Novità di Microsoft Defender per il cloud?
Defender per il cloud è in fase di sviluppo attivo e riceve regolarmente miglioramenti. Per stare al passo con gli sviluppi più recenti, questa pagina fornisce informazioni su funzionalità nuove e deprecate, oltre che sulle correzioni dei bug.
Questa pagina viene aggiornata di frequente con gli aggiornamenti più recenti in Defender per il cloud.
Suggerimento
Ricevere una notifica quando questa pagina viene aggiornata copiando e incollando l'URL seguente nel lettore di feed:
https://aka.ms/mdc/rss
Per informazioni sulle modifiche pianificate presto disponibili per Defender per il cloud, vedere Importanti modifiche imminenti per Microsoft Defender per il cloud.
Se stai cercando elementi più vecchi di sei mesi, puoi trovarli nell'archivio per novità in Microsoft Defender per il cloud.
Aprile 2024
Defender per contenitori è ora disponibile a livello generale per AWS e GCP
15 aprile 2024
Il rilevamento delle minacce di runtime e l'individuazione senza agente per AWS e GCP in Defender per contenitori sono ora disponibili a livello generale. Per altre informazioni, vedere Matrice di supporto dei contenitori in Defender per il cloud.
Inoltre, in AWS è disponibile una nuova funzionalità di autenticazione che semplifica il provisioning. Per altre informazioni, vedere Configurare i componenti di Microsoft Defender per contenitori.
La definizione delle priorità dei rischi è ora l'esperienza predefinita in Defender per il cloud
3 aprile 2024
La definizione delle priorità dei rischi è ora l'esperienza predefinita in Defender per il cloud. Questa funzionalità consente di concentrarsi sui problemi di sicurezza più critici nell'ambiente assegnando priorità alle raccomandazioni in base ai fattori di rischio di ogni risorsa. I fattori di rischio includono il potenziale impatto del problema di sicurezza violato, le categorie di rischio e il percorso di attacco di cui fa parte il problema di sicurezza.
Altre informazioni sulla definizione delle priorità dei rischi.
Nuove raccomandazioni per la valutazione della vulnerabilità dei contenitori
3 aprile 2024
Per supportare la nuova esperienza di definizione delle priorità basata sui rischi per le raccomandazioni, sono state create nuove raccomandazioni per le valutazioni delle vulnerabilità dei contenitori in Azure, AWS e GCP. Segnalano le immagini del contenitore per i carichi di lavoro del registro e dei contenitori per il runtime:
- Le immagini del contenitore nel Registro Azure devono avere i risultati della vulnerabilità risolti
- I contenitori in esecuzione in Azure devono avere i risultati della vulnerabilità risolti
- Le immagini dei contenitori nel registro AWS devono avere i risultati della vulnerabilità risolti
- I contenitori in esecuzione in AWS devono avere i risultati della vulnerabilità risolti
- Le immagini del contenitore nel registro GCP devono avere i risultati della vulnerabilità risolti
- I contenitori in esecuzione in GCP devono avere i risultati della vulnerabilità risolti
Le raccomandazioni precedenti per la valutazione della vulnerabilità del contenitore si trovano in un percorso di ritiro e verranno rimosse quando le nuove raccomandazioni sono disponibili a livello generale.
- Le immagini del contenitore del Registro di sistema di Azure devono avere vulnerabilità risolte (basate su Gestione delle vulnerabilità di Microsoft Defender)
- Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate sulla gestione delle vulnerabilità di Microsoft Defender)
- Le immagini dei contenitori del registro AWS devono avere i risultati della vulnerabilità risolti (basati su Gestione delle vulnerabilità di Microsoft Defender)
- I risultati della vulnerabilità delle immagini dei contenitori in esecuzione in AWS devono essere risolti (basati su Gestione delle vulnerabilità di Microsoft Defender)
- Le immagini del contenitore del registro GCP devono avere i risultati della vulnerabilità risolti (basati su Gestione delle vulnerabilità di Microsoft Defender) - Microsoft Azure
- GCP che esegue immagini del contenitore deve avere i risultati della vulnerabilità risolti (basati su Gestione delle vulnerabilità di Microsoft Defender) - Microsoft Azure
Nota
Le nuove raccomandazioni sono attualmente in anteprima pubblica e non verranno usate per il calcolo del punteggio di sicurezza.
Aggiornamenti di Defender per database relazionali open source
3 aprile 2024
Aggiornamenti post-disponibilità generale dei server flessibili di Defender per PostgreSQL: l'aggiornamento consente ai clienti di applicare la protezione per i server flessibili PostgreSQL esistenti a livello di sottoscrizione, consentendo una flessibilità completa per abilitare la protezione per ogni risorsa o per la protezione automatica di tutte le risorse a livello di sottoscrizione.
Disponibilità e disponibilità generale dei server flessibili di Defender per MySQL: Defender per il cloud ha ampliato il supporto per i database relazionali open source di Azure incorporando i server flessibili MySQL.
Questa versione include:
- Compatibilità degli avvisi con gli avvisi esistenti per i server singoli di Defender per MySQL.
- Abilitazione di singole risorse.
- Abilitazione a livello di sottoscrizione.
Se si sta già proteggendo la sottoscrizione con Defender per database relazionali open source, le risorse del server flessibili vengono abilitate, protette e fatturate automaticamente.
Le notifiche di fatturazione specifiche sono state inviate tramite posta elettronica per le sottoscrizioni interessate.
Altre informazioni su Microsoft Defender per database relazionali open source.
Nota
Aggiornamenti per Database di Azure per MySQL server flessibili vengono implementati nelle prossime settimane. Se viene visualizzato il messaggio The server <servername> is not compatible with Advanced Threat Protectiondi errore , è possibile attendere l'implementazione dell'aggiornamento oppure aprire un ticket di supporto per aggiornare il server prima a una versione supportata.
Eseguire l'aggiornamento alle raccomandazioni per allinearsi alle risorse di Servizi di intelligenza artificiale di Azure
2 aprile 2024
Le raccomandazioni seguenti sono state aggiornate per allinearsi alla categoria Servizi di intelligenza artificiale di Azure (in precedenza nota come Servizi cognitivi e Ricerca cognitiva) per rispettare il nuovo formato di denominazione di Servizi di intelligenza artificiale di Azure e allinearsi alle risorse pertinenti.
| Raccomandazione precedente | Raccomandazione aggiornata |
|---|---|
| Gli account Servizi cognitivi devono limitare l'accesso alla rete | Le risorse di Servizi di intelligenza artificiale di Azure devono limitare l'accesso alla rete |
| Gli account servizi cognitivi devono avere metodi di autenticazione locale disabilitati | Le risorse di Servizi di intelligenza artificiale di Azure devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) |
| È consigliabile abilitare i log di diagnostica nei servizi di ricerca | I log di diagnostica nelle risorse dei servizi di intelligenza artificiale di Azure devono essere abilitati |
Vedere l'elenco delle raccomandazioni sulla sicurezza.
Deprecazione delle raccomandazioni di Servizi cognitivi
2 aprile 2024
La raccomandazione Public network access should be disabled for Cognitive Services accounts è deprecata. La definizione Cognitive Services accounts should disable public network access di criteri correlata è stata rimossa dal dashboard di conformità alle normative.
Questa raccomandazione è già coperta da un'altra raccomandazione di rete per i servizi di intelligenza artificiale di Azure, Cognitive Services accounts should restrict network access.
Vedere l'elenco delle raccomandazioni sulla sicurezza.
