Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Op deze pagina vindt u informatie over functies, oplossingen en afschaffingen die ouder zijn dan zes maanden. Lees What's new in Defender voor Cloud? voor de nieuwste updates.
juni 2025
| Date | Category | Update |
|---|---|---|
| 30 juni | Preview | Defender voor DNS-detecties van containers op basis van Helm (preview) |
| 25 juni | Preview | Optionele indextags voor het opslaan van scanresultaten voor malware (preview) |
| 25 juni | Preview | API-detectie- en beveiligingspostuur voor API's die worden gehost in Function Apps en Logic Apps (preview) |
| 25 juni | Preview | Bewaking van bestandsintegriteit zonder agent (preview) |
| 18 juni | Preview | Zonder code scannen: GitHub ondersteuning en aanpasbare dekking nu beschikbaar (preview) |
Defender voor DNS-detecties van containers op basis van Helm (preview)
Wat is inbegrepen:
Ondersteuning voor implementatie op basis van Helm
Zie Install Defender for Containers sensor using Helm voor installatie-instructies en meer informatie.
DNS-bedreigingsdetecties
Verbetert de geheugenefficiëntie en vermindert het CPU-verbruik voor grote clusterimplementaties.
Zie voor meer informatie: Sensor for Defender for Containers Changelog.
Optionele indextags voor het opslaan van scanresultaten voor malware (preview)
25 juni 2025
Defender voor het scannen van opslagmalware introduceert optionele indextags voor zowel on-upload- als on-demand scans. Met deze nieuwe mogelijkheid kunnen gebruikers kiezen of ze resultaten naar de indextags van de blob willen publiceren wanneer een blob wordt gescand (standaard) of dat ze geen indextags gebruiken. Indextags kunnen worden ingeschakeld of uitgeschakeld op abonnements- en opslagaccountniveau via de Azure-portal of via DE API.
API-detectie- en beveiligingspostuur voor API's die worden gehost in Function Apps en Logic Apps (preview)
25 juni 2025
Defender voor Cloud breidt nu de mogelijkheden voor API-detectie en -beveiligingspostuur uit om API's op te nemen die worden gehost in Azure en Logic Apps, naast de bestaande ondersteuning voor API's die zijn gepubliceerd in Azure API Management.
Deze verbetering biedt beveiligingsteams een uitgebreide en voortdurend bijgewerkte weergave van het API-aanvaloppervlak van hun organisatie. Tot de belangrijkste mogelijkheden behoren:
- Centralized API Inventory: Automatisch API's detecteren en catalogiseren voor ondersteunde Azure-services.
- Evaluaties van beveiligingsrisico's: identificeer en prioriter risico's, waaronder identificatie van niet-actieve API's die verwijdering rechtvaardigen, evenals niet-versleutelde API's die gevoelige gegevens kunnen blootstellen.
Deze mogelijkheden zijn automatisch beschikbaar voor alle Defender voor Cloud DCSPM(Security Posture Management) klanten die de API Security Posture Management-extensie hebben ingeschakeld.
Tijdlijn voor implementatie: de implementatie van deze updates begint op 25 juni 2025 en zal naar verwachting binnen één week alle ondersteunde regio's bereiken.
Bewaking van bestandsintegriteit zonder agent (preview)
25 juni 2025
Fim (File Integrity Monitoring) zonder agent is nu beschikbaar als preview-versie. Deze mogelijkheid vormt een aanvulling op de algemeen beschikbare FIM-oplossing (GA) op basis van de Microsoft Defender voor Eindpunt-agent en introduceert ondersteuning voor aangepaste bestands- en registerbewaking.
Met FIM zonder agent kunnen organisaties bestands- en registerwijzigingen in hun omgeving bewaken zonder andere agents te implementeren. Het biedt een lichtgewicht, schaalbaar alternatief met behoud van compatibiliteit met de bestaande oplossing op basis van agents.
Tot de belangrijkste mogelijkheden behoren:
- Aangepaste bewaking: voldoen aan specifieke nalevings- en beveiligingsvereisten door aangepaste bestandspaden en registersleutels te definiëren en te bewaken.
- Geïntegreerde ervaring: gebeurtenissen van zowel agentloze als op MDE gebaseerde FIM worden opgeslagen in dezelfde werkruimtetabel, met duidelijke bronindicatoren.
Meer informatie over bewaking van bestandsintegriteit en het inschakelen van bewaking van bestandsintegriteit.
Code scannen zonder agent: GitHub ondersteuning en aanpasbare dekking nu beschikbaar (preview)
18 juni 2025
We hebben de functie voor het scannen van code zonder agent bijgewerkt met belangrijke mogelijkheden die zowel dekking als beheer uitbreiden. Deze updates zijn onder andere:
- Ondersteuning voor GitHub opslagplaatsen, naast Azure DevOps
- Aanpasbare scannerselectie: selecteer welke hulpprogramma's (bijvoorbeeld Bandit, Checkov, ESLint) moeten worden uitgevoerd
- Gedetailleerde omvangconfiguratie: specifieke organisaties, projecten of opslagplaatsen opnemen en uitsluiten
Scannen van code zonder agent biedt schaalbare beveiligingsscans voor code en infrastructuur als code (IaC) zonder dat er wijzigingen in CI/CD-pijplijnen nodig zijn. Hiermee kunnen beveiligingsteams beveiligingsproblemen en onjuiste configuraties detecteren zonder dat ontwikkelaarswerkstromen worden onderbroken.
Meer informatie over configuratie van codescans zonder agent in Azure DevOps of GitHub.
Mei 2025
Algemene beschikbaarheid voor aanpasbare scanfilters voor malware bij uploaden in Defender voor Opslag
28 mei 2025
Scannen op malware bij uploaden ondersteunt nu aanpasbare filters. Gebruikers kunnen uitsluitingsregels instellen voor malwarescans op basis van voorvoegsels, achtervoegsels en blobgrootte bij het uploaden. Door specifieke blobpaden en -typen, zoals logboeken of tijdelijke bestanden, uit te sluiten, kunt u onnodige scans voorkomen en kosten verlagen.
Meer informatie over het configureren van aanpasbare scanfilters voor malware bij uploaden.
Actieve gebruiker (openbare preview)
De functie Actieve gebruiker helpt beveiligingsbeheerders snel aanbevelingen te identificeren en toe te wijzen aan de meest relevante gebruikers op basis van recente activiteit in het besturingsvlak. Voor elke aanbeveling worden maximaal drie potentiële actieve gebruikers voorgesteld op resource-, resourcegroep- of abonnementsniveau. Beheerders kunnen een gebruiker selecteren in de lijst, de aanbeveling toewijzen en een vervaldatum instellen, waardoor een melding wordt geactiveerd voor de toegewezen gebruiker. Dit stroomlijnt herstelwerkstromen, vermindert de onderzoekstijd en versterkt de algehele beveiligingspostuur.
Algemene beschikbaarheid voor Defender voor AI Services
1 mei 2025
Defender voor Cloud ondersteunt nu runtimebeveiliging voor Azure AI-services (voorheen bedreigingsbeveiliging voor AI-workloads genoemd).
Bescherming voor Azure AI-services omvat bedreigingen die specifiek zijn voor AI-services en -toepassingen, zoals jailbreak, portemonneemisbruik, gegevensblootstelling, verdachte toegangspatronen en meer. De detecties gebruiken signalen van Microsoft Bedreigingsinformatie en Azure AI Prompt Shields, en passen machine learning en AI toe om uw AI-services te beveiligen.
Meer informatie over Defender voor AI Services.
Microsoft Security Copilot is nu algemeen beschikbaar in Defender voor Cloud
1 mei 2025
Microsoft Security Copilot is nu algemeen beschikbaar in Defender voor Cloud.
Security Copilot het herstel van risico's voor beveiligingsteams versnellen, waardoor beheerders sneller en eenvoudiger cloudrisico's kunnen aanpakken. Het biedt door AI gegenereerde samenvattingen, herstelacties en delegatie-e-mailberichten, die gebruikers begeleiden bij elke stap van het risicoreductieproces.
Beveiligingsbeheerders kunnen snel aanbevelingen samenvatten, herstelscripts genereren en taken delegeren via e-mail aan resource-eigenaren. Deze mogelijkheden verminderen de onderzoekstijd, helpen beveiligingsteams inzicht te krijgen in risico's in context en resources te identificeren voor snel herstel.
Meer informatie over Microsoft Security Copilot in Defender voor Cloud.
Dashboard voor algemene beschikbaarheid van gegevens en AI-beveiliging
1 mei 2025
Defender voor Cloud verbetert het dashboard Gegevensbeveiliging om AI-beveiliging op te nemen met het nieuwe dashboard Voor gegevens en AI-beveiliging in algemene beschikbaarheid. Het dashboard biedt een gecentraliseerd platform voor het bewaken en beheren van gegevens en AI-resources, samen met de bijbehorende risico's en beveiligingsstatus.
De belangrijkste voordelen van het dashboard voor gegevens- en AI-beveiliging zijn:
- Geïntegreerde weergave: krijg een uitgebreide weergave van alle organisatiegegevens en AI-resources.
- Gegevensinzichten: inzicht krijgen in waar uw gegevens worden opgeslagen en de typen resources die deze bevatten.
- Beschermingsdekking: beoordeel de beschermingsdekking van uw gegevens en AI-resources.
- Kritieke problemen: markeer resources die onmiddellijke aandacht vereisen op basis van aanbevelingen met hoge ernst, waarschuwingen en aanvalspaden.
- Detectie van gevoelige gegevens: gevoelige gegevensresources zoeken en samenvatten in uw cloud- en AI-assets.
- AI-workloads: Ontdek footprints voor AI-toepassingen, waaronder services, containers, gegevenssets en modellen.
Meer informatie over het dashboard gegevens- en AI-beveiliging.
Defender CSPM begint de facturering voor Azure Database for MySQL Flexible Server- en Azure Database for PostgreSQL Flexible Server-resources
1 mei 2025
Geschatte datum voor wijziging: Juni 2025
Vanaf 1 juni 2025 start Microsoft Defender CSPM de facturering voor Azure Database for MySQL Flexible Server en Azure Database for PostgreSQL Flexible Server resources in uw abonnement waar Defender CSPM is ingeschakeld. Deze resources zijn al beveiligd door Defender CSPM en er is geen gebruikersactie vereist. Nadat de facturering is gestart, kan uw factuur toenemen.
Zie prijzen voor CSPM-abonnementen voor meer informatie
2025 april
| Date | Category | Update |
|---|---|---|
| 29 april | Preview | AI-houdingsbeheer in GCP Vertex AI (preview) |
| 29 april | Preview | Defender voor Cloud-integratie met Mend.io (preview) |
| 29 april | Change | Updated GitHub Toepassingsmachtigingen |
| 28 april | Change | Update to Defender for SQL-servers on Machines plan |
| 27 april | GA | Nieuwe standaardlimiet voor het scannen van malware bij het uploaden in Microsoft Defender voor Storage |
| 24 april | GA | Generale beschikbaarheid van systeemeigen integratie van API Security Posture Management binnen Defender CSPM Plan |
| 7 april | Aanstaande wijziging | Enhancements voor Defender voor App Service-waarschuwingen |
AI-houdingsbeheer in GCP Vertex AI (preview)
29 april 2025
Defender voor Cloud's ai-beveiligingspostuurbeheerfuncties ondersteunen nu AI-workloads in Google Cloud Platform (GCP) Vertex AI (Preview).
Belangrijke functies voor deze release zijn onder meer:
- Moderne AI-toepassingsdetectie: Automatisch AI-toepassingsonderdelen, gegevens en AI-artefacten detecteren en catalogiseren die zijn geïmplementeerd in GCP Vertex AI.
- Beveiligingspostuurversterking: detecteer onjuiste configuraties en ontvang ingebouwde aanbevelingen en herstelacties om de beveiligingspostuur van uw AI-toepassingen te verbeteren.
- Analyse van aanvalspaden: risico's identificeren en oplossen met behulp van geavanceerde analyse van aanvalspaden om uw AI-workloads te beschermen tegen mogelijke bedreigingen.
Deze functies zijn ontworpen om uitgebreide zichtbaarheid, onjuiste configuratiedetectie en beveiliging voor AI-resources te bieden, waardoor de risico's voor AI-workloads die zijn ontwikkeld op het GCP Vertex AI-platform worden verminderd.
Meer informatie over ai-beveiligingspostuurbeheer.
Defender voor Cloud integratie met Mend.io (preview)
29 april 2025
Defender voor Cloud is nu geïntegreerd met Mend.io in preview. Deze integratie verbetert de beveiliging van softwaretoepassingen door beveiligingsproblemen in partnerafhankelijkheden te identificeren en te beperken. Deze integratie stroomlijnt detectie- en herstelprocessen, waardoor de algehele beveiliging wordt verbeterd.
Meer informatie over de integratie van Mend.io.
GitHub toepassingsmachtigingen bijwerken
29 april 2025
GitHub connectors in Defender voor Cloud worden bijgewerkt met beheerdersmachtigingen voor [Aangepaste eigenschappen]. Deze machtiging wordt gebruikt om nieuwe contextualisatiemogelijkheden te bieden en is gericht op het beheren van het aangepaste eigenschappenschema. Machtigingen kunnen op twee verschillende manieren worden verleend:
Navigeer in uw GitHub organisatie naar de Microsoft Beveiliging DevOps-toepassingen binnen Settings > GitHub Apps en accepteer de machtigingsaanvraag.
Selecteer in een geautomatiseerd e-mailbericht van GitHub Ondersteuning machtigingsaanvraag bekijken om deze wijziging te accepteren of te weigeren.
Opmerking: bestaande connectors blijven werken zonder de nieuwe functionaliteit als de bovenstaande actie niet wordt uitgevoerd.
Bijwerken naar Defender voor SQL-servers op machines
28 april 2025
De Defender voor SQL Server op computers in Microsoft Defender voor Cloud beveiligt SQL Server exemplaren die worden gehost op Azure-, AWS-, GCP- en on-premises machines.
Vanaf vandaag brengen we geleidelijk een verbeterde agentoplossing voor het plan uit. De oplossing op basis van agents elimineert de noodzaak om de Azure Monitor Agent (AMA) te implementeren en maakt in plaats daarvan gebruik van de bestaande SQL-infrastructuur. De oplossing is ontworpen om de onboardingprocessen eenvoudiger te maken en de beschermingsdekking te verbeteren.
Vereiste klantacties:
Update-Defender voor SQL-servers op machines planconfiguratie: Klanten die Defender hebben ingeschakeld voor SQL Server op machines, moeten deze instructies volgen om hun configuratie bij te werken, na de uitgebreide release van de agent.
Verify SQL Server instances protection status: Met een geschatte begindatum van mei 2025 moeten klanten de beveiligingsstatus van hun SQL Server exemplaren in hun omgeving controleren. Meer informatie over het roubleshoot van implementatieproblemen Defender voor de configuratie van SQL op machines.
Note
Nadat de agentupgrade is uitgevoerd, kan er sprake zijn van een toename van de facturering als extra SQL Server exemplaren zijn beveiligd met uw ingeschakelde Defender voor SQL-servers op machines. Raadpleeg de Defender voor Cloud pagina met prijzen voor factureringsgegevens.
Nieuwe standaardlimiet voor het scannen van malware bij het uploaden in Microsoft Defender voor Storage
27 april 2025
De standaardlimietwaarde voor het scannen van malware bij het uploaden is bijgewerkt van 5000 GB naar 10.000 GB. Deze nieuwe limiet is van toepassing op de volgende scenario's:
New Subscriptions: Subscriptions where Defender for Storage voor het eerst is ingeschakeld.
Re-enabled Subscriptions: Subscriptions where Defender for Storage eerder uitgeschakeld en is nu opnieuw ingeschakeld.
Wanneer Defender voor het scannen van opslagmalware is ingeschakeld voor deze abonnementen, wordt de standaardlimiet voor het scannen van malware bij het uploaden ingesteld op 10.000 GB. Deze cap is aanpasbaar om aan uw specifieke behoeften te voldoen.
Raadpleeg de sectie over malwarescans , facturering per GB, maandelijkse limieten en configuratie voor meer informatie
Algemene beschikbaarheid van systeemeigen integratie van API Security Posture Management binnen Defender CSPM Plan
24 april 2025
API Security Posture Management is nu algemeen beschikbaar als onderdeel van het Defender CSPM-plan. Deze release introduceert een uniforme inventarisatie van uw API's, samen met houdingsinzichten, waarmee u API-risico's effectiever kunt identificeren en prioriteren vanuit uw Defender CSPM plan. U kunt deze mogelijkheid inschakelen via de pagina Omgevingsinstellingen door de API Security Posture-extensie in te schakelen.
Met deze update zijn nieuwe risicofactoren toegevoegd, waaronder risicofactoren voor niet-geverifieerde API's (AllowsAnonymousAccess) en API's die geen versleuteling hebben (UnencryptedAccess). Daarnaast bieden API's die zijn gepubliceerd via Azure API Management nu toewijzing toe aan verbonden Kubernetes Ingresses en VM's, waardoor end-to-end zichtbaarheid wordt geboden in API-blootstelling en ondersteuning bieden voor risicoherstel via analyse van aanvalspaden.
Verbeteringen voor Defender voor app-servicewaarschuwingen
7 april 2025
Op 30 april 2025 worden Defender voor App Service-waarschuwingsmogelijkheden uitgebreid. We voegen waarschuwingen toe voor verdachte code-uitvoeringen en toegang tot interne of externe eindpunten. Daarnaast hebben we de dekking en minder ruis van relevante waarschuwingen verbeterd door onze logica uit te breiden en waarschuwingen te verwijderen die onnodig ruis veroorzaakten. Als onderdeel van dit proces wordt de waarschuwing 'Verdachte WordPress-themaaanroep gedetecteerd' afgeschaft.
Maart 2025
Verbeterde containerbeveiliging met evaluatie van beveiligingsproblemen en malwaredetectie voor AKS-knooppunten is nu algemeen beschikbaar
30 maart 2025
Defender voor Cloud biedt nu evaluatie van beveiligingsproblemen en malwaredetectie voor de knooppunten in Azure Kubernetes Service (AKS) als ALGEMENE beschikbaarheid. Door beveiliging te bieden voor deze Kubernetes-knooppunten kunnen klanten beveiliging en naleving in de beheerde Kubernetes-service behouden en inzicht krijgen in hun deel van de gedeelde beveiligingsverantwoordelijkheid die ze hebben met de beheerde cloudprovider. Als u de nieuwe mogelijkheden wilt ontvangen, moet u de Agentless scannen voor machines" inschakelen als onderdeel van Defender CSPM, Defender voor containers of Defender voor Servers P2-abonnement op uw abonnement.
