Share via


Microsoft Defender voor Cloud gegevensbeveiliging

Om klanten te helpen bedreigingen te voorkomen, te detecteren en erop te reageren, verzamelt en verwerkt Microsoft Defender voor Cloud beveiligingsgegevens, waaronder configuratiegegevens, metagegevens, gebeurtenislogboeken en meer. Microsoft voldoet aan strikte nalevings- en beveiligingsrichtlijnen - van het schrijven van code tot de uitvoering van een service.

In dit artikel wordt uitgelegd hoe gegevens worden beheerd en beveiligd in Defender voor Cloud.

Gegevensbronnen

Defender voor Cloud analyseert gegevens uit de volgende bronnen om inzicht te krijgen in uw beveiligingsstatus, beveiligingsproblemen te identificeren en oplossingen aan te bevelen en actieve bedreigingen te detecteren:

  • Azure-services: gebruikt informatie over de configuratie van Azure-services die u hebt geïmplementeerd door te communiceren met de resourceprovider van die service.
  • Netwerkverkeer: maakt gebruik van metagegevens van voorbeeldnetwerkverkeer van de infrastructuur van Microsoft, zoals bron-/doel-IP/poort, pakketgrootte en netwerkprotocol.
  • Partneroplossingen: maakt gebruik van beveiligingswaarschuwingen van geïntegreerde partneroplossingen, zoals firewalls en antimalwareoplossingen.
  • Uw machines: gebruikt configuratiegegevens en informatie over beveiligingsgebeurtenissen, zoals Windows-gebeurtenis- en auditlogboeken en syslog-berichten van uw computers.

Delen van gegevens

Wanneer u Defender for Storage Malware Scanning inschakelt, kunnen metagegevens worden gedeeld, inclusief metagegevens die zijn geclassificeerd als klantgegevens (bijvoorbeeld SHA-256-hash), met Microsoft Defender voor Eindpunt.

Microsoft Defender voor Cloud het Defender voor Cloud CSPM-plan (Security Posture Management) uitvoert, worden gegevens gedeeld die zijn geïntegreerd in aanbevelingen van Microsoft Security Exposure Management.

Notitie

Microsoft Security Exposure Management is momenteel beschikbaar als openbare preview.

Gegevensbescherming

Gegevensscheiding

Gegevens worden op een logische manier apart van elkaar gehouden, in elk onderdeel van de service. Alle gegevens worden gemarkeerd per organisatie. Deze tagging blijft behouden gedurende de levenscyclus van gegevens en wordt afgedwongen op elke laag van de service.

Toegang tot gegevens

Om beveiligingsaanbevelingen te bieden en mogelijke beveiligingsrisico's te onderzoeken, kunnen Microsoft-medewerkers toegang krijgen tot gegevens die zijn verzameld of geanalyseerd door Azure-services, waaronder procesaanmaakgebeurtenissen en andere artefacten, die onbedoeld klantgegevens of persoonlijke gegevens van uw machines bevatten.

We houden ons aan de Microsoft Online Services Data Protection Addendum, waarin wordt aangegeven dat Microsoft geen klantgegevens gebruikt of informatie ervan afleidt voor reclame- of vergelijkbare commerciële doeleinden. We gebruiken klantgegevens alleen indien nodig om u Azure-services te bieden, met inbegrip van doeleinden die compatibel zijn met het leveren van die services. U behoudt alle rechten op de klantgegevens.

Gegevensgebruik

Microsoft gebruikt informatie over patronen en bedreigingen die worden gezien tussen meerdere tenants voor het verbeteren van onze mogelijkheden voor voorkoming en detectie; wij doen dit in overeenstemming met de privacyverplichtingen beschreven in onze Privacyverklaring.

Gegevensverzameling van computers beheren

Wanneer u Defender voor Cloud inschakelt in Azure, wordt gegevensverzameling ingeschakeld voor elk van uw Azure-abonnementen. U kunt gegevensverzameling ook inschakelen voor uw abonnementen in Defender voor Cloud. Wanneer gegevensverzameling is ingeschakeld, Defender voor Cloud de Log Analytics-agent inrichten op alle bestaande ondersteunde virtuele Azure-machines en nieuwe machines die worden gemaakt.

De Log Analytics-agent scant op verschillende aan beveiliging gerelateerde configuraties en legt gebeurtenissen vast in Event Tracing for Windows-traceringen (ETW). Bovendien genereert het besturingssysteem gebeurtenissen in het gebeurtenislogboek tijdens het uitvoeren van de machine. Voorbeelden van dergelijke gegevens zijn: besturingssysteemtype en -versie, besturingssysteemlogboeken (Windows-gebeurtenislogboeken), actieve processen, computernaam, IP-adressen, aangemelde gebruiker en tenant-ID. De Log Analytics-agent leest vermeldingen in gebeurtenislogboeken en ETW-traceringen en kopieert deze voor analyse naar uw werkruimte(n). De Log Analytics-agent schakelt ook procesgebeurtenissen en controle van de opdrachtregel in.

Als u de verbeterde beveiligingsfuncties van Microsoft Defender voor Cloud niet gebruikt, kunt u ook het verzamelen van gegevens uitschakelen van virtuele machines in het beveiligingsbeleid. Gegevensverzameling is vereist voor abonnementen die worden beveiligd door verbeterde beveiligingsfuncties. De verzameling van momentopnamen en artefacten voor de VM-schijf is nog steeds ingeschakeld, zelfs als het verzamelen van gegevens is uitgeschakeld.

U kunt de werkruimte en de regio opgeven waar de gegevens die van uw computers worden verzameld, worden opgeslagen. De standaardinstelling is om gegevens op te slaan die zijn verzameld van uw computers in de dichtstbijzijnde werkruimte, zoals wordt weergegeven in de volgende tabel:

Geografisch gebied van virtuele machine Geografisch gebied van werkruimte
Verenigde Staten, Brazilië, Zuid-Afrika Verenigde Staten
Canada Canada
Europa (exclusief Verenigd Koninkrijk) Europa
Verenigd Koninkrijk Verenigd Koninkrijk
Azië (met uitzondering van India, Japan, Korea, China) Azië en Stille Oceaan
Zuid-Korea Azië en Stille Oceaan
India India
Japan Japan
China China
Australië Australië

Notitie

In Microsoft Defender voor Storage worden artefacten regionaal opgeslagen op basis van de locatie van de gerelateerde Azure-resource. Meer informatie vindt u in Overzicht van Microsoft Defender for Storage.

Gegevensverbruik

Klanten hebben toegang tot Defender voor Cloud gerelateerde gegevens uit de volgende gegevensstromen:

Stream Data types
Azure-activiteitenlogboek Alle beveiligingswaarschuwingen, goedgekeurd Defender voor Cloud Just-In-Time-toegangsaanvragen.
Azure Monitor-logboeken Alle beveiligingswaarschuwingen.
Azure Resource Graph Beveiligingswaarschuwingen en -aanbevelingen, resultaten van evaluatie van beveiligingsproblemen, informatie over de beveiligingsscores, status van nalevingscontroles, en meer.
REST API voor Microsoft Defender for Cloud Beveiligingswaarschuwingen en -aanbevelingen, en meer.

Notitie

Als er geen Defender-abonnementen zijn ingeschakeld voor het abonnement, worden gegevens na 30 dagen inactiviteit uit Azure Resource Graph verwijderd in de Microsoft Defender voor Cloud-portal. Na interactie met artefacten in de portal met betrekking tot het abonnement, moeten de gegevens binnen 24 uur weer zichtbaar zijn.

Gegevensretentie

Wanneer de cloudbeveiligingsgrafiek gegevens verzamelt uit Azure- en multicloudomgevingen en andere gegevensbronnen, worden de gegevens gedurende een periode van 14 dagen bewaard. Na 14 dagen worden de gegevens verwijderd.

Berekende gegevens, zoals aanvalspaden, kunnen nog 14 dagen worden bewaard. Berekende gegevens bestaan uit gegevens die zijn afgeleid van de onbewerkte gegevens die zijn verzameld uit de omgeving. Het aanvalspad wordt bijvoorbeeld afgeleid van de onbewerkte gegevens die zijn verzameld uit de omgeving.

Deze informatie wordt verzameld in overeenstemming met de privacyverplichtingen die worden beschreven in onze Privacyverklaring.

integratie van Defender voor Cloud en Microsoft Defender 365 Defender

Wanneer u een van de betaalde abonnementen van Defender voor Cloud inschakelt, krijgt u automatisch alle voordelen van Microsoft Defender XDR. Informatie van Defender voor Cloud wordt gedeeld met Microsoft Defender XDR. Deze gegevens kunnen klantgegevens bevatten en worden opgeslagen volgens de richtlijnen voor gegevensverwerking van Microsoft 365.