Raccomandazioni per i contenitori multicloud (GA)
2 aprile 2024
Nell'ambito della disponibilità generale multicloud di Defender per contenitori, vengono annunciate anche le raccomandazioni seguenti:
- Per Azure
| Consiglio | Descrizione | Chiave di valutazione |
|---|---|---|
| Le immagini del contenitore del Registro di sistema di Azure devono avere vulnerabilità risolte | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. La risoluzione delle vulnerabilità può migliorare notevolmente il comportamento di sicurezza, assicurandosi che le immagini siano sicure da usare prima della distribuzione. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente la superficie di attacco per i carichi di lavoro in contenitori. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
- Per GCP
| Consiglio | Descrizione | Chiave di valutazione |
|---|---|---|
| Le immagini del contenitore del registro GCP devono avere i risultati della vulnerabilità risolti (basati su Gestione delle vulnerabilità di Microsoft Defender) - Microsoft Azure | Analizza le immagini del contenitore dei registri GCP per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. La risoluzione delle vulnerabilità può migliorare notevolmente il comportamento di sicurezza, assicurandosi che le immagini siano sicure da usare prima della distribuzione. | c27441ae-775c-45be-8ffa-655de37362ce |
| GCP che esegue immagini del contenitore deve avere i risultati della vulnerabilità risolti (basati su Gestione delle vulnerabilità di Microsoft Defender) - Microsoft Azure | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Google Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente la superficie di attacco per i carichi di lavoro in contenitori. | 5cc3a2c1-8397-456f-8792-fe9d0d4c9145 |
- Per AWS
| Consiglio | Descrizione | Chiave di valutazione |
|---|---|---|
| Le immagini dei contenitori del registro AWS devono avere i risultati della vulnerabilità risolti (basati su Gestione delle vulnerabilità di Microsoft Defender) | Analizza le immagini del contenitore dei registri GCP per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. La risoluzione delle vulnerabilità può migliorare notevolmente il comportamento di sicurezza, assicurandosi che le immagini siano sicure da usare prima della distribuzione. Analizza le immagini del contenitore dei registri AWS per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. La risoluzione delle vulnerabilità può migliorare notevolmente il comportamento di sicurezza, assicurandosi che le immagini siano sicure da usare prima della distribuzione. | c27441ae-775c-45be-8ffa-655de37362ce |
| I risultati della vulnerabilità delle immagini dei contenitori in esecuzione in AWS devono essere risolti (basati su Gestione delle vulnerabilità di Microsoft Defender) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Elastic Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente la superficie di attacco per i carichi di lavoro in contenitori. | 682b2595-d045-4cff-b5aa-46624eb2dd8f |
Le raccomandazioni influiscono sul calcolo del punteggio di sicurezza.
Marzo 2024
L'analisi delle immagini dei contenitori di Windows è ora disponibile a livello generale
31 marzo 2024
È in corso l'annuncio della disponibilità generale (GA) del supporto delle immagini dei contenitori windows per l'analisi da parte di Defender per contenitori.
L'esportazione continua include ora i dati del percorso di attacco
25 marzo 2024
Si annuncia che l'esportazione continua include ora i dati del percorso di attacco. Questa funzionalità consente di trasmettere i dati di sicurezza a Log Analytics in Monitoraggio di Azure, a Hub eventi di Azure o a un'altra soluzione SIEM (Security Information and Event Management), Security Orchestration Automated Response (SOAR) o modello di distribuzione classica IT.
Altre informazioni sull'esportazione continua.
L'analisi senza agente supporta macchine virtuali crittografate tramite chiave gestita dal cliente in Azure
21 marzo 2024
Fino ad ora l'analisi senza agente ha coperto le macchine virtuali crittografate cmk in AWS e GCP. Con questa versione viene completato anche il supporto per Azure. La funzionalità usa un approccio di analisi univoco per la chiave gestita dal cliente in Azure:
- Defender per il cloud non gestisce il processo di chiave o decrittografia. La gestione e la decrittografia delle chiavi vengono gestite facilmente da Calcolo di Azure ed è trasparente per il servizio di analisi senza agente di Defender per il cloud.
- I dati del disco della macchina virtuale non crittografati non vengono mai copiati o crittografati nuovamente con un'altra chiave.
- La chiave originale non viene replicata durante il processo. Eliminando i dati nella macchina virtuale di produzione e nello snapshot temporaneo di Defender per il cloud.
Durante l'anteprima pubblica questa funzionalità non viene abilitata automaticamente. Se si usa Defender per server P2 o Defender CSPM e l'ambiente dispone di macchine virtuali con dischi crittografati cmk, è ora possibile eseguirne l'analisi per individuare vulnerabilità, segreti e malware seguendo questi passaggi di abilitazione.
- Altre informazioni sull'analisi senza agente per le macchine virtuali
- Altre informazioni sulle autorizzazioni di analisi senza agente
Nuove raccomandazioni rilevamento e reazione dagli endpoint
18 marzo 2024
Verranno annunciate nuove raccomandazioni rilevamento e reazione dagli endpoint che individuano e valutano la configurazione delle soluzioni rilevamento e reazione dagli endpoint supportate. Se vengono rilevati problemi, queste raccomandazioni offrono passaggi di correzione.
Le nuove raccomandazioni di Endpoint Protection senza agente seguenti sono ora disponibili se è abilitato Defender per server Piano 2 o il piano CSPM di Defender nella sottoscrizione con la funzionalità di analisi automatica senza agente abilitata. Le raccomandazioni supportano i computer Azure e multicloud. I computer locali non sono supportati.
| Nome raccomandazione | Descrizione | Gravità |
|---|---|---|
| La soluzione EDR deve essere installata in Macchine virtuali | Per proteggere le macchine virtuali, installare una soluzione di rilevamento e risposta degli endpoint (EDR). Le richieste edR consentono di prevenire, rilevare, analizzare e rispondere alle minacce avanzate. Usare Microsoft Defender per server per distribuire Microsoft Defender per endpoint. Se la risorsa è classificata come "Non integra", non è installata una soluzione EDR supportata [collegamento Segnaposto - Altre informazioni]. Se è installata una soluzione EDR che non è individuabile da questa raccomandazione, è possibile esentarla. | Alto |
| La soluzione EDR deve essere installata in EC2s | Per proteggere EC2s, installare una soluzione di rilevamento e risposta degli endpoint (EDR). Le richieste edR consentono di prevenire, rilevare, analizzare e rispondere alle minacce avanzate. Usare Microsoft Defender per server per distribuire Microsoft Defender per endpoint. Se la risorsa è classificata come "Non integra", non è installata una soluzione EDR supportata [collegamento Segnaposto - Altre informazioni]. Se è installata una soluzione EDR che non è individuabile da questa raccomandazione, è possibile esentarla. | Alto |
| La soluzione EDR deve essere installata in GCP Macchine virtuali | Per proteggere le macchine virtuali, installare una soluzione di rilevamento e risposta degli endpoint (EDR). Le richieste edR consentono di prevenire, rilevare, analizzare e rispondere alle minacce avanzate. Usare Microsoft Defender per server per distribuire Microsoft Defender per endpoint. Se la risorsa è classificata come "Non integra", non è installata una soluzione EDR supportata [collegamento Segnaposto - Altre informazioni]. Se è installata una soluzione EDR che non è individuabile da questa raccomandazione, è possibile esentarla. | Alto |
| I problemi di configurazione EDR devono essere risolti nelle macchine virtuali | Per proteggere le macchine virtuali dalle minacce e dalle vulnerabilità più recenti, risolvere tutti i problemi di configurazione identificati con la soluzione edR (Endpoint Detection and Response) installata. Nota: attualmente questa raccomandazione si applica solo alle risorse con Microsoft Defender per endpoint (MDE) abilitata. |
Alto |
| I problemi di configurazione EDR devono essere risolti in EC2s | Per proteggere le macchine virtuali dalle minacce e dalle vulnerabilità più recenti, risolvere tutti i problemi di configurazione identificati con la soluzione edR (Endpoint Detection and Response) installata. Nota: attualmente questa raccomandazione si applica solo alle risorse con Microsoft Defender per endpoint (MDE) abilitata. |
Alto |
| I problemi di configurazione EDR devono essere risolti nelle macchine virtuali GCP | Per proteggere le macchine virtuali dalle minacce e dalle vulnerabilità più recenti, risolvere tutti i problemi di configurazione identificati con la soluzione edR (Endpoint Detection and Response) installata. Nota: attualmente questa raccomandazione si applica solo alle risorse con Microsoft Defender per endpoint (MDE) abilitata. |
Alto |
Informazioni su come gestire queste nuove raccomandazioni rilevamento e reazione dagli endpoint (senza agente)
Queste raccomandazioni per l'anteprima pubblica saranno deprecate alla fine di marzo.
| Elemento consigliato | Agente |
|---|---|
| Endpoint Protection deve essere installato nei computer (pubblico) | MMA/AMA |
| I problemi di integrità di Endpoint Protection devono essere risolti nei computer (pubblico) | MMA/AMA |
Le raccomandazioni attualmente disponibili a livello generale sono ancora supportate e saranno fino ad agosto 2024.
Informazioni su come prepararsi per la nuova esperienza di raccomandazione di rilevamento degli endpoint.
Le raccomandazioni personalizzate basate su KQL per Azure sono ora disponibili in anteprima pubblica
17 marzo 2024
Le raccomandazioni personalizzate basate su KQL per Azure sono ora in anteprima pubblica e supportate per tutti i cloud. Per altre informazioni, vedere Creare standard di sicurezza personalizzati e consigli.
Inclusione delle raccomandazioni devOps nel benchmark della sicurezza del cloud Microsoft
13 marzo 2024
Oggi annunciamo che è ora possibile monitorare il comportamento di sicurezza e conformità di DevOps nel benchmark di sicurezza cloud Microsoft (MCSB) oltre ad Azure, AWS e GCP. Le valutazioni DevOps fanno parte del controllo DevOps Security nel MCSB.
MCSB è un framework che definisce i principi fondamentali di sicurezza del cloud basati su standard di settore e framework di conformità comuni. MCSB fornisce informazioni prescrittive su come implementare le raccomandazioni di sicurezza indipendenti dal cloud.
Altre informazioni sulle raccomandazioni devOps che verranno incluse e sul benchmark della sicurezza del cloud Microsoft.
L'integrazione di ServiceNow è ora disponibile a livello generale
12 marzo 2024
È in corso l'annuncio della disponibilità generale dell'integrazione di ServiceNow.
Protezione degli asset critici in Microsoft Defender per il cloud (anteprima)
12 marzo 2024
Defender per il cloud include ora una funzionalità di criticità aziendale, che usa il motore di asset critici di Microsoft Security Exposure Management, per identificare e proteggere gli asset importanti tramite la definizione delle priorità dei rischi, l'analisi del percorso di attacco e Esplora sicurezza cloud. Per altre informazioni, vedere Protezione degli asset critici in Microsoft Defender per il cloud (anteprima).
Raccomandazioni avanzate di AWS e GCP con script di correzione automatizzati
12 marzo 2024
Stiamo migliorando le raccomandazioni AWS e GCP con script di correzione automatizzati che consentono di correggerli a livello di codice e su larga scala. Altre informazioni sugli script di correzione automatizzati.
(Anteprima) Standard di conformità aggiunti al dashboard di conformità
6 marzo 2024
In base al feedback dei clienti, sono stati aggiunti standard di conformità in anteprima a Defender per il cloud.
Vedere l'elenco completo degli standard di conformità supportati
Microsoft sta lavorando costantemente all'aggiunta e all'aggiornamento di nuovi standard per gli ambienti Azure, AWS e GCP.
Informazioni su come assegnare uno standard di sicurezza.
Deprecazione di due raccomandazioni correlate a PCI
5 marzo 2024
Le due raccomandazioni seguenti correlate a Permission Creep Index (PCI) sono deprecate:
- Le identità con provisioning eccessivo negli account devono essere analizzate per ridurre l'indice di scorrimento delle autorizzazioni (PCI)
- Le identità con provisioning eccessivo nelle sottoscrizioni devono essere analizzate per ridurre l'indice di tipo Permission Creep (PCI)
Vedere l'elenco delle raccomandazioni sulla sicurezza deprecate.
valutazione della vulnerabilità dei contenitori Defender per il cloud basata sul ritiro di Qualys
3 marzo 2024
La valutazione della vulnerabilità dei contenitori Defender per il cloud basata su Qualys viene ritirata. Il ritiro verrà completato entro il 6 marzo e fino a quel momento i risultati parziali potrebbero essere visualizzati sia nelle raccomandazioni Qualys che nei risultati qualys nel grafico della sicurezza. Tutti i clienti che in precedenza usano questa valutazione devono eseguire l'aggiornamento alle valutazioni delle vulnerabilità per Azure con Gestione delle vulnerabilità di Microsoft Defender. Per informazioni sulla transizione all'offerta di valutazione della vulnerabilità dei contenitori basata su Gestione delle vulnerabilità di Microsoft Defender, vedere Transizione da Qualys a Gestione delle vulnerabilità di Microsoft Defender.
Febbraio 2024
La gestione dei criteri di sicurezza aggiornata espande il supporto per AWS e GCP
28 febbraio 2024
L'esperienza aggiornata per la gestione dei criteri di sicurezza, inizialmente rilasciata in anteprima per Azure, sta espandendo il supporto per gli ambienti tra cloud (AWS e GCP). Questa versione di anteprima include:
- Gestione degli standard di conformità alle normative in Defender per il cloud in ambienti Azure, AWS e GCP.
- Stessa esperienza tra interfacce cloud per la creazione e la gestione di raccomandazioni personalizzate di Microsoft Cloud Security Benchmark (MCSB).
- L'esperienza aggiornata viene applicata a AWS e GCP per la creazione di raccomandazioni personalizzate con una query KQL.
Supporto cloud per Defender per contenitori
26 febbraio 2024
Le funzionalità di rilevamento delle minacce di servizio Azure Kubernetes (AKS) in Defender per contenitori sono ora completamente supportate nei cloud commerciali, Azure per enti pubblici e Azure China 21Vianet. Esaminare le funzionalità supportate.
Nuova versione del sensore di Defender per Defender per contenitori
20 febbraio 2024
È disponibile una nuova versione del sensore Defender per Defender per contenitori . Include miglioramenti delle prestazioni e della sicurezza, supporto per i nodi arch AMD64 e ARM64 (solo Linux) e usa Inspektor Gadget come agente di raccolta di processi invece di Sysdig. La nuova versione è supportata solo nelle versioni del kernel Linux 5.4 e successive, quindi se sono presenti versioni precedenti del kernel Linux, è necessario eseguire l'aggiornamento. Il supporto per ARM 64 è disponibile solo dal servizio Azure Kubernetes V1.29 e versioni successive. Per altre informazioni, vedere Sistemi operativi host supportati.
Supporto per le specifiche del formato di immagine OCI (Open Container Initiative)
18 febbraio 2024
La specifica del formato di immagine OCI (Open Container Initiative) è ora supportata dalla valutazione della vulnerabilità, basata su Gestione delle vulnerabilità di Microsoft Defender per aws, cloud Azure & GCP.
Valutazione della vulnerabilità dei contenitori AWS basata su Trivy ritirata
13 febbraio 2024
La valutazione della vulnerabilità dei contenitori basata su Trivy è stata ritirata. Tutti i clienti che in precedenza usano questa valutazione devono eseguire l'aggiornamento alla nuova valutazione della vulnerabilità dei contenitori AWS basata su Gestione delle vulnerabilità di Microsoft Defender. Per istruzioni su come eseguire l'aggiornamento, vedere Ricerca per categorie eseguire l'aggiornamento dalla valutazione della vulnerabilità Trivy ritirata alla valutazione della vulnerabilità di AWS basata su Gestione delle vulnerabilità di Microsoft Defender?
Consigli rilasciata per l'anteprima: quattro raccomandazioni per il tipo di risorsa Azure Stack HCI
8 febbraio 2024
Sono state aggiunte quattro nuove raccomandazioni per Azure Stack HCI come nuovo tipo di risorsa che può essere gestito tramite Microsoft Defender per il cloud. Queste nuove raccomandazioni sono attualmente disponibili in anteprima pubblica.
Vedere l'elenco delle raccomandazioni sulla sicurezza.
Gennaio 2024
Nuove informazioni dettagliate per i repository attivi in Cloud Security Explorer
31 gennaio 2024
Sono state aggiunte nuove informazioni dettagliate per i repository Di Azure DevOps a Cloud Security Explorer per indicare se i repository sono attivi. Queste informazioni dettagliate indicano che il repository di codice non è archiviato o disabilitato, ovvero l'accesso in scrittura al codice, alle compilazioni e alle richieste pull è ancora disponibile per gli utenti. I repository archiviati e disabilitati possono essere considerati priorità più bassa perché il codice non viene in genere usato nelle distribuzioni attive.
Per testare la query tramite Cloud Security Explorer, usare questo collegamento alla query.
Deprecazione degli avvisi di sicurezza e aggiornamento degli avvisi di sicurezza al livello di gravità informativo
25 gennaio 2024
Questo annuncio include avvisi di sicurezza dei contenitori deprecati e avvisi di sicurezza il cui livello di gravità viene aggiornato a Informazioni.