Evaluatie van beveiligingsproblemen
Er is nu een nieuwe aanbeveling beschikbaar in Azure-portal: AKS-knooppunten moeten beveiligingsproblemen hebben opgelost. Met deze aanbeveling kunt u nu beveiligingsproblemen en CVE's op Azure Kubernetes Service (AKS) knooppunten bekijken en herstellen.
Malwaredetectie
Nieuwe beveiligingswaarschuwingen worden geactiveerd wanneer de detectiefunctie voor malware zonder agent malware detecteert in AKS-knooppunten. Detectie van malware zonder agent maakt gebruik van de Microsoft Defender Antivirus antimalware-engine om schadelijke bestanden te scannen en te detecteren. Wanneer bedreigingen worden gedetecteerd, worden beveiligingswaarschuwingen omgeleid naar Defender voor Cloud en Defender XDR, waar ze kunnen worden onderzocht en hersteld.
Note: Malwaredetectie voor AKS-knooppunten is alleen beschikbaar voor Defender voor containers of Defender voor omgevingen met Servers P2.
Implementatie met kubernetes gated (preview)
27 maart 2025
We introduceren de kubernetes-implementatiefunctie (preview) in het Defender for Containers-plan. Kubernetes gated deployment is een mechanisme voor het verbeteren van Kubernetes-beveiliging door de implementatie van containerinstallatiekopieën te beheren die in strijd zijn met het beveiligingsbeleid van de organisatie.
Deze mogelijkheid is gebaseerd op twee nieuwe functionaliteiten:
- Artefact voor bevindingen over kwetsbaarheden: genereren van bevindingen voor elke container image die is gescand op kwetsbaarheidsbeoordeling.
- Beveiligingsregels: toevoeging van beveiligingsregels om waarschuwingen te geven of de implementatie van kwetsbare containerinstallatiekopieën in Kubernetes-clusters te voorkomen.
Aangepaste beveiligingsregels: klanten kunnen beveiligingsregels aanpassen voor verschillende omgevingen, voor Kubernetes-clusters binnen hun organisatie of voor naamruimten, om beveiligingscontroles in te schakelen die zijn afgestemd op specifieke behoeften en nalevingsvereisten.
Configureerbare acties voor een beveiligingsregel:
Controle: Als u probeert een kwetsbare containerimage te implementeren, wordt een controleactie geactiveerd. Hierbij wordt er een aanbeveling gegenereerd met details over de overtreding met betrekking tot de containerimage.
Weigeren: Als u een kwetsbare containerinstallatiekopie probeert te implementeren, wordt de actie Weigeren geactiveerd om de implementatie van de containerinstallatiekopie te voorkomen, zodat alleen veilige en compatibele installatiekopieën worden geïmplementeerd.
End-to-endbeveiliging: Door het definiëren van bescherming tegen de inzet van kwetsbare containerimages als de eerste beveiligingsregel, introduceren we het end-to-end Kubernetes-beveiligingsmechanisme. Dit zorgt ervoor dat kwetsbare containers niet in de Kubernetes-omgeving van de klant terechtkomen.
Zie het overzicht van de oplossing Gated Deployment voor meer informatie over deze functie.
Aanpasbare scanfilters voor malware bij uploaden in Defender voor Opslag (preview)
27 maart 2025
Scannen op malware bij uploaden ondersteunt nu aanpasbare filters. Gebruikers kunnen uitsluitingsregels instellen voor malwarescans op basis van voorvoegsels, achtervoegsels en blobgrootte bij het uploaden. Door specifieke blobpaden en -typen, zoals logboeken of tijdelijke bestanden, uit te sluiten, kunt u onnodige scans voorkomen en kosten verlagen.
Meer informatie over het configureren van aanpasbare scanfilters voor malware bij uploaden.
Algemene beschikbaarheid voor scannen van VM's zonder agent voor CMK in Azure
26 maart 2025
Scannen zonder agent voor Azure VM's met versleutelde CMK-schijven is nu algemeen beschikbaar. Zowel het Defender CSPM-plan als de Defender voor Servers P2 bieden ondersteuning voor het scannen zonder agents op VM's, nu met CMK-ondersteuning in alle clouds
Meer informatie over het enable scannen zonder agent voor Azure VM's met door CMK versleutelde schijven.
Aanstaande wijziging in de ernstniveaus van de aanbeveling
11 maart 2025
We verbeteren de ernstniveaus van aanbevelingen om de risicoanalyse en prioriteit te verbeteren. Als onderdeel van deze update hebben we alle ernstclassificaties opnieuw geëvalueerd en een nieuw niveau geïntroduceerd: Kritiek. Voorheen werden aanbevelingen onderverdeeld in drie niveaus: Laag, Gemiddeld en Hoog. Met deze update zijn er nu vier verschillende niveaus: Laag, Gemiddeld, Hoog en Kritiek, waardoor een gedetailleerdere risicoanalyse wordt geboden om klanten te helpen zich te concentreren op de meest urgente beveiligingsproblemen.
Als gevolg hiervan kunnen klanten wijzigingen merken in de ernst van bestaande aanbevelingen. Daarnaast kan de evaluatie van het risiconiveau, die alleen beschikbaar is voor Defender CSPM klanten, ook worden beïnvloed omdat rekening wordt gehouden met de ernst van de aanbeveling en de context van activa. Deze aanpassingen kunnen van invloed zijn op het algehele risiconiveau.
De verwachte wijziging vindt plaats op 25 maart 2025.
Algemene beschikbaarheid van FIM (File Integrity Monitoring) op basis van Microsoft Defender voor Eindpunt in Azure Government
03 maart 2025
Bewaking van bestandsintegriteit op basis van Microsoft Defender voor Eindpunt is nu algemeen beschikbaar in Azure Government (GCCH) als onderdeel van Defender voor Servers Plan 2.
- Voldoen aan nalevingsvereisten door kritieke bestanden en registers in realtime te controleren en de wijzigingen te controleren.
- Identificeer mogelijke beveiligingsproblemen door verdachte bestandsinhoudswijzigingen te detecteren.
Deze verbeterde FIM-ervaring vervangt de bestaande versie die is ingesteld voor afschaffing door de buitengebruikstelling van de Log Analytics Agent (MMA). De FIM-ervaring via MMA blijft tot eind maart 2023 ondersteund in Azure Government.
Met deze release wordt een in-productervaring uitgebracht waarmee u uw FIM-configuratie via MMA kunt migreren naar de nieuwe FIM via Defender voor de eindpuntversie.
Zie File Integrity Monitoring met behulp van Microsoft Defender voor Eindpunt voor meer informatie over het inschakelen van FIM via Defender voor Eindpunt. Zie Bewaking van bestandsintegriteit migreren vanuit eerdere versies voor meer informatie over het uitschakelen van eerdere versies en het gebruik van het hulpprogramma voor migratie.
Important
De beschikbaarheid van bewaking van bestandsintegriteit in Azure beheerd door 21Vianet en in GCCM-clouds wordt momenteel niet ondersteund.
Februari 2025
| Date | Category | Update |
|---|---|---|
| 27 februari | Change | Verbeterde weergave van AWS EC2-resourcenaam |
| 27 februari | GA | On-demand malwarescans in Microsoft Defender voor Storage |
| 27 februari | GA | Defender voor het scannen van opslagmalware op blobs tot 50 GB |
| 23 februari | Preview | Agentloze kwetsbaarheidsbeoordeling onafhankelijk van containerregisters voor AKS-runtimecontainers (preview) |
| 23 februari | Preview | Dashboard voor gegevens en AI-beveiliging (preview) |
| 19 februari | Preview | MDC Cost Calculator (preview) |
| 19 februari | Preview | 31 nieuwe en verbeterde dekking van regelgevingsstandaarden voor meerdere clouds |
Verbeterde weergave van de AWS EC2-resourcenaam
27 februari 2025
Geschatte datum voor wijziging: Maart 2025
We verbeteren hoe resourcenamen worden weergegeven voor AWS EC2-exemplaren in ons platform. Als voor een EC2-exemplaar een naamtag is gedefinieerd, wordt in het veld Resourcenaam nu de waarde van die tag weergegeven. Als er geen tag 'naam' aanwezig is, blijft het veld Resourcenaam de exemplaar-id weergeven zoals voorheen. De resource-id is nog steeds beschikbaar in het veld Resource-id ter referentie.
Met behulp van de EC2-tag 'name' kunt u uw resources eenvoudig identificeren met aangepaste, betekenisvolle namen in plaats van id's. Hierdoor kunt u sneller specifieke exemplaren vinden en beheren, waardoor u minder tijd en moeite hebt besteed aan het zoeken of kruisverwijzingen van exemplaardetails.
Scannen op malware op aanvraag in Microsoft Defender voor Storage
27 februari 2025
Scannen op malware op aanvraag in Microsoft Defender voor Opslag, nu in algemene beschikbaarheid, maakt het scannen van bestaande blobs in Azure Storage accounts mogelijk wanneer dat nodig is. Scans kunnen worden gestart vanuit de gebruikersinterface van de Azure portal of via de REST API, ondersteuning voor automatisering via Logic Apps, Automation-playbooks en PowerShell-scripts. Deze functie maakt gebruik van Microsoft Defender Antivirus met de nieuwste malwaredefinities voor elke scan en biedt vooraf kostenramingen in de Azure-portal voordat u gaat scannen.
Gebruiksvoorbeelden:
- Reactie op incidenten: scan specifieke opslagaccounts na het detecteren van verdachte activiteiten.
- Beveiligingsbasislijn: alle opgeslagen gegevens scannen bij het inschakelen van Defender voor Opslag.
- Naleving: Stel automatisering in om scans te plannen die helpen voldoen aan regelgevings- en gegevensbeschermingsstandaarden.
Zie Scannen op malware op aanvraag voor meer informatie.
Defender voor het scannen van opslagmalware op blobs tot 50 GB
27 februari 2025
Defender voor het scannen van opslagmalware ondersteunt nu blobs tot 50 GB (voorheen beperkt tot 2 GB).
Houd er rekening mee dat voor opslagaccounts waarbij grote blobs worden geüpload, de verhoogde blobgroottelimiet leidt tot hogere maandelijkse kosten.
Als u onverwachte hoge kosten wilt voorkomen, kunt u een geschikte limiet instellen voor het totale aantal GB dat per maand is gescand. Zie Kostenbeheer voor het scannen van malware bij uploaden voor meer informatie.
Agentloze, containerregister-agnostische beoordeling van kwetsbaarheden voor AKS-runtimecontainers (preview)
23 februari 2025
Defender voor containers en Defender voor Cloud CSPM-plannen (Security Posture Management), omvat nu de evaluatie van beveiligingsproblemen zonder agent voor containerregisters voor AKS-runtimecontainers. Met deze nieuwe functie wordt de dekking voor beveiligingsevaluatie uitgebreid, zodat deze ook actieve containers omvat met instantie-afbeeldingen uit elk register (dus niet beperkt tot ondersteunde registers), naast het scannen van Kubernetes-add-ons en tools van derden die in uw AKS-clusters worden uitgevoerd. Als u deze functie wilt inschakelen, moet u ervoor zorgen dat Agentless machinescans is ingeschakeld voor uw abonnement in de omgevingsinstellingen van Defender voor Cloud.
Dashboard voor gegevens en AI-beveiliging (preview)
23 februari 2025
Defender voor Cloud verbetert het dashboard voor gegevensbeveiliging om AI-beveiliging op te nemen met het nieuwe data- en AI-beveiligingsdashboard in preview. Het dashboard biedt een gecentraliseerd platform voor het bewaken en beheren van gegevens en AI-resources, samen met de bijbehorende risico's en beveiligingsstatus.
Belangrijke voordelen van het dashboard voor gegevens- en AI-beveiliging zijn:
- Geïntegreerde weergave: krijg een uitgebreide weergave van alle organisatiegegevens en AI-resources.
- Gegevensinzichten: inzicht krijgen in waar uw gegevens worden opgeslagen en de typen resources die deze bevatten.
- Beschermingsdekking: beoordeel de beschermingsdekking van uw gegevens en AI-resources.
- Kritieke problemen: markeer resources die onmiddellijke aandacht vereisen op basis van aanbevelingen met hoge ernst, waarschuwingen en aanvalspaden.
- Detectie van gevoelige gegevens: gevoelige gegevensresources zoeken en samenvatten in uw cloud- en AI-assets.
- AI-workloads: Ontdek footprints voor AI-toepassingen, waaronder services, containers, gegevenssets en modellen.
Meer informatie over het dashboard gegevens- en AI-beveiliging.
MDC Kostenberekenaar (Voorbeeld)
19 februari 2025
We introduceren graag onze nieuwe MDC-kostencalculator om u te helpen eenvoudig de kosten te schatten die zijn gekoppeld aan het beveiligen van uw cloudomgevingen. Dit hulpprogramma is op maat gemaakt om u een duidelijk en nauwkeurig inzicht te geven in uw uitgaven, zodat u effectief kunt plannen en budgetteren.
Waarom de kostencalculator gebruiken?
Onze kostencalculator vereenvoudigt het proces van het schatten van kosten doordat u het bereik van uw beveiligingsbehoeften kunt definiëren. U selecteert de omgevingen en plannen die u wilt inschakelen en de calculator vult automatisch de factureerbare resources voor elk abonnement in, inclusief eventuele toepasselijke kortingen. U krijgt een uitgebreid overzicht van uw potentiële kosten zonder verrassingen.
Belangrijke functies:
Bereikdefinitie: Selecteer de plannen en omgevingen die u interesseren. De calculator voert een detectieproces uit om automatisch het aantal factureerbare eenheden voor elk plan per omgeving te vullen.
Automatische en handmatige aanpassingen: met het hulpprogramma kunnen zowel gegevens automatisch worden verzameld als handmatige aanpassingen. U kunt de eenheidshoeveelheid en kortingsniveaus wijzigen om te zien hoe wijzigingen van invloed zijn op de totale kosten.
Uitgebreide kostenraming: de calculator biedt een schatting voor elk plan en een rapport met totale kosten. U krijgt een gedetailleerde uitsplitsing van de kosten, zodat u uw uitgaven gemakkelijker kunt begrijpen en beheren.
Ondersteuning voor meerdere clouds: Onze oplossing werkt voor alle ondersteunde clouds, zodat u nauwkeurige kostenramingen krijgt, ongeacht uw cloudprovider.
Exporteren en delen: Zodra u uw kostenraming hebt, kunt u deze eenvoudig exporteren en delen voor budgetplanning en goedkeuringen.
31 nieuwe en verbeterde dekking van regelgevingsstandaarden voor meerdere clouds
19 februari 2025
We zijn verheugd om de verbeterde en uitgebreide ondersteuning van meer dan 31 beveiligings- en regelgevingsframeworks in Defender voor Cloud over Azure, AWS en; GCP. Deze verbetering vereenvoudigt het pad naar het bereiken en onderhouden van naleving, vermindert het risico op gegevensschendingen en helpt boetes en reputatieschade te voorkomen.
De nieuwe en verbeterde frameworks zijn:
| Standards | Clouds |
|---|---|
| EU 2022 2555 (NIS2) 2022 | Azure, AWS, GCP |
| Algemene verordening gegevensbescherming van de EU (AVG) 2016 679 | Azure, AWS, GCP |
| NIST CSF v2.0 | Azure, AWS, GCP |
| NIST 800 171 Rev3 | Azure, AWS, GCP |
| NIST SP 800 53 R5.1.1 | Azure, AWS, GCP |
| PCI DSS v4.0.1 | Azure, AWS, GCP |
| CIS AWS Foundations v3.0.0 | AWS |
| CIS Azure Foundations v2.1.0 | Azure |
| CIS-besturingselementen v8.1 | Azure, AWS, GCP |
| CIS GCP Foundations v3.0 | GCP |
| HITRUST CSF v11.3.0 | Azure, AWS, GCP |
| SOC 2023 | Azure, AWS, GCP |
| SWIFT Beveiligingscontrolesysteem voor klanten 2024 | Azure, AWS, GCP |
| ISO IEC 27001:2022 | Azure, AWS, GCP |
| ISO IEC 27002:2022 | Azure, AWS, GCP |
| ISO IEC 27017:2015 | Azure, AWS, GCP |
| CMMC (Cybersecurity Maturity Model Certification) Niveau 2 v2.0 | Azure, AWS, GCP |
| AWS Well Architected Framework 2024 | AWS |
| Canada Federale PBMM 3.2020 | Azure, AWS, GCP |
| APRA CPS 234 2019 | Azure, AWS |
| CSA Cloud Controls Matrix v4.0.12 | Azure, AWS, GCP |
| Cyber Essentials v3.1 | Azure, AWS, GCP |
| Beveiligingsbeleid voor Strafrechtelijke Informatiedienst v5.9.5 | Azure, AWS, GCP |
| FFIEC CAT 2017 | Azure, AWS, GCP |
| Braziliaanse Algemene Wet gegevensbescherming (LGPD) 2018 | Azure |
| NZISM v3.7 | Azure, AWS, GCP |
| Sarbanes Oxley Act 2022 (SOX) | Azure, AWS |
| NCSC Cyber Assurance Framework (CAF) v3.2 | Azure, AWS, GCP |
Hiermee worden de recente releases van CIS Azure Kubernetes Service (AKS) v1.5, CIS Google Kubernetes Engine (GKE) v1.6 en CIS Amazon Elastic Kubernetes Service (EKS) v.15 van enkele maanden geleden samengevoegd.
Voor meer informatie over Defender voor Cloud aanbieding voor naleving van regelgeving, Meer informatie>
Januari 2025
| Date | Category | Update |
|---|---|---|
| 30 januari | GA | Bijwerken om criteria voor containerregisters te scannen |
| januari 29 | Change | Verbeteringen voor het scannen van beveiligingsproblemen in containers, mogelijk gemaakt door MDVM |
| 27 januari | GA | Machtigingen die zijn toegevoegd aan de GCP-connector ter ondersteuning van AI-platforms |
| 20 januari | Change | Verbeteringen voor Linux-baselines-aanbevelingen, aangedreven door GC |
Bijwerken om criteria voor containerregisters te scannen
30 januari 2025
We werken een van de scancriteria voor registerinstallatiekopieën bij in de preview-aanbeveling voor registerinstallatiekopieën in alle clouds en externe registers (Azure, AWS, GCP, Docker, JFrog).
Wat verandert er?
We scannen momenteel afbeeldingen opnieuw gedurende 90 dagen nadat ze naar een register zijn gepusht. Dit wordt nu gewijzigd om 30 dagen terug te scannen.
Note
Er zijn geen wijzigingen in de gerelateerde GA-aanbevelingen voor beoordeling van kwetsbaarheden in containerregisterafbeeldingen (VA).
Verbeteringen voor het scannen van beveiligingsproblemen in containers, mogelijk gemaakt door MDVM
29 januari 2025
We zijn verheugd om verbeteringen aan te kondigen voor onze scandekking voor beveiligingsproblemen in containers met de volgende updates:
Aanvullende programmeertalen: nu ondersteuning voor PHP, Ruby en Rust.
Extended Java Language Support: Bevat scannen op uitgelichte JAR's.
Verbeterd geheugengebruik: geoptimaliseerde prestaties bij het lezen van grote containerinstallatiekopieënbestanden.
Machtigingen die zijn toegevoegd aan de GCP-connector ter ondersteuning van AI-platforms
27 januari 2025
De GCP-connector heeft nu aanvullende machtigingen ter ondersteuning van het GCP AI Platform (Vertex AI):
- aiplatform.batchPredictionJobs.list
- aiplatform.customJobs.list
- aiplatform.datasets.list
- aiplatform.datasets.get
- aiplatform.endpoints.getIamPolicy
- aiplatform.endpoints.list
- aiplatform.indexEndpoints.list
- aiplatform.indexes.list
- aiplatform.models.list
- aiplatform.models.get
- aiplatform.pipelineJobs.list
- aiplatform.schedules.list
- aiplatform.tuningJobs.list
- discoveryengine.dataStores.list
- discoveryengine.documents.list
- discoveryengine.engines.list
- notebooks.instances.list
Verbeteringen voor de aanbeveling voor Linux-basislijnen, mogelijk gemaakt door GC
20 januari 2025
We verbeteren de nauwkeurigheid en dekking van de Linux-functie Basislijnen (mogelijk gemaakt door GC). In februari ziet u mogelijk wijzigingen, zoals bijgewerkte regelnamen en aanvullende regels. Deze verbeteringen zijn ontworpen om de evaluatie van basislijnen nauwkeuriger en up-to-date te maken. Raadpleeg de relevante blog voor meer informatie over de wijzigingen
Sommige van de wijzigingen kunnen extra 'openbare preview'-wijzigingen bevatten. Deze update is nuttig voor u en we willen u op de hoogte houden. Als u wilt, kunt u zich afmelden voor deze aanbeveling door deze uit uw resource te verwijderen of de GC-extensie te verwijderen.
2024 december
| Date | Category | Update |
|---|---|---|
| 31 december | GA | Wijzigingen in het scaninterval van bestaande cloudconnectors |
| 22 december | GA | Microsoft Defender voor Eindpunt clientversieupdate is vereist voor het ontvangen van fim-ervaring (File Integrity Monitoring |
| 17 december | Preview | Integrate Defender voor Cloud CLI met populaire CI/CD-hulpprogramma's |
| 10 december | GA | Defender voor Cloud Installatie |
| 10 december | GA | Herziene intervalopties voor Defender voor Cloud scan van een cloudomgeving |
| 17 december | GA | Mogelijkheden voor het scannen van vertrouwelijkheid omvatten nu Azure-bestandsdelen |
Wijzigingen in het scaninterval van bestaande cloudconnectors
31 december 2024
Eerder deze maand werd een update gepubliceerd met betrekking tot de herziene Defender voor Cloud intervalopties voor het scannen van een cloudomgeving. De instelling voor het scaninterval bepaalt hoe vaak de detectieservices van Defender voor Cloud uw cloudresources scannen. Deze wijziging zorgt voor een evenwichtiger scanproces, het optimaliseren van de prestaties en het minimaliseren van het risico op het bereiken van API-limieten.
Instellingen voor scaninterval voor bestaande AWS- en GCP-cloudconnectors worden bijgewerkt om ervoor te zorgen dat Defender voor Cloud uw cloudomgevingen kan scannen.
De volgende aanpassingen worden aangebracht:
- Intervallen die momenteel tussen 1 en 3 uur zijn ingesteld, worden bijgewerkt naar 4 uur.
- Intervallen die zijn ingesteld op 5 uur, worden bijgewerkt naar 6 uur.
- Intervallen tussen 7 en 11 uur worden bijgewerkt naar 12 uur.
- Intervallen van 13 uur of meer worden bijgewerkt naar 24 uur.
Als u liever een ander scaninterval gebruikt, kunt u cloudconnectors aanpassen met behulp van de pagina omgevingsinstellingen. Deze wijzigingen worden vanaf begin februari 2025 automatisch toegepast op alle klanten en er is geen verdere actie vereist.
Mogelijkheden voor het scannen van gevoeligheid zijn nu Azure bestandsshares
17 december 2024
de mogelijkheden voor het scannen van beveiligingspostuurbeheer (CSPM) van Defender voor Cloud bevatten nu naast blobcontainers ook Azure bestandsshares.
Vóór deze update zou het inschakelen van het Defender CSPM-abonnement voor een abonnement automatisch blobcontainers in opslagaccounts scannen op gevoelige gegevens. Met deze update bevat Defender voor de functie voor het scannen van vertrouwelijkheid van CSPM nu bestandsshares binnen die opslagaccounts. Deze verbetering verbetert de risicoanalyse en bescherming van gevoelige opslagaccounts, waardoor een uitgebreidere analyse van potentiële risico's wordt geboden.
Meer informatie over gevoeligheidsscans.
Integreer Defender voor Cloud CLI met populaire CI/CD-hulpprogramma's
Defender voor Cloud CLI-scanintegratie met populaire CI/CD-hulpprogramma's in Microsoft Defender voor Cloud is nu beschikbaar voor openbare preview. De CLI kan nu worden opgenomen in CI/CD-pijplijnen om beveiligingsproblemen in containercode te scannen en te identificeren. Deze functie helpt ontwikkelteams bij het detecteren en aanpakken van beveiligingsproblemen in code tijdens het uitvoeren van pijplijnen. Hiervoor is verificatie vereist voor het Microsoft Defender voor Cloud en wijzigen van het pijplijnscript. Scanresultaten worden geüpload naar Microsoft Defender voor Cloud, zodat beveiligingsteams deze kunnen bekijken en correleren met containers in het containerregister. Deze oplossing biedt continue en geautomatiseerde inzichten om risicodetectie en -respons te versnellen, waardoor beveiliging zonder werkstromen wordt onderbroken.
Gebruiksvoorbeelden:
- Pijplijnscans in CI/CD-hulpprogramma's: beveiligd monitoren van alle pijplijnen die de CLI gebruiken.
- Vroege detectie van beveiligingsproblemen: resultaten worden gepubliceerd in de pijplijn en verzonden naar Microsoft Defender voor Cloud.
- Doorlopende beveiligingsinzichten: houd zichtbaarheid en reageer snel in ontwikkelingscycli zonder de productiviteit te belemmeren.
Zie Integrate Defender voor Cloud CLI met populaire CI/CD Tools voor meer informatie.
Defender voor Cloud installatie
10 december 2024
Met de installatie-ervaring kunt u uw eerste stappen starten met Microsoft Defender voor Cloud door cloudomgevingen, zoals cloudinfrastructuur, codeopslagplaatsen en externe containerregisters, te verbinden.
U wordt begeleid bij het instellen van uw cloudomgeving, om uw assets te beschermen met geavanceerde beveiligingsplannen, moeiteloos snelle acties uit te voeren om de beveiligingsdekking op schaal te verhogen, op de hoogte te zijn van connectiviteitsproblemen en op de hoogte te worden gesteld van nieuwe beveiligingsmogelijkheden. U kunt in het menu Defender voor Cloud naar de nieuwe ervaring navigeren door Setup te selecteren.
Herziene intervalopties voor Defender voor Cloud scan van een cloudomgeving
10 december 2024
De scanintervalopties voor cloudconnectors die zijn gekoppeld aan AWS, GCP, Jfrog en DockerHub zijn herzien. Met de functie voor het scaninterval kunt u de frequentie bepalen waarmee de Defender voor Cloud een scan van de cloudomgeving initieert. U kunt het scaninterval instellen op 4, 6, 12 of 24 uur bij het toevoegen of bewerken van een cloudconnector. Het standaardscaninterval voor nieuwe connectors blijft 12 uur.
Microsoft Defender voor Eindpunt clientversie-update is vereist voor het ontvangen van fim-ervaring (File Integrity Monitoring)
Juni 2025
Vanaf juni 2025 vereist FIM (File Integrity Monitoring) een minimale Defender voor de MDE-clientversie (Endpoint). Zorg ervoor dat u minimaal de volgende clientversies gebruikt om te blijven profiteren van de FIM-ervaring in Microsoft Defender voor Cloud: voor Windows: 10.8760, voor Linux: 30.124082. Meer informatie
november 2024
Mogelijkheden voor het scannen van gevoeligheid zijn nu Azure bestandsshares (preview)
28 november 2024
De mogelijkheden voor het scannen van beveiligingspostuurbeheer (CSPM) van Defender voor Cloud bevatten nu Azure bestandsshares (in preview) naast blobcontainers.
Vóór deze update zou het inschakelen van het Defender CSPM-abonnement voor een abonnement automatisch blobcontainers in opslagaccounts scannen op gevoelige gegevens. Met deze update bevat Defender voor de functie voor het scannen van vertrouwelijkheid van CSPM nu bestandsshares binnen die opslagaccounts. Deze verbetering verbetert de risicoanalyse en bescherming van gevoelige opslagaccounts, waardoor een uitgebreidere analyse van potentiële risico's wordt geboden.
Meer informatie over gevoeligheidsscans.
Wijzigingen in toestemmingen voor gevoeligheidslabels
26 november 2024
U hoeft de speciale toestemmingsknop niet meer te selecteren onder de sectie 'Information Protection' op de pagina Labels om te profiteren van aangepaste informatietypen en vertrouwelijkheidslabels die zijn geconfigureerd in de Microsoft 365 Defender-portal of Microsoft Purview-portal.
Met deze wijziging worden alle aangepaste informatietypen en vertrouwelijkheidslabels automatisch geïmporteerd in de Microsoft Defender voor Cloud-portal.
Meer informatie over instellingen voor gegevensgevoeligheid.
Wijzigingen in vertrouwelijkheidslabels
26 november 2024
Tot voor kort Defender voor Cloud alle vertrouwelijkheidslabels geïmporteerd uit de Microsoft 365 Defender-portal die aan de volgende twee voorwaarden voldoen:
- Vertrouwelijkheidslabels waarvoor hun bereik is ingesteld op 'Items -> Files' of 'Items -> Emails', onder de sectie 'Definieer het bereik van uw label' in de sectie Information Protection.
- Het vertrouwelijkheidslabel heeft een regel voor automatische labeling geconfigureerd.
Vanaf 26 november 2024 zijn de namen van de vertrouwelijkheidslabelbereiken in de gebruikersinterface (UI) bijgewerkt in zowel de Microsoft 365 Defender-portal als de Microsoft Purview-portal. Defender voor Cloud importeert nu alleen vertrouwelijkheidslabels met het bereik Bestanden en andere gegevensassets die erop zijn toegepast. Defender voor Cloud geen labels meer importeert met het bereik 'E-mailberichten' waarop ze zijn toegepast.
Note
Labels die geconfigureerd waren met "Items -> Bestanden" voordat deze wijziging werd doorgevoerd, worden automatisch gemigreerd naar het nieuwe bereik "Bestanden en andere gegevensbestanden."
Meer informatie over het configureren van vertrouwelijkheidslabels.
Defender voor het scannen van opslagmalware op blobs tot 50 GB (preview)
25 november 2024
Geschatte datum voor wijziging: 1 december 2024
Vanaf 1 december 2024 Defender voor het scannen van opslagmalware ondersteunt blobs tot 50 GB in grootte (voorheen beperkt tot 2 GB).
Houd er rekening mee dat voor opslagaccounts waarbij grote blobs worden geüpload, de verhoogde blobgroottelimiet leidt tot hogere maandelijkse kosten.
Als u onverwachte hoge kosten wilt voorkomen, kunt u een geschikte limiet instellen voor het totale aantal gescande GB per maand. Zie Kostenbeheer voor het scannen van malware bij uploaden voor meer informatie.
Bijgewerkte versies van CIS-standaarden voor beheerde Kubernetes-omgevingen en nieuwe aanbevelingen
19 november 2024
Defender voor Cloud's dashboard voor naleving van regelgeving biedt nu bijgewerkte versies van de CIS-standaarden (Center for Internet Security) voor het beoordelen van de beveiligingspostuur van beheerde Kubernetes-omgevingen.
Vanuit het dashboard kunt u de volgende standaarden toewijzen aan uw AWS/EKS/GKE Kubernetes-resources:
- CIS Azure Kubernetes Service (AKS) v1.5.0
- CIS Google Kubernetes Engine (GKE) v1.6.0
- CIS Amazon Elastic Kubernetes Service (EKS) v1.5.0
Om de best mogelijke dekking voor deze standaarden te garanderen, hebben we onze dekking verrijkt door ook 79 nieuwe Kubernetes-gerichte aanbevelingen uit te brengen.
Als u deze nieuwe aanbevelingen wilt gebruiken, wijst u de hierboven vermelde standaarden toe of maakt u een aangepaste standaard en neemt u een of meer van de nieuwe evaluaties hierin op.
Openbare preview van Kubernetes-gebeurtenissen in cloudprocessen bij geavanceerd onderzoek
We kondigen de preview-release van Kubernetes-cloudprocesgebeurtenissen aan bij geavanceerde opsporing. Deze krachtige integratie biedt gedetailleerde informatie over Kubernetes-procesevenementen die plaatsvinden in uw omgevingen met meerdere clouds. U kunt deze gebruiken om bedreigingen te detecteren die kunnen worden waargenomen via procesdetails, zoals schadelijke processen die worden aangeroepen in uw cloudinfrastructuur. Zie CloudProcessEvents voor meer informatie.
Afschaffing van de byol-functie (Bring Your Own License) in het beheer van beveiligingsproblemen
19 november 2024
Geschatte datum van wijziging:
3 februari 2025: De functie is niet meer beschikbaar voor het onboarden van nieuwe machines en abonnementen.
1 mei 2025: De functie wordt volledig afgeschaft en is niet meer beschikbaar.
Als onderdeel van onze inspanningen om de Defender voor Cloud beveiligingservaring te verbeteren, stroomlijnen we onze oplossingen voor evaluatie van beveiligingsproblemen. We verwijderen de functie Bring Your Own License in Defender voor Cloud. U gaat nu Microsoft Beveiliging Exposure Management-connectors gebruiken voor een naadlozere, geïntegreerde en volledige oplossing.
U wordt aangeraden over te stappen op de nieuwe connectoroplossing binnen Microsoft Beveiliging Exposure Management. Ons team is er om u door deze overgang te ondersteunen.
Zie Overview of connecting data sources in Microsoft Beveiliging Exposure Management - Microsoft Beveiliging Exposure Management voor meer informatie over het gebruik van de connectors.
Scannen van code zonder agent in Microsoft Defender voor Cloud (preview)
19 november 2024
Scannen van code zonder agent in Microsoft Defender voor Cloud is nu beschikbaar voor openbare preview. Het biedt snelle en schaalbare beveiliging voor alle opslagplaatsen in Azure DevOps organisaties met één connector. Met deze oplossing kunnen beveiligingsteams beveiligingsproblemen in configuraties voor code en infrastructuur als code (IaC) vinden en oplossen in Azure DevOps omgevingen. Er zijn geen agents, wijzigingen in pijplijnen of onderbrekingen van werkstromen voor ontwikkelaars vereist, waardoor het instellen en onderhoud eenvoudig is. Het werkt onafhankelijk van pijplijnen voor continue integratie en continue implementatie (CI/CD). De oplossing biedt continue en geautomatiseerde inzichten om risicodetectie en risico-respons te versnellen, en te garanderen dat de beveiliging wordt gehandhaafd zonder werkstromen te onderbreken.
Gebruiksvoorbeelden:
- Organization-wide scanning: U kunt alle opslagplaatsen in Azure DevOps organisaties veilig bewaken met één connector.
- Vroege detectie van beveiligingsproblemen: Snel code- en IaC-risico's vinden voor proactief risicobeheer.
- Doorlopende beveiligingsinzichten: Houd zichtbaarheid en reageer snel in ontwikkelingscycli zonder dat dit van invloed is op de productiviteit.
Zie Agentless codescans in Microsoft Defender voor Cloud voor meer informatie.
Scannen op malware op aanvraag in Microsoft Defender voor Opslag (preview)
19 november 2024
Scannen op malware op aanvraag in Microsoft Defender voor Storage, nu in openbare preview, maakt het scannen van bestaande blobs in Azure Storage accounts mogelijk wanneer dat nodig is. Scans kunnen worden gestart vanuit de gebruikersinterface van de Azure portal of via de REST API, ondersteuning voor automatisering via Logic Apps, Automation-playbooks en PowerShell-scripts. Deze functie maakt gebruik van Microsoft Defender Antivirus met de nieuwste malwaredefinities voor elke scan en biedt vooraf kostenramingen in de Azure-portal voordat u gaat scannen.
Gebruiksvoorbeelden:
- Reactie op incidenten: scan specifieke opslagaccounts na het detecteren van verdachte activiteiten.
- Beveiligingsbasislijn: alle opgeslagen gegevens scannen bij het inschakelen van Defender voor Opslag.
- Naleving: Stel automatisering in om scans te plannen die helpen voldoen aan regelgevings- en gegevensbeschermingsstandaarden.
Zie Scannen op malware op aanvraag voor meer informatie.
Ondersteuning voor JFrog Artifactory-containerregisters door Defender voor containers (preview)
18 november 2024
Deze functie breidt Microsoft Defender voor containers-dekking van externe registers uit om JFrog Artifactory op te nemen. Uw JFrog Artifactory-containerinstallatiekopieën worden gescand met behulp van Microsoft Defender Vulnerability Management om beveiligingsrisico's te identificeren en potentiële beveiligingsrisico's te beperken.
AI-beveiligingspostuurbeheer is nu algemeen beschikbaar (GA)
18 november 2024
de functies voor het beheer van AI-beveiligingspostuur (GA) van Defender voor Cloud zijn nu algemeen beschikbaar.
