Microsoft Defender voor Cloud gegevensbeveiliging
Om klanten te helpen bedreigingen te voorkomen, te detecteren en erop te reageren, verzamelt en verwerkt Microsoft Defender voor Cloud beveiligingsgegevens, waaronder configuratiegegevens, metagegevens, gebeurtenislogboeken en meer. Microsoft voldoet aan strikte nalevings- en beveiligingsrichtlijnen - van het schrijven van code tot de uitvoering van een service.
In dit artikel wordt uitgelegd hoe gegevens worden beheerd en beveiligd in Defender voor Cloud.
Gegevensbronnen
Defender voor Cloud analyseert gegevens uit de volgende bronnen om inzicht te krijgen in uw beveiligingsstatus, beveiligingsproblemen te identificeren en oplossingen aan te bevelen en actieve bedreigingen te detecteren:
- Azure-services: gebruikt informatie over de configuratie van Azure-services die u hebt geïmplementeerd door te communiceren met de resourceprovider van die service.
- Netwerkverkeer: maakt gebruik van metagegevens van voorbeeldnetwerkverkeer van de infrastructuur van Microsoft, zoals bron-/doel-IP/poort, pakketgrootte en netwerkprotocol.
- Partneroplossingen: maakt gebruik van beveiligingswaarschuwingen van geïntegreerde partneroplossingen, zoals firewalls en antimalwareoplossingen.
- Uw machines: gebruikt configuratiegegevens en informatie over beveiligingsgebeurtenissen, zoals Windows-gebeurtenis- en auditlogboeken en syslog-berichten van uw computers.
Delen van gegevens
Wanneer u Defender for Storage Malware Scanning inschakelt, kunnen metagegevens worden gedeeld, inclusief metagegevens die zijn geclassificeerd als klantgegevens (bijvoorbeeld SHA-256-hash), met Microsoft Defender voor Eindpunt.
Microsoft Defender voor Cloud het Defender voor Cloud CSPM-plan (Security Posture Management) uitvoert, worden gegevens gedeeld die zijn geïntegreerd in aanbevelingen van Microsoft Security Exposure Management.
Notitie
Microsoft Security Exposure Management is momenteel beschikbaar als openbare preview.
Gegevensbescherming
Gegevensscheiding
Gegevens worden op een logische manier apart van elkaar gehouden, in elk onderdeel van de service. Alle gegevens worden gemarkeerd per organisatie. Deze tagging blijft behouden gedurende de levenscyclus van gegevens en wordt afgedwongen op elke laag van de service.
Toegang tot gegevens
Om beveiligingsaanbevelingen te bieden en mogelijke beveiligingsrisico's te onderzoeken, kunnen Microsoft-medewerkers toegang krijgen tot gegevens die zijn verzameld of geanalyseerd door Azure-services, waaronder procesaanmaakgebeurtenissen en andere artefacten, die onbedoeld klantgegevens of persoonlijke gegevens van uw machines bevatten.
We houden ons aan de Microsoft Online Services Data Protection Addendum, waarin wordt aangegeven dat Microsoft geen klantgegevens gebruikt of informatie ervan afleidt voor reclame- of vergelijkbare commerciële doeleinden. We gebruiken klantgegevens alleen indien nodig om u Azure-services te bieden, met inbegrip van doeleinden die compatibel zijn met het leveren van die services. U behoudt alle rechten op de klantgegevens.
Gegevensgebruik
Microsoft gebruikt informatie over patronen en bedreigingen die worden gezien tussen meerdere tenants voor het verbeteren van onze mogelijkheden voor voorkoming en detectie; wij doen dit in overeenstemming met de privacyverplichtingen beschreven in onze Privacyverklaring.
Gegevensverzameling van computers beheren
Wanneer u Defender voor Cloud inschakelt in Azure, wordt gegevensverzameling ingeschakeld voor elk van uw Azure-abonnementen. U kunt gegevensverzameling ook inschakelen voor uw abonnementen in Defender voor Cloud. Wanneer gegevensverzameling is ingeschakeld, Defender voor Cloud de Log Analytics-agent inrichten op alle bestaande ondersteunde virtuele Azure-machines en nieuwe machines die worden gemaakt.