Gli avvisi di sicurezza del contenitore seguenti sono deprecati:
Anomalous pod deployment (Preview) (K8S_AnomalousPodDeployment)Excessive role permissions assigned in Kubernetes cluster (Preview) (K8S_ServiceAcountPermissionAnomaly)Anomalous access to Kubernetes secret (Preview) (K8S_AnomalousSecretAccess)
Gli avvisi di sicurezza seguenti vengono aggiornati al livello di gravità informativo :
Avvisi per i computer Windows:
Adaptive application control policy violation was audited (VM_AdaptiveApplicationControlWindowsViolationAudited)Adaptive application control policy violation was audited (VM_AdaptiveApplicationControlLinuxViolationAudited)
Avvisi per i contenitori:
Attempt to create a new Linux namespace from a container detected (K8S.NODE_NamespaceCreation)Attempt to stop apt-daily-upgrade.timer service detected (K8S.NODE_TimerServiceDisabled)Command within a container running with high privileges (K8S.NODE_PrivilegedExecutionInContainer)Container running in privileged mode (K8S.NODE_PrivilegedContainerArtifacts)Container with a sensitive volume mount detected (K8S_SensitiveMount)Creation of admission webhook configuration detected (K8S_AdmissionController)Detected suspicious file download (K8S.NODE_SuspectDownloadArtifacts)Docker build operation detected on a Kubernetes node (K8S.NODE_ImageBuildOnNode)New container in the kube-system namespace detected (K8S_KubeSystemContainer)New high privileges role detected (K8S_HighPrivilegesRole)Privileged container detected (K8S_PrivilegedContainer)Process seen accessing the SSH authorized keys file in an unusual way (K8S.NODE_SshKeyAccess)Role binding to the cluster-admin role detected (K8S_ClusterAdminBinding)SSH server is running inside a container (K8S.NODE_ContainerSSH)
Avvisi per DNS:
Communication with suspicious algorithmically generated domain (AzureDNS_DomainGenerationAlgorithm)Communication with suspicious algorithmically generated domain (DNS_DomainGenerationAlgorithm)Communication with suspicious random domain name (Preview) (DNS_RandomizedDomain)Communication with suspicious random domain name (AzureDNS_RandomizedDomain)Communication with possible phishing domain (AzureDNS_PhishingDomain)Communication with possible phishing domain (Preview) (DNS_PhishingDomain)
Avvisi per il servizio app Azure:
NMap scanning detected (AppServices_Nmap)Suspicious User Agent detected (AppServices_UserAgentInjection)
Avvisi per il livello di rete di Azure:
Possible incoming SMTP brute force attempts detected (Generic_Incoming_BF_OneToOne)Traffic detected from IP addresses recommended for blocking (Network_TrafficFromUnrecommendedIP)
Avvisi per Azure Resource Manager:
Privileged custom role created for your subscription in a suspicious way (Preview)(ARM_PrivilegedRoleDefinitionCreation)
Vedere l'elenco completo degli avvisi di sicurezza.
Comportamento del contenitore senza agente per GCP in Defender per contenitori e Defender CSPM (anteprima)
24 gennaio 2024
Le nuove funzionalità di comportamento dei contenitori senza agente (anteprima) sono disponibili per GCP, incluse le valutazioni della vulnerabilità per GCP con Gestione delle vulnerabilità di Microsoft Defender. Per altre informazioni su tutte le funzionalità, vedere Comportamento dei contenitori senza agente in Defender CSPM e funzionalità senza agente in Defender per contenitori.
È anche possibile leggere informazioni sulla gestione del comportamento dei contenitori senza agente per multicloud in questo post di blog.
Anteprima pubblica dell'analisi di malware senza agente per i server
16 gennaio 2024
Viene annunciato il rilascio del rilevamento di malware senza agente di Defender per il cloud per le macchine virtuali di Azure, le istanze DI AWS EC2 e le istanze di VM GCP, come nuova funzionalità inclusa in Defender per server piano 2.
Il rilevamento di malware senza agente per le macchine virtuali è ora incluso nella piattaforma di analisi senza agente. L'analisi di malware senza agente utilizza Antivirus Microsoft Defender motore antimalware per analizzare e rilevare file dannosi. Eventuali minacce rilevate, attivano avvisi di sicurezza direttamente in Defender per il cloud e Defender XDR, dove possono essere esaminati e risolti. Lo scanner di malware senza agente integra la copertura basata sull'agente con un secondo livello di rilevamento delle minacce con onboarding senza attriti e non ha alcun effetto sulle prestazioni del computer.
Altre informazioni sull'analisi di malware senza agente per i server e l'analisi senza agente per le macchine virtuali.
Disponibilità generale dell'integrazione di Defender per il cloud con Microsoft Defender XDR
15 gennaio 2024
Microsoft annuncia la disponibilità generale dell'integrazione tra Defender per il cloud e Microsoft Defender XDR (in precedenza Microsoft 365 Defender).
L'integrazione offre funzionalità di protezione cloud competitive nel Centro operazioni di sicurezza (SOC) quotidiane. Con Microsoft Defender per il cloud e l'integrazione di Defender XDR, i team SOC possono individuare attacchi che combinano rilevamenti da più pilastri, tra cui Cloud, Endpoint, Identità, Office 365 e altro ancora.
Altre informazioni sugli avvisi e sugli eventi imprevisti in Microsoft Defender XDR.
Le annotazioni della richiesta pull di sicurezza devOps sono ora abilitate per impostazione predefinita per i connettori Azure DevOps
12 gennaio 2024
La sicurezza DevOps espone i risultati della sicurezza come annotazioni nelle richieste pull per aiutare gli sviluppatori a prevenire e correggere potenziali vulnerabilità di sicurezza e configurazioni errate prima di entrare nell'ambiente di produzione. A partire dal 12 gennaio 2024, le annotazioni pull sono ora abilitate per impostazione predefinita per tutti i repository Azure DevOps nuovi ed esistenti connessi a Defender per il cloud.
Per impostazione predefinita, le annotazioni pr sono abilitate solo per i risultati dell'infrastruttura con gravità elevata come codice (IaC). I clienti dovranno comunque configurare Microsoft Security for DevOps (MSDO) per l'esecuzione nelle compilazioni pull e abilitare i criteri di convalida della compilazione per le compilazioni CI nelle impostazioni del repository Di Azure DevOps. I clienti possono disabilitare la funzionalità di annotazione della richiesta pull per repository specifici all'interno delle opzioni di configurazione del repository del pannello di sicurezza DevOps.
Altre informazioni sull'abilitazione delle annotazioni della richiesta pull per Azure DevOps.
Consigli rilasciata per l'anteprima: Nove nuove raccomandazioni sulla sicurezza di Azure
4 gennaio 2024
Sono state aggiunte nove nuove raccomandazioni sulla sicurezza di Azure allineate a Microsoft Cloud Security Benchmark. Queste nuove raccomandazioni sono attualmente disponibili in anteprima pubblica.
| Suggerimento | Descrizione | Gravità |
|---|---|---|
| Gli account servizi cognitivi devono avere metodi di autenticazione locale disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurandosi che gli account servizi cognitivi richiedano identità di Azure Active Directory esclusivamente per l'autenticazione. Per altre informazioni, vedere: https://aka.ms/cs/auth. (Criterio correlato: Gli account di Servizi cognitivi devono avere metodi di autenticazione locali disabilitati. | Basso |
| Servizi cognitivi deve usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di perdita di dati. Altre informazioni sui collegamenti privati. (Criterio correlato: Servizi cognitivi deve usare un collegamento privato. | Medio |
| Le macchine virtuali e i set di scalabilità di macchine virtuali devono avere la crittografia abilitata per l'host | Usare la crittografia nell'host per ottenere la crittografia end-to-end per la macchina virtuale e i dati del set di scalabilità di macchine virtuali. La crittografia nell'host abilita la crittografia dei dati inattivi per le cache del disco temporaneo e del sistema operativo/dati. I dischi temporanei e temporanei del sistema operativo vengono crittografati con chiavi gestite dalla piattaforma quando la crittografia nell'host è abilitata. Le cache del disco del sistema operativo/dati vengono crittografate inattive con chiave gestita dal cliente o gestita dalla piattaforma, a seconda del tipo di crittografia selezionato sul disco. Per ulteriori informazioni, vedi https://aka.ms/vm-hbe. (Criterio correlato: Le macchine virtuali e i set di scalabilità di macchine virtuali devono avere la crittografia abilitata per l'host. | Medio |
| Azure Cosmos DB deve disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che l'account Cosmos DB non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dell'account Cosmos DB. Altre informazioni. (Criterio correlato: Azure Cosmos DB deve disabilitare l'accesso alla rete pubblica. | Medio |
| Gli account Cosmos DB devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account Cosmos DB, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati. (Criterio correlato: Gli account Cosmos DB devono usare un collegamento privato. | Medio |
| I gateway VPN devono usare solo l'autenticazione di Azure Active Directory (Azure AD) per gli utenti da punto a sito | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che le Gateway VPN usino solo le identità di Azure Active Directory per l'autenticazione. Altre informazioni sull'autenticazione di Azure AD. (Criterio correlato: I gateway VPN devono usare solo l'autenticazione di Azure Active Directory (Azure AD) per gli utenti da punto a sito. | Medio |
| Il database SQL di Azure deve eseguire TLS versione 1.2 o successiva | Impostando la versione di TLS su 1.2 o successive, è possibile migliorare la sicurezza e garantire che il database SQL di Azure sia accessibile solo dai client che usano TLS 1.2 o versioni successive. Non è consigliabile usare versioni di TLS precedenti alla versione 1.2 in quanto presentano vulnerabilità della sicurezza ben documentate. (Criterio correlato: database SQL di Azure deve eseguire TLS versione 1.2 o successiva. | Medio |
| Le Istanze gestite di SQL di Azure devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica (endpoint pubblico) in Istanze gestite di SQL di Azure migliora la sicurezza assicurando che sia accessibile solo dall'interno delle reti virtuali o tramite endpoint privati. Altre informazioni sull'accesso alla rete pubblica. (Criterio correlato: Istanza gestita di SQL di Azure devono disabilitare l'accesso alla rete pubblica). | Medio |
| Archiviazione gli account devono impedire l'accesso con chiave condivisa | Requisito di controllo di Azure Active Directory (Azure AD) per autorizzare le richieste per l'account di archiviazione. Per impostazione predefinita, le richieste possono essere autorizzate con le credenziali di Azure Active Directory o usando la chiave di accesso dell'account per l'autorizzazione con chiave condivisa. Di questi due tipi di autorizzazione, Azure AD offre maggiore sicurezza e facilità d'uso tramite chiave condivisa ed è consigliato da Microsoft. (Criterio correlato: Archiviazione gli account devono impedire l'accesso con chiave condivisa). | Medio |
Vedere l'elenco delle raccomandazioni sulla sicurezza.