Defender voor Cloud vermindert het risico voor ai-workloads in de cloud door:
Ontdekking van generatieve AI Bill of Materials (AI BOM), waaronder toepassingsonderdelen, gegevens en AI-artefacten van code tot cloud.
Versterking van de beveiligingshouding van generatieve AI-toepassingen met ingebouwde aanbevelingen en door beveiligingsrisico's te identificeren en op te lossen.
Gebruik de analyse van het aanvalspad om risico's te identificeren en op te lossen.
Meer informatie over ai-beveiligingspostuurbeheer.
Bescherming van kritieke assets in Microsoft Defender voor Cloud
18 november 2024
Vandaag kondigen we de algemene beschikbaarheid van kritieke activabescherming aan in Microsoft Defender voor Cloud. Met deze functie kunnen beveiligingsbeheerders de 'kroonjuwelen'-resources taggen die het meest essentieel zijn voor hun organisaties, zodat Defender voor Cloud hen het hoogste beschermingsniveau kan bieden en beveiligingsproblemen op deze assets prioriteit kan geven boven alle andere. Meer informatie over bescherming van kritieke assets.
Naast de release voor algemene beschikbaarheid breiden we ook de ondersteuning uit voor het taggen van Kubernetes en niet-menselijke identiteitsresources.
Verbeterde bescherming van kritieke activa voor containers
18 november 2024
Kritieke bescherming van activa wordt uitgebreid ter ondersteuning van extra gebruiksscenario's voor containers.
Gebruikers kunnen nu aangepaste regels maken die assets markeren die worden beheerd door Kubernetes (workloads, containers enzovoort) als kritiek op basis van de Kubernetes-naamruimte en/of het Kubernetes-label van de asset.
Net als bij andere gebruiksscenario's voor kritieke assetbeveiliging houdt Defender voor Cloud rekening met de kritieke assetkritiek voor risico prioritering, analyse van aanvalspaden en beveiligingsverkenner.
Verbeteringen voor het detecteren en reageren op containerbedreigingen
18 november 2024
Defender voor Cloud biedt een suite met nieuwe functies om SOC-teams in staat te stellen om containerbedreigingen te ackle in cloudomgevingen met een grotere snelheid en precisie. Deze verbeteringen zijn onder andere Threat Analytics, GoHunt-mogelijkheden, Microsoft Security Copilot begeleide respons en cloudeigen antwoordacties voor Kubernetes-pods.
Introductie van cloudeigen reactieacties voor Kubernetes-pods (preview)
Defender voor Cloud biedt nu reactieacties voor meerdere clouds voor Kubernetes-pods, exclusief toegankelijk vanuit de Defender XDR-portal. Deze mogelijkheden verbeteren de reactie op incidenten voor AKS-, EKS- en GKE-clusters.
Hier volgen nieuwe antwoordacties:
Netwerkisolatie : blokkeert direct al het verkeer naar een pod, waardoor laterale verplaatsing en gegevensexfiltratie worden voorkomen. Vereist configuratie van netwerkbeleid in uw kubernetes-cluster.
Beëindiging van pods: beëindig verdachte pods snel, waardoor schadelijke activiteiten worden gestopt zonder de bredere toepassing te verstoren.
Met deze acties kunnen SOC-teams bedreigingen effectief beheersen in cloudomgevingen.
Bedreigingsanalyserapport voor containers
We introduceren een specifiek Threat Analytics-rapport dat is ontworpen om uitgebreide inzicht te bieden in bedreigingen die gericht zijn op in containers geplaatste omgevingen. Dit rapport biedt SOC-teams inzicht om de nieuwste aanvalspatronen op AKS-, EKS- en GKE-clusters te detecteren en erop te reageren.
Belangrijke hoogtepunten:
- Gedetailleerde analyse van de belangrijkste bedreigingen en bijbehorende aanvalstechnieken binnen Kubernetes-omgevingen.
- Bruikbare aanbevelingen om uw cloudeigen beveiligingspostuur te versterken en opkomende risico's te beperken.
GoHunt voor Kubernetes-pods & Azure resources
GoHunt breidt nu de opsporingsmogelijkheden uit om Kubernetes-pods en Azure resources in de Defender XDR-portal op te nemen. Deze functie verbetert proactieve opsporing van bedreigingen, waardoor SOC-analisten diepgaande onderzoeken kunnen uitvoeren op cloudeigen workloads.
Belangrijke functies:
- Geavanceerde querymogelijkheden voor het detecteren van afwijkingen in Kubernetes-pods en Azure resources, met uitgebreidere context voor bedreigingsanalyse.
- Naadloze integratie met Kubernetes-entiteiten voor efficiënte opsporing en onderzoek van bedreigingen.
Security Copilot Begeleide reactie voor Kubernetes-pods
Introductie van begeleide respons voor Kubernetes-pods, een functie die mogelijk wordt gemaakt door Security Copilot. Deze nieuwe mogelijkheid biedt stapsgewijze instructies in realtime, zodat SOC-teams snel en effectief kunnen reageren op containerbedreigingen.
Belangrijke voordelen:
- Contextuele antwoordplaybooks die zijn afgestemd op veelvoorkomende Kubernetes-aanvalsscenario's.
- Deskundige, realtime ondersteuning van Security Copilot, het overbruggen van de kennisruimte en het inschakelen van een snellere oplossing.
Systeemeigen integratie van API Security Posture Management binnen Defender CSPM plan nu in openbare preview
15 november 2024
De mogelijkheden voor api-beveiligingspostuurbeheer (preview) zijn nu opgenomen in het Defender CSPM-plan en kunnen worden ingeschakeld via extensies binnen het plan onder de pagina omgevingsinstellingen. Zie Uw API-beveiligingspostuur verbeteren (preview) voor meer informatie.
Verbeterde containerbeveiliging met evaluatie van beveiligingsproblemen en malwaredetectie voor AKS-knooppunten (preview)
13 november 2024
Defender voor Cloud biedt nu evaluatie van beveiligingsproblemen en malwaredetectie voor de knooppunten in Azure Kubernetes Service (AKS) en biedt klanten duidelijkheid over hun rol in de gedeelde beveiligingsverantwoordelijkheid die ze hebben bij de beheerde cloudprovider.
Door beveiliging te bieden voor deze Kubernetes-knooppunten kunnen klanten beveiliging en naleving in de beheerde Kubernetes-service behouden.
Als u de nieuwe mogelijkheden wilt ontvangen, moet u de optie agentloos scannen op machines inschakelen in de Defender CSPM, Defender voor containers of Defender voor Servers P2-abonnement in uw abonnement.
Evaluatie van beveiligingsproblemen
Er is nu een nieuwe aanbeveling beschikbaar in Azure portal: AKS nodes should have vulnerability findings resolved. Via deze aanbeveling kunt u nu beveiligingsproblemen en CV's op Azure Kubernetes Service (AKS) knooppunten bekijken en herstellen.
Malwaredetectie
Nieuwe beveiligingswaarschuwingen worden geactiveerd wanneer de detectiefunctie voor malware zonder agent malware detecteert in AKS-knooppunten.
Detectie van malware zonder agent maakt gebruik van de Microsoft Defender Antivirus antimalware-engine om schadelijke bestanden te scannen en te detecteren. Wanneer bedreigingen worden gedetecteerd, worden beveiligingswaarschuwingen omgeleid naar Defender voor Cloud en Defender XDR, waar ze kunnen worden onderzocht en hersteld.
Important
Malwaredetectie voor AKS-knooppunten is alleen beschikbaar voor Defender voor containers of Defender voor omgevingen met Servers P2.
Uitgebreide Kubernetes (K8s) meldingsdocumentatie en simulatie-tool
7 november 2024
Belangrijkste kenmerken
- Documentatie voor waarschuwingen op basis van scenario's: K8s-waarschuwingen worden nu gedocumenteerd op basis van praktijkscenario's, met duidelijkere richtlijnen voor mogelijke bedreigingen en aanbevolen acties.
- Microsoft Defender voor Eindpunt (MDE)-integratie: waarschuwingen worden verrijkt met aanvullende context en bedreigingsinformatie van MDE, waardoor u effectiever kunt reageren.
- Nieuw simulatieprogramma: Er is een krachtig simulatiehulpprogramma beschikbaar om uw beveiligingspostuur te testen door verschillende aanvalsscenario's te simuleren en bijbehorende waarschuwingen te genereren.
Benefits
- Verbeterde informatie over waarschuwingen: documentatie op basis van scenario's biedt een intuïtiever inzicht in K8s-waarschuwingen.
- Verbeterde reactie op bedreigingen: waarschuwingen worden verrijkt met waardevolle context, waardoor snellere en nauwkeurigere antwoorden mogelijk zijn.
- Proactieve beveiligingstests: met het nieuwe simulatieprogramma kunt u uw beveiligingsbeveiliging testen en potentiële beveiligingsproblemen identificeren voordat ze worden misbruikt.
Verbeterde ondersteuning voor classificatie van gevoelige API-gegevens
6 november 2024
Microsoft Defender voor Cloud breidt de classificatiemogelijkheden voor gevoelige GEGEVENS van API Security uit naar API-URL-pad en queryparameters, samen met API-aanvraag en -antwoorden, inclusief de bron van gevoelige informatie die in de API-eigenschappen is gevonden. Deze informatie is beschikbaar in de ervaring Analyse van aanvalspaden, de pagina Aanvullende details van Cloud Security Explorer wanneer API Management-bewerkingen met gevoelige gegevens zijn geselecteerd en op het API Security-dashboard onder de pagina Workloadbeveiligingen op de pagina details van de API-verzameling, met een nieuw contextmenu aan de zijkant dat gedetailleerde inzichten biedt in gevoelige gegevens die zijn gevonden, het efficiënt mogelijk maken van beveiligingsteams om risico's voor gegevensblootstelling te vinden en te beperken.
Note
Deze wijziging omvat een eenmalige implementatie naar bestaande Defender voor API's en Defender CSPM klanten.
Nieuwe ondersteuning voor het toewijzen van Azure API Management API-eindpunten aan back-end-compute
6 november 2024
Defender voor Cloud's API-beveiligingspostuur ondersteunt nu het toewijzen van API-eindpunten die zijn gepubliceerd via Azure API Management Gateway naar back-end-rekenresources, zoals virtuele machines, in de Defender Cloud Security Posture Management (Defender CSPM) Cloud Security Explorer. Deze zichtbaarheid helpt bij het identificeren van API-verkeersroutering naar back-endcloud-rekenbestemmingen, zodat u blootstellingsrisico's kunt detecteren en aanpakken die zijn gekoppeld aan API-eindpunten en de bijbehorende back-endresources.
Verbeterde API-beveiligingsondersteuning voor implementaties in meerdere regio's Azure API Management en API-revisies beheren
6 november 2024
API-beveiligingsdekking binnen Defender voor Cloud biedt nu volledige ondersteuning voor Azure API Management implementaties met meerdere regio's, waaronder volledige ondersteuning voor beveiligingspostuur en detectie van bedreigingen voor zowel primaire als secundaire regio's
Onboarding en offboarding-API's voor Defender voor API's worden nu beheerd op Azure API Management API-niveau. Alle bijbehorende Azure API Management revisies worden automatisch opgenomen in het proces, waardoor onboarding en offboarding niet meer afzonderlijk hoeven te worden beheerd voor elke API-revisie.
Deze wijziging omvat een eenmalige implementatie naar bestaande Defender voor API-klanten.
Details van implementatie:
- De implementatie vindt plaats in de week van 6 november voor bestaande Defender voor API-klanten.
- Als de 'huidige' revisie voor een Azure API Management-API al is toegevoegd aan Defender voor API's, worden alle bijbehorende revisies voor die API ook automatisch toegevoegd aan Defender voor API's.
- Als de 'huidige' revisie voor een Azure API Management-API niet wordt toegevoegd aan Defender voor API's, worden alle bijbehorende API-revisies die zijn toegevoegd aan Defender voor API's offboarded.
Oktober 2024
De MMA-migratie-ervaring is nu beschikbaar.
28 oktober 2024
U kunt er nu voor zorgen dat al uw omgevingen volledig zijn voorbereid op de afschaffing van de post Log Analytics agent (MMA) die eind november 2024 wordt verwacht.
Defender voor Cloud een nieuwe ervaring toegevoegd waarmee u op schaal actie kunt ondernemen voor al uw getroffen omgevingen:
- Er ontbreken vereisten die nodig zijn om de volledige beveiligingsdekking te krijgen die wordt aangeboden door Defender voor Servers Plan 2.
- Dat is verbonden met Defender voor Servers Plan 2 met behulp van de verouderde onboardingbenadering via Log Analytics werkruimte.
- Die gebruikmaakt van de oude FIM-versie (File Integrity Monitoring) met de Log Analytics-agent (MMA) moet worden gemigreerd naar de nieuwe, improved FIM-versie met Defender voor Eindpunt (MDE).
Meer informatie over het gebruik van de nieuwe MMA-migratie-ervaring.
Beveiligingsresultaten voor GitHub opslagplaatsen zonder GitHub Advanced Security is nu algemeen beschikbaar
21 oktober 2024
De mogelijkheid om beveiligingsresultaten te ontvangen voor onjuiste configuraties van infrastructuur als code (IaC), beveiligingsproblemen in containers en codeproblemen voor GitHub opslagplaatsen zonder GitHub Advanced Security is nu algemeen beschikbaar.
Houd er rekening mee dat geheim scannen, codescans met GitHub CodeQL en afhankelijkheidsscans nog steeds GitHub Geavanceerd scannen vereisen.
Zie de devOps-ondersteuningspagina voor meer informatie over vereiste licenties. Volg de GitHub onboardinghandleiding voor meer informatie over het onboarden van uw GitHub omgeving voor Defender voor Cloud. Zie de documentatie voor GitHub Action voor meer informatie over het configureren van de Microsoft Beveiliging DevOps GitHub Action.
Afschaffing van drie nalevingsstandaarden
14 oktober 2024
Geschatte datum voor wijziging: 17 november 2024
Er worden drie nalevingsstandaarden verwijderd uit het product:
- SWIFT CSP-CSCF v2020 (voor Azure) - Dit is vervangen door de versie v2022
- CIS Microsoft Azure Foundations Benchmark v1.1.0 en v1.3.0 - Er zijn twee nieuwere versies beschikbaar (v1.4.0 en v2.0.0)
Meer informatie over de nalevingsstandaarden die beschikbaar zijn in Defender voor Cloud in Beschikbare nalevingsstandaarden.
Afschaffing van drie Defender voor Cloud standaarden
8 oktober 2024
Geschatte datum voor wijziging: 17 november 2024
Om het beheer van Defender voor Cloud met AWS-accounts en GCP-projecten te vereenvoudigen, verwijderen we de volgende drie Defender voor Cloud standaarden:
- Voor AWS - AWS CSPM
- Voor GCP - GCP CSPM en GCP Standaard
De standaardstandaard, Microsoft Cloud Security Benchmark (MCSB), bevat nu alle evaluaties die uniek waren voor deze standaarden.
Binaire driftdetectie is beschikbaar als GA.
9 oktober 2024
Detectie van binaire driften wordt nu vrijgegeven als GA in de Defender voor containerplan. Houd er rekening mee dat binaire driftdetectie nu werkt op alle AKS-versies.
Bijgewerkte aanbevelingen voor de runtime van containers (preview)
6 oktober 2024
De preview-aanbevelingen voor 'Containers die worden uitgevoerd in AWS/Azure/GCP moeten gevonden beveiligingsproblemen hebben opgelost' worden bijgewerkt om alle containers die deel uitmaken van dezelfde workload te groeperen in één aanbeveling, waardoor duplicaties worden verminderd en schommelingen worden voorkomen als gevolg van nieuwe en beëindigde containers.
Vanaf 6 oktober 2024 worden de volgende evaluatie-id's vervangen door deze aanbevelingen:
| Recommendation | Vorige evaluatie-identificatienummer | Nieuwe beoordelings-ID |
|---|---|---|
| -- | -- | -- |
| Containers die worden uitgevoerd in Azure moeten gevonden beveiligingsproblemen hebben opgelost | e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0 | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
| Containers die worden uitgevoerd in AWS, moeten gevonden beveiligingsproblemen hebben opgelost | d5d1e526-363a-4223-b860-f4b6e710859f | 8749bb43-cd24-4cf9-848c-2a50f632043c |
| Containers die in GCP worden uitgevoerd, moeten kwetsbaarheidsbevindingen opgelost hebben. | c7c1d31d-a604-4b86-96df-63448618e165 | 1b3abfa4-9e53-46f1-9627-51f2957f8bba |
Als u momenteel beveiligingsrapporten opzoekt vanuit deze aanbevelingen via API, moet u ervoor zorgen dat u de API-aanroep bijwerkt met de nieuwe evaluatie-id.
Kubernetes-identiteits- en toegangsgegevens in de beveiligingsgrafiek (preview)
6 oktober 2024
Kubernetes Identity and Access-gegevens worden toegevoegd aan de beveiligingsgrafiek, inclusief knooppunten die alle kubernetes Access Control RBAC-gerelateerde entiteiten (RBAC) vertegenwoordigen (serviceaccounts, rollen, rolbindingen, enzovoort) en randen die de machtigingen tussen Kubernetes-objecten vertegenwoordigen. Klanten kunnen nu de beveiligingsgrafiek van hun Kubernetes RBAC en gerelateerde relaties tussen Kubernetes-entiteiten opvragen (kan zich voordoen als, kan zich voordoen als, kent rol toe, toegang gedefinieerd door, verleent toegang aan, heeft toestemming voor, enzovoort).
Op gegevens gebaseerde aanvalspaden voor Kubernetes Identity and Access (preview)
6 oktober 2024
Met behulp van de Kubernetes RBAC-gegevens in de beveiligingsgrafiek detecteert Defender voor Cloud nu Kubernetes, Kubernetes naar cloud en interne Kubernetes laterale verplaatsing en rapporten over andere aanvalspaden waar aanvallers Kubernetes en Cloud-autorisatie kunnen misbruiken voor laterale verplaatsing naar, van en binnen Kubernetes-clusters.
Verbeterde analyse van aanvalspaden voor containers
6 oktober 2024
De nieuwe engine voor aanvalspadanalyse die afgelopen november is uitgebracht, ondersteunt ook containergebruiksscenario's, waardoor nieuwe typen aanvalspaden in cloudomgevingen dynamisch worden gedetecteerd op basis van de gegevens die aan de grafiek zijn toegevoegd. We kunnen nu meer aanvalspaden voor containers vinden en complexere en geavanceerdere aanvalspatronen detecteren die door aanvallers worden gebruikt om cloud- en Kubernetes-omgevingen te infiltreren.
Volledige ontdekking van containerafbeeldingen in ondersteunde containerregisters
6 oktober 2024
Defender voor Cloud verzamelt nu inventarisgegevens voor alle containerinstallatiekopieën in ondersteunde registers en biedt volledige zichtbaarheid in de beveiligingsgrafiek voor alle installatiekopieën in uw cloudomgevingen, inclusief afbeeldingen die momenteel geen houdingsaanbevelingen hebben.
Querymogelijkheden via Cloud Security Explorer worden verbeterd, zodat gebruikers nu kunnen zoeken naar containerinstallatiekopieën op basis van hun metagegevens (samenvatting, opslagplaats, besturingssysteem, tag en enzovoort)
Software-inventaris van containers met Cloud Security Explorer
6 oktober 2024
Klanten kunnen nu een lijst ophalen met software die is geïnstalleerd in hun containers en containerinstallatiekopieën via Cloud Security Explorer. Deze lijst kan ook worden gebruikt om snel andere inzichten te krijgen in de klantomgeving, zoals het vinden van alle containers en containerinstallatiekopieën met software die wordt beïnvloed door een beveiligingsprobleem van nul dagen, zelfs voordat een CVE wordt gepubliceerd.
september 2024
Verbeteringen in de cloudbeveiligingsverkennerervaring
22 september 2024
Geschatte datum voor wijziging: oktober 2024
Cloud Security Explorer is ingesteld om de prestaties en rasterfunctionaliteit te verbeteren, meer gegevensverrijking te bieden voor elke cloudasset, zoekcategorieën te verbeteren en csv-exportrapport te verbeteren met meer inzichten over de geëxporteerde cloudassets.
Algemene beschikbaarheid van bewaking van bestandsintegriteit op basis van Microsoft Defender voor Eindpunt
18 september 2024
De nieuwe versie van Bestandsintegriteitsbewaking op basis van Microsoft Defender voor Eindpunt is nu algemeen beschikbaar als onderdeel van Defender voor Servers Plan 2. Met FIM kunt u het volgende doen:
- Voldoen aan nalevingsvereisten door kritieke bestanden en registers in realtime te controleren en de wijzigingen te controleren.
- Identificeer mogelijke beveiligingsproblemen door verdachte bestandsinhoudswijzigingen te detecteren.
Deze verbeterde FIM-ervaring vervangt de bestaande versie die is ingesteld voor afschaffing door de buitengebruikstelling van de Log Analytics Agent (MMA). De FIM-ervaring via MMA blijft tot eind november 2024 ondersteund.
Met deze release wordt een in-productervaring uitgebracht waarmee u uw FIM-configuratie via MMA kunt migreren naar de nieuwe FIM via Defender voor eindpuntversie.
Zie File Integrity Monitoring met behulp van Microsoft Defender voor Eindpunt voor meer informatie over het inschakelen van FIM via Defender voor Eindpunt. Zie Migrate File Integrity Monitoring vanuit eerdere versies voor meer informatie over het uitschakelen van eerdere versies.
FIM-migratie is beschikbaar in Defender voor Cloud
18 september 2024
Er wordt een in-productervaring uitgebracht waarmee u uw FIM-configuratie via MMA kunt migreren naar de nieuwe FIM via Defender voor eindpuntversie. Met deze ervaring kunt u het volgende doen:
- Beoordeel de getroffen omgeving met de vorige FIM-versie waarbij MMA is ingeschakeld en de migratie vereist is.
- Exporteer uw huidige FIM-regels vanuit een op MMA gebaseerd systeem en beheer ze op werkplekken.
- Migreren naar P2-compatibele abonnementen met de nieuwe FIM via MDE.
Als u de migratie-ervaring wilt gebruiken, gaat u naar het deelvenster Omgevingsinstellingen en selecteert u de knop MMA-migratie in de bovenste rij.
Stopzetten van de automatische provisioning mogelijkheid van MMA
18 september 2024 Als onderdeel van het pensioen van de MMA-agent, wordt de functie voor automatische voorzieningen die de installatie en configuratie van de agent voor MDC-klanten biedt, in twee fasen afgeschaft.
Eind september 2024 wordt automatische inrichting van MMA uitgeschakeld voor klanten die de mogelijkheid niet meer gebruiken, evenals voor nieuw gemaakte abonnementen. Na eind september kan de mogelijkheid niet meer opnieuw worden ingeschakeld voor deze abonnementen.
Eind november 2024 wordt automatische voorziening van MMA uitgeschakeld voor abonnementen die het nog niet hebben uitgeschakeld. Vanaf dat moment is het niet meer mogelijk om de mogelijkheid voor bestaande abonnementen in te schakelen.
Integratie met Power BI
15 september 2024
Defender voor Cloud kan nu worden geïntegreerd met Power BI. Met deze integratie kunt u aangepaste rapporten en dashboards maken met behulp van de gegevens uit Defender voor Cloud. U kunt Power BI gebruiken om uw beveiligingspostuur, naleving en aanbevelingen voor beveiliging te visualiseren en te analyseren.
Meer informatie over de nieuwe integratie met Power BI.
Bijwerken naar netwerkvereisten voor meerdere clouds voor CSPM
11 september 2024
Geschatte datum voor wijziging: oktober 2024
Vanaf oktober 2024 voegen we meer IP-adressen toe aan onze detectieservices voor meerdere clouds om verbeteringen aan te bieden en een efficiëntere ervaring voor alle gebruikers te garanderen.
Om ononderbroken toegang vanuit onze services te garanderen, moet u uw IP-acceptatielijst bijwerken met de nieuwe bereiken die hier worden aangeboden. U moet de benodigde aanpassingen aanbrengen in uw firewallinstellingen, beveiligingsgroepen of andere configuraties die mogelijk van toepassing zijn op uw omgeving. De lijst is voldoende voor volledige mogelijkheden van het CSPM Foundational (gratis) aanbod.
Defender voor afschaffing van serversfuncties
9 september 2024
Zowel adaptieve toepassingsregelaars als adaptieve netwerkbeveiliging zijn nu afgeschaft.
Spaans Nationaal Beveiligingsframework (Esquema Nacional de Seguridad (ENS)) toegevoegd aan het dashboard voor naleving van regelgeving voor Azure
9 september 2024
Organisaties die hun Azure omgevingen willen controleren op naleving van de ENS-norm, kunnen dit nu doen met behulp van Defender voor Cloud.
De ENS-norm is van toepassing op de gehele publieke sector in Spanje, evenals op leveranciers die samenwerken met het bestuur. Het stelt basisbeginselen, vereisten en beveiligingsmaatregelen vast om informatie en services die elektronisch worden verwerkt, te beschermen. Het doel is om toegang, vertrouwelijkheid, integriteit, traceerbaarheid, authenticiteit, beschikbaarheid en gegevensbehoud te garanderen.
Bekijk de volledige lijst met ondersteunde nalevingsstandaarden.
Aanbevelingen voor systeemupdates en patches op uw computers herstellen
8 september 2024
U kunt nu aanbevelingen voor systeemupdates en patches herstellen op uw Azure Arc-machines en Azure VM's. Systeemupdates en patches zijn van cruciaal belang voor het behouden van de beveiliging en status van uw computers. Updates bevatten vaak beveiligingspatches voor beveiligingsproblemen die, indien ongefixeerd, kunnen worden misbruikt door aanvallers.
Informatie over ontbrekende machine-updates wordt nu verzameld met behulp van Azure Update Manager.
Als u de beveiliging van uw computers voor systeemupdates en patches wilt behouden, moet u de instellingen voor periodieke evaluatie-updates op uw computers inschakelen.
Meer informatie over het herstellen van systeemupdates en aanbevelingen voor patches op uw computers.
De integratie van ServiceNow bevat nu configuratienalevingsmodule
4 september 2024
de integratie van het CSPM-plan van Defender voor Cloud met ServiceNow bevat nu de module Configuration Compliance van ServiceNow. Met deze functie kunt u configuratieproblemen in uw cloudassets identificeren, prioriteren en oplossen, terwijl u beveiligingsrisico's vermindert en uw algehele nalevingspostuur verbetert via geautomatiseerde werkstromen en realtime inzichten.
Meer informatie over de integratie van ServiceNow met Defender voor Cloud.
Defender voor opslag (klassiek) opslagbeveiligingsplan per transactie is niet beschikbaar voor nieuwe abonnementen
4 september 2024
Geschatte datum voor wijziging: 5 februari 2025
Na 5 februari 2025 kunt u de verouderde Defender voor opslagbeveiliging (klassiek) per transactie niet activeren, tenzij deze al is ingeschakeld in uw abonnement. Zie Move naar de nieuwe Defender voor opslagabonnement voor meer informatie.
Azure Policy gastconfiguratie is nu algemeen beschikbaar (GA)
zondag 1 september 2024
Defender voor de Azure Policy gastconfiguratie van de server is nu algemeen beschikbaar voor alle multicloud-Defender voor klanten van Servers Plan 2. Gastconfiguratie biedt een uniforme ervaring voor het beheren van beveiligingsbasislijnen in uw omgeving. Hiermee kunt u beveiligingsconfiguraties op uw servers beoordelen en afdwingen, waaronder Windows- en Linux-machines, Azure VM's, AWS EC2- en GCP-exemplaren.
Meer informatie over het enable Azure Policy machineconfiguratie in uw omgeving.
Preview voor ondersteuning van Docker Hub containerregister door Defender voor containers
zondag 1 september 2024
We introduceren de openbare preview van de extensie Microsoft Defender for Containers voor het opnemen van externe registers, te beginnen met Docker Hub containerregisters. Als onderdeel van het Microsoft Cloud Beveiligingspostuurbeheer van uw organisatie biedt de uitbreiding van dekking tot Docker Hub containerregisters de voordelen van het scannen van uw Docker Hub containerinstallatiekopieën met behulp van Microsoft Defender Vulnerability Management om beveiligingsrisico's te identificeren en mogelijke beveiligingsrisico's te beperken.
Zie voor meer informatie over deze functie Vulnerability Assessment voor Docker Hub
Augustus 2024
| Date | Category | Update |
|---|---|---|
| 28 augustus | Preview | Nieuwe versie van Bewaking van bestandsintegriteit op basis van Microsoft Defender voor Eindpunt |
| Augustus 22 | Geplande afschaffing | De integratie van Defender voor Cloud waarschuwingen met Azure WAF-waarschuwingen |
| 1 augustus | GA | Enable Microsoft Defender voor SQL-servers op schaal |
Nieuwe versie van Bewaking van bestandsintegriteit op basis van Microsoft Defender voor Eindpunt
28 augustus 2024
De nieuwe versie van Bewaking van bestandsintegriteit op basis van Microsoft Defender voor Eindpunt is nu beschikbaar als openbare preview. Het maakt deel uit van Defender voor Servers Plan 2. Hiermee kunt u het volgende doen:
- Voldoen aan nalevingsvereisten door kritieke bestanden en registers in realtime te controleren en de wijzigingen te controleren.
- Identificeer mogelijke beveiligingsproblemen door verdachte bestandsinhoudswijzigingen te detecteren.
Als onderdeel van deze release is de FIM-ervaring via AMA niet meer beschikbaar in de Defender voor Cloud-portal. De FIM-ervaring via MMA blijft tot eind november 2024 ondersteund. Begin september wordt een productervaring uitgebracht waarmee u uw FIM-configuratie via MMA kunt migreren naar de nieuwe FIM via Defender voor eindpuntversie.
Zie File Integrity Monitoring met behulp van Microsoft Defender voor Eindpunt voor meer informatie over het inschakelen van FIM via Defender voor Eindpunt. Zie Bewaking van bestandsintegriteit van vorige versies migreren vanuit eerdere versies voor meer informatie over het migreren van eerdere versies.
Buitengebruikstelling van Defender voor Cloud waarschuwingsintegratie met Azure WAF-waarschuwingen
22 augustus 2024
Geschatte datum voor wijziging: 25 september 2024
Defender voor Cloud waarschuwing integratie met Azure WAF-waarschuwingen wordt op 25 september 2024 buiten gebruik gesteld. Er is geen actie nodig aan uw kant. Voor Microsoft Sentinel klanten kunt u de Azure Web Application Firewall connector configureren.
Microsoft Defender inschakelen voor SQL-servers op schaal
1 augustus 2024
U kunt nu Microsoft Defender voor SQL-servers op schaal inschakelen op overheidsclouds. Met deze functie kunt u Microsoft Defender inschakelen voor SQL op meerdere servers tegelijk, waardoor u tijd en moeite bespaart.
Meer informatie over het enable Microsoft Defender voor SQL-servers op computers op schaal.
Juli 2024
| Date | Category | Update |
|---|---|---|
| 31 juli | GA | Algemene beschikbaarheid van verbeterde aanbevelingen voor detectie en configuratie voor Endpoint Protection |
| 31 juli | Geplande update | Afschaffing van adaptieve netwerkbeveiliging |
| 22 juli | Preview | Security-evaluaties voor GitHub hebben geen extra licenties meer nodig |
| 18 juli | Geplande update | Updated tijdlijnen voor afschaffing van MMA in Defender voor Servers-abonnement 2 |
| 18 juli | Geplande update | Afschaffing van MMA-gerelateerde functies als onderdeel van buitengebruikstelling van agent |
| 15 juli | Preview | Binary Drift Public Preview in Defender for Containers |
| 14 juli | GA | Automatische herstelscripts voor AWS en GCP zijn nu algemeen beschikbaar |
| 11 juli | Geplande update | GitHub toepassingsmachtigingen bijwerken |
| 10 juli | GA | Nalevingsstandaarden zijn nu algemeen beschikbaar |
| 9 juli | Geplande update | Verbetering van inventariservaring |
| 8 juli | Geplande update | Containertoewijzingsprogramma dat standaard wordt uitgevoerd in GitHub |
Algemene beschikbaarheid van verbeterde aanbevelingen voor detectie en configuratie voor Endpoint Protection
31 juli 2024
Verbeterde detectiefuncties voor eindpuntbeveiligingsoplossingen en verbeterde identificatie van configuratieproblemen zijn nu algemeen beschikbaar voor servers met meerdere clouds. Deze updates zijn opgenomen in de Defender voor Servers Plan 2 en Defender Cloud Security Posture Management (CSPM).
De verbeterde aanbevelingenfunctie maakt gebruik van machinescans zonder agent, waardoor uitgebreide detectie en evaluatie mogelijk is van de configuratie van ondersteunde eindpuntdetectie en -respons-oplossingen. Wanneer er configuratieproblemen worden geïdentificeerd, worden er herstelstappen gegeven.
Met deze release voor algemene beschikbaarheid wordt de lijst met ondersteunde oplossingen uitgebreid met twee extra hulpprogramma's voor eindpuntdetectie en -respons:
- Singularity Platform door SentinelOne
- Cortex XDR
Afschaffing van adaptieve netwerkbeveiliging
31 juli 2024
Geschatte datum voor wijziging: 31 augustus 2024
Defender voor adaptieve netwerkbeveiliging van server wordt afgeschaft.
De afschaffing van functies omvat de volgende ervaringen:
- Aanbeveling: Aanbevelingen voor adaptieve netwerkbeveiliging moeten worden toegepast op internetgerichte virtuele machines [evaluatiesleutel: f9f0eed0-f143-47bf-b856-671ea2eeed62]
- Waarschuwing: verkeer gedetecteerd op basis van IP-adressen die worden aanbevolen voor blokkering
Preview: Beveiligingsevaluaties voor GitHub geen extra licenties meer nodig hebben
22 juli 2024
GitHub gebruikers in Defender voor Cloud geen GitHub Advanced Security-licentie meer nodig hebben om beveiligingsresultaten weer te geven. Dit geldt voor beveiligingsevaluaties voor zwakke plekken in code, onjuiste configuraties van Infrastructure-as-Code (IaC) en beveiligingsproblemen in containerinstallatiekopieën die tijdens de buildfase worden gedetecteerd.
Klanten met GitHub Advanced Security blijven aanvullende beveiligingsevaluaties ontvangen in Defender voor Cloud voor blootgestelde referenties, beveiligingsproblemen in open source afhankelijkheden en CodeQL-bevindingen.
Zie het DevOps Security Overview voor meer informatie over DevOps-beveiliging in Defender voor Cloud. Volg de GitHub onboardinghandleiding voor meer informatie over het onboarden van uw GitHub omgeving voor Defender voor Cloud. Zie de documentatie GitHub Action voor meer informatie over het configureren van de Microsoft Beveiliging DevOps GitHub Action.
Bijgewerkte tijdlijnen voor afschaffing van MMA in Defender voor servers-abonnement 2
18 juli 2024
Geschatte datum voor wijziging: augustus 2024
Met de upcoming afschaffing van Log Analytics agent in augustus is alle beveiligingswaarde voor serverbeveiliging in Defender voor Cloud afhankelijk van integratie met Microsoft Defender voor Eindpunt (MDE) als één agent en op mogelijkheden zonder agent die worden geleverd door het cloudplatform en het scannen van machines zonder agent.
De volgende mogelijkheden hebben bijgewerkte tijdlijnen en plannen, waardoor de ondersteuning voor hen via MMA wordt verlengd voor Defender voor Cloud klanten tot eind november 2024:
Fim (File Integrity Monitoring): Openbare preview-versie voor FIM nieuwe versie via MDE is gepland voor augustus 2024. De GA-versie van FIM mogelijk gemaakt door Log Analytics-agent wordt nog steeds ondersteund voor bestaande klanten tot het einde van November 2024.
Security Baseline: als alternatief voor de versie op basis van MMA, de huidige preview-versie op basis van gastconfiguratie wordt uitgebracht voor algemene beschikbaarheid in September 2024. OS Security Baselines powered by Log Analytics agent blijft ondersteund voor bestaande klanten tot het einde van November 2024.
Zie Voorbereiding voor het buiten gebruik stellen van de Log Analytics-agent voor meer informatie.
Afschaffing van MMA-gerelateerde functies als onderdeel van buitengebruikstelling van agent
18 juli 2024
Geschatte datum voor wijziging: augustus 2024
Als onderdeel van de afschaving van de Microsoft Monitoring Agent (MMA) en de bijgewerkte Defender voor serverimplementatiestrategie worden alle beveiligingsfuncties voor Defender voor servers nu geleverd via één agent (Defender voor eindpunt) of via scanmogelijkheden zonder agent. Dit vereist geen afhankelijkheid van de MMA of Azure Monitoring Agent (AMA).
Naarmate we de buitengebruikstelling van de agent in augustus 2024 naderen, worden de volgende MMA-gerelateerde functies verwijderd uit de Defender voor Cloud-portal:
- Weergave van de MMA-installatiestatus op de blades Inventory en Resource Health.
- De mogelijkheid om nieuwe niet-Azure servers te onboarden voor Defender voor servers via Log Analytics werkruimten, worden verwijderd uit de blades Inventory en Getting Started.
Note
We raden aan dat huidige klanten, die on-premises servers hebben onboarded met behulp van de legacy-benadering, deze machines nu verbinden via Azure Arc servers. U wordt ook aangeraden de Defender voor Servers Abonnement 2 in te schakelen op de Azure abonnementen waarmee deze servers zijn verbonden.
Als u Defender voor Servers Plan 2 selectief hebt ingeschakeld voor specifieke Azure VM's via de verouderde methode, schakelt u Defender in voor Servers Plan 2 op de Azure abonnementen van deze machines. Sluit afzonderlijke machines uit van de Defender voor Servers-dekking met behulp van de Defender voor Servers per-resourceconfiguratie.
Deze stappen zorgen ervoor dat er geen beveiligingsdekking verloren gaat vanwege de buitengebruikstelling van de Log Analytics-agent.
Om de continuïteit van de beveiliging te behouden, adviseren we klanten met Defender voor Servers Plan 2 om agentloze machinescans en integratie met Microsoft Defender voor Eindpunt in te schakelen voor hun abonnementen.
U kunt de aangepaste werkmap gebruiken om uw MMA-activa (Log Analytics Agent) bij te houden en de implementatiestatus van Defender voor servers op Azure VM's en Azure Arc machines te controleren.
Zie Voorbereiding voor het buiten gebruik stellen van de Log Analytics-agent voor meer informatie.
Openbare preview van binaire drift is nu beschikbaar in Defender voor containers
We introduceren de openbare preview van Binary Drift voor Defender voor containers. Deze functie helpt bij het identificeren en beperken van mogelijke beveiligingsrisico's die zijn gekoppeld aan niet-geautoriseerde binaire bestanden in uw containers. Binaire drift identificeert en verzendt waarschuwingen over mogelijk schadelijke binaire processen binnen uw containers. Bovendien is het mogelijk om een nieuw Binair Drift-beleid te implementeren om waarschuwingsvoorkeuren te beheren, waardoor meldingen kunnen worden aangepast aan specifieke beveiligingsbehoeften. Zie Binaire driftdetectie voor meer informatie over deze functie
Automatische herstelscripts voor AWS en GCP zijn nu algemeen beschikbaar
14 juli 2024
In maart hebben we geautomatiseerde herstelscripts voor AWS & GCP uitgebracht voor openbare preview, waarmee u aanbevelingen voor AWS & GCP programmatisch kunt herstellen.
Vandaag brengen we deze functie uit voor algemeen beschikbaar (GA). Meer informatie over het gebruik van geautomatiseerde herstelscripts.
GitHub toepassingsmachtigingen bijwerken
11 juli 2024
Geschatte datum voor wijziging: 18 juli 2024
DevOps-beveiliging in Defender voor Cloud maakt voortdurend updates die klanten met GitHub-connectors in Defender voor Cloud nodig hebben om de machtigingen voor de Microsoft Beveiliging DevOps-toepassing in GitHub bij te werken.
Als onderdeel van deze update heeft de GitHub-toepassing leesmachtigingen nodig GitHub Copilot Business. Deze machtiging wordt gebruikt om klanten te helpen hun GitHub Copilot implementaties beter te beveiligen. We raden u aan de toepassing zo snel mogelijk bij te werken.
Machtigingen kunnen op twee verschillende manieren worden verleend:
Navigeer in uw GitHub organisatie naar de Microsoft Beveiliging DevOps-toepassing binnen Settings > GitHub Apps en accepteer de machtigingsaanvraag.
Selecteer in een geautomatiseerd e-mailbericht van GitHub Ondersteuning machtigingsaanvraag bekijken om deze wijziging te accepteren of te weigeren.
Nalevingsstandaarden zijn nu algemeen beschikbaar
10 juli 2024
In maart hebben we preview-versies van veel nieuwe nalevingsstandaarden toegevoegd voor klanten om hun AWS- en GCP-resources te valideren op basis van.
Deze standaarden omvatten CIS Google Kubernetes Engine (GKE) Benchmark, ISO/IEC 27001 en ISO/IEC 27002, CRI Profile, CSA Cloud Controls Matrix (CCM), Braziliaanse General Personal Data Protection Law (LGPD), California Consumer Privacy Act (CCPA) en meer.
Deze preview-standaarden zijn nu algemeen beschikbaar (GA).
Bekijk de volledige lijst met ondersteunde nalevingsstandaarden.
Verbetering van inventariservaring
9 juli 2024
Geschatte datum voor wijziging: 11 juli 2024
De inventarisatie-ervaring wordt bijgewerkt om de prestaties te verbeteren, inclusief verbeteringen in de querylogica 'Open query' van het deelvenster in Azure Resource Graph. Updates van de logica achter Azure resourceberekening kunnen ertoe leiden dat andere resources worden geteld en gepresenteerd.
Hulpprogramma voor containertoewijzing dat standaard wordt uitgevoerd in GitHub
maandag 8 juli 2024
Geschatte datum voor wijziging: 12 augustus 2024
Met DevOps-beveiligingsmogelijkheden in Microsoft Defender Cloud Security Posture Management (CSPM) kunt u uw cloudeigen toepassingen toewijzen van code naar de cloud om eenvoudig herstelwerkstromen voor ontwikkelaars te starten en de tijd te verkorten om beveiligingsproblemen in uw containerinstallatiekopieën op te halen. Op dit moment moet u het hulpprogramma voor het toewijzen van containerinstallatiekopieën handmatig configureren voor uitvoering in de actie Microsoft Beveiliging DevOps in GitHub. Met deze wijziging wordt containertoewijzing standaard uitgevoerd als onderdeel van de actie Microsoft Beveiliging DevOps. Meer informatie over de actie Microsoft Beveiliging DevOps.
Juni 2024
| Date | Category | Update |
|---|---|---|
| 27 juni | GA | Checkov IaC Scanning in Defender voor Cloud. |
| 24 juni | Update | Wijziging in prijzen voor multicloud-Defender voor containers |
| 20 juni | Geplande afschaffing |
Verschaffen van afschaffing voor adaptieve aanbevelingen bij Microsoft MMA-afschaffing (Monitoring Agent. Geschatte afschaffing augustus 2024. |
| 10 juni | Preview | Copilot in Defender voor Cloud |
| 10 juni | Geplande update |
Automatische inschakeling van sql-beveiligingsproblemen met behulp van snelle configuratie op niet-geconfigureerde servers. Geschatte update: 10 juli 2024. |
| 3 juni | Geplande update |
Wijzigingen in gedrag van identiteitsaanaanveling Geschatte update: 10 juli 2024. |
GA: Checkov IaC Scanning in Defender voor Cloud
27 juni 2024
We kondigen de algemene beschikbaarheid van de Checkov-integratie voor IaC-scan (Infrastructure-as-Code) aan via Microsoft Beveiliging DevOps (MSDO). Als onderdeel van deze release vervangt Checkov TerraScan als een standaard IaC-analyse die wordt uitgevoerd als onderdeel van de MSDO-opdrachtregelinterface (CLI). TerraScan kan nog steeds handmatig worden geconfigureerd via de omgevingsvariabelen van MSDO, maar wordt niet standaard uitgevoerd.
Beveiligingsresultaten van Checkov worden weergegeven als aanbevelingen voor zowel Azure DevOps als GitHub opslagplaatsen onder de evaluaties Azure DevOps opslagplaatsen moeten infrastructuur hebben als coderesultaten zijn opgelost en GitHub opslagplaatsen infrastructuur moeten hebben als coderesultaten zijn opgelost.
Zie het DevOps Security Overview voor meer informatie over DevOps-beveiliging in Defender voor Cloud. Zie de documentatie Azure DevOps of GitHub voor meer informatie over het configureren van de MSDO CLI.
Update: Prijswijziging voor Defender voor containers in meerdere clouds
24 juni 2024
Aangezien Defender voor containers in meerdere clouds nu algemeen beschikbaar is, is deze niet meer gratis. Zie Microsoft Defender voor Cloud prijzen voor meer informatie.
Afschaffing: Herinnering aan afschaffing voor adaptieve aanbevelingen
20 juni 2024
Geschatte datum voor wijziging: augustus 2024
Als onderdeel van de MMA-afschaffing en de Defender voor de bijgewerkte implementatiestrategie voor servers worden Defender voor beveiligingsfuncties van servers geleverd via de Microsoft Defender voor Eindpunt -agent (MDE) of via de agentloze scanmogelijkheden. Beide opties zijn niet afhankelijk van de MMA of Azure Monitoring Agent (AMA).
Adaptieve beveiligingsaanbeveling, ook wel adaptieve toepassingsregelaars en adaptieve netwerkbeveiliging genoemd, wordt stopgezet. De huidige GA-versie op basis van de MMA en de preview-versie op basis van de AMA wordt in augustus 2024 afgeschaft.
Voorbeeld: Copilot in Defender voor Cloud
10 juni 2024
We kondigen de integratie van Microsoft Security Copilot aan in Defender voor Cloud in openbare preview. Copilot ingesloten ervaring in Defender voor Cloud biedt gebruikers de mogelijkheid om vragen te stellen en antwoorden te krijgen in natuurlijke taal. Copilot kan u helpen inzicht te krijgen in de context van een aanbeveling, het effect van het implementeren van een aanbeveling, de stappen die nodig zijn om een aanbeveling te implementeren, u te helpen bij het delegeren van aanbevelingen en het oplossen van onjuiste configuraties in code.
Meer informatie over Microsoft Security Copilot in Defender voor Cloud.
Update: Automatische inschakeling van SQL-evaluatie van beveiligingsproblemen
10 juni 2024
Geschatte datum voor wijziging: 10 juli 2024
Oorspronkelijk werd SQL Vulnerability Assessment (VA) met Express Configuration alleen automatisch ingeschakeld op servers waarop Microsoft Defender voor SQL werd geactiveerd na de introductie van Express Configuration in december 2022.
We werken alle Azure SQL Servers die vóór december 2022 Microsoft Defender voor SQL hebben geactiveerd, bij en hebben geen bestaand SQL VA-beleid, zodat SQL Vulnerability Assessment (SQL VA) automatisch is ingeschakeld met Express Configuration.
- De implementatie van deze wijziging zal geleidelijk zijn, meerdere weken duren en vereist geen actie van de gebruiker.
- Deze wijziging is van toepassing op Azure SQL Servers waarop Microsoft Defender voor SQL is geactiveerd op Azure abonnementsniveau.
- Servers met een bestaande klassieke configuratie (of geldig of ongeldig) worden niet beïnvloed door deze wijziging.
- Na de activering kan de aanbeveling 'SQL-databases moeten beveiligingsproblemen hebben opgelost' worden weergegeven en kan dit van invloed zijn op uw beveiligingsscore.
Update: Wijzigingen in gedrag van identiteitsaanaanveling
3 juni 2024
Geschatte datum voor wijziging: juli 2024
Deze wijzigingen:
- De geëvalueerde resource wordt de identiteit in plaats van het abonnement
- De aanbevelingen hebben geen 'subaanbevelingen' meer
- De waarde van het veld assessmentKey in de API wordt gewijzigd voor deze aanbevelingen
Wordt toegepast op de volgende aanbevelingen:
- Accounts met eigenaarsmachtigingen voor Azure resources moeten MFA zijn ingeschakeld
- Accounts met schrijfmachtigingen voor Azure resources moeten MFA zijn ingeschakeld
- Accounts met leesmachtigingen voor Azure resources moeten MFA zijn ingeschakeld
- Gastaccounts met eigenaarsmachtigingen voor Azure resources moeten worden verwijderd
- Gastaccounts met schrijfmachtigingen voor Azure resources moeten worden verwijderd
- Gastaccounts met leesmachtigingen voor Azure resources moeten worden verwijderd
- Geblokkeerde accounts met eigenaarsmachtigingen voor Azure resources moeten worden verwijderd
- Geblokkeerde accounts met lees- en schrijfmachtigingen voor Azure resources moeten worden verwijderd
- Er moeten maximaal drie eigenaren worden aangewezen voor uw abonnement
- Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement
Mei 2024
| Date | Category | Update |
|---|---|---|
| 30 mei | GA | Agentless malwaredetectie in Defender voor Servers Plan 2 |
| 22 mei | Update | E-mailmeldingen configureren voor aanvalspaden |
| 21 mei | Update | Geadvanced opsporing in Microsoft Defender XDR omvat Defender voor Cloud waarschuwingen en incidenten |
| 9 mei | Preview | Checkov integration for IaC scanning in Defender voor Cloud |
| 7 mei | GA | Beheer in Defender voor Cloud |
| 6 mei | Preview | AI-beveiligingspostuurbeheer voor meerdere clouds is beschikbaar voor Azure en AWS. |
| 6 mei | Beperkte preview | Threat-beveiliging voor AI-workloads in Azure. |
| mei 2 | Update | Beveiligingsbeleidsbeheer. |
| 1 mei | Preview | Defender voor opensource-databases is nu beschikbaar op AWS voor Amazon-exemplaren. |
| 1 mei | Geplande afschaffing |
Removal van FIM via AMA en release van nieuwe versie via Defender voor Eindpunt. Geschatte afschaffing augustus 2024. |
GA: Detectie van malware zonder agent in Defender voor Servers Plan 2
30 mei 2024
Defender voor Cloud de detectie van malware zonder agent voor Azure VM's, AWS EC2-exemplaren en GCP VM-exemplaren is nu algemeen beschikbaar als een nieuwe functie in Defender voor Servers-abonnement 2.
Detectie van malware zonder agent maakt gebruik van de Microsoft Defender Antivirus antimalware-engine om schadelijke bestanden te scannen en te detecteren. Gedetecteerde bedreigingen activeren beveiligingswaarschuwingen rechtstreeks in Defender voor Cloud en Defender XDR, waar ze kunnen worden onderzocht en hersteld. Meer informatie over het scannen van malware zonder agent voor servers en het scannen zonder agent voor VM's.
Update: E-mailmeldingen configureren voor aanvalspaden
22 mei 2024
U kunt nu e-mailmeldingen configureren wanneer een aanvalspad wordt gedetecteerd met een opgegeven risiconiveau of hoger. Meer informatie over het configureren van e-mailmeldingen.
Update: Geavanceerde opsporing in Microsoft Defender XDR omvat Defender voor Cloud waarschuwingen en incidenten
21 mei 2024
de waarschuwingen en incidenten van Defender voor Cloud zijn nu geïntegreerd met Microsoft Defender XDR en kunnen worden geopend in de Microsoft Defender Portal. Deze integratie biedt uitgebreidere context voor onderzoeken die betrekking hebben op cloudresources, apparaten en identiteiten. Meer informatie over geavanceerde opsporing in XDR-integratie.
Preview: Checkov-integratie voor IaC-scan in Defender voor Cloud
9 mei 2024
Checkov-integratie voor DevOps-beveiliging in Defender voor Cloud is nu in preview. Deze integratie verbetert zowel de kwaliteit als het totale aantal infrastructure-as-codecontroles die worden uitgevoerd door de MSDO CLI bij het scannen van IaC-sjablonen.
In preview moet Checkov expliciet worden aangeroepen via de invoerparameter Hulpprogramma's voor de MSDO CLI.
Meer informatie over DevOps-beveiliging in Defender voor Cloud en het configureren van de MSDO CLI voor Azure DevOps en GitHub.
GA: Machtigingenbeheer in Defender voor Cloud
7 mei 2024
Beheer is nu algemeen beschikbaar in Defender voor Cloud.
Preview: BEHEER van beveiligingspostuur voor AI-multicloud
6 mei 2024
AI-beveiligingspostuurbeheer is beschikbaar als preview-versie in Defender voor Cloud. Het biedt beheermogelijkheden voor AI-beveiligingspostuur voor Azure en AWS om de beveiliging van uw AI-pijplijnen en -services te verbeteren.
Meer informatie over ai-beveiligingspostuurbeheer.
Beperkte preview: Bedreigingsbeveiliging voor AI-workloads in Azure
6 mei 2024
Bedreigingsbeveiliging voor AI-workloads in Defender voor Cloud is beschikbaar in beperkte preview. Dit plan helpt u bij het bewaken van uw Azure OpenAI-toepassingen in runtime voor schadelijke activiteiten, het identificeren en oplossen van beveiligingsrisico's. Het biedt contextuele inzichten in bedreigingsbeveiliging voor AI-werkbelastingen, integratie met Responsible AI en Microsoft Threat Intelligence. Relevante beveiligingswaarschuwingen worden geïntegreerd in de Defender-portal.
Meer informatie over bedreigingsbeveiliging voor AI-workloads.
GA: Beveiligingsbeleidsbeheer
2 mei 2024
Beveiligingsbeleidsbeheer in clouds (Azure, AWS, GCP) is nu algemeen beschikbaar. Hierdoor kunnen beveiligingsteams hun beveiligingsbeleid op een consistente manier en met nieuwe functies beheren
Meer informatie over beveiligingsbeleid in Microsoft Defender voor Cloud.
Preview: Defender voor opensource-databases die beschikbaar zijn in AWS
1 mei 2024
Defender voor opensource-databases op AWS is nu beschikbaar in preview. Er wordt ondersteuning toegevoegd voor verschillende typen Exemplaren van Amazon Relational Database Service (RDS).
Meer informatie over Defender voor opensource-databases en het enable Defender voor opensource-databases op AWS.
Afschaffing: verwijderen van FIM (met AMA)
1 mei 2024
Geschatte datum voor wijziging: augustus 2024
Als onderdeel van de MMA-afschaffing en de Defender voor de bijgewerkte implementatiestrategie voor servers worden alle Defender voor serverbeveiligingsfuncties geleverd via één agent (MDE), of via scanmogelijkheden zonder agent, en zonder afhankelijkheid van de MMA of AMA.
Met de nieuwe versie van Fim (File Integrity Monitoring) via Microsoft Defender voor Eindpunt (MDE) kunt u voldoen aan de nalevingsvereisten door kritieke bestanden en registers in realtime te controleren, wijzigingen te controleren en verdachte bestandsinhoudswijzigingen te detecteren.
Als onderdeel van deze release is de FIM-ervaring via AMA vanaf augustus 2024 niet meer beschikbaar via de Defender voor Cloud-portal. Zie de ervaring voor bewaking van bestandsintegriteit - wijzigingen en migratierichtlijnen voor meer informatie.
Zie Microsoft Defender voor Cloud REST API's voor meer informatie over de nieuwe API-versie.
April 2024
| Date | Category | Update |
|---|---|---|
| 16 april | Geplande update |
Wijziging in CIEM-evaluatie-id's. Geschatte update: mei 2024. |
| 15 april | GA | Defender voor containers is nu beschikbaar voor AWS en GCP. |
| 3 april | Update | Risk prioritization is nu de standaardervaring in Defender voor Cloud |
| 3 april | Update | Defender voor opensource-relationele databases. |
Update: Wijziging in CIEM-evaluatie-id's
16 april 2024
Geschatte datum voor wijziging: mei 2024
De volgende aanbevelingen zijn gepland voor het herbouwen, wat leidt tot wijzigingen in hun evaluatie-id's:
Azure overprovisioned identities should have only the necessary permissionsAWS Overprovisioned identities should have only the necessary permissionsGCP overprovisioned identities should have only the necessary permissionsSuper identities in your Azure environment should be removedUnused identities in your Azure environment should be removed
ALGEMENE BESCHIKBAARHEID: Defender voor containers voor AWS en GCP
15 april 2024
Detectie van runtimerisico's en detectie zonder agent voor AWS en GCP in Defender voor containers zijn nu algemeen beschikbaar. Daarnaast is er een nieuwe verificatiemogelijkheid in AWS die het inrichten vereenvoudigt.
Meer informatie over containers-ondersteuningsmatrix in Defender voor Cloud en het configureren van Defender voor onderdelen van containers.
Update: Prioriteitstelling van risico's
3 april 2024
Risico prioritering is nu de standaardervaring in Defender voor Cloud. Met deze functie kunt u zich richten op de meest kritieke beveiligingsproblemen in uw omgeving door aanbevelingen te prioriteren op basis van de risicofactoren van elke resource. De risicofactoren omvatten de mogelijke impact van het beveiligingsprobleem dat wordt geschonden, de risicocategorieën en het aanvalspad waarvan het beveiligingsprobleem deel uitmaakt. Meer informatie over risico prioritering.
Update: Defender voor Open-Source relationele databases
3 april 2024
- Defender voor PostgreSQL Flexible Servers post-GA-updates - Met de update kunnen klanten beveiliging afdwingen voor bestaande flexibele PostgreSQL-servers op abonnementsniveau, waardoor volledige flexibiliteit is om beveiliging per resource mogelijk te maken of voor automatische beveiliging van alle resources op abonnementsniveau.
- Defender for MySQL Flexible Servers Availability and GA - Defender voor Cloud de ondersteuning uitgebreid voor Azure opensource relationele databases door MySQL Flexible Servers te integreren.
Deze release omvat:
- Waarschuwingscompatibiliteit met bestaande waarschuwingen voor Defender voor MySQL Enkele servers.
- Het inschakelen van afzonderlijke resources.
- Inschakelen op abonnementsniveau.
- Updates voor Azure Database for MySQL flexibele servers worden de komende weken geïmplementeerd. Als de fout
The server <servername> is not compatible with Advanced Threat Protectionwordt weergegeven, kunt u wachten op de update of een ondersteuningsticket openen om de server sneller bij te werken naar een ondersteunde versie.
Als u uw abonnement al beveiligt met Defender voor opensource-relationele databases, worden uw flexibele serverresources automatisch ingeschakeld, beveiligd en gefactureerd. Er zijn specifieke factureringsmeldingen verzonden via e-mail voor betrokken abonnementen.
Meer informatie over Microsoft Defender voor opensource relationele databases.
Maart 2024
GA: scannen van containerinstallatiekopieën Windows
31 maart 2024
We kondigen de algemene beschikbaarheid (GA) aan van de ondersteuning voor Windows containerinstallatiekopieën voor scannen door Defender voor containers.
Update: Continue export bevat nu aanvalspadgegevens
25 maart 2024
We kondigen aan dat continue export nu aanvalspadgegevens bevat. Met deze functie kunt u beveiligingsgegevens streamen naar Log Analytics in Azure Monitor, naar Azure Event Hubs of naar een andere SIEM (Security Information and Event Management), SOAR (Security Orchestration Automated Response) of een klassieke IT-implementatiemodeloplossing.
Meer informatie over continue export.
Preview: scannen zonder agent ondersteunt versleutelde CMK-VM's in Azure
21 maart 2024
Tot nu toe werd het scannen zonder agent gedekt door CMK versleutelde VM's in AWS en GCP. Met deze release wordt ook ondersteuning voor Azure voltooid. De mogelijkheid maakt gebruik van een unieke scanbenadering voor CMK in Azure:
- Defender voor Cloud verwerkt het sleutel- of ontsleutelingsproces niet. Sleutels en ontsleuteling worden naadloos verwerkt door Azure Compute en zijn transparant voor Defender voor Cloud scanservice zonder agent.
- De niet-versleutelde VM-schijfgegevens worden nooit gekopieerd of opnieuw versleuteld met een andere sleutel.
- De oorspronkelijke sleutel wordt niet gerepliceerd tijdens het proces. Als u deze opschoont, worden de gegevens op zowel uw productie-VM als de tijdelijke momentopname van Defender voor Cloud verwijderd.
Tijdens de openbare preview is deze functie niet automatisch ingeschakeld. Als u Defender voor Servers P2 of Defender CSPM gebruikt en uw omgeving VM's met DOOR CMK versleutelde schijven heeft, kunt u deze nu laten scannen op beveiligingsproblemen, geheimen en malware door deze stappen voor enablement te volgen.
Preview: Aangepaste aanbevelingen op basis van KQL voor Azure
17 maart 2024
Aangepaste aanbevelingen op basis van KQL voor Azure zijn nu beschikbaar als openbare preview en worden ondersteund voor alle clouds. Zie Aangepaste beveiligingsstandaarden en aanbevelingen maken voor meer informatie.
Update: Opname van DevOps-aanbevelingen in de Microsoft cloudbeveiligingsbenchmark
13 maart 2024
Vandaag kondigen we aan dat u nu uw DevOps-beveiligings- en nalevingspostuur kunt bewaken in de Microsoft cloudbeveiligingsbenchmark (MCSB) naast Azure, AWS en GCP. DevOps-evaluaties maken deel uit van het DevOps-beveiligingsbeheer in de MCSB.
De MCSB is een framework dat fundamentele principes voor cloudbeveiliging definieert op basis van algemene industriestandaarden en nalevingsframeworks. MCSB biedt beschrijvende informatie over het implementeren van cloudagnostische beveiligingsaanbevelingen.
Meer informatie over de DevOps-aanbevelingen die worden opgenomen en de Microsoft cloudbeveiligingsbenchmark.
GA: ServiceNow-integratie is nu algemeen beschikbaar
12 maart 2024
We kondigen de algemene beschikbaarheid (GA) van de ServiceNow-integratie aan.
Preview: Bescherming van kritieke assets in Microsoft Defender voor Cloud
12 maart 2024
Defender voor Cloud bevat nu een functie voor bedrijfskritiek, waarbij gebruik wordt gemaakt van de engine voor kritieke activa van Microsoft Beveiliging Exposure Management om belangrijke activa te identificeren en te beveiligen via risico-prioriteitstelling, analyse van aanvalspaden en cloudbeveiligingsverkenner. Zie Kritische activabeveiliging in Microsoft Defender voor Cloud (preview) voor meer informatie.
Update: Verbeterde AWS- en GCP-aanbevelingen met geautomatiseerde herstelscripts
12 maart 2024
We verbeteren de AANBEVELINGEN van AWS en GCP met geautomatiseerde herstelscripts waarmee u deze programmatisch en op schaal kunt herstellen. Meer informatie over geautomatiseerde herstelscripts.
Preview: Nalevingsstandaarden toegevoegd aan het nalevingsdashboard
6 maart 2024
Op basis van feedback van klanten hebben we nalevingsstandaarden in preview toegevoegd aan Defender voor Cloud.
Bekijk de volledige lijst met ondersteunde nalevingsstandaarden
We werken voortdurend aan het toevoegen en bijwerken van nieuwe standaarden voor Azure-, AWS- en GCP-omgevingen.
Meer informatie over het toewijzen van een beveiligingsstandaard.
Update: Defender voor updates van opensource-relationele databases
6 maart 2024**
Geschatte datum voor wijziging: april 2024
Defender voor PostgreSQL Flexible Servers post-GA-updates - Met de update kunnen klanten beveiliging afdwingen voor bestaande flexibele PostgreSQL-servers op abonnementsniveau, waardoor volledige flexibiliteit is om beveiliging per resource mogelijk te maken of voor automatische beveiliging van alle resources op abonnementsniveau.
Defender for MySQL Flexible Servers Availability and GA - Defender voor Cloud is ingesteld om de ondersteuning voor Azure opensource relationele databases uit te breiden door MySQL Flexible Servers op te nemen. Deze release bevat:
- Waarschuwingscompatibiliteit met bestaande waarschuwingen voor Defender voor MySQL Enkele servers.
- Het inschakelen van afzonderlijke resources.
- Inschakelen op abonnementsniveau.
Als u uw abonnement al beveiligt met Defender voor opensource-relationele databases, worden uw flexibele serverresources automatisch ingeschakeld, beveiligd en gefactureerd. Er zijn specifieke factureringsmeldingen verzonden via e-mail voor betrokken abonnementen.
Meer informatie over Microsoft Defender voor opensource relationele databases.
Update: Wijzigingen in nalevingsaanbiedingen en instellingen voor Microsoft acties
3 maart 2024
Geschatte datum voor wijziging: 30 september 2025
Op 30 september 2025 worden de locaties waar u toegang hebt tot twee preview-functies, nalevingsaanbiedingen en Microsoft acties, gewijzigd.
De tabel met de nalevingsstatus van de producten van Microsoft (toegankelijk vanuit het Aanbiedingsaanbiedingen op de werkbalk Defender van het regulatory compliancedashboard). Nadat deze knop uit Defender voor Cloud is verwijderd, hebt u nog steeds toegang tot deze informatie via de Service Trust Portal.
Voor een subset van besturingselementen is Microsoft Acties toegankelijk via de knop Microsoft Actions (preview) in het detailvenster besturingselementen. Nadat deze knop is verwijderd, kunt u Microsoft Acties bekijken door naar Microsoft Service Trust Portal voor FedRAMP te gaan en toegang te krijgen tot het document Azure System Security Plan.
Update: Wijzigingen in waar u toegang krijgt tot nalevingsaanbiedingen en Microsoft acties
3 maart 2024**
Geschatte datum voor wijziging: september 2025
Op 30 september 2025 worden de locaties waar u toegang hebt tot twee preview-functies, nalevingsaanbiedingen en Microsoft acties, gewijzigd.
De tabel met de nalevingsstatus van de producten van Microsoft (toegankelijk vanuit het Aanbiedingsaanbiedingen op de werkbalk Defender van het regulatory compliancedashboard). Nadat deze knop uit Defender voor Cloud is verwijderd, hebt u nog steeds toegang tot deze informatie via de Service Trust Portal.
Voor een subset van besturingselementen is Microsoft Acties toegankelijk via de knop Microsoft Actions (preview) in het detailvenster besturingselementen. Nadat deze knop is verwijderd, kunt u Microsoft Acties bekijken door naar Microsoft Service Trust Portal voor FedRAMP te gaan en toegang te krijgen tot het document Azure System Security Plan.
Afschaffing: Defender voor Cloud Evaluatie van beveiligingsproblemen van containers mogelijk gemaakt door qualys buitengebruikstelling
3 maart 2024
De Defender voor Cloud Containers Vulnerability Assessment mogelijk gemaakt door Qualys wordt buiten gebruik gesteld. De buitengebruikstelling wordt op 6 maart voltooid en tot die tijd kunnen gedeeltelijke resultaten nog steeds worden weergegeven in de Qualys-aanbevelingen en Qualys resulteert in de beveiligingsgrafiek. Klanten die deze evaluatie eerder gebruikten, moeten upgraden naar Vulnerability-evaluaties voor Azure met Microsoft Defender Vulnerability Management. Zie Transition van Qualys naar Microsoft Defender Vulnerability Management voor informatie over de overgang naar de evaluatie van beveiligingsproblemen in containers, mogelijk gemaakt door Microsoft Defender Vulnerability Management.
Februari 2024
| Date | Category | Update |
|---|---|---|
| 28 februari | Deprecation | Microsoft Beveiliging Code Analysis (MSCA) is niet meer operationeel. |
| 28 februari | Update | Bijgewerkt beveiligingsbeleidsbeheer breidt de ondersteuning uit naar AWS en GCP. |
| 26 februari | Update | Cloud-ondersteuning voor Defender voor containers |
| 20 februari | Update | Nieuwe versie van Defender sensor voor Defender voor containers |
| 18 februari | Update | Ondersteuning voor indelingsspecificatie van Open Container Initiative (OCI) |
| 13 februari | Deprecation | Evaluatie van beveiligingsproblemen in AWS-containers mogelijk gemaakt door Trivy buiten gebruik gesteld. |
| 5 februari | Geplande update |
Uitgave van Microsoft. SecurityDevOps-resourceprovider Verwacht: 6 maart 2024 |
Afschaffing: Microsoft Beveiliging Code Analysis (MSCA) is niet meer operationeel
28 februari 2024
In februari 2021 werd de afschaffing van de MSCA-taak doorgegeven aan alle klanten en is sinds maart 2022 beëindigd. Vanaf 26 februari 2024 is MSCA officieel niet meer operationeel.
Klanten kunnen de nieuwste DevOps-beveiligingshulpprogramma's downloaden van Defender voor Cloud via Microsoft Beveiliging DevOps en meer beveiligingshulpprogramma's via GitHub Advanced Security for Azure DevOps.
Update: Beveiligingsbeleidsbeheer breidt de ondersteuning uit naar AWS en GCP
28 februari 2024
De bijgewerkte ervaring voor het beheren van beveiligingsbeleid, in eerste instantie uitgebracht in preview voor Azure, breidt de ondersteuning uit naar AWS- en GCP-omgevingen (Cross Cloud). Deze preview-versie omvat:
- Het beheren van regulatory compliancestandaarden in Defender voor Cloud in Azure, AWS en GCP-omgevingen.
- Dezelfde interface-ervaring tussen clouds voor het maken en beheren van aangepaste aanbevelingen voor Microsoft Cloud Security Benchmark(MCSB).
- De bijgewerkte ervaring wordt toegepast op AWS en GCP voor het maken van aangepaste aanbevelingen met een KQL-query.
Update: Cloudondersteuning voor Defender voor containers
26 februari 2024
Azure Kubernetes Service (AKS) functies voor bedreigingsdetectie in Defender voor containers worden nu volledig ondersteund in commerciële, Azure Government en Azure China 21Vianet clouds. Bekijk ondersteunde functies.
Update: Nieuwe versie van Defender sensor voor Defender voor containers
20 februari 2024
A nieuwe versie van de Defender sensor voor Defender voor containers beschikbaar. Het omvat prestatie- en beveiligingsverbeteringen, ondersteuning voor zowel AMD64- als Arm64-boogknooppunten (alleen Linux) en maakt gebruik van Inspektor Gadget als de procesverzamelingsagent in plaats van Sysdig. De nieuwe versie wordt alleen ondersteund in Linux-kernelversie 5.4 en hoger, dus als u oudere versies van de Linux-kernel hebt, moet u een upgrade uitvoeren. Ondersteuning voor Arm64 is alleen beschikbaar via AKS V1.29 en hoger. Zie Ondersteunde hostbesturingssystemen voor meer informatie.
Update: Ondersteuning voor indelingsspecificatie van open Container Initiative (OCI)
18 februari 2024
De specificatie
Afschaffing: EVALUATIE van beveiligingsproblemen van AWS-containers mogelijk gemaakt door Trivy buiten gebruik gesteld
13 februari 2024
De evaluatie van beveiligingsproblemen van containers, mogelijk gemaakt door Trivy, is buiten gebruik gesteld. Klanten die deze evaluatie eerder gebruikten, moeten upgraden naar de nieuwe AWS-container voor beveiligingsproblemen, mogelijk gemaakt door Microsoft Defender Vulnerability Management. Zie Hoe kan ik een upgrade uitvoeren van de buiten gebruik gestelde evaluatie van Trivy-beveiligingsproblemen naar de AWS-evaluatie van beveiligingsproblemen, mogelijk gemaakt door Microsoft Defender Vulnerability Management?
Update: buiten gebruik stellen van Microsoft. SecurityDevOps-resourceprovider
5 februari 2024
Geschatte datum voor wijziging: 6 maart 2024
Microsoft Defender voor Cloud wordt de resourceprovider buiten gebruik gesteld Microsoft.SecurityDevOps die is gebruikt tijdens de openbare preview van DevOps-beveiliging, nadat deze is gemigreerd naar de bestaande Microsoft.Security-provider. De reden voor de wijziging is om de klantervaringen te verbeteren door het aantal resourceproviders dat is gekoppeld aan DevOps-connectors te verminderen.
Klanten die nog steeds gebruikmaken van de API-versie 2022-09-01-preview onder Microsoft.SecurityDevOps om query's uit te voeren op Defender voor Cloud DevOps-beveiligingsgegevens worden beïnvloed. Om onderbreking van de service te voorkomen, moet de klant bijwerken naar de nieuwe API-versie 2023-09-01-preview onder de Microsoft.Security-provider.
Klanten die momenteel gebruikmaken van Defender voor Cloud DevOps-beveiliging vanuit Azure-portal, worden niet beïnvloed.
Januari 2024
Update: Nieuw inzicht voor actieve opslagplaatsen in Cloud Security Explorer
31 januari 2024
Er is een nieuw inzicht voor Azure DevOps opslagplaatsen toegevoegd aan Cloud Security Explorer om aan te geven of opslagplaatsen actief zijn. Dit inzicht geeft aan dat de codeopslagplaats niet is gearchiveerd of uitgeschakeld, wat betekent dat schrijftoegang tot code, builds en pull-aanvragen nog steeds beschikbaar is voor gebruikers. Gearchiveerde en uitgeschakelde opslagplaatsen worden mogelijk beschouwd als lagere prioriteit, omdat de code doorgaans niet wordt gebruikt in actieve implementaties.
Gebruik deze querykoppeling om de query uit te testen via Cloud Security Explorer.
Update: Prijswijziging voor detectie van bedreigingen voor meerdere cloudcontainers
30 januari 2024**
Geschatte datum voor wijziging: april 2024
Wanneer detectie van bedreigingen voor meerdere cloudcontainers naar ALGEMENE beschikbaarheid wordt verplaatst, is deze niet meer gratis. Zie Microsoft Defender voor Cloud prijzen voor meer informatie.
Update: Afdwingen van Defender CSPM voor Premium DevOps-beveiligingswaarde
29 januari 2024**
Geschatte datum voor wijziging: 7 maart 2024
Defender voor Cloud begint met het afdwingen van de Defender CSPM plancontrole op premium DevOps-beveiligingswaarde vanaf March 7th, 2024. Als u het Defender CSPM-abonnement hebt ingeschakeld voor een cloudomgeving (Azure, AWS, GCP) binnen dezelfde tenant waarin uw DevOps-connectors zijn gemaakt, blijft u premium DevOps-mogelijkheden zonder extra kosten ontvangen. Als u geen Defender CSPM klant bent, hebt u tot March 7th, 2024 om Defender CSPM in te schakelen voordat u toegang tot deze beveiligingsfuncties verliest. Als u Defender CSPM wilt inschakelen voor een verbonden cloudomgeving vóór 7 maart 2024, volgt u de documentatie over de activering die wordt beschreven here.
Zie voor meer informatie over welke DevOps-beveiligingsfuncties beschikbaar zijn in zowel de Foundational CSPM- als Defender CSPM-abonnementen our documentation waarin de beschikbaarheid van functies wordt beschreven.
Zie de documentatie overview voor meer informatie over DevOps Security in Defender voor Cloud.
Zie hoe u uw resources beveiligt met Defender CSPM voor meer informatie over de code voor cloudbeveiligingsmogelijkheden in Defender CSPM.
Preview: Containerpostuur zonder agent voor GCP in Defender voor containers en Defender CSPM
24 januari 2024
De nieuwe mogelijkheden voor containerpostuur zonder agent (preview) zijn beschikbaar voor GCP, waaronder Vulnerability-evaluaties voor GCP met Microsoft Defender Vulnerability Management. Zie Agentless containerpostuur in Defender CSPM en Agentless in Defender for Containers voor meer informatie over alle mogelijkheden.
In dit blogbericht kunt u ook lezen over beheer van containerpostuur zonder agent voor meerdere clouds.
Preview: Scannen op malware zonder agent voor servers
16 januari 2024
We kondigen de release aan van de detectie van malware zonder agent van Defender voor Cloud voor Azure virtuele machines (VM), AWS EC2-exemplaren en GCP VM-exemplaren, als een nieuwe functie die is opgenomen in Defender voor Servers-abonnement 2.
Detectie van malware zonder agent voor VM's is nu opgenomen in ons scanplatform zonder agent. Malwarescans zonder agent maken gebruik van Microsoft Defender Antivirus antimalware-engine om schadelijke bestanden te scannen en te detecteren. Gedetecteerde bedreigingen, beveiligingswaarschuwingen rechtstreeks activeren in Defender voor Cloud en Defender XDR, waar ze kunnen worden onderzocht en hersteld. De scanner voor malware zonder agent vormt een aanvulling op de dekking op basis van agents met een tweede laag bedreigingsdetectie met probleemloze onboarding en heeft geen invloed op de prestaties van uw computer.
Meer informatie over het scannen van malware zonder agent voor servers en het scannen zonder agent voor VM's.
Algemene beschikbaarheid van de integratie van Defender voor Cloud met Microsoft Defender XDR
15 januari 2024
We kondigen de algemene beschikbaarheid (GA) aan van de integratie tussen Defender voor Cloud en Microsoft Defender XDR (voorheen Office 365 Defender).
De integratie biedt dagelijkse concurrentiemogelijkheden voor cloudbeveiliging in het Security Operations Center (SOC). Met Microsoft Defender voor Cloud en de Defender XDR-integratie kunnen SOC-teams aanvallen detecteren die detecties van meerdere pijlers combineren, waaronder cloud, eindpunt, identiteit, Microsoft 365 en meer.
Meer informatie over alerts en incidenten in Microsoft Defender XDR.
Update: Ingebouwde Azure-rol scannen van vm's zonder agent
14 januari 2024**
Geschatte wijzigingsdatum: februari 2024
In Azure gebruikt scannen zonder agent voor VM's een ingebouwde rol (VM-scanneroperator) met de minimaal vereiste machtigingen om uw VM's te scannen en te beoordelen op beveiligingsproblemen. Als u voortdurend relevante aanbevelingen voor scanstatus en configuratie wilt bieden voor VM's met versleutelde volumes, wordt een update van de machtigingen van deze rol gepland. De update bevat de toevoeging van de machtiging Microsoft.Compute/DiskEncryptionSets/read. Deze machtiging maakt alleen een verbeterde identificatie mogelijk van versleuteld schijfgebruik in VM's. Het biedt geen Defender voor Cloud meer mogelijkheden om de inhoud van deze versleutelde volumes te ontsleutelen of te openen buiten de versleutelingsmethoden already ondersteund vóór deze wijziging. Deze wijziging vindt naar verwachting plaats in februari 2024 en er is geen actie vereist aan uw einde.
Update: DevOps-beveiligingsaantekeningen voor pull-aanvragen die standaard zijn ingeschakeld voor Azure DevOps-connectors
12 januari 2024
DevOps-beveiliging stelt beveiligingsresultaten beschikbaar als aantekeningen in pull-aanvragen (PR) om ontwikkelaars te helpen potentiële beveiligingsproblemen en onjuiste configuraties te voorkomen en op te lossen voordat ze in productie gaan. Vanaf 12 januari 2024 zijn pr-aantekeningen standaard ingeschakeld voor alle nieuwe en bestaande Azure DevOps opslagplaatsen die zijn verbonden met Defender voor Cloud.
Pr-aantekeningen zijn standaard alleen ingeschakeld voor resultaten van Infrastructuur met hoge ernst als code (IaC). Klanten moeten nog steeds Microsoft Beveiliging configureren voor DevOps (MSDO) om uit te voeren in PULL-builds en het buildvalidatiebeleid voor CI-builds in te schakelen in Azure DevOps opslagplaatsinstellingen. Klanten kunnen de functie PULL-aantekening uitschakelen voor specifieke opslagplaatsen vanuit de configuratieopties van de DevOps-beveiligingsvensteropslagplaats.
Meer informatie over aantekeningen voor pull-aanvragen inschakelen voor Azure DevOps.
Afschaffing: Defender voor ingebouwde evaluatie van beveiligingsproblemen (Qualys) van servers
9 januari 2024**
Geschatte datum voor wijziging: mei 2024
De Defender voor de ingebouwde oplossing voor evaluatie van beveiligingsproblemen van Servers, mogelijk gemaakt door Qualys, bevindt zich op een buitengebruikstellingspad, dat naar schatting wordt voltooid op mei 2024. Als u momenteel de oplossing voor evaluatie van beveiligingsproblemen gebruikt die wordt mogelijk gemaakt door Qualys, moet u uw transition plannen naar de geïntegreerde oplossing Microsoft Defender voor het beheer van beveiligingsproblemen.
Lees dit blogbericht voor meer informatie over onze beslissing om onze aanbieding voor evaluatie van beveiligingsproblemen te samenvoegen met Microsoft Defender Vulnerability Management.
U kunt ook de commonvragen over de overgang naar Microsoft Defender Vulnerability Management oplossing bekijken.
Update: netwerkvereisten voor Defender voor Cloud met meerdere clouds
3 januari 2024**
Geschatte datum voor wijziging: mei 2024
Vanaf mei 2024 zullen we de oude IP-adressen die zijn gekoppeld aan onze multiclouddetectieservices buiten gebruik stellen om verbeteringen aan te passen en een veiligere en efficiëntere ervaring voor alle gebruikers te garanderen.
Om ononderbroken toegang tot onze services te garanderen, moet u uw IP-acceptatielijst bijwerken met de nieuwe bereiken in de volgende secties. U moet de benodigde aanpassingen aanbrengen in uw firewallinstellingen, beveiligingsgroepen of andere configuraties die mogelijk van toepassing zijn op uw omgeving.
De lijst is van toepassing op alle plannen en voldoende voor volledige mogelijkheden van de CSPM foundational (gratis) aanbieding.
IP-adressen die buiten gebruik moeten worden gesteld:
- Detectie GCP: 104.208.29.200, 52.232.56.127
- Detectie AWS: 52.165.47.219, 20.107.8.204
- Onboarding: 13.67.139.3
Nieuwe regiospecifieke IP-bereiken die moeten worden toegevoegd:
- Europa - west: 52.178.17.48/28
- Europa - noord: 13.69.233.80/28
- VS - centraal: 20.44.10.240/28
- VS - oost 2: 20.44.19.128/28
December 2023
Consolidatie van de serviceniveau 2-namen van Defender voor Cloud
30 december 2023
We consolideren de verouderde serviceniveau 2-namen voor alle Defender voor Cloud-plannen in één nieuwe serviceniveau 2-naam, Microsoft Defender voor Cloud.
Tegenwoordig zijn er vier serviceniveau 2-namen: Azure Defender, Advanced Threat Protection, Advanced Data Security en Security Center. De verschillende meters voor Microsoft Defender voor Cloud worden gegroepeerd in deze afzonderlijke serviceniveau 2-namen, waardoor complexiteit ontstaat bij het gebruik van Kostenbeheer en facturering, facturering en andere Azure hulpprogramma's voor facturering.
De wijziging vereenvoudigt het proces van het controleren van Defender voor Cloud kosten en biedt een betere duidelijkheid in kostenanalyse.
Om een soepele overgang te garanderen, hebben we maatregelen genomen om de consistentie van de product-/servicenaam, SKU en meter-id's te behouden. Betrokken klanten ontvangen een informatieve Azure servicemelding om de wijzigingen te communiceren.
Organisaties die kostengegevens ophalen door onze API's aan te roepen, moeten de waarden in hun aanroepen bijwerken om tegemoet te komen aan de wijziging. In deze filterfunctie retourneren de waarden bijvoorbeeld geen informatie:
"filter": {
"dimensions": {
"name": "MeterCategory",
"operator": "In",
"values": [
"Advanced Threat Protection",
"Advanced Data Security",
"Azure Defender",
"Security Center"
]
}
}
| OUDE naam van serviceniveau 2 | NAAM VAN NIEUW serviceniveau 2 | Servicelaag - Serviceniveau 4 (geen wijziging) |
|---|---|---|
| Geavanceerde Gegevensbeveiliging | Microsoft Defender voor Cloud | Defender voor SQL |
| Advanced Threat Protection | Microsoft Defender voor Cloud | Defender voor containerregisters |
| Advanced Threat Protection | Microsoft Defender voor Cloud | Defender voor DNS |
| Advanced Threat Protection | Microsoft Defender voor Cloud | Defender voor Key Vault |
| Advanced Threat Protection | Microsoft Defender voor Cloud | Defender voor Kubernetes |
| Advanced Threat Protection | Microsoft Defender voor Cloud | Defender voor MySQL |
| Advanced Threat Protection | Microsoft Defender voor Cloud | Defender voor PostgreSQL |
| Advanced Threat Protection | Microsoft Defender voor Cloud | Defender voor Resource Manager |
| Advanced Threat Protection | Microsoft Defender voor Cloud | Defender voor Opslag |
| Azure Defender | Microsoft Defender voor Cloud | Defender voor beheer van externe aanvallen Surface |
| Azure Defender | Microsoft Defender voor Cloud | Defender voor Azure Cosmos DB |
| Azure Defender | Microsoft Defender voor Cloud | Defender voor containers |
| Azure Defender | Microsoft Defender voor Cloud | Defender voor MariaDB |
| Security Center | Microsoft Defender voor Cloud | Defender voor App Service |
| Security Center | Microsoft Defender voor Cloud | Defender voor servers |
| Security Center | Microsoft Defender voor Cloud | Defender CSPM |
Defender voor servers op resourceniveau dat beschikbaar is als ALGEMENE beschikbaarheid
24 december 2023
Het is nu mogelijk om Defender voor servers op specifieke resources in uw abonnement te beheren, zodat u volledige controle hebt over uw beveiligingsstrategie. Met deze mogelijkheid kunt u specifieke resources configureren met aangepaste configuraties die verschillen van de instellingen die op abonnementsniveau zijn geconfigureerd.
Meer informatie over het inschakelen van Defender voor servers op resourceniveau.
Buitengebruikstelling van klassieke connectors voor multicloud
21 december 2023
De klassieke multicloudconnectorervaring wordt buiten gebruik gesteld en gegevens worden niet meer gestreamd naar connectors die via dat mechanisme zijn gemaakt. Deze klassieke connectors zijn gebruikt om aanbevelingen voor AWS Security Hub en GCP Security Command Center te verbinden om AWS EC2's te Defender voor Cloud en onboarden voor Defender voor servers.
De volledige waarde van deze connectors is vervangen door de systeemeigen multicloudbeveiligingsconnectorservaring, die sinds maart 2022 algemeen beschikbaar is voor AWS en GCP.
De nieuwe systeemeigen connectors zijn opgenomen in uw plan en bieden een geautomatiseerde onboarding-ervaring met opties voor het onboarden van één account, meerdere accounts (met Terraform) en onboarding van organisaties met automatische inrichting voor de volgende Defender-plannen: gratis fundamentele CSPM-mogelijkheden, Defender Cloud Security Posture Management (CSPM), Defender voor servers, Defender voor SQL en Defender voor containers.
Release van de werkmap Dekking
21 december 2023
Met de werkmap Dekking kunt u bijhouden welke Defender voor Cloud plannen actief zijn op welke delen van uw omgevingen. Deze werkmap kan u helpen ervoor te zorgen dat uw omgevingen en abonnementen volledig zijn beveiligd. Door toegang te hebben tot gedetailleerde dekkingsgegevens, kunt u ook alle gebieden identificeren die andere beveiliging nodig hebben en actie ondernemen om deze gebieden aan te pakken.
Meer informatie over de werkmap Dekking.
Algemene beschikbaarheid van Evaluatie van beveiligingsproblemen van containers mogelijk gemaakt door Microsoft Defender Vulnerability Management in Azure Government en Azure beheerd door 21Vianet
14 december 2023
Evaluatie van beveiligingsproblemen (VA) voor Linux-containerinstallatiekopieën in Azure containerregisters mogelijk gemaakt door Microsoft Defender Vulnerability Management wordt uitgebracht voor algemene beschikbaarheid (GA) in Azure Government en Azure beheerd door 21Vianet. Deze nieuwe release is beschikbaar onder de Defender voor containers en Defender voor containerregisterabonnementen.
- Als onderdeel van deze wijziging zijn nieuwe aanbevelingen uitgebracht voor algemene beschikbaarheid en opgenomen in de berekening van de beveiligingsscore. Nieuwe en bijgewerkte beveiligingsaankopen bekijken
- Er worden nu ook kosten in rekening gebracht op basis van planprijzen Microsoft Defender Vulnerability Management. Installatiekopieën gescand door onze container VA-aanbieding mogelijk gemaakt door Qualys en Container VA-aanbieding mogelijk gemaakt door Microsoft Defender Vulnerability Management worden slechts eenmaal gefactureerd.
Qualys-aanbevelingen voor evaluatie van beveiligingsproblemen in containers zijn hernoemd en blijven beschikbaar voor klanten die Defender voor containers hebben ingeschakeld voor een van hun abonnementen vóór deze release. Nieuwe klanten die Defender voor containers onboarden na deze release, zien alleen de nieuwe aanbevelingen voor evaluatie van beveiligingsproblemen van containers, mogelijk gemaakt door Microsoft Defender Vulnerability Management.
Openbare preview van Windows ondersteuning voor evaluatie van beveiligingsproblemen in containers, mogelijk gemaakt door Microsoft Defender Vulnerability Management
14 december 2023
Ondersteuning voor Windows-installatiekopieën is uitgebracht in openbare preview als onderdeel van de evaluatie van beveiligingsproblemen, mogelijk gemaakt door Microsoft Defender Vulnerability Management voor Azure containerregisters en Azure Kubernetes Services.
De evaluatie van beveiligingsproblemen van AWS-containers wordt buiten gebruik gesteld door Trivy
13 december 2023
De evaluatie van beveiligingsproblemen van containers die door Trivy wordt mogelijk gemaakt, is nu op een buitengebruikstellingspad dat op 13 februari moet worden voltooid. Deze mogelijkheid is nu afgeschaft en blijft beschikbaar voor bestaande klanten die deze mogelijkheid gebruiken tot 13 februari. We raden klanten aan deze mogelijkheid te gebruiken om tegen 13 februari een upgrade uit te voeren naar de nieuwe AWS-container voor beveiligingsproblemen, mogelijk gemaakt door Microsoft Defender Vulnerability Management.
Containerpostuur zonder agent voor AWS in Defender voor containers en Defender CSPM (preview)
13 december 2023
De nieuwe mogelijkheden voor containerpostuur zonder agent (preview) zijn beschikbaar voor AWS. Zie Agentless containerpostuur in Defender CSPM en Agentless in Defender for Containers voor meer informatie.
Ondersteuning voor algemene beschikbaarheid voor PostgreSQL Flexible Server in Defender voor een opensource-plan voor relationele databases
13 december 2023
We kondigen de algemene beschikbaarheidsrelease van PostgreSQL Flexible Server-ondersteuning aan in de Microsoft Defender voor opensource-relationele databases plan. Microsoft Defender voor opensource-relationele databases biedt geavanceerde bedreigingsbeveiliging voor PostgreSQL Flexibele servers door afwijkende activiteiten te detecteren en beveiligingswaarschuwingen te genereren.
Meer informatie over het Enable Microsoft Defender voor opensource-relationele databases.
Evaluatie van beveiligingsproblemen van containers mogelijk gemaakt door Microsoft Defender Vulnerability Management biedt nu ondersteuning voor Google Distroless
12 december 2023
Evaluaties van beveiligingsproblemen in containers die worden mogelijk gemaakt door Microsoft Defender Vulnerability Management zijn uitgebreid met meer dekking voor Linux-besturingssysteempakketten, die nu Google Distroless ondersteunen.
Zie Registers en installatiekopieën voor Azure - