Wat is er nieuw in Microsoft Defender for Cloud?

Defender for Cloud is actief in ontwikkeling en ontvangt voortdurend verbeteringen. Om u op de hoogte te houden van de nieuwste ontwikkelingen, biedt deze pagina u informatie over nieuwe functies, opgeloste fouten en afgeschafte functionaliteit.

Deze pagina wordt regelmatig bijgewerkt met de nieuwste updates in Defender voor Cloud.

Tip

ontvang een melding wanneer deze pagina wordt bijgewerkt door de volgende URL in uw feedlezer te kopiëren en plakken:

https://aka.ms/mdc/rss

Zie Belangrijke aanstaande wijzigingen in Microsoft Defender voor Cloud voor meer informatie over geplande wijzigingen die binnenkort beschikbaar zijn voor Defender voor Cloud.

Als u op zoek bent naar items die ouder zijn dan zes maanden, kunt u deze vinden in Archief voor Nieuw in Microsoft Defender voor Cloud.

september 2023

Date Bijwerken
21 september Preview-versie: Nieuw proces voor automatische inrichting voor SQL Server op computers
20 september GitHub Advanced Security voor Azure DevOps-waarschuwingen in Defender voor Cloud
11 september Vrijgestelde functionaliteit is nu beschikbaar voor aanbevelingen voor Defender voor API's
11 september Voorbeeldwaarschuwingen maken voor detecties van Defender voor API's
6 september Preview-versie: Evaluatie van beveiligingsproblemen in containers mogelijk gemaakt door Microsoft Defender Vulnerability Management ondersteunt nu scannen op pull
6 september Naamgevingsindeling van CIS-standaarden (Center for Internet Security) bijgewerkt in naleving van regelgeving
5 september Detectie van gevoelige gegevens voor PaaS-databases (preview)
1 september Algemene beschikbaarheid (GA): malware scannen in Defender for Storage

Preview-versie: Nieuw proces voor automatische inrichting voor SQL Server op computers

dinsdag 21 september 2023

Microsoft Monitoring Agent (MMA) wordt in augustus 2024 afgeschaft. Defender voor Cloud heeft de strategie bijgewerkt door MMA te vervangen door de release van een SQL Server gericht proces voor automatische inrichting van de Azure Monitoring Agent.

Tijdens de preview wordt klanten die gebruikmaken van het MMA-proces voor automatische inrichting met Azure Monitor Agent (preview) gevraagd om te migreren naar het nieuwe proces voor automatische inrichting van Azure Monitoring Agent voor SQL Server op machines (preview). Het migratieproces verloopt naadloos en biedt continue beveiliging voor alle machines.

Zie Het proces voor automatische inrichting van Azure Monitoring Agent migreren naar sql-server voor meer informatie.

GitHub Advanced Security voor Azure DevOps-waarschuwingen in Defender voor Cloud

dinsdag 21 september 2023

U kunt nu GitHub Advanced Security weergeven voor GHAzDO-waarschuwingen (Azure DevOps) met betrekking tot CodeQL, geheimen en afhankelijkheden in Defender for Cloud. De resultaten worden weergegeven op de blade DevOps en in Aanbevelingen. Als u deze resultaten wilt zien, onboardt u uw opslagplaatsen met GHAzDO in Defender for Cloud.

Meer informatie over GitHub Advanced Security voor Azure DevOps.

Vrijgestelde functionaliteit is nu beschikbaar voor aanbevelingen voor Defender voor API's

dinsdag 11 september 2023

U kunt nu aanbevelingen uitsluiten voor de volgende beveiligingsaanbevelingen voor Defender voor API's.

Aanbeveling Beschrijving & gerelateerd beleid Ernst
(Preview) API-eindpunten die niet worden gebruikt, moeten worden uitgeschakeld en verwijderd uit de Azure API Management-service Als best practice voor beveiliging worden API-eindpunten die al 30 dagen geen verkeer hebben ontvangen, beschouwd als ongebruikt en moeten ze worden verwijderd uit de Azure API Management-service. Het bewaren van ongebruikte API-eindpunten kan een beveiligingsrisico vormen. Dit kunnen API's zijn die moeten worden afgeschaft in de Azure API Management-service, maar die per ongeluk actief zijn gelaten. Dergelijke API's ontvangen doorgaans niet de meest recente beveiligingsdekking. Beperkt
(Preview) API-eindpunten in Azure API Management moeten worden geverifieerd API-eindpunten die zijn gepubliceerd in Azure API Management moeten verificatie afdwingen om beveiligingsrisico's te minimaliseren. Verificatiemechanismen worden soms onjuist geïmplementeerd of ontbreken. Hierdoor kunnen aanvallers misbruik maken van implementatiefouten en toegang krijgen tot gegevens. Voor API's die zijn gepubliceerd in Azure API Management, beoordeelt deze aanbeveling de uitvoering van verificatie via de abonnementssleutels, JWT en clientcertificaat die zijn geconfigureerd in Azure API Management. Als geen van deze verificatiemechanismen wordt uitgevoerd tijdens de API-aanroep, ontvangt de API deze aanbeveling. Hoog

Meer informatie over het uitsluiten van aanbevelingen in Defender voor Cloud.

Voorbeeldwaarschuwingen maken voor detecties van Defender voor API's

dinsdag 11 september 2023

U kunt nu voorbeeldwaarschuwingen genereren voor de beveiligingsdetecties die zijn uitgebracht als onderdeel van de openbare preview-versie van Defender voor API's. Meer informatie over het genereren van voorbeeldwaarschuwingen in Defender voor Cloud.

Preview-versie: Evaluatie van beveiligingsproblemen in containers mogelijk gemaakt door Microsoft Defender Vulnerability Management ondersteunt nu scannen op pull

dinsdag 6 september 2023

Evaluatie van beveiligingsproblemen in containers, mogelijk gemaakt door Microsoft Defender Vulnerability Management (MDVM), ondersteunt nu een extra trigger voor het scannen van installatiekopieën die zijn opgehaald uit een ACR. Deze zojuist toegevoegde trigger biedt extra dekking voor actieve afbeeldingen, naast de bestaande triggers die afbeeldingen scannen die in de afgelopen 90 dagen naar een ACR zijn gepusht en afbeeldingen die momenteel worden uitgevoerd in AKS.

De nieuwe trigger wordt vandaag geïmplementeerd en is naar verwachting eind september beschikbaar voor alle klanten.

Zie Evaluatie van beveiligingsproblemen met containers mogelijk gemaakt door MDVM voor meer informatie

Naamgevingsindeling van CIS-standaarden (Center for Internet Security) bijgewerkt in naleving van regelgeving

dinsdag 6 september 2023

De naamgevingsindeling van basisbenchmarks voor CIS (Center for Internet Security) in het nalevingsdashboard is gewijzigd van [Cloud] CIS [version number] in CIS [Cloud] Foundations v[version number]. Raadpleeg de volgende tabel:

Huidige naam Nieuwe naam
Azure CIS 1.1.0 CIS Azure Foundations v1.1.0
Azure CIS 1.3.0 CIS Azure Foundations v1.3.0
Azure CIS 1.4.0 CIS Azure Foundations v1.4.0
AWS CIS 1.2.0 CIS AWS Foundations v1.2.0
AWS CIS 1.5.0 CIS AWS Foundations v1.5.0
GCP CIS 1.1.0 CIS GCP Foundations v1.1.0
GCP CIS 1.2.0 CIS GCP Foundations v1.2.0

Meer informatie over het verbeteren van uw naleving van regelgeving.

Detectie van gevoelige gegevens voor PaaS-databases (preview)

dinsdag 5 september 2023

Gegevensbewuste beveiligingspostuurmogelijkheden voor frictieloze detectie van gevoelige gegevens voor PaaS-databases (Azure SQL databases en Amazon RDS-exemplaren van elk type) zijn nu beschikbaar als openbare preview. Met deze openbare preview-versie kunt u een kaart maken van uw kritieke gegevens, waar deze zich ook bevinden en het type gegevens dat zich in die databases bevindt.

Detectie van gevoelige gegevens voor Azure- en AWS-databases, voegt toe aan de gedeelde taxonomie en configuratie, die al openbaar beschikbaar is voor cloudobjectopslagresources (Azure Blob Storage, AWS S3-buckets en GCP-opslagbuckets) en biedt één configuratie- en activeringservaring.

Databases worden wekelijks gescand. Als u inschakelt sensitive data discovery, wordt detectie binnen 24 uur uitgevoerd. De resultaten kunnen worden weergegeven in Cloud Security Explorer of door de nieuwe aanvalspaden voor beheerde databases met gevoelige gegevens te bekijken.

Gegevensbewuste beveiligingspostuur voor databases is beschikbaar via het Defender CSPM-abonnement en wordt automatisch ingeschakeld voor abonnementen waarbij sensitive data discovery optie is ingeschakeld.

Meer informatie over gegevensbewuste beveiligingspostuur vindt u in de volgende artikelen:

Algemene beschikbaarheid (GA): scannen van malware in Defender for Storage

dinsdag 1 september 2023

Malwarescans zijn nu algemeen beschikbaar (GA) als een invoegtoepassing voor Defender for Storage. Het scannen van malware in Defender for Storage helpt uw opslagaccounts te beschermen tegen schadelijke inhoud door een volledige malwarescan uit te voeren op geüploade inhoud in bijna realtime, met behulp van Microsoft Defender Antivirus-mogelijkheden. Het is ontworpen om te voldoen aan beveiligings- en nalevingsvereisten voor het verwerken van niet-vertrouwde inhoud. De scanfunctie voor malware is een SaaS-oplossing zonder agent die installatie op schaal mogelijk maakt en ondersteuning biedt voor het automatiseren van reacties op schaal.

Meer informatie over het scannen van malware in Defender for Storage.

Het scannen van malware is afhankelijk van uw dataverbruik en budget. De facturering begint op 3 september 2023. Ga naar de pagina met prijzen voor meer informatie.

Als u het vorige abonnement gebruikt (nu hernoemd tot 'Microsoft Defender voor Opslag (klassiek)'), moet u proactief migreren naar het nieuwe plan om malwarescans in te schakelen.

Lees het blogbericht Microsoft Defender for Cloud-aankondiging.

augustus 2023

De updates in augustus zijn onder meer:

Date Bijwerken
30 augustus Defender voor containers: detectie zonder agent voor Kubernetes
22 augustus Aanbevelingsrelease: Microsoft Defender voor Storage moet zijn ingeschakeld met malwarescans en detectie van bedreigingen voor gevoelige gegevens
17 augustus Uitgebreide eigenschappen in Defender for Cloud-beveiligingswaarschuwingen worden gemaskeerd vanuit activiteitenlogboeken
15 augustus Preview-versie van GCP-ondersteuning in Defender CSPM
7 augustus Nieuwe beveiligingswaarschuwingen in Defender voor Servers Plan 2: Potentiële aanvallen detecteren die misbruik maken van extensies van virtuele Azure-machines
1 augustus Bedrijfsmodel- en prijsupdates voor Defender for Cloud-abonnementen

Defender for Containers: detectie zonder agent voor Kubernetes

dinsdag 30 augustus 2023

We maken graag kennis met Defender for Containers: detectie zonder agent voor Kubernetes. Deze release markeert een belangrijke stap voorwaarts op het gebied van containerbeveiliging en biedt u geavanceerde inzichten en uitgebreide inventarismogelijkheden voor Kubernetes-omgevingen. De nieuwe container wordt mogelijk gemaakt door de contextuele beveiligingsgrafiek van Defender for Cloud. Dit is wat u kunt verwachten van deze nieuwste update:

  • Kubernetes-detectie zonder agent
  • Uitgebreide inventarismogelijkheden
  • Kubernetes-specifieke beveiligings-inzichten
  • Verbeterde opsporing van risico's met Cloud Security Explorer

Detectie zonder agent voor Kubernetes is nu beschikbaar voor alle Defender for Containers-klanten. U kunt deze geavanceerde mogelijkheden vandaag nog gaan gebruiken. We raden u aan uw abonnementen bij te werken om de volledige set extensies in te schakelen en te profiteren van de nieuwste toevoegingen en functies. Ga naar het deelvenster Omgeving en instellingen van uw Defender for Containers-abonnement om de extensie in te schakelen.

Notitie

Het inschakelen van de nieuwste toevoegingen brengt geen nieuwe kosten met zich mee voor actieve Defender for Containers-klanten.

Zie Detectie zonder agent voor Kubernetes voor meer informatie.

Aanbevelingsrelease: Microsoft Defender voor Storage moet zijn ingeschakeld met malwarescans en detectie van bedreigingen voor gevoelige gegevens

dinsdag 22 augustus 2023

Er is een nieuwe aanbeveling in Defender for Storage uitgebracht. Deze aanbeveling zorgt ervoor dat Defender voor Opslag is ingeschakeld op abonnementsniveau met mogelijkheden voor het scannen van malware en detectie van bedreigingen voor gevoelige gegevens.

Aanbeveling Beschrijving
Microsoft Defender for Storage moet worden ingeschakeld met malwarescans en detectie van bedreigingen voor gevoelige gegevens Microsoft Defender for Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Het helpt de drie grote gevolgen voor uw gegevens en workload te voorkomen: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat het scannen van malware en detectie van bedreigingen voor gevoelige gegevens. Dit abonnement biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. Met een eenvoudige configuratie zonder agent op schaal, wanneer deze is ingeschakeld op abonnementsniveau, worden alle bestaande en nieuw gemaakte opslagaccounts onder dat abonnement automatisch beveiligd. U kunt ook specifieke opslagaccounts uitsluiten van beveiligde abonnementen.

Deze nieuwe aanbeveling vervangt de huidige aanbeveling Microsoft Defender for Storage should be enabled (evaluatiesleutel 1be22853-8ed1-4005-9907-ddad64cb1417). Deze aanbeveling is echter nog steeds beschikbaar in Azure Government clouds.

Meer informatie over Microsoft Defender voor Opslag.

Uitgebreide eigenschappen in Defender for Cloud-beveiligingswaarschuwingen worden gemaskeerd vanuit activiteitenlogboeken

dinsdag 17 augustus 2023

We hebben onlangs de manier gewijzigd waarop beveiligingswaarschuwingen en activiteitenlogboeken worden geïntegreerd. Om gevoelige klantgegevens beter te beschermen, nemen we deze informatie niet meer op in activiteitenlogboeken. In plaats daarvan maskeren we het met sterretjes. Deze informatie is echter nog steeds beschikbaar via de waarschuwingen-API, continue export en de Defender for Cloud-portal.

Klanten die afhankelijk zijn van activiteitenlogboeken voor het exporteren van waarschuwingen naar hun SIEM-oplossingen, moeten overwegen een andere oplossing te gebruiken, omdat dit niet de aanbevolen methode is voor het exporteren van Defender for Cloud-beveiligingswaarschuwingen.

Zie Waarschuwingen streamen naar een SIEM-, SOAR- of IT-servicebeheeroplossing voor instructies over het exporteren van Defender for Cloud-beveiligingswaarschuwingen naar SIEM, SOAR en andere toepassingen van derden.

Preview-versie van GCP-ondersteuning in Defender CSPM

dinsdag 15 augustus 2023

We kondigen de preview-versie aan van de Defender CSPM contextuele cloudbeveiligingsgrafiek en aanvalspadanalyse met ondersteuning voor GCP-resources. U kunt de kracht van Defender CSPM toepassen voor uitgebreide zichtbaarheid en intelligente cloudbeveiliging in GCP-resources.

De belangrijkste functies van onze GCP-ondersteuning zijn:

  • Analyse van aanvalspaden : inzicht in de mogelijke routes die aanvallers kunnen nemen.
  • Cloud Security Explorer : identificeer proactief beveiligingsrisico's door query's op basis van grafieken uit te voeren op de beveiligingsgrafiek.
  • Scannen zonder agent: scan servers en identificeer geheimen en beveiligingsproblemen zonder een agent te installeren.
  • Gegevensbewuste beveiligingspostuur : risico's voor gevoelige gegevens in Google Cloud Storage-buckets detecteren en oplossen.

Meer informatie over Defender CSPM-abonnementsopties.

Nieuwe beveiligingswaarschuwingen in Defender voor Servers Plan 2: Potentiële aanvallen detecteren die misbruik maken van extensies van virtuele Azure-machines

dinsdag 7 augustus 2023

Deze nieuwe reeks waarschuwingen is gericht op het detecteren van verdachte activiteiten van extensies van virtuele Azure-machines en biedt inzicht in pogingen van aanvallers om inbreuk te maken op en schadelijke activiteiten uit te voeren op uw virtuele machines.

Microsoft Defender voor servers kunnen nu verdachte activiteiten van de extensies van de virtuele machines detecteren, zodat u een betere dekking van de beveiliging van workloads krijgt.

Extensies voor virtuele Azure-machines zijn kleine toepassingen die na de implementatie op virtuele machines worden uitgevoerd en mogelijkheden bieden zoals configuratie, automatisering, bewaking, beveiliging en meer. Hoewel extensies een krachtig hulpprogramma zijn, kunnen ze door bedreigingsactoren worden gebruikt voor verschillende schadelijke bedoelingen, bijvoorbeeld:

  • Gegevensverzameling en -bewaking
  • Code-uitvoering en configuratie-implementatie met hoge bevoegdheden
  • Referenties opnieuw instellen en gebruikers met beheerdersrechten maken
  • Schijven versleutelen

Hier volgt een tabel met de nieuwe waarschuwingen.

Waarschuwing (waarschuwingstype) Beschrijving MITRE-tactieken Ernst
Verdachte fout bij het installeren van de GPU-extensie in uw abonnement (preview)
(VM_GPUExtensionSuspiciousFailure)
Verdachte intentie van het installeren van een GPU-extensie op niet-ondersteunde VM's. Deze extensie moet worden geïnstalleerd op virtuele machines die zijn uitgerust met een grafische processor, en in dit geval zijn de virtuele machines niet uitgerust met een dergelijke. Deze fouten kunnen worden gezien wanneer kwaadwillende aanvallers meerdere installaties van een dergelijke extensie uitvoeren voor crypto-mining-doeleinden. Impact Normaal
Verdachte installatie van een GPU-extensie is gedetecteerd op uw virtuele machine (preview)
(VM_GPUDriverExtensionUnusualExecution)
Deze waarschuwing is uitgebracht in juli 2023.
Verdachte installatie van een GPU-extensie is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de extensie van het GPU-stuurprogramma gebruiken om GPU-stuurprogramma's op uw virtuele machine te installeren via de Azure Resource Manager om cryptojacking uit te voeren. Deze activiteit wordt als verdacht beschouwd omdat het gedrag van de principal afwijkt van de gebruikelijke patronen. Impact Beperkt
Opdracht uitvoeren met een verdacht script gedetecteerd op uw virtuele machine (preview)
(VM_RunCommandSuspiciousScript)
Er is een Opdracht uitvoeren met een verdacht script gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen opdracht uitvoeren om schadelijke code met hoge bevoegdheden uit te voeren op uw virtuele machine via de Azure Resource Manager. Het script wordt als verdacht beschouwd omdat bepaalde onderdelen zijn geïdentificeerd als mogelijk schadelijk. Uitvoering Hoog
Suspicious unauthorized Run Command usage was detected on your virtual machine (preview)
(VM_RunCommandSuspiciousFailure)
Verdacht onbevoegd gebruik van opdracht uitvoeren is mislukt en is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen proberen om via de Azure-Resource Manager schadelijke code met hoge bevoegdheden uit te voeren op uw virtuele machines. Deze activiteit wordt als verdacht beschouwd, omdat deze nog niet eerder is gezien. Uitvoering Normaal
Suspicious Run Command usage is detected on your virtual machine (preview) (Suspicious Run Command usage is detected run command usage on your virtual machine (preview)
(VM_RunCommandSuspiciousUsage)
Verdacht gebruik van opdracht uitvoeren is gedetecteerd op uw virtuele machine door de Azure Resource Manager bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de opdracht Uitvoeren gebruiken om schadelijke code met hoge bevoegdheden uit te voeren op uw virtuele machines via de Azure Resource Manager. Deze activiteit wordt als verdacht beschouwd, omdat deze nog niet eerder is gezien. Uitvoering Beperkt
Verdacht gebruik van meerdere extensies voor bewaking of gegevensverzameling is gedetecteerd op uw virtuele machines (preview)
(VM_SuspiciousMultiExtensionUsage)
Verdacht gebruik van meerdere extensies voor bewaking of gegevensverzameling is gedetecteerd op uw virtuele machines door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen dergelijke extensies misbruiken voor gegevensverzameling, bewaking van netwerkverkeer en meer in uw abonnement. Dit gebruik wordt als verdacht beschouwd, omdat het nog niet eerder is gezien. Reconnaissance Normaal
Verdachte installatie van schijfversleutelingsextensies is gedetecteerd op uw virtuele machines (preview)
(VM_DiskEncryptionSuspiciousUsage)
Verdachte installatie van schijfversleutelingsextensies is gedetecteerd op uw virtuele machines door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de schijfversleutelingsextensie misbruiken om volledige schijfversleuteling op uw virtuele machines te implementeren via de Azure Resource Manager in een poging om ransomware-activiteiten uit te voeren. Deze activiteit wordt als verdacht beschouwd, omdat deze nog niet eerder is gezien en vanwege het grote aantal extensie-installaties. Impact Normaal
Verdacht gebruik van de VM Access-extensie is gedetecteerd op uw virtuele machines (preview)
(VM_VMAccessSuspiciousUsage)
Verdacht gebruik van de VM Access-extensie is gedetecteerd op uw virtuele machines. Aanvallers kunnen de VM Access-extensie misbruiken om toegang te krijgen en uw virtuele machines met hoge bevoegdheden in gevaar te komen door de toegang opnieuw in te instellen of gebruikers met beheerdersrechten te beheren. Deze activiteit wordt als verdacht beschouwd omdat het gedrag van de principal afwijkt van de gebruikelijke patronen en vanwege het grote aantal extensie-installaties. Persistentie Normaal
Desired State Configuration (DSC)-extensie met een verdacht script is gedetecteerd op uw virtuele machine (preview)
(VM_DSCExtensionSuspiciousScript)
Desired State Configuration extensie (DSC) met een verdacht script is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de dsc-extensie (Desired State Configuration) gebruiken om schadelijke configuraties, zoals persistentiemechanismen, schadelijke scripts en meer, met hoge bevoegdheden op uw virtuele machines te implementeren. Het script wordt als verdacht beschouwd omdat bepaalde onderdelen zijn geïdentificeerd als mogelijk schadelijk. Uitvoering Hoog
Verdacht gebruik van een dsc-extensie (Desired State Configuration) is gedetecteerd op uw virtuele machines (preview)
(VM_DSCExtensionSuspiciousUsage)
Verdacht gebruik van een dsc-extensie (Desired State Configuration) is gedetecteerd op uw virtuele machines door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de dsc-extensie (Desired State Configuration) gebruiken om schadelijke configuraties, zoals persistentiemechanismen, schadelijke scripts en meer, met hoge bevoegdheden op uw virtuele machines te implementeren. Deze activiteit wordt als verdacht beschouwd omdat het gedrag van de principal afwijkt van de gebruikelijke patronen en vanwege het grote aantal extensie-installaties. Impact Beperkt
Aangepaste scriptextensie met een verdacht script gedetecteerd op uw virtuele machine (preview)
(VM_CustomScriptExtensionSuspiciousCmd)
(Deze waarschuwing bestaat al en is verbeterd met verbeterde logica en detectiemethoden.)
Aangepaste scriptextensie met een verdacht script is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de aangepaste scriptextensie gebruiken om schadelijke code met hoge bevoegdheden uit te voeren op uw virtuele machine via de Azure Resource Manager. Het script wordt als verdacht beschouwd omdat bepaalde onderdelen zijn geïdentificeerd als mogelijk schadelijk. Uitvoering Hoog

Zie de waarschuwingen op basis van extensies in Defender voor Servers.

Zie de referentietabel voor alle beveiligingswaarschuwingen in Microsoft Defender voor Cloud voor een volledige lijst met waarschuwingen.

Bedrijfsmodel- en prijsupdates voor Defender for Cloud-abonnementen

dinsdag 1 augustus 2023

Microsoft Defender for Cloud heeft drie abonnementen die bescherming van de servicelaag bieden:

  • Defender voor Key Vault

  • Defender voor Resource Manager

  • Defender voor DNS

Deze plannen zijn overgestapt op een nieuw bedrijfsmodel met verschillende prijzen en pakketten om feedback van klanten over de voorspelbaarheid van uitgaven te verwerken en de algehele kostenstructuur te vereenvoudigen.

Samenvatting van bedrijfsmodel- en prijswijzigingen:

Bestaande klanten van Defender voor Key-Vault, Defender voor Resource Manager en Defender voor DNS behouden hun huidige bedrijfsmodel en prijzen, tenzij ze er actief voor kiezen om over te stappen op het nieuwe bedrijfsmodel en de nieuwe prijs.

  • Defender voor Resource Manager: Dit abonnement heeft een vaste prijs per abonnement per maand. Klanten kunnen overschakelen naar het nieuwe bedrijfsmodel door defender voor Resource Manager nieuw model per abonnement te selecteren.

Bestaande klanten van Defender voor Key-Vault, Defender voor Resource Manager en Defender voor DNS behouden hun huidige bedrijfsmodel en prijzen, tenzij ze er actief voor kiezen om over te stappen op het nieuwe bedrijfsmodel en de nieuwe prijs.

  • Defender voor Resource Manager: Dit abonnement heeft een vaste prijs per abonnement per maand. Klanten kunnen overschakelen naar het nieuwe bedrijfsmodel door defender voor Resource Manager nieuw model per abonnement te selecteren.
  • Defender voor Key Vault: Dit abonnement heeft een vaste prijs per kluis, per maand zonder overschrijdingskosten. Klanten kunnen overschakelen naar het nieuwe bedrijfsmodel door defender voor Key Vault nieuw model per kluis te selecteren
  • Defender voor DNS: klanten van Defender voor Servers Abonnement 2 krijgen zonder extra kosten toegang tot Defender voor DNS-waarde als onderdeel van Defender voor Servers-abonnement 2. Klanten die zowel Defender voor Server-abonnement 2 als Defender voor DNS hebben, worden niet meer in rekening gebracht voor Defender voor DNS. Defender voor DNS is niet meer beschikbaar als zelfstandig abonnement.

Meer informatie over de prijzen voor deze abonnementen vindt u op de pagina met prijzen voor Defender for Cloud.

Juli 2023

De updates in juli zijn onder meer:

Date Bijwerken
31 juli Preview-versie van evaluatie van beveiligingsproblemen in containers mogelijk gemaakt door Microsoft Defender Vulnerability Management (MDVM) in Defender for Containers en Defender for Container Registries
30 juli Containerpostuur zonder agent in Defender CSPM is nu algemeen beschikbaar
20 juli Beheer van automatische updates voor Defender voor Eindpunt voor Linux
18 juli Scannen van geheimen zonder agent voor virtuele machines in Defender voor servers P2 & Defender CSPM
12 juli Nieuwe beveiligingswaarschuwing in Defender voor Servers-abonnement 2: Potentiële aanvallen detecteren met behulp van Azure VM GPU-stuurprogramma-extensies
9 juli Ondersteuning voor het uitschakelen van specifieke bevindingen voor beveiligingsproblemen
1 juli Gegevensbewuste beveiligingspostuur is nu algemeen beschikbaar

Preview-versie van evaluatie van beveiligingsproblemen in containers mogelijk gemaakt door Microsoft Defender Vulnerability Management (MDVM) in Defender for Containers en Defender for Container Registries

dinsdag 31 juli 2023

We kondigen de release van Evaluatie van beveiligingsproblemen (VA) voor Linux-containerinstallatiekopieën in Azure-containerregisters aan, mogelijk gemaakt door Microsoft Defender Vulnerability Management (MDVM) in Defender voor Containers en Defender voor containerregisters. De nieuwe container VA-aanbieding wordt aangeboden naast onze bestaande Container VA-aanbieding, mogelijk gemaakt door Qualys in zowel Defender voor Containers als Defender voor containerregisters, en omvat dagelijkse herscans van containerinstallatiekopieën, informatie over misbruik, ondersteuning voor het besturingssysteem en programmeertalen (SCA) en meer.

Deze nieuwe aanbieding wordt vandaag geïmplementeerd en is naar verwachting op 7 augustus beschikbaar voor alle klanten.

Zie Evaluatie van beveiligingsproblemen in containers mogelijk gemaakt door MDVM en Microsoft Defender Vulnerability Management (MDVM) voor meer informatie.

Containerpostuur zonder agent in Defender CSPM is nu algemeen beschikbaar

dinsdag 30 juli 2023

De mogelijkheden voor containerpostuur zonder agent zijn nu algemeen beschikbaar (GA) als onderdeel van het plan Defender CSPM (Cloud Security Posture Management).

Meer informatie over containerpostuur zonder agent in Defender CSPM.

Beheer van automatische updates voor Defender voor Eindpunt voor Linux

dinsdag 20 juli 2023

Standaard probeert Defender voor Cloud uw Defender voor Eindpunt voor Linux-agents bij te werken met onboarding met de MDE.Linux extensie. Met deze release kunt u deze instelling beheren en u afmelden voor de standaardconfiguratie om uw updatecycli handmatig te beheren.

Meer informatie over het beheren van de configuratie van automatische updates voor Linux.

Scannen van geheimen zonder agent voor virtuele machines in Defender voor servers P2 & Defender CSPM

dinsdag 18 juli 2023

Scannen van geheimen is nu beschikbaar als onderdeel van het scannen zonder agent in Defender voor Servers P2 en Defender CSPM. Deze mogelijkheid helpt bij het detecteren van onbeheerde en onveilige geheimen die zijn opgeslagen op virtuele machines, zowel in Azure- als AWS-resources, die kunnen worden gebruikt om lateraal in het netwerk te worden verplaatst. Als er geheimen worden gedetecteerd, kan Defender voor Cloud helpen bij het prioriteren en uitvoeren van herstelstappen om het risico op laterale verplaatsing te minimaliseren, zonder dat dit van invloed is op de prestaties van uw computer.

Zie Geheimen beheren met geheim scannen zonder agent voor meer informatie over het beveiligen van uw geheimen met het scannen van geheimen.

Nieuwe beveiligingswaarschuwing in Defender voor Servers-abonnement 2: potentiële aanvallen detecteren met behulp van azure VM GPU-stuurprogramma-extensies

dinsdag 12 juli 2023

Deze waarschuwing is gericht op het identificeren van verdachte activiteiten die gebruikmaken van GPU-stuurprogramma-extensies voor virtuele Azure-machines en biedt inzicht in pogingen van aanvallers om uw virtuele machines te compromitteren. De waarschuwing is gericht op verdachte implementaties van GPU-stuurprogramma-extensies; dergelijke extensies worden vaak misbruikt door bedreigingsactoren om de volledige kracht van de GPU-kaart te gebruiken en cryptojacking uit te voeren.

Weergavenaam van waarschuwing
(Waarschuwingstype)
Beschrijving Severity MITRE-tactiek
Verdachte installatie van GPU-extensie op uw virtuele machine (preview)
(VM_GPUDriverExtensionUnusualExecution)
Verdachte installatie van een GPU-extensie is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de extensie van het GPU-stuurprogramma gebruiken om GPU-stuurprogramma's op uw virtuele machine te installeren via de Azure Resource Manager om cryptojacking uit te voeren. Beperkt Impact

Zie de referentietabel voor alle beveiligingswaarschuwingen in Microsoft Defender voor Cloud voor een volledige lijst met waarschuwingen.

Ondersteuning voor het uitschakelen van specifieke bevindingen voor beveiligingsproblemen

dinsdag 9 juli 2023

Release van ondersteuning voor het uitschakelen van bevindingen voor beveiligingsproblemen voor uw containerregisterinstallatiekopieën of actieve installatiekopieën als onderdeel van de containerpostuur zonder agent. Als u een organisatorische noodzaak hebt om een gevonden beveiligingsprobleem in uw containerregisterinstallatiekopie te negeren in plaats van deze te herstellen, kunt u dit desgewenst uitschakelen. Uitgeschakelde resultaten hebben geen invloed op uw beveiligingsscore en genereren geen ongewenste ruis.

Meer informatie over het uitschakelen van de resultaten van evaluatie van beveiligingsproblemen in containerregisterinstallatiekopieën.

Gegevensbewuste beveiligingspostuur is nu algemeen beschikbaar

1 juli 2023

Gegevensbewuste beveiligingspostuur in Microsoft Defender voor cloud is nu algemeen beschikbaar. Het helpt klanten om gegevensrisico's te verminderen en te reageren op gegevensschendingen. Met gegevensbewuste beveiligingspostuur kunt u het volgende doen:

  • Detecteer automatisch gevoelige gegevensresources in Azure en AWS.
  • Evalueer de gevoeligheid van gegevens, de blootstelling van gegevens en de wijze waarop gegevens binnen de organisatie stromen.
  • Proactief en continu risico's blootleggen die kunnen leiden tot gegevensschendingen.
  • Verdachte activiteiten detecteren die kunnen wijzen op doorlopende bedreigingen voor gevoelige gegevensresources

Zie Data-aware security posture in Microsoft Defender for Cloud (Gegevensbewuste beveiligingspostuur in Microsoft Defender for Cloud) voor meer informatie.

Juni 2023

De updates in juni zijn onder meer:

Date Bijwerken
26 juni Gestroomlijnde onboarding van meerdere cloudaccounts met verbeterde instellingen
25 juni Ondersteuning voor privé-eindpunten voor het scannen van malware in Defender for Storage
15 juni Er zijn controles doorgevoerd in de NIST 800-53-standaarden in naleving van regelgeving
11 juni Het plannen van cloudmigratie met een Azure Migrate-bedrijfscase omvat nu Defender voor Cloud
7 juni Snelle configuratie voor evaluaties van beveiligingsproblemen in Defender voor SQL is nu algemeen beschikbaar
6 juni Meer bereiken toegevoegd aan bestaande Azure DevOps-connectors
4 juni Detectie op basis van agents vervangen door detectie zonder agent voor de mogelijkheden van containers in Defender CSPM

Gestroomlijnde onboarding van meerdere cloudaccounts met verbeterde instellingen

dinsdag 26 juni 2023

Defender for Cloud heeft de onboarding-ervaring verbeterd met een nieuwe gestroomlijnde gebruikersinterface en instructies, naast nieuwe mogelijkheden waarmee u uw AWS- en GCP-omgevingen kunt onboarden en tegelijkertijd toegang kunt bieden tot geavanceerde onboardingfuncties.

Voor organisaties die Hashicorp Terraform hebben gebruikt voor automatisering, biedt Defender voor Cloud nu de mogelijkheid om Terraform te gebruiken als de implementatiemethode naast AWS CloudFormation of GCP Cloud Shell. U kunt nu de vereiste rolnamen aanpassen bij het maken van de integratie. U kunt ook kiezen tussen:

  • Standaardtoegang : hiermee kan Defender for Cloud uw resources scannen en automatisch toekomstige mogelijkheden opnemen.

  • Minst bevoorrechte toegang : verleent Defender for Cloud alleen toegang tot de huidige machtigingen die nodig zijn voor de geselecteerde abonnementen.

Als u de machtigingen met de minste bevoegdheden selecteert, ontvangt u alleen meldingen over nieuwe rollen en machtigingen die nodig zijn om de volledige functionaliteit van de connectorstatus te krijgen.

Met Defender voor Cloud kunt u onderscheid maken tussen uw cloudaccounts op basis van hun eigen naam van de cloudleveranciers. Bijvoorbeeld AWS-accountaliassen en GCP-projectnamen.

Ondersteuning voor privé-eindpunten voor het scannen van malware in Defender for Storage

dinsdag 25 juni 2023

Ondersteuning voor privé-eindpunten is nu beschikbaar als onderdeel van de openbare preview van malwarescans in Defender for Storage. Met deze mogelijkheid kunt u malwarescans inschakelen voor opslagaccounts die gebruikmaken van privé-eindpunten. Er is geen andere configuratie nodig.

Scannen op malware (preview) in Defender for Storage helpt uw opslagaccounts te beschermen tegen schadelijke inhoud door een volledige malwarescan uit te voeren op geüploade inhoud in bijna realtime, met behulp van Microsoft Defender Antivirus-mogelijkheden. Het is ontworpen om te voldoen aan beveiligings- en nalevingsvereisten voor het verwerken van niet-vertrouwde inhoud. Het is een SaaS-oplossing zonder agent die eenvoudige installatie op schaal mogelijk maakt, zonder onderhoud, en ondersteuning biedt voor het automatiseren van reacties op schaal.

Privé-eindpunten bieden beveiligde connectiviteit met uw Azure Storage-services, waardoor openbare internetblootstelling effectief wordt geëlimineerd. Deze worden beschouwd als een best practice voor beveiliging.

Voor opslagaccounts met privé-eindpunten waarvoor Scannen op malware al is ingeschakeld, moet u het plan met Malware Scanning uitschakelen en inschakelen om dit te laten werken.

Meer informatie over het gebruik van privé-eindpunten in Defender for Storage en hoe u uw opslagservices verder kunt beveiligen.

Aanbeveling uitgebracht voor preview: bij het uitvoeren van containerinstallatiekopieën moeten de resultaten van beveiligingsproblemen zijn opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management)

dinsdag 21 juni 2023

Er wordt een nieuwe containeraan aanbeveling uitgebracht in Defender CSPM mogelijk gemaakt door MDVM voor preview:

Aanbeveling Beschrijving Evaluatiesleutel
Bij het uitvoeren van containerinstallatiekopieën moeten beveiligingsproblemen zijn opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management)(preview) Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op algemeen bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd rapport over beveiligingsproblemen voor elke installatiekopie. Deze aanbeveling biedt zichtbaarheid voor kwetsbare installatiekopieën die momenteel worden uitgevoerd in uw Kubernetes-clusters. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën die momenteel worden uitgevoerd, is essentieel voor het verbeteren van uw beveiligingspostuur, waardoor de kwetsbaarheid voor aanvallen voor uw containerworkloads aanzienlijk wordt verminderd. c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

Deze nieuwe aanbeveling vervangt de huidige aanbeveling met dezelfde naam, mogelijk gemaakt door Qualys, alleen in Defender CSPM (ter vervanging van evaluatiesleutel 41503391-efa5-47ee-9282-4eff6131462c).

Er zijn controles doorgevoerd in de NIST 800-53-standaarden in naleving van regelgeving

dinsdag 15 juni 2023

De NIST 800-53-standaarden (zowel R4 als R5) zijn onlangs bijgewerkt met controlewijzigingen in Microsoft Defender voor naleving van cloudregelgeving. De door Microsoft beheerde besturingselementen zijn verwijderd uit de standaard en de informatie over de implementatie van Microsoft-verantwoordelijkheid (als onderdeel van het model voor gedeelde verantwoordelijkheid in de cloud) is nu alleen beschikbaar in het deelvenster met besturingselementen onder Microsoft Actions.

Deze controles zijn eerder berekend als doorgegeven controles, dus tussen april 2023 en mei 2023 ziet u mogelijk een aanzienlijke dip in uw nalevingsscore voor NIST-standaarden.

Zie Zelfstudie: Controles voor naleving van regelgeving - Microsoft Defender voor cloud voor meer informatie over nalevingscontroles.

Het plannen van cloudmigratie met een Azure Migrate-bedrijfscase omvat nu Defender voor Cloud

dinsdag 11 juni 2023

U kunt nu potentiële kostenbesparingen op het gebied van beveiliging ontdekken door Defender voor Cloud toe te passen binnen de context van een Azure Migrate-bedrijfscase.

Snelle configuratie voor evaluaties van beveiligingsproblemen in Defender voor SQL is nu algemeen beschikbaar

dinsdag 7 juni 2023

Snelle configuratie voor evaluaties van beveiligingsproblemen in Defender voor SQL is nu algemeen beschikbaar. Snelle configuratie biedt een gestroomlijnde onboarding-ervaring voor evaluaties van SQL-beveiligingsproblemen met behulp van een configuratie met één klik (of een API-aanroep). Er zijn geen extra instellingen of afhankelijkheden voor beheerde opslagaccounts nodig.

Bekijk deze blog voor meer informatie over snelle configuratie.

U kunt de verschillen tussen express- en klassieke configuraties leren kennen.

Meer bereiken toegevoegd aan bestaande Azure DevOps-connectors

dinsdag 6 juni 2023

Defender voor DevOps heeft de volgende extra bereiken toegevoegd aan de Azure DevOps-toepassing (ADO):

  • Geavanceerd beveiligingsbeheer: vso.advsec_manage. Dit is nodig om GitHub Advanced Security voor ADO in te schakelen, uit te schakelen en te beheren.

  • Containertoewijzing: vso.extension_manage, vso.gallery_manager; Dit is nodig om u in staat te stellen de decorator-extensie te delen met de ADO-organisatie.

Alleen nieuwe Defender voor DevOps-klanten die ADO-resources willen onboarden naar Microsoft Defender voor Cloud worden beïnvloed door deze wijziging.

Rechtstreeks onboarden (zonder Azure Arc) naar Defender voor Servers is nu algemeen beschikbaar

dinsdag 5 juni 2023

Voorheen moest Azure Arc niet-Azure-servers onboarden naar Defender for Servers. Met de nieuwste release kunt u echter ook uw on-premises servers onboarden naar Defender for Servers met behulp van alleen de Microsoft Defender voor Eindpunt-agent.

Deze nieuwe methode vereenvoudigt het onboardingproces voor klanten die zijn gericht op kerneindpuntbeveiliging en stelt u in staat te profiteren van de facturering op basis van verbruik van Defender for Servers voor zowel cloud- als niet-cloudassets. De optie voor directe onboarding via Defender voor Eindpunt is nu beschikbaar, met facturering voor onboarded machines vanaf 1 juli.

Zie Connect your non-Azure machines to Microsoft Defender for Cloud with Defender for Endpoint (Uw niet-Azure-machines verbinden met Microsoft Defender voor Cloud met Defender voor Eindpunt) voor meer informatie.

Detectie op basis van agents vervangen door detectie zonder agent voor de mogelijkheden van containers in Defender CSPM

dinsdag 4 juni 2023

Met de mogelijkheden voor containerpostuur zonder agent die beschikbaar zijn in Defender CSPM, zijn de detectiemogelijkheden op basis van agents nu buiten gebruik gesteld. Als u momenteel containermogelijkheden binnen Defender CSPM gebruikt, moet u ervoor zorgen dat de relevante extensies zijn ingeschakeld om containergerelateerde waarde te blijven ontvangen van de nieuwe mogelijkheden zonder agent, zoals containergerelateerde aanvalspaden, inzichten en inventaris. (Het kan tot 24 uur duren om de effecten van het inschakelen van de extensies te zien.

Meer informatie over containerpostuur zonder agent.

mei 2023

De updates in mei zijn onder meer:

Nieuwe waarschuwing in Defender voor Key Vault

Waarschuwing (waarschuwingstype) Beschrijving MITRE-tactieken Ernst
Ongebruikelijke toegang tot de sleutelkluis vanaf een verdacht IP-adres (niet-Microsoft of extern)
(KV_UnusualAccessSuspiciousIP)
Een gebruiker of service-principal heeft de afgelopen 24 uur geprobeerd afwijkende toegang te krijgen tot sleutelkluizen vanaf een ip-adres dat niet van Microsoft is. Dit afwijkende toegangspatroon kan een legitieme activiteit zijn. Dit kan een indicatie zijn van een mogelijke poging om toegang te krijgen tot de sleutelkluis en de geheimen die erin zijn opgenomen. We raden verder onderzoek aan. Toegang tot referenties Normaal

Zie Waarschuwingen voor Azure Key Vault voor alle beschikbare waarschuwingen.

Scannen zonder agent ondersteunt nu versleutelde schijven in AWS

Scannen zonder agent voor VM's ondersteunt nu de verwerking van exemplaren met versleutelde schijven in AWS, met behulp van zowel CMK als PMK.

Deze uitgebreide ondersteuning verhoogt de dekking en zichtbaarheid van uw cloudomgeving zonder dat dit van invloed is op uw actieve workloads. Ondersteuning voor versleutelde schijven behoudt dezelfde zero impact-methode voor actieve exemplaren.

  • Voor nieuwe klanten die scannen zonder agent in AWS inschakelen: de dekking van versleutelde schijven is ingebouwd en wordt standaard ondersteund.
  • Voor bestaande klanten die al een AWS-connector hebben waarvoor scannen zonder agent is ingeschakeld, moet u de CloudFormation-stack opnieuw toepassen op uw onboarded AWS-accounts om de nieuwe machtigingen bij te werken en toe te voegen die vereist zijn voor het verwerken van versleutelde schijven. De bijgewerkte CloudFormation-sjabloon bevat nieuwe toewijzingen waarmee Defender voor Cloud versleutelde schijven kan verwerken.

Meer informatie over de machtigingen die worden gebruikt voor het scannen van AWS-exemplaren.

Uw CloudFormation-stack opnieuw toepassen:

  1. Ga naar Defender for Cloud-omgevingsinstellingen en open uw AWS-connector.
  2. Ga naar het tabblad Toegang configureren .
  3. Selecteer Klik om de sjabloon CloudFormation te downloaden.
  4. Navigeer naar uw AWS-omgeving en pas de bijgewerkte sjabloon toe.

Meer informatie over scannen zonder agent en het inschakelen van scannen zonder agent in AWS.

Herziene naamconventies voor JIT-regels (Just-In-Time) in Defender for Cloud

We hebben de JIT-regels (Just-In-Time) aangepast aan de Microsoft Defender voor cloud. We hebben de naamconventies voor Azure Firewall- en NSG-regels (netwerkbeveiligingsgroep) gewijzigd.

De wijzigingen worden als volgt weergegeven:

Description Oude naam Nieuwe naam
JIT-regelnamen (toestaan en weigeren) in NSG (netwerkbeveiligingsgroep) SecurityCenter-JITRule MicrosoftDefenderForCloud-JITRule
Beschrijvingen van JIT-regels in NSG ASC JIT-netwerktoegangsregel MDC JIT-netwerktoegangsregel
Namen van verzamelingen van JIT-firewallregels ASC-JIT MDC-JIT
Namen van JIT-firewallregels ASC-JIT MDC-JIT

Meer informatie over het beveiligen van uw beheerpoorten met Just-In-Time-toegang.

Geselecteerde AWS-regio's onboarden

Om u te helpen bij het beheren van uw AWS CloudTrail-kosten en nalevingsbehoeften, kunt u nu selecteren welke AWS-regio's u wilt scannen wanneer u een cloudconnector toevoegt of bewerkt. U kunt nu geselecteerde specifieke AWS-regio's of alle beschikbare regio's (standaard) scannen wanneer u uw AWS-accounts onboardt bij Defender for Cloud. Zie Uw AWS-account verbinden met Microsoft Defender voor cloud voor meer informatie.

Meerdere wijzigingen in identiteitsaanbeveling

De volgende aanbevelingen worden nu uitgebracht als Algemene beschikbaarheid (GA) en vervangen de V1-aanbevelingen die nu zijn afgeschaft.

Release van identiteitsaanbeveling V2 voor algemene beschikbaarheid (GA)

De V2-release van identiteitsaanbevelingen introduceert de volgende verbeteringen:

  • Het bereik van de scan is uitgebreid met alle Azure-resources, niet alleen abonnementen. Hiermee kunnen beveiligingsbeheerders roltoewijzingen per account bekijken.
  • Specifieke accounts kunnen nu worden uitgesloten van evaluatie. Accounts zoals break glass of serviceaccounts kunnen worden uitgesloten door beveiligingsbeheerders.
  • De scanfrequentie is verhoogd van 24 uur naar 12 uur, waardoor de aanbevelingen voor identiteiten up-to-date en nauwkeuriger zijn.

De volgende beveiligingsaanbeveling is beschikbaar in algemene beschikbaarheid en vervangt de V1-aanbevelingen:

Aanbeveling Evaluatiesleutel
Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld 6240402e-f77c-46fa-9060-a7ce53997754
Voor accounts met schrijfmachtigingen voor Azure-resources moet MFA zijn ingeschakeld c0cb17b2-0607-48a7-b0e0-903ed22de39b
Voor accounts met leesmachtigingen voor Azure-resources moet MFA zijn ingeschakeld dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd 20606e75-05c4-48c0-9d97-add6daa2109a
Gastaccounts met schrijfmachtigingen voor Azure-resources moeten worden verwijderd 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
Gastaccounts met leesmachtigingen voor Azure-resources moeten worden verwijderd fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
Geblokkeerde accounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd 050ac097-3dda-4d24-ab6d-82568e7a50cf
Geblokkeerde accounts met lees- en schrijfmachtigingen voor Azure-resources moeten worden verwijderd 1ff0b4c9-ed56-4de6-be9c-d7ab39645926

Afschaffing van identiteitsaanbevelingen V1

De volgende beveiligingsaanbeveling is nu afgeschaft:

Aanbeveling Evaluatiesleutel
MFA moet zijn ingeschakeld voor accounts met eigenaarsmachtigingen voor abonnementen 94290b00-4d0c-d7b4-7cea-064a9554e681
MFA moet zijn ingeschakeld voor accounts met schrijfmachtigingen voor abonnementen 57e98606-6b1e-6193-0e3d-fe621387c16b
MFA moet zijn ingeschakeld voor accounts met leesmachtigingen voor abonnementen 151e82c5-5341-a74b-1eb0-bc38d2c84bb5
Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit abonnementen c3b6ae71-f1f0-31b4-e6c1-d5951285d03d
Externe accounts met schrijfmachtigingen moeten worden verwijderd uit abonnementen 04e7147b-0deb-9796-2e5c-0336343ceb3d
Externe accounts met leesmachtigingen moeten worden verwijderd uit abonnementen a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b
Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit abonnementen e52064aa-6853-e252-a11e-dffc675689c2
Afgeschafte accounts moeten worden verwijderd uit abonnementen 00c6d40b-e990-6acf-d4f3-471e747a27c4

U wordt aangeraden uw aangepaste scripts, werkstromen en beheerregels bij te werken zodat deze overeenkomen met de V2-aanbevelingen.

Afschaffing van verouderde standaarden in nalevingsdashboard

Verouderde PCI DSS v3.2.1 en verouderde SOC TSP zijn volledig afgeschaft in het Defender for Cloud-nalevingsdashboard en vervangen door SOC 2 Type 2 initiative en PCI DSS v4-nalevingsstandaarden op basis van initiatieven. We hebben de ondersteuning van PCI DSS standard /initiative in Microsoft Azure, beheerd door 21Vianet, volledig afgeschaft.

Meer informatie over het aanpassen van de set standaarden in uw dashboard voor naleving van regelgeving.

Twee Defender voor DevOps-aanbevelingen bevatten nu azure DevOps-scanbevindingen

Defender voor DevOps Code en IaC hebben de aanbevelingsdekking in Microsoft Defender for Cloud uitgebreid met azure DevOps-beveiligingsbevindingen voor de volgende twee aanbevelingen:

  • Code repositories should have code scanning findings resolved

  • Code repositories should have infrastructure as code scanning findings resolved

Voorheen bevatte de dekking voor Azure DevOps-beveiligingsscans alleen de aanbeveling voor geheimen.

Meer informatie over Defender voor DevOps.

Nieuwe standaardinstelling voor de evaluatie van beveiligingsproblemen in Defender for Servers

Oplossingen voor evaluatie van beveiligingsproblemen (VA) zijn essentieel om machines te beschermen tegen cyberaanvallen en gegevensschendingen.

Microsoft Defender Vulnerability Management (MDVM) is nu ingeschakeld als de standaard ingebouwde oplossing voor alle abonnementen die worden beveiligd door Defender voor Servers waarvoor nog geen VA-oplossing is geselecteerd.

Als voor een abonnement een VA-oplossing is ingeschakeld op een van de vm's, worden er geen wijzigingen aangebracht en wordt MDVM niet standaard ingeschakeld op de resterende VM's in dat abonnement. U kunt ervoor kiezen om een VA-oplossing in te schakelen op de resterende VM's in uw abonnementen.

Meer informatie over het vinden van beveiligingsproblemen en het verzamelen van software-inventaris met scannen zonder agent (preview).

Een CSV-rapport downloaden van de queryresultaten van uw Cloud Security Explorer (preview)

Defender voor Cloud heeft de mogelijkheid toegevoegd om een CSV-rapport van de queryresultaten van uw Cloud Security Explorer te downloaden.

Nadat u een zoekopdracht naar een query hebt uitgevoerd, kunt u de knop CSV-rapport downloaden (preview) selecteren op de pagina Cloud Security Explorer in Defender for Cloud.

Meer informatie over het bouwen van query's met Cloud Security Explorer

Release van containers Evaluatie van beveiligingsproblemen mogelijk gemaakt door Microsoft Defender Vulnerability Management (MDVM) in Defender CSPM

We kondigen de release aan van Evaluatie van beveiligingsproblemen voor Linux-installatiekopieën in Azure-containerregisters mogelijk gemaakt door Microsoft Defender Vulnerability Management (MDVM) in Defender CSPM. Deze release bevat het dagelijks scannen van afbeeldingen. De bevindingen die worden gebruikt in Security Explorer en aanvalspaden zijn afhankelijk van MDVM Vulnerability Assessment in plaats van de Qualys-scanner.

De bestaande aanbeveling Container registry images should have vulnerability findings resolved wordt vervangen door een nieuwe aanbeveling die mogelijk wordt gemaakt door MDVM:

Aanbeveling Beschrijving Evaluatiesleutel
Containerregisterinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op algemeen bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd rapport over beveiligingsproblemen voor elke installatiekopie. Deze aanbeveling biedt zichtbaarheid voor kwetsbare installatiekopieën die momenteel worden uitgevoerd in uw Kubernetes-clusters. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën die momenteel worden uitgevoerd, is essentieel voor het verbeteren van uw beveiligingspostuur, waardoor de kwetsbaarheid voor aanvallen voor uw containerworkloads aanzienlijk wordt verminderd. dbd0cb49-b563-45e7-9724-889e799fa648
wordt vervangen door c0b7cfc6-3172-465a-b378-53c7ff2cc0d5

Meer informatie over de postuur van containers zonder agent vindt u in Defender CSPM.

Meer informatie over Microsoft Defender Vulnerability Management (MDVM).

Aanbevelingen voor containers wijzigen, mogelijk gemaakt door Qualys

De huidige containeraanbeveling in Defender voor Containers wordt als volgt gewijzigd:

Aanbeveling Beschrijving Evaluatiesleutel
Containerregisterinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Qualys) Evaluatie van beveiligingsproblemen van de containerinstallatiekopie scant uw register op beveiligingsproblemen en toont gedetailleerde resultaten voor elke installatiekopie. Door de beveiligingsproblemen op te lossen, kunt u de beveiligingspostuur van uw containers aanzienlijk verbeteren en deze beschermen tegen aanvallen. dbd0cb49-b563-45e7-9724-889e799fa648
Bij het uitvoeren van containerinstallatiekopieën moeten de resultaten van beveiligingsproblemen zijn opgelost (mogelijk gemaakt door Qualys) Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant containerinstallatiekopieën die worden uitgevoerd op uw Kubernetes-clusters op beveiligingsproblemen en toont gedetailleerde bevindingen voor elke installatiekopie. Door de beveiligingsproblemen op te lossen, kunt u de beveiligingspostuur van uw containers aanzienlijk verbeteren en deze beschermen tegen aanvallen. 41503391-efa5-47ee-9282-4eff6131462c

Update van Defender voor DevOps GitHub-toepassing

Microsoft Defender voor DevOps voert voortdurend wijzigingen en updates aan die vereisen dat Defender voor DevOps-klanten die hun GitHub-omgevingen in Defender for Cloud onboarden, machtigingen moeten verlenen als onderdeel van de toepassing die is geïmplementeerd in hun GitHub-organisatie. Deze machtigingen zijn nodig om ervoor te zorgen dat alle beveiligingsfuncties van Defender voor DevOps normaal en zonder problemen werken.

We raden u aan de machtigingen zo snel mogelijk bij te werken om ervoor te zorgen dat alle beschikbare functies van Defender voor DevOps blijven gebruiken.

Machtigingen kunnen op twee verschillende manieren worden verleend:

  • Selecteer in uw organisatie GitHub-apps. Zoek Uw organisatie en selecteer Aanvraag controleren.

  • U ontvangt een geautomatiseerde e-mail van GitHub-ondersteuning. Selecteer in het e-mailbericht Machtigingsaanvraag controleren om deze wijziging te accepteren of te weigeren.

Nadat u een van deze opties hebt gevolgd, wordt u naar het beoordelingsscherm genavigeerd, waar u de aanvraag moet controleren. Selecteer Nieuwe machtigingen accepteren om de aanvraag goed te keuren.

Als u hulp nodig hebt bij het bijwerken van machtigingen, kunt u een ondersteuning voor Azure-aanvraag maken.

U kunt ook meer informatie vinden over Defender voor DevOps. Als voor een abonnement een VA-oplossing is ingeschakeld op een van de vm's, worden er geen wijzigingen aangebracht en wordt MDVM niet standaard ingeschakeld op de resterende VM's in dat abonnement. U kunt ervoor kiezen om een VA-oplossing in te schakelen op de resterende VM's in uw abonnementen.

Meer informatie over het vinden van beveiligingsproblemen en het verzamelen van software-inventaris met scannen zonder agent (preview).

Aantekeningen voor Pull-aanvragen van Defender voor DevOps in Azure DevOps-opslagplaatsen bevatten nu infrastructuur als onjuiste configuraties van code

Defender voor DevOps heeft de dekking voor pull-aanvragen (PR) voor aantekeningen in Azure DevOps uitgebreid met onjuiste configuraties van Infrastructuur als code (IaC) die zijn gedetecteerd in Azure Resource Manager- en Bicep-sjablonen.

Ontwikkelaars kunnen nu aantekeningen voor onjuiste IaC-configuraties rechtstreeks in hun pull-aanvragen zien. Ontwikkelaars kunnen ook kritieke beveiligingsproblemen oplossen voordat de infrastructuur wordt ingericht in cloudworkloads. Om het herstel te vereenvoudigen, krijgen ontwikkelaars binnen elke aantekening een ernstniveau, een onjuiste configuratiebeschrijving en herstelinstructies.

Voorheen bevatte de dekking voor PR-aantekeningen van Defender voor DevOps in Azure DevOps alleen geheimen.

Meer informatie over aantekeningen bij Defender voor DevOps en pull-aanvragen.

april 2023

De updates in april zijn onder meer:

Containerpostuur zonder agent in Defender CSPM (preview)

De nieuwe mogelijkheden voor containerpostuur zonder agent (preview) zijn beschikbaar als onderdeel van het plan Defender CSPM (Cloud Security Posture Management).

Met agentloze containerpostuur kunnen beveiligingsteams beveiligingsrisico's in containers en Kubernetes-realms identificeren. Met een aanpak zonder agent kunnen beveiligingsteams inzicht krijgen in hun Kubernetes- en containersregisters in SDLC en runtime, waardoor wrijving en voetafdruk van de workloads worden weggenomen.

Containerpostuur zonder agent biedt evaluaties van beveiligingsproblemen in containers waarmee beveiligingsteams, in combinatie met een analyse van het aanvalspad, prioriteit kunnen geven aan en inzoomen op specifieke beveiligingsproblemen in containers. U kunt cloudbeveiligingsverkenner ook gebruiken om risico's te ontdekken en inzichten in containerpostuur op te sporen, zoals de detectie van toepassingen waarop kwetsbare installatiekopieën worden uitgevoerd of die op internet worden weergegeven.

Meer informatie op Agentloze containerpostuur (preview).

Aanbeveling voor Unified Disk Encryption (preview)

We hebben een aanbeveling voor geïntegreerde schijfversleuteling geïntroduceerd in de openbare preview, Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost en Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.

Deze aanbevelingen vervangen Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, die Azure Disk Encryption heeft gedetecteerd en het beleid Virtual machines and virtual machine scale sets should have encryption at host enabled, waarmee EncryptionAtHost is gedetecteerd. ADE en EncryptionAtHost bieden vergelijkbare versleuteling-at-rest-dekking en we raden u aan een van deze in te schakelen op elke virtuele machine. De nieuwe aanbevelingen detecteren of ADE of EncryptionAtHost zijn ingeschakeld en waarschuwen alleen als geen van beide zijn ingeschakeld. We waarschuwen ook als ADE is ingeschakeld op sommige, maar niet alle schijven van een VM (deze voorwaarde is niet van toepassing op EncryptionAtHost).

Voor de nieuwe aanbevelingen is Azure Automanage Machine Configuration vereist.

Deze aanbevelingen zijn gebaseerd op de volgende beleidsregels:

Meer informatie over ADE en EncryptionAtHost en hoe u een van deze inschakelt.

Wijzigingen in de aanbeveling Machines moeten veilig worden geconfigureerd

De aanbeveling Machines should be configured securely is bijgewerkt. De update verbetert de prestaties en stabiliteit van de aanbeveling en stemt de ervaring af met het algemene gedrag van de aanbevelingen van Defender for Cloud.

Als onderdeel van deze update is de id van de aanbeveling gewijzigd van 181ac480-f7c4-544b-9865-11b8ffe87f47 in c476dc48-8110-4139-91af-c8d940896b98.

Er is geen actie vereist aan de kant van de klant en er is geen verwacht effect op de beveiligingsscore.

Afschaffing van beleid voor taalbewaking van App Service

De volgende App Service taalcontrolebeleid is afgeschaft vanwege de mogelijkheid om fout-negatieven te genereren en omdat ze geen betere beveiliging bieden. U moet er altijd voor zorgen dat u een taalversie gebruikt zonder bekende beveiligingsproblemen.

Beleidsnaam Beleids-id
App Service apps die gebruikmaken van Java, moeten de meest recente 'Java-versie' gebruiken 496223c3-ad65-4ecd-878a-bae78737e9ed
App Service apps die gebruikmaken van Python, moeten de meest recente Python-versie gebruiken 7008174a-fd10-4ef0-817e-fc820a951d73
Functie-apps die gebruikmaken van Java, moeten de meest recente Java-versie gebruiken 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc
Functie-apps die gebruikmaken van Python, moeten de nieuwste 'Python-versie' gebruiken 7238174a-fd10-4ef0-817e-fc820a951d73
App Service apps die PHP gebruiken, moeten de nieuwste PHP-versie gebruiken 7261b898-8a84-4db8-9e04-18527132abb3

Klanten kunnen alternatieve ingebouwde beleidsregels gebruiken om elke opgegeven taalversie voor hun App Services te controleren.

Deze beleidsregels zijn niet meer beschikbaar in de ingebouwde aanbevelingen van Defender for Cloud. U kunt ze toevoegen als aangepaste aanbevelingen om ze door Defender voor Cloud te laten bewaken.

Nieuwe waarschuwing in Defender voor Resource Manager

Defender voor Resource Manager heeft de volgende nieuwe waarschuwing:

Waarschuwing (waarschuwingstype) Beschrijving MITRE-tactieken Ernst
PREVIEW- Verdachte creatie van rekenresources gedetecteerd
(ARM_SuspiciousComputeCreation)
Microsoft Defender voor Resource Manager een verdachte creatie van rekenresources in uw abonnement geïdentificeerd met behulp van Virtual Machines/Azure-schaalset. De geïdentificeerde bewerkingen zijn ontworpen om beheerders in staat te stellen hun omgevingen efficiënt te beheren door nieuwe resources te implementeren wanneer dat nodig is. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om crypto-mining uit te voeren.
De activiteit wordt als verdacht beschouwd omdat de schaal van de rekenresources hoger is dan eerder is waargenomen in het abonnement.
Dit kan erop wijzen dat de principal is gecompromitteerd en wordt gebruikt met schadelijke bedoelingen.
Impact Normaal

U ziet een lijst met alle waarschuwingen die beschikbaar zijn voor Resource Manager.

Drie waarschuwingen in het Defender voor Resource Manager-abonnement zijn afgeschaft

De volgende drie waarschuwingen voor het Defender voor Resource Manager-abonnement zijn afgeschaft:

  • Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)
  • Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)
  • Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)

In een scenario waarin activiteit van een verdacht IP-adres wordt gedetecteerd, is een van de volgende Defenders for Resource Manager planwaarschuwingen Azure Resource Manager operation from suspicious IP address of Azure Resource Manager operation from suspicious proxy IP address zal aanwezig zijn.

Waarschuwingen automatisch exporteren naar Log Analytics-werkruimte zijn afgeschaft

Defenders for Cloud-beveiligingswaarschuwingen worden automatisch geëxporteerd naar een standaard Log Analytics-werkruimte op resourceniveau. Dit veroorzaakt een indeterministisch gedrag en daarom hebben we deze functie afgeschaft.

In plaats daarvan kunt u uw beveiligingswaarschuwingen exporteren naar een toegewezen Log Analytics-werkruimte met continue export.

Als u al continue export van waarschuwingen naar een Log Analytics-werkruimte hebt geconfigureerd, is er geen verdere actie vereist.

Afschaffing en verbetering van geselecteerde waarschuwingen voor Windows- en Linux-servers

Het proces voor kwaliteitsverbetering van beveiligingswaarschuwingen voor Defender voor Servers omvat het afschaffen van sommige waarschuwingen voor zowel Windows- als Linux-servers. De afgeschafte waarschuwingen zijn nu afkomstig van en gedekt door bedreigingswaarschuwingen van Defender voor Eindpunt.

Als u de integratie van Defender voor Eindpunt al hebt ingeschakeld, is er geen verdere actie vereist. Mogelijk neemt het volume van uw waarschuwingen in april 2023 af.

Als u de integratie van Defender voor Eindpunt niet hebt ingeschakeld in Defender voor Servers, moet u de Integratie van Defender voor Eindpunt inschakelen om uw waarschuwingsdekking te onderhouden en te verbeteren.

Alle klanten van Defender voor Servers hebben volledige toegang tot de integratie van Defender voor Eindpunt als onderdeel van het Defender voor Servers-abonnement.

Meer informatie over Microsoft Defender voor Eindpunt opties voor onboarding.

U kunt ook de volledige lijst weergeven met waarschuwingen die zijn ingesteld om te worden afgeschaft.

Lees de blog Microsoft Defender for Cloud.

We hebben vier nieuwe aanbevelingen voor Azure Active Directory-verificatie toegevoegd voor Azure Data Services.

Naam van aanbeveling Beschrijving van aanbeveling Beleid
Azure SQL Managed Instance verificatiemodus moet alleen Azure Active Directory zijn Door lokale verificatiemethoden uit te schakelen en alleen Azure Active Directory-verificatie toe te staan, wordt de beveiliging verbeterd door ervoor te zorgen dat Azure SQL beheerde exemplaren uitsluitend toegankelijk zijn voor Azure Active Directory-identiteiten. Azure SQL Managed Instance moet alleen Azure Active Directory-verificatie hebben ingeschakeld
Azure Synapse Verificatiemodus werkruimte moet alleen Azure Active Directory zijn Verificatiemethoden met alleen Azure Active Directory verbeteren de beveiliging door ervoor te zorgen dat Synapse-werkruimten uitsluitend Azure AD identiteiten vereisen voor verificatie. Meer informatie. Synapse-werkruimten mogen alleen Azure Active Directory-identiteiten gebruiken voor verificatie
Azure Database for MySQL moet een Azure Active Directory-beheerder hebben ingericht Richt een Azure AD-beheerder in voor uw Azure Database for MySQL om Azure AD verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk Een Azure Active Directory-beheerder moet worden ingericht voor MySQL-servers
Azure Database for PostgreSQL moet een Azure Active Directory-beheerder hebben ingericht Richt een Azure AD-beheerder in voor uw Azure Database for PostgreSQL om Azure AD verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk Een Azure Active Directory-beheerder moet worden ingericht voor PostgreSQL-servers

De aanbevelingen System updates should be installed on your machines (powered by Azure Update Manager) en Machines should be configured to periodically check for missing system updates zijn uitgebracht voor algemene beschikbaarheid.

Als u de nieuwe aanbeveling wilt gebruiken, moet u het volgende doen:

Nadat u deze stappen hebt voltooid, kunt u de oude aanbeveling System updates should be installed on your machinesverwijderen door deze uit te schakelen vanuit het ingebouwde initiatief van Defender for Cloud in Azure Policy.

De twee versies van de aanbevelingen:

zijn beide beschikbaar totdat de Log Analytics-agent wordt afgeschaft op 31 augustus 2024. Dit is het moment waarop de oudere versie (System updates should be installed on your machines) van de aanbeveling ook wordt afgeschaft. Beide aanbevelingen retourneren dezelfde resultaten en zijn beschikbaar onder hetzelfde besturingselement Apply system updates.

De nieuwe aanbeveling System updates should be installed on your machines (powered by Azure Update Manager)heeft een herstelstroom beschikbaar via de knop Herstellen, die kan worden gebruikt om eventuele resultaten te herstellen via Updatebeheer (preview). Dit herstelproces is nog in preview.

De nieuwe aanbeveling System updates should be installed on your machines (powered by Azure Update Manager)heeft naar verwachting geen invloed op uw beveiligingsscore, omdat deze dezelfde resultaten heeft als de oude aanbeveling System updates should be installed on your machines.

De aanbeveling voor vereisten (De eigenschap periodieke evaluatie inschakelen) heeft een negatief effect op uw beveiligingsscore. U kunt het negatieve effect herstellen met de beschikbare knop Fix.

Defender voor API's (preview)

Defender voor Cloud van Microsoft kondigt aan dat de nieuwe Defender voor API's beschikbaar is in preview.

Defender voor API's biedt volledige levenscyclusbeveiliging, detectie en responsdekking voor API's.

Defender voor API's helpt u inzicht te krijgen in bedrijfskritieke API's. U kunt uw API-beveiligingspostuur onderzoeken en verbeteren, prioriteit geven aan oplossingen voor beveiligingsproblemen en snel actieve realtime bedreigingen detecteren.

Meer informatie over Defender voor API's.

Volgende stappen

Zie Archiveren voor nieuwe functies in Defender for Cloud? voor eerdere wijzigingen in Defender voor Cloud.