione continua consente di personalizzare completamente gli elementi che verranno esportati e la posizione in cui verranno inseriti. Per informazioni complete, vedere Esportazione continua dei dati del Centro sicurezza.
Questi strumenti sono stati migliorati e ampliati nei modi seguenti:
I criteri DeployIfNotExists dell'esportazione continua sono stati migliorati. Ora consentono di:
Verificare se la configurazione è abilitata. Se non è abilitata, il criterio visualizza uno stato non conforme e crea una risorsa conforme. Altre informazioni sui modelli di Criteri di Azure forniti nella scheda "Distribuisci su larga scala con Criteri di Azure" in Impostare un'esportazione continua.
Supportare l'esportazione dei risultati di sicurezza. Quando si usano i modelli di Criteri di Azure, è possibile configurare l'esportazione continua per includere i risultati. Questa configurazione è importante quando si esportano raccomandazioni che contengono "sottoraccomandazioni", ad esempio i risultati di analisi di valutazione delle vulnerabilità o aggiornamenti di sistema specifici per la raccomandazione "padre" "È consigliabile installare gli aggiornamenti del sistema nei computer".
Supportare l'esportazione dei dati dei punteggi di sicurezza.
Dati di valutazione della conformità con le normative aggiunti (in anteprima). È ora possibile esportare continuamente gli aggiornamenti alle valutazioni di conformità alle normative, incluse le iniziative personalizzate, in un'area di lavoro Log Analytics o in Hub eventi. Questa funzionalità non è disponibile nei cloud nazionali.
Novembre 2020
Gli aggiornamenti del mese di novembre includono quanto segue:
- 29 raccomandazioni di anteprima aggiunte per aumentare la copertura di Azure Security Benchmark
- Aggiunta di NIST SP 800 171 R2 al dashboard di conformità alle normative del Centro sicurezza
- L'elenco di raccomandazioni ora include i filtri
- Esperienza di provisioning automatico migliorata ed espansa
- Punteggio di sicurezza ora disponibile nell'esportazione continua (anteprima)
- La raccomandazione "Gli aggiornamenti di sistema devono essere installati nei computer" ora includono sottocomendazioni
- pagina di gestione Policy nel portale di Azure mostra ora lo stato delle assegnazioni di criteri predefinite
29 raccomandazioni di anteprima aggiunte per aumentare la copertura di Azure Security Benchmark
Azure Security Benchmark è il set di linee guida specifiche per la sicurezza e la conformità Microsoft create, Azure specifiche per le procedure consigliate per la sicurezza e la conformità basate su framework di conformità comuni. Altre informazioni su Azure Security Benchmark.
Le seguenti 29 nuove raccomandazioni di anteprima verranno aggiunte al Centro sicurezza per aumentare la copertura del benchmark.
Le raccomandazioni in anteprima non contrassegnano una risorsa come non integra e non sono incluse nei calcoli del punteggio di sicurezza. Correggerle non appena possibile, in modo che possano contribuire al punteggio al termine del periodo di anteprima. Altre informazioni su come rispondere a queste raccomandazioni in Remediate recommendations in Centro sicurezza di Azure.
| Controllo di sicurezza | Nuove raccomandazioni |
|---|---|
| Crittografare i dati in movimento | - Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL - Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL - TLS deve essere aggiornato all'ultima versione per l'app per le API - TLS deve essere aggiornato all'ultima versione per l'app per le funzioni - TLS deve essere aggiornato all'ultima versione per l'app Web - L'app per le API deve usare FTPS - L'app per le funzioni deve usare FTPS - L'app Web deve usare FTPS |
| Gestire l'accesso e le autorizzazioni | - Le app Web devono richiedere un certificato SSL per tutte le richieste in ingresso - Nell'app per le API è necessario usare un'identità gestita - Nell'app per le funzioni è necessario usare un'identità gestita - Nell'app Web è necessario usare un'identità gestita |
| Limita l'accesso non autorizzato alla rete | - L'endpoint privato deve essere abilitato per i server PostgreSQL - L'endpoint privato deve essere abilitato per i server MariaDB - L'endpoint privato deve essere abilitato per i server MySQL |
| Abilita il controllo e la registrazione | - È necessario abilitare i log di diagnostica in Servizi app |
| Implementa le procedure consigliate per la sicurezza | - Backup di Azure deve essere abilitato per le macchine virtuali - Il backup con ridondanza geografica deve essere abilitato per Database di Azure per MariaDB - Il backup con ridondanza geografica deve essere abilitato per Database di Azure per MySQL - Il backup con ridondanza geografica deve essere abilitato per Database di Azure per PostgreSQL - PHP deve essere aggiornato all'ultima versione per l'app per le API - PHP deve essere aggiornato all'ultima versione per l'app Web - Java deve essere aggiornato alla versione più recente per l'app per le API - Java deve essere aggiornato alla versione più recente per l'app per le funzioni - Java deve essere aggiornato alla versione più recente per l'app Web - Python deve essere aggiornato alla versione più recente per l'app per le API - Python deve essere aggiornato alla versione più recente per l'app per le funzioni - Python deve essere aggiornato alla versione più recente per l'app Web - La conservazione dei controlli per i server SQL deve essere impostata su almeno 90 giorni |
Collegamenti correlati:
- Altre informazioni su Azure Security Benchmark
- Altre informazioni sulle app per le API Azure
- Altre informazioni sulle app per le funzioni di Azure
- Altre informazioni sulle app Web Azure
- Altre informazioni su Database di Azure per MariaDB
- Altre informazioni su Database di Azure per MySQL
- Altre informazioni su Database di Azure per PostgreSQL
Aggiunta di NIST SP 800 171 R2 al dashboard di conformità alle normative del Centro sicurezza
Lo standard NIST SP 800-171 R2 è ora disponibile come iniziativa predefinita per l'uso con il dashboard di conformità alle normative di Centro sicurezza di Azure. I mapping per i controlli sono descritti in Dettagli dell'iniziativa predefinita di conformità alle normative per NIST SP 800-171 R2.
Per applicare lo standard alle sottoscrizioni e monitorare continuamente lo stato di conformità, usare le istruzioni in Personalizzare il set di standard nel dashboard di conformità alle normative.
Per altre informazioni su questo standard di conformità, vedere NIST SP 800-171 R2.
L'elenco di raccomandazioni ora include i filtri
È ora possibile filtrare l'elenco di raccomandazioni di sicurezza in base a una serie di criteri. Nell'esempio seguente l'elenco delle raccomandazioni viene filtrato per mostrare le raccomandazioni che:
- sono disponibili a livello generale (ovvero, non in anteprima)
- sono per gli account di archiviazione
- supporto correzione rapida correzione
Esperienza di provisioning automatico migliorata ed espansa
La funzionalità di provisioning automatico consente di ridurre il sovraccarico di gestione installando le estensioni necessarie in macchine virtuali nuove e esistenti, Azure in modo da poter trarre vantaggio dalle protezioni del Centro sicurezza.
Man mano che aumenta Centro sicurezza di Azure, sono state sviluppate più estensioni e il Centro sicurezza può monitorare un elenco più ampio di tipi di risorse. Gli strumenti di provisioning automatico sono ora stati espansi per supportare altre estensioni e tipi di risorse sfruttando le funzionalità di Criteri di Azure.
È ora possibile configurare il provisioning automatico di:
- agente Log Analytics
- (Nuovo) Criteri di Azure per Kubernetes
- (Nuovo) Microsoft Dependency Agent
Per altre informazioni, vedere Autoprovisioning di agenti ed estensioni da Centro sicurezza di Azure.
Punteggio di sicurezza ora disponibile nell'esportazione continua (anteprima)
Con l'esportazione continua del punteggio di sicurezza, è possibile trasmettere le modifiche al punteggio in tempo reale per Hub eventi di Azure o un'area di lavoro Log Analytics. Usare questa funzionalità per:
- Tenere traccia del punteggio di sicurezza nel corso del tempo con report dinamici
- esportare i dati del punteggio di sicurezza in Microsoft Sentinel (o in qualsiasi altro siem)
- Integrare questi dati con qualsiasi processo che potrebbe già essere in uso per monitorare il punteggio di sicurezza nell'organizzazione
Per altre informazioni, vedere Esportazione continua dei dati del Centro sicurezza.
La raccomandazione "Gli aggiornamenti di sistema devono essere installati nei computer" ora includono sottocomendazioni
Gli aggiornamenti di sistema devono essere installati nei computer consigliati è stato migliorato. La nuova versione include sottocomendazioni per ogni aggiornamento mancante e apporta i miglioramenti seguenti:
Esperienza riprogettata nelle pagine Centro sicurezza di Azure del portale di Azure. La pagina di dettagli della raccomandazione Gli aggiornamenti di sistema devono essere installati nelle macchine virtuali include l'elenco di risultati, come illustrato di seguito. Quando si seleziona un singolo risultato, viene visualizzato il riquadro dei dettagli con un collegamento alle informazioni sulla correzione e un elenco delle risorse interessate.
Dati arricchiti per la raccomandazione da Azure Resource Graph (ARG). ARG è un servizio Azure progettato per offrire un'esplorazione efficiente delle risorse. È possibile usare Azure Resource Graph per eseguire query su larga scala su un determinato set di sottoscrizioni, in modo da regolamentare efficacemente l'ambiente.
Per Centro sicurezza di Azure, è possibile usare ARG e Kusto Query Language (KQL) per eseguire query su un'ampia gamma di dati relativi al comportamento di sicurezza.
In precedenza, se si eseguivano query su questa raccomandazione in Azure Resource Graph, le uniche informazioni disponibili erano che era necessario apportare la correzione raccomandata in un computer. La query seguente della versione ottimizzata restituirà tutti gli aggiornamenti di sistema mancanti raggruppati in base al computer.
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27" | where properties.status.code == "Unhealthy"
La pagina Gestione dei criteri nel portale di Azure mostra ora lo stato delle assegnazioni di criteri predefinite
È ora possibile verificare se alle sottoscrizioni sono assegnati o meno i criteri predefiniti del Centro sicurezza, nella pagina security policy del portale di Azure del Centro sicurezza.
Ottobre 2020
Gli aggiornamenti del mese di ottobre includono quanto segue:
- Valutazione della vulnerabilità per computer locali e multicloud (anteprima)
- Firewall di Azure raccomandazione aggiunta (anteprima)
- Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes - Aggiornata la raccomandazione con una correzione rapida
- Il dashboard Conformità con le normative include ora un'opzione per rimuovere gli standard
- Microsoft. Tabella Security/securityStatuses rimossa da Azure Resource Graph
Valutazione della vulnerabilità per computer locali e multicloud (anteprima)
Azure Defender per server scanner di valutazione della vulnerabilità integrata (con tecnologia Qualys) analizza ora i server abilitati per Azure Arc.
Dopo aver abilitato Azure Arc nei computer non Azure, il Centro sicurezza offre la possibilità di distribuire lo scanner di vulnerabilità integrato su di essi, manualmente e su larga scala.
Con questo aggiornamento è possibile sfruttare la potenza di Azure Defender per server per consolidare il programma di gestione delle vulnerabilità in tutti gli asset Azure e non Azure.
