Archiveren voor wat is er nieuw in Defender voor Cloud?
De primaire pagina Wat is er nieuw in Defender voor Cloud? Releaseopmerkingen bevat updates voor de afgelopen zes maanden, terwijl deze pagina oudere items bevat.
Op deze pagina vindt u informatie over:
- Nieuwe functies
- Bugfixes
- Vervangen functionaliteit
September 2023
Dashboard voor gegevensbeveiliging beschikbaar in openbare preview
27 september 2023
Het dashboard voor gegevensbeveiliging is nu beschikbaar in de openbare preview als onderdeel van het Defender CSPM-abonnement. Het dashboard voor gegevensbeveiliging is een interactief, gegevensgericht dashboard dat aanzienlijke risico's voor gevoelige gegevens verlicht, waarschuwingen en mogelijke aanvalspaden voor gegevens in hybride cloudworkloads prioriteert. Meer informatie over het dashboard voor gegevensbeveiliging.
Preview-release: Nieuw proces voor automatisch inrichten voor SQL Server op machinesplan
21 september 2023
Microsoft Monitoring Agent (MMA) wordt in augustus 2024 afgeschaft. Defender voor Cloud de strategie is bijgewerkt door MMA te vervangen door de release van een automatisch inrichtingsproces voor azure Monitoring Agent waarop SQL Server is gericht.
Tijdens de preview worden klanten die het MMA-proces voor automatische inrichting gebruiken met de optie Azure Monitor Agent (preview) aangevraagd om te migreren naar de nieuwe Azure Monitoring Agent voor SQL Server op machines (preview) voor automatische inrichting. Het migratieproces is naadloos en biedt continue beveiliging voor alle machines.
Zie Migrate to SQL Server-targeted Azure Monitoring Agent autoprovisioning process (Automatisch inrichten van Azure Monitoring Agent) voor meer informatie.
GitHub Advanced Security for Azure DevOps-waarschuwingen in Defender voor Cloud
20 september 2023
U kunt nu Waarschuwingen van GitHub Advanced Security for Azure DevOps (GHAzDO) weergeven met betrekking tot CodeQL, geheimen en afhankelijkheden in Defender voor Cloud. Resultaten worden weergegeven op de DevOps-pagina en in Aanbevelingen. Als u deze resultaten wilt zien, onboardt u uw opslagplaatsen met GHAzDO-functionaliteit naar Defender voor Cloud.
Meer informatie over GitHub Advanced Security voor Azure DevOps.
Vrijgestelde functionaliteit nu beschikbaar voor aanbevelingen voor Defender for API's
11 september 2023
U kunt nu aanbevelingen uitsluiten voor de volgende beveiligingsaanaanvelingen voor Defender for API's.
| Aanbeveling | Beschrijving en gerelateerd beleid | Ernst |
|---|---|---|
| (Preview) API-eindpunten die niet worden gebruikt, moeten worden uitgeschakeld en verwijderd uit de Azure API Management-service | Api-eindpunten die gedurende 30 dagen geen verkeer hebben ontvangen, worden als ongebruikt beschouwd en moeten worden verwijderd uit de Azure API Management-service. Het behouden van ongebruikte API-eindpunten kan een beveiligingsrisico vormen. Dit kunnen API's zijn die moeten zijn afgeschaft vanuit de Azure API Management-service, maar die per ongeluk actief zijn gebleven. Dergelijke API's ontvangen doorgaans niet de meest recente beveiligingsdekking. | Beperkt |
| (Preview) API-eindpunten in Azure API Management moeten worden geverifieerd | API-eindpunten die zijn gepubliceerd in Azure API Management moeten verificatie afdwingen om beveiligingsrisico's te minimaliseren. Verificatiemechanismen worden soms onjuist geïmplementeerd of ontbreken. Hierdoor kunnen aanvallers misbruik maken van implementatiefouten en toegang krijgen tot gegevens. Voor API's die zijn gepubliceerd in Azure API Management, beoordeelt deze aanbeveling de uitvoering van verificatie via abonnementssleutels, JWT en clientcertificaat dat is geconfigureerd in Azure API Management. Als geen van deze verificatiemechanismen wordt uitgevoerd tijdens de API-aanroep, ontvangt de API deze aanbeveling. | Hoog |
Meer informatie over het uitsluiten van aanbevelingen in Defender voor Cloud.
Voorbeeldwaarschuwingen maken voor Defender voor API-detecties
11 september 2023
U kunt nu voorbeeldwaarschuwingen genereren voor de beveiligingsdetecties die zijn uitgebracht als onderdeel van de openbare preview van Defender voor API's. Meer informatie over het genereren van voorbeeldwaarschuwingen in Defender voor Cloud.
Preview-versie: evaluatie van beveiligingsproblemen van containers mogelijk gemaakt door Microsoft Defender Vulnerability Management ondersteunt nu scannen op pull
6 september 2023
Evaluatie van beveiligingsproblemen van containers mogelijk gemaakt door Microsoft Defender Vulnerability Management (MDVM), ondersteunt nu een extra trigger voor het scannen van installatiekopieën die zijn opgehaald uit een ACR. Deze nieuw toegevoegde trigger biedt extra dekking voor actieve installatiekopieën, naast de bestaande triggers die installatiekopieën scannen die in de afgelopen 90 dagen naar een ACR zijn gepusht en installatiekopieën die momenteel worden uitgevoerd in AKS.
De nieuwe trigger wordt vandaag geïmplementeerd en is naar verwachting eind september beschikbaar voor alle klanten.
Zie Beoordeling van beveiligingsproblemen van containers mogelijk gemaakt door MDVM voor meer informatie
Naamgevingsindeling van CIS-standaarden (Center for Internet Security) bijgewerkt in naleving van regelgeving
6 september 2023
De naamgevingsindeling van CIS-basisbenchmarks (Center for Internet Security) in het nalevingsdashboard wordt gewijzigd van [Cloud] CIS [version number] in CIS [Cloud] Foundations v[version number]. Raadpleeg de volgende tabel:
| Huidige naam | Nieuwe naam |
|---|---|
| Azure CIS 1.1.0 | CIS Azure Foundations v1.1.0 |
| Azure CIS 1.3.0 | CIS Azure Foundations v1.3.0 |
| Azure CIS 1.4.0 | CIS Azure Foundations v1.4.0 |
| AWS CIS 1.2.0 | CIS AWS Foundations v1.2.0 |
| AWS CIS 1.5.0 | CIS AWS Foundations v1.5.0 |
| GCP CIS 1.1.0 | CIS GCP Foundations v1.1.0 |
| GCP CIS 1.2.0 | CIS GCP Foundations v1.2.0 |
Meer informatie over het verbeteren van uw naleving van regelgeving.
Detectie van gevoelige gegevens voor PaaS-databases (preview)
5 september 2023
Mogelijkheden voor gegevensbewuste beveiligingspostuur voor probleemloze detectie van gevoelige gegevens voor PaaS-databases (Azure SQL Databases en Amazon RDS-exemplaren van elk type) zijn nu beschikbaar als openbare preview. Met deze openbare preview kunt u een kaart maken van uw kritieke gegevens, waar deze zich ook bevinden, en het type gegevens dat in deze databases wordt gevonden.
Detectie van gevoelige gegevens voor Azure- en AWS-databases, voegt toe aan de gedeelde taxonomie en configuratie, die al openbaar beschikbaar is voor cloudobjectopslagresources (Azure Blob Storage, AWS S3-buckets en GCP-opslagbuckets) en biedt één configuratie- en activeringservaring.
Databases worden wekelijks gescand. Als u deze optie inschakelt sensitive data discovery, wordt detectie binnen 24 uur uitgevoerd. De resultaten kunnen worden weergegeven in Cloud Security Explorer of door de nieuwe aanvalspaden voor beheerde databases met gevoelige gegevens te bekijken.
Gegevensbewuste beveiligingspostuur voor databases is beschikbaar via het Defender CSPM-abonnement en wordt automatisch ingeschakeld voor abonnementen waarvoor sensitive data discovery de optie is ingeschakeld.
In de volgende artikelen vindt u meer informatie over gegevensbewuste beveiligingspostuur:
- Ondersteuning en vereisten voor gegevensbewuste beveiligingspostuur
- Gegevensbewuste beveiligingspostuur inschakelen
- Risico's voor gevoelige gegevens verkennen
Algemene beschikbaarheid (GA): scannen van malware in Defender for Storage
1 september 2023
Malwarescans zijn nu algemeen beschikbaar als een invoegtoepassing voor Defender for Storage. Met malwarescans in Defender for Storage kunt u uw opslagaccounts beschermen tegen schadelijke inhoud door in bijna realtime een volledige malwarescan uit te voeren op geüploade inhoud, met behulp van De mogelijkheden van Microsoft Defender Antivirus. Het is ontworpen om te voldoen aan de beveiligings- en nalevingsvereisten voor het verwerken van niet-vertrouwde inhoud. De scanfunctie voor malware is een SaaS-oplossing zonder agent die installatie op schaal mogelijk maakt en ondersteuning biedt voor het automatiseren van reacties op schaal.
Meer informatie over het scannen van malware in Defender for Storage.
Scannen op malware is geprijsd op basis van uw gegevensgebruik en budget. De facturering begint op 3 september 2023. Ga naar de pagina met prijzen voor meer informatie.
Als u het vorige plan gebruikt (nu microsoft Defender for Storage (klassiek) hernoemd), moet u proactief migreren naar het nieuwe plan om malwarescans in te schakelen.
Lees het blogbericht Microsoft Defender voor Cloud aankondiging.
Augustus 2023
De updates in augustus zijn onder meer:
Defender for Containers: Detectie zonder agent voor Kubernetes
30 augustus 2023
We zijn verheugd om Defender for Containers te introduceren: detectie zonder agent voor Kubernetes. Deze release markeert een belangrijke stap voorwaarts in containerbeveiliging, waardoor u geavanceerde inzichten en uitgebreide inventarismogelijkheden voor Kubernetes-omgevingen krijgt. De nieuwe containeraanbiedingen worden mogelijk gemaakt door de Defender voor Cloud contextuele beveiligingsgrafiek. Dit is wat u kunt verwachten van deze nieuwste update:
- Kubernetes-detectie zonder agent
- Uitgebreide inventarismogelijkheden
- Kubernetes-specifieke beveiligingsinzichten
- Verbeterde opsporing van risico's met Cloud Security Explorer
Detectie zonder agent voor Kubernetes is nu beschikbaar voor alle Klanten van Defender For Containers. U kunt vandaag nog aan de slag met deze geavanceerde mogelijkheden. We raden u aan uw abonnementen bij te werken zodat de volledige set extensies is ingeschakeld en profiteren van de nieuwste toevoegingen en functies. Ga naar het deelvenster Omgeving en instellingen van uw Defender for Containers-abonnement om de extensie in te schakelen.
Notitie
Als u de nieuwste toevoegingen inschakelt, worden er geen nieuwe kosten in rekening gebracht voor actieve Defender for Containers-klanten.
Zie Overzicht van Container security Microsoft Defender for Containers voor meer informatie.
Aanbevelingsrelease: Microsoft Defender for Storage moet zijn ingeschakeld met malwarescans en detectie van gevoelige gegevensrisico's
dinsdag 22 augustus 2023
Er is een nieuwe aanbeveling uitgebracht in Defender for Storage. Deze aanbeveling zorgt ervoor dat Defender for Storage is ingeschakeld op abonnementsniveau met mogelijkheden voor het scannen van malware en detectie van gevoelige gegevensrisico's.
| Aanbeveling | Beschrijving |
|---|---|
| Microsoft Defender voor Storage moet zijn ingeschakeld met malwarescans en detectie van gevoelige gegevensrisico's | Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. Met een eenvoudige configuratie zonder agent op schaal, wanneer deze is ingeschakeld op abonnementsniveau, worden alle bestaande en nieuw gemaakte opslagaccounts onder dat abonnement automatisch beveiligd. U kunt ook specifieke opslagaccounts uitsluiten van beveiligde abonnementen. |
Deze nieuwe aanbeveling vervangt de huidige aanbeveling Microsoft Defender for Storage should be enabled (evaluatiesleutel 1be22853-8ed1-4005-9907-ddad64cb1417). Deze aanbeveling is echter nog steeds beschikbaar in Azure Government-clouds.
Meer informatie over Microsoft Defender voor Storage.
Uitgebreide eigenschappen in Defender voor Cloud beveiligingswaarschuwingen worden gemaskeerd uit activiteitenlogboeken
17 augustus 2023
We hebben onlangs de manier gewijzigd waarop beveiligingswaarschuwingen en activiteitenlogboeken worden geïntegreerd. Om gevoelige klantgegevens beter te beveiligen, nemen we deze informatie niet meer op in activiteitenlogboeken. In plaats daarvan maskeren we het met sterretjes. Deze informatie is echter nog steeds beschikbaar via de waarschuwingen-API, continue export en de Defender voor Cloud-portal.
Klanten die afhankelijk zijn van activiteitenlogboeken om waarschuwingen naar hun SIEM-oplossingen te exporteren, moeten overwegen om een andere oplossing te gebruiken, omdat dit niet de aanbevolen methode is voor het exporteren van Defender voor Cloud beveiligingswaarschuwingen.
Zie Stream-waarschuwingen voor een SIEM-, SOAR- of IT-servicebeheeroplossing voor instructies over het exporteren van Defender voor Cloud beveiligingswaarschuwingen naar SIEM-, SOAR- en SOAR-toepassingen.
Preview-versie van GCP-ondersteuning in Defender CSPM
15 augustus 2023
We kondigen de preview-versie van de contextuele cloudbeveiligingsgrafiek en aanvalspadanalyse van Defender CSPM aan met ondersteuning voor GCP-resources. U kunt de kracht van Defender CSPM toepassen voor uitgebreide zichtbaarheid en intelligente cloudbeveiliging in GCP-resources.
Belangrijke functies van onze GCP-ondersteuning zijn:
- Analyse van aanvalspaden : krijg inzicht in de mogelijke routes die aanvallers kunnen nemen.
- Cloud Security Explorer : proactief beveiligingsrisico's identificeren door op grafieken gebaseerde query's uit te voeren op de beveiligingsgrafiek.
- Scannen zonder agent: scan servers en identificeer geheimen en beveiligingsproblemen zonder een agent te installeren.
- Gegevensbewuste beveiligingspostuur : risico's detecteren en oplossen voor gevoelige gegevens in Google Cloud Storage-buckets.
Meer informatie over opties voor Defender CSPM-plannen.
Nieuwe beveiligingswaarschuwingen in Defender for Servers Plan 2: Potentiële aanvallen detecteren die extensies van virtuele Azure-machines misbruiken
7 aug. 2023
Deze nieuwe reeks waarschuwingen is gericht op het detecteren van verdachte activiteiten van extensies van virtuele Azure-machines en biedt inzicht in pogingen van aanvallers om inbreuk te maken en schadelijke activiteiten uit te voeren op uw virtuele machines.
Microsoft Defender voor Servers kan nu verdachte activiteiten van de extensies van de virtuele machines detecteren, zodat u een betere dekking van de beveiliging van workloads krijgt.
Extensies van virtuele Azure-machines zijn kleine toepassingen die na de implementatie op virtuele machines worden uitgevoerd en die mogelijkheden bieden, zoals configuratie, automatisering, bewaking, beveiliging en meer. Hoewel extensies een krachtig hulpprogramma zijn, kunnen ze worden gebruikt door bedreigingsactoren voor verschillende schadelijke intenties, bijvoorbeeld:
- Gegevensverzameling en -bewaking
- Code-uitvoering en configuratie-implementatie met hoge bevoegdheden
- Referenties opnieuw instellen en gebruikers met beheerdersrechten maken
- Schijven versleutelen
Hier volgt een tabel met de nieuwe waarschuwingen.
| Waarschuwing (waarschuwingstype) | Beschrijving | MITRE-tactieken | Ernst |
|---|---|---|---|
| Verdachte fout bij het installeren van de GPU-extensie in uw abonnement (preview) (VM_GPUExtensionSuspiciousFailure) |
Suspicious intent of installing a GPU extension on unsupported VM's (Verdachte intentie van het installeren van een GPU-extensie op niet-ondersteunde VM's). Deze extensie moet worden geïnstalleerd op virtuele machines die zijn uitgerust met een grafische processor, en in dit geval zijn de virtuele machines niet uitgerust met een dergelijke extensie. Deze fouten kunnen worden gezien wanneer kwaadwillende kwaadwillende aanvallers meerdere installaties van een dergelijke extensie uitvoeren voor cryptoanalysedoeleinden. | Impact | Gemiddeld |
| Er is een verdachte installatie van een GPU-extensie gedetecteerd op uw virtuele machine (preview) (VM_GPUDriverExtensionUnusualExecution) Deze waarschuwing is uitgebracht in juli 2023. |
Er is een verdachte installatie van een GPU-extensie op uw virtuele machine gedetecteerd door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de GPU-stuurprogramma-extensie gebruiken om GPU-stuurprogramma's op uw virtuele machine te installeren via Azure Resource Manager om cryptojacking uit te voeren. Deze activiteit wordt verdacht geacht omdat het gedrag van de principal afwijkt van de gebruikelijke patronen. | Impact | Beperkt |
| Opdracht uitvoeren met een verdacht script is gedetecteerd op uw virtuele machine (preview) (VM_RunCommandSuspiciousScript) |
Er is een opdracht uitvoeren met een verdacht script gedetecteerd op uw virtuele machine door de Bewerkingen van Azure Resource Manager in uw abonnement te analyseren. Aanvallers kunnen Run Command gebruiken om schadelijke code uit te voeren met hoge bevoegdheden op uw virtuele machine via Azure Resource Manager. Het script wordt verdacht geacht omdat bepaalde onderdelen zijn geïdentificeerd als mogelijk schadelijk. | Uitvoering | Hoog |
| Verdacht gebruik van niet-geautoriseerde run-opdrachten is gedetecteerd op uw virtuele machine (preview) (VM_RunCommandSuspiciousFailure) |
Suspicious unauthorized usage of Run Command has failed and is detected on your virtual machine by analysis the Azure Resource Manager operations in your subscription (Verdachte niet-geautoriseerde uitvoeringsopdracht is mislukt) en is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen proberen de opdracht Uitvoeren te gebruiken om schadelijke code uit te voeren met hoge bevoegdheden op uw virtuele machines via Azure Resource Manager. Deze activiteit wordt verdacht geacht omdat deze nog niet eerder is gezien. | Uitvoering | Gemiddeld |
| Verdacht gebruik van opdracht uitvoeren is gedetecteerd op uw virtuele machine (preview) (VM_RunCommandSuspiciousUsage) |
Suspicious usage of Run Command is detected on your virtual machine by analysis the Azure Resource Manager operations in your subscription (Verdachte uitvoeringsopdracht op uw virtuele machine gedetecteerd door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren). Aanvallers kunnen De opdracht Uitvoeren gebruiken om schadelijke code uit te voeren met hoge bevoegdheden op uw virtuele machines via Azure Resource Manager. Deze activiteit wordt verdacht geacht omdat deze nog niet eerder is gezien. | Uitvoering | Beperkt |
| Er is verdacht gebruik van meerdere bewakings- of gegevensverzamelingsextensies gedetecteerd op uw virtuele machines (preview) (VM_SuspiciousMultiExtensionUsage) |
Suspicious usage of multiple monitoring or data collection extensions is detected on your virtual machines by analysis the Azure Resource Manager operations in your subscription (Verdacht gebruik van meerdere extensies voor bewaking of gegevensverzameling op uw virtuele machines) door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen dergelijke extensies misbruiken voor gegevensverzameling, bewaking van netwerkverkeer en meer in uw abonnement. Dit gebruik wordt verdacht geacht omdat dit nog niet eerder is gezien. | Verkenning | Gemiddeld |
| Er is een verdachte installatie van schijfversleutelingsextensies gedetecteerd op uw virtuele machines (preview) (VM_DiskEncryptionSuspiciousUsage) |
Er is een verdachte installatie van schijfversleutelingsextensies op uw virtuele machines gedetecteerd door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de schijfversleutelingsextensie misbruiken om volledige schijfversleuteling op uw virtuele machines te implementeren via Azure Resource Manager in een poging om ransomware-activiteit uit te voeren. Deze activiteit wordt verdacht geacht omdat deze niet eerder is gezien en vanwege het grote aantal extensie-installaties. | Impact | Gemiddeld |
| Verdacht gebruik van vm-toegangsextensie is gedetecteerd op uw virtuele machines (preview) (VM_VMAccessSuspiciousUsage) |
Suspicious usage of VM Access extension is detected on your virtual machines (Verdacht gebruik van vm-toegangsuitbreiding gedetecteerd op uw virtuele machines). Aanvallers kunnen misbruik maken van de VM-toegangsextensie om toegang te krijgen en inbreuk te maken op uw virtuele machines met hoge bevoegdheden door toegangsrechten opnieuw in te stellen of gebruikers met beheerdersrechten te beheren. Deze activiteit wordt verdacht geacht omdat het gedrag van de principal afwijkt van de gebruikelijke patronen en vanwege het hoge aantal extensie-installaties. | Persistentie | Gemiddeld |
| De DSC-extensie (Desired State Configuration) met een verdacht script is gedetecteerd op uw virtuele machine (preview) (VM_DSCExtensionSuspiciousScript) |
De DSC-extensie (Desired State Configuration) met een verdacht script is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de DSC-extensie (Desired State Configuration) gebruiken om schadelijke configuraties te implementeren, zoals persistentiemechanismen, schadelijke scripts en meer, met hoge bevoegdheden, op uw virtuele machines. Het script wordt verdacht geacht omdat bepaalde onderdelen zijn geïdentificeerd als mogelijk schadelijk. | Uitvoering | Hoog |
| Verdacht gebruik van een DSC-extensie (Desired State Configuration) is gedetecteerd op uw virtuele machines (preview) (VM_DSCExtensionSuspiciousUsage) |
Verdacht gebruik van een DSC-extensie (Desired State Configuration) is gedetecteerd op uw virtuele machines door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de DSC-extensie (Desired State Configuration) gebruiken om schadelijke configuraties te implementeren, zoals persistentiemechanismen, schadelijke scripts en meer, met hoge bevoegdheden, op uw virtuele machines. Deze activiteit wordt verdacht geacht omdat het gedrag van de principal afwijkt van de gebruikelijke patronen en vanwege het hoge aantal extensie-installaties. | Impact | Beperkt |
| Aangepaste scriptextensie met een verdacht script is gedetecteerd op uw virtuele machine (preview) (VM_CustomScriptExtensionSuspiciousCmd) (Deze waarschuwing bestaat al en is verbeterd met meer verbeterde logica- en detectiemethoden.) |
Aangepaste scriptextensie met een verdacht script is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de aangepaste scriptextensie gebruiken om schadelijke code uit te voeren met hoge bevoegdheden op uw virtuele machine via Azure Resource Manager. Het script wordt verdacht geacht omdat bepaalde onderdelen zijn geïdentificeerd als mogelijk schadelijk. | Uitvoering | Hoog |
Bekijk de waarschuwingen op basis van extensies in Defender voor Servers.
Zie de referentietabel voor alle beveiligingswaarschuwingen in Microsoft Defender voor Cloud voor een volledige lijst met waarschuwingen.
Bedrijfsmodel- en prijsupdates voor Defender voor Cloud-abonnementen
1 augustus 2023
Microsoft Defender voor Cloud heeft drie abonnementen die servicelaagbeveiliging bieden:
Defender voor Key Vault
Defender voor Resource Manager
Defender voor DNS
Deze plannen zijn overgestapt op een nieuw bedrijfsmodel met verschillende prijzen en pakketten om feedback van klanten met betrekking tot de voorspelbaarheid van bestedingen aan te pakken en de algehele kostenstructuur te vereenvoudigen.
Samenvatting van wijzigingen in bedrijfsmodel en prijzen:
Bestaande klanten van Defender voor Key-Vault, Defender voor Resource Manager en Defender voor DNS behouden hun huidige bedrijfsmodel en prijzen, tenzij ze actief overschakelen naar het nieuwe bedrijfsmodel en de prijs.
- Defender voor Resource Manager: dit abonnement heeft een vaste prijs per abonnement per maand. Klanten kunnen overschakelen naar het nieuwe bedrijfsmodel door het nieuwe Defender for Resource Manager-model per abonnementsmodel te selecteren.
Bestaande klanten van Defender voor Key-Vault, Defender voor Resource Manager en Defender voor DNS behouden hun huidige bedrijfsmodel en prijzen, tenzij ze actief overschakelen naar het nieuwe bedrijfsmodel en de prijs.
- Defender voor Resource Manager: dit abonnement heeft een vaste prijs per abonnement per maand. Klanten kunnen overschakelen naar het nieuwe bedrijfsmodel door het nieuwe Defender for Resource Manager-model per abonnementsmodel te selecteren.
- Defender voor Key Vault: Dit abonnement heeft een vaste prijs per kluis, per maand zonder overschrijdingskosten. Klanten kunnen overschakelen naar het nieuwe bedrijfsmodel door het nieuwe Defender voor Key Vault-model per kluismodel te selecteren
- Defender voor DNS: Klanten van Defender for Servers Plan 2 krijgen zonder extra kosten toegang tot Defender voor DNS-waarde als onderdeel van Defender for Servers Plan 2. Klanten die zowel Defender voor Server-abonnement 2 als Defender voor DNS hebben, worden niet meer in rekening gebracht voor Defender voor DNS. Defender voor DNS is niet meer beschikbaar als zelfstandig abonnement.
Meer informatie over de prijzen voor deze abonnementen vindt u op de pagina met Defender voor Cloud prijzen.
Juli 2023
De updates in juli zijn onder meer:
Preview-versie van containers Vulnerability Assessment mogelijk gemaakt door Microsoft Defender Vulnerability Management (MDVM) in Defender for Containers en Defender for Container Registries
31 juli 2023
We kondigen de release van Evaluatie van beveiligingsproblemen (VA) voor Linux-containerinstallatiekopieën aan in Azure-containerregisters, mogelijk gemaakt door Microsoft Defender Vulnerability Management (MDVM) in Defender for Containers en Defender for Container-registers. De nieuwe container VA-aanbieding wordt geleverd naast onze bestaande Container VA-aanbieding mogelijk gemaakt door Qualys in zowel Defender for Containers als Defender for Container Registries, en bevat dagelijkse herscans van containerinstallatiekopieën, exploitabiliteitsinformatie, ondersteuning voor os en programmeertalen (SCA) en meer.
Deze nieuwe aanbieding wordt vandaag uitgerold en is naar verwachting tegen 7 augustus beschikbaar voor alle klanten.
Zie Container Vulnerability Assessment mogelijk gemaakt door MDVM en Microsoft Defender Vulnerability Management (MDVM) voor meer informatie.
De postuur van containers zonder agent in Defender CSPM is nu algemeen beschikbaar
30 juli 2023
Mogelijkheden voor containerpostuur zonder agent zijn nu algemeen beschikbaar (GA) als onderdeel van het Defender CSPM-plan (Cloud Security Posture Management).
Meer informatie over containerpostuur zonder agent in Defender CSPM.
Beheer van automatische updates voor Defender voor Eindpunt voor Linux
20 juli 2023
Standaard probeert Defender voor Cloud uw Defender voor Eindpunt voor Linux-agents bij te werken die zijn toegevoegd aan de MDE.Linux extensie. Met deze release kunt u deze instelling beheren en afmelden bij de standaardconfiguratie om uw updatecycli handmatig te beheren.
Meer informatie over het beheren van de configuratie van automatische updates voor Linux.
Geheimen zonder agent scannen op virtuele machines in Defender voor servers P2 & Defender CSPM
18 juli 2023
Geheimen scannen is nu beschikbaar als onderdeel van het scannen zonder agent in Defender voor Servers P2 en Defender CSPM. Deze mogelijkheid helpt bij het detecteren van onbeheerde en onveilige geheimen die zijn opgeslagen op virtuele machines in Azure- of AWS-resources die kunnen worden gebruikt om lateraal in het netwerk te worden verplaatst. Als er geheimen worden gedetecteerd, kan Defender voor Cloud helpen bij het prioriteren en uitvoeren van actiebare herstelstappen om het risico op laterale verplaatsing te minimaliseren, allemaal zonder dat dit van invloed is op de prestaties van uw machine.
Zie Geheimen beheren met scannen zonder agent voor meer informatie over het beveiligen van uw geheimen met het scannen van geheimen.
Nieuwe beveiligingswaarschuwing in Defender for Servers-abonnement 2: potentiële aanvallen detecteren die gebruikmaken van gpu-stuurprogramma-extensies voor Azure-VM's
12 juli 2023
Deze waarschuwing is gericht op het identificeren van verdachte activiteiten die gebruikmaken van GPU-stuurprogramma-extensies voor virtuele Azure-machines en biedt inzicht in pogingen van aanvallers om inbreuk te maken op uw virtuele machines. De waarschuwing is gericht op verdachte implementaties van GPU-stuurprogramma-extensies; dergelijke extensies worden vaak misbruikt door bedreigingsactoren om de volledige kracht van de GPU-kaart te gebruiken en cryptojacking uit te voeren.
| Weergavenaam van waarschuwing (Waarschuwingstype) |
Beschrijving | Ernst | MITRE-tactiek |
|---|---|---|---|
| Verdachte installatie van GPU-extensie op uw virtuele machine (preview) (VM_GPUDriverExtensionUnusualExecution) |
Er is een verdachte installatie van een GPU-extensie gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de GPU-stuurprogramma-extensie gebruiken om GPU-stuurprogramma's op uw virtuele machine te installeren via Azure Resource Manager om cryptojacking uit te voeren. | Beperkt | Impact |
Zie de referentietabel voor alle beveiligingswaarschuwingen in Microsoft Defender voor Cloud voor een volledige lijst met waarschuwingen.
Ondersteuning voor het uitschakelen van specifieke resultaten van beveiligingsproblemen
9 juli 2023
Release van ondersteuning voor het uitschakelen van resultaten van beveiligingsproblemen voor uw containerregisterinstallatiekopieën of het uitvoeren van installatiekopieën als onderdeel van de postuur van containers zonder agent. Als u een organisatie hebt die een beveiligingsprobleem moet negeren in uw containerregisterinstallatiekopie in plaats van deze te herstellen, kunt u deze desgewenst uitschakelen. Uitgeschakelde bevindingen hebben geen invloed op uw beveiligingsscore of genereren ongewenste ruis.
Gegevensbewuste beveiligingspostuur is nu algemeen beschikbaar
1 juli 2023
Gegevensbewuste beveiligingspostuur in Microsoft Defender voor Cloud is nu algemeen beschikbaar. Het helpt klanten om gegevensrisico's te verminderen en te reageren op gegevensschendingen. Met gegevensbewuste beveiligingspostuur kunt u het volgende doen:
- Automatisch gevoelige gegevensbronnen detecteren in Azure en AWS.
- Evalueer gegevensgevoeligheid, gegevensblootstelling en hoe gegevens in de hele organisatie stromen.
- Proactief en continu risico's blootleggen die kunnen leiden tot gegevensschendingen.
- Detect suspicious activities that might indicate ongoing threats to sensitive data resources (Verdachte activiteiten detecteren die kunnen wijzen op lopende bedreigingen voor gevoelige gegevensbronnen)
Zie Gegevensbewuste beveiligingspostuur in Microsoft Defender voor Cloud voor meer informatie.
Juni 2023
De updates in juni zijn onder meer:
Gestroomlijnde onboarding van meerdere cloudaccounts met verbeterde instellingen
26 juni 2023
Defender voor Cloud heeft de onboarding-ervaring verbeterd met een nieuwe gestroomlijnde gebruikersinterface en instructies, naast nieuwe mogelijkheden waarmee u uw AWS- en GCP-omgevingen kunt onboarden terwijl u toegang verleent tot geavanceerde onboardingfuncties.
Voor organisaties die Hashicorp Terraform hebben aangenomen voor automatisering, biedt Defender voor Cloud nu de mogelijkheid om Terraform te gebruiken als de implementatiemethode naast AWS CloudFormation of GCP Cloud Shell. U kunt nu de vereiste rolnamen aanpassen bij het maken van de integratie. U kunt ook kiezen tussen:
Standaardtoegang: hiermee kunt Defender voor Cloud uw resources scannen en automatisch toekomstige mogelijkheden opnemen.
Minst bevoegde toegang - verleent Defender voor Cloud toegang alleen tot de huidige machtigingen die nodig zijn voor de geselecteerde plannen.
Als u de minst bevoegde machtigingen selecteert, ontvangt u alleen meldingen over nieuwe rollen en machtigingen die nodig zijn om volledige functionaliteit op de connectorstatus te krijgen.
Defender voor Cloud kunt u onderscheid maken tussen uw cloudaccounts op basis van hun eigen namen van de cloudleveranciers. Bijvoorbeeld AWS-accountaliassen en GCP-projectnamen.
Ondersteuning voor privé-eindpunten voor malwarescans in Defender voor Opslag
25 juni 2023
Ondersteuning voor privé-eindpunten is nu beschikbaar als onderdeel van de openbare preview van malwarescans in Defender for Storage. Met deze mogelijkheid kunt u malwarescans inschakelen voor opslagaccounts die gebruikmaken van privé-eindpunten. Er is geen andere configuratie nodig.
Met malwarescans (preview) in Defender for Storage kunt u uw opslagaccounts beschermen tegen schadelijke inhoud door een volledige malwarescan uit te voeren op geüploade inhoud in bijna realtime, met behulp van de mogelijkheden van Microsoft Defender Antivirus. Het is ontworpen om te voldoen aan de beveiligings- en nalevingsvereisten voor het verwerken van niet-vertrouwde inhoud. Het is een SaaS-oplossing zonder agent die eenvoudige installatie op schaal mogelijk maakt, zonder onderhoud en ondersteuning biedt voor het automatiseren van reacties op schaal.
Privé-eindpunten bieden beveiligde connectiviteit met uw Azure Storage-services, waardoor blootstelling aan openbaar internet effectief wordt geëlimineerd en worden beschouwd als een aanbevolen beveiligingspraktijk.
Voor opslagaccounts met privé-eindpunten waarvoor malwarescans al zijn ingeschakeld, moet u het plan met malwarescans uitschakelen en inschakelen om dit te laten werken.
Meer informatie over het gebruik van privé-eindpunten in Defender for Storage en hoe u uw opslagservices verder kunt beveiligen.
Aanbeveling die is uitgebracht voor preview: het uitvoeren van containerinstallatiekopieën moet beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management)
21 juni 2023
Er wordt een nieuwe containeraan aanbeveling uitgebracht in Defender CSPM, mogelijk gemaakt door MDVM, voor preview:
| Aanbeveling | Beschrijving | Evaluatiesleutel |
|---|---|---|
| Als u containerinstallatiekopieën uitvoert, moeten de resultaten van beveiligingsproblemen zijn opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management)(preview) | Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Deze aanbeveling biedt inzicht in kwetsbare installatiekopieën die momenteel worden uitgevoerd in uw Kubernetes-clusters. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën die momenteel worden uitgevoerd, is essentieel voor het verbeteren van uw beveiligingspostuur, waardoor de kwetsbaarheid voor aanvallen voor uw in containers geplaatste workloads aanzienlijk wordt verminderd. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Deze nieuwe aanbeveling vervangt de huidige aanbeveling van dezelfde naam, mogelijk gemaakt door Qualys, alleen in Defender CSPM (vervang evaluatiesleutel 41503391-efa5-47ee-9282-4eff6131462c).
Controle-updates zijn aangebracht in de NIST 800-53-standaarden in naleving van regelgeving
15 juni 2023
De NIST 800-53-standaarden (zowel R4 als R5) zijn onlangs bijgewerkt met controlewijzigingen in Microsoft Defender voor Cloud naleving van regelgeving. De door Microsoft beheerde besturingselementen zijn verwijderd uit de standaard en de informatie over de implementatie van Microsoft-verantwoordelijkheid (als onderdeel van het model voor gedeelde verantwoordelijkheid in de cloud) is nu alleen beschikbaar in het detailvenster voor besturingselementen onder Microsoft Actions.
Deze besturingselementen zijn eerder berekend als doorgegeven besturingselementen, dus u ziet mogelijk een aanzienlijke dip in uw nalevingsscore voor NIST-standaarden tussen april 2023 en mei 2023.
Zie zelfstudie: Controles voor naleving van regelgeving - Microsoft Defender voor Cloud voor meer informatie over nalevingscontroles.
Het plannen van cloudmigratie met een Azure Migrate-bedrijfscase bevat nu Defender voor Cloud
11 juni 2023
U kunt nu potentiële kostenbesparingen in beveiliging ontdekken door Defender voor Cloud toe te passen binnen de context van een Azure Migrate-bedrijfscase.
Snelle configuratie voor evaluaties van beveiligingsproblemen in Defender voor SQL is nu algemeen beschikbaar
7 juni 2023
Snelle configuratie voor evaluaties van beveiligingsproblemen in Defender voor SQL is nu algemeen beschikbaar. Express-configuratie biedt een gestroomlijnde onboarding-ervaring voor evaluaties van SQL-beveiligingsproblemen met behulp van een configuratie met één klik (of een API-aanroep). Er zijn geen extra instellingen of afhankelijkheden van beheerde opslagaccounts nodig.
Bekijk deze blog voor meer informatie over snelle configuratie.
U kunt de verschillen tussen snelle en klassieke configuratie leren.
Meer bereiken toegevoegd aan bestaande Azure DevOps-Verbinding maken ors
6 juni 2023
Defender voor DevOps heeft de volgende extra bereiken toegevoegd aan de Azure DevOps-toepassing (ADO):
Geavanceerde beveiligingsbeheer:
vso.advsec_manage. Dit is nodig om u in staat te stellen Om GitHub Advanced Security for ADO in te schakelen, uit te schakelen en te beheren.Containertoewijzing:
vso.extension_manage, ;vso.gallery_managerDit is nodig om u in staat te stellen de decoratorextensie te delen met de ADO-organisatie.
Alleen nieuwe Defender voor DevOps-klanten die ADO-resources willen onboarden voor Microsoft Defender voor Cloud worden beïnvloed door deze wijziging.
Onboarding rechtstreeks (zonder Azure Arc) naar Defender for Servers is nu algemeen beschikbaar
5 juni 2023
Voorheen moest Azure Arc niet-Azure-servers onboarden naar Defender for Servers. Met de nieuwste release kunt u uw on-premises servers echter ook onboarden naar Defender for Servers met alleen de Microsoft Defender voor Eindpunt-agent.
Deze nieuwe methode vereenvoudigt het onboardingproces voor klanten die zich richten op de kerneindpuntbeveiliging en stelt u in staat om te profiteren van facturering op basis van het verbruik van Defender for Servers voor zowel cloud- als niet-cloudactiva. De directe onboarding-optie via Defender voor Eindpunt is nu beschikbaar, met facturering voor onboardingcomputers vanaf 1 juli.
Zie Verbinding maken uw niet-Azure-machines Microsoft Defender voor Cloud met Defender voor Eindpunt voor meer informatie.
Detectie op basis van agents vervangen door detectie zonder agent voor mogelijkheden voor containers in Defender CSPM
4 juni 2023
Met mogelijkheden voor containerpostuur zonder agent die beschikbaar zijn in Defender CSPM, worden de detectiemogelijkheden op basis van agents nu buiten gebruik gesteld. Als u momenteel containermogelijkheden in Defender CSPM gebruikt, moet u ervoor zorgen dat de relevante extensies zijn ingeschakeld om containergerelateerde waarde te blijven ontvangen van de nieuwe mogelijkheden zonder agent, zoals containergerelateerde aanvalspaden, inzichten en inventaris. (Het kan tot 24 uur duren voordat de uitbreidingen worden ingeschakeld).
Meer informatie over de postuur van containers zonder agent.
Mei 2023
Updates in kunnen zijn onder andere:
- Nieuwe waarschuwing in Defender voor Key Vault
- Scannen zonder agent ondersteunt nu versleutelde schijven in AWS
- Herziene naamconventies voor JIT-regels (Just-In-Time) in Defender voor Cloud
- Geselecteerde AWS-regio's onboarden
- Meerdere wijzigingen in identiteitsaanaanveling
- Afschaffing van verouderde standaarden in nalevingsdashboard
- Twee Defender voor DevOps-aanbevelingen bevatten nu scanresultaten van Azure DevOps
- Nieuwe standaardinstelling voor de oplossing voor evaluatie van beveiligingsproblemen van Defender for Servers
- Een CSV-rapport van de queryresultaten van cloud security Explorer downloaden (preview)
- Release van containers Vulnerability Assessment mogelijk gemaakt door Microsoft Defender Vulnerability Management (MDVM) in Defender CSPM
- Naam wijzigen van containeraanbevelingen mogelijk gemaakt door Qualys
- Update van Defender voor DevOps GitHub-toepassing
- Aantekeningen in Azure DevOps-pull-aanvragen in Azure DevOps-opslagplaatsen bevatten nu infrastructuur als onjuiste configuraties van code
Nieuwe waarschuwing in Defender voor Key Vault
| Waarschuwing (waarschuwingstype) | Beschrijving | MITRE-tactieken | Ernst |
|---|---|---|---|
| Ongebruikelijke toegang tot de sleutelkluis vanaf een verdacht IP-adres (niet-Microsoft of extern) (KV_UnusualAccessSuspiciousIP) |
Een gebruiker of service-principal heeft in de afgelopen 24 uur geprobeerd afwijkende toegang te krijgen tot sleutelkluizen vanaf een niet-Microsoft IP-adres. Dit afwijkende toegangspatroon kan legitieme activiteit zijn. Het kan een indicatie zijn van een mogelijke poging om toegang te krijgen tot de sleutelkluis en de geheimen daarin. We raden verder onderzoek aan. | Referentietoegang | Gemiddeld |
Zie Waarschuwingen voor Azure Key Vault voor alle beschikbare waarschuwingen.
Scannen zonder agent ondersteunt nu versleutelde schijven in AWS
Scannen zonder agent voor VM's ondersteunt nu het verwerken van exemplaren met versleutelde schijven in AWS, met zowel CMK als PMK.
Deze uitgebreide ondersteuning verhoogt de dekking en zichtbaarheid van uw cloudomgeving zonder dat dit van invloed is op uw actieve workloads. Ondersteuning voor versleutelde schijven onderhoudt dezelfde nuleffectmethode voor actieve exemplaren.
- Voor nieuwe klanten die scannen zonder agent in AWS inschakelen, is de dekking van versleutelde schijven ingebouwd en wordt standaard ondersteund.
- Voor bestaande klanten die al een AWS-connector hebben waarvoor scannen zonder agent is ingeschakeld, moet u de CloudFormation-stack opnieuw toepassen op uw onboarded AWS-accounts om de nieuwe machtigingen bij te werken en toe te voegen die nodig zijn om versleutelde schijven te verwerken. De bijgewerkte CloudFormation-sjabloon bevat nieuwe toewijzingen waarmee Defender voor Cloud versleutelde schijven kan verwerken.
Meer informatie over de machtigingen die worden gebruikt om AWS-exemplaren te scannen.
Uw CloudFormation-stack opnieuw toepassen:
- Ga naar Defender voor Cloud omgevingsinstellingen en open uw AWS-connector.
- Navigeer naar het tabblad Toegang configureren.
- Selecteer Klik om de CloudFormation-sjabloon te downloaden.
- Navigeer naar uw AWS-omgeving en pas de bijgewerkte sjabloon toe.
Meer informatie over scannen zonder agent en het inschakelen van scannen zonder agent in AWS.
Herziene naamconventies voor JIT-regels (Just-In-Time) in Defender voor Cloud
We hebben de JIT-regels (Just-In-Time) aangepast aan de Microsoft Defender voor Cloud merk. We hebben de naamconventies voor regels voor Azure Firewall en NSG (Netwerkbeveiligingsgroep) gewijzigd.
De wijzigingen worden als volgt weergegeven:
| Beschrijving | Oude naam | Nieuwe naam |
|---|---|---|
| JIT-regelnamen (toestaan en weigeren) in NSG (netwerkbeveiligingsgroep) | SecurityCenter-JITRule | MicrosoftDefenderForCloud-JITRule |
| JIT-regelbeschrijvingen in NSG | ASC JIT-netwerktoegangsregel | MDC JIT-netwerktoegangsregel |
| Verzamelingsnamen van JIT-firewallregels | ASC-JIT | MDC-JIT |
| Namen van JIT-firewallregels | ASC-JIT | MDC-JIT |
Meer informatie over het beveiligen van uw beheerpoorten met Just-In-Time-toegang.
Geselecteerde AWS-regio's onboarden
Om u te helpen bij het beheren van uw AWS CloudTrail-kosten en nalevingsbehoeften, kunt u nu selecteren welke AWS-regio's moeten worden gescand wanneer u een cloudconnector toevoegt of bewerkt. U kunt nu geselecteerde SPECIFIEKE AWS-regio's of alle beschikbare regio's (standaard) scannen wanneer u uw AWS-accounts onboardt voor Defender voor Cloud. Meer informatie vindt u in Verbinding maken uw AWS-account voor Microsoft Defender voor Cloud.
Meerdere wijzigingen in identiteitsaanaanveling
De volgende aanbevelingen worden nu uitgebracht als algemene beschikbaarheid (GA) en vervangen de V1-aanbevelingen die nu zijn afgeschaft.
Algemene beschikbaarheid (GA) release van identiteitsaanaanveling V2
In de V2-versie van identiteitsaanaanvelingen worden de volgende verbeteringen geïntroduceerd:
- Het bereik van de scan is uitgebreid met alle Azure-resources, niet alleen abonnementen. Hierdoor kunnen beveiligingsbeheerders roltoewijzingen per account weergeven.
- Specifieke accounts kunnen nu worden uitgesloten van evaluatie. Accounts zoals break glass of serviceaccounts kunnen worden uitgesloten door beveiligingsbeheerders.
- De scanfrequentie is verhoogd van 24 uur tot 12 uur, waardoor de identiteitsaanbeveling beter up-to-date en nauwkeurig is.
De volgende beveiligingsaankopen zijn beschikbaar in algemene beschikbaarheid en vervangen de V1-aanbevelingen:
| Aanbeveling | Evaluatiesleutel |
|---|---|
| Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | 6240402e-f77c-46fa-9060-a7ce53997754 |
| Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | c0cb17b2-0607-48a7-b0e0-903ed22de39b |
| Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c |
| Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd | 20606e75-05c4-48c0-9d97-add6daa2109a |
| Gastaccounts met schrijfmachtigingen voor Azure-resources moeten worden verwijderd | 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb |
| Gastaccounts met leesmachtigingen voor Azure-resources moeten worden verwijderd | fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 |
| Geblokkeerde accounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd | 050ac097-3dda-4d24-ab6d-82568e7a50cf |
| Geblokkeerde accounts met lees- en schrijfmachtigingen voor Azure-resources moeten worden verwijderd | 1ff0b4c9-ed56-4de6-be9c-d7ab39645926 |
Afschaffing van identiteitsaanbevelingen V1
De volgende beveiligingsaanbevelingen zijn nu afgeschaft:
| Aanbeveling | Evaluatiesleutel |
|---|---|
| MFA moet zijn ingeschakeld voor accounts met eigenaarsmachtigingen voor abonnementen | 94290b00-4d0c-d7b4-7cea-064a9554e681 |
| MFA moet zijn ingeschakeld voor accounts met schrijfmachtigingen voor abonnementen | 57e98606-6b1e-6193-0e3d-fe621387c16b |
| MFA moet zijn ingeschakeld voor accounts met leesmachtigingen voor abonnementen | 151e82c5-5341-a74b-1eb0-bc38d2c84bb5 |
| Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit abonnementen | c3b6ae71-f1f0-31b4-e6c1-d5951285d03d |
| Externe accounts met schrijfmachtigingen moeten worden verwijderd uit abonnementen | 04e7147b-0deb-9796-2e5c-0336343ceb3d |
| Externe accounts met leesmachtigingen moeten worden verwijderd uit abonnementen | a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b |
| Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit abonnementen | e52064aa-6853-e252-a11e-dffc675689c2 |
| Afgeschafte accounts moeten worden verwijderd uit abonnementen | 00c6d40b-e990-6acf-d4f3-471e747a27c4 |
Het is raadzaam om uw aangepaste scripts, werkstromen en governanceregels bij te werken zodat deze overeenkomen met de V2-aanbevelingen.
Afschaffing van verouderde standaarden in nalevingsdashboard
Verouderde PCI DSS v3.2.1 en verouderde SOC TSP zijn volledig afgeschaft in het Defender voor Cloud nalevingsdashboard en vervangen door SOC 2 Type 2-initiatief en PCI DSS v4-nalevingsstandaarden. We hebben de ondersteuning van PCI DSS Standard/Initiative volledig afgeschaft in Microsoft Azure beheerd door 21Vianet.
Meer informatie over het aanpassen van de set standaarden in uw dashboard voor naleving van regelgeving.
Twee Defender voor DevOps-aanbevelingen bevatten nu scanresultaten van Azure DevOps
Defender voor DevOps Code en IaC heeft de dekking van aanbevelingen uitgebreid in Microsoft Defender voor Cloud om azure DevOps-beveiligingsresultaten op te nemen voor de volgende twee aanbevelingen:
Code repositories should have code scanning findings resolvedCode repositories should have infrastructure as code scanning findings resolved
Voorheen bevatte dekking voor Azure DevOps-beveiligingsscans alleen de aanbeveling voor geheimen.
Meer informatie over Defender voor DevOps.
Nieuwe standaardinstelling voor de oplossing voor evaluatie van beveiligingsproblemen van Defender for Servers
Oplossingen voor evaluatie van beveiligingsproblemen (VA) zijn essentieel om machines te beschermen tegen cyberaanvallen en gegevensschendingen.
Microsoft Defender Vulnerability Management (MDVM) is nu ingeschakeld als de standaard, ingebouwde oplossing voor alle abonnementen die worden beveiligd door Defender voor Servers waarvoor nog geen VA-oplossing is geselecteerd.
Als voor een abonnement een VA-oplossing is ingeschakeld op een van de VM's, worden er geen wijzigingen aangebracht en wordt MDVM niet standaard ingeschakeld op de resterende VM's in dat abonnement. U kunt ervoor kiezen om een VA-oplossing in te schakelen op de resterende VM's in uw abonnementen.
Meer informatie over het vinden van beveiligingsproblemen en het verzamelen van software-inventaris met scannen zonder agent (preview).
Een CSV-rapport van de queryresultaten van cloud security Explorer downloaden (preview)
Defender voor Cloud heeft de mogelijkheid toegevoegd om een CSV-rapport van de queryresultaten van cloud security Explorer te downloaden.
Nadat u een zoekopdracht naar een query hebt uitgevoerd, kunt u de knop CSV-rapport downloaden (preview) selecteren op de pagina Cloud Security Explorer in Defender voor Cloud.
Meer informatie over het bouwen van query's met Cloud Security Explorer
Release van containers Vulnerability Assessment mogelijk gemaakt door Microsoft Defender Vulnerability Management (MDVM) in Defender CSPM
We kondigen de release van Evaluatie van beveiligingsproblemen voor Linux-installatiekopieën in Azure-containerregisters aan, mogelijk gemaakt door Microsoft Defender Vulnerability Management (MDVM) in Defender CSPM. Deze release omvat het dagelijks scannen van afbeeldingen. Bevindingen die worden gebruikt in Security Explorer en aanvalspaden zijn afhankelijk van MDVM Vulnerability Assessment in plaats van de Qualys-scanner.
De bestaande aanbeveling Container registry images should have vulnerability findings resolved wordt vervangen door een nieuwe aanbeveling die mogelijk wordt gemaakt door MDVM:
| Aanbeveling | Beschrijving | Evaluatiesleutel |
|---|---|---|
| Containerregisterinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) | Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Deze aanbeveling biedt inzicht in kwetsbare installatiekopieën die momenteel worden uitgevoerd in uw Kubernetes-clusters. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën die momenteel worden uitgevoerd, is essentieel voor het verbeteren van uw beveiligingspostuur, waardoor de kwetsbaarheid voor aanvallen voor uw in containers geplaatste workloads aanzienlijk wordt verminderd. | dbd0cb49-b563-45e7-9724-889e799fa648 wordt vervangen door c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
Meer informatie over agentloze containerspostuur in Defender CSPM.
Meer informatie over Microsoft Defender Vulnerability Management (MDVM)
Naam wijzigen van containeraanbevelingen mogelijk gemaakt door Qualys
De huidige aanbevelingen voor containers in Defender for Containers worden als volgt gewijzigd:
| Aanbeveling | Beschrijving | Evaluatiesleutel |
|---|---|---|
| Containerregisterinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Qualys) | Evaluatie van beveiligingsproblemen van de containerinstallatiekopie scant uw register op beveiligingsproblemen en toont gedetailleerde resultaten voor elke installatiekopie. Door de beveiligingsproblemen op te lossen, kunt u de beveiligingspostuur van uw containers aanzienlijk verbeteren en deze beschermen tegen aanvallen. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Bij het uitvoeren van containerinstallatiekopieën moeten beveiligingsproblemen zijn opgelost (mogelijk gemaakt door Qualys) | Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant containerinstallatiekopieën die worden uitgevoerd op uw Kubernetes-clusters op beveiligingsproblemen en toont gedetailleerde bevindingen voor elke installatiekopie. Door de beveiligingsproblemen op te lossen, kunt u de beveiligingspostuur van uw containers aanzienlijk verbeteren en deze beschermen tegen aanvallen. | 41503391-efa5-47ee-9282-4eff6131462c |
Update van Defender voor DevOps GitHub-toepassing
Microsoft Defender voor DevOps houdt voortdurend wijzigingen aan en updates die vereisen dat Defender voor DevOps-klanten die hun GitHub-omgevingen hebben toegevoegd in Defender voor Cloud om machtigingen te bieden als onderdeel van de toepassing die is geïmplementeerd in hun GitHub-organisatie. Deze machtigingen zijn nodig om ervoor te zorgen dat alle beveiligingsfuncties van Defender voor DevOps normaal en zonder problemen werken.
We raden u aan om de machtigingen zo snel mogelijk bij te werken om ervoor te zorgen dat alle beschikbare functies van Defender voor DevOps blijven werken.
Machtigingen kunnen op twee verschillende manieren worden verleend:
Selecteer GitHub-apps in uw organisatie. Zoek uw organisatie en selecteer Beoordelingsaanvraag.
U ontvangt een geautomatiseerd e-mailbericht van GitHub Support. Selecteer in het e-mailbericht de machtigingsaanvraag controleren om deze wijziging te accepteren of af te wijzen.
Nadat u een van deze opties hebt gevolgd, gaat u naar het controlescherm waar u de aanvraag moet controleren. Selecteer Nieuwe machtigingen accepteren om de aanvraag goed te keuren.
Als u hulp nodig hebt bij het bijwerken van machtigingen, kunt u een ondersteuning voor Azure aanvraag maken.
U kunt ook meer informatie vinden over Defender voor DevOps. Als voor een abonnement een VA-oplossing is ingeschakeld op een van de VM's, worden er geen wijzigingen aangebracht en wordt MDVM niet standaard ingeschakeld op de resterende VM's in dat abonnement. U kunt ervoor kiezen om een VA-oplossing in te schakelen op de resterende VM's in uw abonnementen.
Meer informatie over het vinden van beveiligingsproblemen en het verzamelen van software-inventaris met scannen zonder agent (preview).
Aantekeningen in Azure DevOps-pull-aanvragen in Azure DevOps-opslagplaatsen bevatten nu infrastructuur als onjuiste configuraties van code
Defender voor DevOps heeft de annotatiedekking voor pull-aanvragen (PR) in Azure DevOps uitgebreid met onjuiste configuraties van Infrastructure as Code (IaC) die zijn gedetecteerd in Azure Resource Manager- en Bicep-sjablonen.
Ontwikkelaars kunnen nu aantekeningen zien voor onjuiste configuraties van IaC rechtstreeks in hun pull-aanvragen. Ontwikkelaars kunnen ook kritieke beveiligingsproblemen oplossen voordat de infrastructuur wordt ingericht in cloudworkloads. Om het herstel te vereenvoudigen, krijgen ontwikkelaars een ernstniveau, een beschrijving van onjuiste configuratie en instructies voor herstel binnen elke aantekening.
Voorheen bevatte dekking voor Defender voor DevOps PR-aantekeningen in Azure DevOps alleen geheimen.
Meer informatie over defender voor DevOps - en pull-aanvraagaantekeningen.
April 2023
De updates in april zijn onder meer:
- Containerpostuur zonder agent in Defender CSPM (preview)
- Nieuwe preview-aanbeveling voor Unified Disk Encryption
- Wijzigingen in de aanbevelingsmachines moeten veilig worden geconfigureerd
- Afschaffing van app Service-beleid voor taalbewaking
- Nieuwe waarschuwing in Defender voor Resource Manager
- Drie waarschuwingen in het Defender for Resource Manager-plan zijn afgeschaft
- Waarschuwingen voor automatische export naar Log Analytics-werkruimte zijn afgeschaft
- Afschaffing en verbetering van geselecteerde waarschuwingen voor Windows- en Linux-servers
- Nieuwe azure Active Directory-verificatieaanbeveling voor Azure Data Services
- Er zijn twee aanbevelingen met betrekking tot ontbrekende besturingssysteemupdates (OS) uitgebracht voor algemene beschikbaarheid
- Defender voor API's (preview)
Containerpostuur zonder agent in Defender CSPM (preview)
De nieuwe mogelijkheden voor containerpostuur zonder agent (preview) zijn beschikbaar als onderdeel van het Defender CSPM-plan (Cloud Security Posture Management).
Met containerpostuur zonder agent kunnen beveiligingsteams beveiligingsrisico's in containers en Kubernetes-realms identificeren. Met een aanpak zonder agents kunnen beveiligingsteams inzicht krijgen in hun Kubernetes- en containersregisters in SDLC en runtime, waardoor wrijving en footprint van de workloads worden verwijderd.
Containerpostuur zonder agent biedt evaluaties van beveiligingsproblemen in containers die, in combinatie met analyse van aanvalspaden, beveiligingsteams in staat stellen prioriteit te geven aan en in te zoomen op specifieke beveiligingsproblemen in containers. U kunt cloudbeveiligingsverkenner ook gebruiken om risico's te ontdekken en op containerpostuurinzichten te zoeken, zoals de detectie van toepassingen waarop kwetsbare afbeeldingen worden uitgevoerd of die worden blootgesteld aan internet.
Meer informatie vindt u op Agentless Container Posture (preview).
Aanbeveling voor Unified Disk Encryption (preview)
We hebben een aanbeveling voor geïntegreerde schijfversleuteling geïntroduceerd in openbare preview Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost en Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.
Deze aanbevelingen vervangen Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, die Azure Disk Encryption en het beleid Virtual machines and virtual machine scale sets should have encryption at host enabledhebben gedetecteerd, waardoor EncryptionAtHost is gedetecteerd. ADE en EncryptionAtHost bieden vergelijkbare versleuteling-at-rest-dekking en we raden u aan een van deze versleuteling in te schakelen op elke virtuele machine. Met de nieuwe aanbevelingen wordt gedetecteerd of ADE of EncryptionAtHost is ingeschakeld en wordt alleen gewaarschuwd als geen van beide is ingeschakeld. We waarschuwen ook als ADE is ingeschakeld op sommige, maar niet alle schijven van een VIRTUELE machine (deze voorwaarde is niet van toepassing op EncryptionAtHost).
Voor de nieuwe aanbevelingen is azure Automanage Machine Configuration vereist.
Deze aanbevelingen zijn gebaseerd op het volgende beleid:
- (Preview) Virtuele Windows-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen
- (Preview) Virtuele Linux-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen
Meer informatie over ADE en EncryptionAtHost en hoe u een van deze kunt inschakelen.
Wijzigingen in de aanbevelingsmachines moeten veilig worden geconfigureerd
De aanbeveling Machines should be configured securely is bijgewerkt. De update verbetert de prestaties en stabiliteit van de aanbeveling en is afgestemd op het algemene gedrag van de aanbevelingen van Defender voor Cloud.
Als onderdeel van deze update is de id van de aanbeveling gewijzigd van 181ac480-f7c4-544b-9865-11b8ffe87f47 in c476dc48-8110-4139-91af-c8d940896b98.
Er is geen actie vereist aan de kant van de klant en er is geen verwacht effect op de beveiligingsscore.
Afschaffing van app Service-beleid voor taalbewaking
Het volgende App Service-beleid voor taalbewaking is afgeschaft vanwege de mogelijkheid om fout-negatieven te genereren en omdat ze geen betere beveiliging bieden. Zorg ervoor dat u altijd een taalversie gebruikt zonder bekende beveiligingsproblemen.
| Beleidsnaam | Beleids-id |
|---|---|
| App Service-apps die gebruikmaken van Java, moeten de nieuwste Java-versie gebruiken | 496223c3-ad65-4ecd-878a-bae78737e9ed |
| App Service-apps die gebruikmaken van Python, moeten de nieuwste Python-versie gebruiken | 7008174a-fd10-4ef0-817e-fc820a951d73 |
| Functie-apps die gebruikmaken van Java, moeten de nieuwste Java-versie gebruiken | 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc |
| Functie-apps die gebruikmaken van Python, moeten de nieuwste Python-versie gebruiken | 7238174a-fd10-4ef0-817e-fc820a951d73 |
| App Service-apps die PHP gebruiken, moeten de nieuwste PHP-versie gebruiken | 7261b898-8a84-4db8-9e04-18527132abb3 |
Klanten kunnen alternatieve ingebouwde beleidsregels gebruiken om elke opgegeven taalversie voor hun App Services te bewaken.
Deze beleidsregels zijn niet meer beschikbaar in de ingebouwde aanbevelingen van Defender voor Cloud. U kunt ze toevoegen als aangepaste aanbevelingen om ze te laten controleren Defender voor Cloud.
Nieuwe waarschuwing in Defender voor Resource Manager
Defender voor Resource Manager heeft de volgende nieuwe waarschuwing:
| Waarschuwing (waarschuwingstype) | Beschrijving | MITRE-tactieken | Ernst |
|---|---|---|---|
| PREVIEW: verdachte creatie van rekenresources gedetecteerd (ARM_SuspiciousComputeCreation) |
Microsoft Defender voor Resource Manager heeft een verdachte creatie van rekenresources in uw abonnement geïdentificeerd met behulp van virtuele machines/Azure-schaalset. De geïdentificeerde bewerkingen zijn ontworpen om beheerders in staat te stellen hun omgevingen efficiënt te beheren door nieuwe resources te implementeren wanneer dat nodig is. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om cryptoanalyse uit te voeren. De activiteit wordt verdacht geacht omdat de schaal van rekenresources hoger is dan eerder in het abonnement is waargenomen. Dit kan erop wijzen dat de principal is aangetast en wordt gebruikt met schadelijke bedoelingen. |
Impact | Gemiddeld |
U ziet een lijst met alle waarschuwingen die beschikbaar zijn voor Resource Manager.
Drie waarschuwingen in het Defender for Resource Manager-plan zijn afgeschaft
De volgende drie waarschuwingen voor het Defender for Resource Manager-abonnement zijn afgeschaft:
Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
In een scenario waarin activiteit van een verdacht IP-adres wordt gedetecteerd, is er een van de volgende Defenders for Resource Manager-planwaarschuwingen Azure Resource Manager operation from suspicious IP address of Azure Resource Manager operation from suspicious proxy IP address aanwezig.
Waarschuwingen voor automatische export naar Log Analytics-werkruimte zijn afgeschaft
Defenders for Cloud-beveiligingswaarschuwingen worden automatisch geëxporteerd naar een standaard Log Analytics-werkruimte op resourceniveau. Dit veroorzaakt een deterministisch gedrag en daarom hebben we deze functie afgeschaft.
In plaats daarvan kunt u uw beveiligingswaarschuwingen exporteren naar een toegewezen Log Analytics-werkruimte met continue export.
Als u al continue export van uw waarschuwingen naar een Log Analytics-werkruimte hebt geconfigureerd, is er geen verdere actie vereist.
Afschaffing en verbetering van geselecteerde waarschuwingen voor Windows- en Linux-servers
Het kwaliteitsverbeteringsproces voor beveiligingswaarschuwingen voor Defender voor Servers omvat de afschaffing van sommige waarschuwingen voor zowel Windows- als Linux-servers. De afgeschafte waarschuwingen zijn nu afkomstig van en worden gedekt door Waarschuwingen voor bedreigingen van Defender voor Eindpunt.
Als u de integratie van Defender voor Eindpunt al hebt ingeschakeld, is er geen verdere actie vereist. In april 2023 kan het aantal waarschuwingen afnemen.
Als u de integratie van Defender voor Eindpunt niet hebt ingeschakeld in Defender voor Servers, moet u de integratie van Defender voor Eindpunt inschakelen om uw waarschuwingsdekking te behouden en te verbeteren.
Alle Klanten van Defender voor Servers hebben volledige toegang tot de integratie van Defender voor Eindpunt als onderdeel van het Defender for Servers-plan.
Meer informatie over Microsoft Defender voor Eindpunt opties voor onboarding.
U kunt ook de volledige lijst met waarschuwingen bekijken die zijn ingesteld om te worden afgeschaft.
Lees het Microsoft Defender voor Cloud blog.
Nieuwe azure Active Directory-verificatieaanbeveling voor Azure Data Services
We hebben vier nieuwe aanbevelingen voor Azure Active Directory-verificatie toegevoegd voor Azure Data Services.
| Naam van aanbeveling | Beschrijving van aanbeveling | Beleid |
|---|---|---|
| Verificatiemodus van Azure SQL Managed Instance moet alleen Azure Active Directory zijn | Door lokale verificatiemethoden uit te schakelen en alleen Azure Active Directory-verificatie toe te staan, wordt de beveiliging verbeterd door ervoor te zorgen dat Azure SQL Managed Instances uitsluitend toegankelijk zijn voor Azure Active Directory-identiteiten. | Voor Azure SQL Managed Instance moet alleen verificatie van Azure Active Directory zijn ingeschakeld |
| Verificatiemodus voor Azure Synapse-werkruimte moet alleen Azure Active Directory zijn | Alleen verificatiemethoden van Azure Active Directory verbeteren de beveiliging door ervoor te zorgen dat Synapse-werkruimten uitsluitend Azure AD-identiteiten vereisen voor verificatie. Meer informatie. | Synapse-werkruimten mogen alleen Azure Active Directory-identiteiten gebruiken voor verificatie |
| Azure Database for MySQL moet een Azure Active Directory-beheerder hebben ingericht | Richt een Azure AD-beheerder in voor uw Azure Database for MySQL om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk | Een Azure Active Directory-beheerder moet worden ingericht voor MySQL-servers |
| Azure Database for PostgreSQL moet een Azure Active Directory-beheerder hebben ingericht | Richt een Azure AD-beheerder in voor uw Azure Database for PostgreSQL om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk | Een Azure Active Directory-beheerder moet worden ingericht voor PostgreSQL-servers |
Er zijn twee aanbevelingen met betrekking tot ontbrekende besturingssysteemupdates (OS) uitgebracht voor algemene beschikbaarheid
De aanbevelingen System updates should be installed on your machines (powered by Azure Update Manager) en Machines should be configured to periodically check for missing system updates zijn vrijgegeven voor algemene beschikbaarheid.
Als u de nieuwe aanbeveling wilt gebruiken, moet u het volgende doen:
- Verbinding maken uw niet-Azure-machines naar Arc.
- Schakel de periodieke evaluatie-eigenschap in. U kunt de knop Herstellen gebruiken.
in de nieuwe aanbeveling
Machines should be configured to periodically check for missing system updatesom de aanbeveling op te lossen.
Nadat u deze stappen hebt voltooid, kunt u de oude aanbeveling System updates should be installed on your machinesverwijderen door deze uit te schakelen uit het ingebouwde initiatief van Defender voor Cloud in Azure Policy.
De twee versies van de aanbevelingen:
System updates should be installed on your machinesSystem updates should be installed on your machines (powered by Azure Update Manager)
beide zijn beschikbaar totdat de Log Analytics-agent op 31 augustus 2024 is afgeschaft. Dit is wanneer de oudere versie (System updates should be installed on your machines) van de aanbeveling ook wordt afgeschaft. Beide aanbevelingen retourneren dezelfde resultaten en zijn beschikbaar onder hetzelfde besturingselement Apply system updates.
De nieuwe aanbeveling System updates should be installed on your machines (powered by Azure Update Manager) bevat een herstelstroom die beschikbaar is via de knop Fix, die kan worden gebruikt om eventuele resultaten te herstellen via Updatebeheer (preview). Dit herstelproces is nog in preview.
De nieuwe aanbeveling System updates should be installed on your machines (powered by Azure Update Manager) is niet van invloed op uw beveiligingsscore, omdat deze dezelfde resultaten heeft als de oude aanbeveling System updates should be installed on your machines.
De vereiste aanbeveling (de eigenschap periodieke evaluatie inschakelen) heeft een negatief effect op uw beveiligingsscore. U kunt het negatieve effect herstellen met de beschikbare knop Herstellen.
Defender voor API's (preview)
De Defender voor Cloud van Microsoft kondigt aan dat de nieuwe Defender voor API's beschikbaar zijn in de preview-versie.
Defender voor API's biedt volledige levenscyclusbeveiliging, detectie en responsdekking voor API's.
Defender voor API's helpt u inzicht te krijgen in bedrijfskritieke API's. U kunt uw API-beveiligingspostuur onderzoeken en verbeteren, oplossingen voor beveiligingsproblemen prioriteren en snel actieve realtime bedreigingen detecteren.
Meer informatie over Defender voor API's.
Maart 2023
Updates in maart zijn onder andere:
- Er is een nieuw Defender for Storage-abonnement beschikbaar, waaronder bijna realtime malwarescans en detectie van gevoelige gegevensbedreigingen
- Gegevensbewuste beveiligingspostuur (preview)
- Verbeterde ervaring voor het beheren van het standaardbeveiligingsbeleid van Azure
- Defender CSPM (Cloud Security Posture Management) is nu algemeen beschikbaar (GA)
- Optie voor het maken van aangepaste aanbevelingen en beveiligingsstandaarden in Microsoft Defender voor Cloud
- Microsoft Cloud Security Benchmark (MCSB) versie 1.0 is nu algemeen beschikbaar (GA)
- Sommige nalevingsstandaarden voor regelgeving zijn nu beschikbaar in overheidsclouds
- Nieuwe preview-aanbeveling voor Azure SQL-servers
- Nieuwe waarschuwing in Defender voor Key Vault
Er is een nieuw Defender for Storage-abonnement beschikbaar, waaronder bijna realtime malwarescans en detectie van gevoelige gegevensbedreigingen
Cloudopslag speelt een belangrijke rol in de organisatie en slaat grote hoeveelheden waardevolle en gevoelige gegevens op. Vandaag kondigen we een nieuw Defender for Storage-abonnement aan. Als u het vorige abonnement gebruikt (nu hernoemd naar Defender for Storage (klassiek)), moet u proactief migreren naar het nieuwe abonnement om de nieuwe functies en voordelen te kunnen gebruiken.
Het nieuwe plan bevat geavanceerde beveiligingsmogelijkheden ter bescherming tegen schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het biedt ook een meer voorspelbare en flexibele prijsstructuur voor betere controle over dekking en kosten.
Het nieuwe plan heeft nu nieuwe mogelijkheden in de openbare preview:
Detectie van blootstelling van gevoelige gegevens en exfiltratie-gebeurtenissen
Bijna realtime blob bij het uploaden van malware scannen op alle bestandstypen
Entiteiten zonder identiteiten detecteren met behulp van SAS-tokens
Deze mogelijkheden verbeteren de bestaande mogelijkheid voor activiteitenbewaking, op basis van analyse van controle- en gegevensvlaklogboeken en gedragsmodellering om vroege tekenen van inbreuk te identificeren.
Al deze mogelijkheden zijn beschikbaar in een nieuw voorspelbaar en flexibel prijsplan dat gedetailleerde controle biedt over gegevensbeveiliging op abonnements- en resourceniveau.
Meer informatie vindt u in Overzicht van Microsoft Defender for Storage.
Gegevensbewuste beveiligingspostuur (preview)
Microsoft Defender voor Cloud helpt beveiligingsteams productiever te zijn bij het verminderen van risico's en het reageren op gegevensschendingen in de cloud. Hiermee kunnen ze de ruis doornemen met gegevenscontext en prioriteit geven aan de meest kritieke beveiligingsrisico's, waardoor kostbare gegevenslekken worden voorkomen.
- Automatisch gegevensresources detecteren in cloudomgevingen en hun toegankelijkheid, gegevensgevoeligheid en geconfigureerde gegevensstromen evalueren. -Risico's voor gegevensschendingen van gevoelige gegevensresources, blootstellings- of aanvalspaden die kunnen leiden tot een gegevensresource met behulp van een zijdelingse verplaatsingstechniek.
- Detecteer verdachte activiteiten die duiden op een voortdurende bedreiging voor gevoelige gegevensbronnen.
Meer informatie over gegevensbewuste beveiligingspostuur.
Verbeterde ervaring voor het beheren van het standaardbeveiligingsbeleid van Azure
We introduceren een verbeterde azure-ervaring voor beveiligingsbeleidsbeheer voor ingebouwde aanbevelingen die de manier vereenvoudigt waarop Defender voor Cloud klanten hun beveiligingsvereisten nauwkeurig kunnen afstemmen. De nieuwe ervaring bevat de volgende nieuwe mogelijkheden:
- Een eenvoudige interface biedt betere prestaties en ervaring bij het beheren van standaardbeveiligingsbeleid binnen Defender voor Cloud.
- Eén weergave van alle ingebouwde beveiligingsaanbeveling die wordt aangeboden door de Microsoft-cloudbeveiligingsbenchmark (voorheen de Azure-beveiligingsbenchmark). Aanbevelingen zijn ingedeeld in logische groepen, waardoor het gemakkelijker is om inzicht te krijgen in de typen resources die worden behandeld en de relatie tussen parameters en aanbevelingen.
- Er zijn nieuwe functies toegevoegd, zoals filters en zoeken.
Meer informatie over het beheren van beveiligingsbeleid.
Lees het Microsoft Defender voor Cloud blog.
Defender CSPM (Cloud Security Posture Management) is nu algemeen beschikbaar (GA)
We kondigen aan dat Defender CSPM nu algemeen beschikbaar is (GA). Defender CSPM biedt alle services die beschikbaar zijn onder de Foundational CSPM-mogelijkheden en voegt de volgende voordelen toe:
- Analyse van aanvalspaden en ARG-API : analyse van aanvalspaden maakt gebruik van een algoritme op basis van grafieken dat de cloudbeveiligingsgrafiek scant om aanvalspaden beschikbaar te maken en aanbevelingen te doen voor het beste oplossen van problemen die het aanvalspad breken en geslaagde schendingen voorkomen. U kunt ook programmatisch aanvalspaden gebruiken door een query uit te voeren op de AZURE Resource Graph-API (ARG). Meer informatie over het gebruik van analyse van aanvalspaden
- Cloud Security Explorer : gebruik Cloud Security Explorer om op grafieken gebaseerde query's uit te voeren op de cloudbeveiligingsgrafiek om proactief beveiligingsrisico's in uw omgevingen met meerdere clouds te identificeren. Meer informatie over cloudbeveiligingsverkenner.
Meer informatie over Defender CSPM.
Optie voor het maken van aangepaste aanbevelingen en beveiligingsstandaarden in Microsoft Defender voor Cloud
Microsoft Defender voor Cloud biedt de mogelijkheid om aangepaste aanbevelingen en standaarden te maken voor AWS en GCP met behulp van KQL-query's. U kunt een queryeditor gebruiken om query's over uw gegevens te bouwen en te testen. Deze functie maakt deel uit van het Defender CSPM-plan (Cloud Security Posture Management). Meer informatie over het maken van aangepaste aanbevelingen en standaarden.
Microsoft Cloud Security Benchmark (MCSB) versie 1.0 is nu algemeen beschikbaar (GA)
Microsoft Defender voor Cloud kondigt aan dat microsoft cloudbeveiligingsbenchmark (MCSB) versie 1.0 nu algemeen beschikbaar is.
MCSB versie 1.0 vervangt azure Security Benchmark (ASB) versie 3 als het standaardbeveiligingsbeleid van Defender voor Cloud. MCSB versie 1.0 wordt weergegeven als de standaardnalevingsstandaard in het nalevingsdashboard en is standaard ingeschakeld voor alle Defender voor Cloud klanten.
U kunt ook leren hoe Microsoft Cloud Security Benchmark (MCSB) u helpt uw cloudbeveiligingstraject te voltooien.
Meer informatie over MCSB.
Sommige nalevingsstandaarden voor regelgeving zijn nu beschikbaar in overheidsclouds
Deze standaarden worden bijgewerkt voor klanten in Azure Government en Microsoft Azure beheerd door 21Vianet.
Azure Government:
Microsoft Azure beheerd door 21Vianet:
Meer informatie over het aanpassen van de set standaarden in uw dashboard voor naleving van regelgeving.
Nieuwe preview-aanbeveling voor Azure SQL-servers
We hebben een nieuwe aanbeveling toegevoegd voor Azure SQL-servers. Azure SQL Server authentication mode should be Azure Active Directory Only (Preview)
De aanbeveling is gebaseerd op het bestaande beleid Azure SQL Database should have Azure Active Directory Only Authentication enabled
Met deze aanbeveling worden lokale verificatiemethoden uitgeschakeld en wordt alleen Azure Active Directory-verificatie toegestaan, waardoor de beveiliging wordt verbeterd door ervoor te zorgen dat Azure SQL Databases uitsluitend toegankelijk zijn voor Azure Active Directory-identiteiten.
Meer informatie over het maken van servers met alleen Azure AD-verificatie ingeschakeld in Azure SQL.
Nieuwe waarschuwing in Defender voor Key Vault
Defender voor Key Vault heeft de volgende nieuwe waarschuwing:
| Waarschuwing (waarschuwingstype) | Beschrijving | MITRE-tactieken | Ernst |
|---|---|---|---|
| Toegang geweigerd vanaf een verdacht IP-adres naar een sleutelkluis (KV_SuspiciousIPAccessDenied) |
Er is een mislukte toegang tot de sleutelkluis geprobeerd door een IP-adres dat is geïdentificeerd door Microsoft Threat Intelligence als een verdacht IP-adres. Hoewel deze poging mislukt is, geeft dit aan dat uw infrastructuur mogelijk is aangetast. We raden verder onderzoek aan. | Referentietoegang | Beperkt |
U ziet een lijst met alle waarschuwingen die beschikbaar zijn voor Key Vault.
2023 februari
Updates in februari zijn onder andere:
- Verbeterde Cloud Security Explorer
- Beveiligingsproblemen van Defender for Containers scannen op het uitvoeren van Linux-installatiekopieën nu ALGEMEEN
- Aankondiging van ondersteuning voor de NALEVINGsstandaard AWS CIS 1.5.0
- Microsoft Defender voor DevOps (preview) is nu beschikbaar in andere regio's
- Het ingebouwde beleid [preview]: privé-eindpunt moet worden geconfigureerd voor Key Vault is afgeschaft
Verbeterde Cloud Security Explorer
Een verbeterde versie van de cloudbeveiligingsverkenner bevat een vernieuwde gebruikerservaring waarmee query's aanzienlijk worden verwijderd, de mogelijkheid is toegevoegd om query's met meerdere clouds en meerdere resources uit te voeren, en ingesloten documentatie voor elke queryoptie.
Met Cloud Security Explorer kunt u nu cloudabstraheerde query's uitvoeren op resources. U kunt de vooraf gemaakte querysjablonen gebruiken of de aangepaste zoekopdracht gebruiken om filters toe te passen om uw query te bouwen. Meer informatie over het beheren van Cloud Security Explorer.
Beveiligingsproblemen van Defender for Containers scannen op het uitvoeren van Linux-installatiekopieën nu ALGEMEEN
Defender for Containers detecteert beveiligingsproblemen in actieve containers. Zowel Windows- als Linux-containers worden ondersteund.
In augustus 2022 is deze mogelijkheid uitgebracht in preview voor Windows en Linux. We brengen deze nu uit voor algemene beschikbaarheid (GA) voor Linux.
Wanneer beveiligingsproblemen worden gedetecteerd, genereert Defender voor Cloud de volgende beveiligingsaanbeveling met de bevindingen van de scan: Het uitvoeren van containerinstallatiekopieën moet resultaten voor beveiligingsproblemen hebben opgelost.
Meer informatie over het weergeven van beveiligingsproblemen voor het uitvoeren van installatiekopieën.
Aankondiging van ondersteuning voor de NALEVINGsstandaard AWS CIS 1.5.0
Defender voor Cloud ondersteunt nu de nalevingsstandaard CIS Amazon Web Services Foundations v1.5.0. De standaard kan worden toegevoegd aan uw dashboard voor naleving van regelgeving en bouwt voort op de bestaande aanbiedingen van MDC voor aanbevelingen en standaarden voor meerdere clouds.
Deze nieuwe standaard omvat zowel bestaande als nieuwe aanbevelingen die de dekking van Defender voor Cloud uitbreiden naar nieuwe AWS-services en -resources.
Meer informatie over het beheren van AWS-evaluaties en -standaarden.
Microsoft Defender voor DevOps (preview) is nu beschikbaar in andere regio's
Microsoft Defender voor DevOps heeft de preview-versie uitgebreid en is nu beschikbaar in de regio's Europa - west en Australië - oost wanneer u uw Azure DevOps- en GitHub-resources onboardt.
Meer informatie over Microsoft Defender voor DevOps.
Het ingebouwde beleid [preview]: privé-eindpunt moet worden geconfigureerd voor Key Vault is afgeschaft
Het ingebouwde beleid [Preview]: Private endpoint should be configured for Key Vault is afgeschaft en vervangen door het [Preview]: Azure Key Vaults should use private link beleid.
Meer informatie over het integreren van Azure Key Vault met Azure Policy.
Januari 2023
Updates in januari zijn onder andere:
- Het eindpuntbeveiligingsonderdeel (Microsoft Defender voor Eindpunt) wordt nu geopend op de pagina Instellingen en bewaking
- Nieuwe versie van de aanbeveling om ontbrekende systeemupdates te vinden (preview)
- Opschonen van verwijderde Azure Arc-machines in verbonden AWS- en GCP-accounts
- Continue export naar Event Hubs achter een firewall toestaan
- De naam van het besturingselement Secure Score Protect your applications with Azure Advanced Networking Solutions is gewijzigd
- De beleidsinstellingen voor evaluatie van beveiligingsproblemen voor SQL Server moeten een e-mailadres bevatten voor het ontvangen van scanrapporten is afgeschaft
- Aanbeveling voor het inschakelen van diagnostische logboeken voor virtuele-machineschaalsets is afgeschaft
Het eindpuntbeveiligingsonderdeel (Microsoft Defender voor Eindpunt) wordt nu geopend op de pagina Instellingen en bewaking
Voor toegang tot Endpoint Protection gaat u naar Defender-plannen> voor omgevingsinstellingen>Instellingen en bewaking. Hier kunt u Endpoint Protection instellen op Aan. U kunt ook de andere onderdelen zien die worden beheerd.
Meer informatie over het inschakelen van Microsoft Defender voor Eindpunt op uw servers met Defender for Servers.
Nieuwe versie van de aanbeveling om ontbrekende systeemupdates te vinden (preview)
U hebt geen agent meer nodig op uw Azure-VM's en Azure Arc-machines om ervoor te zorgen dat de machines alle meest recente beveiligingsupdates of essentiële systeemupdates hebben.
De aanbeveling voor nieuwe systeemupdates is System updates should be installed on your machines (powered by Azure Update Manager) in het Apply system updates besturingselement gebaseerd op Updatebeheer (preview). De aanbeveling is afhankelijk van een systeemeigen agent die is ingesloten in elke Azure-VM en Azure Arc-machines in plaats van een geïnstalleerde agent. De snelle oplossing in de nieuwe aanbeveling leidt u naar een eenmalige installatie van de ontbrekende updates in de Update Manager-portal.
Als u de nieuwe aanbeveling wilt gebruiken, moet u het volgende doen:
- Verbinding maken uw niet-Azure-machines naar Arc
- Schakel de periodieke evaluatie-eigenschap in. U kunt de snelle oplossing in de nieuwe aanbeveling
Machines should be configured to periodically check for missing system updatesgebruiken om de aanbeveling op te lossen.
De aanbeveling 'Systeemupdates moeten op uw computers worden geïnstalleerd', die afhankelijk is van de Log Analytics-agent, is nog steeds beschikbaar onder hetzelfde beheer.
Opschonen van verwijderde Azure Arc-machines in verbonden AWS- en GCP-accounts
Een computer die is verbonden met een AWS- en GCP-account dat wordt gedekt door Defender voor Servers of Defender voor SQL op computers, wordt in Defender voor Cloud weergegeven als een Azure Arc-machine. Tot nu toe is die machine niet uit de inventaris verwijderd toen de machine uit het AWS- of GCP-account werd verwijderd. Leidend tot onnodige Azure Arc-resources die in Defender voor Cloud staan die verwijderde machines vertegenwoordigen.
Defender voor Cloud verwijdert nu automatisch Azure Arc-machines wanneer deze machines worden verwijderd in een verbonden AWS- of GCP-account.
Continue export naar Event Hubs achter een firewall toestaan
U kunt nu de continue export van waarschuwingen en aanbevelingen inschakelen als een vertrouwde service voor Event Hubs die worden beveiligd door een Azure-firewall.
U kunt continue export inschakelen wanneer de waarschuwingen of aanbevelingen worden gegenereerd. U kunt ook een schema definiëren voor het verzenden van periodieke momentopnamen van alle nieuwe gegevens.
Meer informatie over het inschakelen van continue export naar een Event Hubs achter een Azure-firewall.
De naam van het besturingselement Secure Score Protect your applications with Azure advanced networking solutions is changed
Het besturingselement Protect your applications with Azure advanced networking solutions voor de beveiligingsscore wordt gewijzigd in Protect applications against DDoS attacks.
De bijgewerkte naam wordt weergegeven in Azure Resource Graph (ARG), Secure Score Controls-API en de Download CSV report.
De beleidsinstellingen voor evaluatie van beveiligingsproblemen voor SQL Server moeten een e-mailadres bevatten voor het ontvangen van scanrapporten is afgeschaft
Het beleid Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports is afgeschaft.
Het e-mailrapport voor evaluatie van beveiligingsproblemen van Defender voor SQL is nog steeds beschikbaar en bestaande e-mailconfiguraties zijn niet gewijzigd.
Aanbeveling voor het inschakelen van diagnostische logboeken voor virtuele-machineschaalsets is afgeschaft
De aanbeveling Diagnostic logs in Virtual Machine Scale Sets should be enabled is afgeschaft.
De gerelateerde beleidsdefinitie is ook afgeschaft op basis van alle standaarden die worden weergegeven in het dashboard voor naleving van regelgeving.
| Aanbeveling | Beschrijving | Ernst |
|---|---|---|
| Diagnostische logboeken in Microsoft Azure Virtual Machine Scale Sets moeten zijn ingeschakeld | Schakel logboeken in en bewaar ze maximaal een jaar, zodat u activiteitenpaden voor onderzoeksdoeleinden opnieuw kunt maken wanneer er een beveiligingsincident optreedt of uw netwerk wordt aangetast. | Beperkt |
December 2022
Updates in december omvatten:
Aankondiging van snelle configuratie voor evaluatie van beveiligingsproblemen in Defender voor SQL
De snelle configuratie voor evaluatie van beveiligingsproblemen in Microsoft Defender voor SQL biedt beveiligingsteams een gestroomlijnde configuratie-ervaring in Azure SQL Databases en Toegewezen SQL-pools buiten Synapse-werkruimten.
Met de snelle configuratie-ervaring voor evaluatie van beveiligingsproblemen kunnen beveiligingsteams het volgende doen:
- Voltooi de configuratie van de evaluatie van beveiligingsproblemen in de beveiligingsconfiguratie van de SQL-resource, zonder andere instellingen of afhankelijkheden van door de klant beheerde opslagaccounts.
- Voeg onmiddellijk scanresultaten toe aan basislijnen, zodat de status van de gevonden wijzigingen van Beschadigd in In orde is zonder een database opnieuw te scannen.
- Voeg meerdere regels tegelijk toe aan basislijnen en gebruik de meest recente scanresultaten.
- Schakel evaluatie van beveiligingsproblemen in voor alle Azure SQL-servers wanneer u Microsoft Defender voor databases inschakelt op abonnementsniveau.
Meer informatie over de evaluatie van beveiligingsproblemen van Defender voor SQL.
november 2022
Updates in november omvatten:
- Containers beveiligen binnen uw GCP-organisatie met Defender for Containers
- Defender for Containers-beveiliging valideren met voorbeeldwaarschuwingen
- Governanceregels op schaal (preview)
- De mogelijkheid om aangepaste evaluaties te maken in AWS en GCP (preview) is afgeschaft
- De aanbeveling voor het configureren van wachtrijen met dode letters voor Lambda-functies is afgeschaft
Containers beveiligen binnen uw GCP-organisatie met Defender for Containers
U kunt nu Defender for Containers inschakelen voor uw GCP-omgeving om standaard GKE-clusters in een hele GCP-organisatie te beveiligen. Maak een nieuwe GCP-connector waarvoor Defender for Containers is ingeschakeld of schakel Defender for Containers in op een bestaande GCP-connector op organisatieniveau.
Meer informatie over het verbinden van GCP-projecten en organisaties met Defender voor Cloud.
Defender for Containers-beveiliging valideren met voorbeeldwaarschuwingen
U kunt nu ook voorbeeldwaarschuwingen maken voor het Defender for Containers-plan. De nieuwe voorbeeldwaarschuwingen worden weergegeven als afkomstig van AKS-, Arc-verbonden clusters, EKS- en GKE-resources met verschillende ernst- en MITRE-tactieken. U kunt de voorbeeldwaarschuwingen gebruiken om configuraties van beveiligingswaarschuwingen te valideren, zoals SIEM-integraties, werkstroomautomatisering en e-mailmeldingen.
Meer informatie over waarschuwingsvalidatie.
Governanceregels op schaal (preview)
We kondigen graag de nieuwe mogelijkheid aan om governanceregels op schaal toe te passen (preview) in Defender voor Cloud.
Met deze nieuwe ervaring kunnen beveiligingsteams governanceregels bulksgewijs definiëren voor verschillende bereiken (abonnementen en connectors). Beveiligingsteams kunnen deze taak uitvoeren met behulp van beheerbereiken zoals Azure-beheergroepen, AWS-accounts op het hoogste niveau of GCP-organisaties.
Daarnaast worden op de pagina Governanceregels (preview) alle beschikbare governanceregels weergegeven die effectief zijn in de omgevingen van de organisatie.
Meer informatie over de nieuwe governanceregels op schaal.
Notitie
Vanaf 1 januari 2023 moet het Defender CSPM-plan zijn ingeschakeld voor uw abonnement of connector om de mogelijkheden van Governance te kunnen ervaren.
De mogelijkheid om aangepaste evaluaties te maken in AWS en GCP (preview) is afgeschaft
De mogelijkheid om aangepaste evaluaties te maken voor AWS-accounts en GCP-projecten, die een preview-functie was, is afgeschaft.
De aanbeveling voor het configureren van wachtrijen met dode letters voor Lambda-functies is afgeschaft
De aanbeveling Lambda functions should have a dead-letter queue configured is afgeschaft.
| Aanbeveling | Beschrijving | Ernst |
|---|---|---|
| Lambda-functies moeten een wachtrij met dode letters hebben geconfigureerd | Met dit besturingselement wordt gecontroleerd of een Lambda-functie is geconfigureerd met een wachtrij met dode letters. Het besturingselement mislukt als de lambda-functie niet is geconfigureerd met een wachtrij met onbestelbare letters. Als alternatief voor een on-failure-bestemming kunt u uw functie configureren met een wachtrij met dode letters om verwijderde gebeurtenissen op te slaan voor verdere verwerking. Een wachtrij met dead-letter fungeert hetzelfde als een on-failure-bestemming. Deze wordt gebruikt wanneer een gebeurtenis alle verwerkingspogingen mislukt of verloopt zonder te worden verwerkt. Met een wachtrij met dode letters kunt u terugkijken naar fouten of mislukte aanvragen voor uw Lambda-functie om fouten op te sporen of ongebruikelijk gedrag te identificeren. Vanuit beveiligingsperspectief is het belangrijk om te begrijpen waarom uw functie is mislukt en om ervoor te zorgen dat uw functie geen gegevens verwijdert of gegevensbeveiliging in gevaar brengt. Als uw functie bijvoorbeeld niet kan communiceren met een onderliggende resource die een symptoom kan zijn van een DoS-aanval (Denial of Service) elders in het netwerk. | Gemiddeld |
Oktober 2022
De updates in oktober omvatten:
- Aankondiging van de Microsoft-cloudbeveiligingsbenchmark
- Analyse van aanvalspaden en contextuele beveiligingsmogelijkheden in Defender voor Cloud (preview)
- Scannen zonder agent voor Azure- en AWS-machines (preview)
- Defender voor DevOps (preview)
- Dashboard Naleving van regelgeving ondersteunt nu handmatig beheer en gedetailleerde informatie over de nalevingsstatus van Microsoft
- Automatische inrichting wordt hernoemd naar Instellingen & bewaking en heeft een bijgewerkte ervaring
- Defender Cloud Security Posture Management (CSPM) (preview)
- Toewijzing van MITRE ATT&CK-framework is nu ook beschikbaar voor AANBEVELINGEN voor AWS- en GCP-beveiliging
- Defender for Containers ondersteunt nu evaluatie van beveiligingsproblemen voor Elastic Container Registry (preview)
Aankondiging van de Microsoft-cloudbeveiligingsbenchmark
De Microsoft Cloud Security Benchmark (MCSB) is een nieuw framework dat fundamentele principes voor cloudbeveiliging definieert op basis van algemene industriestandaarden en nalevingsframeworks. Samen met gedetailleerde technische richtlijnen voor het implementeren van deze best practices op cloudplatforms. MCSB vervangt de Azure Security Benchmark. MCSB biedt beschrijvende informatie over het implementeren van de cloudagnostische beveiligingsaanbevelingen op meerdere cloudserviceplatforms, die in eerste instantie Betrekking hebben op Azure en AWS.
U kunt nu uw nalevingspostuur voor cloudbeveiliging per cloud bewaken in één geïntegreerd dashboard. U kunt MCSB zien als de standaardnalevingsstandaard wanneer u naar het dashboard voor naleving van regelgeving van Defender voor Cloud navigeert.
Microsoft Cloud Security Benchmark wordt automatisch toegewezen aan uw Azure-abonnementen en AWS-accounts wanneer u onboarding Defender voor Cloud.
Meer informatie over de Microsoft-cloudbeveiligingsbenchmark.
Analyse van aanvalspaden en contextuele beveiligingsmogelijkheden in Defender voor Cloud (preview)
De nieuwe cloudbeveiligingsgrafiek, analyse van aanvalspaden en contextuele cloudbeveiligingsmogelijkheden zijn nu beschikbaar in Defender voor Cloud in preview.
Een van de grootste uitdagingen waarmee beveiligingsteams tegenwoordig te maken hebben, is het aantal beveiligingsproblemen waarmee ze dagelijks worden geconfronteerd. Er zijn talloze beveiligingsproblemen die moeten worden opgelost en nooit genoeg resources om ze allemaal op te lossen.
Defender voor Cloud nieuwe mogelijkheden voor cloudbeveiligings- en aanvalspadanalyse biedt beveiligingsteams de mogelijkheid om het risico achter elk beveiligingsprobleem te beoordelen. Beveiligingsteams kunnen ook de problemen met het hoogste risico identificeren die binnenkort moeten worden opgelost. Defender voor Cloud werkt met beveiligingsteams om het risico op een nadelige schending van hun omgeving op de meest effectieve manier te verminderen.
Meer informatie over de nieuwe grafiek voor cloudbeveiliging, analyse van aanvalspaden en cloudbeveiligingsverkenner.
Scannen zonder agent voor Azure- en AWS-machines (preview)
Tot nu toe Defender voor Cloud de houdingsevaluaties voor VM's gebaseerd op oplossingen op basis van agents. Om klanten te helpen de dekking te maximaliseren en de wrijving van onboarding en beheer te verminderen, brengen we het scannen zonder agent uit voor VM's om een preview-versie uit te voeren.
Met scannen zonder agent voor VM's krijgt u een brede zichtbaarheid van geïnstalleerde software- en software-CV's. U krijgt de zichtbaarheid zonder de uitdagingen van agentinstallatie en -onderhoud, vereisten voor netwerkconnectiviteit en prestaties die van invloed zijn op uw workloads. De analyse wordt mogelijk gemaakt door Microsoft Defender Vulnerability Management.
Scannen op beveiligingsproblemen zonder agent is beschikbaar in zowel Defender Cloud Security Posture Management (CSPM) als in Defender for Servers P2, met systeemeigen ondersteuning voor AWS- en Azure-VM's.
- Meer informatie over scannen zonder agent.
- Ontdek hoe u evaluatie van beveiligingsproblemen zonder agent inschakelt.
Defender voor DevOps (preview)
Microsoft Defender voor Cloud biedt uitgebreide zichtbaarheid, postuurbeheer en bedreigingsbeveiliging in hybride en multicloudomgevingen, waaronder Azure-, AWS-, Google- en on-premises resources.
Het nieuwe Defender for DevOps-plan integreert nu broncodebeheersystemen, zoals GitHub en Azure DevOps, in Defender voor Cloud. Met deze nieuwe integratie stellen we beveiligingsteams in staat om hun resources te beschermen tegen code naar de cloud.
Met Defender voor DevOps kunt u inzicht krijgen in uw verbonden ontwikkelomgevingen en codebronnen en deze beheren. Op dit moment kunt u Azure DevOps- en GitHub-systemen verbinden met Defender voor Cloud en DevOps-opslagplaatsen onboarden met Inventory en de nieuwe DevOps-beveiligingspagina. Het biedt beveiligingsteams een overzicht op hoog niveau van de gedetecteerde beveiligingsproblemen die erin bestaan op een uniforme DevOps-beveiligingspagina.
U kunt aantekeningen configureren voor pull-aanvragen om ontwikkelaars te helpen bij het rechtstreeks verwerken van geheimen die in Azure DevOps worden gevonden bij hun pull-aanvragen.
U kunt de Microsoft Security DevOps-hulpprogramma's configureren in Azure Pipelines en GitHub-werkstromen om de volgende beveiligingsscans in te schakelen:
| Naam | Taal | Licentie |
|---|---|---|
| Bandit | Python | Apache License 2.0 |
| BinSkim | Binair – Windows, ELF | MIT-licentie |
| ESlint | JavaScript | MIT-licentie |
| CredScan (alleen Azure DevOps) | Referentiescanner (ook wel CredScan genoemd) is een hulpprogramma dat door Microsoft is ontwikkeld en onderhouden om referentielekken te identificeren, zoals die in broncode en configuratiebestanden veelvoorkomende typen: standaardwachtwoorden, SQL verbindingsreeks s, certificaten met persoonlijke sleutels | Niet open source |
| Sjabloon analyseren | ARM-sjabloon, Bicep-bestand | MIT-licentie |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, CloudFormatie | Apache License 2.0 |
| Trivy | Containerinstallatiekopieën, bestandssystemen, Git-opslagplaatsen | Apache License 2.0 |
De volgende nieuwe aanbevelingen zijn nu beschikbaar voor DevOps:
| Aanbeveling | Beschrijving | Ernst |
|---|---|---|
| (Preview) In codeopslagplaatsen moeten de resultaten van codescans zijn opgelost | Defender voor DevOps heeft beveiligingsproblemen in codeopslagplaatsen gevonden. Om de beveiligingspostuur van de opslagplaatsen te verbeteren, wordt het ten zeerste aanbevolen deze beveiligingsproblemen op te heffen. (Geen gerelateerd beleid) | Gemiddeld |
| (Preview) Codeopslagplaatsen moeten geheime scanresultaten hebben opgelost | Defender voor DevOps heeft een geheim gevonden in codeopslagplaatsen. Dit moet onmiddellijk worden hersteld om een beveiligingsschending te voorkomen. Geheimen in opslagplaatsen kunnen worden gelekt of gedetecteerd door kwaadwillende personen, wat leidt tot inbreuk op een toepassing of service. Voor Azure DevOps scant het hulpprogramma Microsoft Security DevOps CredScan alleen builds waarop deze is geconfigureerd om uit te voeren. De resultaten geven daarom mogelijk niet de volledige status van geheimen in uw opslagplaatsen weer. (Geen gerelateerd beleid) | Hoog |
| (Preview) De resultaten van het scannen van Dependabot in codeopslagplaatsen moeten zijn opgelost | Defender voor DevOps heeft beveiligingsproblemen in codeopslagplaatsen gevonden. Om de beveiligingspostuur van de opslagplaatsen te verbeteren, wordt het ten zeerste aanbevolen deze beveiligingsproblemen op te heffen. (Geen gerelateerd beleid) | Gemiddeld |
| (Preview) Codeopslagplaatsen moeten infrastructuur hebben als het scannen van code is opgelost | (Preview) Codeopslagplaatsen moeten infrastructuur hebben als het scannen van code is opgelost | Gemiddeld |
| (Preview) Voor GitHub-opslagplaatsen moet codescans zijn ingeschakeld | GitHub maakt gebruik van codescans om code te analyseren om beveiligingsproblemen en fouten in code te vinden. Codescans kunnen worden gebruikt voor het vinden, classificeren en prioriteren van oplossingen voor bestaande problemen in uw code. Codescans kunnen ook voorkomen dat ontwikkelaars nieuwe problemen introduceren. Scans kunnen worden gepland voor specifieke dagen en tijden, of scans kunnen worden geactiveerd wanneer een specifieke gebeurtenis plaatsvindt in de opslagplaats, zoals een push. Als codescans een mogelijk beveiligingsprobleem of een mogelijke fout in code vinden, wordt in GitHub een waarschuwing weergegeven in de opslagplaats. Een beveiligingsprobleem is een probleem in de code van een project die kan worden misbruikt om de vertrouwelijkheid, integriteit of beschikbaarheid van het project te beschadigen. (Geen gerelateerd beleid) | Gemiddeld |
| (Preview) Voor GitHub-opslagplaatsen moet geheimscans zijn ingeschakeld | GitHub scant opslagplaatsen voor bekende typen geheimen om frauduleus gebruik van geheimen te voorkomen die per ongeluk zijn doorgevoerd in opslagplaatsen. Scannen van geheimen scant de volledige Git-geschiedenis op alle vertakkingen die aanwezig zijn in de GitHub-opslagplaats voor geheimen. Voorbeelden van geheimen zijn tokens en persoonlijke sleutels die een serviceprovider kan uitgeven voor verificatie. Als een geheim is ingecheckt in een opslagplaats, kan iedereen die leestoegang tot de opslagplaats heeft, het geheim gebruiken om toegang te krijgen tot de externe service met deze bevoegdheden. Geheimen moeten worden opgeslagen op een toegewezen, veilige locatie buiten de opslagplaats voor het project. (Geen gerelateerd beleid) | Hoog |
| (Preview) Voor GitHub-opslagplaatsen moet het scannen van Dependabot zijn ingeschakeld | GitHub verzendt Dependabot-waarschuwingen wanneer beveiligingsproblemen in codeafhankelijkheden worden gedetecteerd die van invloed zijn op opslagplaatsen. Een beveiligingsprobleem is een probleem in de code van een project die kan worden misbruikt om de vertrouwelijkheid, integriteit of beschikbaarheid van het project of andere projecten die de bijbehorende code gebruiken, te beschadigen. Beveiligingsproblemen variëren per type, ernst en aanvalsmethode. Wanneer code afhankelijk is van een pakket met een beveiligingsprobleem, kan deze kwetsbare afhankelijkheid een reeks problemen veroorzaken. (Geen gerelateerd beleid) | Gemiddeld |
De aanbevelingen van Defender voor DevOps hebben de afgeschafte scanner voor beveiligingsproblemen vervangen voor CI/CD-werkstromen die zijn opgenomen in Defender for Containers.
Meer informatie over Defender voor DevOps
Dashboard Naleving van regelgeving ondersteunt nu handmatig beheer en gedetailleerde informatie over de nalevingsstatus van Microsoft
Het nalevingsdashboard in Defender voor Cloud is een belangrijk hulpmiddel voor klanten om hen te helpen hun nalevingsstatus te begrijpen en bij te houden. Klanten kunnen omgevingen continu bewaken in overeenstemming met de vereisten van veel verschillende standaarden en voorschriften.
Nu kunt u uw nalevingspostuur volledig beheren door handmatig te attesteren aan operationele en andere besturingselementen. U kunt nu bewijs leveren van naleving voor besturingselementen die niet zijn geautomatiseerd. Samen met de geautomatiseerde evaluaties kunt u nu een volledig nalevingsrapport genereren binnen een geselecteerd bereik, waarbij de volledige set controles voor een bepaalde standaard wordt aangepakt.
Bovendien hebt u nu, met uitgebreidere controle-informatie, uitgebreidere details en bewijsmateriaal voor de nalevingsstatus van Microsoft, alle informatie die nodig is voor controles binnen handbereik.
Dit zijn enkele nieuwe voordelen:
Handmatige klantacties bieden een mechanisme voor het handmatig controleren van naleving van niet-geautomatiseerde controles. Inclusief de mogelijkheid om bewijs te koppelen, een nalevingsdatum en vervaldatum instellen.
Uitgebreidere controledetails voor ondersteunde standaarden waarin Microsoft-acties en handmatige klantacties worden weergegeven, naast de reeds bestaande geautomatiseerde klantacties.
De acties van Microsoft bieden transparantie in de nalevingsstatus van Microsoft, waaronder controle-evaluatieprocedures, testresultaten en Microsoft reacties op afwijkingen.
Nalevingsaanbiedingen bieden een centrale locatie om Azure-, Dynamics 365- en Power Platform-producten en hun respectieve nalevingscertificeringen voor regelgeving te controleren.
Meer informatie over het verbeteren van uw naleving van regelgeving met Defender voor Cloud.
Automatische inrichting wordt hernoemd naar Instellingen & bewaking en heeft een bijgewerkte ervaring
De naam van de pagina Voor automatisch inrichten is gewijzigd in Instellingen & bewaking.
Automatische inrichting is bedoeld om het inschakelen van vereisten op schaal toe te staan, die nodig zijn voor de geavanceerde functies en mogelijkheden van Defender voor Cloud. Om onze uitgebreide mogelijkheden beter te ondersteunen, starten we een nieuwe ervaring met de volgende wijzigingen:
De pagina met abonnementen van de Defender voor Cloud bevat nu:
- Wanneer u een Defender-plan inschakelt waarvoor bewakingsonderdelen zijn vereist, worden deze onderdelen ingeschakeld voor automatische inrichting met standaardinstellingen. Deze instellingen kunnen op elk gewenst moment worden bewerkt.
- U hebt toegang tot de instellingen voor bewakingsonderdelen voor elk Defender-plan vanaf de pagina Defender-plan.
- Op de pagina Defender-plannen wordt duidelijk aangegeven of alle bewakingsonderdelen aanwezig zijn voor elk Defender-plan of dat uw bewakingsdekking onvolledig is.
De pagina Instellingen en bewaking:
- Elk bewakingsonderdeel geeft de Defender-plannen aan waaraan het is gerelateerd.
Meer informatie over het beheren van uw bewakingsinstellingen.
Defender Cloud Security Posture Management (CSPM)
Een van de belangrijkste pijlers van Microsoft Defender voor Cloud voor cloudbeveiliging is Cloud Security Posture Management (CSPM). CSPM biedt u richtlijnen voor beveiliging waarmee u uw beveiliging efficiënt en effectief kunt verbeteren. CSPM geeft u ook inzicht in uw huidige beveiligingssituatie.
We kondigen een nieuw Defender-abonnement aan: Defender CSPM. Dit plan verbetert de beveiligingsmogelijkheden van Defender voor Cloud en bevat de volgende nieuwe en uitgebreide functies:
- Continue evaluatie van de beveiligingsconfiguratie van uw cloudresources
- Aanbevelingen voor beveiliging om onjuiste configuraties en zwakke plekken op te lossen
- Beveiligingsscore
- Beheer
- Naleving van regelgeving
- Cloudbeveiligingsgrafiek
- Analyse van aanvalspad
- Scannen zonder agent voor machines
Meer informatie over het Defender CSPM-plan.
Toewijzing van MITRE ATT&CK-framework is nu ook beschikbaar voor AANBEVELINGEN voor AWS- en GCP-beveiliging
Voor beveiligingsanalisten is het essentieel om de potentiële risico's te identificeren die zijn gekoppeld aan beveiligingsaanbevelingen en inzicht te krijgen in de aanvalsvectoren, zodat ze hun taken efficiënt kunnen prioriteren.
Defender voor Cloud maakt prioritering eenvoudiger door de azure-, AWS- en GCP-beveiligingsaanbevelingen toe te passen aan het MITRE ATT&CK-framework. Het MITRE ATT&CK-framework is een wereldwijd toegankelijke knowledge base van kwaadwillende tactieken en technieken op basis van praktijkobservaties, zodat klanten de veilige configuratie van hun omgevingen kunnen versterken.
Het MITRE ATT&CK-framework is op drie manieren geïntegreerd:
- Aanbevelingen worden toegewezen aan MITRE ATT&CK-tactieken en -technieken.
- Query's uitvoeren op MITRE ATT&CK-tactieken en -technieken voor aanbevelingen met behulp van Azure Resource Graph.
Defender for Containers ondersteunt nu evaluatie van beveiligingsproblemen voor Elastic Container Registry (preview)
Microsoft Defender for Containers biedt nu scannen op evaluatie van beveiligingsproblemen zonder agent voor Elastic Container Registry (ECR) in Amazon AWS. Uitbreiden van dekking voor omgevingen met meerdere clouds, voortbouwend op de release eerder dit jaar van geavanceerde bedreigingsbeveiliging en Kubernetes-omgevingbeveiliging voor AWS en Google GCP. Met het model zonder agent worden AWS-resources in uw accounts gemaakt om uw afbeeldingen te scannen zonder afbeeldingen uit uw AWS-accounts te extraheren en zonder footprint op uw workload.
Het scannen van evaluatie van beveiligingsproblemen zonder agent op installatiekopieën in ECR-opslagplaatsen helpt het kwetsbaarheid voor aanvallen van uw containeromgeving te verminderen door continu installatiekopieën te scannen om beveiligingsproblemen in containers te identificeren en te beheren. Met deze nieuwe release scant Defender voor Cloud containerinstallatiekopieën nadat deze naar de opslagplaats zijn gepusht en voortdurend de ECR-containerinstallatiekopieën in het register opnieuw evalueert. De bevindingen zijn beschikbaar in Microsoft Defender voor Cloud als aanbevelingen en u kunt de ingebouwde geautomatiseerde werkstromen van Defender voor Cloud gebruiken om actie te ondernemen op de bevindingen, zoals het openen van een ticket voor het oplossen van een beveiligingsprobleem met hoge ernst in een afbeelding.
Meer informatie over evaluatie van beveiligingsproblemen voor Amazon ECR-installatiekopieën.
September 2022
De updates in september zijn onder meer:
- Waarschuwingen onderdrukken op basis van container- en Kubernetes-entiteiten
- Defender for Servers ondersteunt bewaking van bestandsintegriteit met Azure Monitor-agent
- Verouderde evaluaties-API's afschaffen
- Extra aanbevelingen toegevoegd aan identiteit
- Beveiligingswaarschuwingen verwijderd voor machines die rapporteren aan Log Analytics-werkruimten voor meerdere tenants
Waarschuwingen onderdrukken op basis van container- en Kubernetes-entiteiten
- Kubernetes-naamruimte
- Kubernetes-pod
- Kubernetes-geheim
- Kubernetes ServiceAccount
- Kubernetes ReplicaSet
- Kubernetes StatefulSet
- Kubernetes DaemonSet
- Kubernetes-taak
- Kubernetes CronJob
Meer informatie over regels voor waarschuwingsonderdrukking.
Defender for Servers ondersteunt bewaking van bestandsintegriteit met Azure Monitor-agent
Fim (File Integrity Monitoring) onderzoekt besturingssysteembestanden en registers op wijzigingen die kunnen duiden op een aanval.
FIM is nu beschikbaar in een nieuwe versie op basis van Azure Monitor Agent (AMA), die u kunt implementeren via Defender voor Cloud.
Meer informatie over bewaking van bestandsintegriteit met de Azure Monitor-agent.
Verouderde evaluaties-API's afschaffen
De volgende API's zijn afgeschaft:
- Beveiligingstaken
- Beveiligingsstatussen
- Beveiligingssamenvattingen
Deze drie API's hebben oude indelingen van evaluaties weergegeven en worden vervangen door de Evaluaties-API's en SubAssessments-API's. Alle gegevens die beschikbaar worden gesteld door deze verouderde API's, zijn ook beschikbaar in de nieuwe API's.
Extra aanbevelingen toegevoegd aan identiteit
Defender voor Cloud aanbevelingen voor het verbeteren van het beheer van gebruikers en accounts.
Nieuwe aanbevelingen
De nieuwe release bevat de volgende mogelijkheden:
Uitgebreid evaluatiebereik : dekking wordt verbeterd voor identiteitsaccounts zonder MFA en externe accounts op Azure-resources (in plaats van alleen abonnementen), zodat uw beveiligingsbeheerders roltoewijzingen per account kunnen bekijken.
Verbeterd vernieuwingsinterval : de identiteitsaanbeveling heeft nu een vernieuwingsinterval van 12 uur.
Mogelijkheid voor accountvrijstelling: Defender voor Cloud heeft veel functies die u kunt gebruiken om uw ervaring aan te passen en ervoor te zorgen dat uw beveiligingsscore overeenkomt met de beveiligingsprioriteiten van uw organisatie. U kunt bijvoorbeeld resources en aanbevelingen uitsluiten van uw beveiligingsscore.
Met deze update kunt u specifieke accounts uitsluiten van evaluatie met de zes aanbevelingen die in de volgende tabel worden vermeld.
Normaal gesproken zou u accounts voor 'break glass' uitsluiten van MFA-aanbevelingen, omdat dergelijke accounts vaak opzettelijk worden uitgesloten van de MFA-vereisten van een organisatie. U kunt ook externe accounts hebben waartoe u toegang wilt toestaan, waarvoor MFA niet is ingeschakeld.
Tip
Wanneer u een account uitzond, wordt dit niet weergegeven als beschadigd en wordt een abonnement ook niet in orde weergegeven.
Aanbeveling Evaluatiesleutel Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld 6240402e-f77c-46fa-9060-a7ce53997754 Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld c0cb17b2-0607-48a7-b0e0-903ed22de39b Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd 20606e75-05c4-48c0-9d97-add6daa2109a Gastaccounts met schrijfmachtigingen voor Azure-resources moeten worden verwijderd 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb Gastaccounts met leesmachtigingen voor Azure-resources moeten worden verwijderd fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 Geblokkeerde accounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd 050ac097-3dda-4d24-ab6d-82568e7a50cf Geblokkeerde accounts met lees- en schrijfmachtigingen voor Azure-resources moeten worden verwijderd 1ff0b4c9-ed56-4de6-be9c-d7ab39645926
De aanbevelingen worden weliswaar in de preview-versie weergegeven naast de aanbevelingen die momenteel in algemene beschikbaarheid zijn opgenomen.
Beveiligingswaarschuwingen verwijderd voor machines die rapporteren aan Log Analytics-werkruimten voor meerdere tenants
In het verleden kunt u Defender voor Cloud de werkruimte kiezen waarnaar uw Log Analytics-agents rapporteren. Wanneer een machine behoort tot één tenant ('Tenant A'), maar de Log Analytics-agent die is gerapporteerd aan een werkruimte in een andere tenant ('Tenant B'), zijn beveiligingswaarschuwingen over de machine gerapporteerd aan de eerste tenant ('Tenant A').
Met deze wijziging worden waarschuwingen op computers die zijn verbonden met de Log Analytics-werkruimte in een andere tenant niet meer weergegeven in Defender voor Cloud.
Als u de waarschuwingen in Defender voor Cloud wilt blijven ontvangen, verbindt u de Log Analytics-agent van de relevante machines met de werkruimte in dezelfde tenant als de computer.
Meer informatie over beveiligingswaarschuwingen.
Augustus 2022
De updates in augustus zijn onder meer:
- Beveiligingsproblemen voor het uitvoeren van installatiekopieën zijn nu zichtbaar met Defender for Containers in uw Windows-containers
- Integratie van Azure Monitor-agent nu in preview
- Afgeschafte VM-waarschuwingen met betrekking tot verdachte activiteiten met betrekking tot een Kubernetes-cluster
Beveiligingsproblemen voor het uitvoeren van installatiekopieën zijn nu zichtbaar met Defender for Containers in uw Windows-containers
Defender for Containers toont nu beveiligingsproblemen voor het uitvoeren van Windows-containers.
Wanneer beveiligingsproblemen worden gedetecteerd, genereert Defender voor Cloud de volgende beveiligingsaanbeveling, waarin de gedetecteerde problemen worden vermeld: het uitvoeren van containerinstallatiekopieën moet resultaten voor beveiligingsproblemen hebben opgelost.
Meer informatie over het weergeven van beveiligingsproblemen voor het uitvoeren van installatiekopieën.
Integratie van Azure Monitor-agent nu in preview
Defender voor Cloud bevat nu preview-ondersteuning voor de Azure Monitor Agent (AMA). AMA is bedoeld om de verouderde Log Analytics-agent (ook wel de Microsoft Monitoring Agent (MMA) genoemd) te vervangen, die zich op een pad naar afschaffing bevindt. AMA biedt veel voordelen ten opzichte van verouderde agents.
Wanneer u in Defender voor Cloud automatische inrichting voor AMA inschakelt, wordt de agent geïmplementeerd op bestaande en nieuwe VM's en machines met Azure Arc die zijn gedetecteerd in uw abonnementen. Als Defenders for Cloud-abonnementen zijn ingeschakeld, verzamelt AMA configuratiegegevens en gebeurtenislogboeken van Azure-VM's en Azure Arc-machines. De AMA-integratie is in preview, dus we raden u aan deze te gebruiken in testomgevingen in plaats van in productieomgevingen.
Afgeschafte VM-waarschuwingen met betrekking tot verdachte activiteiten met betrekking tot een Kubernetes-cluster
De volgende tabel bevat de waarschuwingen die zijn afgeschaft:
| Naam van waarschuwing | Beschrijving | Tactieken | Ernst |
|---|---|---|---|
| Docker-buildbewerking gedetecteerd op een Kubernetes-knooppunt (VM_ImageBuildOnNode) |
Machinelogboeken geven een build-bewerking van een containerinstallatiekopieën op een Kubernetes-knooppunt aan. Hoewel dit gedrag legitiem kan zijn, kunnen aanvallers hun schadelijke installatiekopieën lokaal bouwen om detectie te voorkomen. | Verdedigingsontduiking | Beperkt |
| Suspicious request to Kubernetes API (Verdachte aanvraag voor Kubernetes-API) (VM_KubernetesAPI) |
Computerlogboeken geven aan dat er een verdachte aanvraag is verstuurd naar de Kubernetes-API. De aanvraag is verzonden vanaf een Kubernetes-knooppunt, mogelijk vanuit een van de containers die op het knooppunt worden uitgevoerd. Hoewel dit gedrag opzettelijk kan zijn, kan dit erop wijzen dat op het knooppunt een geïnfecteerde container wordt uitgevoerd. | Lateral Movement (Zijdelingse verplaatsing) | Gemiddeld |
| SSH server is running inside a container (SSH-server wordt uitgevoerd in een container) (VM_ContainerSSH) |
Computerlogboeken geven aan dat een SSH-server wordt uitgevoerd in een Docker-container. Hoewel dit gedrag opzettelijk kan zijn, geeft dit vaak aan dat een container onjuist is geconfigureerd of wordt geschonden. | Uitvoering | Gemiddeld |
Deze waarschuwingen worden gebruikt om een gebruiker op de hoogte te stellen van verdachte activiteiten die zijn verbonden met een Kubernetes-cluster. De waarschuwingen worden vervangen door overeenkomende waarschuwingen die deel uitmaken van de Microsoft Defender voor Cloud containerwaarschuwingen (K8S.NODE_ImageBuildOnNodeK8S.NODE_ KubernetesAPIenK8S.NODE_ ContainerSSH) die een verbeterde kwaliteit en uitgebreide context bieden om de waarschuwingen te onderzoeken en erop te reageren. Meer informatie over waarschuwingen voor Kubernetes-clusters.
Beveiligingsproblemen in containers bevatten nu gedetailleerde pakketinformatie
Defender for Container's vulnerability assessment (VA) bevat nu gedetailleerde pakketinformatie voor elke bevindingen, waaronder: pakketnaam, pakkettype, pad, geïnstalleerde versie en vaste versie. Met de pakketinformatie kunt u kwetsbare pakketten vinden, zodat u het beveiligingsprobleem kunt oplossen of het pakket kunt verwijderen.
Deze gedetailleerde pakketinformatie is beschikbaar voor nieuwe scans van afbeeldingen.
Juli 2022
De updates in juli zijn onder meer:
- Algemene beschikbaarheid (GA) van de cloudeigen beveiligingsagent voor Kubernetes Runtime-beveiliging
- Defender for Container's VA voegt ondersteuning toe voor de detectie van taalspecifieke pakketten (preview)
- Bescherming tegen het beveiligingsprobleem van de Operations Management-infrastructuur CVE-2022-29149
- Integratie met Entra Permissions Management
- Key Vault-aanbevelingen zijn gewijzigd in 'controle'
- API-app-beleid voor App Service verwijderen
Algemene beschikbaarheid (GA) van de cloudeigen beveiligingsagent voor Kubernetes Runtime-beveiliging
We delen graag dat de cloudeigen beveiligingsagent voor Kubernetes Runtime-beveiliging nu algemeen beschikbaar is (GA)!
De productie-implementaties van Kubernetes-clusters blijven groeien naarmate klanten hun toepassingen blijven containeriseren. Ter ondersteuning van deze groei heeft het team van Defender for Containers een cloudeigen Kubernetes-beveiligingsagent ontwikkeld.
De nieuwe beveiligingsagent is een Kubernetes DaemonSet, gebaseerd op eBPF-technologie en is volledig geïntegreerd in AKS-clusters als onderdeel van het AKS-beveiligingsprofiel.
De activering van de beveiligingsagent is beschikbaar via automatische inrichting, aanbevelingenstroom, AKS RP of op schaal met behulp van Azure Policy.
U kunt de Defender-agent vandaag implementeren op uw AKS-clusters.
Met deze aankondiging is de runtimebeveiliging - bedreigingsdetectie (workload) nu ook algemeen beschikbaar.
Meer informatie over de beschikbaarheid van functies van Defender for Container.
U kunt ook alle beschikbare waarschuwingen bekijken.
Als u de preview-versie gebruikt, is de AKS-AzureDefender functievlag niet meer vereist.
Defender for Container's VA voegt ondersteuning toe voor de detectie van taalspecifieke pakketten (preview)
De evaluatie van beveiligingsproblemen van Defender for Container (VA) kan beveiligingsproblemen detecteren in besturingssysteempakketten die zijn geïmplementeerd via os-pakketbeheer. We hebben nu de mogelijkheden van VA uitgebreid om beveiligingsproblemen te detecteren die zijn opgenomen in taalspecifieke pakketten.
Deze functie is in preview en is alleen beschikbaar voor Linux-installatiekopieën.
Als u alle opgenomen taalspecifieke pakketten wilt zien die zijn toegevoegd, bekijkt u de volledige lijst met functies en de beschikbaarheid van Defender for Container.
Bescherming tegen het beveiligingsprobleem van de Operations Management-infrastructuur CVE-2022-29149
Operations Management Infrastructure (OMI) is een verzameling cloudservices voor het beheren van on-premises en cloudomgevingen vanaf één locatie. In plaats van on-premises resources te implementeren en te beheren, worden OMI-onderdelen volledig gehost in Azure.
Log Analytics geïntegreerd met Azure HDInsight met OMI versie 13 vereist een patch om CVE-2022-29149 te herstellen. Raadpleeg het rapport over dit beveiligingsprobleem in de Handleiding voor Microsoft Security Update voor informatie over het identificeren van resources die worden beïnvloed door dit beveiligingsprobleem en herstelstappen.
Als Defender for Servers is ingeschakeld met Evaluatie van beveiligingsproblemen, kunt u deze werkmap gebruiken om betrokken resources te identificeren.
Integratie met Entra Permissions Management
Defender voor Cloud is geïntegreerd met Microsoft Entra-machtigingsbeheer, een CIEM-oplossing (Cloud Infrastructure Entitlement Management) die uitgebreide zichtbaarheid en controle biedt over machtigingen voor elke identiteit en elke resource in Azure, AWS en GCP.
Elk Azure-abonnement, AWS-account en GCP-project dat u onboardt, toont nu een weergave van uw Pci (Permission Creep Index).
Meer informatie over Entra Permission Management (voorheen Cloudknox)
Key Vault-aanbevelingen zijn gewijzigd in 'controle'
Het effect voor de key Vault-aanbevelingen die hier worden vermeld, is gewijzigd in 'controle':
| Naam van aanbeveling | Aanbevelings-id |
|---|---|
| De geldigheidsperiode van certificaten die in Azure Key Vault zijn opgeslagen, mag niet langer zijn dan twaalf maanden | fc84abc0-eee6-4758-8372-a7681965ca44 |
| Key Vault-geheimen moeten een vervaldatum hebben | 14257785-9437-97fa-11ae-898cfb24302b |
| Key Vault-sleutels moeten een vervaldatum hebben | 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2 |
API-app-beleid voor App Service verwijderen
We hebben het volgende beleid afgeschaft voor overeenkomende beleidsregels die al bestaan om API-apps op te nemen:
| Afgeschaft | Wijzigen in |
|---|---|
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' |
App Service apps should have 'Client Certificates (Incoming client certificates)' enabled |
Ensure that 'Python version' is the latest, if used as a part of the API app |
App Service apps that use Python should use the latest Python version' |
CORS should not allow every resource to access your API App |
App Service apps should not have CORS configured to allow every resource to access your apps |
Managed identity should be used in your API App |
App Service apps should use managed identity |
Remote debugging should be turned off for API Apps |
App Service apps should have remote debugging turned off |
Ensure that 'PHP version' is the latest, if used as a part of the API app |
App Service apps that use PHP should use the latest 'PHP version' |
FTPS only should be required in your API App |
App Service apps should require FTPS only |
Ensure that 'Java version' is the latest, if used as a part of the API app |
App Service apps that use Java should use the latest 'Java version' |
Latest TLS version should be used in your API App |
App Service apps should use the latest TLS version |
Juni 2022
De updates in juni zijn onder meer:
- Algemene beschikbaarheid (GA) voor Microsoft Defender voor Azure Cosmos DB
- Algemene beschikbaarheid (GA) van Defender voor SQL op machines voor AWS- en GCP-omgevingen
- De implementatie van beveiligingsaanveling stimuleren om uw beveiligingspostuur te verbeteren
- Beveiligingswaarschuwingen filteren op IP-adres
- Waarschuwingen per resourcegroep
- Automatisch inrichten van Microsoft Defender voor Eindpunt geïntegreerde oplossing
- De afschaffing van het beleid 'API-app mag alleen toegankelijk zijn via HTTPS'-beleid
- Nieuwe Key Vault-waarschuwingen
Algemene beschikbaarheid (GA) voor Microsoft Defender voor Azure Cosmos DB
Microsoft Defender voor Azure Cosmos DB is nu algemeen beschikbaar (GA) en biedt ondersteuning voor sql-API-accounttypen (core).
Deze nieuwe release voor GA maakt deel uit van de Microsoft Defender voor Cloud databasebeveiligingssuite, die verschillende typen SQL-databases en MariaDB bevat. Microsoft Defender voor Azure Cosmos DB is een systeemeigen Azure-beveiligingslaag die pogingen detecteert om databases in uw Azure Cosmos DB-accounts te misbruiken.
Door dit plan in te schakelen, wordt u gewaarschuwd voor mogelijke SQL-injecties, bekende slechte actoren, verdachte toegangspatronen en mogelijke verkenningen van uw database via gecompromitteerde identiteiten of schadelijke insiders.
Wanneer mogelijk schadelijke activiteiten worden gedetecteerd, worden beveiligingswaarschuwingen gegenereerd. Deze waarschuwingen bieden details van verdachte activiteiten, samen met de relevante onderzoeksstappen, herstelacties en aanbevelingen voor beveiliging.
Microsoft Defender voor Azure Cosmos DB analyseert continu de telemetriestroom die wordt gegenereerd door de Azure Cosmos DB-services en kruist deze met Microsoft Threat Intelligence en gedragsmodellen om verdachte activiteiten te detecteren. Defender voor Azure Cosmos DB heeft geen toegang tot de azure Cosmos DB-accountgegevens en heeft geen invloed op de prestaties van uw database.
Meer informatie over Microsoft Defender voor Azure Cosmos DB.
Dankzij de toevoeging van ondersteuning voor Azure Cosmos DB biedt Defender voor Cloud nu een van de meest uitgebreide workloadbeveiligingsaanbiedingen voor clouddatabases. Beveiligingsteams en database-eigenaren kunnen nu een gecentraliseerde ervaring hebben om hun databasebeveiliging van hun omgevingen te beheren.
Meer informatie over het inschakelen van beveiliging voor uw databases.
Algemene beschikbaarheid (GA) van Defender voor SQL op machines voor AWS- en GCP-omgevingen
De databasebeveiligingsmogelijkheden van Microsoft Defender voor Cloud hebben ondersteuning toegevoegd voor uw SQL-servers die worden gehost in AWS- of GCP-omgevingen.
Defender voor SQL, ondernemingen kunnen nu hun volledige database-estate beveiligen, gehost in Azure, AWS, GCP en on-premises machines.
Microsoft Defender voor SQL biedt een uniforme multicloud-ervaring voor het weergeven van beveiligingsaanbevelingen, beveiligingswaarschuwingen en bevindingen voor evaluatie van beveiligingsproblemen voor zowel de SQL-server als het onderstreepte Windows-besturingssysteem.
Met de onboarding-ervaring voor meerdere clouds kunt u databasesbeveiliging inschakelen en afdwingen voor SQL-servers die worden uitgevoerd op AWS EC2, RDS Custom voor SQL Server en GCP-rekenengine. Zodra u een van deze abonnementen hebt ingeschakeld, worden alle ondersteunde resources in het abonnement beveiligd. Toekomstige resources die in hetzelfde abonnement zijn gemaakt, worden ook beveiligd.
Meer informatie over het beveiligen en verbinden van uw AWS-omgeving en uw GCP-organisatie met Microsoft Defender voor Cloud.
De implementatie van beveiligingsaanveling stimuleren om uw beveiligingspostuur te verbeteren
De huidige toenemende bedreigingen voor organisaties strekken de limieten van beveiligingspersoneel uit om hun groeiende workloads te beschermen. Beveiligingsteams worden uitgedaagd om de beveiligingen te implementeren die zijn gedefinieerd in hun beveiligingsbeleid.
Met de governance-ervaring in preview kunnen beveiligingsteams nu herstel van beveiligingsaanbeveling toewijzen aan de resource-eigenaren en een herstelschema vereisen. Ze kunnen volledige transparantie hebben in de voortgang van het herstel en op de hoogte worden gesteld wanneer taken te laat zijn.
Meer informatie over de governance-ervaring in het stimuleren van uw organisatie om beveiligingsproblemen met aanbevelingsbeheer op te lossen.
Beveiligingswaarschuwingen filteren op IP-adres
In veel gevallen van aanvallen wilt u waarschuwingen bijhouden op basis van het IP-adres van de entiteit die betrokken is bij de aanval. Tot nu toe werd het IP-adres alleen weergegeven in de sectie Gerelateerde entiteiten in het deelvenster met één waarschuwing. U kunt nu de waarschuwingen filteren op de pagina beveiligingswaarschuwingen om de waarschuwingen te bekijken die betrekking hebben op het IP-adres en u kunt zoeken naar een specifiek IP-adres.
Waarschuwingen per resourcegroep
De mogelijkheid om te filteren, sorteren en groeperen op resourcegroep wordt toegevoegd aan de pagina Beveiligingswaarschuwingen.
Er wordt een resourcegroepkolom toegevoegd aan het waarschuwingenraster.
Er wordt een nieuw filter toegevoegd waarmee u alle waarschuwingen voor specifieke resourcegroepen kunt bekijken.
U kunt nu ook uw waarschuwingen per resourcegroep groeperen om al uw waarschuwingen voor elk van uw resourcegroepen weer te geven.
Automatisch inrichten van Microsoft Defender voor Eindpunt geïntegreerde oplossing
Tot nu toe bevatte de integratie met Microsoft Defender voor Eindpunt (MDE) automatische installatie van de nieuwe geïntegreerde MDE-oplossing voor machines (Azure-abonnementen en connectors met meerdere clouds) waarvoor Defender for Servers Plan 1 is ingeschakeld en voor connectors met meerdere clouds waarvoor Defender for Servers Plan 2 is ingeschakeld. Abonnement 2 voor Azure-abonnementen heeft alleen de geïntegreerde oplossing voor Linux-machines en Windows 2019- en 2022-servers ingeschakeld. Windows-servers 2012R2 en 2016 hebben de verouderde MDE-oplossing gebruikt die afhankelijk is van de Log Analytics-agent.
De nieuwe geïntegreerde oplossing is nu beschikbaar voor alle machines in beide abonnementen, voor zowel Azure-abonnementen als connectors met meerdere clouds. Voor Azure-abonnementen met Servers Abonnement 2 waarvoor MDE-integratie na 20 juni 2022 is ingeschakeld, is de geïntegreerde oplossing standaard ingeschakeld voor alle machines waarop Azure-abonnementen met Defender for Servers Plan 2 zijn ingeschakeld voor MDE-integratie vóór 20 juni 2022, kan de geïntegreerde oplossing nu worden geïnstalleerd voor Windows-servers 2012R2 en 2016 via de toegewezen knop op de pagina Integraties:
Meer informatie over MDE-integratie met Defender for Servers.
De afschaffing van het beleid 'API-app mag alleen toegankelijk zijn via HTTPS'-beleid
Het beleid API App should only be accessible over HTTPS is afgeschaft. Dit beleid wordt vervangen door het beleid, waarvan de Web Application should only be accessible over HTTPS naam is gewijzigd in App Service apps should only be accessible over HTTPS.
Nieuwe Key Vault-waarschuwingen
Om de bedreigingsbeveiligingen van Microsoft Defender voor Key Vault uit te breiden, hebben we twee nieuwe waarschuwingen toegevoegd.
Deze waarschuwingen informeren u over een anomalie voor toegang geweigerd, wordt gedetecteerd voor een van uw sleutelkluizen.
| Waarschuwing (waarschuwingstype) | Beschrijving | MITRE-tactieken | Ernst |
|---|---|---|---|
| Ongebruikelijke toegang geweigerd - Gebruiker heeft toegang tot een groot aantal sleutelkluizen geweigerd (KV_DeniedAccountVolumeAnomaly) |
Een gebruiker of service-principal heeft in de afgelopen 24 uur geprobeerd toegang te krijgen tot afwijkende grote hoeveelheden sleutelkluizen. Dit afwijkende toegangspatroon kan legitieme activiteit zijn. Hoewel deze poging mislukt, kan het een indicatie zijn van een mogelijke poging om toegang te krijgen tot de sleutelkluis en de geheimen erin. We raden verder onderzoek aan. | Detectie | Beperkt |
| Ongebruikelijke toegang geweigerd - Ongebruikelijke gebruikerstoegang tot sleutelkluis geweigerd (KV_UserAccessDeniedAnomaly) |
Een sleutelkluistoegang is geprobeerd door een gebruiker die deze normaal gesproken niet opent. Dit afwijkende toegangspatroon kan legitieme activiteit zijn. Hoewel deze poging mislukt, kan het een indicatie zijn van een mogelijke poging om toegang te krijgen tot de sleutelkluis en de geheimen erin. | Eerste toegang, detectie | Beperkt |
Mei 2022
De updates in mei zijn onder meer:
- Multicloud-instellingen van het Servers-abonnement zijn nu beschikbaar op connectorniveau
- JIT-toegang (Just-In-Time) voor VM's is nu beschikbaar voor AWS EC2-exemplaren (preview)
- De Defender-sensor voor AKS-clusters toevoegen en verwijderen met behulp van de CLI
Multicloud-instellingen van het Servers-abonnement zijn nu beschikbaar op connectorniveau
Er zijn nu instellingen op connectorniveau voor Defender for Servers in meerdere clouds.
De nieuwe instellingen op connectorniveau bieden granulariteit voor de configuratie van prijzen en automatisch inrichten per connector, onafhankelijk van het abonnement.
Alle onderdelen voor automatisch inrichten die beschikbaar zijn op connectorniveau (Azure Arc, MDE en evaluatie van beveiligingsproblemen) zijn standaard ingeschakeld en de nieuwe configuratie ondersteunt zowel de prijscategorieën Abonnement 1 als Abonnement 2.
Updates in de gebruikersinterface bevatten een weerspiegeling van de geselecteerde prijscategorie en de vereiste onderdelen die zijn geconfigureerd.
Wijzigingen in evaluatie van beveiligingsproblemen
Defender for Containers geeft nu beveiligingsproblemen weer met een gemiddelde en lage ernst die niet kunnen worden gepatcht.
Als onderdeel van deze update worden beveiligingsproblemen met gemiddeld en laag ernst nu weergegeven, ongeacht of er patches beschikbaar zijn. Deze update biedt maximale zichtbaarheid, maar u kunt nog steeds ongewenste beveiligingsproblemen filteren met behulp van de opgegeven regel Uitschakelen.
Meer informatie over beveiligingsproblemen beheren
JIT-toegang (Just-In-Time) voor VM's is nu beschikbaar voor AWS EC2-exemplaren (preview)
Wanneer u AWS-accounts verbindt, evalueert JIT automatisch de netwerkconfiguratie van de beveiligingsgroepen van uw exemplaar en raadt u aan welke exemplaren beveiliging nodig hebben voor hun blootgestelde beheerpoorten. Dit is vergelijkbaar met hoe JIT werkt met Azure. Wanneer u onbeveiligde EC2-exemplaren onboardt, blokkeert JIT openbare toegang tot de beheerpoorten en opent deze alleen met geautoriseerde aanvragen gedurende een beperkte periode.
Meer informatie over hoe JIT uw AWS EC2-exemplaren beveiligt
De Defender-sensor voor AKS-clusters toevoegen en verwijderen met behulp van de CLI
De Defender-agent is vereist voor Defender for Containers om de runtimebeveiligingen te bieden en signalen van knooppunten te verzamelen. U kunt nu de Azure CLI gebruiken om de Defender-agent voor een AKS-cluster toe te voegen en te verwijderen.
Notitie
Deze optie is opgenomen in Azure CLI 3.7 en hoger.
April 2022
De updates in april zijn onder meer:
- Nieuwe abonnementen voor Defender voor Servers
- Herlocatie van aangepaste aanbevelingen
- PowerShell-script voor het streamen van waarschuwingen naar Splunk en QRadar
- De aanbeveling Azure Cache voor Redis afgeschaft
- Nieuwe waarschuwingsvariant voor Microsoft Defender voor Storage (preview) om blootstelling van gevoelige gegevens te detecteren
- Titel van containerscanwaarschuwing uitgebreid met IP-adresreputatie
- Bekijk de activiteitenlogboeken die betrekking hebben op een beveiligingswaarschuwing
Nieuwe abonnementen voor Defender voor Servers
Microsoft Defender voor Servers wordt nu aangeboden in twee incrementele abonnementen:
- Defender for Servers Plan 2, voorheen Defender for Servers
- Defender for Servers Plan 1 biedt alleen ondersteuning voor Microsoft Defender voor Eindpunt
Defender for Servers Plan 2 blijft bescherming bieden tegen bedreigingen en beveiligingsproblemen voor uw cloud- en on-premises workloads, maar Defender for Servers Plan 1 biedt alleen eindpuntbeveiliging, mogelijk gemaakt door de systeemeigen geïntegreerde Defender voor Eindpunt. Lees meer over de defender voor servers-abonnementen.
Als u Defender voor Servers tot nu toe hebt gebruikt, is er geen actie vereist.
Daarnaast begint Defender voor Cloud ook geleidelijk ondersteuning voor de geïntegreerde Defender for Endpoint-agent voor Windows Server 2012 R2 en 2016. Defender for Servers Plan 1 implementeert de nieuwe geïntegreerde agent in Windows Server 2012 R2- en 2016-workloads.
Herlocatie van aangepaste aanbevelingen
Aangepaste aanbevelingen zijn de aanbevelingen die door gebruikers zijn gemaakt en hebben geen invloed op de beveiligingsscore. De aangepaste aanbevelingen vindt u nu op het tabblad Alle aanbevelingen.
Gebruik het nieuwe filter aanbevelingstype om aangepaste aanbevelingen te vinden.
Meer informatie vindt u in Aangepaste beveiligingsinitiatieven en -beleidsregels maken.
PowerShell-script voor het streamen van waarschuwingen naar Splunk en IBM QRadar
U wordt aangeraden Event Hubs en een ingebouwde connector te gebruiken om beveiligingswaarschuwingen te exporteren naar Splunk en IBM QRadar. U kunt nu een PowerShell-script gebruiken om de Azure-resources in te stellen die nodig zijn voor het exporteren van beveiligingswaarschuwingen voor uw abonnement of tenant.
Download en voer het PowerShell-script uit. Nadat u enkele details van uw omgeving hebt opgegeven, configureert het script de resources voor u. Het script produceert vervolgens uitvoer die u in het SIEM-platform gebruikt om de integratie te voltooien.
Zie Stream-waarschuwingen voor Splunk en QRadar voor meer informatie.
De aanbeveling Azure Cache voor Redis afgeschaft
De aanbeveling Azure Cache for Redis should reside within a virtual network (preview) is afgeschaft. We hebben onze richtlijnen voor het beveiligen van Azure Cache voor Redis exemplaren gewijzigd. U wordt aangeraden een privé-eindpunt te gebruiken om de toegang tot uw Azure Cache voor Redis exemplaar te beperken in plaats van een virtueel netwerk.
Nieuwe waarschuwingsvariant voor Microsoft Defender voor Storage (preview) om blootstelling van gevoelige gegevens te detecteren
De waarschuwingen van Microsoft Defender for Storage geven u een waarschuwing wanneer bedreigingsactoren proberen om gevoelige informatie te scannen en beschikbaar te maken, met succes of niet, onjuist geconfigureerd, openbaar geopende opslagcontainers om gevoelige informatie te exfiltreren.
Om een snellere triatatie- en reactietijd mogelijk te maken, hebben we een nieuwe variatie op de bestaande Publicly accessible storage containers have been exposed waarschuwing uitgebracht wanneer exfiltratie van mogelijk gevoelige gegevens is opgetreden.
De nieuwe waarschuwing, wordt Publicly accessible storage containers with potentially sensitive data have been exposedgeactiveerd met een High ernstniveau, na een geslaagde detectie van een openbaar geopende opslagcontainer(s) met namen die statistisch zelden openbaar zijn blootgesteld, wat suggereert dat ze gevoelige informatie kunnen bevatten.
| Waarschuwing (waarschuwingstype) | Beschrijving | MITRE-tactiek | Ernst |
|---|---|---|---|
| PREVIEW: openbaar toegankelijke opslagcontainers met mogelijk gevoelige gegevens zijn beschikbaar gesteld (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive) |
Iemand heeft uw Azure Storage-account gescand en een of meer containers weergegeven die openbare toegang toestaan. Een of meer van de weergegeven containers hebben namen die aangeven dat ze gevoelige gegevens kunnen bevatten. Dit duidt meestal op reconnaissance door een bedreigingsacteur die scant op onjuist geconfigureerde openbaar toegankelijke opslagcontainers die gevoelige gegevens kunnen bevatten. Nadat een bedreigingsacteur een container heeft gedetecteerd, kunnen ze doorgaan door de gegevens te exfiltreren. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Verzameling | Hoog |
Titel van containerscanwaarschuwing uitgebreid met IP-adresreputatie
De reputatie van een IP-adres kan aangeven of de scanactiviteit afkomstig is van een bekende bedreigingsacteur of van een actor die het Tor-netwerk gebruikt om hun identiteit te verbergen. Beide indicatoren suggereren dat er schadelijke bedoelingen zijn. De reputatie van het IP-adres wordt geleverd door Microsoft Threat Intelligence.
De toevoeging van de reputatie van het IP-adres aan de waarschuwingstitel biedt een manier om snel de intentie van de actor te evalueren, en dus de ernst van de bedreiging.
De volgende waarschuwingen bevatten deze informatie:
Publicly accessible storage containers have been exposedPublicly accessible storage containers with potentially sensitive data have been exposedPublicly accessible storage containers have been scanned. No publicly accessible data was discovered
De toegevoegde informatie aan de titel van de Publicly accessible storage containers have been exposed waarschuwing ziet er bijvoorbeeld als volgt uit:
Publicly accessible storage containers have been exposedby a suspicious IP addressPublicly accessible storage containers have been exposedby a Tor exit node
Alle waarschuwingen voor Microsoft Defender for Storage blijven informatie over bedreigingsinformatie in de IP-entiteit opnemen in de sectie Gerelateerde entiteiten van de waarschuwing.
Bekijk de activiteitenlogboeken die betrekking hebben op een beveiligingswaarschuwing
Als onderdeel van de acties die u kunt ondernemen om een beveiligingswaarschuwing te evalueren, kunt u de gerelateerde platformlogboeken vinden in Resourcecontext inspecteren om context te krijgen over de betreffende resource. Microsoft Defender voor Cloud identificeert platformlogboeken die zich binnen één dag na de waarschuwing bevinden.
De platformlogboeken kunnen u helpen bij het evalueren van de beveiligingsrisico's en het identificeren van stappen die u kunt ondernemen om het geïdentificeerde risico te beperken.
Maart 2022
Updates in maart zijn onder andere:
- Wereldwijde beschikbaarheid van Veiligheidsscore voor AWS- en GCP-omgevingen
- De aanbevelingen voor het installeren van de gegevensverzamelingsagent voor netwerkverkeer afgeschaft
- Defender for Containers kan nu scannen op beveiligingsproblemen in Windows-installatiekopieën (preview)
- Nieuwe waarschuwing voor Microsoft Defender voor Storage (preview)
- Instellingen voor e-mailmeldingen configureren vanuit een waarschuwing
- Afgeschafte preview-waarschuwing: ARM. MCAS_ActivityFromAnonymousIPAddresses
- De aanbeveling beveiligingsproblemen in containerbeveiligingsconfiguraties zijn verplaatst, moeten worden hersteld van de beveiligingsscore naar aanbevolen procedures
- De aanbeveling voor het gebruik van service-principals afgeschaft om uw abonnementen te beveiligen
- Verouderde implementatie van ISO 27001 vervangen door nieuw ISO 27001:2013-initiatief
- Aanbevelingen voor Microsoft Defender for IoT-apparaten afgeschaft
- Waarschuwingen voor Microsoft Defender for IoT-apparaten afgeschaft
- Postuurbeheer en bedreigingsbeveiliging voor AWS en GCP uitgebracht voor algemene beschikbaarheid (GA)
- Registerscan voor Windows-installatiekopieën in ACR heeft ondersteuning toegevoegd voor nationale clouds
Wereldwijde beschikbaarheid van Veiligheidsscore voor AWS- en GCP-omgevingen
De beheermogelijkheden voor cloudbeveiligingspostuur die door Microsoft Defender voor Cloud worden geboden, hebben nu ondersteuning toegevoegd voor uw AWS- en GCP-omgevingen binnen uw Beveiligingsscore.
Ondernemingen kunnen nu hun algehele beveiligingspostuur bekijken in verschillende omgevingen, zoals Azure, AWS en GCP.
De pagina Secure Score wordt vervangen door het dashboard Beveiligingspostuur. Met het dashboard Beveiligingspostuur kunt u een algemene gecombineerde score voor al uw omgevingen bekijken of een uitsplitsing van uw beveiligingspostuur op basis van elke combinatie van omgevingen die u kiest.
De Aanbevelingen pagina is ook opnieuw ontworpen om nieuwe mogelijkheden te bieden, zoals: selectie van cloudomgevingen, geavanceerde filters op basis van inhoud (resourcegroep, AWS-account, GCP-project en meer), verbeterde gebruikersinterface met lage resolutie, ondersteuning voor open query's in resourcegrafiek en meer. Meer informatie over uw algehele beveiligingspostuur en beveiligingsaanbeveling.
De aanbevelingen voor het installeren van de gegevensverzamelingsagent voor netwerkverkeer afgeschaft
Wijzigingen in onze roadmap en prioriteiten hebben de noodzaak voor de agent voor het verzamelen van netwerkverkeersgegevens verwijderd. De volgende twee aanbevelingen en het bijbehorende beleid zijn afgeschaft.
| Aanbeveling | Beschrijving | Ernst |
|---|---|---|
| De gegevensverzamelingsagent voor het netwerkverkeer moet zijn geïnstalleerd op virtuele machines van Linux | Defender voor Cloud de Microsoft Dependency Agent gebruikt om netwerkverkeersgegevens van uw virtuele Azure-machines te verzamelen om geavanceerde functies voor netwerkbeveiliging in te schakelen, zoals verkeersvisualisatie op de netwerkkaart, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | Gemiddeld |
| De gegevensverzamelingsagent voor het netwerkverkeer moet worden geïnstalleerd op virtuele Windows-machines | Defender voor Cloud de Microsoft Dependency Agent gebruikt om netwerkverkeersgegevens van uw virtuele Azure-machines te verzamelen om geavanceerde functies voor netwerkbeveiliging in te schakelen, zoals verkeersvisualisatie op de netwerkkaart, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | Gemiddeld |
Defender for Containers kan nu scannen op beveiligingsproblemen in Windows-installatiekopieën (preview)
Defender for Container-installatiekopiescan ondersteunt nu Windows-installatiekopieën die worden gehost in Azure Container Registry. Deze functie is gratis tijdens de preview-versie en brengt kosten met zich mee wanneer deze algemeen beschikbaar is.
Meer informatie in Microsoft Defender voor Container gebruiken om uw installatiekopieën te scannen op beveiligingsproblemen.
Nieuwe waarschuwing voor Microsoft Defender voor Storage (preview)
Om de bedreigingsbeveiligingen van Microsoft Defender for Storage uit te breiden, hebben we een nieuwe preview-waarschuwing toegevoegd.
Bedreigingsactoren gebruiken toepassingen en hulpprogramma's om opslagaccounts te detecteren en te openen. Microsoft Defender voor Storage detecteert deze toepassingen en hulpprogramma's, zodat u deze kunt blokkeren en uw houding kunt herstellen.
Deze preview-waarschuwing wordt aangeroepen Access from a suspicious application. De waarschuwing is alleen relevant voor Azure Blob Storage en ALLEEN ADLS Gen2.
| Waarschuwing (waarschuwingstype) | Beschrijving | MITRE-tactiek | Ernst |
|---|---|---|---|
| PREVIEW - Toegang vanuit een verdachte toepassing (Storage.Blob_SuspiciousApp) |
Geeft aan dat een verdachte toepassing toegang heeft tot een container van een opslagaccount met verificatie. Dit kan erop wijzen dat een aanvaller de referenties heeft verkregen die nodig zijn om toegang te krijgen tot het account en misbruik maakt van het account. Dit kan ook een indicatie zijn van een penetratietest die in uw organisatie wordt uitgevoerd. Van toepassing op: Azure Blob Storage, Azure Data Lake Storage Gen2 |
Initial Access | Gemiddeld |
Instellingen voor e-mailmeldingen configureren vanuit een waarschuwing
Er is een nieuwe sectie toegevoegd aan de gebruikersinterface (UI) voor waarschuwingen, waarmee u kunt bekijken en bewerken wie e-mailmeldingen ontvangt voor waarschuwingen die worden geactiveerd in het huidige abonnement.
Meer informatie over het configureren van e-mailmeldingen voor beveiligingswaarschuwingen.
Afgeschafte preview-waarschuwing: ARM. MCAS_ActivityFromAnonymousIPAddresses
De volgende preview-waarschuwing is afgeschaft:
| Naam van waarschuwing | Beschrijving |
|---|---|
| PREVIEW - Activity from a risky IP address (PREVIEW: activiteit vanaf een riskant IP-adres) (ARM.MCAS_ActivityFromAnonymousIPAddresses) |
Er is gebruikersactiviteit gedetecteerd vanaf een IP-adres dat is geïdentificeerd als het IP-adres van een anonieme proxy. Deze proxy's worden gebruikt door mensen die het IP-adres van hun apparaat willen verbergen en kunnen worden gebruikt voor kwaadaardige doeleinden. Deze detectie maakt gebruik van een algoritme voor machine learning dat het aantal fout-positieven vermindert, zoals verkeerd gelabelde IP-adressen die veel worden gebruikt door gebruikers in de organisatie. Hiervoor is een actieve Microsoft Defender voor Cloud Apps-licentie vereist. |
Er is een nieuwe waarschuwing gemaakt die deze informatie levert en eraan toevoegt. Bovendien is voor de nieuwere waarschuwingen (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) geen licentie vereist voor Microsoft Defender voor Cloud Apps (voorheen Bekend als Microsoft Cloud App Security).
Bekijk meer waarschuwingen voor Resource Manager.
De aanbeveling beveiligingsproblemen in containerbeveiligingsconfiguraties zijn verplaatst, moeten worden hersteld van de beveiligingsscore naar aanbevolen procedures
De aanbeveling Vulnerabilities in container security configurations should be remediated is verplaatst van de sectie secure score naar de sectie best practices.
De huidige gebruikerservaring biedt alleen de score wanneer alle nalevingscontroles zijn geslaagd. De meeste klanten hebben problemen met het voldoen aan alle vereiste controles. We werken aan een verbeterde ervaring voor deze aanbeveling en zodra de aanbeveling is uitgebracht, wordt deze teruggezet naar de beveiligingsscore.
De aanbeveling voor het gebruik van service-principals afgeschaft om uw abonnementen te beveiligen
Naarmate organisaties niet meer gebruikmaken van beheercertificaten voor het beheren van hun abonnementen en onze recente aankondiging dat we het cloudservicesimplementatiemodel (klassiek) buiten gebruik stellen, hebben we de volgende Defender voor Cloud aanbeveling en het bijbehorende beleid afgeschaft:
| Aanbeveling | Beschrijving | Ernst |
|---|---|---|
| In plaats van beheercertificaten moeten service-principals worden gebruikt om uw abonnementen te beschermen | Met beheercertificaten kan iedereen die met hen wordt geverifieerd, de abonnementen beheren waaraan ze zijn gekoppeld. Als u abonnementen veiliger wilt beheren, wordt het aangeraden om service-principals te gebruiken met Resource Manager om de gevolgen in het geval van een inbreuk op een certificaat te beperken. Ook wordt het resourcebeheer geautomatiseerd. (Gerelateerd beleid: Service-principals moeten worden gebruikt om uw abonnementen te beveiligen in plaats van beheercertificaten) |
Gemiddeld |
Meer informatie:
- Het cloudservicesimplementatiemodel (klassiek) wordt op 31 augustus 2024 buiten gebruik gesteld
- Overzicht van Azure Cloud Services (klassiek)
- Werkstroom van klassieke Microsoft Azure-VM-architectuur, inclusief basisprincipes van RDFE-werkstromen
Verouderde implementatie van ISO 27001 vervangen door nieuw ISO 27001:2013-initiatief
De verouderde implementatie van ISO 27001 is verwijderd uit het nalevingsdashboard van Defender voor Cloud. Als u uw ISO 27001-naleving bijhoudt met Defender voor Cloud, onboardt u de nieuwe ISO 27001:2013-standaard voor alle relevante beheergroepen of abonnementen.
Aanbevelingen voor Microsoft Defender for IoT-apparaten afgeschaft
Aanbevelingen voor Microsoft Defender for IoT-apparaten zijn niet meer zichtbaar in Microsoft Defender voor Cloud. Deze aanbevelingen zijn nog steeds beschikbaar op de Aanbevelingen pagina van Microsoft Defender for IoT.
De volgende aanbevelingen zijn afgeschaft:
| Evaluatiesleutel | Aanbevelingen |
|---|---|
| 1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: IoT-apparaten | Poorten openen op apparaat |
| ba975338-f956-41e7-a9f2-7614832d382d: IoT-apparaten | Er is een permissieve firewallregel gevonden in de invoerketen |
| beb62be3-5e78-49bd-ac5f-099250ef3c7c7c: IoT-apparaten | Het permissieve firewallbeleid in een van de ketens is gevonden |
| d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: IoT-apparaten | Er is een permissieve firewallregel gevonden in de uitvoerketen |
| 5f65e47f-7a00-4bf3-acae-90e441ee876: IoT-apparaten | Validatiefout in basislijn van besturingssysteem |
| a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: IoT-apparaten | Agent die onderbenutte berichten verzendt |
| 2acc27c6-5fdb-405e-9080-cb66b850c8f5: IoT-apparaten | Upgrade van TLS-coderingssuite vereist |
| d74d2738-2485-4103-9919-69c7e63776ec: IoT-apparaten | Gecontroleerd proces heeft het verzenden van gebeurtenissen gestopt |
Waarschuwingen voor Microsoft Defender for IoT-apparaten afgeschaft
Alle waarschuwingen van Microsoft Defender for IoT-apparaten zijn niet meer zichtbaar in Microsoft Defender voor Cloud. Deze waarschuwingen zijn nog steeds beschikbaar op de waarschuwingspagina van Microsoft Defender for IoT en in Microsoft Sentinel.
Postuurbeheer en bedreigingsbeveiliging voor AWS en GCP uitgebracht voor algemene beschikbaarheid (GA)
de CSPM-functies van Defender voor Cloud worden uitgebreid naar uw AWS- en GCP-resources. Met dit plan zonder agent worden uw resources met meerdere clouds beoordeeld op basis van cloudspecifieke beveiligingsaanbeveling die zijn opgenomen in uw beveiligingsscore. De resources worden beoordeeld op naleving met behulp van de ingebouwde standaarden. Defender voor Cloud's assetinventarispagina is een functie met meerdere clouds waarmee u uw AWS-resources naast uw Azure-resources kunt beheren.
Microsoft Defender voor Servers brengt bedreigingsdetectie en geavanceerde verdediging naar uw rekeninstanties in AWS en GCP. Het Defender for Servers-abonnement bevat een geïntegreerde licentie voor Microsoft Defender voor Eindpunt, scannen op beveiligingsproblemen en meer. Meer informatie over alle ondersteunde functies voor virtuele machines en servers. Met automatische onboardingmogelijkheden kunt u eenvoudig verbinding maken met bestaande of nieuwe rekeninstanties die in uw omgeving zijn gedetecteerd.
Meer informatie over het beveiligen en verbinden van uw AWS-omgeving en GCP-organisatie met Microsoft Defender voor Cloud.
Registerscan voor Windows-installatiekopieën in ACR heeft ondersteuning toegevoegd voor nationale clouds
Registerscan voor Windows-installatiekopieën wordt nu ondersteund in Azure Government en Microsoft Azure beheerd door 21Vianet. Deze toevoeging is momenteel beschikbaar als preview-versie.
Meer informatie over de beschikbaarheid van onze functie.
Februari 2022
Updates in februari zijn onder andere:
- Kubernetes-workloadbeveiliging voor Kubernetes-clusters met Arc
- Systeemeigen CSPM voor GCP en bedreigingsbeveiliging voor GCP-rekeninstanties
- Microsoft Defender voor Azure Cosmos DB-plan uitgebracht voor preview
- Bedreigingsbeveiliging voor GKE-clusters (Google Kubernetes Engine)
Kubernetes-workloadbeveiliging voor Kubernetes-clusters met Arc
Defender for Containers heeft eerder alleen Kubernetes-workloads beveiligd die worden uitgevoerd in Azure Kubernetes Service. We hebben nu de beschermingsdekking uitgebreid met Kubernetes-clusters met Azure Arc.
Meer informatie over het instellen van uw Kubernetes-workloadbeveiliging voor AKS- en Kubernetes-clusters met Azure Arc.
Systeemeigen CSPM voor GCP en bedreigingsbeveiliging voor GCP-rekeninstanties
Met de nieuwe geautomatiseerde onboarding van GCP-omgevingen kunt u GCP-workloads beveiligen met Microsoft Defender voor Cloud. Defender voor Cloud uw resources beveiligt met de volgende abonnementen:
de CSPM-functies van Defender voor Cloud worden uitgebreid naar uw GCP-resources. Met dit plan zonder agent worden uw GCP-resources beoordeeld op basis van de GCP-specifieke beveiligingsaanbeveling, die worden geleverd met Defender voor Cloud. GCP-aanbevelingen worden opgenomen in uw beveiligingsscore en de resources worden beoordeeld op naleving van de ingebouwde GCP CIS-standaard. Defender voor Cloud's pagina assetinventaris is een functie met meerdere clouds waarmee u uw resources in Azure, AWS en GCP kunt beheren.
Microsoft Defender voor Servers brengt bedreigingsdetectie en geavanceerde verdediging naar uw GCP-rekeninstanties. Dit plan omvat de geïntegreerde licentie voor Microsoft Defender voor Eindpunt, scannen van beveiligingsproblemen en meer.
Zie Ondersteunde functies voor virtuele machines en servers voor een volledige lijst met beschikbare functies. Met automatische onboardingmogelijkheden kunt u eenvoudig bestaande en nieuwe rekeninstanties in uw omgeving verbinden.
Meer informatie over het beveiligen en verbinden van uw GCP-projecten met Microsoft Defender voor Cloud.
Microsoft Defender voor Azure Cosmos DB-plan uitgebracht voor preview
We hebben de databasedekking van Microsoft Defender voor Cloud uitgebreid. U kunt nu beveiliging inschakelen voor uw Azure Cosmos DB-databases.
Microsoft Defender voor Azure Cosmos DB is een systeemeigen Azure-beveiligingslaag waarmee elke poging om databases in uw Azure Cosmos DB-accounts te misbruiken wordt gedetecteerd. Microsoft Defender voor Azure Cosmos DB detecteert potentiële SQL-injecties, bekende slechte actoren op basis van Microsoft Threat Intelligence, verdachte toegangspatronen en mogelijke exploitatie van uw database via verdachte identiteiten of kwaadwillende insiders.
Het analyseert continu de gegevensstroom van de klant die wordt gegenereerd door de Azure Cosmos DB-services.
Wanneer mogelijk schadelijke activiteiten worden gedetecteerd, worden beveiligingswaarschuwingen gegenereerd. Deze waarschuwingen worden weergegeven in Microsoft Defender voor Cloud samen met de details van de verdachte activiteit, samen met de relevante onderzoeksstappen, herstelacties en beveiligingsaanbeveling.
Er is geen invloed op databaseprestaties bij het inschakelen van de service, omdat Defender voor Azure Cosmos DB geen toegang heeft tot de azure Cosmos DB-accountgegevens.
Meer informatie vindt u in Overzicht van Microsoft Defender voor Azure Cosmos DB.
We introduceren ook een nieuwe activeringservaring voor databasebeveiliging. U kunt nu Microsoft Defender voor Cloud beveiliging inschakelen voor uw abonnement om alle databasetypen te beveiligen, zoals Azure Cosmos DB, Azure SQL Database, Azure SQL-servers op computers en Microsoft Defender voor opensource-relationele databases via één activeringsproces. Specifieke resourcetypen kunnen worden opgenomen of uitgesloten door uw plan te configureren.
Meer informatie over het inschakelen van uw databasebeveiliging op abonnementsniveau.
Bedreigingsbeveiliging voor GKE-clusters (Google Kubernetes Engine)
Na onze recente aankondiging heeft Native CSPM voor GCP en bedreigingsbeveiliging voor GCP-rekenexemplaren de Kubernetes-bedreigingsbeveiliging, gedragsanalyse en ingebouwd toegangsbeheerbeleid uitgebreid naar GKE Standard-clusters (Kubernetes Engine) van Google. U kunt eenvoudig bestaande of nieuwe GKE Standard-clusters in uw omgeving onboarden via onze mogelijkheden voor automatische onboarding. Bekijk containerbeveiliging met Microsoft Defender voor Cloud voor een volledige lijst met beschikbare functies.
Januari 2022
Updates in januari zijn onder andere:
- Microsoft Defender voor Resource Manager is bijgewerkt met nieuwe waarschuwingen en meer nadruk op bewerkingen met een hoog risico die zijn toegewezen aan MITRE ATT&CK® Matrix
- Aanbevelingen Om Microsoft Defender-abonnementen in te schakelen voor werkruimten (in preview)
- Log Analytics-agent automatisch inrichten voor machines met Azure Arc (preview)
- De aanbeveling voor het classificeren van gevoelige gegevens in SQL-databases afgeschaft
- Communicatie met verdachte domeinwaarschuwing uitgebreid naar bekende Log4Shell-gerelateerde domeinen
- De knop Waarschuwings-JSON kopiëren die is toegevoegd aan het detailvenster voor beveiligingswaarschuwingen
- Naam van twee aanbevelingen gewijzigd
- Kubernetes-clustercontainers moeten alleen luisteren naar beleid voor toegestane poorten
- Werkmap Actieve waarschuwingen toegevoegd
- Aanbeveling 'Systeemupdate' toegevoegd aan de overheidscloud
Microsoft Defender voor Resource Manager is bijgewerkt met nieuwe waarschuwingen en meer nadruk op bewerkingen met een hoog risico die zijn toegewezen aan MITRE ATT&CK® Matrix
De cloudbeheerlaag is een cruciale service die is verbonden met al uw cloudresources. Daarom is het ook een potentieel doelwit voor aanvallers. We raden beveiligingsteams aan om de resourcebeheerlaag nauwkeurig te bewaken.
Microsoft Defender voor Resource Manager bewaakt automatisch de bewerkingen voor resourcebeheer in uw organisatie, ongeacht of deze worden uitgevoerd via Azure Portal, Azure REST API's, Azure CLI of andere programmatische Azure-clients. Defender voor Cloud voert geavanceerde beveiligingsanalyses uit om bedreigingen en waarschuwingen over verdachte activiteiten te detecteren.
De beveiligingen van het plan verbeteren de tolerantie van een organisatie aanzienlijk tegen aanvallen van bedreigingsactoren en verhogen het aantal Azure-resources dat wordt beveiligd door Defender voor Cloud aanzienlijk.
In december 2020 hebben we de preview van Defender voor Resource Manager geïntroduceerd en in mei 2021 werd het plan uitgebracht voor algemene beschikbaarheid.
Met deze update hebben we de focus van het Microsoft Defender voor Resource Manager-plan uitgebreid herzien. Het bijgewerkte plan bevat veel nieuwe waarschuwingen die zijn gericht op het identificeren van verdachte aanroep van bewerkingen met een hoog risico. Deze nieuwe waarschuwingen bieden uitgebreide bewaking voor aanvallen in de volledigeMITRE ATT&CK-matrix® voor cloudtechnieken.
Deze matrix omvat het volgende bereik van mogelijke intenties van bedreigingsactoren die mogelijk gericht zijn op de resources van uw organisatie: eerste toegang, uitvoering, persistentie, escalatie van bevoegdheden, verdedigingsontduiking, referentietoegang, detectie, laterale verplaatsing, verzameling, exfiltratie en impact.
De nieuwe waarschuwingen voor dit Defender-plan hebben betrekking op deze intenties, zoals wordt weergegeven in de volgende tabel.
Tip
Deze waarschuwingen worden ook weergegeven op de referentiepagina voor waarschuwingen.
| Waarschuwing (waarschuwingstype) | Beschrijving | MITRE-tactieken (intenties) | Ernst |
|---|---|---|---|
| Suspicious invocation of a high-risk 'Initial Access' operation detected (preview) (ARM_AnomalousOperation.InitialAccess) |
Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om toegang te krijgen tot beperkte resources. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders efficiënt toegang hebben tot hun omgevingen. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om initiële toegang te krijgen tot beperkte resources in uw omgeving. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen. | Initial Access | Gemiddeld |
| Suspicious invocation of a high-risk 'Execution' operation detected (preview) (ARM_AnomalousOperation.Execution) |
Microsoft Defender voor Resource Manager heeft een verdachte aanroep geïdentificeerd van een bewerking met een hoog risico op een computer in uw abonnement. Dit kan duiden op een poging om code uit te voeren. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken voor toegang tot beperkte referenties en inbreuk maken op resources in uw omgeving. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen. | Uitvoering | Gemiddeld |
| Suspicious invocation of a high-risk 'Persistence' operation detected (preview) (ARM_AnomalousOperation.Persistentie) |
Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om persistentie tot stand te brengen. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om persistentie in uw omgeving tot stand te brengen. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen. | Persistentie | Gemiddeld |
| Suspicious invocation of a high-risk 'Privilege Escalation' operation detected (preview) (ARM_AnomalousOperation.PrivilegeEscalation) |
Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om bevoegdheden te escaleren. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om bevoegdheden te escaleren terwijl resources in uw omgeving in gevaar komen. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen. | Escalatie van bevoegdheden | Gemiddeld |
| Suspicious invocation of a high-risk 'Defense Evasion' operation detected (preview) (ARM_AnomalousOperation.DefenseEvasion) |
Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om de verdediging te omzeilen. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders de beveiligingspostuur van hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om te voorkomen dat deze worden gedetecteerd terwijl resources in uw omgeving in gevaar komen. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen. | Verdedigingsontduiking | Gemiddeld |
| Suspicious invocation of a high-risk 'Credential Access' operation detected (preview) (ARM_AnomalousOperation.CredentialAccess) |
Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om toegang te krijgen tot referenties. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders efficiënt toegang hebben tot hun omgevingen. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken voor toegang tot beperkte referenties en inbreuk maken op resources in uw omgeving. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen. | Referentietoegang | Gemiddeld |
| Suspicious invocation of a high-risk 'Lateral Movement' operation detected (preview) (ARM_AnomalousOperation.LateralMovement) |
Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om laterale verplaatsingen uit te voeren. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om extra resources in uw omgeving te compromitteren. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen. | Zijwaartse beweging | Gemiddeld |
| Suspicious invocation of a high-risk 'Data Collection' operation detected (preview) (ARM_AnomalousOperation.Collection) |
Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om gegevens te verzamelen. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om gevoelige gegevens over resources in uw omgeving te verzamelen. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen. | Verzameling | Gemiddeld |
| Suspicious invocation of a high-risk 'Impact' operation detected (preview) (ARM_AnomalousOperation.Impact) |
Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging tot configuratiewijziging. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken voor toegang tot beperkte referenties en inbreuk maken op resources in uw omgeving. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen. | Impact | Gemiddeld |
Bovendien zijn deze twee waarschuwingen van dit plan uit de preview-fase gekomen:
| Waarschuwing (waarschuwingstype) | Beschrijving | MITRE-tactieken (intenties) | Ernst |
|---|---|---|---|
| Azure Resource Manager-bewerking vanaf verdacht IP-adres (ARM_OperationFromSuspiciousIP) |
Microsoft Defender voor Resource Manager heeft een bewerking gedetecteerd vanaf een IP-adres dat is gemarkeerd als verdacht in feeds voor bedreigingsinformatie. | Uitvoering | Gemiddeld |
| Azure Resource Manager-bewerking vanaf verdacht IP-adres van proxy (ARM_OperationFromSuspiciousProxyIP) |
Microsoft Defender voor Resource Manager heeft een bewerking voor resourcebeheer gedetecteerd vanaf een IP-adres dat is gekoppeld aan proxyservices, zoals TOR. Hoewel dit gedrag legitiem kan zijn, wordt dit vaak gezien in schadelijke activiteiten, wanneer bedreigingsactoren proberen hun bron-IP te verbergen. | Verdedigingsontduiking | Gemiddeld |
Aanbevelingen Om Microsoft Defender-abonnementen in te schakelen voor werkruimten (in preview)
Als u wilt profiteren van alle beveiligingsfuncties die beschikbaar zijn in Microsoft Defender voor Servers en Microsoft Defender voor SQL op computers, moeten de abonnementen zijn ingeschakeld op zowel het abonnement als de werkruimteniveaus.
Wanneer een machine deel uitmaakt van een abonnement waarvoor een van deze abonnementen is ingeschakeld, wordt u gefactureerd voor de volledige beveiliging. Als die machine echter rapporteert aan een werkruimte zonder dat het plan is ingeschakeld, ontvangt u deze voordelen niet.
We hebben twee aanbevelingen toegevoegd waarmee werkruimten worden gemarkeerd zonder dat deze plannen zijn ingeschakeld, maar dat er machines zijn die aan hen rapporteren vanuit abonnementen waarvoor het plan wel is ingeschakeld.
De twee aanbevelingen, die beide geautomatiseerd herstel bieden (de actie Herstellen), zijn:
| Aanbeveling | Beschrijving | Ernst |
|---|---|---|
| Microsoft Defender voor Servers moet zijn ingeschakeld voor werkruimten | Microsoft Defender voor Servers biedt bedreigingsdetectie en geavanceerde verdediging voor uw Windows- en Linux-machines. Als dit Defender-abonnement is ingeschakeld voor uw abonnementen, maar niet in uw werkruimten, betaalt u voor de volledige functionaliteit van Microsoft Defender voor Servers, maar mist u een aantal voordelen. Wanneer u Microsoft Defender voor Servers inschakelt in een werkruimte, worden alle computers die rapporteren aan die werkruimte gefactureerd voor Microsoft Defender voor Servers, zelfs als ze zich in abonnementen bevinden zonder Defender-abonnementen ingeschakeld. Tenzij u Microsoft Defender for Servers in het abonnement ook inschakelt, kunnen deze machines niet profiteren van Just-In-Time-VM-toegang, adaptieve toepassingsregelaars en netwerkdetecties voor Azure-resources. Meer informatie vindt u in Overzicht van Microsoft Defender voor Servers. (Geen gerelateerd beleid) |
Gemiddeld |
| Microsoft Defender voor SQL op computers moet zijn ingeschakeld voor werkruimten | Microsoft Defender voor Servers biedt bedreigingsdetectie en geavanceerde verdediging voor uw Windows- en Linux-machines. Als dit Defender-abonnement is ingeschakeld voor uw abonnementen, maar niet in uw werkruimten, betaalt u voor de volledige functionaliteit van Microsoft Defender voor Servers, maar mist u een aantal voordelen. Wanneer u Microsoft Defender voor Servers inschakelt in een werkruimte, worden alle computers die rapporteren aan die werkruimte gefactureerd voor Microsoft Defender voor Servers, zelfs als ze zich in abonnementen bevinden zonder Defender-abonnementen ingeschakeld. Tenzij u Microsoft Defender for Servers in het abonnement ook inschakelt, kunnen deze machines niet profiteren van Just-In-Time-VM-toegang, adaptieve toepassingsregelaars en netwerkdetecties voor Azure-resources. Meer informatie vindt u in Overzicht van Microsoft Defender voor Servers. (Geen gerelateerd beleid) |
Gemiddeld |
Log Analytics-agent automatisch inrichten voor machines met Azure Arc (preview)
Defender voor Cloud gebruikt de Log Analytics-agent om beveiligingsgerelateerde gegevens van computers te verzamelen. De agent leest verschillende beveiligingsconfiguraties en gebeurtenislogboeken en kopieert de gegevens naar uw werkruimte voor analyse.
de instellingen voor automatische inrichting van Defender voor Cloud hebben een wisselknop voor elk type ondersteunde extensie, inclusief de Log Analytics-agent.
In een verdere uitbreiding van onze hybride cloudfuncties hebben we een optie toegevoegd om de Log Analytics-agent automatisch in te richten op machines die zijn verbonden met Azure Arc.
Net als bij de andere opties voor automatisch inrichten, wordt dit geconfigureerd op abonnementsniveau.
Wanneer u deze optie inschakelt, wordt u gevraagd om de werkruimte.
Notitie
Voor dit voorbeeld kunt u niet de standaardwerkruimten selecteren die door Defender voor Cloud zijn gemaakt. Om ervoor te zorgen dat u de volledige set beveiligingsfuncties ontvangt die beschikbaar zijn voor de servers met Azure Arc, controleert u of u de relevante beveiligingsoplossing hebt geïnstalleerd in de geselecteerde werkruimte.
De aanbeveling voor het classificeren van gevoelige gegevens in SQL-databases afgeschaft
We hebben de aanbeveling gevoelige gegevens in uw SQL-databases verwijderd als onderdeel van een revisie van de wijze waarop Defender voor Cloud gevoelige datum in uw cloudresources identificeert en beveiligt.
Voorafgaande kennisgeving van deze wijziging is weergegeven voor de afgelopen zes maanden op de pagina Belangrijke aanstaande wijzigingen in Microsoft Defender voor Cloud pagina.
Communicatie met verdachte domeinwaarschuwing uitgebreid naar bekende Log4Shell-gerelateerde domeinen
De volgende waarschuwing was eerder alleen beschikbaar voor organisaties die het Microsoft Defender voor DNS-abonnement hadden ingeschakeld.
Met deze update wordt de waarschuwing ook weergegeven voor abonnementen waarvoor het Microsoft Defender voor Servers - of Defender voor App Service-plan is ingeschakeld.
Bovendien heeft Microsoft Threat Intelligence de lijst met bekende schadelijke domeinen uitgebreid met domeinen die zijn gekoppeld aan het misbruiken van de algemeen openbare beveiligingsproblemen die zijn gekoppeld aan Log4j.
| Waarschuwing (waarschuwingstype) | Beschrijving | MITRE-tactieken | Ernst |
|---|---|---|---|
| Communicatie met verdacht domein geïdentificeerd door bedreigingsinformatie (AzureDNS_ThreatIntelSuspectDomain) |
Communicatie met verdacht domein is gedetecteerd door DNS-transacties van uw resource te analyseren en te vergelijken met bekende schadelijke domeinen die worden geïdentificeerd door feeds voor bedreigingsinformatie. Communicatie met schadelijke domeinen wordt vaak uitgevoerd door aanvallers en kan betekenen dat uw resource wordt aangetast. | Initiële toegang/persistentie/uitvoering/opdracht en beheer/exploitatie | Gemiddeld |
De knop Waarschuwings-JSON kopiëren die is toegevoegd aan het detailvenster voor beveiligingswaarschuwingen
Om onze gebruikers te helpen snel de details van een waarschuwing met anderen te delen (bijvoorbeeld SOC-analisten, resource-eigenaren en ontwikkelaars) hebben we de mogelijkheid toegevoegd om eenvoudig alle details van een specifieke waarschuwing te extraheren met één knop uit het detailvenster van de beveiligingswaarschuwing.
Met de nieuwe JSON-knop Waarschuwing kopiëren worden de details van de waarschuwing in JSON-indeling op het klembord van de gebruiker geplaatst.
Naam van twee aanbevelingen gewijzigd
Voor consistentie met andere aanbevelingsnamen hebben we de volgende twee aanbevelingen gewijzigd:
Aanbeveling om beveiligingsproblemen op te lossen die zijn gedetecteerd bij het uitvoeren van containerinstallatiekopieën
- Vorige naam: Beveiligingsproblemen in het uitvoeren van containerinstallatiekopieën moeten worden hersteld (mogelijk gemaakt door Qualys)
- Nieuwe naam: bij het uitvoeren van containerinstallatiekopieën moeten beveiligingsproblemen zijn opgelost
Aanbeveling voor het inschakelen van diagnostische logboeken voor Azure-app Service
- Vorige naam: Diagnostische logboeken moeten zijn ingeschakeld in App Service
- Nieuwe naam: Diagnostische logboeken in App Service moeten zijn ingeschakeld
Kubernetes-clustercontainers moeten alleen luisteren naar beleid voor toegestane poorten
De Kubernetes-clustercontainers moeten alleen luisteren naar de aanbeveling voor toegestane poorten .
| Beleidsnaam | Beschrijving | Gevolg(en) | Versie |
|---|---|---|---|
| Kubernetes-clustercontainers mogen alleen luisteren op toegestane poorten | Beperk containers om alleen te luisteren op toegestane poorten om de toegang tot het Kubernetes-cluster te beveiligen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS), en als preview voor AKS Engine en Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, weigeren, uitgeschakeld | 6.1.2 |
De Services moeten luisteren naar toegestane poorten , maar alleen aanbevelingen moeten worden gebruikt om poorten te beperken die een toepassing beschikbaar maakt voor internet.
Werkmap Actieve waarschuwing toegevoegd
Om onze gebruikers te helpen bij het begrijpen van de actieve bedreigingen voor hun omgevingen en prioriteit te geven tussen actieve waarschuwingen tijdens het herstelproces, hebben we de werkmap Actieve waarschuwingen toegevoegd.
Met de werkmap actieve waarschuwingen kunnen gebruikers een geïntegreerd dashboard van hun samengevoegde waarschuwingen weergeven op ernst, type, tag, MITRE ATT&CK-tactiek en locatie. Meer informatie vindt u in de werkmap Actieve waarschuwingen gebruiken.
Aanbeveling 'Systeemupdate' toegevoegd aan de overheidscloud
De aanbeveling 'Systeemupdates moeten worden geïnstalleerd op uw computers' is nu beschikbaar in alle overheidsclouds.
De kans is groot dat deze wijziging van invloed is op de beveiligingsscore van uw cloudabonnement voor uw overheid. We verwachten dat de wijziging leidt tot een verminderde score, maar het is mogelijk dat de opname van de aanbeveling in sommige gevallen tot een hogere score kan leiden.
December 2021
Updates in december omvatten:
- Microsoft Defender for Containers-abonnement uitgebracht voor algemene beschikbaarheid (GA)
- Nieuwe waarschuwingen voor Microsoft Defender voor Storage die zijn uitgebracht voor algemene beschikbaarheid (GA)
- Verbeteringen in waarschuwingen voor Microsoft Defender voor Storage
- Waarschuwing 'PortSweeping' verwijderd uit netwerklaagwaarschuwingen
Microsoft Defender for Containers-abonnement uitgebracht voor algemene beschikbaarheid (GA)
Meer dan twee jaar geleden hebben we Defender voor Kubernetes en Defender voor containerregisters geïntroduceerd als onderdeel van de Azure Defender-aanbieding binnen Microsoft Defender voor Cloud.
Met de release van Microsoft Defender for Containers hebben we deze twee bestaande Defender-abonnementen samengevoegd.
Het nieuwe plan:
- Combineert de functies van de twee bestaande plannen : bedreigingsdetectie voor Kubernetes-clusters en evaluatie van beveiligingsproblemen voor installatiekopieën die zijn opgeslagen in containerregisters
- Nieuwe en verbeterde functies , waaronder ondersteuning voor meerdere clouds, detectie van bedreigingen op hostniveau met meer dan zestig nieuwe Kubernetes-bewuste analyses en evaluatie van beveiligingsproblemen voor het uitvoeren van installatiekopieën
- Introduceert systeemeigen onboarding van Kubernetes op schaal. Wanneer u het plan inschakelt, worden standaard alle relevante onderdelen geconfigureerd om automatisch te worden geïmplementeerd
Met deze release is de beschikbaarheid en presentatie van Defender voor Kubernetes en Defender voor containerregisters als volgt gewijzigd:
- Nieuwe abonnementen: de twee vorige containerplannen zijn niet meer beschikbaar
- Bestaande abonnementen: waar ze ook worden weergegeven in Azure Portal, worden de plannen weergegeven als Afgeschaft met instructies voor het upgraden naar het nieuwere abonnement
Het nieuwe abonnement is gratis voor de maand december 2021. Voor de mogelijke wijzigingen in de facturering van de oude abonnementen in Defender for Containers en voor meer informatie over de voordelen die met dit abonnement zijn geïntroduceerd, raadpleegt u Inleiding tot Microsoft Defender for Containers.
Zie voor meer informatie:
- Overzicht van Microsoft Defender voor Containers
- Microsoft Defender for Containers inschakelen
- Inleiding tot Microsoft Defender for Containers - Microsoft Tech Community
- Microsoft Defender voor containers | Defender voor Cloud in het veld 3 - YouTube
Nieuwe waarschuwingen voor Microsoft Defender voor Storage die zijn uitgebracht voor algemene beschikbaarheid (GA)
Bedreigingsactoren gebruiken hulpprogramma's en scripts om te scannen op openbaar geopende containers in de hoop dat er onjuist geconfigureerde open opslagcontainers met gevoelige gegevens worden gevonden.
Microsoft Defender voor Storage detecteert deze scanners, zodat u deze kunt blokkeren en uw houding kunt herstellen.
De preview-waarschuwing die heeft gedetecteerd, heet 'Anonieme scan van openbare opslagcontainers'. Om meer duidelijkheid te bieden over de gedetecteerde verdachte gebeurtenissen, hebben we dit onderverdeeld in twee nieuwe waarschuwingen. Deze waarschuwingen zijn alleen relevant voor Azure Blob Storage.
We hebben de detectielogica verbeterd, de metagegevens van de waarschuwing bijgewerkt en de naam en het waarschuwingstype gewijzigd.
Dit zijn de nieuwe waarschuwingen:
| Waarschuwing (waarschuwingstype) | Beschrijving | MITRE-tactiek | Ernst |
|---|---|---|---|
| Openbaar toegankelijke opslagcontainers gedetecteerd (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
Een geslaagde detectie van openbaar geopende opslagcontainers in uw opslagaccount is in het afgelopen uur uitgevoerd door een scanscript of hulpprogramma. Dit duidt meestal op een reconnaissance-aanval, waarbij de bedreigingsacteur probeert blobs weer te geven door containernamen te raden, in de hoop dat verkeerd geconfigureerde open opslagcontainers met gevoelige gegevens erin worden gevonden. De bedreigingsacteur kan hun eigen script gebruiken of bekende scanhulpprogramma's zoals Microburst gebruiken om te scannen op openbaar geopende containers. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Verzameling | Gemiddeld |
| Openbaar toegankelijke opslagcontainers zijn niet gescand (Storage.Blob_OpenContainersScanning.FailedAttempt) |
Het afgelopen uur is een reeks mislukte pogingen uitgevoerd om te scannen op openbaar geopende opslagcontainers. Dit duidt meestal op een reconnaissance-aanval, waarbij de bedreigingsacteur probeert blobs weer te geven door containernamen te raden, in de hoop dat verkeerd geconfigureerde open opslagcontainers met gevoelige gegevens erin worden gevonden. De bedreigingsacteur kan hun eigen script gebruiken of bekende scanhulpprogramma's zoals Microburst gebruiken om te scannen op openbaar geopende containers. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Verzameling | Beperkt |
Zie voor meer informatie:
- Bedreigingsmatrix voor opslagservices
- Overzicht van Microsoft Defender voor Storage
- Lijst met waarschuwingen van Microsoft Defender for Storage
Verbeteringen in waarschuwingen voor Microsoft Defender voor Storage
De eerste toegangswaarschuwingen hebben nu een verbeterde nauwkeurigheid en meer gegevens ter ondersteuning van onderzoek.
Bedreigingsactoren gebruiken verschillende technieken in de eerste toegang om een voet aan de grond te krijgen binnen een netwerk. Twee van de Waarschuwingen van Microsoft Defender for Storage die gedragsafwijkingen in deze fase detecteren, hebben nu verbeterde detectielogica en aanvullende gegevens ter ondersteuning van onderzoeken.
Als u automatiseringen hebt geconfigureerd of regels voor waarschuwingsonderdrukking hebt gedefinieerd voor deze waarschuwingen in het verleden, werkt u deze bij overeenkomstig deze wijzigingen.
Toegang detecteren vanaf een Tor-afsluitknooppunt
Toegang vanaf een Tor-afsluitknooppunt kan duiden op een bedreigingsacteur die zijn identiteit probeert te verbergen.
De waarschuwing is nu afgestemd om alleen te genereren voor geverifieerde toegang, wat resulteert in een hogere nauwkeurigheid en betrouwbaarheid dat de activiteit schadelijk is. Deze verbetering vermindert de goedaardige positieve snelheid.
Een outlying-patroon heeft een hoge ernst, terwijl minder afwijkende patronen een gemiddelde ernst hebben.
De naam en beschrijving van de waarschuwing zijn bijgewerkt. Het AlertType blijft ongewijzigd.
- Waarschuwingsnaam (oud): Toegang van een Tor-afsluitknooppunt naar een opslagaccount
- Waarschuwingsnaam (nieuw): Geverifieerde toegang vanaf een Tor-afsluitknooppunt
- Waarschuwingstypen: Storage.Blob_TorAnomaly/Storage.Files_TorAnomaly
- Beschrijving: Een of meer opslagcontainers/bestandsshares in uw opslagaccount zijn geopend vanaf een IP-adres dat bekend staat als een actief afsluitknooppunt van Tor (een geanonimiseerde proxy). Bedreigingsactoren gebruiken Tor om het moeilijk te maken om de activiteit naar hen terug te traceren. Geverifieerde toegang vanaf een Tor-afsluitknooppunt is waarschijnlijk een indicatie dat een bedreigingsacteur zijn identiteit probeert te verbergen. Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
- MITRE-tactiek: Initiële toegang
- Ernst: hoog/gemiddeld
Ongebruikelijke niet-geverifieerde toegang
Een wijziging in toegangspatronen kan erop wijzen dat een bedreigings actor openbare leestoegang tot opslagcontainers kan benutten door misbruik te maken van een fout in toegangsconfiguraties of door de toegangsmachtigingen te wijzigen.
Deze waarschuwing voor gemiddelde ernst is nu afgestemd op verbeterde gedragslogica, hogere nauwkeurigheid en betrouwbaarheid dat de activiteit schadelijk is. Deze verbetering vermindert de goedaardige positieve snelheid.
De naam en beschrijving van de waarschuwing zijn bijgewerkt. Het AlertType blijft ongewijzigd.
- Waarschuwingsnaam (oud): Anonieme toegang tot een opslagaccount
- Waarschuwingsnaam (nieuw): Ongebruikelijke niet-geverifieerde toegang tot een opslagcontainer
- Waarschuwingstypen: Storage.Blob_AnonymousAccessAnomaly
- Beschrijving: Dit opslagaccount is geopend zonder verificatie. Dit is een wijziging in het algemene toegangspatroon. Leestoegang tot deze container wordt meestal geverifieerd. Dit kan erop wijzen dat een bedreigings actor openbare leestoegang tot opslagcontainer(s) in deze opslagaccount(s) kan benutten. Van toepassing op: Azure Blob Storage
- MITRE-tactiek: Verzameling
- Urgentie: Gemiddeld
Zie voor meer informatie:
- Bedreigingsmatrix voor opslagservices
- Inleiding tot Microsoft Defender voor Storage
- Lijst met waarschuwingen van Microsoft Defender for Storage
Waarschuwing 'PortSweeping' verwijderd uit netwerklaagwaarschuwingen
De volgende waarschuwing is verwijderd uit onze netwerklaagwaarschuwingen vanwege inefficiëntie:
| Waarschuwing (waarschuwingstype) | Beschrijving | MITRE-tactieken | Ernst |
|---|---|---|---|
| Possible outgoing port scanning activity detected (Mogelijke activiteit voor het scannen van uitgaande poorten gedetecteerd) (PortSweeping) |
Analyse van netwerkverkeer heeft aangetoond dat er verdacht uitgaand verkeer afkomstig is van %{Compromised Host}. Dit verkeer kan het gevolg zijn van een activiteit om poorten te scannen. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte uitgaande verkeer afkomstig van een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). Als dit gedrag opzettelijk is, is het belangrijk om te weten dat het scannen van poorten in strijd is met de servicevoorwaarden van Azure. Als dit gedrag niet opzettelijk is, kan dit betekenen dat uw resource is geïnfecteerd. | Detectie | Gemiddeld |
November 2021
Onze Ignite-release omvat:
- Azure Security Center en Azure Defender worden Microsoft Defender voor Cloud
- Systeemeigen CSPM voor AWS en bedreigingsbeveiliging voor Amazon EKS en AWS EC2
- Prioriteit geven aan beveiligingsacties op basis van gegevensgevoeligheid (mogelijk gemaakt door Microsoft Purview) (in preview)
- Uitgebreide evaluaties van beveiligingsbeheer met Azure Security Benchmark v3
- De optionele synchronisatie van waarschuwingen in twee richtingen van de Microsoft Sentinel-connector die is vrijgegeven voor algemene beschikbaarheid (GA)
- Nieuwe aanbeveling voor het pushen van AKS-logboeken (Azure Kubernetes Service) naar Sentinel
- Aanbevelingen toegewezen aan het MITRE ATT&CK-framework® - uitgebracht voor algemene beschikbaarheid (GA)
Andere wijzigingen in november zijn:
- Microsoft Threat and Vulnerability Management toegevoegd als oplossing voor evaluatie van beveiligingsproblemen, uitgebracht voor algemene beschikbaarheid (GA)
- Microsoft Defender voor Eindpunt voor Linux nu ondersteund door Microsoft Defender voor Servers - uitgebracht voor algemene beschikbaarheid (GA)
- Momentopname exporteren voor aanbevelingen en beveiligingsresultaten (in preview)
- Automatische inrichting van oplossingen voor evaluatie van beveiligingsproblemen die zijn uitgebracht voor algemene beschikbaarheid (GA)
- Software-inventarisfilters in assetinventaris die zijn vrijgegeven voor algemene beschikbaarheid (GA)
- Nieuw AKS-beveiligingsbeleid toegevoegd aan standaardinitiatief - privévoorbeeld
- Inventarisweergave van on-premises machines past een andere sjabloon toe voor de resourcenaam
Azure Security Center en Azure Defender worden Microsoft Defender voor Cloud
Volgens het rapport 2021 State of the Cloud hebben 92% van de organisaties nu een strategie voor meerdere clouds. Bij Microsoft is het onze doel om de beveiliging in omgevingen te centraliseren en beveiligingsteams effectiever te helpen werken.
Microsoft Defender voor Cloud is een CWP-oplossing (Cloud Security Posture Management) en CWP (Cloud Security Posture Management) die zwakke plekken in uw cloudconfiguratie detecteert, helpt de algehele beveiligingspostuur van uw omgeving te versterken en beschermt workloads in meerdere clouds en hybride omgevingen.
Op Ignite 2019 hebben we onze visie gedeeld om de meest complete benadering te creëren voor het beveiligen van uw digitale activa en het integreren van XDR-technologieën onder het merk Microsoft Defender. De integratie van Azure Security Center en Azure Defender onder de nieuwe naam Microsoft Defender voor Cloud weerspiegelt de geïntegreerde mogelijkheden van ons beveiligingsaanbod en onze mogelijkheid om elk cloudplatform te ondersteunen.
Systeemeigen CSPM voor AWS en bedreigingsbeveiliging voor Amazon EKS en AWS EC2
Een nieuwe pagina met omgevingsinstellingen biedt meer zichtbaarheid en controle over uw beheergroepen, abonnementen en AWS-accounts. De pagina is ontworpen om AWS-accounts op schaal te onboarden: verbind uw AWS-beheeraccount en u gaat automatisch bestaande en toekomstige accounts onboarden.
Wanneer u uw AWS-accounts hebt toegevoegd, beveiligt Defender voor Cloud uw AWS-resources met een of meer van de volgende abonnementen:
- de CSPM-functies van Defender voor Cloud worden uitgebreid naar uw AWS-resources. Dit plan zonder agent evalueert uw AWS-resources op basis van aws-specifieke beveiligingsaanbevelingen en deze zijn opgenomen in uw beveiligingsscore. De resources worden ook beoordeeld op naleving van ingebouwde standaarden die specifiek zijn voor AWS (AWS CIS, AWS PCI DSS en AWS Foundational Security Best Practices). Defender voor Cloud's pagina assetinventaris is een functie met meerdere clouds waarmee u uw AWS-resources naast uw Azure-resources kunt beheren.
- Microsoft Defender voor Kubernetes breidt de detectie van containerbedreigingen en geavanceerde verdediging uit naar uw Amazon EKS Linux-clusters.
- Microsoft Defender voor Servers brengt bedreigingsdetectie en geavanceerde verdediging naar uw Exemplaren van Windows en Linux EC2. Dit plan omvat de geïntegreerde licentie voor Microsoft Defender voor Eindpunt, beveiligingsbasislijnen en evaluaties op besturingssysteemniveau, scannen op evaluatie van beveiligingsproblemen, adaptieve toepassingsregelaars (AAC), bewaking van bestandsintegriteit (FIM) en meer.
Meer informatie over het verbinden van uw AWS-accounts met Microsoft Defender voor Cloud.
Prioriteit geven aan beveiligingsacties op basis van gegevensgevoeligheid (mogelijk gemaakt door Microsoft Purview) (in preview)
Gegevensbronnen blijven een populair doelwit voor bedreigingsactoren. Het is dus van cruciaal belang dat beveiligingsteams gevoelige gegevensresources in hun cloudomgevingen identificeren, prioriteren en beveiligen.
Om deze uitdaging aan te pakken, integreert Microsoft Defender voor Cloud nu vertrouwelijkheidsinformatie van Microsoft Purview. Microsoft Purview is een geïntegreerde service voor gegevensbeheer die uitgebreide inzichten biedt in de gevoeligheid van uw gegevens binnen meerdere clouds en on-premises workloads.
De integratie met Microsoft Purview breidt uw zichtbaarheid van beveiliging uit in Defender voor Cloud van het infrastructuurniveau tot aan de gegevens, waardoor een volledig nieuwe manier wordt ingeschakeld om prioriteit te geven aan resources en beveiligingsactiviteiten voor uw beveiligingsteams.
Meer informatie over beveiligingsacties prioriteren op basis van gegevensgevoeligheid.
Uitgebreide evaluaties van beveiligingsbeheer met Azure Security Benchmark v3
Aanbevelingen voor beveiliging in Defender voor Cloud worden ondersteund door de Azure Security Benchmark.
Azure Security Benchmark is de door Microsoft geschreven, azure-specifieke set richtlijnen voor best practices voor beveiliging en naleving op basis van algemene nalevingsframeworks. Deze algemeen gerespecteerde benchmark bouwt voort op de controles van het Center for Internet Security (CIS) en het National Institute of Standards and Technology (NIST) met een focus op cloudgerichte beveiliging.
Vanuit Ignite 2021 is Azure Security Benchmark v3 beschikbaar in het nalevingsdashboard van Defender voor Cloud en ingeschakeld als het nieuwe standaardinitiatief voor alle Azure-abonnementen die zijn beveiligd met Microsoft Defender voor Cloud.
Verbeteringen voor v3 zijn onder andere:
Aanvullende toewijzingen aan industrieframeworks PCI-DSS v3.2.1 en CIS Controls v8.
Meer gedetailleerde en bruikbare richtlijnen voor besturingselementen met de introductie van:
- Beveiligingsprincipes : inzicht geven in de algemene beveiligingsdoelstellingen die de basis vormen voor onze aanbevelingen.
- Azure-richtlijnen : de technische instructies voor het voldoen aan deze doelstellingen.
Nieuwe besturingselementen omvatten DevOps-beveiliging voor problemen zoals threat modeling en beveiliging van software-toeleveringsketens, evenals sleutel- en certificaatbeheer voor best practices in Azure.
Meer informatie vindt u in Inleiding tot Azure Security Benchmark.
De optionele synchronisatie van waarschuwingen in twee richtingen van de Microsoft Sentinel-connector die is vrijgegeven voor algemene beschikbaarheid (GA)
In juli hebben we een preview-functie, bidirectionele waarschuwingssynchronisatie aangekondigd voor de ingebouwde connector in Microsoft Sentinel (de cloudeigen SIEM- en SOAR-oplossing van Microsoft). Deze functie is nu beschikbaar voor algemene beschikbaarheid (GA).
Wanneer u Microsoft Defender voor Cloud verbindt met Microsoft Sentinel, wordt de status van beveiligingswaarschuwingen gesynchroniseerd tussen de twee services. Als een waarschuwing bijvoorbeeld wordt gesloten in Defender voor Cloud, wordt die waarschuwing ook weergegeven als gesloten in Microsoft Sentinel. Het wijzigen van de status van een waarschuwing in Defender voor Cloud heeft geen invloed op de status van Microsoft Sentinel-incidenten die de gesynchroniseerde Microsoft Sentinel-waarschuwing bevatten, alleen die van de gesynchroniseerde waarschuwing zelf.
Wanneer u synchronisatie van bidirectionele waarschuwingen inschakelt, synchroniseert u automatisch de status van de oorspronkelijke Defender voor Cloud waarschuwingen met Microsoft Sentinel-incidenten die de kopieën van deze waarschuwingen bevatten. Wanneer bijvoorbeeld een Microsoft Sentinel-incident met een Defender voor Cloud waarschuwing wordt gesloten, sluit Defender voor Cloud automatisch de bijbehorende oorspronkelijke waarschuwing.
Meer informatie vindt u in Verbinding maken Azure Defender-waarschuwingen van Azure Security Center en Stream-waarschuwingen naar Azure Sentinel.
Nieuwe aanbeveling voor het pushen van AKS-logboeken (Azure Kubernetes Service) naar Sentinel
In een verdere verbetering van de gecombineerde waarde van Defender voor Cloud en Microsoft Sentinel gaan we nu Azure Kubernetes Service-exemplaren markeren die geen logboekgegevens naar Microsoft Sentinel verzenden.
SecOps-teams kunnen de relevante Microsoft Sentinel-werkruimte rechtstreeks kiezen vanaf de pagina met aanbevelingsgegevens en direct het streamen van onbewerkte logboeken inschakelen. Dankzij deze naadloze verbinding tussen de twee producten kunnen beveiligingsteams eenvoudig de volledige dekking van logboekregistratie voor hun workloads garanderen, zodat ze hun volledige omgeving kunnen blijven gebruiken.
De nieuwe aanbeveling 'Diagnostische logboeken in Kubernetes-services moeten worden ingeschakeld' bevat de optie Herstellen voor snellere herstel.
We hebben ook de aanbeveling 'Controle op SQL-server moet worden ingeschakeld' verbeterd met dezelfde Sentinel-streamingmogelijkheden.
Aanbevelingen toegewezen aan het MITRE ATT&CK-framework® - uitgebracht voor algemene beschikbaarheid (GA)
We hebben de beveiligingsaanbeveling van Defender voor Cloud uitgebreid om hun positie in het MITRE ATT&CK-framework® weer te geven. Deze wereldwijd toegankelijke knowledge base van tactieken en technieken van bedreigingsactoren op basis van praktijkobservaties biedt meer context om u inzicht te geven in de bijbehorende risico's van de aanbevelingen voor uw omgeving.
U vindt deze tactieken waar u ook toegang hebt tot aanbevelingsgegevens:
Azure Resource Graph-queryresultaten voor relevante aanbevelingen omvatten de MITRE ATT&CK-tactieken® en -technieken.
Pagina's met aanbevelingsdetails tonen de toewijzing voor alle relevante aanbevelingen:
De pagina met aanbevelingen in Defender voor Cloud heeft een nieuw
filter om aanbevelingen te selecteren op basis van de bijbehorende tactiek:
Meer informatie vindt u in Aanbevelingen voor beveiliging controleren.
Microsoft Threat and Vulnerability Management toegevoegd als oplossing voor evaluatie van beveiligingsproblemen, uitgebracht voor algemene beschikbaarheid (GA)
In oktober hebben we een uitbreiding aangekondigd voor de integratie tussen Microsoft Defender voor Servers en Microsoft Defender voor Eindpunt, ter ondersteuning van een nieuwe provider voor evaluatie van beveiligingsproblemen voor uw computers: Microsoft Threat and Vulnerability Management. Deze functie is nu beschikbaar voor algemene beschikbaarheid (GA).
Gebruik bedreigings- en beveiligingsbeheer om beveiligingsproblemen en onjuiste configuraties in bijna realtime te detecteren met de integratie met Microsoft Defender voor Eindpunt ingeschakeld, en zonder dat er extra agents of periodieke scans nodig zijn. Bedreigings- en beveiligingsbeheer geeft prioriteit aan beveiligingsproblemen op basis van het bedreigingslandschap en detecties in uw organisatie.
Gebruik de beveiligingsaanbeveling 'Een oplossing voor evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw virtuele machines' om de beveiligingsproblemen weer te geven die zijn gedetecteerd door bedreigings- en beveiligingsproblemenbeheer voor uw ondersteunde machines.
Als u de beveiligingsproblemen automatisch wilt weergeven op bestaande en nieuwe machines, zonder dat u de aanbeveling handmatig hoeft op te lossen, raadpleegt u oplossingen voor evaluatie van beveiligingsproblemen nu automatisch worden ingeschakeld (in preview).
Meer informatie over zwakke punten onderzoeken met het beheer van bedreigingen en beveiligingsproblemen van Microsoft Defender voor Eindpunt.
Microsoft Defender voor Eindpunt voor Linux nu ondersteund door Microsoft Defender voor Servers - uitgebracht voor algemene beschikbaarheid (GA)
In augustus hebben we preview-ondersteuning aangekondigd voor het implementeren van de Defender voor Eindpunt voor Linux-sensor op ondersteunde Linux-machines . Deze functie is nu beschikbaar voor algemene beschikbaarheid (GA).
Microsoft Defender voor Servers bevat een geïntegreerde licentie voor Microsoft Defender voor Eindpunt. Samen bieden ze uitgebreide mogelijkheden voor eindpuntdetectie en -reactie (EDR).
Wanneer Defender voor Eindpunten een bedreiging detecteert, wordt er een waarschuwing geactiveerd. De waarschuwing wordt weergegeven in Defender voor Cloud. Vanuit Defender voor Cloud kunt u ook naar de Defender voor Eindpunt-console draaien en een gedetailleerd onderzoek uitvoeren om het bereik van de aanval te ontdekken.
Meer informatie in Uw eindpunten beveiligen met de geïntegreerde EDR-oplossing van Security Center: Microsoft Defender voor Eindpunt.
Momentopname exporteren voor aanbevelingen en beveiligingsresultaten (in preview)
Defender voor Cloud gedetailleerde beveiligingswaarschuwingen en aanbevelingen genereert. U kunt ze bekijken in de portal of via programmatische hulpprogramma's. Mogelijk moet u ook bepaalde of alle informatie exporteren voor het bijhouden met andere bewakingshulpprogramma's in uw omgeving.
met de functie voor continue export van Defender voor Cloud kunt u volledig aanpassen wat er wordt geëxporteerd en waar deze wordt uitgevoerd. Meer informatie over continu exporteren Microsoft Defender voor Cloud gegevens.
Hoewel de functie doorlopend wordt genoemd, is er ook een optie om wekelijkse momentopnamen te exporteren. Tot nu toe waren deze wekelijkse momentopnamen beperkt tot beveiligingsscore- en nalevingsgegevens voor regelgeving. We hebben de mogelijkheid toegevoegd om aanbevelingen en beveiligingsresultaten te exporteren.
Automatische inrichting van oplossingen voor evaluatie van beveiligingsproblemen die zijn uitgebracht voor algemene beschikbaarheid (GA)
In oktober hebben we aangekondigd dat er oplossingen voor evaluatie van beveiligingsproblemen zijn toegevoegd aan de pagina voor automatische inrichting van Defender voor Cloud. Dit is relevant voor virtuele Azure-machines en Azure Arc-machines op abonnementen die worden beveiligd door Azure Defender voor Servers. Deze functie is nu beschikbaar voor algemene beschikbaarheid (GA).
Als de integratie met Microsoft Defender voor Eindpunt is ingeschakeld, biedt Defender voor Cloud een keuze aan oplossingen voor evaluatie van beveiligingsproblemen:
- (NIEUW) De module bedreigings- en beveiligingsbeheer van Microsoft van Microsoft Defender voor Eindpunt (zie de releasenotitie)
- De geïntegreerde Qualys-agent
De gekozen oplossing wordt automatisch ingeschakeld op ondersteunde machines.
Meer informatie vindt u in De evaluatie van beveiligingsproblemen automatisch configureren voor uw computers.
Software-inventarisfilters in assetinventaris die zijn vrijgegeven voor algemene beschikbaarheid (GA)
In oktober hebben we nieuwe filters aangekondigd voor de pagina assetinventaris om machines met specifieke software te selecteren en zelfs de gewenste versies op te geven. Deze functie is nu beschikbaar voor algemene beschikbaarheid (GA).
U kunt een query uitvoeren op de software-inventarisgegevens in Azure Resource Graph Explorer.
Als u deze functies wilt gebruiken, moet u de integratie met Microsoft Defender voor Eindpunt inschakelen.
Zie Access a software inventory (Toegang tot een software-inventaris) voor meer informatie, waaronder voorbeeldquery's voor Kusto-query's voor Azure Resource Graph.
Nieuw AKS-beveiligingsbeleid toegevoegd aan standaardinitiatief: alleen voor gebruik door klanten met een privé-preview
Om ervoor te zorgen dat Kubernetes-workloads standaard beveiligd zijn, bevat Defender voor Cloud beleidsregels op Kubernetes-niveau en aanbevelingen voor beveiliging, waaronder afdwingingsopties met Kubernetes-toegangsbeheer.
Als onderdeel van dit project hebben we een beleid en aanbeveling (standaard uitgeschakeld) toegevoegd voor het beperken van implementatie op Kubernetes-clusters. Het beleid bevindt zich in het standaardinitiatief, maar is alleen relevant voor organisaties die zich registreren voor de gerelateerde privé-preview.
U kunt het beleid en de aanbeveling ('Kubernetes-clusters moeten de implementatie van kwetsbare installatiekopieën' veilig negeren en er is geen invloed op uw omgeving.
Als u wilt deelnemen aan de persoonlijke preview, moet u lid zijn van de persoonlijke preview-ring. Als u nog geen lid bent, dient u hier een aanvraag in. Leden ontvangen een melding wanneer de preview begint.
Inventarisweergave van on-premises machines past een andere sjabloon toe voor de resourcenaam
Om de presentatie van resources in de assetinventaris te verbeteren, hebben we het element source-computer-IP verwijderd uit de sjabloon voor het benoemen van on-premises machines.
- Vorige indeling:
machine-name_source-computer-id_VMUUID - Vanaf deze update:
machine-name_VMUUID
Oktober 2021
De updates in oktober omvatten:
- Microsoft Threat and Vulnerability Management toegevoegd als oplossing voor evaluatie van beveiligingsproblemen (in preview)
- Oplossingen voor evaluatie van beveiligingsproblemen kunnen nu automatisch worden ingeschakeld (in preview)
- Software-inventarisfilters toegevoegd aan assetinventaris (in preview)
- Het voorvoegsel van sommige waarschuwingstypen is gewijzigd van 'ARM_' in 'VM_'
- Wijzigingen in de logica van een beveiligingsaanbeveling voor Kubernetes-clusters
- Aanbevelingen detailpagina's geven nu gerelateerde aanbevelingen weer
- Nieuwe waarschuwingen voor Azure Defender voor Kubernetes (in preview)
Microsoft Threat and Vulnerability Management toegevoegd als oplossing voor evaluatie van beveiligingsproblemen (in preview)
We hebben de integratie tussen Azure Defender voor Servers en Microsoft Defender voor Eindpunt uitgebreid om een nieuwe provider voor evaluatie van beveiligingsproblemen voor uw computers te ondersteunen: Microsoft Threat and Vulnerability Management.
Gebruik bedreigings- en beveiligingsbeheer om beveiligingsproblemen en onjuiste configuraties in bijna realtime te detecteren met de integratie met Microsoft Defender voor Eindpunt ingeschakeld, en zonder dat er extra agents of periodieke scans nodig zijn. Bedreigings- en beveiligingsbeheer geeft prioriteit aan beveiligingsproblemen op basis van het bedreigingslandschap en detecties in uw organisatie.
Gebruik de beveiligingsaanbeveling 'Een oplossing voor evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw virtuele machines' om de beveiligingsproblemen weer te geven die zijn gedetecteerd door bedreigings- en beveiligingsproblemenbeheer voor uw ondersteunde machines.
Als u de beveiligingsproblemen automatisch wilt weergeven op bestaande en nieuwe machines, zonder dat u de aanbeveling handmatig hoeft op te lossen, raadpleegt u oplossingen voor evaluatie van beveiligingsproblemen nu automatisch worden ingeschakeld (in preview).
Meer informatie over zwakke punten onderzoeken met het beheer van bedreigingen en beveiligingsproblemen van Microsoft Defender voor Eindpunt.
Oplossingen voor evaluatie van beveiligingsproblemen kunnen nu automatisch worden ingeschakeld (in preview)
De pagina voor automatisch inrichten van Security Center bevat nu de optie om automatisch een oplossing voor evaluatie van beveiligingsproblemen in te schakelen voor virtuele Azure-machines en Azure Arc-machines op abonnementen die worden beveiligd door Azure Defender voor Servers.
Als de integratie met Microsoft Defender voor Eindpunt is ingeschakeld, biedt Defender voor Cloud een keuze aan oplossingen voor evaluatie van beveiligingsproblemen:
- (NIEUW) De module bedreigings- en beveiligingsbeheer van Microsoft van Microsoft Defender voor Eindpunt (zie de releasenotitie)
- De geïntegreerde Qualys-agent
De gekozen oplossing wordt automatisch ingeschakeld op ondersteunde machines.
Meer informatie vindt u in De evaluatie van beveiligingsproblemen automatisch configureren voor uw computers.
Software-inventarisfilters toegevoegd aan assetinventaris (in preview)
De pagina assetinventaris bevat nu een filter om machines met specifieke software te selecteren en zelfs de gewenste versies op te geven.
Daarnaast kunt u query's uitvoeren op de software-inventarisgegevens in Azure Resource Graph Explorer.
Als u deze nieuwe functies wilt gebruiken, moet u de integratie met Microsoft Defender voor Eindpunt inschakelen.
Zie Access a software inventory (Toegang tot een software-inventaris) voor meer informatie, waaronder voorbeeldquery's voor Kusto-query's voor Azure Resource Graph.
Het voorvoegsel van sommige waarschuwingstypen is gewijzigd van 'ARM_' in 'VM_'
In juli 2021 hebben we een logische reorganisatie van Waarschuwingen van Azure Defender voor Resource Manager aangekondigd
Tijdens de reorganisatie van Defender-plannen hebben we waarschuwingen van Azure Defender voor Resource Manager verplaatst naar Azure Defender voor Servers.
Met deze update hebben we de voorvoegsels van deze waarschuwingen gewijzigd zodat deze overeenkomen met deze toewijzing en hebben we 'ARM_' vervangen door 'VM_', zoals wordt weergegeven in de volgende tabel:
| Oorspronkelijke naam | Van deze wijziging |
|---|---|
| ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
| ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
| ARM_AmDisablement | VM_AmDisablement |
| ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
| ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
| ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
| ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
| ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
| ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
| ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
| ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
| ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
| ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
| ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
| ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
| ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
| ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
| ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
| ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
Meer informatie over de abonnementen Azure Defender voor Resource Manager en Azure Defender for Servers .
Wijzigingen in de logica van een beveiligingsaanbeveling voor Kubernetes-clusters
De aanbeveling 'Kubernetes-clusters mogen de standaardnaamruimte niet gebruiken' voorkomt het gebruik van de standaardnaamruimte voor een bereik van resourcetypen. Twee van de resourcetypen die in deze aanbeveling zijn opgenomen, zijn verwijderd: ConfigMap en Secret.
Meer informatie over deze aanbeveling en het beveiligen van uw Kubernetes-clusters in Meer informatie over Azure Policy voor Kubernetes-clusters.
Aanbevelingen detailpagina's geven nu gerelateerde aanbevelingen weer
Om de relaties tussen verschillende aanbevelingen te verduidelijken, hebben we een gebied gerelateerde aanbevelingen toegevoegd aan de detailpagina's van veel aanbevelingen.
De drie relatietypen die op deze pagina's worden weergegeven, zijn:
- Vereiste : een aanbeveling die moet worden voltooid vóór de geselecteerde aanbeveling
- Alternatief : een andere aanbeveling die een andere manier biedt om de doelstellingen van de geselecteerde aanbeveling te bereiken
- Afhankelijk : een aanbeveling waarvoor de geselecteerde aanbeveling een vereiste is
Voor elke gerelateerde aanbeveling wordt het aantal beschadigde resources weergegeven in de kolom Betrokken resources.
Tip
Als een gerelateerde aanbeveling grijs wordt weergegeven, is de afhankelijkheid nog niet voltooid en is deze niet beschikbaar.
Een voorbeeld van gerelateerde aanbevelingen:
Security Center controleert uw machines op ondersteunde oplossingen voor evaluatie van beveiligingsproblemen:
A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld)Als er een is gevonden, krijgt u een melding over gedetecteerde beveiligingsproblemen:
Beveiligingsproblemen op uw virtuele machines moeten worden hersteld
Security Center kan u uiteraard niet op de hoogte stellen van gedetecteerde beveiligingsproblemen, tenzij er een ondersteunde oplossing voor evaluatie van beveiligingsproblemen wordt gevonden.
Daarom:
- Aanbeveling 1 is een vereiste voor aanbeveling 2
- Aanbeveling 2 is afhankelijk van aanbeveling 1
Nieuwe waarschuwingen voor Azure Defender voor Kubernetes (in preview)
Om de bedreigingsbeveiligingen van Azure Defender voor Kubernetes uit te breiden, hebben we twee preview-waarschuwingen toegevoegd.
Deze waarschuwingen worden gegenereerd op basis van een nieuw machine learning-model en geavanceerde analyses van Kubernetes, waarbij meerdere kenmerken voor implementatie en roltoewijzing worden gemeten op basis van eerdere activiteiten in het cluster en in alle clusters die worden bewaakt door Azure Defender.
| Waarschuwing (waarschuwingstype) | Beschrijving | MITRE-tactiek | Ernst |
|---|---|---|---|
| Afwijkende podimplementatie (preview) (K8S_AnomalousPodDeployment) |
Bij analyse van het auditlogboek van Kubernetes is een podimplementatie gedetecteerd die afwijkend is, op basis van de vorige podimplementatieactiviteit. Deze activiteit wordt beschouwd als een anomalie wanneer rekening wordt gehouden met de manier waarop de verschillende functies die in de implementatiebewerking worden gezien zich in relatie tot elkaar bevinden. De functies die door deze analyse worden bewaakt, zijn het containerinstallatiekopieënregister dat wordt gebruikt, het account dat de implementatie uitvoert, de dag van de week, hoe vaak dit account podimplementaties uitvoert, de gebruikersagent die in de bewerking wordt gebruikt, is dit een naamruimte die podimplementatie vaak of een andere functie is. De belangrijkste bijdragende redenen voor het indienen van deze waarschuwing als afwijkende activiteit worden beschreven onder de uitgebreide eigenschappen van de waarschuwing. | Uitvoering | Gemiddeld |
| Overmatige rolmachtigingen die zijn toegewezen in kubernetes-cluster (preview) (K8S_ServiceAcountPermissionAnomaly) |
Bij analyse van de Kubernetes-auditlogboeken is een overmatige toewijzing van machtigingen aan uw cluster gedetecteerd. Bij het onderzoeken van roltoewijzingen zijn de vermelde machtigingen ongebruikelijk voor het specifieke serviceaccount. Deze detectie beschouwt eerdere roltoewijzingen voor hetzelfde serviceaccount in clusters die worden bewaakt door Azure, volume per machtiging en de impact van de specifieke machtiging. Het anomaliedetectiemodel dat voor deze waarschuwing wordt gebruikt, houdt rekening met hoe deze machtiging wordt gebruikt in alle clusters die worden bewaakt door Azure Defender. | Escalatie van bevoegdheden | Beperkt |
Zie Waarschuwingen voor Kubernetes-clusters voor een volledige lijst met kubernetes-waarschuwingen.
September 2021
In september is de volgende update uitgebracht:
Twee nieuwe aanbevelingen voor het controleren van besturingssysteemconfiguraties voor naleving van de Azure-beveiligingsbasislijn (in preview)
De volgende twee aanbevelingen zijn uitgebracht om te beoordelen of uw computers voldoen aan de Windows-beveiligingsbasislijn en de Linux-beveiligingsbasislijn:
- Voor Windows-computers moeten beveiligingsproblemen in de beveiligingsconfiguratie op uw Windows-computers worden hersteld (mogelijk gemaakt door gastconfiguratie)
- Voor Linux-machines moeten beveiligingsproblemen in de beveiligingsconfiguratie op uw Linux-machines worden hersteld (mogelijk gemaakt door gastconfiguratie)
Deze aanbevelingen maken gebruik van de gastconfiguratiefunctie van Azure Policy om de configuratie van het besturingssysteem van een machine te vergelijken met de basislijn die is gedefinieerd in de Azure Security Benchmark.
Meer informatie over het gebruik van deze aanbevelingen in de besturingssysteemconfiguratie van een machine beveiligen met behulp van gastconfiguratie.
Augustus 2021
De updates in augustus zijn onder meer:
- Microsoft Defender voor Eindpunt voor Linux nu ondersteund door Azure Defender voor Servers (in preview)
- Twee nieuwe aanbevelingen voor het beheren van endpoint protection-oplossingen (in preview)
- Ingebouwde probleemoplossing en richtlijnen voor het oplossen van veelvoorkomende problemen
- De Azure Audit-rapporten van het Dashboard voor naleving van regelgeving die zijn vrijgegeven voor algemene beschikbaarheid (GA)
- De aanbeveling 'Statusproblemen met Log Analytics-agent moeten worden opgelost op uw computers' afgeschaft
- Azure Defender voor containerregisters scant nu op beveiligingsproblemen in registers die zijn beveiligd met Azure Private Link
- Security Center kan nu de gastconfiguratie-extensie van Azure Policy automatisch inrichten (in preview)
- Aanbevelingen om Azure Defender-abonnementen in te schakelen, bieden nu ondersteuning voor Afdwingen
- CSV-exports van aanbevelingsgegevens zijn nu beperkt tot 20 MB
- Aanbevelingen pagina bevat nu meerdere weergaven
Microsoft Defender voor Eindpunt voor Linux nu ondersteund door Azure Defender voor Servers (in preview)
Azure Defender voor Servers bevat een geïntegreerde licentie voor Microsoft Defender voor Eindpunt. Samen bieden ze uitgebreide mogelijkheden voor eindpuntdetectie en -reactie (EDR).
Wanneer Defender voor Eindpunten een bedreiging detecteert, wordt er een waarschuwing geactiveerd. De waarschuwing wordt weergegeven in Security Center. Vanuit Security Center kunt u ook naar de Defender voor Eindpunten-console draaien en een gedetailleerd onderzoek uitvoeren om het bereik van de aanval te ontdekken.
Tijdens de preview-periode implementeert u de Defender voor Eindpunt voor Linux-sensor op ondersteunde Linux-machines op een van twee manieren, afhankelijk van of u deze al op uw Windows-computers hebt geïmplementeerd:
- Bestaande gebruikers met verbeterde beveiligingsfuncties van Defender voor Cloud ingeschakeld en Microsoft Defender voor Eindpunt voor Windows
- Nieuwe gebruikers die de integratie met Microsoft Defender voor Eindpunt voor Windows nooit hebben ingeschakeld
Meer informatie in Uw eindpunten beveiligen met de geïntegreerde EDR-oplossing van Security Center: Microsoft Defender voor Eindpunt.
Twee nieuwe aanbevelingen voor het beheren van endpoint protection-oplossingen (in preview)
We hebben twee preview-aanbevelingen toegevoegd voor het implementeren en onderhouden van de eindpuntbeveiligingsoplossingen op uw computers. Beide aanbevelingen omvatten ondersteuning voor virtuele Azure-machines en machines die zijn verbonden met servers met Azure Arc.
| Aanbeveling | Beschrijving | Ernst |
|---|---|---|
| Endpoint Protection moet worden geïnstalleerd op uw computers | Installeer een ondersteunde oplossing voor eindpuntbeveiliging om uw machines tegen bedreigingen en beveiligingsproblemen te beschermen. Meer informatie over het evalueren van Endpoint Protection voor machines. (Gerelateerd beleid: Ontbrekende Endpoint Protection bewaken in Azure Security Center) |
Hoog |
| Statusproblemen met eindpuntbescherming moeten worden opgelost voor uw machines | Statusproblemen met eindpuntbeveiliging op virtuele machines oplossen om deze te beschermen tegen de nieuwste bedreigingen en beveiligingsproblemen. Azure Security Center ondersteunde eindpuntbeveiligingsoplossingen worden hier beschreven. De eindpuntbeveiligingsevaluatie wordt hier beschreven. (Gerelateerd beleid: Ontbrekende Endpoint Protection bewaken in Azure Security Center) |
Gemiddeld |
Notitie
De aanbevelingen tonen hun versheidsinterval als 8 uur, maar er zijn enkele scenario's waarin dit aanzienlijk langer kan duren. Wanneer een on-premises machine bijvoorbeeld wordt verwijderd, duurt het 24 uur voordat Security Center de verwijdering identificeert. Daarna duurt het maximaal 8 uur om de informatie te retourneren. In die specifieke situatie kan het daarom 32 uur duren voordat de machine uit de lijst met betrokken resources is verwijderd.
Ingebouwde probleemoplossing en richtlijnen voor het oplossen van veelvoorkomende problemen
Een nieuw, speciaal gebied van de Security Center-pagina's in Azure Portal biedt een gesorteerde, steeds groeiende set zelfhulpmaterialen voor het oplossen van veelvoorkomende uitdagingen met Security Center en Azure Defender.
Wanneer u een probleem ondervindt of advies zoekt van ons ondersteuningsteam, is diagnose en oplossing van problemen een ander hulpmiddel om u te helpen de oplossing te vinden:
De Azure Audit-rapporten van het Dashboard voor naleving van regelgeving die zijn vrijgegeven voor algemene beschikbaarheid (GA)
De werkbalk van het dashboard naleving van regelgeving biedt Azure- en Dynamics-certificeringsrapporten voor de standaarden die zijn toegepast op uw abonnementen.
U kunt het tabblad selecteren voor de relevante rapportentypen (PCI, SOC, ISO en andere) en filters gebruiken om de specifieke rapporten te vinden die u nodig hebt.
Zie Rapporten en certificaten voor nalevingsstatus genereren voor meer informatie.
De aanbeveling 'Statusproblemen met Log Analytics-agent moeten worden opgelost op uw computers' afgeschaft
We hebben vastgesteld dat problemen met de status van de Log Analytics-agent moeten worden opgelost op uw computers , op manieren die niet overeenkomen met de focus van Security Center Cloud Security Posture Management (CSPM). CsPM heeft meestal betrekking op het identificeren van onjuiste configuraties van beveiliging. Statusproblemen van de agent passen niet in deze categorie problemen.
De aanbeveling is ook een anomalie in vergelijking met de andere agents met betrekking tot Security Center: dit is de enige agent met een aanbeveling met betrekking tot statusproblemen.
De aanbeveling is afgeschaft.
Als gevolg van deze afschaffing hebben we ook kleine wijzigingen aangebracht in de aanbevelingen voor het installeren van de Log Analytics-agent (Log Analytics-agent moet worden geïnstalleerd op...).
De kans is groot dat deze wijziging van invloed is op uw beveiligingsscores. Voor de meeste abonnementen verwachten we dat de wijziging leidt tot een hogere score, maar het is mogelijk dat de updates van de installatieaanaanveling in sommige gevallen leiden tot lagere scores.
Tip
De inventarispagina van activa is ook beïnvloed door deze wijziging, omdat deze de bewaakte status weergeeft voor machines (bewaakt, niet bewaakt of gedeeltelijk bewaakt: een status die verwijst naar een agent met statusproblemen).
Azure Defender voor containerregisters scant nu op beveiligingsproblemen in registers die zijn beveiligd met Azure Private Link
Azure Defender voor containerregisters bevat een scanner voor beveiligingsproblemen om installatiekopieën in uw Azure Container Registry-registers te scannen. Lees hoe u uw registers scant en bevindingen herstelt in Azure Defender voor containerregisters om uw installatiekopieën te scannen op beveiligingsproblemen.
Als u de toegang tot een register wilt beperken dat wordt gehost in Azure Container Registry, wijst u privé-IP-adressen van een virtueel netwerk toe aan de registereindpunten en gebruikt u Azure Private Link, zoals wordt uitgelegd in Verbinding maken privé naar een Azure-containerregister met behulp van Azure Private Link.
Als onderdeel van onze voortdurende inspanningen ter ondersteuning van extra omgevingen en use cases scant Azure Defender nu ook containerregisters die zijn beveiligd met Azure Private Link.
Security Center kan nu de gastconfiguratie-extensie van Azure Policy automatisch inrichten (in preview)
Azure Policy kan instellingen binnen een machine controleren, zowel voor machines die worden uitgevoerd in met Azure verbonden machines als met Arc verbonden machines. De validatie wordt uitgevoerd door de extensie en client voor gastconfiguratie. Meer informatie vindt u in de gastconfiguratie van Azure Policy.
Met deze update kunt u Security Center nu instellen om deze extensie automatisch in te richten op alle ondersteunde computers.
Meer informatie over hoe automatisch inrichten werkt in Automatische inrichting configureren voor agents en extensies.
Aanbevelingen om Azure Defender-abonnementen in te schakelen, bieden nu ondersteuning voor Afdwingen
Security Center bevat twee functies waarmee u ervoor kunt zorgen dat nieuw gemaakte resources op een veilige manier worden ingericht: afdwingen en weigeren. Wanneer een aanbeveling deze opties biedt, kunt u ervoor zorgen dat aan uw beveiligingsvereisten wordt voldaan wanneer iemand probeert een resource te maken:
- Weigeren voorkomt dat beschadigde resources worden gemaakt
- Automatisch niet-compatibele resources afdwingen wanneer ze worden gemaakt
Met deze update is de optie afdwingen nu beschikbaar in de aanbevelingen voor het inschakelen van Azure Defender-abonnementen (zoals Azure Defender voor App Service moet zijn ingeschakeld, Azure Defender voor Key Vault moet zijn ingeschakeld, Azure Defender voor Storage moet zijn ingeschakeld).
Meer informatie over deze opties vindt u in Onjuiste configuraties voorkomen met aanbevelingen voor afdwingen/weigeren.
CSV-exports van aanbevelingsgegevens zijn nu beperkt tot 20 MB
We stellen een limiet van 20 MB in bij het exporteren van aanbevelingen van Security Center.
Als u grotere hoeveelheden gegevens wilt exporteren, gebruikt u de beschikbare filters voordat u deze selecteert of selecteert u subsets van uw abonnementen en downloadt u de gegevens in batches.
Meer informatie over het uitvoeren van een CSV-export van uw beveiligingsaan aanbevelingen.
Aanbevelingen pagina bevat nu meerdere weergaven
De pagina aanbevelingen bevat nu twee tabbladen om alternatieve manieren te bieden om de aanbevelingen weer te geven die relevant zijn voor uw resources:
- Aanbevelingen voor beveiligingsscore : gebruik dit tabblad om de lijst met aanbevelingen weer te geven die zijn gegroepeerd op beveiligingsbeheer. Meer informatie over deze besturingselementen vindt u in beveiligingscontroles en hun aanbevelingen.
- Alle aanbevelingen : gebruik dit tabblad om de lijst met aanbevelingen weer te geven als een platte lijst. Dit tabblad is ook handig om te begrijpen welk initiatief (inclusief standaarden voor naleving van regelgeving) de aanbeveling heeft gegenereerd. Meer informatie over initiatieven en hun relatie met aanbevelingen in Wat zijn beveiligingsbeleid, initiatieven en aanbevelingen?
Juli 2021
De updates in juli zijn onder meer:
- Azure Sentinel-connector bevat nu optionele bidirectionele waarschuwingssynchronisatie (in preview)
- Logische reorganisatie van Azure Defender voor Resource Manager-waarschuwingen
- Verbeteringen aan aanbeveling om Azure Disk Encryption (ADE) in te schakelen
- Continue export van beveiligingsscore- en regelgevingsnalevingsgegevens die zijn vrijgegeven voor algemene beschikbaarheid (GA)
- Werkstroomautomatiseringen kunnen worden geactiveerd door wijzigingen in nalevingsevaluaties voor regelgeving (GA)
- Evaluaties-API-veld FirstEvaluationDate en StatusChangeDate zijn nu beschikbaar in werkruimteschema's en logische apps
- Werkmapsjabloon 'Naleving in de loop van de tijd' toegevoegd aan de galerie Met Azure Monitor-werkmappen
Azure Sentinel-connector bevat nu optionele bidirectionele waarschuwingssynchronisatie (in preview)
Security Center integreert systeemeigen met Azure Sentinel, de cloudeigen SIEM- en SOAR-oplossing van Azure.
Azure Sentinel bevat ingebouwde connectors voor Azure Security Center op abonnements- en tenantniveau. Meer informatie in Stream-waarschuwingen voor Azure Sentinel.
Wanneer u Azure Defender verbindt met Azure Sentinel, wordt de status van Azure Defender-waarschuwingen die worden opgenomen in Azure Sentinel gesynchroniseerd tussen de twee services. Als een waarschuwing bijvoorbeeld wordt gesloten in Azure Defender, wordt die waarschuwing ook weergegeven als gesloten in Azure Sentinel. Het wijzigen van de status van een waarschuwing in Azure Defender heeft geen invloed op de status van Azure Sentinel-incidenten die de gesynchroniseerde Azure Sentinel-waarschuwing bevatten, alleen die van de gesynchroniseerde waarschuwing zelf.
Wanneer u synchronisatie van preview-functies voor bidirectionele waarschuwingen inschakelt, wordt de status van de oorspronkelijke Azure Defender-waarschuwingen automatisch gesynchroniseerd met Azure Sentinel-incidenten die kopieën van deze Azure Defender-waarschuwingen bevatten. Wanneer bijvoorbeeld een Azure Sentinel-incident met een Azure Defender-waarschuwing wordt gesloten, sluit Azure Defender automatisch de bijbehorende oorspronkelijke waarschuwing.
Meer informatie vindt u in Verbinding maken Azure Defender-waarschuwingen van Azure Security Center.
Logische reorganisatie van Azure Defender voor Resource Manager-waarschuwingen
De onderstaande waarschuwingen zijn opgegeven als onderdeel van het Azure Defender for Resource Manager-plan .
Als onderdeel van een logische reorganisatie van sommige Azure Defender-abonnementen hebben we enkele waarschuwingen van Azure Defender voor Resource Manager verplaatst naar Azure Defender voor Servers.
De waarschuwingen zijn ingedeeld op basis van twee hoofdprincipes:
- Waarschuwingen die beveiliging op besturingsvlak bieden , in veel Azure-resourcetypen, maken deel uit van Azure Defender voor Resource Manager
- Waarschuwingen die specifieke workloads beveiligen, bevinden zich in het Azure Defender-plan dat betrekking heeft op de bijbehorende workload
Dit zijn de waarschuwingen die deel uitmaken van Azure Defender voor Resource Manager en die als gevolg van deze wijziging nu deel uitmaken van Azure Defender voor Servers:
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
Meer informatie over de abonnementen Azure Defender voor Resource Manager en Azure Defender for Servers .
Verbeteringen aan aanbeveling om Azure Disk Encryption (ADE) in te schakelen
Na feedback van gebruikers hebben we de naam van de aanbeveling Schijfversleuteling op virtuele machines toegepast.
De nieuwe aanbeveling maakt gebruik van dezelfde evaluatie-id en wordt virtuele machines genoemd , moeten tijdelijke schijven, caches en gegevensstromen tussen compute- en opslagresources versleutelen.
De beschrijving is ook bijgewerkt om het doel van deze harding aanbeveling beter uit te leggen:
| Aanbeveling | Beschrijving | Ernst |
|---|---|---|
| Virtuele machines moeten tijdelijke schijven, caches en gegevensstromen tussen reken- en opslagresources versleutelen | Standaard worden het besturingssysteem en de gegevensschijven van een virtuele machine versleuteld in rust met behulp van door platform beheerde sleutels; tijdelijke schijven en gegevenscaches worden niet versleuteld en gegevens worden niet versleuteld bij het stromen tussen reken- en opslagresources. Zie de vergelijking van verschillende schijfversleutelingstechnologieën in Azure voor meer informatie. Gebruik Azure Disk Encryption om al deze gegevens te versleutelen. Negeer deze aanbeveling als: (1) u de functie voor versleuteling op de host gebruikt of (2) versleuteling aan de serverzijde op beheerde schijven voldoet aan uw beveiligingsvereisten. Meer informatie over versleuteling aan de serverzijde van Azure Disk Storage. |
Hoog |
Continue export van beveiligingsscore- en regelgevingsnalevingsgegevens die zijn vrijgegeven voor algemene beschikbaarheid (GA)
Continue export biedt het mechanisme voor het exporteren van uw beveiligingswaarschuwingen en aanbevelingen voor het bijhouden met andere bewakingshulpprogramma's in uw omgeving.
Wanneer u uw continue export instelt, configureert u wat er wordt geëxporteerd en waar deze naartoe gaat. Meer informatie vindt u in het overzicht van continue export.
We hebben deze functie in de loop van de tijd uitgebreid en uitgebreid:
In november 2020 hebben we de preview-optie toegevoegd om wijzigingen in uw beveiligingsscore te streamen.
Zie secure score is nu beschikbaar in continue export (preview) voor meer informatie.In december 2020 hebben we de preview-optie toegevoegd om wijzigingen in uw nalevingsbeoordelingsgegevens voor regelgeving te streamen.
Zie Continue export voor meer informatie nieuwe gegevenstypen (preview).
Met deze update worden deze twee opties uitgebracht voor algemene beschikbaarheid (GA).
Werkstroomautomatiseringen kunnen worden geactiveerd door wijzigingen in nalevingsevaluaties voor regelgeving (GA)
In februari 2021 hebben we een derde voorbeeldgegevenstype toegevoegd aan de triggeropties voor uw werkstroomautomatiseringen: wijzigingen in nalevingsevaluaties voor regelgeving. Meer informatie in werkstroomautomatiseringen kan worden geactiveerd door wijzigingen in nalevingsevaluaties voor regelgeving.
Met deze update wordt deze triggeroptie voor algemene beschikbaarheid (GA) uitgebracht.
Meer informatie over het gebruik van de hulpprogramma's voor werkstroomautomatisering in Reacties op Security Center-triggers automatiseren.
Evaluaties-API-veld FirstEvaluationDate en StatusChangeDate zijn nu beschikbaar in werkruimteschema's en logische apps
In mei 2021 hebben we de evaluatie-API bijgewerkt met twee nieuwe velden, FirstEvaluationDate en StatusChangeDate. Zie Evaluaties-API uitgebreid met twee nieuwe velden voor meer informatie.
Deze velden waren toegankelijk via de REST API, Azure Resource Graph, continue export en in CSV-exports.
Met deze wijziging maken we de informatie beschikbaar in het Log Analytics-werkruimteschema en van logische apps.
Werkmapsjabloon 'Naleving in de loop van de tijd' toegevoegd aan de galerie Met Azure Monitor-werkmappen
In maart hebben we de geïntegreerde Azure Monitor Workbooks-ervaring aangekondigd in Security Center (zie Azure Monitor Workbooks geïntegreerd in Security Center en drie sjablonen).
De eerste release bevat drie sjablonen voor het maken van dynamische en visuele rapporten over de beveiligingspostuur van uw organisatie.
We hebben nu een werkmap toegevoegd die is toegewezen aan het bijhouden van de naleving van een abonnement met de regelgevings- of branchestandaarden die erop zijn toegepast.
Meer informatie over het gebruik van deze rapporten of het bouwen van uw eigen rapporten in Uitgebreide, interactieve rapporten van Security Center-gegevens.
Juni 2021
De updates in juni zijn onder meer:
- Nieuwe waarschuwing voor Azure Defender voor Key Vault
- Aanbevelingen standaard uitgeschakeld met door de klant beheerde sleutels (CMK's)
- Voorvoegsel voor Kubernetes-waarschuwingen is gewijzigd van 'AKS_' in 'K8S_'
- Twee aanbevelingen van beveiligingsupdates toepassen van systeemupdates afgeschaft
Nieuwe waarschuwing voor Azure Defender voor Key Vault
Om de bedreigingsbeveiligingen van Azure Defender voor Key Vault uit te breiden, hebben we de volgende waarschuwing toegevoegd:
| Waarschuwing (waarschuwingstype) | Beschrijving | MITRE-tactiek | Ernst |
|---|---|---|---|
| Toegang vanaf een verdacht IP-adres naar een sleutelkluis (KV_SuspiciousIPAccess) |
Een sleutelkluis is geopend door een IP-adres dat is geïdentificeerd door Microsoft Threat Intelligence als een verdacht IP-adres. Dit kan erop wijzen dat uw infrastructuur is aangetast. We raden verder onderzoek aan. Lees meer over de bedreigingsinformatiemogelijkheden van Microsoft. | Referentietoegang | Gemiddeld |
Zie voor meer informatie:
- Inleiding tot Azure Defender voor Key Vault
- Reageren op Azure Defender voor Key Vault-waarschuwingen
- Lijst met waarschuwingen van Azure Defender voor Key Vault
Aanbevelingen standaard uitgeschakeld met door de klant beheerde sleutels (CMK's)
Security Center bevat meerdere aanbevelingen voor het versleutelen van data-at-rest met door de klant beheerde sleutels, zoals:
- Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
- Voor Azure Cosmos DB-accounts moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest
- Azure Machine Learning-werkruimten moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
Gegevens in Azure worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit vereist is voor naleving van een specifiek beleid dat uw organisatie kiest om af te dwingen.
Met deze wijziging worden de aanbevelingen voor het gebruik van CMK's nu standaard uitgeschakeld. Wanneer dit relevant is voor uw organisatie, kunt u deze inschakelen door de parameter Effect voor het bijbehorende beveiligingsbeleid te wijzigen in AuditIfNotExists of Afdwingen. Meer informatie vindt u in Een beveiligingsaanaanveling inschakelen.
Deze wijziging wordt weerspiegeld in de namen van de aanbeveling met een nieuw voorvoegsel , [Indien nodig inschakelen], zoals wordt weergegeven in de volgende voorbeelden:
- [Inschakelen indien nodig] Opslagaccounts moeten door de klant beheerde sleutel gebruiken om data-at-rest te versleutelen
- [Inschakelen indien nodig] Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
- [Inschakelen indien nodig] Azure Cosmos DB-accounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen
Voorvoegsel voor Kubernetes-waarschuwingen is gewijzigd van 'AKS_' in 'K8S_'
Azure Defender voor Kubernetes is onlangs uitgebreid om Kubernetes-clusters te beveiligen die on-premises en in omgevingen met meerdere clouds worden gehost. Meer informatie in Azure Defender voor Kubernetes gebruiken voor het beveiligen van hybride kubernetes-implementaties met meerdere clouds (in preview).
Om aan te geven dat de beveiligingswaarschuwingen van Azure Defender voor Kubernetes niet langer zijn beperkt tot clusters in Azure Kubernetes Service, hebben we het voorvoegsel voor de waarschuwingstypen gewijzigd van 'AKS_' in 'K8S_'. Indien nodig zijn de namen en beschrijvingen ook bijgewerkt. Bijvoorbeeld deze waarschuwing:
| Waarschuwing (waarschuwingstype) | Beschrijving |
|---|---|
| Kubernetes-hulpprogramma voor penetratietests gedetecteerd (AKS_PenTestToolsKubeHunter) |
Kubernetes-auditlogboekanalyse heeft het gebruik van het kubernetes-hulpprogramma voor penetratietests in het AKS-cluster gedetecteerd. Hoewel dit gedrag legitiem kan zijn, kunnen aanvallers dergelijke openbare hulpprogramma's gebruiken voor schadelijke doeleinden. |
is gewijzigd in:
| Waarschuwing (waarschuwingstype) | Beschrijving |
|---|---|
| Kubernetes-hulpprogramma voor penetratietests gedetecteerd (K8S_PenTestToolsKubeHunter) |
Kubernetes-auditlogboekanalyse heeft het gebruik van het kubernetes-hulpprogramma voor penetratietests in het Kubernetes-cluster gedetecteerd. Hoewel dit gedrag legitiem kan zijn, kunnen aanvallers dergelijke openbare hulpprogramma's gebruiken voor schadelijke doeleinden. |
Onderdrukkingsregels die verwijzen naar waarschuwingen die beginnen met 'AKS_', worden automatisch geconverteerd. Als u SIEM-exports of aangepaste automatiseringsscripts hebt ingesteld die verwijzen naar Kubernetes-waarschuwingen op waarschuwingstype, moet u deze bijwerken met de nieuwe waarschuwingstypen.
Zie Waarschuwingen voor Kubernetes-clusters voor een volledige lijst met kubernetes-waarschuwingen.
Twee aanbevelingen van beveiligingsupdates toepassen van systeemupdates afgeschaft
De volgende twee aanbevelingen zijn afgeschaft:
- De versie van het besturingssysteem moet worden bijgewerkt voor uw cloudservicerollen . Azure werkt uw gastbesturingssysteem standaard regelmatig bij naar de meest recente ondersteunde installatiekopieën binnen de besturingssysteemfamilie die u hebt opgegeven in uw serviceconfiguratie (.cscfg), zoals Windows Server 2016.
- Kubernetes Services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie . De evaluaties van deze aanbeveling zijn niet zo breed als we willen. We zijn van plan de aanbeveling te vervangen door een verbeterde versie die beter is afgestemd op uw beveiligingsbehoeften.
Mei 2021
De updates in mei zijn onder meer:
- Azure Defender voor DNS en Azure Defender voor Resource Manager uitgebracht voor algemene beschikbaarheid (GA)
- Azure Defender voor opensource relationele databases die zijn uitgebracht voor algemene beschikbaarheid (GA)
- Nieuwe waarschuwingen voor Azure Defender voor Resource Manager
- CI/CD-beveiligingsproblemen scannen van containerinstallatiekopieën met GitHub-werkstromen en Azure Defender (preview)
- Meer Resource Graph-query's beschikbaar voor enkele aanbevelingen
- De ernst van de aanbeveling voor SQL-gegevensclassificatie is gewijzigd
- Nieuwe aanbevelingen voor het inschakelen van vertrouwde startmogelijkheden (in preview)
- Nieuwe aanbevelingen voor het beveiligen van Kubernetes-clusters (in preview)
- Evaluaties-API uitgebreid met twee nieuwe velden
- Asset-inventaris haalt een cloudomgevingsfilter op
Azure Defender voor DNS en Azure Defender voor Resource Manager uitgebracht voor algemene beschikbaarheid (GA)
Deze twee cloudeigen breedtebeveiligingsplannen voor bedreigingsbeveiliging zijn nu algemeen beschikbaar.
Deze nieuwe beschermingen verbeteren uw tolerantie tegen aanvullen van bedreigende actoren en vergroten het aantal Azure-resources dat wordt beschermd door Azure Defender.
Azure Defender voor Resource Manager - bewaakt automatisch alle resourcebeheerbewerkingen die in uw organisatie worden uitgevoerd. Zie voor meer informatie:
Azure Defender voor DNS - bewaakt continu alle DNS-query's van uw Azure-resources. Zie voor meer informatie:
Gebruik de aanbevelingen om het proces van het inschakelen van deze plannen te vereenvoudigen:
- Azure Defender voor Resource Manager moet zijn ingeschakeld
- Azure Defender voor DNS moet zijn ingeschakeld
Notitie
Als u Azure Defender-abonnementen inschakelt, worden kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center.
Azure Defender voor opensource relationele databases die zijn uitgebracht voor algemene beschikbaarheid (GA)
Azure Security Center breidt de aanbieding voor SQL-beveiliging uit met een nieuwe bundel voor uw opensource-relationele databases:
- Azure Defender voor Azure SQL-databaseservers: hiermee beveiligt u uw systeemeigen SQL-servers in Azure
- Azure Defender voor SQL-servers op computers: hiermee breidt u dezelfde beveiliging uit naar SQL-servers in hybride, multicloud- en on-premises omgevingen
- Azure Defender voor opensource-relationele databases - verdedigt uw Azure Databases for MySQL-, PostgreSQL- en MariaDB-individuele servers
Azure Defender voor opensource relationele databases bewaakt voortdurend uw servers op beveiligingsrisico's en detecteert afwijkende databaseactiviteiten die potentiële bedreigingen voor Azure Database for MySQL, PostgreSQL en MariaDB aangeven. Enkele voorbeelden:
- Gedetailleerde detectie van beveiligingsaanvallen : Azure Defender voor opensource-relationele databases biedt gedetailleerde informatie over pogingen en geslaagde beveiligingsaanvallen. Hiermee kunt u de aard en status van de aanval op uw omgeving onderzoeken en erop reageren.
- Detectie van gedragswaarschuwingen : Azure Defender voor opensource-relationele databases waarschuwt u voor verdacht en onverwacht gedrag op uw servers, zoals wijzigingen in het toegangspatroon voor uw database.
- Detectie op basis van bedreigingsinformatie: Azure Defender past de bedreigingsinformatie van Microsoft en de uitgebreide knowledge base toe om bedreigingswaarschuwingen weer te geven, zodat u er actie op kunt ondernemen.
Meer informatie vindt u in Inleiding tot Azure Defender voor opensource-relationele databases.
Nieuwe waarschuwingen voor Azure Defender voor Resource Manager
Om de bedreigingsbeveiligingen van Azure Defender voor Resource Manager uit te breiden, hebben we de volgende waarschuwingen toegevoegd:
| Waarschuwing (waarschuwingstype) | Beschrijving | MITRE-tactieken | Ernst |
|---|---|---|---|
| Machtigingen verleend voor een RBAC-rol op een ongebruikelijke manier voor uw Azure-omgeving (preview) (ARM_AnomalousRBACRoleAssignment) |
Azure Defender voor Resource Manager heeft een RBAC-roltoewijzing gedetecteerd die ongebruikelijk is in vergelijking met andere toewijzingen die worden uitgevoerd door dezelfde toegewezen/uitgevoerd voor dezelfde toegewezen gebruiker/in uw tenant vanwege de volgende afwijkingen: toewijzingstijd, toewijzingslocatie, toegewezen locatie, verificatiemethode, toegewezen entiteiten, gebruikte clientsoftware, toewijzingsbereik. Deze bewerking is mogelijk uitgevoerd door een legitieme gebruiker in uw organisatie. Het kan ook aangeven dat een account in uw organisatie is geschonden en dat de bedreigingsacteur machtigingen probeert te verlenen aan een extra gebruikersaccount dat hij/zij bezit. | Laterale beweging, defensieontduiking | Gemiddeld |
| Bevoorrechte aangepaste rol gemaakt voor uw abonnement op een verdachte manier (preview) (ARM_PrivilegedRoleDefinitionCreation) |
Azure Defender voor Resource Manager heeft een verdachte definitie van een aangepaste rol met bevoegdheden in uw abonnement gedetecteerd. Deze bewerking is mogelijk uitgevoerd door een legitieme gebruiker in uw organisatie. Het kan ook aangeven dat een account in uw organisatie is geschonden en dat de bedreigingsacteur probeert een bevoorrechte rol te maken die in de toekomst moet worden gebruikt om detectie te omzeilen. | Laterale beweging, defensieontduiking | Beperkt |
| Azure Resource Manager-bewerking vanaf verdacht IP-adres (preview) (ARM_OperationFromSuspiciousIP) |
Azure Defender voor Resource Manager heeft een bewerking gedetecteerd vanaf een IP-adres dat is gemarkeerd als verdacht in feeds voor bedreigingsinformatie. | Uitvoering | Gemiddeld |
| Azure Resource Manager-bewerking vanaf verdacht IP-adres van proxy (preview) (ARM_OperationFromSuspiciousProxyIP) |
Azure Defender voor Resource Manager heeft een bewerking voor resourcebeheer gedetecteerd vanaf een IP-adres dat is gekoppeld aan proxyservices, zoals TOR. Hoewel dit gedrag legitiem kan zijn, wordt dit vaak gezien in schadelijke activiteiten, wanneer bedreigingsactoren proberen hun bron-IP te verbergen. | Verdedigingsontduiking | Gemiddeld |
Zie voor meer informatie:
- Inleiding op Azure Defender voor Resource Manager
- Reageren op Azure Defender voor Resource Manager-waarschuwingen
- Lijst met waarschuwingen door Azure Defender voor Resource Manager
CI/CD-beveiligingsproblemen scannen van containerinstallatiekopieën met GitHub-werkstromen en Azure Defender (preview)
Azure Defender voor containerregisters biedt nu de waarneembaarheid van DevSecOps-teams in GitHub Actions-werkstromen.
De nieuwe functie voor het scannen van beveiligingsproblemen voor containerinstallatiekopieën, waarbij Trivy wordt gebruikt, helpt u bij het scannen op veelvoorkomende beveiligingsproblemen in hun containerinstallatiekopieën voordat u installatiekopieën naar containerregisters pusht.
Containerscanrapporten worden samengevat in Azure Security Center, zodat beveiligingsteams beter inzicht krijgen in en inzicht krijgen in de bron van kwetsbare containerinstallatiekopieën en de werkstromen en opslagplaatsen van waaruit ze afkomstig zijn.
Meer informatie over het identificeren van kwetsbare containerinstallatiekopieën in uw CI/CD-werkstromen.
Meer Resource Graph-query's beschikbaar voor enkele aanbevelingen
Alle aanbevelingen van Security Center hebben de mogelijkheid om de informatie over de status van betrokken resources weer te geven met behulp van Azure Resource Graph vanuit de Open-query. Zie Aanbevelingsgegevens controleren in Azure Resource Graph Explorer (ARG) voor meer informatie over deze krachtige functie.
Security Center bevat ingebouwde scanners voor beveiligingsproblemen om uw VM's, SQL-servers en hun hosts en containerregisters te scannen op beveiligingsproblemen. De resultaten worden geretourneerd als aanbevelingen met alle afzonderlijke bevindingen voor elk resourcetype dat in één weergave is verzameld. De aanbevelingen zijn:
- Beveiligingsproblemen met installatiekopieën in Azure Container Registry moeten worden hersteld (mogelijk gemaakt door Qualys)
- Beveiligingsproblemen op uw virtuele machines moeten worden hersteld
- SQL-databases moeten vinden dat beveiligingsproblemen zijn opgelost
- SQL-servers op computers moeten resultaten van beveiligingsproblemen hebben opgelost
Met deze wijziging kunt u de knop Query openen gebruiken om ook de query te openen met de beveiligingsresultaten.
De knop Query openen biedt aanvullende opties voor enkele andere aanbevelingen, indien relevant.
Meer informatie over de scanners voor beveiligingsproblemen van Security Center:
- Geïntegreerde Qualys-scanner voor beveiligingsproblemen van Azure Defender voor Azure en hybride machines
- Geïntegreerde scanner voor evaluatie van beveiligingsproblemen van Azure Defender voor SQL-servers
- Geïntegreerde scanner voor evaluatie van beveiligingsproblemen van Azure Defender voor containerregisters
De ernst van de aanbeveling voor SQL-gegevensclassificatie is gewijzigd
De ernst van de aanbeveling gevoelige gegevens in uw SQL-databases moet worden geclassificeerdvan Hoog naar Laag.
Dit maakt deel uit van een doorlopende wijziging van deze aanbeveling die wordt aangekondigd op onze aanstaande pagina met wijzigingen.
Nieuwe aanbevelingen voor het inschakelen van vertrouwde startmogelijkheden (in preview)
Azure biedt vertrouwde lancering als een naadloze manier om de beveiliging van VM's van de tweede generatie te verbeteren. Vertrouwde lancering beschermt tegen geavanceerde en permanente aanvalstechnieken. Vertrouwde lancering bestaat uit verschillende, gecoördineerde infrastructuurtechnologieën die onafhankelijk van elkaar kunnen worden ingeschakeld. Elke technologie biedt een andere verdedigingslaag tegen geavanceerde bedreigingen. Meer informatie over vertrouwde lancering voor virtuele Azure-machines.
Belangrijk
Voor vertrouwde lancering is het maken van nieuwe virtuele machines vereist. U kunt vertrouwde start niet inschakelen op bestaande virtuele machines die in eerste instantie zijn gemaakt zonder deze.
Vertrouwde start is momenteel beschikbaar als openbare preview. De preview wordt geleverd zonder service level agreement en wordt niet aanbevolen voor productieworkloads. Misschien worden bepaalde functies niet ondersteund of zijn de mogelijkheden ervan beperkt.
De aanbeveling van Security Center, vTPM moet zijn ingeschakeld op ondersteunde virtuele machines, zorgt ervoor dat uw Virtuele Azure-machines een vTPM gebruiken. Deze gevirtualiseerde versie van een vertrouwde platformmodule voor hardware maakt attestation mogelijk door de volledige opstartketen van uw VM (UEFI, BESTURINGSSYSTEEM, systeem en stuurprogramma's) te meten.
Als de vTPM is ingeschakeld, kan de extensie Voor gastat attestation de beveiligde opstart op afstand valideren. De volgende aanbevelingen zorgen ervoor dat deze extensie wordt geïmplementeerd:
- Beveiligd opstarten moet zijn ingeschakeld op ondersteunde virtuele Windows-machines
- De Gast attestation-extensie moet worden geïnstalleerd op ondersteunde virtuele Windows-machines
- De gastverklaringsextensie moet worden geïnstalleerd op ondersteunde Windows Virtual Machine Scale Sets
- De Gastat attestation-extensie moet worden geïnstalleerd op ondersteunde virtuele Linux-machines
- De gastattestextensie moet worden geïnstalleerd op ondersteunde virtuele Linux-machineschaalsets
Meer informatie over vertrouwde lancering voor virtuele Azure-machines.
Nieuwe aanbevelingen voor het beveiligen van Kubernetes-clusters (in preview)
Met de volgende aanbevelingen kunt u uw Kubernetes-clusters verder beveiligen
- Kubernetes-clusters mogen de standaardnaamruimte niet gebruiken: om te beveiligen tegen onbevoegde toegang voor ConfigMap-, Pod-, Secret-, Service- en ServiceAccount-resourcetypen, voorkomt u het gebruik van de standaardnaamruimte in Kubernetes-clusters.
- Kubernetes-clusters moeten automatisch koppelen van API-referenties uitschakelen: als u wilt voorkomen dat een mogelijk aangetaste Pod-resource API-opdrachten uitvoert op Kubernetes-clusters, schakelt u automatisch koppelen van API-referenties uit.
- Kubernetes-clusters mogen geen CAPSYSADMIN-beveiligingsmogelijkheden verlenen
Meer informatie over hoe Security Center uw containeromgevingen kan beveiligen in containerbeveiliging in Security Center.
Evaluaties-API uitgebreid met twee nieuwe velden
We hebben de volgende twee velden toegevoegd aan de Evaluaties REST API:
- FirstEvaluationDate : de tijd dat de aanbeveling is gemaakt en voor het eerst is geëvalueerd. Geretourneerd als UTC-tijd in ISO 8601-indeling.
- StatusChangeDate : het tijdstip waarop de status van de aanbeveling voor het laatst is gewijzigd. Geretourneerd als UTC-tijd in ISO 8601-indeling.
De initiële standaardwaarde voor deze velden , voor alle aanbevelingen , is 2021-03-14T00:00:00+0000000Z.
Voor toegang tot deze informatie kunt u een van de methoden in de onderstaande tabel gebruiken.
| Hulpprogramma | DETAILS |
|---|---|
| REST API-aanroep | GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates |
| Azure Resource Graph | securityresourceswhere type == "microsoft.security/assessments" |
| Continue export | De twee toegewezen velden zijn beschikbaar voor de Log Analytics-werkruimtegegevens |
| CSV-export | De twee velden zijn opgenomen in de CSV-bestanden |
Meer informatie over de EVALUATIES REST API.
Asset-inventaris haalt een cloudomgevingsfilter op
De inventarispagina van Security Center biedt veel filters om de weergegeven lijst met resources snel te verfijnen. Voor meer informatie raadpleegt u Uw resources verkennen en beheren met assetvoorraad.
Een nieuw filter biedt de mogelijkheid om de lijst te verfijnen op basis van de cloudaccounts die u hebt verbonden met de functies voor meerdere clouds van Security Center:
Meer informatie over de mogelijkheden voor meerdere clouds:
- Uw AWS-accounts verbinden met Azure Security Center
- Verbinding maken uw GCP-projecten naar Azure Security Center
April 2021
De updates in april zijn onder meer:
- Pagina voor vernieuwde resourcestatus (in preview)
- Containerregisterinstallatiekopieën die onlangs zijn opgehaald, worden nu wekelijks opnieuw gescand (vrijgegeven voor algemene beschikbaarheid ))
- Azure Defender voor Kubernetes gebruiken om kubernetes-implementaties met meerdere clouds te beveiligen (in preview)
- Microsoft Defender voor Eindpunt integratie met Azure Defender ondersteunt nu Windows Server 2019 en Windows 10 op Windows Virtual Desktop die zijn uitgebracht voor algemene beschikbaarheid (GA)
- Aanbevelingen om Azure Defender voor DNS en Resource Manager in te schakelen (in preview)
- Er zijn drie nalevingsstandaarden toegevoegd voor regelgeving: Azure CIS 1.3.0, CMMC Level 3 en New Zealand ISM Restricted
- Vier nieuwe aanbevelingen met betrekking tot gastconfiguratie (in preview)
- CMK-aanbevelingen zijn verplaatst naar aanbevolen procedures voor beveiligingsbeheer
- Elf Azure Defender-waarschuwingen zijn afgeschaft
- Er zijn twee aanbevelingen van beveiligingsupdates voor het toepassen van systeemupdates afgeschaft
- Tegel Van Azure Defender voor SQL op machine verwijderd uit het Azure Defender-dashboard
- Aanbevelingen zijn verplaatst tussen beveiligingscontroles
Pagina voor vernieuwde resourcestatus (in preview)
Resourcestatus is uitgebreid, verbeterd en verbeterd om een momentopnameweergave te bieden van de algehele status van één resource.
U kunt gedetailleerde informatie bekijken over de resource en alle aanbevelingen die van toepassing zijn op die resource. Als u gebruikmaakt van de geavanceerde beveiligingsplannen van Microsoft Defender, ziet u ook openstaande beveiligingswaarschuwingen voor die specifieke resource.
Als u de resourcestatuspagina voor een resource wilt openen, selecteert u een resource op de pagina assetinventaris.
Deze voorbeeldpagina op de portalpagina's van Security Center toont:
- Resourcegegevens : de resourcegroep en het abonnement waaraan deze is gekoppeld, de geografische locatie en meer.
- Toegepaste beveiligingsfunctie : of Azure Defender is ingeschakeld voor de resource.
- Aantal openstaande aanbevelingen en waarschuwingen : het aantal openstaande beveiligingsaanbevelingen en Azure Defender-waarschuwingen.
- Bruikbare aanbevelingen en waarschuwingen : op twee tabbladen worden de aanbevelingen en waarschuwingen vermeld die van toepassing zijn op de resource.
Meer informatie in zelfstudie: De status van uw resources onderzoeken.
Containerregisterinstallatiekopieën die onlangs zijn opgehaald, worden nu wekelijks opnieuw gescand (vrijgegeven voor algemene beschikbaarheid ))
Azure Defender voor containerregisters bevat een ingebouwde scanner voor beveiligingsproblemen. Deze scanner scant onmiddellijk elke installatiekopie die u naar uw register pusht en elke installatiekopie die in de afgelopen 30 dagen is opgehaald.
Er worden elke dag nieuwe beveiligingsproblemen gedetecteerd. Met deze update worden containerinstallatiekopieën die tijdens de afgelopen 30 dagen zijn opgehaald uit uw registers, elke week opnieuw gescand . Dit zorgt ervoor dat nieuw gedetecteerde beveiligingsproblemen worden geïdentificeerd in uw installatiekopieën.
Scannen wordt per afbeelding in rekening gebracht, dus er worden geen extra kosten in rekening gebracht voor deze nieuwe scans.
Meer informatie over deze scanner in Azure Defender gebruiken voor containerregisters om uw installatiekopieën te scannen op beveiligingsproblemen.
Azure Defender voor Kubernetes gebruiken om kubernetes-implementaties met meerdere clouds te beveiligen (in preview)
Azure Defender voor Kubernetes breidt de mogelijkheden voor bedreigingsbeveiliging uit om uw clusters te beschermen waar ze ook worden geïmplementeerd. Dit is ingeschakeld door integratie met Kubernetes met Azure Arc en de nieuwe uitbreidingsmogelijkheden.
Wanneer u Azure Arc hebt ingeschakeld voor uw niet-Azure Kubernetes-clusters, wordt met slechts enkele klikken een nieuwe aanbeveling van Azure Security Center aangeboden om de Azure Defender-agent hierop te implementeren.
Gebruik de aanbeveling (Kubernetes-clusters met Azure Arc moeten de extensie van Azure Defender hebben geïnstalleerd) en de extensie om Kubernetes-clusters te beveiligen die zijn geïmplementeerd in andere cloudproviders, maar niet op hun beheerde Kubernetes-services.
Deze integratie tussen Azure Security Center, Azure Defender en Kubernetes met Azure Arc biedt:
- Eenvoudig inrichten van de Azure Defender-agent voor niet-beveiligde Kubernetes-clusters met Azure Arc (handmatig en op schaal)
- Bewaking van de Azure Defender-agent en de inrichtingsstatus van de Azure Arc-portal
- Beveiligingsaan aanbevelingen van Security Center worden gerapporteerd op de nieuwe beveiligingspagina van Azure Arc Portal
- Geïdentificeerde beveiligingsrisico's van Azure Defender worden gerapporteerd op de nieuwe pagina Beveiliging van azure Arc Portal
- Kubernetes-clusters met Azure Arc zijn geïntegreerd in het Azure Security Center-platform en -ervaring
Meer informatie in Azure Defender voor Kubernetes gebruiken met uw on-premises kubernetes-clusters en multicloudclusters.
Microsoft Defender voor Eindpunt integratie met Azure Defender ondersteunt nu Windows Server 2019 en Windows 10 op Windows Virtual Desktop die zijn uitgebracht voor algemene beschikbaarheid (GA)
Microsoft Defender voor Eindpunt is een holistische cloudoplossing voor eindpuntbeveiliging. Het biedt risicogebaseerd beveiligingsbeheer en -evaluatie, evenals eindpuntdetectie en -respons (EDR). Zie Uw eindpunten beveiligen met de geïntegreerde EDR-oplossing van Security Center: Microsoft Defender voor Eindpunt voor een volledige lijst met de voordelen van het gebruik van Defender voor Eindpunt in combinatie met Azure Security Center.
Wanneer u Azure Defender voor Servers met Windows Server inschakelt, wordt er een licentie voor Defender voor Eindpunt opgenomen in het plan. Als u Azure Defender voor Servers al hebt ingeschakeld en u Windows Server 2019-servers in uw abonnement hebt, ontvangen ze automatisch Defender voor Eindpunt met deze update. Er is geen handmatige actie vereist.
De ondersteuning is nu uitgebreid met Windows Server 2019 en Windows 10 op Windows Virtual Desktop.
Notitie
Als u Defender voor Eindpunt inschakelt op een Windows Server 2019-server, controleert u of deze voldoet aan de vereisten die worden beschreven in De integratie van de Microsoft Defender voor Eindpunt inschakelen.
Aanbevelingen om Azure Defender voor DNS en Resource Manager in te schakelen (in preview)
Er zijn twee nieuwe aanbevelingen toegevoegd om het proces voor het inschakelen van Azure Defender voor Resource Manager en Azure Defender voor DNS te vereenvoudigen:
- Azure Defender voor Resource Manager moet zijn ingeschakeld : Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten.
- Azure Defender voor DNS moet zijn ingeschakeld : Defender voor DNS biedt een extra beveiligingslaag voor uw cloudresources door voortdurend alle DNS-query's van uw Azure-resources te bewaken. Azure Defender waarschuwt u voor verdachte activiteiten op de DNS-laag.
Als u Azure Defender-abonnementen inschakelt, worden kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center.
Tip
Preview-aanbevelingen zorgen er niet voor dat een resource als beschadigd wordt weergegeven en ze worden niet opgenomen in de berekeningen van uw beveiligde score. Herstel ze waar mogelijk, zodat zij wanneer de preview-periode afloopt zullen bijdragen aan uw score. Zie Aanbevelingen oplossen in Azure Security Center voor meer informatie over hoe u kunt reageren op deze aanbevelingen.
Er zijn drie nalevingsstandaarden toegevoegd voor regelgeving: Azure CIS 1.3.0, CMMC Level 3 en New Zealand ISM Restricted
We hebben drie standaarden toegevoegd voor gebruik met Azure Security Center. Met behulp van het dashboard voor naleving van regelgeving kunt u nu uw naleving bijhouden met:
U kunt deze toewijzen aan uw abonnementen, zoals beschreven in De set standaarden aanpassen in uw nalevingsdashboard voor regelgeving.
Meer informatie vindt u in:
- Aanpassen van de set standaarden in uw dashboard voor naleving van regelgeving
- Zelfstudie: Uw naleving van regelgeving verbeteren
- Veelgestelde vragen: dashboard voor Naleving van regelgeving
Vier nieuwe aanbevelingen met betrekking tot gastconfiguratie (in preview)
De gastconfiguratie-extensie van Azure rapporteert aan Security Center om ervoor te zorgen dat de in-gastinstellingen van uw virtuele machines worden beveiligd. De extensie is niet vereist voor Arc-servers omdat de extensie is opgenomen in de Arc Connected Machine-agent. Voor de extensie is een door het systeem beheerde identiteit op de computer vereist.
We hebben vier nieuwe aanbevelingen toegevoegd aan Security Center om optimaal gebruik te maken van deze extensie.
In twee aanbevelingen wordt u gevraagd om de extensie en de vereiste door het systeem beheerde identiteit te installeren:
- De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd
- De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit
Wanneer de extensie is geïnstalleerd en wordt uitgevoerd, wordt u gevraagd uw computers te controleren en wordt u gevraagd om instellingen te beveiligen, zoals de configuratie van het besturingssysteem en de omgevingsinstellingen. Deze twee aanbevelingen vragen u om uw Windows- en Linux-machines te beveiligen zoals beschreven:
- Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers
- Voor verificatie op Linux-machines moeten SSH-sleutels zijn vereist
Meer informatie vindt u in de gastconfiguratie van Azure Policy.
CMK-aanbevelingen zijn verplaatst naar aanbevolen procedures voor beveiligingsbeheer
Het beveiligingsprogramma van elke organisatie bevat vereisten voor gegevensversleuteling. Standaard worden de gegevens van Azure-klanten in rust versleuteld met door de service beheerde sleutels. Door de klant beheerde sleutels (CMK) zijn echter vaak vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met CMK's kunt u uw gegevens versleutelen met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. Dit geeft u volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, inclusief rotatie en beheer.
De beveiligingscontroles van Azure Security Center zijn logische groepen gerelateerde beveiligingsaanbevelingen en weerspiegelen uw kwetsbare kwetsbaarheid voor aanvallen. Elk besturingselement heeft een maximum aantal punten dat u aan uw beveiligingsscore kunt toevoegen als u alle aanbevelingen in het besturingselement herstelt voor al uw resources. Het beveiligingsbeheer voor aanbevolen beveiligingsprocedures implementeren is nul punten waard. Aanbevelingen in dit besturingselement hebben dus geen invloed op uw beveiligingsscore.
De onderstaande aanbevelingen worden verplaatst naar het beveiligingsbeheer voor aanbevolen beveiligingsprocedures implementeren om hun optionele aard beter weer te geven. Deze verplaatsing zorgt ervoor dat deze aanbevelingen zich in de meest geschikte controle bevinden om te voldoen aan hun doelstelling.
- Voor Azure Cosmos DB-accounts moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest
- Azure Machine Learning-werkruimten moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
- Azure AI-servicesaccounts moeten gegevensversleuteling inschakelen met een door de klant beheerde sleutel (CMK)
- Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
- Voor met SQL beheerde exemplaren moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest
- Voor SQL Server moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest
- Voor opslagaccounts moet een CMK (door de klant beheerde sleutel) worden gebruikt voor versleuteling
Voor meer informatie over welke aanbevelingen zich in elk beveiligingsbeheer bevinden, raadpleegt u Beveiligingscontroles en de bijbehorende aanbevelingen.
11 Azure Defender-waarschuwingen afgeschaft
De hieronder vermelde elf Azure Defender-waarschuwingen zijn afgeschaft.
Nieuwe waarschuwingen vervangen deze twee waarschuwingen en bieden een betere dekking:
AlertType AlertDisplayName ARM_MicroBurstDomainInfo PREVIEW - De functie Get-AzureDomainInfo van de MicroBurst-toolkit gedetecteerd ARM_MicroBurstRunbook PREVIEW - De functie Get-AzurePasswords van de MicroBurst-toolkit gedetecteerd Deze negen waarschuwingen hebben betrekking op een Azure Active Directory Identity Protection-connector (IPC) die al is afgeschaft:
AlertType AlertDisplayName UnfamiliarLocation Onbekende aanmeldingseigenschappen AnonymousLogin Anoniem IP-adres InfectedDeviceLogin Aan malware gekoppeld IP-adres ImpossibleTravel Ongewoon traject MaliciousIP Schadelijk IP-adres GelekteCredentials Gelekte referenties PasswordSpray Wachtwoordspray GelekteCredentials Azure AD-bedreigingsinformatie AADAI Azure AD AI Tip
Deze negen IPC-waarschuwingen waren nooit Security Center-waarschuwingen. Ze maken deel uit van de Azure Active Directory (AAD) Identity Protection-connector (IPC) die ze naar Security Center heeft verzonden. De afgelopen twee jaar zijn de enige klanten die deze waarschuwingen zien organisaties die de export (van de connector naar ASC) in 2019 of eerder hebben geconfigureerd. AAD IPC heeft deze blijven weergeven in zijn eigen waarschuwingssystemen en ze zijn nog steeds beschikbaar in Azure Sentinel. De enige wijziging is dat ze niet meer worden weergegeven in Security Center.
Er zijn twee aanbevelingen van beveiligingsupdates voor het toepassen van systeemupdates afgeschaft
De volgende twee aanbevelingen zijn afgeschaft en de wijzigingen kunnen leiden tot een lichte impact op uw beveiligingsscore:
- Uw machines moeten opnieuw worden opgestart om systeemupdates toe te passen
- De bewakingsagent moet op uw machines worden geïnstalleerd. Deze aanbeveling heeft alleen betrekking op on-premises machines en een deel van de logica wordt overgedragen naar een andere aanbeveling. Problemen met de status van de Log Analytics-agent moeten worden opgelost op uw computers
U wordt aangeraden uw configuraties voor continue export en werkstroomautomatisering te controleren om te zien of deze aanbevelingen erin zijn opgenomen. Daarnaast moeten dashboards of andere hulpprogramma's voor bewaking die hiervan gebruik kunnen maken, dienovereenkomstig worden bijgewerkt.
Meer informatie over deze aanbevelingen vindt u op de pagina met naslaginformatie over beveiligingsaanbevelingen.
Tegel Van Azure Defender voor SQL op machine verwijderd uit het Azure Defender-dashboard
Het dekkingsgebied van het Azure Defender-dashboard bevat tegels voor de relevante Azure Defender-abonnementen voor uw omgeving. Vanwege een probleem met het rapporteren van het aantal beveiligde en niet-beveiligde resources, hebben we besloten om tijdelijk de status van de resourcedekking voor Azure Defender voor SQL op computers te verwijderen totdat het probleem is opgelost.
Tweeëntwintig aanbevelingen die zijn verplaatst tussen beveiligingscontroles
De volgende aanbevelingen zijn verplaatst naar verschillende beveiligingscontroles. Beveiligingscontroles zijn logische groepen gerelateerde beveiligingsaanbevelingen en weerspiegelen uw kwetsbare kwetsbaarheid voor aanvallen. Deze stap zorgt ervoor dat elk van deze aanbevelingen zich in de meest geschikte controle bevindt om te voldoen aan het doel ervan.
Voor meer informatie over welke aanbevelingen zich in elk beveiligingsbeheer bevinden, raadpleegt u Beveiligingscontroles en de bijbehorende aanbevelingen.
| Aanbeveling | Wijziging en impact |
|---|---|
| De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers De evaluatie van beveiligingsproblemen moet worden ingeschakeld voor uw beheerde SQL-exemplaren Beveiligingsproblemen in uw SQL-databases moeten worden hersteld Beveiligingsproblemen op uw SQL-databases in VM's moeten worden hersteld |
Overstappen van beveiligingsproblemen herstellen (zes punten waard) om beveiligingsconfiguraties te herstellen (vier punten waard). Afhankelijk van uw omgeving hebben deze aanbevelingen een verminderde impact op uw score. |
| Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement Automation-accountvariabelen moeten worden versleuteld IoT-apparaten : het gecontroleerde proces heeft het verzenden van gebeurtenissen gestopt IoT-apparaten: validatiefout voor besturingssysteembasislijn IoT-apparaten : upgrade van TLS-coderingssuite vereist IoT-apparaten - Poorten op apparaat openen IoT-apparaten : het permissieve firewallbeleid in een van de ketens is gevonden IoT-apparaten: een missieve firewallregel in de invoerketen is gevonden IoT-apparaten: er is een permissieve firewallregel in de uitvoerketen gevonden Diagnostische logboeken in IoT Hub moeten zijn ingeschakeld IoT-apparaten - Agent die onderbenutte berichten verzendt IoT-apparaten: standaard-IP-filterbeleid moet worden geweigerd IoT-apparaten - IP-filterregel groot IP-bereik IoT-apparaten: intervallen en grootte van agentberichten moeten worden aangepast IoT-apparaten - Identieke verificatiereferenties IoT-apparaten : gecontroleerd proces stopt met het verzenden van gebeurtenissen IoT-apparaten: de basislijnconfiguratie van het besturingssysteem (OS) moet worden opgelost |
Overstappen op het implementeren van best practices voor beveiliging. Wanneer een aanbeveling wordt verplaatst naar het beveiligingsbeheer voor aanbevolen beveiligingsprocedures implementeren, wat geen punten waard is, heeft de aanbeveling geen invloed meer op uw beveiligingsscore. |
Maart 2021
Updates in maart zijn onder andere:
- Azure Firewall-beheer geïntegreerd in Security Center
- Evaluatie van SQL-beveiligingsproblemen bevat nu de ervaring 'Regel uitschakelen' (preview)
- Azure Monitor-werkmappen geïntegreerd in Security Center en drie sjablonen
- Dashboard naleving van regelgeving bevat nu Azure Audit-rapporten (preview)
- Aanbevelingsgegevens kunnen worden weergegeven in Azure Resource Graph met Verkennen in ARG
- Updates voor het beleid voor het implementeren van werkstroomautomatisering
- Twee verouderde aanbevelingen schrijven geen gegevens meer rechtstreeks naar het Azure-activiteitenlogboek
- Verbeteringen Aanbevelingen pagina
Azure Firewall-beheer geïntegreerd in Security Center
Wanneer u Azure Security Center opent, wordt als eerste de overzichtspagina weergegeven.
Dit interactieve dashboard biedt een uniforme weergave van de beveiligingspostuur van uw hybride cloudworkloads. Bovendien worden er naast andere informatie beveiligingswaarschuwingen en informatie over de dekking weergegeven.
Als onderdeel van het helpen bekijken van uw beveiligingsstatus vanuit een centrale ervaring, hebben we Azure Firewall Manager geïntegreerd in dit dashboard. U kunt nu de firewalldekkingsstatus controleren in alle netwerken en azure Firewall-beleid centraal beheren vanaf Security Center.
Meer informatie over dit dashboard vindt u op de overzichtspagina van Azure Security Center.
Evaluatie van SQL-beveiligingsproblemen bevat nu de ervaring 'Regel uitschakelen' (preview)
Security Center bevat een ingebouwde scanner voor beveiligingsproblemen om potentiële beveiligingsproblemen te detecteren, bij te houden en op te lossen. De resultaten van uw evaluatiescans bieden een overzicht van de beveiligingsstatus van uw SQL-machines en details van eventuele beveiligingsresultaten.
Als u een organisatorische behoefte hebt om een resultaat te negeren in plaats van dit te herstellen, kunt u het eventueel uitschakelen. Uitgeschakelde resultaten hebben geen invloed op uw beveiligingsscore en genereren geen ongewenste ruis.
Meer informatie vindt u in Specifieke bevindingen uitschakelen.
Azure Monitor-werkmappen geïntegreerd in Security Center en drie sjablonen
Als onderdeel van Ignite Spring 2021 hebben we een geïntegreerde Azure Monitor Workbooks-ervaring aangekondigd in Security Center.
U kunt de nieuwe integratie gebruiken om de standaardsjablonen uit de galerie van Security Center te gebruiken. Met behulp van werkmapsjablonen kunt u dynamische en visuele rapporten openen en bouwen om het beveiligingspostuur van uw organisatie bij te houden. Daarnaast kunt u nieuwe werkmappen maken op basis van Security Center-gegevens of andere ondersteunde gegevenstypen en snel communitywerkmappen implementeren vanuit de GitHub-community van Security Center.
Er zijn drie sjablonenrapporten beschikbaar:
- Beveiligingsscore in de loop van de tijd : de scores en wijzigingen van uw abonnementen bijhouden in aanbevelingen voor uw resources
- Systeemupdates : ontbrekende systeemupdates weergeven op resources, besturingssysteem, ernst en meer
- Resultaten van evaluatie van beveiligingsproblemen - Bekijk de bevindingen van beveiligingsscans van uw Azure-resources
Meer informatie over het gebruik van deze rapporten of het bouwen van uw eigen rapporten in Uitgebreide, interactieve rapporten van Security Center-gegevens.
Dashboard naleving van regelgeving bevat nu Azure Audit-rapporten (preview)
Via de werkbalk van het dashboard voor naleving van regelgeving kunt u nu Azure- en Dynamics-certificeringsrapporten downloaden.
U kunt het tabblad selecteren voor de relevante rapportentypen (PCI, SOC, ISO en andere) en filters gebruiken om de specifieke rapporten te vinden die u nodig hebt.
Meer informatie over het beheren van de standaarden in uw dashboard voor naleving van regelgeving.
Aanbevelingsgegevens kunnen worden weergegeven in Azure Resource Graph met Verkennen in ARG
De pagina's met aanbevelingsgegevens bevatten nu de werkbalkknop Verkennen in ARG. Gebruik deze knop om een Azure Resource Graph-query te openen en de gegevens van de aanbeveling te verkennen, exporteren en delen.
Azure Resource Graph (ARG) biedt directe toegang tot resourcegegevens in uw cloudomgevingen met robuuste filter-, groeperings- en sorteermogelijkheden. Het is een snelle en efficiënte manier om programmatisch of vanuit De Azure-portal query's uit te voeren op informatie over Azure-abonnementen.
Meer informatie over Azure Resource Graph (ARG)
Updates voor het beleid voor het implementeren van werkstroomautomatisering
Het automatiseren van de processen voor bewaking en reageren op incidenten van uw organisatie kan de tijd die nodig is om beveiligingsincidenten te onderzoeken en te verhelpen aanzienlijk verbeteren.
We bieden drie Azure Policy DeployIfNotExist-beleidsregels waarmee werkstroomautomatiseringsprocedures worden gemaakt en geconfigureerd, zodat u uw automatiseringen in uw organisatie kunt implementeren:
| Goal | Beleid | Beleids-id |
|---|---|---|
| Werkstroomautomatisering voor beveiligingswaarschuwingen | Werkstroomautomatisering implementeren voor Azure Security Center-waarschuwingen | f1525828-9a90-4fcf-be48-268cdd02361e |
| Werkstroomautomatisering voor beveiligingsaanbevelingen | Werkstroomautomatisering implementeren voor Azure Security Center-aanbevelingen | 73d6ab6c-2475-4850-afd6-43795f3492ef |
| Werkstroomautomatisering voor wijzigingen in naleving van regelgeving | Werkstroomautomatisering implementeren voor naleving van regelgeving in Azure Security Center | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
Er zijn twee updates voor de functies van dit beleid:
- Wanneer ze worden toegewezen, blijven ze ingeschakeld door afdwinging.
- U kunt deze beleidsregels nu aanpassen en alle parameters bijwerken, zelfs nadat ze al zijn geïmplementeerd. U kunt bijvoorbeeld een evaluatiesleutel toevoegen of bewerken.
Aan de slag met sjablonen voor werkstroomautomatisering.
Meer informatie over het automatiseren van reacties op Security Center-triggers.
Twee verouderde aanbevelingen schrijven geen gegevens meer rechtstreeks naar het Azure-activiteitenlogboek
Security Center geeft de gegevens door aan Azure Advisor, die op zijn beurt naar het Azure-activiteitenlogboek schrijft.
Voor twee aanbevelingen worden de gegevens tegelijkertijd rechtstreeks naar het Azure-activiteitenlogboek geschreven. Met deze wijziging stopt Security Center met het schrijven van gegevens voor deze verouderde beveiligingsaanaanvelingsaankopen rechtstreeks naar activiteitenlogboek. In plaats daarvan exporteren we de gegevens naar Azure Advisor, net als voor alle andere aanbevelingen.
De twee verouderde aanbevelingen zijn:
- Statusproblemen met eindpuntbescherming moeten worden opgelost voor uw machines
- Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld
Als u toegang hebt tot gegevens voor deze twee aanbevelingen in de categorie Aanbeveling van het type TaskDiscovery van het activiteitenlogboek, is dit niet meer beschikbaar.
Verbeteringen Aanbevelingen pagina
We hebben een verbeterde versie van de lijst met aanbevelingen uitgebracht om in één oogopslag meer informatie weer te geven.
Nu ziet u op de pagina het volgende:
- De maximumscore en huidige score voor elk beveiligingsbeheer.
- Pictogrammen die tags vervangen, zoals Fix en Preview.
- Een nieuwe kolom met het beleidsinitiatief met betrekking tot elke aanbeveling, zichtbaar wanneer Groeperen op besturingselementen is uitgeschakeld.
Meer informatie in Beveiligingsaanbevelingen in Azure Security Center.
Februari 2021
Updates in februari zijn onder andere:
- De pagina Nieuwe beveiligingswaarschuwingen in Azure Portal die is uitgebracht voor algemene beschikbaarheid (GA)
- Aanbevelingen voor Kubernetes-workloadbeveiliging die zijn uitgebracht voor algemene beschikbaarheid (GA)
- Microsoft Defender voor Eindpunt integratie met Azure Defender ondersteunt nu Windows Server 2019 en Windows 10 op Windows Virtual Desktop (in preview)
- Directe koppeling naar beleid vanaf de pagina met aanbevelingsdetails
- Aanbeveling voor SQL-gegevensclassificatie heeft geen invloed meer op uw beveiligingsscore
- Werkstroomautomatiseringen kunnen worden geactiveerd door wijzigingen in nalevingsevaluaties voor regelgeving (in preview)
- Verbeteringen op de pagina Assetinventaris
De pagina Nieuwe beveiligingswaarschuwingen in Azure Portal die is uitgebracht voor algemene beschikbaarheid (GA)
De pagina beveiligingswaarschuwingen van Azure Security Center is opnieuw ontworpen om het volgende te bieden:
- Verbeterde triage-ervaring voor waarschuwingen: om de vermoeidheid van waarschuwingen te verminderen en u te richten op de meest relevante bedreigingen, bevat de lijst aanpasbare filters en groeperingsopties.
- Meer informatie in de lijst met waarschuwingen, zoals MITRE ATT&ACK-tactieken.
- Knop voor het maken van voorbeeldwaarschuwingen : om de mogelijkheden van Azure Defender te evalueren en uw waarschuwingen te testen. configuratie (voor SIEM-integratie, e-mailmeldingen en werkstroomautomatiseringen), kunt u voorbeeldwaarschuwingen maken van alle Azure Defender-abonnementen.
- Afstemming op de incidentervaring van Azure Sentinel: voor klanten die beide producten gebruiken, is het nu een eenvoudigere ervaring en is het eenvoudig om er een te leren.
- Betere prestaties voor grote lijsten met waarschuwingen.
- Toetsenbordnavigatie via de lijst met waarschuwingen.
- Waarschuwingen van Azure Resource Graph: u kunt query's uitvoeren op waarschuwingen in Azure Resource Graph, de Kusto-achtige API voor al uw resources. Dit is ook handig als u uw eigen waarschuwingendashboards bouwt. Meer informatie over Azure Resource Graph.
- Voorbeeldwaarschuwingenfunctie maken: zie Voorbeeldwaarschuwingen van Azure Defender genereren als u voorbeeldwaarschuwingen wilt maken op basis van de nieuwe waarschuwingen.
Aanbevelingen voor Kubernetes-workloadbeveiliging die zijn uitgebracht voor algemene beschikbaarheid (GA)
We kondigen de algemene beschikbaarheid (GA) van de set aanbevelingen voor Kubernetes-workloadbeveiligingen aan.
Om ervoor te zorgen dat Kubernetes-workloads standaard beveiligd zijn, heeft Security Center aanbevelingen voor beveiliging op Kubernetes-niveau toegevoegd, waaronder afdwingingsopties met Kubernetes-toegangsbeheer.
Wanneer Azure Policy voor Kubernetes is geïnstalleerd op uw AKS-cluster (Azure Kubernetes Service), wordt elke aanvraag naar de Kubernetes-API-server gecontroleerd op basis van de vooraf gedefinieerde set aanbevolen procedures ( weergegeven als 13 beveiligingsaanbevelingen) voordat deze wordt bewaard in het cluster. Vervolgens kunt u instellingen configureren om de aanbevolen procedures af te dwingen en ze te verplichten voor toekomstige workloads.
U kunt er bijvoorbeeld voor zorgen dat containers met machtigingen niet moeten worden gemaakt, en toekomstige aanvragen hiervoor worden dan geblokkeerd.
Meer informatie vindt u in Aanbevolen procedures voor workloadbeveiliging met behulp van Kubernetes Admission Control.
Notitie
Hoewel de aanbevelingen in preview waren, hebben ze geen AKS-clusterresource in orde gemaakt en zijn ze niet opgenomen in de berekeningen van uw beveiligingsscore. met deze algemene beschikbaarheidsaankondiging worden deze opgenomen in de scoreberekening. Als u ze nog niet hebt hersteld, kan dit leiden tot een lichte impact op uw beveiligingsscore. Herstel ze waar mogelijk, zoals beschreven in Aanbevelingen herstellen in Azure Security Center.
Microsoft Defender voor Eindpunt integratie met Azure Defender ondersteunt nu Windows Server 2019 en Windows 10 op Windows Virtual Desktop (in preview)
Microsoft Defender voor Eindpunt is een holistische cloudoplossing voor eindpuntbeveiliging. Het biedt risicogebaseerd beveiligingsbeheer en -evaluatie, evenals eindpuntdetectie en -respons (EDR). Zie Uw eindpunten beveiligen met de geïntegreerde EDR-oplossing van Security Center: Microsoft Defender voor Eindpunt voor een volledige lijst met de voordelen van het gebruik van Defender voor Eindpunt in combinatie met Azure Security Center.
Wanneer u Azure Defender voor Servers met Windows Server inschakelt, wordt er een licentie voor Defender voor Eindpunt opgenomen in het plan. Als u Azure Defender voor Servers al hebt ingeschakeld en u Windows Server 2019-servers in uw abonnement hebt, ontvangen ze automatisch Defender voor Eindpunt met deze update. Er is geen handmatige actie vereist.
De ondersteuning is nu uitgebreid met Windows Server 2019 en Windows 10 op Windows Virtual Desktop.
Notitie
Als u Defender voor Eindpunt inschakelt op een Windows Server 2019-server, controleert u of deze voldoet aan de vereisten die worden beschreven in De integratie van de Microsoft Defender voor Eindpunt inschakelen.
Directe koppeling naar beleid vanaf de pagina met aanbevelingsdetails
Wanneer u de details van een aanbeveling bekijkt, is het vaak handig om het onderliggende beleid te kunnen zien. Voor elke aanbeveling die wordt ondersteund door een beleid, is er een nieuwe koppeling op de pagina met aanbevelingsgegevens:
Gebruik deze koppeling om de beleidsdefinitie weer te geven en de evaluatielogica te controleren.
Als u de lijst met aanbevelingen in de naslaghandleiding voor beveiligingsaanveling bekijkt, ziet u ook koppelingen naar de pagina's met beleidsdefinities:
Aanbeveling voor SQL-gegevensclassificatie heeft geen invloed meer op uw beveiligingsscore
De aanbeveling Gevoelige gegevens in uw SQL-databases moeten worden geclassificeerd , heeft geen invloed meer op uw beveiligingsscore. Dit is de enige aanbeveling in het besturingselement Beveiliging van gegevensclassificatie toepassen, zodat het besturingselement nu een beveiligingsscorewaarde van 0 heeft.
Zie Beveiligingsbesturingselementen en hun aanbevelingen voor een volledige lijst met alle beveiligingscontroles in Security Center, samen met hun scores en een lijst met de aanbevelingen.
Werkstroomautomatiseringen kunnen worden geactiveerd door wijzigingen in nalevingsevaluaties voor regelgeving (in preview)
We hebben een derde gegevenstype toegevoegd aan de triggeropties voor uw werkstroomautomatiseringen: wijzigingen in nalevingsbeoordelingen voor regelgeving.
Meer informatie over het gebruik van de hulpprogramma's voor werkstroomautomatisering in Reacties op Security Center-triggers automatiseren.
Verbeteringen op de pagina Assetinventaris
De inventarispagina van Security Center is verbeterd:
Samenvattingen boven aan de pagina bevatten nu niet-geregistreerde abonnementen, met het aantal abonnementen waarvoor Security Center niet is ingeschakeld.
Filters zijn uitgebreid en uitgebreid om het volgende op te nemen:
Aantal- Elk filter geeft het aantal resources weer dat voldoet aan de criteria van elke categorie
Bevat het filter uitzonderingen (optioneel): beperkt de resultaten tot resources die geen uitzonderingen hebben. Dit filter wordt niet standaard weergegeven, maar is toegankelijk via de knop Filter toevoegen.
Meer informatie over het verkennen en beheren van uw resources met assetinventaris.
Januari 2021
Updates in januari zijn onder andere:
- Azure Security Benchmark is nu het standaard beleidsinitiatief voor Azure Beveiligingscentrum
- Evaluatie van beveiligingsproblemen voor on-premises en multicloudmachines wordt uitgebracht voor algemene beschikbaarheid (GA)
- Veiligheidsscore voor beheergroepen is nu beschikbaar als preview-versie
- Secure Score-API wordt uitgebracht voor algemene beschikbaarheid (GA)
- Zwevende DNS-beveiliging toegevoegd aan Azure Defender voor App Service
- Connectors met meerdere clouds worden uitgebracht voor algemene beschikbaarheid (GA)
- Volledige aanbevelingen uitsluiten van uw beveiligingsscore voor abonnementen en beheergroepen
- Gebruikers kunnen nu tenantbrede zichtbaarheid aanvragen bij hun globale beheerder
- Er zijn 35 preview-aanbevelingen toegevoegd om de dekking van Azure Security Benchmark te verhogen
- CSV-export van een gefilterde lijst met aanbevelingen
- Resources die 'Niet van toepassing' zijn, worden in Azure Policy-beoordelingen nu gerapporteerd als 'Compatibel'
- Wekelijkse momentopnamen van veiligheidsscores en nalevingsgegevens van de regelgeving exporteren met doorlopend exporteren (preview-versie)
Azure Security Benchmark is nu het standaard beleidsinitiatief voor Azure Beveiligingscentrum
Azure Security Benchmark is de door Microsoft ontworpen, Azure-specifieke set richtlijnen voor best practices voor beveiliging en naleving op basis van algemene nalevingsframeworks. Deze algemeen gerespecteerde benchmark bouwt voort op de controles van het Center for Internet Security (CIS) en het National Institute of Standards and Technology (NIST) met een focus op cloudgerichte beveiliging.
De afgelopen maanden is de lijst met ingebouwde beveiligingsaanbevelingen van Security Center aanzienlijk gegroeid om onze dekking van deze benchmark uit te breiden.
Vanuit deze release vormt de benchmark de basis voor de aanbevelingen van Security Center en volledig geïntegreerd als het standaardbeleidsinitiatief.
Alle Azure-services hebben een beveiligingsbasislijnpagina in hun documentatie. Deze basislijnen zijn gebaseerd op Azure Security Benchmark.
Als u het dashboard voor naleving van regelgeving van Security Center gebruikt, ziet u twee exemplaren van de benchmark tijdens een overgangsperiode:
Bestaande aanbevelingen worden niet beïnvloed en naarmate de benchmark groeit, worden wijzigingen automatisch doorgevoerd in Security Center.
Zie de volgende pagina's voor meer informatie:
- Meer informatie over Azure Security Benchmark
- Aanpassen van de set standaarden in uw dashboard voor naleving van regelgeving
Evaluatie van beveiligingsproblemen voor on-premises en multicloudmachines wordt uitgebracht voor algemene beschikbaarheid (GA)
In oktober hebben we een preview aangekondigd voor het scannen van servers met Azure Arc met de geïntegreerde scanner voor evaluatie van beveiligingsproblemen van Azure Defender for Servers (mogelijk gemaakt door Qualys).
Het wordt nu uitgebracht voor algemene beschikbaarheid (GA).
Wanneer u Azure Arc op uw niet-Azure-machines hebt ingeschakeld, kan de geïntegreerde scanner voor beveiligingsproblemen handmatig en op schaal worden geïmplementeerd.
Met deze update kunt u de kracht van Azure Defender voor Servers ontketenen om uw programma voor beveiligingsproblemen te consolideren voor al uw Azure- en niet-Azure-assets.
Belangrijkste functies:
- Bewaken van de inrichtingsstatus van de scanner voor de evaluatie van beveiligingsproblemen van Azure Arc-machines
- Inrichten van de geïntegreerde agent voor de evaluatie van beveiligingsproblemen op niet-beveiligde Azure Arc-machines onder Windows en Linux (handmatig en op schaal)
- Ontvangen en analyseren van gedetecteerde beveiligingsproblemen afkomstig van geïmplementeerde agents (handmatig en op schaal)
- Geïntegreerde ervaring voor Azure-VM's en Azure Arc-machines
Meer informatie over servers met Azure Arc.
Veiligheidsscore voor beheergroepen is nu beschikbaar als preview-versie
Op de pagina secure score worden nu de geaggregeerde beveiligde scores voor uw beheergroepen weergegeven, naast het abonnementsniveau. U kunt nu dus de lijst met beheergroepen in uw organisatie en de score voor elke beheergroep bekijken.
Meer informatie over beveiligingsscore en besturingselementen voor beveiliging in Azure Security Center.
Secure Score-API wordt uitgebracht voor algemene beschikbaarheid (GA)
U hebt nu toegang tot uw score via de secure score-API. De API-methoden bieden de flexibiliteit om query's uit te voeren op de gegevens en uw eigen rapportagemechanisme te bouwen van uw beveiligingsscores in de loop van de tijd. Voorbeeld:
- de SECURE Scores-API gebruiken om de score voor een specifiek abonnement op te halen
- de API voor Secure Score Controls gebruiken om de beveiligingsbesturingselementen en de huidige score van uw abonnementen weer te geven
Meer informatie over externe hulpprogramma's die mogelijk zijn gemaakt met de API voor secure score in het gebied voor beveiligingsscores van onze GitHub-community.
Meer informatie over beveiligingsscore en besturingselementen voor beveiliging in Azure Security Center.
Zwevende DNS-beveiliging toegevoegd aan Azure Defender voor App Service
Overnames van subdomeinen zijn een veelvoorkomende bedreiging met hoge ernst voor organisaties. Een overname van subdomeinen kan optreden wanneer u een DNS-record hebt die verwijst naar een niet-ingerichte website. Dergelijke DNS-records worden ook wel 'zwevende DNS-vermeldingen' genoemd. Met name CNAME-records zijn kwetsbaar voor deze bedreiging.
Met overnames van subdomeinen kunnen bedreigingsactoren verkeer dat is bedoeld voor het domein van een organisatie, omleiden naar een site die schadelijke activiteiten uitvoert.
Azure Defender voor App Service detecteert nu zwevende DNS-vermeldingen wanneer een App Service-website buiten gebruik wordt gesteld. Dit is het moment waarop de DNS-vermelding verwijst naar een resource die niet bestaat en uw website kwetsbaar is voor een overname van subdomeinen. Deze beveiligingen zijn beschikbaar, ongeacht of uw domeinen worden beheerd met Azure DNS of een externe domeinregistrar en van toepassing zijn op zowel App Service in Windows als App Service op Linux.
Meer informatie:
- Referentietabel voor App Service-waarschuwingen: bevat twee nieuwe Azure Defender-waarschuwingen die worden geactiveerd wanneer een zwevende DNS-vermelding wordt gedetecteerd
- Zwevende DNS-vermeldingen voorkomen en overname van subdomeinen voorkomen - Meer informatie over de bedreiging van overname van subdomeinen en het zwevende DNS-aspect
- Inleiding tot Azure Defender voor App Service
Connectors met meerdere clouds worden uitgebracht voor algemene beschikbaarheid (GA)
Veel workloads in de cloud beslaan meerdere cloudplatforms, dus moeten cloudbeveiligingsservices hetzelfde doen.
Azure Security Center biedt bescherming voor workloads in Azure, Amazon Web Services (AWS) en Google Cloud Platform (GCP).
Verbinding maken uw AWS- of GCP-projecten integreert hun systeemeigen beveiligingshulpprogramma's zoals AWS Security Hub en GCP Security Command Center in Azure Security Center.
Deze mogelijkheid betekent dat Security Center zichtbaarheid en beveiliging biedt in alle belangrijke cloudomgevingen. Enkele voordelen van deze integratie:
- Automatische inrichting van agents - Security Center maakt gebruik van Azure Arc om de Log Analytics-agent te implementeren in uw AWS-exemplaren
- Beleidsbeheer
- Beheer van beveiligingsproblemen
- Geïntegreerde eindpuntdetectie en -respons (EDR)
- Detectie van onjuiste beveiligingsconfiguraties
- Eén weergave met beveiligingsaanaanveling van alle cloudproviders
- Al uw resources opnemen in de berekeningen van beveiligingsscores van Security Center
- Evaluaties van naleving van regelgeving van uw AWS- en GCP-resources
Selecteer in Defender voor Cloud menu Multicloud-connectors en u ziet de opties voor het maken van nieuwe connectors:
Meer informatie vindt u in:
- Uw AWS-accounts verbinden met Azure Security Center
- Verbinding maken uw GCP-projecten naar Azure Security Center
Volledige aanbevelingen uitsluiten van uw beveiligingsscore voor abonnementen en beheergroepen
De uitzonderingsmogelijkheid wordt uitgebreid met volledige aanbevelingen. Biedt verdere opties om de beveiligingsaanbeveling af te stemmen die Security Center doet voor uw abonnementen, beheergroep of resources.
Af en toe wordt een resource vermeld als beschadigd wanneer u weet dat het probleem wordt opgelost door een hulpprogramma van derden dat door Security Center niet is gedetecteerd. Of een aanbeveling wordt weergegeven in een bereik waar u denkt dat het niet hoort. De aanbeveling is mogelijk ongepast voor een specifiek abonnement. Of misschien heeft uw organisatie besloten de risico's met betrekking tot de specifieke resource of aanbeveling te accepteren.
Met deze preview-functie kunt u nu een uitzondering maken voor een aanbeveling voor het volgende:
Sluit een resource uit om ervoor te zorgen dat deze niet wordt vermeld met de beschadigde resources in de toekomst en heeft geen invloed op uw beveiligingsscore. De resource wordt weergegeven als niet van toepassing en de reden wordt weergegeven als 'uitgesloten' met de specifieke reden die u selecteert.
Sluit een abonnement of beheergroep uit om ervoor te zorgen dat de aanbeveling geen invloed heeft op uw beveiligingsscore en in de toekomst niet meer wordt weergegeven voor het abonnement of de beheergroep. Dit heeft betrekking op bestaande resources en alle resources die u in de toekomst maakt. De aanbeveling wordt gemarkeerd met de specifieke reden die u selecteert voor het bereik dat u hebt geselecteerd.
Meer informatie over het uitsluiten van resources en aanbevelingen van uw beveiligingsscore.
Gebruikers kunnen nu tenantbrede zichtbaarheid aanvragen bij hun globale beheerder
Als een gebruiker geen machtigingen heeft om Security Center-gegevens te zien, ziet deze nu een koppeling om machtigingen aan te vragen van de globale beheerder van de organisatie. De aanvraag bevat de gewenste rol en de reden waarom dit nodig is.
Meer informatie over machtigingen voor de hele tenant aanvragen wanneer uw machtigingen onvoldoende zijn.
Er zijn 35 preview-aanbevelingen toegevoegd om de dekking van Azure Security Benchmark te verhogen
Azure Security Benchmark is het standaardbeleidsinitiatief in Azure Security Center.
Om de dekking van deze benchmark te verhogen, zijn de volgende 35 preview-aanbevelingen toegevoegd aan Security Center.
Tip
Preview-aanbevelingen zorgen er niet voor dat een resource als beschadigd wordt weergegeven en ze worden niet opgenomen in de berekeningen van uw beveiligde score. Herstel ze waar mogelijk, zodat zij wanneer de preview-periode afloopt zullen bijdragen aan uw score. Zie Aanbevelingen oplossen in Azure Security Center voor meer informatie over hoe u kunt reageren op deze aanbevelingen.
| Beveiligingsbeheer | Nieuwe aanbevelingen |
|---|---|
| Versleuteling at-rest inschakelen | - Voor Azure Cosmos DB-accounts moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest - Azure Machine Learning-werkruimten moeten worden versleuteld met een door de klant beheerde sleutel (CMK) - BYOK-gegevensversleuteling moet zijn ingeschakeld voor MySQL-servers - BYOK-gegevensversleuteling moet zijn ingeschakeld voor PostgreSQL-servers - Azure AI-servicesaccounts moeten gegevensversleuteling inschakelen met een door de klant beheerde sleutel (CMK) - Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel (CMK) - Voor SQL Managed Instance moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest - Voor SQL Server moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest - Voor opslagaccounts moet een door de klant beheerde sleutel (CMK) worden gebruikt voor versleuteling |
| Best practices voor beveiliging implementeren | - Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten - Automatische inrichting van de Log Analytics-agent moet zijn ingeschakeld voor uw abonnement - E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld - E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld - Beveiliging tegen leegmaken moet zijn ingeschakeld voor sleutelkluizen - Voorlopig verwijderen moet zijn ingeschakeld voor sleutelkluizen |
| Toegang en machtigingen beheren | - Clientcertificaten (binnenkomende clientcertificaten) moeten voor functie-apps zijn ingeschakeld |
| Toepassingen beschermen tegen DDoS-aanvallen | - WAF (Web Application Firewall) moet zijn ingeschakeld voor Application Gateway - WaF (Web Application Firewall) moet zijn ingeschakeld voor de Azure Front Door Service-service |
| Onbevoegde netwerktoegang beperken | - De firewall moet zijn ingeschakeld in Key Vault - Er moet een privé-eindpunt worden geconfigureerd voor Key Vault - Voor App Configuration moeten privékoppelingen worden gebruikt - Azure Cache voor Redis moet zich in een virtueel netwerk bevinden - Voor Azure Event Grid-domeinen moet Private Link worden gebruikt - Voor Azure Event Grid-onderwerpen moete Private Link worden gebruikt - Voor Azure Machine Learning-werkruimten moet Private Link worden gebruikt - Voor Azure SignalR Service moet Private Link worden gebruikt - Azure Spring Cloud moet netwerkinjectie gebruiken - Containerregisters mogen geen onbeperkte netwerktoegang toestaan - Voor containerregisters moet Private Link worden gebruikt - Openbare netwerktoegang moet worden uitgeschakeld voor MariaDB-servers - Openbare netwerktoegang moet worden uitgeschakeld voor MySQL-servers - Openbare netwerktoegang moet worden uitgeschakeld voor PostgreSQL-servers - Voor een opslagaccount moet een Private Link-verbinding worden gebruikt - Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken - Voor VM Image Builder-sjablonen moet Private Link worden gebruikt |
Gerelateerde links:
- Meer informatie over Azure Security Benchmark
- Meer informatie over Azure Database for MariaDB
- Meer informatie over Azure Database for MySQL
- Meer informatie over Azure Database for PostgreSQL
CSV-export van een gefilterde lijst met aanbevelingen
In november 2020 hebben we filters toegevoegd aan de aanbevelingspagina (Lijst met aanbevelingen bevat nu filters). In december hebben we die filters uitgebreid (De aanbevelingspagina bevat nieuwe filters voor omgeving, ernst en beschikbare reacties).
Met deze aankondiging veranderen we het gedrag van de knop Downloaden naar CSV, zodat de CSV-export alleen de aanbevelingen omvat die momenteel worden weergegeven in de gefilterde lijst.
In de onderstaande afbeelding ziet u bijvoorbeeld dat de lijst is gefilterd op twee aanbevelingen. Het gegenereerde CSV-bestand omvat de statusgegevens voor elke resource die door deze twee aanbevelingen wordt beïnvloed.
Meer informatie in Beveiligingsaanbevelingen in Azure Security Center.
Resources die 'Niet van toepassing' zijn, worden in Azure Policy-beoordelingen nu gerapporteerd als 'Compatibel'
Eerder werden resources die zijn geëvalueerd voor een aanbeveling en gevonden dat ze niet van toepassing waren, weergegeven in Azure Policy als 'Niet-compatibel'. Gebruikersacties kunnen hun status niet wijzigen in 'Compatibel'. Met deze wijziging worden ze gerapporteerd als 'Compatibel' voor een betere duidelijkheid.
Dit is alleen van invloed op Azure Policy, waar het aantal compatibele resources zal toenemen. Het is niet van invloed om uw beveiligingsscore in Azure Security Center.
Wekelijkse momentopnamen van veiligheidsscores en nalevingsgegevens van de regelgeving exporteren met doorlopend exporteren (preview-versie)
We hebben een nieuwe preview-functie toegevoegd aan de hulpprogramma's voor continue export voor het exporteren van wekelijkse momentopnamen van beveiligingsscore- en nalevingsgegevens voor regelgeving.
Wanneer u een continue export definieert, stelt u de exportfrequentie in:
- Streaming : evaluaties worden verzonden wanneer de status van een resource wordt bijgewerkt (als er geen updates plaatsvinden, worden er geen gegevens verzonden).
- Momentopnamen: een momentopname van de huidige status van alle nalevingsevaluaties voor regelgeving wordt elke week verzonden (dit is een preview-functie voor wekelijkse momentopnamen van beveiligde scores en nalevingsgegevens voor regelgeving).
Meer informatie over de volledige mogelijkheden van deze functie in het continu exporteren van Security Center-gegevens.
December 2020
Updates in december omvatten:
- Azure Defender voor SQL-servers op computers is algemeen beschikbaar
- Azure Defender voor SQL-ondersteuning voor een toegewezen SQL-pool in Azure Synapse Analytics is algemeen beschikbaar
- Globale beheerders kunnen nu machtigingen op tenantniveau aan zichzelf verlenen
- Twee nieuwe Azure Defender-abonnementen: Azure Defender voor DNS en Azure Defender voor Resource Manager (in preview)
- Pagina Nieuwe beveiligingswaarschuwingen in Azure Portal (preview)
- Revitalized Security Center-ervaring in Azure SQL Database & SQL Managed Instance
- Tools en filters voor inventarisatie van activa bijgewerkt
- Aanbeveling over web-apps die SSL-certificaten aanvragen die geen deel meer uitmaken van beveiligde score
- De aanbevelingspagina bevat nieuwe filters voor omgeving, ernst en beschikbare reacties
- Continue export haalt nieuwe gegevenstypen en verbeterde deployifnotexist-beleidsregels op
Azure Defender voor SQL-servers op computers is algemeen beschikbaar
Azure Security Center biedt twee Azure Defender-abonnementen voor SQL-servers:
- Azure Defender voor Azure SQL-databaseservers: hiermee beveiligt u uw systeemeigen SQL-servers in Azure
- Azure Defender voor SQL-servers op computers: hiermee breidt u dezelfde beveiliging uit naar SQL-servers in hybride, multicloud- en on-premises omgevingen
Voortaan beveiligt Azure Defender voor SQL uw databases en de bijbehorende gegevens, waar ze zich ook bevinden.
Azure Defender voor SQL bevat functies voor de evaluatie van beveiligingsproblemen. Het hulpprogramma voor de evaluatie van beveiligingsproblemen biedt de volgende geavanceerde functies:
- Basislijnconfiguratie (nieuw!) om de resultaten van het scannen naar beveiligingsproblemen op intelligente wijze te verfijnen, zodat alleen de problemen overblijven die een daadwerkelijk beveiligingsrisico vormen. Nadat u de beveiligingsstatus van uw basislijn hebt ingesteld, worden door het hulpprogramma voor de evaluatie van beveiligingsproblemen alleen afwijkingen van die basislijnstatus gerapporteerd. Resultaten die overeenkomen met de basislijn, worden niet meer meegenomen in vervolgscans. Zo kunnen u en uw analisten zich volledig richten op de belangrijkste problemen.
- Gedetailleerde benchmarkgegevens om u meer inzicht te geven in de gedetecteerde problemen en in hoe deze gerelateerd zijn aan uw resources.
- Herstelscripts om u te helpen bij het oplossen van geïdentificeerde risico's.
Lees meer informatie over Azure Defender voor SQL.
Azure Defender voor SQL-ondersteuning voor een toegewezen SQL-pool in Azure Synapse Analytics is algemeen beschikbaar
Azure Synapse Analytics (voorheen SQL DW) is een analyseservice die datawarehousing voor ondernemingen en big data-analyses combineert. In Azure Synapse bieden toegewezen SQL-pools de functionaliteit voor datawarehousing voor ondernemingen. Meer informatie leest u in Wat is Azure Synapse Analytics (voorheen SQL DW)?.
Azure Defender voor SQL beveiligt uw toegewezen SQL-pools met:
- Geavanceerde bescherming tegen bedreigingen om bedreigingen en aanvallen te detecteren
- Functionaliteit voor de evaluatie van beveiligingsproblemen om onjuiste beveiligingsconfiguraties te identificeren en te herstellen
Azure Defender voor SQL-ondersteuning voor SQL-pools in Azure Synapse Analytics wordt automatisch toegevoegd aan de bundel Azure SQL-databases in Azure Security Center. Op de pagina met de Synapse-werkruimte in Azure Portal ziet u een nieuw tabblad Azure Defender voor SQL.
Lees meer informatie over Azure Defender voor SQL.
Globale beheerders kunnen nu machtigingen op tenantniveau aan zichzelf verlenen
Een gebruiker met de Azure Active Directory-rol Globale beheerder kan verantwoordelijkheden hebben voor de hele tenant, maar geen Azure-machtigingen om deze organisatiebrede informatie te bekijken in Azure Security Center.
Volg de instructies in Tenantbrede machtigingen toewijzen aan uzelf om machtigingen op tenantniveau toe te wijzen aan uzelf.
Twee nieuwe Azure Defender-abonnementen: Azure Defender voor DNS en Azure Defender voor Resource Manager (in preview)
We hebben twee nieuwe, cloudeigen beschermingsmogelijkheden tegen bedreigingen toegevoegd voor uw Azure-omgeving.
Deze nieuwe beschermingen verbeteren uw tolerantie tegen aanvullen van bedreigende actoren en vergroten het aantal Azure-resources dat wordt beschermd door Azure Defender.
Azure Defender voor Resource Manager - bewaakt automatisch alle resourcebeheerbewerkingen die in uw organisatie worden uitgevoerd. Zie voor meer informatie:
Azure Defender voor DNS - bewaakt continu alle DNS-query's van uw Azure-resources. Zie voor meer informatie:
Pagina Nieuwe beveiligingswaarschuwingen in Azure Portal (preview)
De pagina beveiligingswaarschuwingen van Azure Security Center is opnieuw ontworpen om het volgende te bieden:
- Verbeterde sorteerervaring voor waarschuwingen: hiermee wordt de alertheid op waarschuwingen verbeterd en de focus meer gericht op de meest relevante bedreigingen; de lijst bevat aanpasbare opties voor filters en groeperingen
- Meer informatie in de lijst met waarschuwingen, bijvoorbeeld MITRE ATT&ACK-tactieken
- Knop om voorbeeldwaarschuwingen te maken: voor het evalueren van de mogelijkheden van Azure Defender en het testen van de configuratie van uw waarschuwingen (voor SIEM-integratie, e-mailmeldingen en werkstroomautomatisering), kunt u voorbeeldwaarschuwingen maken in alle Azure Defender-abonnementen
- Overeenstemming met de incidentervaring van Azure Sentinel: klanten die beide producten gebruiken, kunnen deze nu eenvoudiger afwisselen en het ene leren op basis van het andere
- Betere prestaties voor lange lijsten met waarschuwingen
- Toetsenbordnavigatie via de lijst met waarschuwingen
- Waarschuwingen van Azure Resource Graph: u kunt query's uitvoeren op waarschuwingen in Azure Resource Graph, de Kusto-achtige API voor al uw resources. Dit is ook handig als u uw eigen waarschuwingendashboards bouwt. Meer informatie over Azure Resource Graph.
Als u toegang wilt krijgen tot de nieuwe ervaring, gebruikt u de koppeling Nu proberen in de banner boven aan de pagina met beveiligingswaarschuwingen.
Zie Azure Defender-voorbeeldwaarschuwingen genereren als u voorbeeldwaarschuwingen wilt maken vanuit het nieuwe waarschuwingenproces.
Revitalized Security Center-ervaring in Azure SQL Database & SQL Managed Instance
De Security Center-ervaring in SQL biedt toegang tot de volgende Security Center-functies en Azure Defender voor SQL-functies:
- Beveiligingsaanbevelingen: Security Center analyseert periodiek de beveiligingsstatus van alle Azure-resources om mogelijke beveiligingsproblemen op te sporen. Vervolgens worden aanbevelingen gedaan om deze beveiligingsproblemen op te lossen en de beveiligingspostuur van de organisatie te verbeteren.
- Beveiligingswaarschuwingen: een detectieservice die Azure SQL-activiteiten continu bewaakt als het gaat om bedreigingen (zoals SQL-injectie, brute-force-aanvallen en misbruik van bevoegdheden). Deze service activeert gedetailleerde en actiegerichte beveiligingswaarschuwingen in Security Center en biedt opties voor verder onderzoek met Azure Sentinel, de Azure-native SIEM-oplossing van Microsoft.
- Bevindingen: een service voor evaluatie van beveiligingsproblemen die continu Azure SQL-configuraties bewaakt en beveiligingsproblemen helpt op te lossen. Evaluatiescans bieden een overzicht van de Azure SQL-beveiligingsstatussen met gedetailleerde beveiligingsresultaten.
Tools en filters voor inventarisatie van activa bijgewerkt
De inventarispagina in Azure Security Center is vernieuwd met de volgende wijzigingen:
Hulplijnen en feedback toegevoegd aan de werkbalk. Hiermee opent u een deelvenster met koppelingen naar gerelateerde informatie en hulpprogramma's.
Het filter abonnementen is toegevoegd aan de standaardfilters die beschikbaar zijn voor uw resources.
Open query-koppeling om de huidige filteropties te openen als een Azure Resource Graph-query (voorheen 'Weergeven in Resource Graph Explorer' genoemd).
Operatoropties voor elke filter. U kunt nu kiezen uit meer logische operatoren dan '='. U kunt bijvoorbeeld alle resources zoeken met actieve aanbevelingen waarvan de titels de tekenreeks 'versleutelen' bevatten.
Voor meer informatie over voorraad, zie Uw resources verkennen en beheren met assetvoorraad.
Aanbeveling over web-apps die SSL-certificaten aanvragen die geen deel meer uitmaken van beveiligde score
De aanbeveling 'Web-apps moeten een SSL-certificaat aanvragen voor alle binnenkomende aanvragen' is verplaatst van het beveiligingsbeheer Toegang en machtigingen beheren (maximaal 4 ptn) in aanbevolen procedures voor beveiliging implementeren (wat geen punten waard is).
Door ervoor te zorgen dat een web-app een certificaat aanvraagt, is het zeker veiliger. Voor openbare web-apps is het echter irrelevant. Als u toegang tot uw site hebt via HTTP en niet HTTPS, ontvangt u geen clientcertificaat. Als voor uw toepassing clientcertificaten zijn vereist, moet u dus geen aanvragen voor uw toepassing via HTTP toestaan. Voor meer informatie raadpleegt u Wederzijdse TLS-verificatie voor Azure App Service configureren.
Met deze wijziging is de aanbeveling nu een aanbevolen best practice die geen invloed heeft op uw score.
Voor meer informatie over welke aanbevelingen zich in elk beveiligingsbeheer bevinden, raadpleegt u Beveiligingscontroles en de bijbehorende aanbevelingen.
De aanbevelingspagina bevat nieuwe filters voor omgeving, ernst en beschikbare reacties
Azure Security Center bewaakt alle verbonden bronnen en genereert beveiligingsaanbevelingen. Gebruik deze aanbevelingen om uw hybride cloudpostuur te versterken en naleving van de beleidsregels en standaarden bij te houden die relevant zijn voor uw organisatie, branche en land/regio.
Naarmate Security Center de dekking en functies blijft uitbreiden, neemt de lijst van beveiligingsaanbevelingen elke maand toe. Zie bijvoorbeeld 24 preview-aanbevelingen toegevoegd om de dekking van Azure Security Benchmark te vergroten.
Met de groeiende lijst moet u de aanbevelingen filteren om de aanbevelingen te vinden die het meest interessant zijn. In november hebben we filters toegevoegd aan de aanbevelingspagina (zie Lijst met aanbevelingen bevat nu filters).
De filters die deze maand zijn toegevoegd bieden opties om de lijst met aanbevelingen te verfijnen op basis van:
Omgeving: aanbevelingen weergeven voor uw AWS, GCP of Azure-resources (of een combinatie hiervan)
Ernst: aanbevelingen weergeven op basis van de ernstclassificatie die is ingesteld door Security Center
Reactieacties : aanbevelingen weergeven op basis van de beschikbaarheid van security Center-antwoordopties: Herstellen, Weigeren en Afdwingen
Tip
Het filter voor antwoordacties vervangt het filter Snelle oplossing beschikbaar (Ja/Nee).
Meer informatie over elk van deze antwoordopties:
Continue export haalt nieuwe gegevenstypen en verbeterde deployifnotexist-beleidsregels op
Met de hulpprogramma's van Azure Security Center voor continue export kunt u de aanbevelingen en waarschuwingen van Security Center exporteren voor gebruik met andere controle hulpprogramma's in uw omgeving.
Met continue export kunt u volledig aanpassen wat waarheen wordt geëxporteerd. Voor meer informatie, zie Security Center-gegevens continu exporteren.
Deze hulpprogramma's zijn verbeterd en uitgebreid op de volgende manieren:
Het deployifnotexist-beleid van continue export is verbeterd. Het beleid is nu:
Controleer of de configuratie is ingeschakeld. Als dat niet het geval is, wordt het beleid weergegeven als niet-compatibel en wordt er een compatibele resource gemaakt. Meer informatie over de opgegeven Azure Policy-sjablonen vindt u op het tabblad Implementeren op schaal met Azure Policy in Een continue export instellen.
Ondersteuning voor het exporteren van beveiligingsresultaten. Wanneer u de Azure Policy sjablonen gebruikt, kunt u uw continue export configureren om bevindingen op te stellen. Dit is relevant bij het exporteren van aanbevelingen met 'subaanbevelingen' (zoals bevindingen van scanners voor beveiligingsevaluatie) of specifieke systeemupdates voor de 'hoofdaanbeveling': "Systeemupdates moeten op uw computers worden geïnstalleerd".
Ondersteuning voor het exporteren van beveiligingsscoregegevens.
Gegevens over reglementaire nalevingsbeoordeling toegevoegd (in preview). U kunt nu continu updates exporteren naar nalevingsevaluaties voor regelgeving, inclusief voor aangepaste initiatieven, naar een Log Analytics-werkruimte of Event Hubs. Deze functie is niet beschikbaar in nationale clouds.
November 2020
Updates in november omvatten:
- Er zijn 29 preview-aanbevelingen toegevoegd om de dekking van Azure Security Benchmark te verhogen
- NIST SP 800 171 R2 is toegevoegd aan het nalevingsdashboard van de Security Center
- Er zijn filters opgenomen in de lijst met aanbevelingen
- Verbeterde en uitgebreide ervaring voor automatisch inrichten
- Beveiligingsscore is nu beschikbaar in continue export (preview)
- Aanbeveling 'Systeemupdates moeten worden geïnstalleerd op uw computers' bevat nu subaanbevelingen
- Op de pagina Beleidsbeheer in de Azure-portal wordt nu de status van standaardbeleidstoewijzingen weergegeven
Er zijn 29 preview-aanbevelingen toegevoegd om de dekking van Azure Security Benchmark te verhogen
Azure Security Benchmark is de door Microsoft geschreven, azure-specifieke set richtlijnen voor aanbevolen procedures voor beveiliging en naleving op basis van algemene nalevingsframeworks. Meer informatie over Azure Security-benchmark.
De volgende 29 preview-aanbevelingen zijn toegevoegd aan Security Center om de dekking van deze benchmark te verhogen.
Preview-aanbevelingen zorgen er niet voor dat een resource als beschadigd wordt weergegeven en ze worden niet opgenomen in de berekeningen van uw beveiligde score. Herstel ze waar mogelijk, zodat zij wanneer de preview-periode afloopt zullen bijdragen aan uw score. Zie Aanbevelingen oplossen in Azure Security Center voor meer informatie over hoe u kunt reageren op deze aanbevelingen.
| Beveiligingsbeheer | Nieuwe aanbevelingen |
|---|---|
| Actieve gegevens versleutelen | - SSL-verbinding afdwingen moet zijn ingeschakeld voor PostgreSQL-databaseservers - SSL-verbinding afdwingen moet zijn ingeschakeld voor MySQL-databaseservers - TLS moet zijn bijgewerkt naar de nieuwste versie van uw API-app - TLS moet zijn bijgewerkt naar de nieuwste versie van uw functie-app - TLS moet zijn bijgewerkt naar de nieuwste versie van uw web-app - FTPS moet zijn vereist in uw API-app - FTPS moet zijn vereist in uw functie-app - FTPS moet zijn vereist in uw web-app |
| Toegang en machtigingen beheren | - Web-apps moeten een SSL-certificaat aanvragen voor alle inkomende aanvragen - Er moet een beheerde identiteit worden gebruikt in uw API-app - Er moet een beheerde identiteit worden gebruikt in uw functie-app - Er moet een beheerde identiteit worden gebruikt in uw web-app |
| Onbevoegde netwerktoegang beperken | - Het privé-eindpunt moet zijn ingeschakeld voor PostgreSQL-servers - Het privé-eindpunt moet zijn ingeschakeld voor MariaDB-servers - Het privé-eindpunt moet zijn ingeschakeld voor MySQL-servers |
| Controle en logboekregistratie inschakelen | - Diagnostische logboeken in App Services moeten zijn ingeschakeld |
| Best practices voor beveiliging implementeren | - Azure Backup moet zijn ingeschakeld voor virtuele machines - Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDB - Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL - Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL - PHP moet zijn bijgewerkt naar de nieuwste versie van uw API-app - PHP moet zijn bijgewerkt naar de nieuwste versie van uw web-app - Java moet zijn bijgewerkt naar de nieuwste versie van uw API-app - Java moet zijn bijgewerkt naar de nieuwste versie van uw functie-app - Java moet zijn bijgewerkt naar de nieuwste versie van uw web-app - Python moet zijn bijgewerkt naar de nieuwste versie van uw API-app - Python moet zijn bijgewerkt naar de nieuwste versie van uw functie-app - Python moet zijn bijgewerkt naar de nieuwste versie van uw web-app - Retentie voor controle voor SQL-servers moet zijn ingesteld op minstens 90 dagen |
Gerelateerde links:
- Meer informatie over Azure Security Benchmark
- Meer informatie over Azure API-apps
- Meer informatie over Azure functie-apps
- Meer informatie over Azure web-apps
- Meer informatie over Azure Database for MariaDB
- Meer informatie over Azure Database for MySQL
- Meer informatie over Azure Database for PostgreSQL
NIST SP 800 171 R2 is toegevoegd aan het nalevingsdashboard van Security Center
De NIST SP 800-171 R2-standaard is nu beschikbaar als ingebouwd initiatief voor gebruik met het nalevingsdashboard voor Azure Security Center. De toewijzingen voor de controles worden beschreven in Details van het ingebouwde NIST SP 800-171 R2-nalevingsinitiatief.
Als u de standaard wilt toepassen op uw abonnementen en uw nalevingsstatus continu wilt bewaken, gebruikt u de instructies in Het aanpassen van de set standaarden in uw dashboard voor naleving van regelgeving.
Zie NIST SP 800-171 R2voor meer informatie over deze nalevingsstandaard.
Er zijn filters opgenomen in de lijst met aanbevelingen
U kunt de lijst met aanbevelingen voor de beveiliging nu filteren op verschillende criteria. In het volgende voorbeeld wordt de lijst met aanbevelingen gefilterd om aanbevelingen weer te geven die:
- zijn algemeen beschikbaar (niet in preview)
- Ze zijn bedoeld voor opslagaccounts
- Ze bieden ondersteuning voor snelle oplossingen voor herstel
Verbeterde en uitgebreide ervaring voor automatisch inrichten
De functie voor automatisch inrichten helpt de beheeroverhead te verminderen door de vereiste extensies te installeren op nieuwe en bestaande Azure-VM's, zodat ze kunnen profiteren van de beveiliging van Security Center.
Naarmate Azure Security Center is gegroeid, zijn er meer extensies ontwikkeld en kan Security Center een grotere lijst met resourcetypen bewaken. De hulpprogramma's voor automatisch inrichten zijn nu uitgebreid ter ondersteuning van andere extensies en resourcetypen door gebruik te maken van de mogelijkheden van Azure Policy.
U kunt nu de automatische inrichting van:
- Log Analytics-agent
- (Nieuw) Azure Policy voor Kubernetes
- (Nieuw) Microsoft Dependency Agent
Meer informatie over het automatisch inrichten van agents en extensies van Azure Security Center.
Beveiligingsscore is nu beschikbaar in continue export (preview)
Met continue export van de beveiligingsscore kunt u wijzigingen in uw score in realtime streamen naar Azure Event Hubs of een Log Analytics-werkruimte. Gebruik deze mogelijkheid om:
- uw beveiligingsscore na verloop van tijd bij te houden met dynamische rapporten
- gegevens van de beveiligingsscore exporteren naar Azure Sentinel (of een andere SIEM)
- deze gegevens integreren met andere processen die u mogelijk al gebruikt om de beveiligingsscore in uw organisatie te bewaken
Meer informatie over hoe u Security Center-gegevens continue exporteert.
Aanbeveling 'Systeemupdates moeten worden geïnstalleerd op uw computers' bevat nu subaanbevelingen
De systeemupdates moeten worden geïnstalleerd op uw computers aanbeveling is verbeterd. De nieuwe versie bevat subommendations voor elke ontbrekende update en brengt de volgende verbeteringen met zich mee:
Een opnieuw ontworpen ervaring op de Azure Security Center-pagina's van Azure Portal. De pagina met aanbevelingsinformatie voor Er moeten systeemupdates worden geïnstalleerd op uw computer bevat de lijst met resultaten zoals hieronder wordt weergegeven. Wanneer u één resultaat selecteert, wordt het deelvenster Details geopend met een koppeling naar de herstelgegevens en een lijst met betrokken resources.
Uitgebreide gegevens voor de aanbeveling van Azure Resource Graph (ARG). ARG is een Azure-service die is ontworpen voor efficiëntere resourceverkenning. U kunt ARG gebruiken om op schaal een query uit te voeren in een bepaalde set abonnementen, zodat u uw omgeving effectief kunt beheren.
Voor Azure Security Center kunt u gebruikmaken van ARG en de Kusto Query Language (KQL) om query's uit te voeren op een breed scala aan postuurgegevens.
Als u in ARG eerder deze query uitvoerde op deze aanbeveling, was de enige beschikbare informatie dat de aanbeveling moet worden herstel op een machine. De volgende query van de verbeterde versie retourneert elke ontbrekende systeemupdate, gegroepeerd op machine.
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27" | where properties.status.code == "Unhealthy"
Op de pagina Beleidsbeheer in de Azure-portal wordt nu de status van standaardbeleidstoewijzingen weergegeven
U kunt nu zien of het standaard Security Center-beleid is toegewezen aan uw abonnementen op de pagina Beveiligingsbeleid van het Security Center in de Azure-portal.
October 2020
De updates in oktober omvatten:
- Evaluatie van beveiligingsproblemen voor on-premises en multicloudmachines (preview)
- Azure Firewall-aanbeveling toegevoegd (preview)
- Aanbeveling Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services is bijgewerkt met een snelle oplossing
- Het dashboard Naleving van regelgeving bevat nu een optie voor het verwijderen van standaarden
- Tabel Microsoft.Security/securityStatuses is verwijderd uit Azure Resource Graph (ARG)
Evaluatie van beveiligingsproblemen voor on-premises en multicloudmachines (preview)
De geïntegreerde scanner voor evaluatie van beveiligingsproblemen van Azure Defender for Servers (mogelijk gemaakt door Qualys) scant nu servers met Azure Arc.
Wanneer u Azure Arc op uw niet-Azure-machines hebt ingeschakeld, kan de geïntegreerde scanner voor beveiligingsproblemen handmatig en op schaal worden geïmplementeerd.
Met deze update kunt u de kracht van Azure Defender voor Servers ontketenen om uw programma voor beveiligingsproblemen te consolideren voor al uw Azure- en niet-Azure-assets.
Belangrijkste functies:
- Bewaken van de inrichtingsstatus van de scanner voor de evaluatie van beveiligingsproblemen van Azure Arc-machines
- Inrichten van de geïntegreerde agent voor de evaluatie van beveiligingsproblemen op niet-beveiligde Azure Arc-machines onder Windows en Linux (handmatig en op schaal)
- Ontvangen en analyseren van gedetecteerde beveiligingsproblemen afkomstig van geïmplementeerde agents (handmatig en op schaal)
- Geïntegreerde ervaring voor Azure-VM's en Azure Arc-machines
Meer informatie over servers met Azure Arc.
Azure Firewall-aanbeveling toegevoegd (preview)
Er is een nieuwe aanbeveling toegevoegd om al uw virtuele netwerken te beveiligen met Azure Firewall.
De aanbeveling, Virtuele netwerken moeten worden beveiligd met Azure Firewall, adviseert u om de toegang tot uw virtuele netwerken te beperken en mogelijke dreigingen te voorkomen door gebruik te maken van Azure Firewall.
Meer informatie over Azure Firewall.
De aanbeveling Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services is bijgewerkt met een snelle oplossing
De aanbeveling Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services bevat nu een snelle oplossing.
Raadpleeg Aanbevelingen voor beveiliging: een naslaggids voor meer informatie over deze aanbeveling en alle andere aanbevelingen van Security Center.
Het dashboard Naleving van regelgeving bevat nu een optie voor het verwijderen van standaarden
Het Dashboard Naleving van regelgeving van Security Center biedt inzicht in uw nalevingsstatus op basis van in hoeverre u aan specifieke nalevingsmechanismen en -vereisten voldoet.
Het dashboard bevat een vaste set reglementaire standaarden. Als een van de opgegeven standaarden niet relevant is voor uw organisatie, is het nu een eenvoudig proces om ze uit de gebruikersinterface voor een abonnement te verwijderen. Standaarden kunnen alleen worden verwijderd op het niveau van het abonnement, niet in het bereik van de beheergroep.
Meer informatie in Een standaard verwijderen uit uw dashboard.
Tabel Microsoft.Security/securityStatuses is verwijderd uit Azure Resource Graph (ARG)
Azure Resource Graph is een service in Azure. Het is ontworpen voor een efficiënte resourceverkenning en biedt de mogelijkheid query's op schaal uit te voeren binnen een bepaalde groep abonnementen, zodat u uw omgeving effectief kunt beheren.
Voor Azure Security Center kunt u gebruikmaken van ARG en de Kusto Query Language (KQL) om query's uit te voeren op een breed scala aan postuurgegevens. Voorbeeld:
- De assetvoorraad maakt gebruik van ARG
- We hebben een voorbeeld van een ARG-query gedocumenteerd voor het identificeren van accounts zonder meervoudige verificatie (MFA) ingeschakeld
Binnen ARG zijn er tabellen met gegevens die u kunt gebruiken in uw query's.
Tip
In de ARG-documentatie vindt u een overzicht van alle beschikbare tabellen in de Azure Resource Graph-tabel en de resourcetypeverwijzing.
Uit deze update is de tabel Microsoft.Security/securityStatuses verwijderd. De securityStatuses-API is nog steeds beschikbaar.
De tabel Microsoft.Security/Assessments kan gebruikmaken van gegevensvervanging.
Het belangrijkste verschil tussen Microsoft.Security/securityStatuses en Microsoft.Security/Assessments is dat de eerste een aggregatie van evaluaties toont en de tweede één record voor elke evaluatie bevat.
Zo retourneert bijvoorbeeld Microsoft.Security/securityStatuses een resultaat met een matrix met twee policyAssessments:
{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
Terwijl Microsoft.Security/Assessments een record voor elke beleidsevaluatie als volgt bevat:
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}
Voorbeeld van het converteren van een bestaande ARG-query met behulp van securityStatuses om nu de tabel met evaluaties te kunnen gebruiken:
Query die verwijst naar SecurityStatuses:
SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails
Vervangingsquery voor de tabel met evaluaties:
securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData
Meer informatie vindt u via de volgende koppelingen:
September 2020
De updates in september zijn onder meer:
- Security Center krijgt een nieuwe look.
- Azure Defender uitgebracht
- Azure Defender voor Key Vault is algemeen verkrijgbaar
- Azure Defender voor opslagbeveiliging voor bestanden en ADLS Gen2 is algemeen beschikbaar
- Hulpprogramma's voor assetinventarisatie zijn nu algemeen beschikbaar
- Een specifiek gevonden beveiligingsprobleem voor scans van containerregisters en virtuele machines uitschakelen
- Een resource uitsluiten van een aanbeveling
- AWS- en GCP-connectors in Security Center bieden een multicloud-ervaring
- Bundel met aanbevelingen voor Kubernetes-workloadbeveiliging
- Resultaten van evaluatie van beveiligingsproblemen zijn nu beschikbaar in continue export
- Onjuiste beveiligingsconfiguraties voorkomen door aanbevelingen af te dwingen bij het maken van nieuwe resources
- Aanbevelingen voor netwerkbeveiligingsgroep verbeterd
- Aanbeveling AKS-preview 'Beveiligingsbeleid voor pods moet worden gedefinieerd voor Kubernetes Services' afgeschaft'
- E-mailmeldingen van Azure Security Center verbeterd
- Beveiligingsscore bevat geen preview-aanbevelingen
- Aanbevelingen bevatten nu een ernst-indicator en vernieuwingsinterval
Security Center krijgt een nieuw uiterlijk
We hebben een vernieuwde gebruikersinterface voor de portalpagina's van Security Center uitgebracht. De nieuwe pagina's bevatten een nieuwe overzichtspagina en dashboards voor veilige score, assetinventaris en Azure Defender.
De opnieuw ontworpen overzichtspagina heeft nu een tegel voor toegang tot de dashboards voor de beveiligingsscore, assetinventarisatie en Azure Defender. Het bevat ook een tegel met een koppeling naar het dashboard voor naleving van regelgeving.
Meer informatie over de overzichtspagina.
Azure Defender uitgebracht
Azure Defender is het Cloud Workload Protection Platform (CWPP) dat is geïntegreerd in Security Center voor geavanceerde, intelligente beveiliging van uw Azure- en hybride workloads. Het vervangt de standaardprijscategorie van Security Center.
Als u Azure Defender inschakelt in het gedeelte Prijzen en instellingen van Azure Security Center, worden de volgende Defender-abonnementen allemaal tegelijkertijd ingeschakeld en kunt u gebruikmaken van een totaaloplossing voor de bescherming van de berekenings-, gegevens- en servicelagen in uw omgeving:
- Azure Defender voor Servers
- Azure Defender voor App Service
- Azure Defender voor Storage
- Azure Defender voor SQL
- Azure Defender voor Key Vault
- Azure Defender voor Kubernetes
- Azure Defender voor containerregisters
Elk van deze abonnementen wordt afzonderlijk beschreven in de documentatie voor Security Center.
Met zijn speciale dashboard biedt Azure Defender beveiligingswaarschuwingen en geavanceerde bescherming tegen dreigingen voor virtuele machines, SQL databases, containers, webtoepassingen, uw netwerk en meer.
Meer informatie over Azure Defender
Azure Defender voor Key Vault is algemeen verkrijgbaar
Azure Key Vault is een cloudservice die versleutelingssleutels en geheimen, zoals certificaten, verbindingsreeksen en wachtwoorden, beveiligt.
Azure Defender voor Key Vault biedt voor Azure systeemeigen, geavanceerde beveiliging tegen bedreigingen voor Azure Key Vault, waarmee u een extra laag beveiligingsinformatie kunt leveren. Als uitbreiding biedt Azure Defender voor Key Vault consequent bescherming aan veel van de resources die afhankelijk zijn van uw Key Vault-accounts.
Het optionele abonnement is nu algemeen beschikbaar. Deze functie was in preview als 'Advanced Threat Protection voor Azure Key Vault'.
Daarnaast bevatten de Key Vault-pagina's in Azure Portal nu een speciale pagina Beveiliging voor aanbevelingen en waarschuwingen van Security Center.
Meer informatie vindt u in Azure Defender voor Key Vault.
Azure Defender voor opslagbeveiliging voor bestanden en ADLS Gen2 is algemeen beschikbaar
Azure Defender for Storage detecteert potentieel schadelijke activiteiten in uw Azure Storage-accounts. Uw gegevens kunnen worden beschermd, ongeacht of deze zijn opgeslagen als blobcontainers, bestandsshares of data lakes.
Ondersteuning voor Azure Files en Azure Data Lake Storage Gen2 is nu algemeen beschikbaar.
Vanaf 1 oktober 2020 gaan we kosten in rekening brengen voor het beveiligen van resources voor deze services.
Meer informatie vindt u in Azure Defender voor Storage.
Hulpprogramma's voor assetinventarisatie zijn nu algemeen beschikbaar
De pagina voor assetinventarisatie van Azure Security Center biedt één pagina voor het weergeven van het beveiligingspostuur van de resources die u hebt verbonden met Security Center.
Security Center analyseert periodiek de beveiligingsstatus van uw Azure-resources om mogelijke beveiligingsproblemen op te sporen. Vervolgens krijgt u aanbevelingen voor het oplossen van deze beveiligingsproblemen.
Wanneer een resource openstaande aanbevelingen heeft, worden deze weergegeven in de inventarisatie.
Voor meer informatie raadpleegt u Uw resources verkennen en beheren met assetvoorraad.
Een specifiek gevonden beveiligingsprobleem voor scans van containerregisters en virtuele machines uitschakelen
Azure Defender bevat scanners voor beveiligingsproblemen om installatiekopieën in uw Azure Container Registry en uw virtuele machines te scannen.
Als u een organisatorische behoefte hebt om een resultaat te negeren in plaats van dit te herstellen, kunt u het eventueel uitschakelen. Uitgeschakelde resultaten hebben geen invloed op uw beveiligingsscore en genereren geen ongewenste ruis.
Wanneer een resultaat overeenkomt met de criteria die u hebt gedefinieerd in de regels voor uitschakelen, wordt dit niet weergegeven in de lijst met resultaten.
Deze optie is beschikbaar op de pagina met aanbevelingsdetails voor:
- Beveiligingsproblemen met installatiekopieën in Azure Container Registry moeten worden hersteld
- Beveiligingsproblemen op uw virtuele machines moeten worden hersteld
Meer informatie vindt u in Specifieke resultaten voor uw containerinstallatiekopieën uitschakelen en Specifieke resultaten voor uw virtuele machines uitschakelen.
Een resource uitsluiten van een aanbeveling
In sommige gevallen wordt een resource vermeld als niet in orde met betrekking tot een specifieke aanbeveling (en waardoor uw beveiligingsscore lager wordt), zelfs als u denkt dat dit niet zo zou moeten zijn. Dit kan zijn opgelost door een proces dat niet wordt bijgehouden door Security Center. Of misschien heeft uw organisatie besloten het risico voor die specifieke resource te accepteren.
In dergelijke gevallen kunt u een uitzonderingsregel maken en ervoor zorgen dat de resource in de toekomst niet wordt vermeld als een resource die niet in orde is. Deze regels kunnen gedocumenteerde redenen bevatten, zoals hieronder wordt beschreven.
Meer informatie vindt u in Een resource uitsluiten van aanbevelingen en de beveiligingsscore.
AWS- en GCP-connectors in Security Center bieden een multicloud-ervaring
Veel workloads in de cloud beslaan meerdere cloudplatforms, dus moeten cloudbeveiligingsservices hetzelfde doen.
Azure Security Center biedt nu bescherming voor workloads in Azure, Amazon Web Services (AWS) en Google Cloud Platform (GCP).
Wanneer u AWS- en GCP-projecten onboardt in Security Center, worden AWS Security Hub, GCP Security Command en Azure Security Center geïntegreerd.
Meer informatie in Verbinding maken uw AWS-accounts naar Azure Security Center en Verbinding maken uw GCP-projecten naar Azure Security Center.
Bundel met aanbevelingen voor Kubernetes-workloadbeveiliging
Om ervoor te zorgen dat Kubernetes-workloads standaard veilig zijn, voegt Security Center aanbevelingen voor beveiliging op Kubernetes-niveau toe, met inbegrip van afdwingingsopties met Kubernetes Admission Control.
Wanneer u Azure Policy voor Kubernetes op uw AKS-cluster hebt geïnstalleerd, wordt elke aanvraag naar de Kubernetes-API-server gecontroleerd op basis van de vooraf gedefinieerde set aanbevolen procedures voordat deze naar het cluster wordt bewaard. Vervolgens kunt u instellingen configureren om de aanbevolen procedures af te dwingen en ze te verplichten voor toekomstige workloads.
U kunt er bijvoorbeeld voor zorgen dat containers met machtigingen niet moeten worden gemaakt, en toekomstige aanvragen hiervoor worden dan geblokkeerd.
Meer informatie vindt u in Aanbevolen procedures voor workloadbeveiliging met behulp van Kubernetes Admission Control.
Resultaten van evaluatie van beveiligingsproblemen zijn nu beschikbaar in continue export
Gebruik continue export om uw waarschuwingen en aanbevelingen te streamen naar Azure Event Hubs, Log Analytics-werkruimten of Azure Monitor. Daar kunt u deze gegevens integreren met SIEM's (zoals Azure Sentinel, Power BI, Azure Data Explorer en meer).
De hulpprogramma's voor evaluatie van beveiligingsproblemen van Security Center retourneren informatie over uw resources als aanbevelingen voor het uitvoeren van acties in een 'hoofdaanbeveling', zoals 'beveiligingsproblemen op uw virtuele machines, moeten worden hersteld'.
De beveiligingsresultaten zijn nu beschikbaar voor export door middel van continue export wanneer u aanbevelingen selecteert en de optie Beveiligingsresultaten insluiten in te schakelen.
Gerelateerde pagina's:
- De geïntegreerde Qualys-oplossing voor evaluatie van beveiligingsproblemen van Security Center voor virtuele Azure-machines
- De geïntegreerde oplossing van Security Center voor de evaluatie van beveiligingsproblemen met Azure Container Registry
- Continue export
Onjuiste beveiligingsconfiguraties voorkomen door aanbevelingen af te dwingen bij het maken van nieuwe resources
Onjuiste beveiligingsconfiguraties zijn een belangrijke oorzaak van beveiligingsincidenten. Security Center biedt nu de mogelijkheid om onjuiste configuratie van nieuwe resources met betrekking tot specifieke aanbevelingen te helpen voorkomen.
Deze functie kan u helpen uw workloads veilig te houden en uw beveiligingsscore stabiel te houden.
U kunt een beveiligde configuratie afdwingen, op basis van een specifieke aanbeveling, in twee modi:
Met behulp van de optie Weigeren van Azure Policy, kunt u het maken van resources die niet in orde zijn, stoppen
Met de optie Afdwingen kunt u profiteren van het effect DeployIfNotExist van Azure Policy en automatisch niet-compatibele resources herstellen bij het maken
Dit is beschikbaar voor geselecteerde beveiligingsaanbevelingen en is bovenaan de pagina met resourcedetails te vinden.
Meer informatie vindt u in Onjuiste configuraties voorkomen met de aanbevelingen voor afdwingen/weigeren.
Aanbevelingen voor netwerkbeveiligingsgroep verbeterd
De volgende beveiligingsaanbevelingen met betrekking tot netwerkbeveiligingsgroepen zijn verbeterd om enkele gevallen van fout-positieven te verminderen.
- Alle netwerkpoorten moeten worden beperkt voor de netwerkbeveiligingsgroep die is gekoppeld aan uw VM
- Beheerpoorten moeten gesloten zijn op uw virtuele machines
- Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen
- Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep
Aanbeveling AKS-preview 'Beveiligingsbeleid voor pods moet worden gedefinieerd voor Kubernetes Services' afgeschaft'
De preview-aanbeveling 'Beveiligingsbeleid voor pods moet worden gedefinieerd voor Kubernetes Services' wordt afgeschaft zoals beschreven in de documentatie van Azure Kubernetes Service.
De functie voor het beveiligingsbeleid voor pods (preview) is ingesteld voor afschaffing en is niet meer beschikbaar na 15 oktober 2020 ten gunste van Azure Policy voor AKS.
Nadat de functie voor beveiligingsbeleid voor pods (preview) is afgeschaft, moet u de functie op alle bestaande clusters uitschakelen met behulp van de afgeschafte functie om toekomstige clusterupgrades uit te voeren en de ondersteuning van Azure te kunnen blijven gebruiken.
E-mailmeldingen van Azure Security Center verbeterd
E-mailmeldingen met betrekking tot beveiligingswaarschuwingen zijn als volgt verbeterd:
- De mogelijkheid voor het verzenden van e-mailmeldingen over waarschuwingen voor alle ernstniveaus is toegevoegd
- De mogelijkheid om gebruikers op de hoogte te stellen van verschillende Azure-rollen in het abonnement is toegevoegd
- We informeren abonnementseigenaren standaard proactief over waarschuwingen met een hoge urgentie (die een hoge waarschijnlijkheid hebben een echte inbreuk te zijn)
- Het telefoonnummerveld is verwijderd van de configuratiepagina voor e-mailmeldingen
Meer informatie vindt u in E-mailmeldingen instellen voor beveiligingswaarschuwingen.
Beveiligingsscore bevat geen preview-aanbevelingen
Security Center controleert uw resources, abonnementen en organisatie doorlopend op beveiligingsproblemen. Vervolgens worden alle bevindingen tot één enkele score samengevoegd, zodat u in een oogopslag uw huidige beveiligingssituatie kunt zien: hoe hoger de score, hoe lager het geïdentificeerde risiconiveau is.
Als er nieuwe bedreigingen worden gedetecteerd, wordt nieuw beveiligingsadvies beschikbaar gesteld in Security Center via nieuwe aanbevelingen. Om te voorkomen dat uw beveiligingsscore plotseling verandert, en om een respijtperiode te bieden waarin u nieuwe aanbevelingen kunt verkennen voordat ze van invloed zijn op uw scores, worden de aanbevelingen die zijn gemarkeerd als Preview niet meer opgenomen in de berekeningen van uw beveiligingsscore. Ze moeten, waar mogelijk, nog steeds worden hersteld. Wanneer de preview-periode is afgelopen, worden ze dus meegerekend in uw score.
Daarnaast worden in Preview-aanbevelingen resources niet als 'Niet in orde' weergegeven.
Een voorbeeld van een preview-aanbeveling:
Meer informatie over de beveiligingsscore.
Aanbevelingen bevatten nu een ernst-indicator en vernieuwingsinterval
De detailpagina voor aanbevelingen bevat nu een indicator voor het vernieuwingsinterval (indien relevant) en een duidelijke weergave van de ernst van de aanbeveling.
Augustus 2020
De updates in augustus zijn onder meer:
- Inventarisatie van activa - krachtige nieuwe weergave van het beveiligingspostuur van uw assets
- Ondersteuning toegevoegd voor standaardinstellingen voor Azure Active Directory-beveiliging (voor meervoudige verificatie)
- Aanbeveling voor service-principals toegevoegd
- Evaluatie van beveiligingsproblemen op VM's - aanbevelingen en beleidsregels geconsolideerd
- Nieuw beveiligingsbeleid voor AKS toegevoegd aan ASC-standaardinitiatief: alleen voor gebruik door klanten van beperkte preview
Inventarisatie van activa - krachtige nieuwe weergave van het beveiligingspostuur van uw assets
Assetinventarisatie van Azure Security Center (momenteel in preview) biedt een manier om het beveiligingspostuur weer te geven van de resources die u hebt verbonden met Security Center.
Security Center analyseert periodiek de beveiligingsstatus van uw Azure-resources om mogelijke beveiligingsproblemen op te sporen. Vervolgens krijgt u aanbevelingen voor het oplossen van deze beveiligingsproblemen. Wanneer een resource openstaande aanbevelingen heeft, worden deze weergegeven in de inventarisatie.
U kunt de weergave en de filters gebruiken om uw beveiligingspostuur te verkennen en verdere acties uit te voeren op basis van uw bevindingen.
Meer informatie over assetinventarisatie.
Ondersteuning toegevoegd voor standaardinstellingen voor Azure Active Directory-beveiliging (voor meervoudige verificatie)
Security Center heeft volledige ondersteuning toegevoegd voor standaardinstellingen voor beveiliging, de gratis beveiliging van identiteiten van Microsoft.
Standaardwaarden voor beveiliging bieden vooraf geconfigureerde instellingen voor identiteitsbeveiliging om uw organisatie te beschermen tegen algemene identiteitsgerelateerde aanvallen. Standaardinstellingen voor beveiliging beschermen al meer dan 5 miljoen tenants in totaal; 50.000-tenants worden ook beveiligd door Security Center.
Security Center biedt nu een beveiligingsaanbeveling wanneer een Azure-abonnement wordt geïdentificeerd waarvoor geen standaardinstellingen voor beveiliging zijn ingeschakeld. Tot nu toe heeft Security Center aanbevolen meervoudige verificatie in te schakelen met behulp van voorwaardelijke toegang, die deel uitmaakt van de Premium-licentie van Azure Active Directory (AD). Klanten die gratis Azure AD gebruiken, raden we nu aan om de standaardinstellingen voor beveiliging in te schakelen.
Ons doel is om meer klanten te stimuleren om hun cloudomgevingen met meervoudige verificatie te beveiligen en een van de grootste risico's te beperken die ook het meest van invloed zijn op uw beveiligingsscore.
Meer informatie over standaardinstellingen voor beveiliging.
Aanbeveling voor service-principals toegevoegd
Er is een nieuwe aanbeveling toegevoegd om aan te bevelen dat Security Center-klanten die beheercertificaten gebruiken om hun abonnementen te beheren, overstappen op service-principals.
De aanbeveling, Gebruik service-principals om uw abonnementen te beschermen, geen beheercertificaten, adviseert u service-principals of Azure Resource Manager te gebruiken om uw abonnementen veiliger te beheren.
Meer informatie vindt u in Toepassings- en service-principal-objecten in Azure Active Directory.
Evaluatie van beveiligingsproblemen op VM's - aanbevelingen en beleidsregels geconsolideerd
Security Center inspecteert uw VM's om te detecteren of ze een oplossing voor de evaluatie van beveiligingsproblemen uitvoeren. Als er geen oplossing voor de evaluatie van beveiligingsproblemen wordt gevonden, biedt Security Center een aanbeveling om de implementatie te vereenvoudigen.
Als er beveiligingsproblemen worden gevonden, wordt in Security Center een aanbeveling gegeven waarin de resultaten worden beschreven die u zo nodig kunt onderzoeken en herstellen.
Om ervoor te zorgen dat alle gebruikers een consistente ervaring hebben, ongeacht het type scanner dat ze gebruiken, hebben we vier aanbevelingen geïntegreerd in de volgende twee:
| Uniforme aanbeveling | Wijzigingsbeschrijving |
|---|---|
| A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld) | Vervangt de volgende twee aanbevelingen: De ingebouwde oplossing voor evaluatie van beveiligingsproblemen inschakelen op virtuele machines (mogelijk gemaakt door Qualys (nu afgeschaft) (opgenomen in de standard-laag) De oplossing voor evaluatie van beveiligingsproblemen moet worden geïnstalleerd op uw virtuele machines (nu afgeschaft) (Standard- en gratis lagen) |
| Beveiligingsproblemen op uw virtuele machines moeten worden hersteld | Vervangt de volgende twee aanbevelingen: Beveiligingsproblemen herstellen die zijn gevonden op uw virtuele machines (mogelijk gemaakt door Qualys) (nu afgeschaft) Beveiligingsproblemen moeten worden opgelost door een oplossing voor evaluatie van beveiligingsproblemen (nu afgeschaft) |
Nu gebruikt u dezelfde aanbeveling om de extensie voor evaluatie van beveiligingsproblemen van Security Center of een privé gelicentieerde oplossing (BYOL) te implementeren van een partner zoals Qualys of Rapid 7.
Wanneer er beveiligingsproblemen worden gevonden en gerapporteerd aan Security Center, wordt u door één aanbeveling gewaarschuwd voor de bevindingen, ongeacht de oplossing voor de evaluatie van beveiligingsproblemen die deze heeft gesignaleerd.
Afhankelijkheden bijwerken
Als u scripts, query's of automatiseringen hebt die verwijzen naar de vorige aanbevelingen of beleidssleutels/-namen, gebruikt u de onderstaande tabellen om de verwijzingen bij te werken:
Vóór augustus 2020
| Aanbeveling | Bereik |
|---|---|
| De ingebouwde oplossing voor evaluatie van beveiligingsproblemen inschakelen op virtuele machines (mogelijk gemaakt door Qualys) Sleutel: 550e890b-e652-4d22-8274-60b3bdb24c63 |
Ingebouwd |
| Beveiligingsproblemen op uw virtuele machines herstellen (mogelijk gemaakt door Qualys) Sleutel: 1195afff-c881-495e-9bc5-1486211ae03f |
Ingebouwd |
| Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines moeten worden geïnstalleerd Sleutel: 01b1ed4c-b733-4fee-b145-f23236e70cf3 |
BYOL (Bring Your Own License) |
| Beveiligingsproblemen moeten worden opgelost met een oplossing voor evaluatie van beveiligingsproblemen Sleutel: 71992a2a-d168-42e0-b10e-6b45fa2ecddb |
BYOL (Bring Your Own License) |
| Beleid | Bereik |
|---|---|
| Evaluatie van beveiligingsproblemen moet zijn ingeschakeld op virtuele machines Beleids-id: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Ingebouwd |
| Beveiligingsproblemen moeten worden opgelost met een oplossing voor evaluatie van beveiligingsproblemen Beleids-id: 760a85ff-6162-42b3-8d70-698e268f648c |
BYOL (Bring Your Own License) |
Vanaf augustus 2020
| Aanbeveling | Bereik |
|---|---|
| A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld) Sleutel: ffff0522-1e88-47fc-8382-2a80ba848f5d |
Ingebouwd en BYOL |
| Beveiligingsproblemen op uw virtuele machines moeten worden hersteld Sleutel: 1195afff-c881-495e-9bc5-1486211ae03f |
Ingebouwd en BYOL |
| Beleid | Bereik |
|---|---|
| Evaluatie van beveiligingsproblemen moet zijn ingeschakeld op virtuele machines Beleids-id: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Ingebouwd en BYOL |
Nieuw beveiligingsbeleid voor AKS toegevoegd aan ASC-standaardinitiatief: alleen voor gebruik door klanten van beperkte preview
Om ervoor te zorgen dat Kubernetes-workloads standaard veilig zijn, voegt Security Center beleid en aanbevelingen voor beveiliging op Kubernetes-niveau toe, met inbegrip van afdwingingsopties met Kubernetes Admission Control.
De vroege fase van dit project bevat een beperkte preview en het toevoegen van nieuwe beleidsregels (standaard uitgeschakeld) aan het ASC-standaardinitiatief.
U kunt dit beleid veilig negeren en dit heeft geen invloed op uw omgeving. Als u ze wilt inschakelen, meldt u zich aan voor de preview via de privécommunity van Microsoft Cloud Security en selecteert u een van de volgende opties:
- Enkele preview-: alleen deelnemen aan deze beperkte preview. Vermeld 'ASC Continuous Scan' expliciet als de preview-versie waaraan u wilt deelnemen.
- Doorlopend programma: om deel te nemen aan deze en toekomstige beperkte previews. U moet een profiel- en privacyovereenkomst voltooien.
Juli 2020
De updates in juli zijn onder meer:
- Evaluatie van beveiligingsproblemen voor virtuele machines is nu beschikbaar voor installatiekopieën die zich niet in de marketplace bevinden
- Beveiliging tegen bedreigingen voor Azure Storage is uitgebreid tot Azure Files en Azure Data Lake Storage Gen2 (preview)
- Acht nieuwe aanbevelingen voor het inschakelen van beveiligingsfuncties voor bedreigingen
- Verbeteringen in de containerbeveiliging - sneller zoeken in het register en vernieuwde documentatie
- Adaptieve toepassingsregelaars bijgewerkt met een nieuwe aanbeveling en ondersteuning voor jokertekens in padregels
- Zes beleidsregels voor Advanced Data Security van SQL afgeschaft
De evaluatie van beveiligingsproblemen voor virtuele machines is nu beschikbaar voor niet-Marketplace-installatiekopieën
Toen u een oplossing voor evaluatie van beveiligingsproblemen hebt geïmplementeerd, heeft Security Center eerder een validatiecontrole uitgevoerd vóór de implementatie. De controle was om te bevestigen dat de virtuele doelmachine een Marketplace-SKU bevatte.
Vanaf deze update wordt de controle verwijderd en kunt u nu hulpprogramma's voor evaluatie van beveiligingsproblemen implementeren op 'aangepaste' Windows- en Linux-machines. Aangepaste installatiekopieën zijn bestanden die u hebt gewijzigd op basis van de standaardinstellingen voor Marketplace.
Hoewel u nu de geïntegreerde uitbreiding van de evaluatie van beveiligingsproblemen kunt implementeren (mogelijk gemaakt door Qualys) op veel meer computers, is ondersteuning alleen beschikbaar als u een besturingssysteem gebruikt dat wordt vermeld in De geïntegreerde scanner voor beveiligingsproblemen implementeren op virtuele machines van de Standaard-laag
Meer informatie over de geïntegreerde beveiligingsscanner voor virtuele machines (vereist Azure Defender).
Meer informatie over het gebruik van uw eigen privé gelicentieerde oplossing voor evaluatie van beveiligingsproblemen van Qualys of Rapid7 in het implementeren van een oplossing voor het scannen van beveiligingsproblemen van partners.
Beveiliging tegen bedreigingen voor Azure Storage is uitgebreid tot Azure Files en Azure Data Lake Storage Gen2 (preview)
Beveiliging tegen bedreigingen voor Azure Storage detecteert potentieel schadelijke activiteiten in uw Azure Storage-accounts. Security Center geeft waarschuwingen weer wanneer er wordt geprobeerd toegang te krijgen tot uw opslagaccounts.
Uw gegevens kunnen worden beschermd, ongeacht of deze zijn opgeslagen als blobcontainers, bestandsshares of data lakes.
Acht nieuwe aanbevelingen voor het inschakelen van beveiligingsfuncties voor bedreigingen
Er zijn acht nieuwe aanbevelingen toegevoegd om een eenvoudige manier te bieden om beveiligingsfuncties van Azure Security Center voor de volgende typen resources in te schakelen: virtuele machines, App Service-abonnementen, Azure SQL Database-servers, SQL-servers op computers, Azure Storage-accounts, Azure Kubernetes Service-clusters, Azure Container Registry-registers en Azure Key Vault-kluizen.
De nieuwe aanbevelingen zijn:
- Advanced Data Security moet zijn ingeschakeld voor Azure SQL Database-servers
- Advanced Data Security moet zijn ingeschakeld voor SQL-servers op computers
- Advanced Threat Protection moet zijn ingeschakeld voor Azure App Service-plannen
- Advanced Threat Protection moet zijn ingeschakeld voor Azure Container Registry-registers
- Advanced Threat Protection moet zijn ingeschakeld voor Azure Key Vault-kluizen
- Advanced Threat Protection moet zijn ingeschakeld voor Azure Kubernetes Service-clusters
- Advanced Threat Protection moet zijn ingeschakeld voor Azure Storage-accounts
- Advanced Thread Protection moet zijn ingeschakeld op virtuele machines
Deze nieuwe aanbevelingen maken deel uit van het beveiligingsbeheer Azure Defender inschakelen.
De aanbevelingen bevatten ook de mogelijkheid voor snelle oplossingen.
Belangrijk
Als u een van deze aanbevelingen herstelt, worden er kosten in rekening gebracht voor de beveiliging van de relevante resources. Deze kosten worden onmiddellijk van kracht als er gerelateerde resources zijn in het huidige abonnement. Of in de toekomst, als u ze op een later tijdstip toevoegt.
Als u bijvoorbeeld geen Azure Kubernetes Service-clusters in uw abonnement hebt en u de beveiliging tegen bedreigingen inschakelt, worden er geen kosten in rekening gebracht. Als u in de toekomst een cluster toevoegt aan dit abonnement, wordt dit automatisch beveiligd en worden de kosten op dat moment gestart.
Meer informatie hierover vindt u op de pagina met naslaginformatie over beveiligingsaanbevelingen.
Meer informatie over bescherming tegen bedreigingen in Azure Security Center.
Verbeteringen in de containerbeveiliging - sneller zoeken in het register en vernieuwde documentatie
Als onderdeel van de continue investeringen in het domein van containerbeveiliging zijn we blij een aanzienlijke prestatieverbetering in de dynamische scans van Security Center-containerinstallatiekopieën die zijn opgeslagen in Azure Container Registry te kunnen delen. Scans zijn nu doorgaans in ongeveer twee minuten voltooid. In sommige gevallen kunnen ze maximaal 15 minuten duren.
Ter verbetering van de duidelijkheid en richtlijnen met betrekking tot de beveiligingsmogelijkheden van containers van Azure Security Center, hebben we ook de pagina's met documentatie over containerbeveiliging vernieuwd.
Zie de volgende artikelen voor meer informatie over containerbeveiliging van Security Center:
- Overzicht van beveiligingsfuncties voor containers van Security Center
- Details van de integratie met Azure Container Registry
- Details van de integratie met Azure Kubernetes Service
- Uw registers scannen en uw Docker-hosts beveiligen
- Beveiligingswaarschuwingen van de functies voor beveiliging tegen bedreigingen voor Azure Kubernetes Service clusters
- Beveiligingsaanbevelingen voor containers
Adaptieve toepassingsregelaars bijgewerkt met een nieuwe aanbeveling en ondersteuning voor jokertekens in padregels
De functie voor adaptieve toepassingsregelaars heeft twee belangrijke updates ontvangen:
Een nieuwe aanbeveling duidt mogelijk legitiem gedrag aan dat nog niet is toegestaan. De nieuwe aanbeveling, De Allowlist-regels in uw beleid voor adaptief toepassingsbeheer moeten worden bijgewerkt, vraagt u om nieuwe regels aan het bestaande beleid toe te voegen om het aantal fout-positieven in adaptieve toepassingsregelaars te verminderen.
Padregels ondersteunen nu jokertekens. Vanaf deze update kunt u regels voor toegestane paden configureren met behulp van jokertekens. Er zijn twee ondersteunde scenario's:
Gebruik een jokerteken aan het einde van een pad om alle uitvoerbare bestanden in deze map en submappen toe te staan.
Een jokerteken in het midden van een pad gebruiken om het mogelijk te maken een bekende naam van een uitvoerbaar bestand te gebruiken met een veranderende mapnaam (bijvoorbeeld persoonlijke gebruikersmappen met een bekend uitvoerbaar bestand, automatisch gegenereerde mapnamen, etc.).
Meer informatie over adaptieve toepassingsregelaars.
Zes beleidsregels voor Advanced Data Security van SQL afgeschaft
Er worden zes beleidsregels met betrekking tot geavanceerde gegevensbeveiliging voor SQL-machines afgeschaft:
- Advanced Threat Protection-typen moeten zijn ingesteld op 'Alles' in de Advanced Data Security-instellingen van SQL Managed Instance
- Advanced Threat Protection-typen moeten worden ingesteld op 'Alles' in de Advanced Data Security-instellingen van SQL Server
- De Advanced Data Security-instellingen voor SQL Managed Instance moeten een e-mailadres bevatten om beveiligingswaarschuwingen te ontvangen
- De Advanced Data Security-instellingen voor SQL Server moeten een e-mailadres bevatten om beveiligingswaarschuwingen te ontvangen
- E-mailmeldingen aan beheerders en abonnementseigenaren moeten zijn ingeschakeld in de Advanced Data Security-instellingen voor het beheerde SQL-exemplaar
- E-mailmeldingen aan beheerders en abonnementseigenaren moeten zijn ingeschakeld in de Advanced Data Security-instellingen van de SQL-server
Meer informatie over ingebouwd beleid.
Juni 2020
De updates in juni zijn onder meer:
- Beveiligingsscore-API (preview)
- Geavanceerde gegevensbeveiliging voor SQL-machines (Azure, andere clouds en on-premises) (preview)
- Twee nieuwe aanbevelingen voor het implementeren van de Log Analytics-agent op Azure Arc-machines (preview)
- Nieuw beleid voor het maken van configuraties voor continue export en werkstroomautomatisering op schaal
- Nieuwe aanbeveling voor het gebruik van netwerkbeveiligingsgroepen om niet op internet gerichte virtuele machines te beveiligen
- Nieuw beleid voor het inschakelen van beveiliging tegen bedreigingen en geavanceerde gegevensbeveiliging
Beveiligingsscore-API (preview)
U hebt nu toegang tot uw score via de Beveiligingsscore-API (momenteel als preview). De API-methoden bieden de flexibiliteit om query's uit te voeren op de gegevens en uw eigen rapportagemechanisme te bouwen van uw beveiligingsscores in de loop van de tijd. U kunt bijvoorbeeld de Beveiligingsscore-API gebruiken om de score voor een specifiek abonnement op te halen. Daarnaast kunt u de API voor besturingselementen van de beveiligingsscore gebruiken om de besturingselementen voor beveiliging en de huidige score van uw abonnementen weer te geven.
Zie het gebied voor beveiligingsscores van onze GitHub-community voor voorbeelden van externe hulpprogramma's die mogelijk zijn gemaakt met de Beveiligingsscore-API.
Meer informatie over beveiligingsscore en besturingselementen voor beveiliging in Azure Security Center.
Geavanceerde gegevensbeveiliging voor SQL-machines (Azure, andere clouds en on-premises) (preview)
De geavanceerde gegevensbeveiliging van Azure Security Center voor SQL-machines biedt nu beveiliging voor SQL-servers die worden gehost op Azure, in andere cloudomgevingen en zelfs op on-premises machines. Hiermee wordt de beveiliging voor uw systeemeigen SQL-servers van Azure uitgebreid om hybride omgevingen volledig te ondersteunen.
Geavanceerde gegevensbeveiliging biedt evaluatie van beveiligingsproblemen en geavanceerde beveiliging tegen bedreigingen voor uw SQL-machines, waar ze zich ook bevinden.
Het instellen bestaat uit twee stappen:
De Log Analytics-agent implementeren op de hostcomputer van uw SQL Server om verbinding te maken met het Azure-account.
Het inschakelen van de optionele bundel op de pagina met prijzen en instellingen van Security Center.
Meer informatie over geavanceerde gegevensbeveiliging voor SQL-machines.
Twee nieuwe aanbevelingen voor het implementeren van de Log Analytics-agent op Azure Arc-machines (preview)
Er zijn twee nieuwe aanbevelingen toegevoegd om de Log Analytics-agent te implementeren op uw Azure Arc-machines en ervoor te zorgen dat ze worden beveiligd door Azure Security Center:
- De Log Analytics-agent moet zijn geïnstalleerd op uw Windows Azure Arc-machines (preview)
- De Log Analytics-agent moet zijn geïnstalleerd op uw Linux Azure Arc-machines (preview)
Deze nieuwe aanbevelingen worden weergegeven in dezelfde vier besturingselementen voor beveiliging als de bestaande (gerelateerde) aanbeveling, De bewakingsagent moet op uw computers worden geïnstalleerd: beveiligingsconfiguraties herstellen, adaptieve toepassingsregelaars toepassen, systeemupdates toepassen en eindpuntbeveiliging inschakelen.
De aanbevelingen omvatten ook de functie Snelle oplossing om het implementatieproces te versnellen.
Meer informatie over deze twee nieuwe aanbevelingen vindt u in de tabel Compute- en app-aanbevelingen.
Meer informatie over hoe Azure Security Center de agent gebruikt, vindt u in Wat is de Log Analytics-agent?.
Meer informatie over extensies voor Azure Arc-machines.
Nieuw beleid voor het maken van configuraties voor continue export en werkstroomautomatisering op schaal
Het automatiseren van de processen voor bewaking en reageren op incidenten van uw organisatie kan de tijd die nodig is om beveiligingsincidenten te onderzoeken en te verhelpen aanzienlijk verbeteren.
Als u uw automatiseringsconfiguraties in uw organisatie wilt implementeren, gebruikt u deze ingebouwde DeployIfdNotExist-beleidsregels van Azure voor het maken en configureren van procedures voor continue export en werkstroomautomatisering:
De beleidsdefinities vindt u in Azure Policy:
| Goal | Beleid | Beleids-id |
|---|---|---|
| Continue export naar Event Hubs | Export implementeren naar Event Hubs voor Waarschuwingen en aanbevelingen van Azure Security Center | cdfcce10-4578-4ecd-9703-530938e4abcb |
| Continue export naar Log Analytics-werkruimte | Export implementeren in Log Analytics-werkruimte voor Azure Security Center-waarschuwingen en -aanbevelingen | ffb6f416-7bd2-4488-8828-56585fef2be9 |
| Werkstroomautomatisering voor beveiligingswaarschuwingen | Werkstroomautomatisering implementeren voor Azure Security Center-waarschuwingen | f1525828-9a90-4fcf-be48-268cdd02361e |
| Werkstroomautomatisering voor beveiligingsaanbevelingen | Werkstroomautomatisering implementeren voor Azure Security Center-aanbevelingen | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Aan de slag met sjablonen voor werkstroomautomatisering.
Meer informatie over het gebruik van de twee exportbeleidsregels vindt u in Configure workflow automation at scale using the supplied policies (Werkstroomautomatisering op schaal configureren met de meegeleverde beleidsregels) en Set up a continuous export (Continue export instellen).
Nieuwe aanbeveling voor het gebruik van netwerkbeveiligingsgroepen om niet op internet gerichte virtuele machines te beveiligen
Het besturingselement voor beveiliging 'aanbevolen procedures voor beveiliging implementeren' bevat nu de volgende nieuwe aanbeveling:
- Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen
In een bestaande aanbeveling, Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen, werd geen onderscheid gemaakt tussen op internet gerichte en niet op internet gerichte virtuele machines. Voor beide werd een aanbeveling met een hoge urgentie gegenereerd als een virtuele machine niet aan een netwerkbeveiligingsgroep was toegewezen. In deze nieuwe aanbeveling wordt een onderscheid gemaakt met niet op internet gerichte machines om de fout-positieven te verminderen en onnodige waarschuwingen met hoge urgentie te voorkomen.
Meer informatie vindt u in de tabel Aanbevelingen voor netwerken.
Nieuw beleid voor het inschakelen van beveiliging tegen bedreigingen en geavanceerde gegevensbeveiliging
De nieuwe beleidsdefinities hieronder zijn toegevoegd aan het ASC-standaardinitiatief en zijn ontworpen om te helpen bij het inschakelen van bedreigingsbeveiliging of geavanceerde gegevensbeveiliging voor de relevante resourcetypen.
De beleidsdefinities vindt u in Azure Policy:
| Beleid | Beleids-id |
|---|---|
| Advanced Data Security moet zijn ingeschakeld voor Azure SQL Database-servers | 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2 |
| Advanced Data Security moet zijn ingeschakeld voor SQL-servers op computers | 6581d072-105e-4418-827f-bd446d56421b |
| Advanced Threat Protection moet zijn ingeschakeld voor Azure Storage-accounts | 308fbb08-4ab8-4e67-9b29-592e93fb94fa |
| Advanced Threat Protection moet zijn ingeschakeld voor Azure Key Vault-kluizen | 0e6763cc-5078-4e64-889d-ff4d9a839047 |
| Advanced Threat Protection moet zijn ingeschakeld voor Azure App Service-plannen | 2913021d-f2fd-4f3d-b958-22354e2bdbcb |
| Advanced Threat Protection moet zijn ingeschakeld voor Azure Container Registry-registers | c25d9a16-bc35-4e15-a7e5-9db606bf9ed4 |
| Advanced Threat Protection moet zijn ingeschakeld voor Azure Kubernetes Service-clusters | 523b5cd1-3e23-492f-a539-13118b6d1e3a |
| Advanced Thread Protection moet zijn ingeschakeld op virtuele machines | 4da35fc9-c9e7-4960-aec9-797fe7d9051d |
Meer informatie over bescherming tegen bedreigingen in Azure Security Center.
Mei 2020
De updates in mei zijn onder meer:
- Regels voor waarschuwingsonderdrukking (preview)
- Evaluatie van beveiligingsproblemen van virtuele machines is nu algemeen beschikbaar
- Wijzigingen in de Just-In-Time-toegang van virtuele machines (VM)
- Aangepaste aanbevelingen zijn verplaatst naar een afzonderlijk besturingselement voor beveiliging
- Schakeloptie toegevoegd om aanbevelingen weer te geven in besturingselementen of als een platte lijst
- Besturingselement voor beveiliging 'Aanbevolen procedures voor beveiliging implementeren' uitgebreid
- Aangepaste beleidsregels met aangepaste metagegevens zijn nu algemeen beschikbaar
- Mogelijkheden voor crashdumpanalyse migreren naar detectie van bestandsloze aanvallen
Regels voor waarschuwingsonderdrukking (preview)
Met deze nieuwe functie (momenteel in preview) kunt u overbodige waarschuwingen verminderen. Gebruik regels om waarschuwingen waarvan bekend is dat ze onschuldig of gerelateerd zijn aan normale activiteiten in uw organisatie automatisch te verbergen. Zo kunt u zich richten op de meest relevante bedreigingen.
Waarschuwingen die overeenkomen met uw ingeschakelde onderdrukkingsregels worden nog steeds gegenereerd, maar de status wordt ingesteld op 'Genegeerd'. U kunt de status bekijken in Azure Portal of de manier waarop u uw Security Center beveiligingswaarschuwingen bekijkt.
Met onderdrukkingsregels worden de criteria gedefinieerd waarvoor waarschuwingen automatisch moeten worden genegeerd. Normaal gesproken gebruikt u een onderdrukkingsregel voor het volgende:
waarschuwingen onderdrukken die u als fout-positieven hebt geïdentificeerd
waarschuwingen onderdrukken die te vaak worden geactiveerd om nuttig te zijn
Meer informatie over het onderdrukken van waarschuwingen voor beveiliging tegen bedreigingen van Azure Security Center.
Evaluatie van beveiligingsproblemen van virtuele machines is nu algemeen beschikbaar
De Standaard-laag van Security Center bevat nu een geïntegreerde evaluatie van beveiligingsproblemen voor virtuele machines zonder extra kosten. Deze uitbreiding wordt mogelijk gemaakt door Qualys, maar rapporteert de resultaten direct terug naar Security Center. U hebt geen Qualys-licentie of Qualys-account nodig. De scans worden naadloos uitgevoerd in Security Center.
De nieuwe oplossing kan voortdurend uw virtuele machines scannen om beveiligingsproblemen op te sporen en de bevindingen in Security Center weergeven.
Als u de oplossing wilt implementeren, gebruikt u de nieuwe beveiligingsaanbeveling:
'De ingebouwde oplossing voor evaluatie van beveiligingsproblemen inschakelen op virtuele machines (mogelijk gemaakt door Qualys)'
Meer informatie over De geïntegreerde evaluatie van beveiligingsproblemen voor virtuele machines van Security Center.
Wijzigingen in de Just-In-Time-toegang van virtuele machines (VM)
Security Center bevat een optionele functie waarmee u de beheerpoorten van uw virtuele machines kunt beveiligen. Dit biedt een verdediging tegen de meest voorkomende vorm van beveiligingsaanvallen.
Met deze update worden de volgende wijzigingen doorgevoerd in deze functie:
De aanbeveling die u adviseert om JIT in te schakelen op een virtuele machine, is gewijzigd. Voorheen moet 'Just-In-Time-netwerktoegangsbeheer worden toegepast op virtuele machines' het is nu: 'Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer'.
De aanbeveling wordt alleen geactiveerd als er open beheerpoorten zijn.
Meer informatie over de JIT-toegangsfunctie.
Aangepaste aanbevelingen zijn verplaatst naar een afzonderlijk besturingselement voor beveiliging
Eén beveiligingsbeheer dat is geïntroduceerd met de verbeterde beveiligingsscore, was 'Best practices voor beveiliging implementeren'. Aangepaste aanbevelingen die zijn gemaakt voor uw abonnementen, worden automatisch in dat besturingselement geplaatst.
Om het gemakkelijker te maken om uw aangepaste aanbevelingen te vinden, hebben we deze verplaatst naar een speciaal beveiligingsbeheer, 'Aangepaste aanbevelingen'. Dit besturingselement heeft geen invloed op uw beveiligingsscore.
Meer informatie over besturingselementen voor beveiliging vindt u in Verbeterde beveiligingsscore (preview) in Azure Security Center.
Schakeloptie toegevoegd om aanbevelingen weer te geven in besturingselementen of als een platte lijst
Besturingselementen voor beveiliging zijn logische groepen van gerelateerde beveiligingsaanbevelingen. Ze zijn gebaseerd op gebieden waar u kwetsbaar bent voor aanvallen. Een besturingselement is een reeks beveiligingsaanbevelingen met instructies die u helpen bij het implementeren van deze aanbevelingen.
Als u onmiddellijk wilt zien hoe goed uw organisatie een afzonderlijke kwetsbaarheid beveiligt, controleert u de scores voor elk besturingselement voor beveiliging.
Uw aanbevelingen worden standaard weergegeven in de besturingselementen voor beveiliging. Vanaf deze update kunt u ze ook als een lijst weergeven. Als u ze wilt weergeven als een eenvoudige lijst, gesorteerd op de status van de betrokken resources, gebruikt u de nieuwe schakeloptie 'Groeperen op besturingselementen'. De schakeloptie bevindt zich boven de lijst in de portal.
De besturingselementen voor beveiliging - en deze schakeloptie - maken deel uit van de vernieuwde beveiligingsscore. Vergeet niet om ons uw feedback te sturen vanuit de portal.
Meer informatie over besturingselementen voor beveiliging vindt u in Verbeterde beveiligingsscore (preview) in Azure Security Center.
Besturingselement voor beveiliging 'Aanbevolen procedures voor beveiliging implementeren' uitgebreid
Eén beveiligingsbeheer dat is geïntroduceerd met de verbeterde beveiligingsscore, is 'Best practices voor beveiliging implementeren'. Wanneer een aanbeveling zich in dit besturingselement bevindt, heeft dit geen invloed op de beveiligingsscore.
Met deze update zijn drie aanbevelingen uit de besturingselementen waarin deze oorspronkelijk zijn geplaatst naar dit besturingselement voor aanbevolen procedures verplaatst. We hebben deze stap doorgevoerd omdat er is vastgesteld dat het risico van deze drie aanbevelingen lager is dan oorspronkelijk werd aangenomen.
Daarnaast zijn er twee nieuwe aanbevelingen geïntroduceerd en toegevoegd aan dit besturingselement.
De drie aanbevelingen die zijn verplaatst, zijn:
- MFA moet zijn ingeschakeld voor accounts met leesmachtigingen voor uw abonnement (oorspronkelijk in het besturingselement 'MFA inschakelen')
- Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement (oorspronkelijk in het besturingselement 'Toegang en machtigingen beheren')
- Er moeten maximaal drie eigenaren worden aangewezen voor uw abonnement (oorspronkelijk in het besturingselement 'Toegang en machtigingen beheren')
De twee nieuwe aanbevelingen die aan het besturingselement zijn toegevoegd, zijn:
De Gastconfiguratie-extensie moet op virtuele Windows-machines zijn geïnstalleerd (preview): het gebruik van Azure Policy-gastconfiguratie biedt inzicht in de instellingen van de virtuele machines op de server en toepassing (alleen Windows).
Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers (preview): Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows).
Meer informatie over Windows Defender Exploit Guard vindt u in Een Exploit Guard-beleid maken en implementeren.
Meer informatie over besturingselementen voor beveiliging vindt u in Verbeterde beveiligingsscore (preview).
Aangepaste beleidsregels met aangepaste metagegevens zijn nu algemeen beschikbaar
Aangepaste beleidsregels maken nu deel uit van de Security Center-aanbevelingen, de beveiligingsscore en het dashboard voor naleving van regelgeving. Deze functie is nu algemeen beschikbaar en biedt u de mogelijkheid om de dekking van de evaluatie van beveiligingsproblemen van uw organisatie in Security Center uit te breiden.
Maak een aangepast initiatief in Azure Policy, voeg er beleidsregels aan toe en onboard het naar Azure Security Center en visualiseer het als aanbevelingen.
We hebben nu ook de optie toegevoegd voor het bewerken van de aangepaste metagegevens voor aanbevelingen. Opties voor metagegevens zijn ernst, herstelstappen, informatie over bedreigingen en meer.
Meer informatie over uw aangepaste aanbevelingen verbeteren met gedetailleerde informatie.
Mogelijkheden voor crashdumpanalyse migreren naar detectie van bestandsloze aanvallen
De detectiemogelijkheden van Windows Crash Dump Analysis (CDA) worden geïntegreerd in detectie van bestandsloze aanvallen. Analyse van detectie van bestandsloze aanvallen biedt verbeterde versies van de volgende beveiligingswaarschuwingen voor Windows-machines: Code-injectie gedetecteerd, Masquerading Windows-module gedetecteerd, Shell-code gedetecteerd en Verdacht codesegment gedetecteerd.
Enkele voordelen hiervan:
Proactieve en tijdige detectie van malware: bij de CDA-benadering werd gewacht op een crash, en werden vervolgens analyses uitgevoerd om schadelijke artefacten te vinden. Bij het gebruik van detectie van bestandsloze aanvallen worden bedreigingen in het geheugen proactief geïdentificeerd terwijl ze worden uitgevoerd.
Verrijkte waarschuwingen: de beveiligingswaarschuwingen van detectie van bestandsloze aanvallen bevatten verrijkingen die niet beschikbaar zijn via CDA, zoals informatie over actieve netwerkverbindingen.
Waarschuwingsaggregatie: wanneer CDA meerdere aanvalspatronen in één crashdump heeft gedetecteerd, worden er meerdere beveiligingswaarschuwingen geactiveerd. Bij detectie van bestandsloze aanvallen worden alle geïdentificeerde aanvalspatronen uit hetzelfde proces gecombineerd tot één waarschuwing, waardoor de noodzaak om meerdere waarschuwingen met elkaar in verband te brengen, wordt weggenomen.
Minder vereisten voor uw Log Analytics-werkruimte: crashdumps met mogelijk gevoelige gegevens worden niet meer geüpload naar uw Log Analytics-werkruimte.
April 2020
De updates in april zijn onder meer:
- Dynamische nalevingspakketten zijn nu algemeen beschikbaar
- Identiteitsaanbevelingen nu opgenomen in de gratis laag van Azure Security Center
Dynamische nalevingspakketten zijn nu algemeen beschikbaar
Het dashboard voor naleving van regelgeving van Azure Security Center bevat nu dynamische nalevingspakketten (nu algemeen beschikbaar) om aanvullende regelgevende en bedrijfstakstandaarden bij te houden.
Dynamische nalevingspakketten kunnen worden toegevoegd aan uw abonnement of beheergroep via de pagina met beveiligingsbeleid van Security Center. Wanneer u een standaard of benchmark hebt geïntroduceerd, wordt de standaard weergegeven in het dashboard voor naleving van regelgeving met alle gekoppelde nalevingsgegevens die zijn gekoppeld als evaluaties. Er kan een overzichtsrapport voor alle geïntroduceerde standaarden worden gedownload.
U kunt nu standaarden toevoegen zoals:
- NIST SP 800-53 R4
- SWIFT CSP CSCF-v2020
- UK OFFICIAL en UK NHS
- Canada Federal PBMM
- Azure CIS 1.1.0 (nieuw) (een meer volledige weergave van Azure CIS 1.1.0)
Daarnaast hebben we onlangs de Azure Security-benchmark toegevoegd, de door Microsoft ontworpen, voor Azure specifieke richtlijnen voor aanbevolen procedures voor beveiliging en naleving op basis van algemene nalevingskaders. Er worden extra standaarden ondersteund in het dashboard zodra deze beschikbaar komen.
Meer informatie over het aanpassen van de set standaarden in uw dashboard voor naleving van regelgeving.
Identiteitsaanbevelingen nu opgenomen in de gratis laag van Azure Security Center
Beveiligingsaanbevelingen voor identiteit en toegang in de gratis laag van Azure Security Center zijn nu algemeen beschikbaar. Dit maakt deel uit van de inspanningen om de CSPM-functies (Cloud Security Posture Management) gratis te maken. Tot nu toe zijn deze aanbevelingen alleen beschikbaar in de prijscategorie Standaard.
Voorbeelden van aanbevelingen voor identiteit en toegang zijn onder meer:
- 'Meervoudige verificatie moet zijn ingeschakeld voor accounts met eigenaarsmachtigingen voor uw abonnement.'
- 'Er moeten maximaal drie eigenaren worden aangewezen voor uw abonnement.'
- 'Afgeschafte accounts moeten worden verwijderd uit uw abonnement.'
Als u abonnementen hebt in de gratis laag, worden de beveiligingsscores ervan beïnvloed door deze wijziging omdat ze nooit zijn geëvalueerd op hun identiteits- en toegangsbeveiliging.
Meer informatie over aanbevelingen voor identiteit en toegang.
Meer informatie over het beheren van meervoudige verificatie (MFA) afdwingen voor uw abonnementen.
Maart 2020
Updates in maart zijn onder andere:
- Werkstroomautomatisering is nu algemeen beschikbaar
- Integratie van Azure Security Center met Windows Beheer Center
- Beveiliging voor Azure Kubernetes Service
- Verbeterde Just-In-Time-ervaring
- Twee beveiligingsaanbeveling voor webtoepassingen afgeschaft
Werkstroomautomatisering is nu algemeen beschikbaar
De functie voor werkstroomautomatisering van Azure Security Center is nu algemeen beschikbaar. Gebruik deze functie om automatisch Logic Apps te activeren voor beveiligingswaarschuwingen en -aanbevelingen. Daarnaast zijn er handmatige triggers beschikbaar voor waarschuwingen en alle aanbevelingen met de optie voor snel oplossen.
Elk beveiligingsprogramma bevat meerdere werkstromen voor reacties op incidenten. Deze processen kunnen het melden aan relevante belanghebbenden, het starten van een wijzigingsbeheerproces en het toepassen van specifieke herstelstappen bevatten. Beveiligingsexperts raden u aan zo veel mogelijk stappen van deze procedures te automatiseren. Met automatisering vermindert u de overhead en kunt u de beveiliging verbeteren door ervoor te zorgen dat de processtappen snel, consistent en volgens uw vooraf gedefinieerde vereisten worden uitgevoerd.
Zie Werkstroomautomatisering voor meer informatie over de automatische en handmatige Security Center-mogelijkheden voor het uitvoeren van werkstromen.
Meer informatie over het maken van Logic Apps.
Integratie van Azure Security Center met Windows Beheer Center
Het is nu mogelijk om uw on-premises Windows-servers rechtstreeks van het Windows Beheer Center naar Azure Security Center te verplaatsen. Azure Security Center wordt dan de centrale locatie voor het weergeven van beveiligingsgegevens voor al uw Windows Admin Center-resources, waaronder on-premises servers, virtuele machines en extra PaaS-workloads.
Nadat u een server hebt verplaatst van Windows Beheer Center naar Azure Security Center, kunt u het volgende doen:
- Beveiligingswaarschuwingen en -aanbevelingen weergeven in de Security Center-extensie van Windows Admin Center.
- De beveiligingsstructuur weergeven en extra details ophalen van uw door Windows Admin Center beheerde servers in Security Center in Azure Portal (or via een API).
Meer informatie over het integreren van Azure Security Center met Windows Admin Center.
Beveiliging voor Azure Kubernetes Service
De functies voor containerbeveiliging van Azure Security Center worden uitgebreid ter beveiliging van Azure Kubernetes Service (AKS).
Het populaire opensource-platform Kubernetes wordt zo breed gebruikt dat het nu een industriestandaard is voor containerindeling. Ondanks deze wijdverspreide implementatie is er nog steeds geen begrip over het beveiligen van een Kubernetes-omgeving. Het verdedigen van de aanvalsoppervlakken van een toepassing die in een container is geplaatst, vereist ervaring om ervoor te zorgen dat de infrastructuur veilig wordt geconfigureerd en continu wordt bewaakt op mogelijke bedreigingen.
De verdediging van Security Center omvat het volgende:
- Detectie en zichtbaarheid : continue detectie van beheerde AKS-exemplaren binnen de abonnementen die zijn geregistreerd bij Security Center.
- Beveiligingsaanbeveling : aanbevelingen die kunnen worden uitgevoerd om u te helpen te voldoen aan de aanbevolen beveiligingsprocedures voor AKS. Deze aanbevelingen worden opgenomen in uw beveiligingsscore om ervoor te zorgen dat ze worden bekeken als onderdeel van de beveiligingspostuur van uw organisatie. Een voorbeeld van een AKS-gerelateerde aanbeveling die u ziet, is 'Op rollen gebaseerd toegangsbeheer moet worden gebruikt om de toegang tot een Kubernetes-servicecluster te beperken'.
- Bedreigingsbeveiliging : door continue analyse van uw AKS-implementatie waarschuwt Security Center u voor bedreigingen en schadelijke activiteiten die zijn gedetecteerd op host- en AKS-clusterniveau.
Meer informatie over de integratie van Azure Kubernetes Services met Security Center.
Meer informatie over de beveiligingsfuncties van containers in Security Center.
Verbeterde Just-In-Time-ervaring
De functies, bewerkingen en gebruikersinterface voor Just-In-Time-hulpprogramma's van Azure Security Center die uw beheerpoorten beveiligen, zijn als volgt verbeterd:
- Redenveld : wanneer u toegang tot een virtuele machine (VM) aanvraagt via de Just-In-Time-pagina van Azure Portal, is er een nieuw optioneel veld beschikbaar om een reden voor de aanvraag in te voeren. De informatie die in dit veld wordt ingevoerd, kan worden bijgehouden in het activiteitenlogboek.
- Automatisch opschonen van redundante Just-In-Time-regels (JIT): wanneer u een JIT-beleid bijwerkt, wordt er automatisch een opschoonprogramma uitgevoerd om de geldigheid van uw hele regelset te controleren. Er wordt met het hulpprogramma gecontroleerd of de regels in uw beleid en de regels in de netwerkbeveiligingsgroep (NSG) overeenkomen. Als het hulpprogramma voor opschonen een onjuiste overeenkomst vindt, wordt de oorzaak bepaald. Wanneer het veilig is om dit te doen, worden ingebouwde regels verwijderd die niet meer nodig zijn. Regels die u hebt gemaakt, worden nooit verwijderd door het opschoningsprogramma.
Meer informatie over de JIT-toegangsfunctie.
Twee beveiligingsaanbeveling voor webtoepassingen afgeschaft
Twee beveiligingsaanbevelingen met betrekking tot webtoepassingen worden afgeschaft:
De regels voor webtoepassingen op IaaS NSG's moeten strenger worden. (Gerelateerd beleid: de NSG-regels voor webtoepassingen op IaaS moeten worden beperkt)
Toegang tot App Services moet worden beperkt. (Gerelateerd beleid: Toegang tot App Services moet worden beperkt [preview])
Deze aanbevelingen worden niet meer weergegeven in de lijst met aanbevelingen van Security Center. Het gerelateerde beleid wordt niet meer opgenomen in het initiatief 'Security Center Default'.
Meer informatie over aanbevelingen voor beveiliging.
Februari 2020
Detectie van bestandsloze aanvallen voor Linux (preview)
Omdat aanvallers steeds vaker onopvallendere methoden gebruiken om detectie te voorkomen, wordt Azure Security Center uitgebreid met detectie van bestandsloze aanvallen voor Linux, naast Windows. Bij bestandsloze aanvallen wordt misbruik gemaakt van beveiligingsproblemen in software, worden schadelijke nettoladingen ingevoerd in goedaardige systeemprocessen en worden items verborgen in het geheugen. Deze technieken:
- traceringen van malware op schijf minimaliseren of elimineren
- aanzienlijk verminderen van de kans op detectie door op schijf gebaseerde malwarescanoplossingen
Als middel tegen deze bedreiging is in oktober 2018 detectie van bestandsloze aanvallen voor Windows uitgebracht in Azure Security Center. Deze detectie is nu uitgebreid naar Linux.
Januari 2020
Verbeterde beveiligingsscore (preview)
Een verbeterde versie van de functie Secure Score van Azure Security Center is nu beschikbaar als preview-versie. In deze versie zijn meerdere aanbevelingen gegroepeerd in besturingselementen voor beveiliging die beter aansluiten op uw kwetsbaarheden voor aanvallen (bijvoorbeeld de toegang tot beheerpoorten beperken).
Maak uzelf tijdens de preview-fase vertrouwd met de wijzigingen die in de beveiligingsscores zijn doorgevoerd, en bepaal met welke andere herstelbewerkingen u uw omgeving verder kunt beveiligen.
Meer informatie over verbeterde beveiligingsscore (preview).
November 2019
Updates in november omvatten:
- Threat Protection voor Azure Key Vault in Noord-Amerika regio's (preview)
- Bedreigingsbeveiliging voor Azure Storage omvat screening van malwarereputatie
- Werkstroomautomatisering met Logic Apps (preview)
- Snelle oplossing voor bulkbronnen algemeen beschikbaar
- Containerinstallatiekopieën scannen op beveiligingsproblemen (preview)
- Aanvullende nalevingsstandaarden voor regelgeving (preview)
- Threat Protection voor Azure Kubernetes Service (preview)
- Evaluatie van beveiligingsproblemen van virtuele machines (preview)
- Geavanceerde gegevensbeveiliging voor SQL-servers op virtuele Azure-machines (preview)
- Ondersteuning voor aangepast beleid (preview)
- Azure Security Center-dekking uitbreiden met platform voor community en partners
- Geavanceerde integraties met export van aanbevelingen en waarschuwingen (preview)
- On-premises servers onboarden naar Security Center vanuit Windows Beheer Center (preview)
Threat Protection voor Azure Key Vault in Noord-Amerika regio's (preview)
Azure Key Vault is een essentiële service voor het beschermen van gegevens en verbeteren van de prestaties van cloudtoepassingen doordat de oplossing de mogelijkheid biedt om sleutels, geheimen, cryptografische sleutels en beleidsregels in de cloud centraal te beheren. Aangezien Azure Key Vault gevoelige en bedrijfskritieke gegevens opslaat, is maximale beveiliging voor de sleutelkluizen en de gegevens die erin zijn opgeslagen vereist.
De ondersteuning van Azure Security Center voor Threat Protection voor Azure Key Vault biedt een extra beveiligingslaag waarmee ongebruikelijke en mogelijk schadelijke pogingen worden gedetecteerd om toegang te krijgen tot of misbruik te maken van sleutelkluizen. Dankzij deze nieuwe beschermingslaag kunnen klanten bedreigingen tegen hun sleutelkluizen afhandelen zonder een beveiligingsexpert te zijn of beveiligingsbewakingssystemen te moeten beheren. De functie is beschikbaar als openbare preview in regio's van Noord-Amerika.
Threat Protection voor Azure Storage omvat reputatiescreening voor malware
Threat Protection voor Azure Storage biedt nieuwe detecties mogelijk gemaakt door Microsoft Threat Intelligence om uploads van malware naar Azure Storage te detecteren met reputatie-analyse van hashes en verdachte toegang via een actief Tor-eindknooppunt (een anonimiserende proxy). U kunt gedetecteerde malware in opslagaccounts weergeven met behulp van Azure Security Center.
Werkstroomautomatisering met Logic Apps (preview)
Organisaties met centraal beheerde beveiliging en IT/operations implementeren interne werkstroomprocessen om aan te zetten tot de vereiste actie binnen de organisatie wanneer discrepanties worden ontdekt in hun omgevingen. In veel gevallen zijn deze werkstromen herhaalbare processen en automatisering kan processen binnen de organisatie aanzienlijk stroomlijnen.
We introduceren vandaag een nieuwe mogelijkheid in Security Center waarmee klanten automatiseringsconfiguraties kunnen maken met gebruikmaking van Azure Logic Apps en om beleidsregels te maken die deze automatisch activeren op basis van specifieke ASC-bevindingen zoals Aanbevelingen of Waarschuwingen. Azure Logic App kan worden geconfigureerd om aangepaste acties uit te voeren ondersteund door de enorme gemeenschap van Logic App-connectors, of door een van de sjablonen van Security Center te gebruiken, zoals het verzenden van een e-mail of openen van een ServiceNow™-ticket.
Zie Werkstroomautomatisering voor meer informatie over de automatische en handmatige Security Center-mogelijkheden voor het uitvoeren van werkstromen.
Zie Azure Logic Apps voor informatie over het maken van logische apps.
Snelle oplossing voor bulkbronnen algemeen beschikbaar
Het kan een uitdaging zijn om problemen in een grote fleet effectief te herstellen omdat een gebruiker zo veel taken krijgt te verwerken als onderdeel van Secure Score.
Gebruik Snelle oplossing voor herstel om onjuiste configuraties van beveiliging op te lossen, aanbevelingen voor meerdere resources op te lossen en uw beveiligingsscore te verbeteren.
Hiermee kunt u de resources selecteren waarop u het herstel wilt toepassen en een herstelactie starten waarmee de instelling voor u wordt gestart.
Snelle oplossing is algemeen beschikbaar voor klanten als onderdeel van de aanbevelingenpagina van Security Center.
Bekijk welke aanbevelingen een snelle oplossing hebben ingeschakeld in de referentiehandleiding voor beveiligingsaan aanbevelingen.
Containerinstallatiekopieën scannen op beveiligingsproblemen (preview)
Azure Security Center kan nu containerinstallatiekopieën in Azure Container Registry scannen op beveiligingsproblemen.
Tijdens de installatiekopiescan wordt de containerinstallatiekopie geparseerd en vervolgens wordt gecontroleerd of er bekende beveiligingsproblemen zijn (mogelijk gemaakt door Qualys).
De scan zelf wordt automatisch geactiveerd wanneer nieuwe containerinstallatiekopieën naar Azure Container Registry worden gepusht. Gevonden beveiligingsproblemen worden weergegeven als Security Center-aanbevelingen en opgenomen in de beveiligingsscore, samen met informatie over het patchen van beveiligingsproblemen om het toegestane kwetsbaarheid voor aanvallen te verminderen.
Aanvullende nalevingsstandaarden voor regelgeving (preview)
Het dashboard Naleving van regelgeving biedt inzicht in uw compliancepostuur op basis van evaluaties van Security Center. Op het dashboard ziet u hoe uw omgeving voldoet aan bedieningen en vereisten ontworpen door specifieke regelgevende standaarden en benchmarks van de branche en biedt normatieve aanbevelingen met betrekking tot hoe deze vereisten moeten worden behandeld.
Het dashboard naleving van regelgeving ondersteunt tot nu toe vier ingebouwde standaarden: Azure CIS 1.1.0, PCI-DSS, ISO 27001 en SOC-TSP. We kondigen nu de openbare preview-release van aanvullende ondersteunde standaarden aan: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM en UK Official samen met UK NHS. We kondigen ook een bijgewerkte versie van Azure CIS 1.1.0 aan, met meer bedieningen van de standaard en verbeterde uitbreidbaarheid.
Meer informatie over het aanpassen van de set standaarden in uw dashboard voor naleving van regelgeving.
Threat Protection voor Azure Kubernetes Service (preview)
Kubernetes wordt in hoog tempo de nieuwe standaard voor het implementeren en beheren van software in de cloud. Maar weinig mensen hebben veel ervaring met Kubernetes en velen richten zich dan alleen op algemene engineering en beheer en zien het beveiligingsaspect over het hoofd. De Kubernetes-omgeving moet zorgvuldig worden geconfigureerd om veilig te zijn, waarbij moet worden gecontroleerd of er geen op containers gerichte aanvallen mogelijk zijn door deuren die open staan en zichtbaar zijn voor aanvallers. Security Center breidt de ondersteuning in de containerruimte uit naar een van de snelst groeiende services in Azure - Azure Kubernetes Service (AKS).
De nieuwe mogelijkheden in deze openbare preview-release zijn onder andere:
- Detectie en zichtbaarheid : continue detectie van beheerde AKS-exemplaren binnen de geregistreerde abonnementen van Security Center.
- Aanbevelingen voor beveiligingsscore: actie-items om klanten te helpen voldoen aan de aanbevolen beveiligingsprocedures voor AKS en hun beveiligingsscore te verhogen. Aanbevelingen items zoals Op rollen gebaseerd toegangsbeheer moeten worden gebruikt om de toegang tot een Kubernetes Service-cluster te beperken.
- Detectie van bedreigingen: host- en clusteranalyses, zoals 'Een bevoegde container gedetecteerd'.
Evaluatie van beveiligingsproblemen van virtuele machines (preview)
Toepassingen die zijn geïnstalleerd in virtuele machines kunnen vaak beveiligingsproblemen hebben die kunnen leiden tot een schending van de virtuele machine. We kondigen aan dat de Standard-laag van Security Center ingebouwde evaluatie van beveiligingsproblemen bevat voor virtuele machines zonder extra kosten. Met de evaluatie van beveiligingsproblemen, mogelijk gemaakt door Qualys in de openbare preview, kunt u continu alle geïnstalleerde toepassingen op een virtuele machine scannen om kwetsbare toepassingen te vinden en de bevindingen in de Security Center-portal te presenteren. Security Center zorgt voor alle implementatiebewerkingen, waardoor er geen extra werk wordt vereist van de gebruiker. In de toekomst zijn we van plan om evaluatieopties voor beveiligingsproblemen te bieden ter ondersteuning van de unieke bedrijfsbehoeften van onze klanten.
Meer informatie over evaluatie van beveiligingsproblemen voor uw virtuele Azure-machines.
Geavanceerde gegevensbeveiliging voor SQL-servers op virtuele Azure-machines (preview)
De ondersteuning van Azure Security Center voor bedreigingsbeveiliging en evaluatie van beveiligingsproblemen voor SQL DB's die worden uitgevoerd op IaaS-VM's, is nu in preview.
Evaluatie van beveiligingsproblemen is een eenvoudig te configureren service waarmee u potentiële zwakke plekken in de beveiliging van de database kunt detecteren, volgen en verhelpen. Het biedt inzicht in uw beveiligingspostuur als onderdeel van een beveiligingsscore en bevat de stappen voor het oplossen van beveiligingsproblemen en het verbeteren van uw databaseversterkingen.
Advanced Threat Protection detecteert vreemde activiteiten die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te verkrijgen tot of op aanvallen op uw SQL-server. Met deze functie wordt uw database continu gecontroleerd op verdachte activiteiten en bij afwijkende databasetoegangspatronen worden beveiligingswaarschuwingen gegenereerd waarop acties kunnen worden ondernomen. Deze waarschuwingen bevatten detailinformatie over verdachte activiteiten en aanbevelingen voor het onderzoeken en tegenhouden ervan.
Ondersteuning voor aangepast beleid (preview)
Azure Security Center biedt nu ondersteuning voor aangepast beleid (preview-versie).
Onze klanten wilden hun huidige dekking van beveiligingsevaluaties in Security Center met hun eigen beveiligingsevaluaties uitbreiden op basis van beleidsregels die zij maken in Azure Policy. Met de ondersteuning voor aangepast beleid is dit nu mogelijk.
Deze nieuwe beleidsregels gaan deel uitmaken van de aanbevelingen van Security Center, Secure Score en het dashboard wettelijke nalevingstandaarden. Met de ondersteuning voor aangepast beleid kunt u nu een aangepast initiatief maken in Azure Policy, het toevoegen als een beleid in Security Center en deze visualiseren als een aanbeveling.
Azure Security Center-bereik wordt uitgebreid met platform voor community en partners
Gebruik Security Center om niet alleen aanbevelingen van Microsoft te ontvangen, maar ook van bestaande oplossingen van partners zoals Check Point, Tenable en CyberArk met nog veel meer integraties. De eenvoudige onboardingstroom van Security Center kan uw bestaande oplossingen verbinden met Security Center, zodat u uw aanbevelingen voor beveiligingspostuur op één plaats kunt bekijken, geïntegreerde rapporten kunt uitvoeren en alle mogelijkheden van Security Center kunt gebruiken op basis van zowel ingebouwde als partneraanbeveling. U kunt ook Security Center-aanbevelingen naar producten van partners exporteren.
Meer informatie over Microsoft Intelligent Security Association.
Geavanceerde integraties met export van aanbevelingen en waarschuwingen (preview)
Om scenario's op ondernemingsniveau boven op Security Center in te schakelen, is het nu mogelijk om Waarschuwingen en aanbevelingen van Security Center te gebruiken op extra plaatsen, behalve de Azure-portal of API. Deze kunnen rechtstreeks worden geëxporteerd naar een Event Hub en naar Log Analytics-werkruimten. Hierna volgen enkele werkstromen die u kunt maken met betrekking tot deze nieuwe mogelijkheden:
- Met exporteren naar Log Analytics-werkruimte kunt u aangepaste dashboards maken met Power BI.
- Met exporteren naar Event Hubs kunt u Security Center-waarschuwingen en -aanbevelingen exporteren naar uw externe SIEM's, naar een oplossing van derden of Azure Data Explorer.
On-premises servers onboarden naar Security Center vanuit Windows Beheer Center (preview)
Windows Admin Center is een beheerportal voor Windows Servers die niet zijn geïmplementeerd in Azure. Deze portal biedt verschillende Azure-beheermogelijkheden zoals back-up en systeemupdates. We hebben onlangs een mogelijkheid toegevoegd om deze niet-Azure-servers te onboarden om rechtstreeks te worden beveiligd door ASC directly vanaf Windows Admin Center.
Met deze nieuwe ervaring kunnen gebruikers een WAC-server onboarden naar Azure Security Center en de beveiligingswaarschuwingen en aanbevelingen rechtstreeks in de Windows Beheer Center-ervaring weergeven.
September 2019
De updates in september zijn onder meer:
- Verbeteringen voor het beheren van regels met adaptieve toepassingsregelaars
- Aanbeveling voor containerbeveiliging beheren met behulp van Azure Policy
Verbeteringen voor het beheren van regels met adaptieve toepassingsregelaars
De ervaring van het beheren van regels voor virtuele machines met behulp van adaptieve toepassingsregelaars is verbeterd. Met de adaptieve toepassingsbesturingselementen van Azure Security Center kunt u bepalen welke toepassingen op uw virtuele machines kunnen worden uitgevoerd. Naast een algemene verbetering voor het beheren van regels kunt u met een nieuw voordeel beheren welke bestandstypen worden beveiligd wanneer u een nieuwe regel toevoegt.
Meer informatie over adaptieve toepassingsregelaars.
Aanbeveling voor containerbeveiliging beheren met behulp van Azure Policy
De aanbeveling van Azure Security Center voor het oplossen van beveiligingsproblemen in containers kan nu worden ingeschakeld of uitgeschakeld via Azure Policy.
Als u uw ingeschakelde beveiligingsbeleid wilt weergeven, opent u vanuit Security Center de pagina Beveiligingsbeleid.
Augustus 2019
De updates in augustus zijn onder meer:
- Just-In-Time-VM-toegang (JIT) voor Azure Firewall
- Herstel met één klik om uw beveiligingspostuur te verbeteren (preview)
- Beheer tussen tenants
Just-In-Time-VM-toegang (JIT) voor Azure Firewall
Just-In-Time-toegang voor virtuele machines voor Azure Firewall is nu algemeen beschikbaar. Hiermee kunt u uw door Azure Firewall en door NSG beveiligde omgevingen beveiligen.
Met Just-In-Time-toegang voor virtuele machines verkleint u het risico van netwerkvolumeaanvallen door middel van gecontroleerde toegang tot virtuele machines wanneer dit nodig is met behulp van uw NSG- en Azure Firewall-regels.
Als u Just-In-Time inschakelt voor uw virtuele machines, maakt u een beleid waarmee wordt bepaald welke poorten worden beveiligd, hoe lang de poorten open blijven staan en vanaf welke IP-adressen deze poorten kunnen worden benaderd. Met dit beleid kunt u bepalen wat gebruikers kunnen doen wanneer ze toegang aanvragen.
Deze aanvragen worden vastgelegd in het Azure-activiteitenlogboek, zodat u de toegang eenvoudig kunt bewaken en controleren. Op de Just-In-Time-pagina kunt u ook snel bestaande VM's identificeren waarvoor JIT is ingeschakeld en VM's waarvoor JIT wordt aanbevolen.
Meer informatie over Azure Firewall.
Herstel met één klik om uw beveiligingspostuur te verbeteren (preview)
Secure Score is een hulpprogramma waarmee u de beveiligingsstatus van uw workload kunt bepalen. Dit hulpprogramma geeft u aanbevelingen voor beveiliging en bepaalt de volgorde van deze voor u, zodat u weet welke aanbevelingen het eerst moeten worden uitgevoerd. Hiermee ziet u direct de belangrijkste beveiligingsproblemen, zodat u weet wat prioriteit heeft.
Om het herstel van onjuiste beveiligingsconfiguraties te vereenvoudigen en u te helpen uw beveiligingsscore snel te verbeteren, hebben we een nieuwe mogelijkheid toegevoegd waarmee u in één klik een aanbeveling kunt herstellen voor een groot aantal resources.
Hiermee kunt u de resources selecteren waarop u het herstel wilt toepassen en een herstelactie starten waarmee de instelling voor u wordt gestart.
Bekijk welke aanbevelingen een snelle oplossing hebben ingeschakeld in de referentiehandleiding voor beveiligingsaan aanbevelingen.
Beheer in meerdere tenants
Security Center ondersteunt nu scenario's voor beheer van meerdere tenants als onderdeel van Azure Lighthouse. Hiermee kunt u zichtbaarheid vergroten en beveiligingspostuur beheren voor meerdere tenants in Security Center.
Meer informatie over beheerervaringen voor meerdere tenants.
Juli 2019
Updates voor netwerkaan aanbevelingen
Er zijn voor Azure Security Center (ASC) nieuwe netwerkaanbevelingen geïntroduceerd en een aantal bestaande aanbevelingen zijn verbeterd. Als u nu Security Center gebruikt, zorgt dit voor een nog betere netwerkbeveiliging van uw resources.
Meer informatie over netwerkaan aanbevelingen.
2019 juni
Adaptieve netwerkbeveiliging - algemeen beschikbaar
Een van de grootste aanvalsoppervlakken voor workloads in de openbare cloud zijn verbindingen van en naar het openbare internet. Onze klanten vinden het moeilijk om te weten welke NSG-regels (Network Security Group) er moeten zijn om ervoor te zorgen dat Azure-workloads alleen beschikbaar zijn voor het vereiste bronbereik. Met deze functie leert Security Center het netwerkverkeer en de connectiviteitspatronen van Azure-workloads en biedt het aanbevelingen voor NSG-regels voor internetgerichte virtuele machines. Dit helpt onze klanten hun beleid voor netwerktoegang beter te configureren en de blootstelling aan aanvallen te beperken.