Dicembre 2023
Defender per server a livello di risorsa disponibile come disponibilità generale
24 dicembre 2023
È ora possibile gestire Defender per server in risorse specifiche all'interno della sottoscrizione, offrendo il controllo completo sulla strategia di protezione. Con questa funzionalità, è possibile configurare risorse specifiche con configurazioni personalizzate diverse dalle impostazioni configurate a livello di sottoscrizione.
Altre informazioni sull'abilitazione di Defender per server a livello di risorsa.
Ritiro dei connettori classici per multicloud
21 dicembre 2023
L'esperienza classica del connettore multicloud viene ritirata e i dati non vengono più trasmessi ai connettori creati tramite tale meccanismo. Questi connettori classici sono stati usati per connettere aws Security Hub e GCP Security Command Center raccomandazioni per Defender per il cloud ed eseguire l'onboarding di AWS EC2s in Defender per server.
Il valore completo di questi connettori è stato sostituito con l'esperienza nativa dei connettori di sicurezza multicloud, disponibile a livello generale per AWS e GCP a partire da marzo 2022 senza costi aggiuntivi.
I nuovi connettori nativi sono inclusi nel piano e offrono un'esperienza di onboarding automatizzato con opzioni per eseguire l'onboarding di singoli account, più account (con Terraform) e l'onboarding aziendale con provisioning automatico per i piani di Defender seguenti: funzionalità CSPM di base gratuite, Defender Cloud Security Posture Management (CSPM), Defender per server, Defender per SQL e Defender per contenitori.
Rilascio della cartella di lavoro coverage
21 dicembre 2023
La cartella di lavoro Coverage consente di tenere traccia dei piani Defender per il cloud attivi in quali parti degli ambienti. Questa cartella di lavoro consente di assicurarsi che gli ambienti e le sottoscrizioni siano completamente protetti. Avendo accesso a informazioni dettagliate sulla copertura, è anche possibile identificare tutte le aree che potrebbero richiedere altre misure di protezione e intervenire per risolvere tali aree.
Altre informazioni sulla cartella di lavoro coverage.
Disponibilità generale della valutazione della vulnerabilità dei contenitori basata su Gestione delle vulnerabilità di Microsoft Defender in Azure per enti pubblici e Azure gestito da 21Vianet
14 dicembre 2023
La valutazione della vulnerabilità (VA) per le immagini dei contenitori Linux nei registri contenitori di Azure con tecnologia Gestione delle vulnerabilità di Microsoft Defender viene rilasciata per la disponibilità generale (GA) in Azure per enti pubblici e Azure gestito da 21Vianet. Questa nuova versione è disponibile nei piani Defender per contenitori e Defender per registri contenitori.
Come parte di questa modifica, vengono rilasciate le raccomandazioni seguenti per la disponibilità generale e sono incluse nel calcolo del punteggio di sicurezza:
| Nome raccomandazione | Descrizione | Chiave di valutazione |
|---|---|---|
| Le immagini del contenitore del registro di Azure devono avere vulnerabilità risolte (all’interno di Gestione delle vulnerabilità di Microsoft Defender) | Le valutazioni delle vulnerabilità dell'immagine del contenitore analizzano il registro per individuare vulnerabilità comunemente note (CVE) e forniscono un report dettagliato sulle vulnerabilità per ogni immagine. La risoluzione delle vulnerabilità può migliorare notevolmente il comportamento di sicurezza, assicurandosi che le immagini siano sicure da usare prima della distribuzione. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| L'esecuzione di immagini del contenitore deve avere i risultati della vulnerabilità risolti (basati su Gestione delle vulnerabilità di Microsoft Defender) | Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate su Gestione delle vulnerabilità di Microsoft Defender). La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente la superficie di attacco per i carichi di lavoro in contenitori. |
c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
L'analisi delle immagini del contenitore basata su Gestione delle vulnerabilità di Microsoft Defender ora comporta anche addebiti in base ai prezzi del piano.
Nota
Le immagini analizzate sia dall'offerta di valutazione del contenitore basata su Qualys che dall'offerta Contenitore VA con tecnologia Gestione delle vulnerabilità di Microsoft Defender verranno fatturate una sola volta.
Le raccomandazioni Qualys seguenti per la valutazione della vulnerabilità dei contenitori vengono rinominate e continuano a essere disponibili per i clienti che hanno abilitato Defender per contenitori in una delle sottoscrizioni precedenti a questa versione. I nuovi clienti che eseguino l'onboarding di Defender per contenitori dopo questa versione vedranno solo le nuove raccomandazioni di valutazione della vulnerabilità dei contenitori basate su Gestione delle vulnerabilità di Microsoft Defender.
| Nome della raccomandazione corrente | Nuovo nome di raccomandazione | Descrizione | Chiave di valutazione |
|---|---|---|---|
| Le immagini del registro contenitori devono avere i risultati della vulnerabilità risolti (basati su Qualys) | Le immagini del contenitore del Registro di sistema di Azure devono avere vulnerabilità risolte (basate su Qualys) | La valutazione delle vulnerabilità delle immagini del contenitore analizza il registro alla ricerca di vulnerabilità di sicurezza ed espone risultati dettagliati per ogni immagine. La risoluzione delle vulnerabilità può migliorare significativamente il comportamento di sicurezza dei contenitori e proteggerli dagli attacchi. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| L'esecuzione di immagini del contenitore deve avere i risultati della vulnerabilità risolti (basati su Qualys) | Le immagini dei contenitori in esecuzione in Azure devono avere vulnerabilità risolte( basate su Qualys) | La valutazione della vulnerabilità dell'immagine del contenitore analizza le immagini del contenitore in esecuzione nei cluster Kubernetes per individuare le vulnerabilità di sicurezza ed espone risultati dettagliati per ogni immagine. La risoluzione delle vulnerabilità può migliorare significativamente il comportamento di sicurezza dei contenitori e proteggerli dagli attacchi. | 41503391-efa5-47ee-9282-4eff6131462c |
Anteprima pubblica del supporto di Windows per la valutazione della vulnerabilità dei contenitori basata su Gestione delle vulnerabilità di Microsoft Defender
14 dicembre 2023
Il supporto per le immagini Di Windows è stato rilasciato in anteprima pubblica come parte della valutazione della vulnerabilità (VA) basata su Gestione delle vulnerabilità di Microsoft Defender per i registri contenitori di Azure e le servizio Azure Kubernetes.
Ritiro della valutazione della vulnerabilità dei contenitori AWS basata su Trivy
13 dicembre 2023
La valutazione della vulnerabilità dei contenitori basata su Trivy è ora in un percorso di ritiro da completare entro il 13 febbraio. Questa funzionalità è ora deprecata e continuerà a essere disponibile per i clienti esistenti che usano questa funzionalità fino al 13 febbraio. Invitiamo i clienti a usare questa funzionalità per eseguire l'aggiornamento alla nuova valutazione della vulnerabilità dei contenitori AWS basata su Gestione delle vulnerabilità di Microsoft Defender entro il 13 febbraio.
Comportamento dei contenitori senza agente per AWS in Defender per contenitori e Defender CSPM (anteprima)
13 dicembre 2023
Le nuove funzionalità di comportamento dei contenitori senza agente (anteprima) sono disponibili per AWS. Per altre informazioni, vedere Comportamento dei contenitori senza agente in Defender CSPM e funzionalità senza agente in Defender per contenitori.
Supporto della disponibilità generale per il server flessibile PostgreSQL in Defender per il piano dei database relazionali open source
13 dicembre 2023
È in corso l'annuncio della versione disponibile a livello generale del supporto del server flessibile PostgreSQL nel piano microsoft Defender per database relazionali open source. Microsoft Defender per database relazionali open source fornisce una protezione avanzata dalle minacce ai server flessibili PostgreSQL, rilevando attività anomale e generando avvisi di sicurezza.
Informazioni su come abilitare Microsoft Defender per database relazionali open source.
Valutazione della vulnerabilità dei contenitori basata su Gestione delle vulnerabilità di Microsoft Defender ora supporta Google Distroless
12 dicembre 2023
Le valutazioni delle vulnerabilità dei contenitori basate su Gestione delle vulnerabilità di Microsoft Defender sono state estese con copertura aggiuntiva per i pacchetti del sistema operativo Linux, ora supportando Google Distroless.
Per un elenco di tutti i sistemi operativi supportati, vedere Registries and images support for Azure - Vulnerability assessment powered by Gestione delle vulnerabilità di Microsoft Defender (Registri e immagini supportate per Azure - Valutazione della vulnerabilità basata su Gestione delle vulnerabilità di Microsoft Defender).
Avviso di Defender per Archiviazione rilasciato per l'anteprima: BLOB dannoso scaricato da un account di archiviazione
4 dicembre 2023
Viene rilasciato l'avviso seguente per l'anteprima:
| Avviso (tipo di avviso) | Descrizione | Tattiche MITRE | Gravità |
|---|---|---|---|
| IL BLOB dannoso è stato scaricato da un account di archiviazione (anteprima) Archiviazione. Blob_MalwareDownload |
L'avviso indica che un BLOB dannoso è stato scaricato da un account di archiviazione. Le possibili cause possono includere malware caricato nell'account di archiviazione e non rimosso o messo in quarantena, consentendo così a un attore di minaccia di scaricarlo o un download involontario del malware da parte di utenti o applicazioni legittime. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità analisi malware abilitata. |
Spostamento laterale | Alto, se Eicar - basso |
Vedere gli avvisi basati sull'estensione in Defender per Archiviazione.
Per un elenco completo degli avvisi, vedere la tabella di riferimento per tutti gli avvisi di sicurezza in Microsoft Defender per il cloud.
Novembre 2023
Quattro avvisi sono deprecati
30 novembre 2023
Nell'ambito del processo di miglioramento della qualità, gli avvisi di sicurezza seguenti sono deprecati:
Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)Suspicious process termination burst (VM_TaskkillBurst)PsExec execution detected (VM_RunByPsExec)
Disponibilità generale dell'analisi dei segreti senza agente in Defender per server e Defender CSPM
27 novembre 2023
L'analisi dei segreti senza agente migliora l'Macchine virtuali (VM) basata sul cloud di sicurezza identificando i segreti in testo non crittografato nei dischi delle macchine virtuali. L'analisi dei segreti senza agente fornisce informazioni complete per aiutare a classificare in ordine di priorità i risultati rilevati e ridurre i rischi di spostamento laterale prima che si verifichino. Questo approccio proattivo impedisce l'accesso non autorizzato, assicurando che l'ambiente cloud rimanga sicuro.
È in corso l'annuncio della disponibilità generale dell'analisi dei segreti senza agente, inclusa sia nei piani Defender per Server P2 che in Defender CSPM .
L'analisi dei segreti senza agente usa le API cloud per acquisire snapshot dei dischi, effettuando analisi fuori banda che garantisce che non vi siano effetti sulle prestazioni della macchina virtuale. L'analisi dei segreti senza agente amplia la copertura offerta da Defender per il cloud sugli asset cloud negli ambienti Azure, AWS e GCP per migliorare la sicurezza cloud.
Con questa versione, le funzionalità di rilevamento di Defender per il cloud ora supportano altri tipi di database, URL firmati dall'archivio dati, token di accesso e altro ancora.
Informazioni su come gestire i segreti con l'analisi dei segreti senza agente.
Abilitare la gestione delle autorizzazioni con Defender per il cloud (anteprima)
22 novembre 2023
Microsoft offre ora soluzioni CLOUD-Native Application Protection Platforms (CNAPP) e CLOUD Infrastructure Entitlement Management (CIEM) con Microsoft Defender per il cloud (CNAPP) e Gestione delle autorizzazioni di Microsoft Entra (CIEM).
Gli amministratori della sicurezza possono ottenere una visualizzazione centralizzata delle autorizzazioni di accesso inutilizzate o eccessive all'interno di Defender per il cloud.
I team di sicurezza possono guidare i controlli di accesso con privilegi minimi per le risorse cloud e ricevere raccomandazioni utili per risolvere i rischi per le autorizzazioni negli ambienti cloud Azure, AWS e GCP come parte della gestione del comportamento di sicurezza di Defender Cloud, senza requisiti di licenza aggiuntivi.
Informazioni su come abilitare la gestione delle autorizzazioni in Microsoft Defender per il cloud (anteprima).
integrazione di Defender per il cloud con ServiceNow
22 novembre 2023
ServiceNow è ora integrato con Microsoft Defender per il cloud, che consente ai clienti di connettere ServiceNow all'ambiente Defender per il cloud per definire la priorità della correzione delle raccomandazioni che influiscono sull'azienda. Microsoft Defender per il cloud si integra con il modulo Gestione dei servizi IT (gestione degli eventi imprevisti). Nell'ambito di questa connessione, i clienti possono creare/visualizzare i ticket ServiceNow (collegati alle raccomandazioni) da Microsoft Defender per il cloud.
Altre informazioni sull'integrazione di Defender per il cloud con ServiceNow.
Disponibilità generale del processo di provisioning automatico per SQL Server nei computer
20 novembre 2023
In preparazione alla deprecazione di Microsoft Monitoring Agent (MMA) nell'agosto 2024, Defender per il cloud rilasciato un processo di provisioning automatico di Azure Monitoring Agent (AMA) di destinazione di SQL Server. Il nuovo processo viene abilitato e configurato automaticamente per tutti i nuovi clienti e offre anche la possibilità di abilitare a livello di risorsa per le macchine virtuali SQL di Azure e SQL Server abilitati per Arc.
Ai clienti che usano il processo di provisioning automatico MMA viene richiesto di eseguire la migrazione al nuovo agente di monitoraggio di Azure per SQL Server nei computer che eseguono il provisioning automatico. Il processo di migrazione è facile e offre protezione continua per tutti i computer.
Disponibilità generale di Defender per le API
15 novembre 2023
È in corso l'annuncio della disponibilità generale di Microsoft Defender per le API. Defender per le API è progettato per proteggere le organizzazioni dalle minacce alla sicurezza delle API.
Defender per LE API consente alle organizzazioni di proteggere le API e i dati da attori malintenzionati. Le organizzazioni possono analizzare e migliorare il comportamento di sicurezza delle API, classificare in ordine di priorità le correzioni delle vulnerabilità e rilevare e rispondere rapidamente alle minacce attive in tempo reale. Le organizzazioni possono anche integrare gli avvisi di sicurezza direttamente nella piattaforma SIEM (Security Incident and Event Management), ad esempio Microsoft Sentinel, per analizzare e valutare i problemi.
È possibile imparare a proteggere le API con Defender per le API. È anche possibile ottenere altre informazioni su Microsoft Defender per le API.
È anche possibile leggere questo blog per altre informazioni sull'annuncio ga.
Defender per il cloud è ora integrato con Microsoft 365 Defender (anteprima)
15 novembre 2023
Le aziende possono proteggere le risorse e i dispositivi cloud con la nuova integrazione tra Microsoft Defender per il cloud e Microsoft Defender XDR. Questa integrazione connette i puntini tra risorse cloud, dispositivi e identità, che in precedenza richiedevano più esperienze.
L'integrazione offre anche funzionalità di protezione cloud competitive nel Centro operazioni di sicurezza (SOC) quotidiane. Con Microsoft Defender XDR, i team SOC possono facilmente individuare attacchi che combinano rilevamenti da più pilastri, tra cui Cloud, Endpoint, Identità, Office 365 e altro ancora.
Alcuni dei vantaggi principali includono:
Un'interfaccia facile da usare per i team SOC: con gli avvisi e le correlazioni cloud di Defender per il cloud integrati in M365D, i team SOC possono ora accedere a tutte le informazioni di sicurezza da un'unica interfaccia, migliorando significativamente l'efficienza operativa.
Una storia di attacco: i clienti sono in grado di comprendere la storia completa degli attacchi, incluso l'ambiente cloud, usando correlazioni predefinite che combinano avvisi di sicurezza da più origini.
Nuove entità cloud in Microsoft Defender XDR: Microsoft Defender XDR supporta ora nuove entità cloud univoche per Microsoft Defender per il cloud, ad esempio le risorse cloud. I clienti possono associare le entità di macchina virtuale alle entità del dispositivo, fornendo una visualizzazione unificata di tutte le informazioni pertinenti su un computer, inclusi avvisi ed eventi imprevisti attivati.
API unificata per i prodotti Microsoft Security: i clienti possono ora esportare i dati degli avvisi di sicurezza nei sistemi scelti usando una singola API, perché Microsoft Defender per il cloud avvisi e eventi imprevisti fanno ora parte dell'API pubblica di Microsoft Defender XDR.
L'integrazione tra Defender per il cloud e Microsoft Defender XDR è disponibile per tutti i clienti Defender per il cloud nuovi ed esistenti.
Disponibilità generale della valutazione della vulnerabilità dei contenitori basata su Gestione delle vulnerabilità di Microsoft Defender (MDVM) in Defender per contenitori e Defender per registri contenitori
15 novembre 2023
La valutazione della vulnerabilità (VA) per le immagini dei contenitori Linux nei registri contenitori di Azure con tecnologia Gestione delle vulnerabilità di Microsoft Defender (MDVM) viene rilasciata per la disponibilità generale (GA) in Defender per contenitori e Defender per registri contenitori.
Come parte di questa modifica, sono state rilasciate le raccomandazioni seguenti per la disponibilità generale e rinominate e sono ora incluse nel calcolo del punteggio di sicurezza:
| Nome della raccomandazione corrente | Nuovo nome di raccomandazione | Descrizione | Chiave di valutazione |
|---|---|---|---|
| Le immagini del registro contenitori devono avere i risultati della vulnerabilità risolti (basati su Gestione delle vulnerabilità di Microsoft Defender) | Le immagini del contenitore del registro di Azure devono avere vulnerabilità risolte (all’interno di Gestione delle vulnerabilità di Microsoft Defender) | Le valutazioni delle vulnerabilità dell'immagine del contenitore analizzano il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. La risoluzione delle vulnerabilità può migliorare notevolmente il comportamento di sicurezza, assicurandosi che le immagini siano sicure da usare prima della distribuzione. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| L'esecuzione di immagini del contenitore deve avere i risultati della vulnerabilità risolti (basati su Gestione delle vulnerabilità di Microsoft Defender) | Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate su Gestione delle vulnerabilità di Microsoft Defender | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente la superficie di attacco per i carichi di lavoro in contenitori. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
L'analisi delle immagini del contenitore basata su MDVM ora comporta anche addebiti in base ai prezzi del piano.
Nota
Le immagini analizzate sia dall'offerta di valutazione del contenitore basata su Qualys che dall'offerta contenitore VA basata su MDVM verranno fatturate una sola volta.
Le raccomandazioni qualys seguenti per la valutazione della vulnerabilità dei contenitori sono state rinominate e continueranno a essere disponibili per i clienti che hanno abilitato Defender per contenitori in una delle sottoscrizioni precedenti al 15 novembre. I nuovi clienti che eseguino l'onboarding di Defender per contenitori dopo il 15 novembre vedranno solo le nuove raccomandazioni di valutazione della vulnerabilità dei contenitori basate su Gestione delle vulnerabilità di Microsoft Defender.
| Nome della raccomandazione corrente | Nuovo nome di raccomandazione | Descrizione | Chiave di valutazione |
|---|---|---|---|
| Le immagini del registro contenitori devono avere i risultati della vulnerabilità risolti (basati su Qualys) | Le immagini del contenitore del Registro di sistema di Azure devono avere vulnerabilità risolte (basate su Qualys) | La valutazione delle vulnerabilità delle immagini del contenitore analizza il registro alla ricerca di vulnerabilità di sicurezza ed espone risultati dettagliati per ogni immagine. La risoluzione delle vulnerabilità può migliorare significativamente il comportamento di sicurezza dei contenitori e proteggerli dagli attacchi. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| L'esecuzione di immagini del contenitore deve avere i risultati della vulnerabilità risolti (basati su Qualys) | Le immagini dei contenitori in esecuzione in Azure devono avere vulnerabilità risolte( basate su Qualys) | La valutazione della vulnerabilità dell'immagine del contenitore analizza le immagini del contenitore in esecuzione nei cluster Kubernetes per individuare le vulnerabilità di sicurezza ed espone risultati dettagliati per ogni immagine. La risoluzione delle vulnerabilità può migliorare significativamente il comportamento di sicurezza dei contenitori e proteggerli dagli attacchi. | 41503391-efa5-47ee-9282-4eff6131462c |
Passare ai nomi delle raccomandazioni per le valutazioni delle vulnerabilità dei contenitori
Sono state rinominate le raccomandazioni seguenti relative alle valutazioni delle vulnerabilità dei contenitori:
| Nome della raccomandazione corrente | Nuovo nome di raccomandazione | Descrizione | Chiave di valutazione |
|---|---|---|---|
| Le immagini del registro contenitori devono avere i risultati della vulnerabilità risolti (basati su Qualys) | Le immagini del contenitore del Registro di sistema di Azure devono avere vulnerabilità risolte (basate su Qualys) | La valutazione delle vulnerabilità delle immagini del contenitore analizza il registro alla ricerca di vulnerabilità di sicurezza ed espone risultati dettagliati per ogni immagine. La risoluzione delle vulnerabilità può migliorare significativamente il comportamento di sicurezza dei contenitori e proteggerli dagli attacchi. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| L'esecuzione di immagini del contenitore deve avere i risultati della vulnerabilità risolti (basati su Qualys) | Le immagini dei contenitori in esecuzione in Azure devono avere vulnerabilità risolte( basate su Qualys) | La valutazione della vulnerabilità dell'immagine del contenitore analizza le immagini del contenitore in esecuzione nei cluster Kubernetes per individuare le vulnerabilità di sicurezza ed espone risultati dettagliati per ogni immagine. La risoluzione delle vulnerabilità può migliorare significativamente il comportamento di sicurezza dei contenitori e proteggerli dagli attacchi. | 41503391-efa5-47ee-9282-4eff6131462c |
| Le immagini del registro contenitori elastici devono avere i risultati della vulnerabilità risolti | Le immagini dei contenitori del registro AWS devono avere vulnerabilità risolte: (con tecnologia Trivy) | La valutazione delle vulnerabilità delle immagini del contenitore analizza il registro alla ricerca di vulnerabilità di sicurezza ed espone risultati dettagliati per ogni immagine. La risoluzione delle vulnerabilità può migliorare significativamente il comportamento di sicurezza dei contenitori e proteggerli dagli attacchi. | 03587042-5d4b-44ff-af42-ae99e3c71c87 |
La definizione delle priorità dei rischi è ora disponibile per le raccomandazioni
15 novembre 2023
È ora possibile classificare in ordine di priorità le raccomandazioni sulla sicurezza in base al livello di rischio che rappresentano, prendendo in considerazione sia l'exploitbilità che il potenziale effetto aziendale di ogni problema di sicurezza sottostante.
Organizzando le raccomandazioni in base al livello di rischio (critico, alto, medio, basso), è possibile affrontare i rischi più critici all'interno dell'ambiente e classificare in ordine di priorità in modo efficiente la correzione dei problemi di sicurezza in base al rischio effettivo, ad esempio l'esposizione a Internet, la riservatezza dei dati, le possibilità di spostamento laterale e i possibili percorsi di attacco che potrebbero essere mitigati risolvendo le raccomandazioni.
Altre informazioni sulla definizione delle priorità dei rischi.
Analisi del percorso di attacco nuovo motore e miglioramenti estesi
15 novembre 2023
Vengono rilasciati miglioramenti alle funzionalità di analisi del percorso di attacco in Defender per il cloud.
Nuovo motore: l'analisi del percorso di attacco ha un nuovo motore , che usa l'algoritmo di ricerca del percorso per rilevare ogni possibile percorso di attacco presente nell'ambiente cloud (in base ai dati presenti nel grafico). È possibile trovare molti altri percorsi di attacco nell'ambiente e rilevare modelli di attacco più complessi e sofisticati che gli utenti malintenzionati possono usare per violare l'organizzazione.
Miglioramenti : vengono rilasciati i miglioramenti seguenti:
- Definizione delle priorità dei rischi: elenco con priorità dei percorsi di attacco in base al rischio (exploitability & business affect).
- Correzione migliorata: individuando le raccomandazioni specifiche che devono essere risolte per interrompere effettivamente la catena.
- Percorsi di attacco tra cloud: rilevamento dei percorsi di attacco tra cloud (percorsi che iniziano in un cloud e terminano in un altro).
- MITRE : mapping di tutti i percorsi di attacco al framework MITRE.
- Esperienza utente aggiornata: esperienza aggiornata con funzionalità più avanzate: filtri avanzati, ricerca e raggruppamento di percorsi di attacco per consentire una valutazione più semplice.
Informazioni su come identificare e correggere i percorsi di attacco.
Modifiche allo schema di tabella di Azure Resource Graph del percorso di attacco
15 novembre 2023
Lo schema di tabella di Azure Resource Graph (ARG) del percorso di attacco viene aggiornato. La attackPathType proprietà viene rimossa e vengono aggiunte altre proprietà.
Versione di disponibilità generale del supporto GCP in Defender CSPM
15 novembre 2023
Viene annunciata la versione ga (disponibilità generale) del grafico contestuale della sicurezza cloud contestuale di Defender CSPM e l'analisi del percorso di attacco con supporto per le risorse GCP. È possibile applicare la potenza di Defender CSPM per la visibilità completa e la sicurezza del cloud intelligente tra le risorse GCP.
Le funzionalità principali del supporto GCP includono:
- Analisi del percorso di attacco: comprendere le potenziali route che potrebbero essere usate dagli utenti malintenzionati.
- Esplora sicurezza cloud: identificare in modo proattivo i rischi per la sicurezza eseguendo query basate su grafo nel grafico della sicurezza.
- Analisi senza agente: consente di analizzare i server e identificare segreti e vulnerabilità senza installare un agente.
- Comportamento di sicurezza compatibile con i dati: individuare e correggere i rischi per i dati sensibili nei bucket di Google Cloud Archiviazione.
Altre informazioni sulle opzioni di piano cspm di Defender.
Nota
La fatturazione per la versione disponibile a livello generale del supporto GCP in Defender CSPM inizierà il 1° febbraio 2024.
Versione di disponibilità generale del dashboard sicurezza dei dati
15 novembre 2023
Il dashboard di sicurezza dei dati è ora disponibile in Disponibilità generale (GA) come parte del piano CSPM di Defender.
Il dashboard sulla sicurezza dei dati consente di visualizzare il patrimonio di dati dell'organizzazione, i rischi per i dati sensibili e le informazioni dettagliate sulle risorse dei dati.
Altre informazioni sul dashboard di sicurezza dei dati.
Rilascio di disponibilità generale dell'individuazione dei dati sensibili per i database
15 novembre 2023
L'individuazione dei dati sensibili per i database gestiti, inclusi i database SQL di Azure e le istanze di AWS RDS (tutte le versioni RDBMS) è ora disponibile a livello generale e consente l'individuazione automatica dei database critici che contengono dati sensibili.
Per abilitare questa funzionalità in tutti gli archivi dati supportati negli ambienti, è necessario abilitare Sensitive data discovery in Defender CSPM. Informazioni su come abilitare l'individuazione dei dati sensibili in Defender CSPM.
È anche possibile scoprire come viene usata l'individuazione dei dati sensibili nel comportamento di sicurezza compatibile con i dati.
Annuncio di anteprima pubblica: nuova visibilità estesa sulla sicurezza dei dati multicloud in Microsoft Defender per il cloud.
La nuova versione della raccomandazione per trovare gli aggiornamenti di sistema mancanti è ora disponibile a livello generale
6 novembre 2023
Un agente aggiuntivo non è più necessario nelle macchine virtuali di Azure e nei computer Azure Arc per assicurarsi che i computer dispongano di tutti gli aggiornamenti di sistema critici o della sicurezza più recenti.
Il nuovo sistema aggiorna la raccomandazione, System updates should be installed on your machines (powered by Azure Update Manager) nel Apply system updates controllo, si basa su Gestione aggiornamenti ed è ora completamente disponibile a livello generale. La raccomandazione si basa su un agente nativo incorporato in ogni macchina virtuale di Azure e nei computer Azure Arc anziché in un agente installato. La correzione rapida nella nuova raccomandazione consente di passare a un'installazione unica degli aggiornamenti mancanti nel portale di Gestione aggiornamenti.
Le versioni precedenti e le nuove delle raccomandazioni per trovare gli aggiornamenti di sistema mancanti saranno entrambi disponibili fino ad agosto 2024, ovvero quando la versione precedente è deprecata. Entrambe le raccomandazioni: System updates should be installed on your machines (powered by Azure Update Manager)e System updates should be installed on your machines sono disponibili con lo stesso controllo: Apply system updates e hanno gli stessi risultati. Di conseguenza, non c'è duplicazione nell'effetto sul punteggio di sicurezza.
È consigliabile eseguire la migrazione alla nuova raccomandazione e rimuovere quella precedente disabilitandola dall'iniziativa predefinita di Defender per il cloud in Criteri di Azure.
La raccomandazione [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) è anche disponibile a livello generale ed è un prerequisito, che avrà un effetto negativo sul punteggio di sicurezza. È possibile correggere l'effetto negativo con la correzione disponibile.
Per applicare la nuova raccomandazione, è necessario:
- Connessione computer non Azure ad Arc.
- Attivare la proprietà di valutazione periodica. È possibile usare la correzione rapida nella nuova raccomandazione per
[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)correggere la raccomandazione.
Nota
L'abilitazione delle valutazioni periodiche per i computer con abilitazione di Arc che Defender per server piano 2 non è abilitata nella sottoscrizione o nel Connessione or correlato, è soggetta ai prezzi di Azure Update Manager. I computer con abilitazione di Arc che Defender per server piano 2 è abilitato nella sottoscrizione o nei Connessione or correlati o in qualsiasi macchina virtuale di Azure, sono idonei per questa funzionalità senza costi aggiuntivi.
Ottobre 2023
Modifica della gravità dell'avviso di sicurezza dei controlli applicazioni adattivi
Data annuncio: 30 ottobre 2023
Nell'ambito del processo di miglioramento della qualità degli avvisi di sicurezza di Defender per server e come parte della funzionalità dei controlli applicazioni adattivi, la gravità dell'avviso di sicurezza seguente cambia in "Informativo":
| Avviso [Tipo di avviso] | Descrizione avviso |
|---|---|
| È stata controllato la violazione dei criteri di controllo delle applicazioni adattivi. [VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] | Gli utenti seguenti hanno eseguito applicazioni che violano i criteri di controllo delle applicazioni dell'organizzazione in questo computer. Può esporre il computer a vulnerabilità malware o dell'applicazione. |
Per continuare a visualizzare questo avviso nella pagina "Avvisi di sicurezza" nel portale di Microsoft Defender per il cloud, modificare la gravità del filtro di visualizzazione predefinito in modo da includere gli avvisi informativi nella griglia.
Revisioni di Azure Gestione API offline rimosse da Defender per le API
25 ottobre 2023
Defender per LE API ha aggiornato il supporto per le revisioni dell'API Gestione API di Azure. Le revisioni offline non vengono più visualizzate nell'inventario di Defender per le API di cui è stato eseguito l'onboarding e non sembrano più essere caricate in Defender per le API. Le revisioni offline non consentono l'invio di traffico e non comportano alcun rischio dal punto di vista della sicurezza.
Raccomandazioni sulla gestione del comportamento di sicurezza DevOps disponibili nell'anteprima pubblica
19 ottobre 2023
Le nuove raccomandazioni per la gestione del comportamento devOps sono ora disponibili in anteprima pubblica per tutti i clienti con un connettore per Azure DevOps o GitHub. La gestione del comportamento devOps consente di ridurre la superficie di attacco degli ambienti DevOps individuando punti deboli nelle configurazioni di sicurezza e nei controlli di accesso. Altre informazioni sulla gestione del comportamento di DevOps.
Rilascio di CIS Azure Foundations Benchmark v2.0.0 nel dashboard di conformità alle normative
18 ottobre 2023
Microsoft Defender per il cloud ora supporta la versione più recente CIS Azure Security Foundations Benchmark - versione 2.0.0 nel dashboard conformità alle normative e un'iniziativa di criteri predefinita in Criteri di Azure. Il rilascio della versione 2.0.0 in Microsoft Defender per il cloud è uno sforzo collaborativo congiunto tra Microsoft, il Center for Internet Security (CIS) e le community degli utenti. La versione 2.0.0 espande significativamente l'ambito di valutazione, che ora include 90 criteri predefiniti di Azure e ha esito positivo nelle versioni precedenti 1.4.0 e 1.3.0 e 1.0 in Microsoft Defender per il cloud e Criteri di Azure. Per altre informazioni, è possibile consultare questo post di blog.
Passaggi successivi
Per le modifiche precedenti alle Defender per il cloud, vedere Archiviare le novità di Defender per il cloud?.