Funzionalità principali:
- Monitoraggio dello stato di provisioning dello scanner di valutazione della vulnerabilità nei computer Azure Arc
- Provisioning dell'agente va integrato in computer Windows non protetti e Azure Arc Linux (manualmente e su larga scala)
- Ricezione e analisi delle vulnerabilità rilevate dagli agenti distribuiti (manualmente e su larga scala)
- Esperienza unificata per macchine virtuali e Azure Arc Azure
Altre informazioni sulla distribuzione dello scanner di vulnerabilità Qualys integrato nei computer ibridi.
Altre informazioni sui server abilitati per Azure Arc.
Firewall di Azure raccomandazione aggiunta (anteprima)
È stata aggiunta una nuova raccomandazione per proteggere tutte le reti virtuali con Firewall di Azure.
La raccomandazione Le reti virtuali devono essere protette da Firewall di Azure consiglia di limitare l'accesso alle reti virtuali e prevenire potenziali minacce usando Firewall di Azure.
Altre informazioni su Firewall di Azure.
Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes - Aggiornata la raccomandazione con una correzione rapida
La raccomandazione Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes include ora un'opzione per la correzione rapida.
Il dashboard Conformità con le normative include ora un'opzione per rimuovere gli standard
Il dashboard Conformità con le normative del Centro sicurezza fornisce informazioni dettagliate sul comportamento di conformità in base a come vengono soddisfatti specifici controlli e requisiti.
Il dashboard include un set predefinito di standard normativi. Se uno degli standard forniti non è rilevante per l'organizzazione, è ora un processo semplice per rimuoverli dall'interfaccia utente per una sottoscrizione. Gli standard possono essere rimossi solo a livello di sottoscrizione ; non l'ambito del gruppo di gestione.
Per altre informazioni, vedere Rimuovere uno standard dal dashboard.
Microsoft. Tabella Security/securityStatuses rimossa da Azure Resource Graph (ARG)
Azure Resource Graph è un servizio in Azure progettato per offrire un'esplorazione efficiente delle risorse con la possibilità di eseguire query su larga scala in un determinato set di sottoscrizioni in modo da poter gestire efficacemente l'ambiente.
Per Centro sicurezza di Azure, è possibile usare ARG e Kusto Query Language (KQL) per eseguire query su un'ampia gamma di dati relativi al comportamento di sicurezza. Per esempio:
- L'inventario delle risorse usa ARG
- È stata documentata una query ARG di esempio per informazioni su come identificare gli account senza l'autenticazione a più fattori (MFA) abilitata
All'interno di ARG sono disponibili tabelle di dati da usare nelle query.
Tip
La documentazione di ARG elenca tutte le tabelle disponibili in Azure Resource Graph tabella e informazioni di riferimento sui tipi di risorsa.
Da questo aggiornamento, il Microsoft. La tabella Security/securityStatuses è stata rimossa. L'API securityStatuses è ancora disponibile.
La sostituzione dei dati può essere usata da Microsoft. Tabella Sicurezza/Valutazioni.
La differenza principale tra Microsoft. Security/securityStatuses e Microsoft. La sicurezza/valutazioni è che mentre la prima mostra l'aggregazione delle valutazioni, i secondi contiene un singolo record per ognuno.
Ad esempio, Microsoft. Security/securityStatuses restituirà un risultato con una matrice di due criteriAssessments:
{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
Mentre Microsoft. Sicurezza/Valutazioni contengono un record per ogni valutazione dei criteri come segue:
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}
Esempio di conversione di una query di Azure Resource Graph esistente usando securityStatuses per usare la tabella Assessments:
Query che fa riferimento a SecurityStatuses:
SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails
Query di sostituzione per la tabella Assessments:
securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData
Per altre informazioni, vedere i collegamenti seguenti:
Settembre 2020
Gli aggiornamenti del mese di settembre includono quanto segue:
- Nuovo aspetto per il Centro sicurezza
- Azure Defender rilasciata
- Azure Defender per Key Vault è disponibile a livello generale
- Azure Defender per la protezione dell'archiviazione per File e ADLS Gen2 è disponibile a livello generale
- Disponibilità generale degli strumenti di inventario delle risorse
- Possibilità di disabilitare un risultato specifico della vulnerabilità per le analisi dei registri contenitori e delle macchine virtuali
- Esentare una risorsa da una raccomandazione
- I connettori AWS e GCP nel Centro sicurezza mettono a punto un'esperienza multicloud
- Aggregazione di raccomandazioni sulla protezione dei carichi di lavoro Kubernetes
- Possibilità di esportazione continua dei risultati delle valutazioni delle vulnerabilità
- Possibilità di impedire errori di configurazione della sicurezza tramite l'applicazione di raccomandazioni durante la creazione di nuove risorse
- Miglioramento alle raccomandazioni per i gruppi di sicurezza di rete
- Deprecazione della raccomandazione in anteprima "I criteri di sicurezza pod devono essere definiti nei servizi Kubernetes" del servizio Azure Kubernetes
- Email notifications from Centro sicurezza di Azure improved
- Raccomandazioni in anteprima non incluse nel punteggio di sicurezza
- Indicatore di gravità e intervallo di aggiornamento ora inclusi nelle raccomandazioni
Il Centro sicurezza ottiene un nuovo aspetto
È stata rilasciata un'interfaccia utente aggiornata per le pagine del portale del Centro sicurezza. Le nuove pagine includono una nuova pagina di panoramica e dashboard per il punteggio di sicurezza, l'inventario degli asset e Azure Defender.
La pagina di panoramica riprogettata include ora un riquadro per accedere al punteggio di sicurezza, all'inventario degli asset e ai dashboard Azure Defender. Include anche un riquadro di collegamento al dashboard di conformità alle normative.
Altre informazioni sulla pagina di panoramica.
Azure Defender rilasciata
Azure Defender è la piattaforma CWPP (Cloud Workload Protection Platform) integrata nel Centro sicurezza per la protezione avanzata, intelligente e intelligente dei carichi di lavoro Azure e ibridi. Sostituisce l'opzione Standard del piano tariffario del Centro sicurezza.
Quando si abilita Azure Defender dall'area Pricing e impostazioni'area di Centro sicurezza di Azure, i piani di Defender seguenti sono abilitati contemporaneamente e forniscono difese complete per i livelli di calcolo, dati e servizio dell'ambiente:
- Azure Defender per server
- Azure Defender per il servizio app
- Azure Defender per archiviazione
- Azure Defender per SQL
- Azure Defender per Key Vault
- Azure Defender per Kubernetes
- Azure Defender per i registri contenitori
Ogni piano è illustrato separatamente nella documentazione del Centro sicurezza.
Con il dashboard dedicato, Azure Defender fornisce avvisi di sicurezza e protezione avanzata dalle minacce per macchine virtuali, database SQL, contenitori, applicazioni Web, rete e altro ancora.
Altre informazioni su Azure Defender
Azure Defender per Key Vault è disponibile a livello generale
Azure Key Vault è un servizio cloud che protegge chiavi di crittografia e segreti come certificati, stringhe di connessione e password.
Azure Defender per Key Vault fornisce protezione dalle minacce nativa Azure per Azure Key Vault, fornendo un ulteriore livello di intelligence per la sicurezza. Per estensione, Azure Defender per Key Vault protegge di conseguenza molte delle risorse dipendenti dagli account Key Vault.
Il piano facoltativo è ora disponibile a livello generale. Questa funzionalità era disponibile in anteprima come "advanced threat protection for Azure Key Vault".
Inoltre, le pagine Key Vault nel portale di Azure includono ora una pagina dedicata Security per Security Center raccomandazioni e avvisi.
Altre informazioni sono disponibili in Azure Defender per Key Vault.
Azure Defender per la protezione dell'archiviazione per File e ADLS Gen2 è disponibile a livello generale
Azure Defender per Archiviazione rileva attività potenzialmente dannose sugli account Archiviazione di Azure. I dati possono essere protetti indipendentemente dal fatto che siano archiviati come contenitori BLOB, condivisioni file o data lake.
Il supporto per File di Azure e Azure Data Lake Storage Gen2 è ora disponibile a livello generale.
Dal 1° ottobre 2020 inizieremo a pagare per proteggere le risorse in questi servizi.
Per altre informazioni, vedere Azure Defender per Archiviazione.
Disponibilità generale degli strumenti di inventario delle risorse
La pagina inventario asset di Centro sicurezza di Azure fornisce una singola pagina per visualizzare il comportamento di sicurezza delle risorse connesse al Centro sicurezza.
Il Centro sicurezza analizza periodicamente lo stato di sicurezza delle risorse Azure per identificare potenziali vulnerabilità della sicurezza. Fornisce quindi raccomandazioni su come correggere tali vulnerabilità.
Le risorse a cui sono associate raccomandazioni in attesa verranno visualizzate nell'inventario.
Per altre informazioni, vedere Esplorare e gestire le risorse con l'inventario degli asset.
Possibilità di disabilitare un risultato specifico della vulnerabilità per le analisi dei registri contenitori e delle macchine virtuali
Azure Defender include scanner di vulnerabilità per analizzare le immagini nei Registro Azure Container e nelle macchine virtuali.
Se l'organizzazione deve ignorare un risultato invece di correggerlo, è possibile disabilitarlo facoltativamente. I risultati disabilitati non influiscono sul punteggio di sicurezza e non generano elementi non significativi.
Quando un risultato corrisponde ai criteri definiti nelle regole di disabilitazione, non verrà visualizzato nell'elenco di risultati.
Questa opzione è disponibile nella pagina dei dettagli delle raccomandazioni per:
- è necessario correggere Vulnerabilities nelle immagini Registro Azure Container
- È consigliabile correggere le vulnerabilità nelle macchine virtuali
Esentare una risorsa da una raccomandazione
Una risorsa verrà occasionalmente elencata come non integra rispetto a una raccomandazione specifica, con una conseguente riduzione del punteggio di sicurezza, anche se si ritiene che si tratti di un errore. È possibile che sia stata corretta da un processo non rilevato dal Centro sicurezza o che l'organizzazione abbia deciso di accettare il rischio per tale risorsa specifica.
In questi casi è possibile creare una regola di esenzione e assicurare che la risorsa non sia elencata in futuro tra le risorse non integre. Queste regole possono includere giustificazioni documentate, come illustrato di seguito.
Per altre informazioni, vedere Esentare una risorsa dalle raccomandazioni e dal punteggio di sicurezza.
I connettori AWS e GCP nel Centro sicurezza mettono a punto un'esperienza multicloud
I carichi di lavoro cloud si estendono in genere su più piattaforme cloud, quindi anche i servizi di sicurezza cloud devono adottare lo stesso approccio.
Centro sicurezza di Azure ora protegge i carichi di lavoro in Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP).
Quando si esegue l'onboarding di progetti AWS e GCP nel Centro sicurezza, si integra aws Security Hub, GCP Security Command e Centro sicurezza di Azure.
Per altre informazioni, vedere Connettere gli account AWS a Centro sicurezza di Azure e Connettere i progetti GCP a Centro sicurezza di Azure.
Aggregazione di raccomandazioni sulla protezione dei carichi di lavoro Kubernetes
Per assicurare che i carichi di lavoro di Kubernetes siano protetti per impostazione predefinita, il Centro sicurezza aggiunge raccomandazioni per la protezione avanzata a livello di Kubernetes, incluse opzioni di applicazione con il controllo ammissione di Kubernetes.
Dopo aver installato Criteri di Azure per Kubernetes nel cluster del servizio Azure Kubernetes, ogni richiesta al server API Kubernetes verrà monitorata rispetto al set predefinito di procedure consigliate prima di essere salvato in modo permanente nel cluster. È quindi possibile configurare l'applicazione delle procedure consigliate e renderle obbligatorie per i carichi di lavoro futuri.
È ad esempio possibile imporre che i contenitori con privilegi non debbano essere creati ed eventuali richieste future di creazione di tali contenitori verranno bloccate.
Per altre informazioni, vedere Procedure consigliate per la protezione dei carichi di lavoro con il controllo ammissione di Kubernetes.
Possibilità di esportazione continua dei risultati delle valutazioni delle vulnerabilità
Usare l'esportazione continua per trasmettere gli avvisi e le raccomandazioni per Hub eventi di Azure, aree di lavoro Log Analytics o Monitoraggio di Azure. Da qui è possibile integrare questi dati con SIEM, ad esempio Microsoft Sentinel, Power BI, Esplora dati di Azure e altro ancora.
Gli strumenti integrati di valutazione delle vulnerabilità del Centro sicurezza restituiscono risultati sulle risorse sotto forma di raccomandazioni di utilità pratica con una raccomandazione "padre", ad esempio "È consigliabile correggere le vulnerabilità nelle macchine virtuali".
I risultati di sicurezza sono ora disponibili per l'esportazione tramite l'esportazione continua quando si selezionano le raccomandazioni e si abilita l'opzione Includi i risultati per la sicurezza.
Pagine correlate:
- Soluzione di valutazione della vulnerabilità Qualys integrata del Centro sicurezza per Azure macchine virtuali
- Soluzione di valutazione integrata della vulnerabilità del Centro sicurezza per le immagini Registro Azure Container
- Esportazione continua
Possibilità di impedire errori di configurazione della sicurezza tramite l'applicazione di raccomandazioni durante la creazione di nuove risorse
Gli errori di configurazione della sicurezza sono una delle cause principali degli eventi imprevisti di sicurezza. Il Centro sicurezza ha ora la possibilità di evitare errori di configurazione delle nuove risorse in relazione a raccomandazioni specifiche.
Questa funzionalità può contribuire alla protezione dei carichi di lavoro e alla stabilizzazione del punteggio di sicurezza.
È possibile applicare una configurazione sicura, in base a una raccomandazione specifica, in due modalità:
Usando la modalità negata di Criteri di Azure, è possibile impedire la creazione di risorse non integre
Usando l'opzione applicata, è possibile sfruttare l'effetto
DeployIfNotExist e correggere automaticamente le risorse non conformi al momento della creazione
Questa opzione è disponibile per raccomandazioni di sicurezza selezionate e si trova nella parte superiore della pagina dei dettagli delle risorse.
Per altre informazioni, vedere Impedire gli errori di configurazione con le raccomandazioni di tipo Imponi/Nega.
Miglioramento alle raccomandazioni per i gruppi di sicurezza di rete
Le raccomandazioni di sicurezza seguenti correlate ai gruppi di sicurezza di rete sono state migliorate per ridurre alcune istanze di falsi positivi.
- È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla VM
- È consigliabile chiudere le porte di gestione nelle macchine virtuali
- Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete
- Le subnet devono essere associate a un gruppo di sicurezza di rete
Deprecazione della raccomandazione in anteprima "I criteri di sicurezza pod devono essere definiti nei servizi Kubernetes" del servizio Azure Kubernetes
La raccomandazione di anteprima "I criteri di sicurezza dei pod devono essere definiti nei servizi Kubernetes" è deprecata come descritto nella documentazione servizio Azure Kubernetes.
La funzionalità dei criteri di sicurezza dei pod (anteprima) è impostata per la deprecazione e non sarà più disponibile dopo il 15 ottobre 2020 a favore di Criteri di Azure per il servizio Azure Kubernetes.
Dopo aver deprecato i criteri di sicurezza dei pod (anteprima), è necessario disabilitare la funzionalità in tutti i cluster esistenti usando la funzionalità deprecata per eseguire aggiornamenti futuri del cluster e rimanere entro supporto tecnico di Azure.
Notifiche tramite posta elettronica da Centro sicurezza di Azure migliorate
Le aree seguenti dei messaggi di posta elettronica correlati agli avvisi di sicurezza sono state migliorate:
- Aggiunta della possibilità di inviare notifiche tramite posta elettronica sugli avvisi per tutti i livelli di gravità
- Aggiunta della possibilità di notificare agli utenti ruoli di Azure diversi nella sottoscrizione
- Notifiche proattive per i proprietari delle sottoscrizioni per impostazione predefinita in caso di avvisi a gravità alta, con probabilità elevata di essere violazioni effettive
- Rimozione del campo relativo al numero di telefono dalla pagina di configurazione delle notifiche tramite posta elettronica
Per altre informazioni, vedere Configurare le notifiche tramite posta elettronica per gli avvisi di sicurezza.
Raccomandazioni in anteprima non incluse nel punteggio di sicurezza
Il Centro sicurezza valuta continuamente risorse, sottoscrizioni e organizzazione per rilevare problemi di sicurezza. Tutti i risultati vengono quindi aggregati in un singolo punteggio, in modo da poter capire, a colpo d'occhio, lo stato di sicurezza corrente: maggiore è il punteggio, minore è il livello di rischio identificato.
Quando vengono individuate nuove minacce, vengono resi disponibili nuovi consigli sulla sicurezza nel Centro sicurezza tramite nuove raccomandazioni. Per evitare modifiche a sorpresa del punteggio di sicurezza e per fornire un periodo di tolleranza in cui è possibile esplorare nuove raccomandazioni prima che influiscano sui punteggi, le raccomandazioni contrassegnate come anteprima non sono più incluse nei calcoli del punteggio di sicurezza. È comunque necessario correggerle non appena possibile, in modo che possano contribuire al punteggio al termine del periodo di anteprima.
Inoltre, le raccomandazioni di anteprima non eseguono il rendering di una risorsa "Non integra".
Esempio di una raccomandazione in anteprima:
Altre informazioni sul punteggio di sicurezza.
Indicatore di gravità e intervallo di aggiornamento ora inclusi nelle raccomandazioni
La pagina dei dettagli per le raccomandazioni include ora un indicatore dell'intervallo di aggiornamento, se rilevante, e un'indicazione chiara della gravità della raccomandazione.
Agosto 2020
Gli aggiornamenti del mese di agosto includono quanto segue:
- Inventario delle risorse: nuova visualizzazione potente del comportamento di sicurezza delle risorse
- Aggiungere il supporto per le impostazioni predefinite di sicurezza Microsoft Entra ID (per l'autenticazione a più fattori)
- Aggiunta di una raccomandazione per le entità servizio
- Valutazione delle vulnerabilità nelle VM: consolidamento di raccomandazioni e criteri
- Nuovi criteri di sicurezza del servizio Azure Kubernetes aggiunti all'iniziativa ASC_default
Inventario delle risorse: nuova visualizzazione potente del comportamento di sicurezza delle risorse
L'inventario delle risorse del Centro sicurezza, attualmente disponibile in anteprima, offre una modalità per visualizzare il comportamento di sicurezza delle risorse connesse al Centro sicurezza.
Il Centro sicurezza analizza periodicamente lo stato di sicurezza delle risorse Azure per identificare potenziali vulnerabilità della sicurezza. Fornisce quindi raccomandazioni su come correggere tali vulnerabilità. Le risorse a cui sono associate raccomandazioni in attesa verranno visualizzate nell'inventario.
È possibile usare la visualizzazione e i rispettivi filtri per esplorare i dati del comportamento di sicurezza ed eseguire altre azioni in base ai risultati.
Altre informazioni sull'inventario degli asset.
Aggiunta del supporto per le impostazioni predefinite di sicurezza Microsoft Entra ID (per l'autenticazione a più fattori)
Il Centro sicurezza ha aggiunto il supporto completo per le impostazioni predefinite di sicurezza , Microsoft protezione della sicurezza delle identità gratuite.
Le impostazioni predefinite per la sicurezza offrono impostazioni preconfigurate per la sicurezza delle identità per proteggere l'organizzazione da attacchi comuni correlati alle identità. Le impostazioni predefinite per la sicurezza proteggono già più di 5 milioni di tenant complessivamente. 50.000 tenant sono protetti anche dal Centro sicurezza.
Il Centro sicurezza offre ora una raccomandazione di sicurezza ogni volta che identifica una sottoscrizione Azure senza le impostazioni predefinite per la sicurezza abilitate. Fino ad ora, il Centro sicurezza ha consigliato di abilitare l'autenticazione a più fattori usando l'accesso condizionale, che fa parte della licenza Microsoft Entra ID Premium. Per i clienti che usano Microsoft Entra ID gratuito, è ora consigliabile abilitare le impostazioni predefinite per la sicurezza.
L'obiettivo è incoraggiare più clienti a proteggere gli ambienti cloud con MFA e a ridurre uno dei rischi più elevati che è anche l'impatto maggiore sul punteggio di sicurezza.
Altre informazioni sulle impostazioni predefinite per la sicurezza.
Aggiunta di una raccomandazione per le entità servizio
È stata aggiunta una nuova raccomandazione per consigliare ai clienti del Centro sicurezza di usare i certificati di gestione per gestire le sottoscrizioni passando alle entità servizio.
È consigliabile usare le entità Service per proteggere le sottoscrizioni anziché i certificati di gestione consiglia di usare entità servizio o Azure Resource Manager per gestire in modo più sicuro le sottoscrizioni.
Altre informazioni sugli oggetti Application e entità servizio in Microsoft Entra ID.
Valutazione delle vulnerabilità nelle VM: consolidamento di raccomandazioni e criteri
Il Centro sicurezza esamina le VM per rilevare se eseguono una soluzione di valutazione delle vulnerabilità. Se non viene trovata alcuna soluzione di valutazione delle vulnerabilità, il Centro sicurezza fornisce una raccomandazione per semplificare la distribuzione.
Quando vengono trovate vulnerabilità, il Centro sicurezza fornisce una raccomandazione che riepiloga i risultati per consentire l'indagine e la correzione, se necessario.
Per assicurare un'esperienza coerente per tutti gli utenti, indipendentemente dal tipo di rilevatore usato, quattro raccomandazioni sono state combinate nelle due raccomandazioni seguenti:
| Raccomandazione unificata | Descrizione delle modifiche |
|---|---|
| È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | Sostituisce le due raccomandazioni seguenti: Abilitare la soluzione di valutazione della vulnerabilità predefinita nelle macchine virtuali (con tecnologia Qualys (ora deprecata) (incluso con il livello standard) La soluzione di valutazione della vulnerabilità deve essere installata nelle macchine virtuali (ora deprecate) (livelli Standard e gratuito) |
| È consigliabile correggere le vulnerabilità nelle macchine virtuali | Sostituisce le due raccomandazioni seguenti: Correggere le vulnerabilità rilevate nelle macchine virtuali (basate su Qualys) (ora deprecate) Le vulnerabilità devono essere risolte da una soluzione di valutazione della vulnerabilità (ora deprecata) |
A questo punto si userà la stessa raccomandazione per distribuire l'estensione di valutazione delle vulnerabilità del Centro sicurezza o una soluzione con licenza privata ("BYOL") da un partner, ad esempio Qualys o Rapid 7.
Quando le vulnerabilità vengono trovate e segnalate al Centro sicurezza, una singola raccomandazione informerà gli utenti in merito alla disponibilità dei risultati, indipendentemente dalla soluzione di valutazione delle vulnerabilità che le ha individuate.
Aggiornamento delle dipendenze
Se sono presenti script, query o automazioni che fanno riferimento a raccomandazioni o chiavi/nomi di criteri precedenti, usare la tabella seguente per aggiornare i riferimenti:
Prima del mese di agosto 2020
| Recommendation | Scope |
|---|---|
|
Abilitare la soluzione di valutazione delle vulnerabilità predefinita nelle macchine virtuali (con tecnologia Qualys) Chiave: 550e890b-e652-4d22-8274-60b3bdb24c63 |
Built-in |
|
Correggere le vulnerabilità rilevate nelle macchine virtuali (con tecnologia Qualys) Chiave: 1195afff-c881-495e-9bc5-1486211ae03f |
Built-in |
|
È consigliabile installare una soluzione di valutazione della vulnerabilità nelle macchine virtuali Chiave: 01b1ed4c-b733-4fee-b145-f23236e70cf3 |
BYOL |
|
Le vulnerabilità devono essere risolte tramite una soluzione di valutazione della vulnerabilità Chiave: 71992a2a-d168-42e0-b10e-6b45fa2ecddb |
BYOL |
| Policy | Scope |
|---|---|
|
La soluzione Valutazione della vulnerabilità deve essere abilitata nelle macchine virtuali ID criterio: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Built-in |
|
È consigliabile correggere le vulnerabilità tramite una soluzione di valutazione della vulnerabilità ID criterio: 760a85ff-6162-42b3-8d70-698e268f648c |
BYOL |
Dal mese di agosto 2020
| Recommendation | Scope |
|---|---|
|
È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali Chiave: ffff0522-1e88-47fc-8382-2a80ba848f5d |
Predefinito + BYOL |
|
È consigliabile correggere le vulnerabilità nelle macchine virtuali Chiave: 1195afff-c881-495e-9bc5-1486211ae03f |
Predefinito + BYOL |
| Policy | Scope |
|---|---|
|
La soluzione Valutazione della vulnerabilità deve essere abilitata nelle macchine virtuali ID criterio: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Predefinito + BYOL |
Nuovi criteri di sicurezza del servizio Azure Kubernetes aggiunti all'iniziativa ASC_default
Per assicurare che i carichi di lavoro di Kubernetes siano protetti per impostazione predefinita, il Centro sicurezza aggiunge criteri e raccomandazioni per la protezione avanzata a livello di Kubernetes, incluse opzioni di imposizione con il controllo ammissione di Kubernetes.
La fase iniziale di questo progetto include un'anteprima e l'aggiunta di nuovi criteri (disabilitati per impostazione predefinita) all'iniziativa ASC_default.
È possibile ignorare questi criteri, senza impatto sull'ambiente. Per abilitarli, iscriversi all'anteprima tramite la Microsoft Cloud Security Private Community e selezionare le opzioni seguenti:
- Anteprima singola : per partecipare solo a questa anteprima. Indicare in modo esplicito "Analisi continua asc" come anteprima da aggiungere.
- Programma in corso : da aggiungere a questa e alle future anteprime. Dovrai completare un profilo e un contratto sulla privacy.
Luglio 2020
Gli aggiornamenti del mese di luglio includono quanto segue:
- La valutazione della vulnerabilità per le macchine virtuali è ora disponibile per le immagini che non si trovano nel marketplace
- Protezione per Archiviazione di Azure espansa per includere File di Azure e Azure Data Lake Storage Gen2 (anteprima)
- Otto nuove raccomandazioni per abilitare le funzionalità di protezione dalle minacce
- Miglioramenti alla sicurezza dei contenitori: analisi più rapida dei registri e documentazione aggiornata
- Aggiornamento dei controlli applicazioni adattivi con una nuova raccomandazione e supporto per caratteri jolly nelle regole di percorso
- Sei criteri per la funzionalità deprecata Sicurezza dei dati avanzata SQL
Disponibilità della valutazione delle vulnerabilità per macchine virtuali per immagini non del marketplace
Quando è stata distribuita una soluzione di valutazione della vulnerabilità, il Centro sicurezza ha eseguito in precedenza un controllo di convalida prima della distribuzione. Il controllo consentiva di confermare la disponibilità di uno SKU del marketplace della macchina virtuale di destinazione.
Da questo aggiornamento, il controllo viene rimosso ed è ora possibile distribuire gli strumenti di valutazione della vulnerabilità nei computer "personalizzati" Windows e Linux. Le immagini personalizzate sono immagini modificate a partire da impostazioni predefinite del marketplace.
Anche se è ora possibile distribuire l'estensione di valutazione delle vulnerabilità integrata (con tecnologia Qualys) in molti altri computer, il supporto è disponibile solo se si usa un sistema operativo elencato in Distribuire il rilevatore di vulnerabilità integrato nelle macchine virtuali di livello Standard
Altre informazioni sullo scanner di vulnerabilità integrated per le macchine virtuali (richiede Azure Defender).
Altre informazioni sull'uso della propria soluzione di valutazione delle vulnerabilità con licenza privata da Qualys o Rapid7 in Distribuzione di una soluzione di analisi delle vulnerabilità dei partner.
Protezione dalle minacce per Archiviazione di Azure espansa per includere File di Azure e Azure Data Lake Storage Gen2 (anteprima)
La protezione dalle minacce per Archiviazione di Azure rileva attività potenzialmente dannose sugli account Archiviazione di Azure. Il Centro sicurezza mostra avvisi quando rileva tentativi di accesso o di exploit degli account di archiviazione.
I dati possono essere protetti indipendentemente dal fatto che siano archiviati come contenitori BLOB, condivisioni file o data lake.
Otto nuove raccomandazioni per abilitare le funzionalità di protezione dalle minacce
Sono state aggiunte otto nuove raccomandazioni per consentire un modo semplice per abilitare le funzionalità di protezione dalle minacce di Centro sicurezza di Azure per i tipi di risorse seguenti: macchine virtuali, piani di servizio app, server database SQL di Azure, server SQL nei computer, account Archiviazione di Azure, servizio Azure Kubernetes cluster, registri Registro Azure Container e insiemi di credenziali di Azure Key Vault.
Di seguito sono elencate le nuove raccomandazioni:
- La sicurezza dei dati avanzata deve essere abilitata nei server database SQL di Azure
- La soluzione Sicurezza dei dati avanzata deve essere abilitata in SQL Server in macchine virtuali
- È consigliabile abilitare Advanced Threat Protection nei piani Servizio app di Azure
- Advanced Threat Protection deve essere abilitata nei registri di Registro Azure Container
- È necessario abilitare Advanced Threat Protection in Azure Key Vault insiemi di credenziali
- Advanced Threat Protection deve essere abilitata nei cluster servizio Azure Kubernetes
- Advanced Threat Protection deve essere abilitata per gli account Archiviazione di Azure
- È consigliabile abilitare Advanced Threat Protection nelle macchine virtuali
Le raccomandazioni includono anche la capacità di correzione rapida.
Important
La correzione in base a una di queste raccomandazioni comporterà addebiti per la protezione delle risorse rilevanti. L'applicazione degli addebiti inizierà immediatamente se sono presenti risorse correlate nella sottoscrizione corrente oppure inizierà in futuro se si aggiungono risorse in un momento successivo.
Ad esempio, se nella sottoscrizione non sono presenti servizio Azure Kubernetes cluster e si abilita la protezione dalle minacce, non verranno addebitati addebiti. Se in futuro si aggiunge un cluster nella stessa sottoscrizione, il cluster verrà protetto automaticamente e l'applicazione degli addebiti avrà inizio in tale momento.
Altre informazioni sulla protezione threat in Centro sicurezza di Azure.
Miglioramenti alla sicurezza dei contenitori: analisi più rapida dei registri e documentazione aggiornata
Come parte degli investimenti continui nel dominio di sicurezza dei contenitori, siamo lieti di condividere un miglioramento significativo delle prestazioni nelle analisi dinamiche del Centro sicurezza delle immagini del contenitore archiviate in Registro Azure Container. Le analisi vengono ora in genere completate in due minuti circa. In alcuni casi l'analisi potrebbe richiedere fino a 15 minuti.
Per migliorare la chiarezza e le indicazioni relative alle funzionalità di sicurezza dei contenitori di Centro sicurezza di Azure, sono state aggiornate anche le pagine della documentazione sulla sicurezza dei contenitori.
Aggiornamento dei controlli applicazioni adattivi con una nuova raccomandazione e supporto per caratteri jolly nelle regole di percorso
Sono stati apportati due aggiornamenti significativi alla funzionalità Controlli applicazioni adattivi:
Una nuova raccomandazione identifica un comportamento potenzialmente legittimo che non era consentito in precedenza. La nuova raccomandazione, Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate, richiede l'aggiunta di nuove regole al criterio esistente per ridurre il numero di falsi positivi negli avvisi di violazione dei controlli applicazioni adattivi.
Le regole di percorso supportano ora i caratteri jolly. A partire da questo aggiornamento, è possibile configurare le regole di percorso consentite usando i caratteri jolly. Sono supportati due scenari:
Utilizzando un carattere jolly alla fine di un percorso per consentire tutti i file eseguibili all'interno di questa cartella e sottocartelle.
Uso di un carattere jolly al centro del percorso per consentire un nome di file eseguibile noto con un nome di cartella modificabile (ad esempio cartelle personali dell'utente con un file eseguibile noto, nomi di cartella generati automaticamente e così via)
Sei criteri per la funzionalità deprecata Sicurezza dei dati avanzata SQL
Verranno deprecati sei criteri correlati alla sicurezza dei dati avanzata per i computer SQL:
- I tipi di protezione di Advanced Threat Protection devono essere impostati su "Tutti" nelle impostazioni di Sicurezza dei dati avanzata dell'istanza gestita di SQL
- È necessario impostare i tipi di protezione di Advanced Threat Protection su "Tutti" nelle impostazioni di Sicurezza dei dati avanzata di SQL Server
- Le impostazioni di Sicurezza dei dati avanzata per l'istanza gestita di SQL devono contenere un indirizzo di posta elettronica per ricevere gli avvisi di sicurezza
- Le impostazioni di Sicurezza dei dati avanzata per SQL Server devono contenere un indirizzo di posta elettronica per ricevere gli avvisi di sicurezza
- Le notifiche tramite posta elettronica agli amministratori e ai proprietari della sottoscrizione devono essere abilitate nelle impostazioni di Sicurezza dei dati avanzata dell'istanza gestita di SQL
- Le notifiche tramite posta elettronica agli amministratori e ai proprietari della sottoscrizione devono essere abilitate nelle impostazioni di Sicurezza dei dati avanzata di SQL Server
Altre informazioni sui criteri predefiniti.
Giugno 2020
Gli aggiornamenti del mese di giugno includono quanto segue:
- API Secure Score (anteprima)
- Advanced data security for SQL machines (Azure, other clouds, and on-premises) (preview)
- Two new recommendations to deploy the Log Analytics agent to Azure Arc machines (preview)
- Nuovi criteri per creare configurazioni di esportazione continua e di automazione dei flussi di lavoro su larga scala
- Nuova raccomandazione per l'uso dei gruppi di sicurezza di rete per proteggere macchine virtuali non connesse a Internet
- Nuovi criteri per l'abilitazione della protezione dalle minacce e della sicurezza dei dati avanzata
API Secure Score (anteprima)
È ora possibile accedere al punteggio tramite l'API Secure Score, attualmente disponibile in anteprima. I metodi dell'API offrono la flessibilità necessaria per eseguire query nei dati e creare un meccanismo personalizzato per la creazione di report sui punteggi di sicurezza nel tempo. Ad esempio, è possibile usare l'API Secure Scores per ottenere il punteggio per una sottoscrizione specifica. È anche possibile usare l'API Secure Score Controls per elencare i controlli di sicurezza e il punteggio corrente delle sottoscrizioni.
Per esempi di strumenti esterni resi possibili con l'API del punteggio di sicurezza, vedere il punteggio di sicurezza della community GitHub.
Altre informazioni sui controlli di sicurezza e punteggio secure in Centro sicurezza di Azure.
Sicurezza dei dati avanzata per i computer SQL (Azure, altri cloud e locali) (anteprima)
la sicurezza dei dati avanzata di Centro sicurezza di Azure per i computer SQL protegge ora SQL Server ospitati in Azure, in altri ambienti cloud e persino in computer locali. In questo modo le protezioni per i server SQL nativi di Azure supportano completamente gli ambienti ibridi.
Sicurezza dei dati avanzata offre la valutazione delle vulnerabilità e la protezione avanzata dalle minacce per i computer SQL, ovunque si trovino.
La configurazione comporta due passaggi:
Distribuzione dell'agente di Log Analytics nel computer host del SQL Server per fornire la connessione all'account Azure.
Abilitazione dell'aggregazione facoltativa della pagina dei prezzi e delle impostazioni del Centro sicurezza.
Altre informazioni sulla sicurezza dei dati avanzata per computer SQL.
Due nuovi consigli per distribuire l'agente Log Analytics in computer Azure Arc (anteprima)
Sono state aggiunte due nuove raccomandazioni per distribuire Log Analytics Agent nei computer Azure Arc e assicurarsi che siano protetti da Centro sicurezza di Azure:
- Log Analytics agent deve essere installato nei computer Azure Arc basati su Windows (anteprima)
- Log Analytics agent deve essere installato nei computer Azure Arc basati su Linux (anteprima)
Queste nuove raccomandazioni verranno visualizzate negli stessi quattro controlli di sicurezza che includono la raccomandazione esistente correlata, È consigliabile installare l'agente di monitoraggio nei computer: Correggi le configurazioni di sicurezza, Applica il controllo applicazioni adattivo, Applica gli aggiornamenti del sistema e Abilita Endpoint Protection.
Le raccomandazioni includono anche la funzionalità correzione rapida per accelerare il processo di distribuzione.
Altre informazioni su come Centro sicurezza di Azure usa l'agente in Che cos'è l'agente Log Analytics?.
Altre informazioni su extensions per i computer Azure Arc.
Nuovi criteri per creare configurazioni di esportazione continua e di automazione dei flussi di lavoro su larga scala
L'automazione dei processi di monitoraggio e risposta agli eventi imprevisti dell'organizzazione può migliorare significativamente il tempo necessario per indagare e attenuare gli eventi imprevisti relativi alla sicurezza.
Per distribuire le configurazioni di automazione nell'organizzazione, usare questi criteri di Azure predefiniti "DeployIfdNotExist" per creare e configurare esportare e > procedure:
Le definizioni dei criteri sono disponibili in Criteri di Azure:
| Goal | Policy | ID criterio |
|---|---|---|
| Esportazione continua in Hub eventi | Esportare in Hub eventi per Centro sicurezza di Azure avvisi e raccomandazioni | cdfcce10-4578-4ecd-9703-530938e4abcb |
| Esportazione continua nell'area di lavoro Log Analytics | Esportare in Log Analytics'area di lavoro per Centro sicurezza di Azure avvisi e raccomandazioni | ffb6f416-7bd2-4488-8828-56585fef2be9 |
| Automazione dei flussi di lavoro per gli avvisi di sicurezza | Deploy Workflow Automation for Centro sicurezza di Azure alerts | f1525828-9a90-4fcf-be48-268cdd02361e |
| Automazione dei flussi di lavoro per le raccomandazioni sulla sicurezza | Deploy Workflow Automation for Centro sicurezza di Azure recommendations | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Introduzione ai modelli di automazione workflow.
Per altre informazioni sull'uso dei due criteri di esportazione, vedere Configurare l'automazione del flusso di lavoro su larga scala usando i criteri forniti e Configurare un'esportazione continua.
Nuova raccomandazione per l'uso dei gruppi di sicurezza di rete per proteggere macchine virtuali non connesse a Internet
Il controllo di sicurezza "Implementa le procedure consigliate per la sicurezza" include ora la nuova raccomandazione seguente:
- Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete
Una raccomandazione esistente, Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete, non distingueva tra le macchine virtuali connesse a Internet e non connesse a Internet. Veniva generata per entrambi i tipi di VM una raccomandazione con gravità alta se una VM non era assegnata a un gruppo di sicurezza di rete. Questa nuova raccomandazione separa le macchine virtuali non connesse a Internet per ridurre i falsi positivi ed evitare avvisi con gravità elevata non necessari.
Nuovi criteri per l'abilitazione della protezione dalle minacce e della sicurezza dei dati avanzata
Le nuove definizioni di criteri seguenti sono state aggiunte all'iniziativa Predefinita del Centro sicurezza di Azure e sono progettate per facilitare l'abilitazione della protezione dalle minacce o della sicurezza dei dati avanzata per i tipi di risorse pertinenti.
Le definizioni dei criteri sono disponibili in Criteri di Azure:
Altre informazioni su Protezione in Centro sicurezza di Azure.
Maggio 2020
Gli aggiornamenti del mese di maggio includono quanto segue:
- Regole di eliminazione degli avvisi (anteprima)
- La valutazione della vulnerabilità della macchina virtuale è ora disponibile a livello generale
- Modifiche all'accesso Just-In-Time (JIT) alle macchine virtuali
- Le raccomandazioni personalizzate sono state spostate in un controllo di sicurezza separato
- È stato aggiunto un interruttore per visualizzare le raccomandazioni nei controlli o come elenco semplice
- Il controllo di sicurezza "Implementa le procedure consigliate per la sicurezza" è stato espanso
- I criteri personalizzati con metadati personalizzati sono ora disponibili a livello generale
- Funzionalità di analisi dei dump di arresto anomalo del sistema di migrazione al rilevamento degli attacchi senza file
Regole di eliminazione degli avvisi (anteprima)
Questa nuova funzionalità, attualmente in anteprima, semplifica le attività correlate agli avvisi. Usare regole per nascondere automaticamente gli avvisi noti come innocui o correlati alle normali attività dell'organizzazione. In questo modo è possibile concentrarsi sulle minacce più pertinenti.
Gli avvisi che corrispondono alle regole di eliminazione abilitate vengono comunque generati, ma il loro stato viene impostato su Ignorato. È possibile visualizzare lo stato nel portale di Azure oppure accedere agli avvisi di sicurezza del Centro sicurezza.
Le regole di eliminazione definiscono i criteri per cui gli avvisi devono essere automaticamente ignorati. In genere, si usa una regola di eliminazione per:
eliminare gli avvisi identificati come falsi positivi
eliminare gli avvisi che vengono attivati troppo spesso per essere utili
Altre informazioni su suppressione degli avvisi dalla protezione dalle minacce di Centro sicurezza di Azure.
La valutazione delle vulnerabilità delle macchine virtuali è ora disponibile a livello generale
Il livello standard del Centro sicurezza include ora una valutazione integrata delle vulnerabilità per le macchine virtuali, senza costi aggiuntivi. Questa estensione è supportata da Qualys, ma segnala i risultati direttamente al Centro sicurezza. Non è necessaria una licenza Qualys, né un account Qualys: tutto viene gestito senza interruzioni all'interno del Centro sicurezza.
La nuova soluzione può analizzare continuamente le macchine virtuali per individuare le vulnerabilità e presentare i risultati nel Centro sicurezza.
Per distribuire la soluzione, usare la nuova raccomandazione per la sicurezza:
"Abilitare la soluzione di valutazione delle vulnerabilità predefinita nelle macchine virtuali (con tecnologia Qualys)"
Sono disponibili altre informazioni sulla valutazione delle vulnerabilità integrata del Centro sicurezza per le macchine virtuali.
Modifiche all'accesso JIT (just-in-time) alle macchine virtuali
Il Centro sicurezza include una funzionalità opzionale per proteggere le porte di gestione delle macchine virtuali. Questa funzionalità garantisce una difesa contro la forma più comune di attacchi di forza bruta.
Questo aggiornamento apporta le seguenti modifiche a questa funzionalità:
La raccomandazione che consiglia di abilitare JIT in una macchina virtuale è stata rinominata. In precedenza, "Il controllo di accesso alla rete JUST-in-time deve essere applicato alle macchine virtuali" è ora: "Le porte di gestione delle macchine virtuali devono essere protette con il controllo di accesso alla rete JUST-in-time".
La raccomandazione viene attivata solo se sono presenti porte di gestione aperte.
Sono disponibili altre informazioni sulla funzionalità di accesso JIT.
Le raccomandazioni personalizzate sono state spostate in un controllo di sicurezza distinto
Un controllo di sicurezza introdotto con il punteggio di sicurezza avanzato è stato "Implementare le procedure consigliate per la sicurezza". Tutti i consigli personalizzati creati per le sottoscrizioni sono stati inseriti automaticamente in tale controllo.
Per semplificare l'individuazione delle raccomandazioni personalizzate, le abbiamo spostate in un controllo di sicurezza dedicato, "Raccomandazioni personalizzate". Questo controllo non ha alcun impatto sul punteggio di sicurezza.
Altre informazioni sui controlli di sicurezza in Enhanced Secure Score (anteprima) in Centro sicurezza di Azure.
Interruttore aggiunto per visualizzare le raccomandazioni nei controlli o come elenco semplice
I controlli di sicurezza sono gruppi logici di raccomandazioni correlate alla sicurezza. Riflettono le superfici di attacco vulnerabili. Un controllo è un insieme di raccomandazioni per la sicurezza, con istruzioni che consentono di implementare tali raccomandazioni.
Per verificare immediatamente in che modo l'organizzazione protegge ogni singola superficie di attacco, esaminare i punteggi per ogni controllo di sicurezza.
Per impostazione predefinita, le raccomandazioni vengono visualizzate nei controlli di sicurezza. Da questo aggiornamento è inoltre possibile visualizzarle come elenco. Per visualizzarle come semplici elenchi ordinati in base allo stato di integrità delle risorse interessate, usare il nuovo interruttore di raggruppamento per controlli. L'interruttore è in cima all'elenco nel portale.
I controlli di sicurezza, e questo interruttore, fanno parte della nuova esperienza di assegnazione dei punteggi di sicurezza. Ricordarsi di inviare feedback dall'interno del portale.
Altre informazioni sui controlli di sicurezza in Enhanced Secure Score (anteprima) in Centro sicurezza di Azure.
Controllo di sicurezza espanso "Implement security best practices" (Implementa procedure consigliate per la sicurezza)
Un controllo di sicurezza introdotto con il punteggio di sicurezza avanzato è "Implementare le procedure consigliate per la sicurezza". Quando una raccomandazione è in questo controllo, non influisce sul punteggio di sicurezza.
Con questo aggiornamento, tre raccomandazioni sono state spostate dai controlli in cui erano originariamente posizionate e inserite in questo controllo di procedure consigliate. Ciò è dovuto al fatto che il rischio di queste tre raccomandazioni è risultato inferiore a quello inizialmente previsto.
Sono state introdotte due nuove raccomandazioni aggiunte a questo controllo.
Le tre raccomandazioni spostate sono:
- La funzionalità MFA deve essere abilitata per gli account con autorizzazioni di lettura per la sottoscrizione (in origine, il controllo "Abilita MFA")
- Gli account esterni con autorizzazioni di lettura devono essere rimossi dalla sottoscrizione (in origine, il controllo "Manage access and permissions") (Gestisci accesso e autorizzazioni)
- Deve essere designato un massimo di 3 proprietari per la sottoscrizione (in origine, il controllo "Manage access and permissions") (Gestisci accesso e autorizzazioni)
Le due nuove raccomandazioni aggiunte al controllo sono:
È necessario installare A estensione di configurazione di Windows macchine virtuali (anteprima) - Uso di Criteri di Azure Configurazione guest offre visibilità all'interno delle macchine virtuali per le impostazioni server e dell'applicazione (solo Windows).
Microsoft Defender Exploit Guard deve essere abilitato nei computer (anteprima)- Microsoft Defender Exploit Guard sfrutta l'agente di configurazione guest Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi contro un'ampia gamma di vettori di attacco e comportamenti di blocco comunemente usati negli attacchi malware, consentendo alle aziende di bilanciare i requisiti di sicurezza e produttività (solo Windows).
Altre informazioni su Microsoft Defender Exploit Guard in Creare e distribuire un criterio di Exploit Guard.
Per altre informazioni sui controlli di sicurezza, vedere Punteggio di sicurezza migliorato (anteprima).
I criteri personalizzati con metadati personalizzati sono ora disponibili a livello generale
I criteri personalizzati fanno ora parte delle raccomandazioni del Centro sicurezza, del punteggio di sicurezza e del dashboard degli standard di conformità alle normative. Questa funzionalità è ora disponibile a livello generale e consente di estendere la copertura della valutazione della sicurezza dell'organizzazione nel Centro sicurezza.
Creare un'iniziativa personalizzata in Criteri di Azure, aggiungervi criteri ed eseguirne l'onboarding per Centro sicurezza di Azure e visualizzarla come raccomandazioni.
È stata anche aggiunta la possibilità di modificare i metadati delle raccomandazioni personalizzate. Le opzioni dei metadati includono gravità, procedure di correzione, informazioni sulle minacce e altro ancora.
Sono disponibili altre informazioni sull'ottimizzazione delle raccomandazioni personalizzate con informazioni dettagliate.
Migrazione delle funzionalità di analisi dei dump di arresto anomalo al rilevamento di attacchi senza file
Le funzionalità di rilevamento dei dump di arresto anomalo del sistema di Windows vengono integrate in rilevamento degli attacchi senza file. L'analisi del rilevamento degli attacchi senza file offre versioni migliorate degli avvisi di sicurezza seguenti per i computer Windows: rilevamento dell'inserimento del codice, mascheramento Windows modulo rilevato, individuazione del codice della shell e segmento di codice sospetto rilevato.
Alcuni vantaggi di questa transizione:
Rilevamento proattivo e tempestivo di malware: l'approccio di analisi dei dump di arresto anomalo prevedeva l'attesa che si verificasse un arresto anomalo e quindi l'esecuzione dell'analisi per individuare gli artefatti dannosi. L'uso del rilevamento di attacchi senza file consente di identificare in modo proattivo le minacce in memoria durante l'esecuzione.
Avvisi arricchiti : gli avvisi di sicurezza del rilevamento degli attacchi senza file includono arricchimenti non disponibili da CDA, ad esempio le informazioni sulle connessioni di rete attive.
Aggregazione degli avvisi: quando cda ha rilevato più modelli di attacco all'interno di un singolo dump di arresto anomalo del sistema, ha attivato più avvisi di sicurezza. Il rilevamento di attacchi senza file combina tutti gli schemi di attacco identificati dallo stesso processo in un singolo avviso, eliminando la necessità di correlare più avvisi.
Reduced requirements on your Log Analytics workspace: i dump di arresto anomalo che contengono dati potenzialmente sensibili non verranno più caricati nell'area di lavoro Log Analytics.
Aprile 2020
Gli aggiornamenti del mese di aprile includono quanto segue:
- I pacchetti di conformità dinamica sono ora disponibili a livello generale
- raccomandazioni Identity ora incluse nel livello gratuito Centro sicurezza di Azure
I pacchetti di conformità dinamici sono ora disponibili a livello generale
Il dashboard di conformità alle normative Centro sicurezza di Azure include ora pacchetti di conformità dynamic compliance (ora disponibile a livello generale) per tenere traccia di altri standard normativi e del settore.
È possibile aggiungere pacchetti di conformità dinamici alla sottoscrizione o al gruppo di gestione dalla pagina dei criteri di sicurezza del Centro sicurezza. Quando viene caricato uno standard o un benchmark, viene visualizzato nel dashboard di conformità alle normative insieme ai dati di conformità associati mappati come valutazioni. È anche possibile scaricare un report di riepilogo per gli standard caricati.
Ora è possibile aggiungere standard come:
- NIST SP 800-53 R4
- SWIFT CSP CSCF-v2020
- UK Official e UK NHS
- Canada Federal PBMM
- Azure CIS 1.1.0 (new) (una rappresentazione più completa di Azure CIS 1.1.0)
Sono state inoltre aggiunte di recente le linee guida Azure Security Benchmark, le linee guida Azure Microsoft specifiche per la sicurezza e la conformità basate su framework di conformità comuni. Nel dashboard verranno supportati altri standard non appena saranno disponibili.
Sono disponibili altre informazioni sulla personalizzazione del set di standard nel dashboard di conformità alle normative.
Raccomandazioni per le identità ora incluse nel livello gratuito di Centro sicurezza di Azure
Le raccomandazioni sulla sicurezza per l'identità e l'accesso nel livello gratuito Centro sicurezza di Azure sono ora disponibili a livello generale. Questa operazione rientra nell'impegno volto a rendere gratuite le funzionalità CSPM (Cloud Security Posture Management). Fino ad ora, queste raccomandazioni erano disponibili solo nel piano tariffario standard.
Esempi di raccomandazioni relative a identità e accesso includono:
- "La funzionalità MFA deve essere abilitata per gli account con autorizzazioni di proprietario per la sottoscrizione".
- "Deve essere designato un massimo di 3 proprietari per la sottoscrizione".
- "Gli account deprecati devono essere rimossi dalla sottoscrizione".
Se si hanno sottoscrizioni nel piano tariffario gratuito, il punteggio di sicurezza corrispondente sarà influenzato da questa modifica, in quanto non sono state precedentemente valutate in termini di sicurezza dell'accesso e delle identità.
Marzo 2020
Gli aggiornamenti di marzo includono:
- L'automazione del flusso di lavoro è ora disponibile a livello generale
- Integration of Centro sicurezza di Azure with Windows Admin Center
- Protection per servizio Azure Kubernetes
- Miglioramento dell'esperienza JUST-in-time
- Due raccomandazioni sulla sicurezza per le applicazioni Web deprecate
L'automazione del flusso di lavoro è ora disponibile a livello generale
La funzionalità di automazione del flusso di lavoro di Centro sicurezza di Azure è ora disponibile a livello generale. È possibile usarla per attivare automaticamente le app per la logica negli avvisi di sicurezza e nelle raccomandazioni. Sono inoltre disponibili trigger manuali per gli avvisi e tutte le raccomandazioni per le quali è disponibile l'opzione di correzione rapida.
Ogni programma di sicurezza include più flussi di lavoro per la risposta agli eventi imprevisti. Questi processi possono includere la notifica a stakeholder di rilievo, l'avvio di un processo di gestione delle modifiche e l'applicazione di procedure di correzione specifiche. Gli esperti di sicurezza raccomandano di automatizzare quante più procedure possibili. L'automazione riduce il sovraccarico e può migliorare la sicurezza garantendo che i passaggi del processo vengano eseguiti rapidamente, in modo coerente e in base ai requisiti predefiniti.
Per altre informazioni sulle funzionalità automatiche e manuali del Centro sicurezza per l'esecuzione dei flussi di lavoro, vedere Automazione del flusso di lavoro.
Sono disponibili altre informazioni sulla creazione di app per la logica.
Integrazione di Centro sicurezza di Azure con Windows Admin Center
È ora possibile spostare i server Windows locali dal Windows Admin Center direttamente al Centro sicurezza di Azure. Il Centro sicurezza diventa quindi un unico riquadro per visualizzare le informazioni di sicurezza per tutte le risorse Windows Admin Center, inclusi server locali, macchine virtuali e carichi di lavoro PaaS aggiuntivi.
Dopo aver spostato un server da Windows Admin Center a Centro sicurezza di Azure, sarà possibile:
- Visualizzare gli avvisi di sicurezza e le raccomandazioni nell'estensione del Centro sicurezza della Windows Admin Center.
- Visualizzare il comportamento di sicurezza e recuperare informazioni dettagliate aggiuntive sui server gestiti Windows Admin Center nel Centro sicurezza all'interno del portale di Azure (o tramite un'API).
Altre informazioni su come integrare Centro sicurezza di Azure con Windows Admin Center.
Protezione per servizio Azure Kubernetes
Centro sicurezza di Azure sta espandendo le funzionalità di sicurezza dei contenitori per proteggere Servizio Azure Kubernetes (AKS).
Kubernetes è una piattaforma open source molto diffusa, che ora è uno standard di settore per l'orchestrazione dei contenitori. Nonostante questa implementazione diffusa, non è ancora possibile comprendere come proteggere un ambiente Kubernetes. Per difendere le aree di attacco di un'applicazione aggiunta a un contenitore, è necessario avere una certa esperienza per garantire che l'infrastruttura sia configurata in modo sicuro e costantemente monitorata per potenziali minacce.
La difesa del Centro sicurezza include:
- Individuazione e visibilità: individuazione continua delle istanze gestite del servizio Azure Kubernetes all'interno delle sottoscrizioni registrate nel Centro sicurezza.
- Raccomandazioni sulla sicurezza : raccomandazioni utili per garantire la conformità alle procedure consigliate per la sicurezza per il servizio Azure Kubernetes. Questi consigli sono inclusi nel punteggio di sicurezza per assicurarsi che siano considerati come parte del comportamento di sicurezza dell'organizzazione. Un esempio di raccomandazione correlata al servizio Azure Kubernetes potrebbe essere visualizzato è "Il controllo degli accessi in base al ruolo deve essere usato per limitare l'accesso a un cluster del servizio Kubernetes".
- Protezione dalle minacce: tramite l'analisi continua della distribuzione del servizio Azure Kubernetes, il Centro sicurezza avvisa le minacce e le attività dannose rilevate a livello di host e cluster del servizio Azure Kubernetes.
Altre informazioni sull'integrazione di Azure Servizi Kubernetes con il Centro sicurezza.
Sono disponibili altre informazioni sulle funzionalità di sicurezza dei contenitori nel Centro sicurezza.
Esperienza JIT migliorata
Le funzionalità, l'operazione e l'interfaccia utente per gli strumenti JIT di Centro sicurezza di Azure che proteggono le porte di gestione sono state migliorate nel modo seguente:
- Campo Just-In-Time - Quando si richiede l'accesso a una macchina virtuale tramite la pagina JUST-in-time del portale di Azure, è disponibile un nuovo campo facoltativo per immettere una giustificazione per la richiesta. Le informazioni immesse in questo campo possono essere rilevate nel log attività.
- Pulizia automatica di regole JIT ridondanti: ogni volta che si aggiorna un criterio JIT, viene eseguito automaticamente uno strumento di pulizia per verificare la validità dell'intero set di regole. Lo strumento cerca eventuali mancate corrispondenze tra le regole nei criteri e le regole nel gruppo di sicurezza di rete. Se lo strumento di pulizia rileva una mancata corrispondenza, determina la cause e, se l'operazione è sicura, rimuove le regole incorporate che non sono più necessarie. Lo strumento di pulizia non elimina mai le regole create dall'utente.
Sono disponibili altre informazioni sulla funzionalità di accesso JIT.
Due raccomandazioni sulla sicurezza per le applicazioni Web sono ora deprecate
Due raccomandazioni sulla sicurezza per le applicazioni Web sono ora considerate deprecate:
È consigliabile applicare la protezione avanzata alle regole per le applicazioni Web nei gruppi di sicurezza di rete IaaS (Criterio correlato: le regole dei gruppi di sicurezza di rete per le applicazioni Web in IaaS devono essere rafforzate)
L'accesso ai Servizi app deve essere limitato (Criterio correlato: l'accesso alle servizio app deve essere limitato [anteprima])
Queste raccomandazioni non verranno più visualizzate nel relativo elenco del Centro sicurezza. I criteri correlati non verranno più inclusi nell'iniziativa denominata "Criteri predefiniti del Centro sicurezza".
Febbraio 2020
Rilevamento di attacchi senza file per Linux (anteprima)
Man mano che gli utenti malintenzionati usano metodi più furtivi per evitare il rilevamento, Centro sicurezza di Azure estende il rilevamento degli attacchi senza file per Linux, oltre a Windows. Gli attacchi senza file sfruttano le vulnerabilità del software, introducono payload dannosi in processi di sistema benigni e si nascondono nella memoria. Queste tecniche:
- riducono al minimo o eliminano del tutto le tracce di malware sul disco
- riducono notevolmente le probabilità di rilevamento da parte di soluzioni di analisi dei malware basate su disco
Per contrastare questa minaccia, Centro sicurezza di Azure rilasciato il rilevamento degli attacchi senza file per Windows nell'ottobre 2018 e ora ha esteso anche il rilevamento degli attacchi senza file in Linux.
Gennaio 2020
Punteggio di sicurezza migliorato (anteprima)
Una versione avanzata della funzionalità del punteggio di sicurezza di Centro sicurezza di Azure è ora disponibile in anteprima. In questa versione, più raccomandazioni vengono raggruppate nei controlli di sicurezza che riflettono meglio le superfici di attacco vulnerabili, limitando ad esempio l'accesso alle porte di gestione.
Acquisire familiarità con le modifiche apportate al punteggio di sicurezza durante la fase di anteprima e determinare altre correzioni che consentiranno di proteggere ulteriormente l'ambiente.
Altre informazioni sul punteggio di sicurezza avanzato (anteprima).
Novembre 2019
Gli aggiornamenti del mese di novembre includono quanto segue:
- Protezione per Azure Key Vault nelle aree america del Nord (anteprima)
- Threat Protection for Archiviazione di Azure include lo screening della reputazione malware
- Automazione del flusso di lavoro con App per la logica (anteprima)
- Correzione rapida per le risorse in blocco disponibili a livello generale
- Analizzare le immagini del contenitore per individuare le vulnerabilità (anteprima)
- Altri standard di conformità alle normative (anteprima)
- Protezione per servizio Azure Kubernetes (anteprima)
- Valutazione della vulnerabilità della macchina virtuale (anteprima)
- Advanced data security for SQL Servers on Macchine virtuali di Azure (preview)
- Supporto per i criteri personalizzati (anteprima)
- Copertura Centro sicurezza di Azure di Centro sicurezza di Azure con piattaforma per community e partner
- Integrazioni avanzate con esportazione di raccomandazioni e avvisi (anteprima)
- Onboard nei server locali al Centro sicurezza da Windows Admin Center (anteprima)
Protezione dalle minacce per Azure Key Vault nelle aree dell'America del Nord (anteprima)
Azure Key Vault è un servizio essenziale per proteggere i dati e migliorare le prestazioni delle applicazioni cloud offrendo la possibilità di gestire centralmente chiavi, segreti, chiavi crittografiche e criteri nel cloud. Poiché Azure Key Vault archivia dati sensibili e business critical, richiede la massima sicurezza per gli insiemi di credenziali delle chiavi e i dati archiviati in essi.
il supporto di Centro sicurezza di Azure per Threat Protection per Azure Key Vault offre un ulteriore livello di intelligence per la sicurezza che rileva tentativi insoliti e potenzialmente dannosi di accedere o sfruttare insiemi di credenziali delle chiavi. Questo nuovo livello di protezione consente ai clienti di affrontare le minacce agli insiemi di credenziali delle chiavi senza dover essere esperti di sicurezza o dover gestire sistemi di monitoraggio della sicurezza. La funzionalità è in anteprima pubblica nelle aree dell'America del Nord.
Protezione dalle minacce per Archiviazione di Azure include lo screening della reputazione malware
La protezione dalle minacce per Archiviazione di Azure offre nuovi rilevamenti basati su Microsoft Intelligence sulle minacce per rilevare i caricamenti di malware in Archiviazione di Azure usando l'analisi della reputazione hash e l'accesso sospetto da un nodo di uscita tor attivo (un proxy di anonimizzazione). È ora possibile visualizzare il malware rilevato tra gli account di archiviazione usando Centro sicurezza di Azure.
Automazione del flusso di lavoro con App per la logica (anteprima)
Le organizzazioni con sicurezza gestita a livello centralizzato e IT/operazioni implementano processi di flusso di lavoro interni per condurre le azioni necessarie all'interno dell'organizzazione quando le discrepanze vengono individuate nei propri ambienti. In molti casi, questi flussi di lavoro sono processi ripetibili e l'automazione può semplificare significativamente i processi all'interno dell'organizzazione.
Oggi stiamo introducendo una nuova funzionalità nel Centro sicurezza che consente ai clienti di creare configurazioni di automazione sfruttando App per la logica di Azure e di creare criteri che li attiveranno automaticamente in base a risultati specifici del Centro sicurezza di Azure, ad esempio Raccomandazioni o Avvisi. Azure'app per la logica può essere configurata per eseguire qualsiasi azione personalizzata supportata dalla vasta community di connettori dell'app per la logica o usare uno dei modelli forniti dal Centro sicurezza, ad esempio l'invio di un messaggio di posta elettronica o l'apertura di un ticket ServiceNow™.
Per altre informazioni sulle funzionalità automatiche e manuali del Centro sicurezza per l'esecuzione dei flussi di lavoro, vedere Automazione del flusso di lavoro.
Per informazioni sulla creazione di app per la logica, vedere App per la logica di Azure.
Correzione rapida per le risorse bulk disponibili a livello generale
Con le numerose attività fornite a un utente come parte del punteggio di sicurezza, può essere difficile correggere efficacemente i problemi in una flotta di grandi dimensioni.
Usare correzione rapida per correggere errori di configurazione della sicurezza, correggere le raccomandazioni su più risorse e migliorare il punteggio di sicurezza.
Questa operazione consente di selezionare le risorse a cui si vuole applicare la correzione e di avviare un'azione di correzione che configurerà l'impostazione per conto dell'utente.
La correzione rapida è attualmente disponibile a livello generale come parte della pagina Consigli del Centro sicurezza.
Analizzare le immagini del contenitore per le vulnerabilità (anteprima)
Centro sicurezza di Azure ora è possibile analizzare le immagini del contenitore in Registro Azure Container per individuare le vulnerabilità.
L'analisi delle immagini funziona analizzando il file dell'immagine del contenitore e quindi controllando se sono presenti vulnerabilità note (con tecnologia Qualys).
L'analisi stessa viene attivata automaticamente quando si esegue il push di nuove immagini del contenitore in Registro Azure Container. Le vulnerabilità rilevate verranno visualizzate come raccomandazioni del Centro sicurezza e incluse nel punteggio di sicurezza insieme alle informazioni su come applicare patch per ridurre la superficie di attacco consentita.
Standard aggiuntivi di conformità con le normative (anteprima)
Il dashboard per la conformità con le normative fornisce informazioni approfondite sul comportamento di conformità in base alle valutazioni del Centro sicurezza. Il dashboard mostra il modo in cui l'ambiente è conforme ai controlli e ai requisiti designati da standard normativi specifici e da benchmark di settore e fornisce consigli per la gestione di questi requisiti.
Il dashboard di conformità alle normative ha finora supportato quattro standard predefiniti: Azure CIS 1.1.0, PCI-DSS, ISO 27001 e SOC-TSP. È stata annunciata la versione di anteprima pubblica di standard supportati aggiuntivi: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM e UK Official insieme al servizio sanitario nazionale britannico. Viene rilasciata anche una versione aggiornata di Azure CIS 1.1.0, che copre più controlli dello standard e migliora l'estendibilità.
Protezione dalle minacce per servizio Azure Kubernetes (anteprima)
Kubernetes sta diventando rapidamente il nuovo standard per la distribuzione e la gestione del software nel cloud. Pochi utenti hanno un'esperienza completa con Kubernetes e molti si concentrano solo sulla progettazione e l'amministrazione generali e danno uno sguardo rapido all'aspetto della sicurezza. Per garantire la sicurezza, l'ambiente Kubernetes deve essere configurato con cura, assicurandosi che non siano aperte porte della superficie di attacco incentrate sul contenitore per gli utenti malintenzionati. Il Centro sicurezza sta espandendo il supporto nello spazio dei contenitori a uno dei servizi in rapida crescita in Azure- Servizio Azure Kubernetes (AKS).
Le nuove funzionalità di questa versione di anteprima pubblica includono:
- Individuazione e visibilità : individuazione continua delle istanze del servizio Azure Kubernetes gestite nelle sottoscrizioni registrate del Centro sicurezza.
- Raccomandazioni per il punteggio di sicurezza: elementi interattivi che consentono ai clienti di rispettare le procedure consigliate per la sicurezza per il servizio Azure Kubernetes e aumentare il punteggio di sicurezza. Le raccomandazioni includono elementi come "Il controllo degli accessi in base al ruolo deve essere usato per limitare l'accesso a un cluster del servizio Kubernetes".
- Rilevamento delle minacce: analisi basata su host e cluster, ad esempio "Un contenitore con privilegi rilevato".
Valutazione della vulnerabilità della macchina virtuale (anteprima)
Le applicazioni installate in macchine virtuali possono spesso avere vulnerabilità che potrebbero causare una violazione della macchina virtuale. Si annuncia che il livello standard del Centro sicurezza include una valutazione della vulnerabilità predefinita per le macchine virtuali senza costi aggiuntivi. La valutazione della vulnerabilità, basata su Qualys nell'anteprima pubblica, consentirà di analizzare continuamente tutte le applicazioni installate in una macchina virtuale per trovare applicazioni vulnerabili e presentare i risultati nell'esperienza del portale del Centro sicurezza. Il Centro sicurezza si occupa di tutte le operazioni di distribuzione in modo che non sia necessario alcun lavoro aggiuntivo da parte dell'utente. In futuro si prevede di fornire opzioni di valutazione della vulnerabilità per supportare le esigenze aziendali specifiche dei clienti.
Altre informazioni sulle valutazioni delle vulnerabilità per il Macchine virtuali di Azure.
Sicurezza dei dati avanzata per i server SQL in Macchine virtuali di Azure (anteprima)
il supporto di Centro sicurezza di Azure per la protezione dalle minacce e la valutazione delle vulnerabilità per i database SQL in esecuzione nelle macchine virtuali IaaS è ora disponibile in anteprima.
La valutazione della vulnerabilità è un servizio facile da configurare in grado di individuare, tenere traccia e risolvere potenziali vulnerabilità del database. Offre visibilità sul comportamento di sicurezza come parte del punteggio di sicurezza e include i passaggi per risolvere i problemi di sicurezza e migliorare le fortificazioni del database.
Advanced Threat Protection rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare il server SQL. Monitora in modo continuo il database in caso di attività sospette e fornisce avvisi di sicurezza orientati all'azione su modelli di accesso ai database anomali. Questi avvisi forniscono dettagli sulle attività sospette e azioni consigliate per l'analisi e la mitigazione della minaccia.
Supporto per criteri personalizzati (anteprima)
Centro sicurezza di Azure ora supporta criteri personalizzati (in anteprima).
I clienti vogliono estendere la copertura delle valutazioni della sicurezza correnti nel Centro sicurezza con le proprie valutazioni di sicurezza in base ai criteri creati in Criteri di Azure. Con il supporto per i criteri personalizzati, l'estensione della copertura è ora possibile.
Questi nuovi criteri faranno parte delle raccomandazioni del Centro sicurezza, del punteggio di sicurezza e del dashboard degli standard di conformità con le normative. Con il supporto per i criteri personalizzati, è ora possibile creare un'iniziativa personalizzata in Criteri di Azure, quindi aggiungerla come criterio nel Centro sicurezza e visualizzarla come raccomandazione.
Estensione della copertura Centro sicurezza di Azure con la piattaforma per community e partner
Usare il Centro sicurezza per ricevere raccomandazioni non solo da Microsoft, ma anche da soluzioni esistenti di partner come Check Point, Tenable e CyberArk con molte altre integrazioni in arrivo. Il semplice flusso di onboarding del Centro sicurezza può connettere le soluzioni esistenti al Centro sicurezza, consentendo di visualizzare le raccomandazioni relative al comportamento di sicurezza in un'unica posizione, eseguire report unificati e sfruttare tutte le funzionalità del Centro sicurezza in base alle raccomandazioni predefinite e dei partner. È anche possibile esportare le raccomandazioni del Centro sicurezza nei prodotti partner.
Altre informazioni su Microsoft Intelligent Security Association.
Integrazioni avanzate con l'esportazione di raccomandazioni e avvisi (anteprima)
Per abilitare gli scenari a livello aziendale al centro sicurezza, è ora possibile usare gli avvisi e le raccomandazioni del Centro sicurezza in posizioni aggiuntive, ad eccezione del portale o dell'API Azure. Questi possono essere esportati direttamente in un hub eventi e in Log Analytics aree di lavoro. Ecco alcuni flussi di lavoro che è possibile creare con queste nuove funzionalità:
- Con l'esportazione in Log Analytics'area di lavoro, è possibile creare dashboard personalizzati con Power BI.
- Con l'esportazione in Hub eventi, sarà possibile esportare gli avvisi e le raccomandazioni del Centro sicurezza nei SIEM di terze parti, in una soluzione di terze parti o Esplora dati di Azure.
Eseguire l'onboarding dei server locali nel Centro sicurezza da Windows Admin Center (anteprima)
Windows Admin Center è un portale di gestione per server Windows che non vengono distribuiti in Azure offrendo diverse funzionalità di gestione Azure, ad esempio gli aggiornamenti di backup e di sistema. Di recente è stata aggiunta la possibilità di eseguire l'onboarding di questi server non Azure da proteggere dal Centro sicurezza di Azure direttamente dall'esperienza di Windows Admin Center.
Gli utenti possono ora eseguire l'onboarding di un server WAC per Centro sicurezza di Azure e abilitare la visualizzazione degli avvisi di sicurezza e delle raccomandazioni direttamente nell'esperienza di Windows Admin Center.
Settembre 2019
Gli aggiornamenti del mese di settembre includono quanto segue:
- Gestione delle regole con miglioramenti ai controlli applicazioni adattivi
- Control la raccomandazione sulla sicurezza dei contenitori usando Criteri di Azure
Gestione delle regole con i miglioramenti apportati ai controlli applicazioni adattivi
L'esperienza di gestione delle regole per le macchine virtuali che usano i controlli applicazioni adattivi è stata migliorata. i controlli applicazioni adattivi di Centro sicurezza di Azure consentono di controllare quali applicazioni possono essere eseguite nelle macchine virtuali. Oltre a un miglioramento generale per la gestione delle regole, un nuovo vantaggio consiste nella possibilità di controllare quali tipi di file verranno protetti quando si aggiunge una nuova regola.
Altre informazioni sull'applicazione di controlli applicazioni adattivi.
Controllare la raccomandazione di sicurezza dei contenitori usando Criteri di Azure
Centro sicurezza di Azure raccomandazione di correggere le vulnerabilità nella sicurezza dei contenitori può ora essere abilitata o disabilitata tramite Criteri di Azure.
Per visualizzare i criteri di sicurezza abilitati, dal Centro sicurezza aprire la pagina Criteri di sicurezza.
Agosto 2019
Gli aggiornamenti del mese di agosto includono quanto segue:
- Attamento automatico (JIT) per Firewall di Azure
- Correzione con un solo clic per aumentare il comportamento di sicurezza (anteprima)
- Gestione tra tenant
Accesso JIT (Just-In-Time) alle macchine virtuali per Firewall di Azure
L'accesso JIT alle macchine virtuali per Firewall di Azure è ora disponibile a livello generale. Usarlo per proteggere gli ambienti protetti Firewall di Azure oltre agli ambienti protetti del gruppo di sicurezza di rete.
L'accesso jit alle macchine virtuali riduce l'esposizione agli attacchimetrici di rete fornendo l'accesso controllato alle macchine virtuali solo quando necessario, usando il gruppo di sicurezza di rete e le regole di Firewall di Azure.
Quando si abilita JIT per le macchine virtuali, si crea un criterio che determina le porte da proteggere, per quanto tempo devono rimanere aperte e gli indirizzi IP approvati da cui è possibile accedere a queste porte. Questo criterio consente di mantenere il controllo sulle operazioni che gli utenti possono eseguire quando richiedono l'accesso.
Le richieste vengono registrate nel log attività Azure, in modo da poter monitorare e controllare facilmente l'accesso. La pagina JIT consente anche di identificare rapidamente le macchine virtuali esistenti in cui è abilitato JIT e le macchine virtuali in cui è consigliabile usare JIT.
Altre informazioni su Firewall di Azure.
Correzione con un solo clic per migliorare il comportamento di sicurezza (anteprima)
Il punteggio di sicurezza è uno strumento che consente di valutare le condizioni di sicurezza del carico di lavoro. Esamina i consigli sulla sicurezza e assegna a ciascuno un livello di priorità che indica quali consigli implementare per primi. Questo è utile per trovare le vulnerabilità della sicurezza più gravi e stabilire le priorità di indagine.
Per semplificare la correzione di errori di configurazione della sicurezza e contribuire a migliorare rapidamente il punteggio di sicurezza, è stata aggiunta una nuova funzionalità che consente di correggere una raccomandazione su una maggior parte delle risorse in un singolo clic.
Questa operazione consente di selezionare le risorse a cui si vuole applicare la correzione e di avviare un'azione di correzione che configurerà l'impostazione per conto dell'utente.
Gestione tra tenant
Il Centro sicurezza supporta ora scenari di gestione tra tenant come parte di Azure Lighthouse. Questo consente di ottenere visibilità e gestire il comportamento di sicurezza di più tenant nel Centro sicurezza.
Informazioni sulle esperienze di gestione tra tenant.
Luglio 2019
Aggiornamenti alle raccomandazioni sulle risorse di rete
Centro sicurezza di Azure (ASC) ha lanciato nuove raccomandazioni di rete e ne sono state migliorate alcune esistenti. Ora, l'uso del Centro sicurezza garantisce una maggiore protezione della rete per le risorse.
2019 giugno
Protezione avanzata adattiva della rete : disponibile a livello generale
Una delle maggiori superfici di attacco per i carichi di lavoro in esecuzione nel cloud pubblico sono le connessioni da e verso la rete Internet pubblica. I clienti trovano difficile sapere quali regole del gruppo di sicurezza di rete devono essere applicate per assicurarsi che i carichi di lavoro Azure siano disponibili solo per gli intervalli di origine necessari. Con questa funzionalità, il Centro sicurezza apprende i modelli di traffico di rete e connettività dei carichi di lavoro Azure e fornisce raccomandazioni sulle regole del gruppo di sicurezza di rete per le macchine virtuali con connessione Internet. Questo consente ai clienti di configurare meglio i criteri di accesso alla rete e di limitare l'esposizione agli attacchi.