De Log Analytics-agent scant op verschillende aan beveiliging gerelateerde configuraties en legt gebeurtenissen vast in Event Tracing for Windows-traceringen (ETW). Bovendien genereert het besturingssysteem gebeurtenissen in het gebeurtenislogboek tijdens het uitvoeren van de machine. Voorbeelden van dergelijke gegevens zijn: besturingssysteemtype en -versie, besturingssysteemlogboeken (Windows-gebeurtenislogboeken), actieve processen, computernaam, IP-adressen, aangemelde gebruiker en tenant-ID. De Log Analytics-agent leest vermeldingen in gebeurtenislogboeken en ETW-traceringen en kopieert deze voor analyse naar uw werkruimte(n). De Log Analytics-agent schakelt ook procesgebeurtenissen en controle van de opdrachtregel in.
Als u de verbeterde beveiligingsfuncties van Microsoft Defender voor Cloud niet gebruikt, kunt u ook het verzamelen van gegevens uitschakelen van virtuele machines in het beveiligingsbeleid. Gegevensverzameling is vereist voor abonnementen die worden beveiligd door verbeterde beveiligingsfuncties. De verzameling van momentopnamen en artefacten voor de VM-schijf is nog steeds ingeschakeld, zelfs als het verzamelen van gegevens is uitgeschakeld.
U kunt de werkruimte en de regio opgeven waar de gegevens die van uw computers worden verzameld, worden opgeslagen. De standaardinstelling is om gegevens op te slaan die zijn verzameld van uw computers in de dichtstbijzijnde werkruimte, zoals wordt weergegeven in de volgende tabel:
| Geografisch gebied van virtuele machine | Geografisch gebied van werkruimte |
|---|---|
| Verenigde Staten, Brazilië, Zuid-Afrika | Verenigde Staten |
| Canada | Canada |
| Europa (exclusief Verenigd Koninkrijk) | Europa |
| Verenigd Koninkrijk | Verenigd Koninkrijk |
| Azië (met uitzondering van India, Japan, Korea, China) | Azië en Stille Oceaan |
| Zuid-Korea | Azië en Stille Oceaan |
| India | India |
| Japan | Japan |
| China | China |
| Australië | Australië |
Notitie
In Microsoft Defender voor Storage worden artefacten regionaal opgeslagen op basis van de locatie van de gerelateerde Azure-resource. Meer informatie vindt u in Overzicht van Microsoft Defender for Storage.
Gegevensverbruik
Klanten hebben toegang tot Defender voor Cloud gerelateerde gegevens uit de volgende gegevensstromen:
| Stream | Data types |
|---|---|
| Azure-activiteitenlogboek | Alle beveiligingswaarschuwingen, goedgekeurde Defender voor Cloud Just-In-Time-toegangsaanvragen en alle waarschuwingen die worden gegenereerd door adaptieve toepassingsregelaars. |
| Azure Monitor-logboeken | Alle beveiligingswaarschuwingen. |
| Azure Resource Graph | Beveiligingswaarschuwingen en -aanbevelingen, resultaten van evaluatie van beveiligingsproblemen, informatie over de beveiligingsscores, status van nalevingscontroles, en meer. |
| REST API voor Microsoft Defender for Cloud | Beveiligingswaarschuwingen en -aanbevelingen, en meer. |
Notitie
Als er geen Defender-abonnementen zijn ingeschakeld voor het abonnement, worden gegevens na 30 dagen inactiviteit uit Azure Resource Graph verwijderd in de Microsoft Defender voor Cloud-portal. Na interactie met artefacten in de portal met betrekking tot het abonnement, moeten de gegevens binnen 24 uur weer zichtbaar zijn.
integratie van Defender voor Cloud en Microsoft Defender 365 Defender
Wanneer u een van de betaalde abonnementen van Defender voor Cloud inschakelt, krijgt u automatisch alle voordelen van Microsoft Defender XDR. Informatie van Defender voor Cloud wordt gedeeld met Microsoft Defender XDR. Deze gegevens kunnen klantgegevens bevatten en worden opgeslagen volgens de richtlijnen voor gegevensverwerking van Microsoft 365.
Volgende stappen
In dit document hebt u geleerd hoe gegevens worden beheerd en beveiligd in Microsoft Defender voor Cloud.
Zie Wat is Microsoft Defender voor Cloud voor meer informatie over Microsoft Defender voor Cloud.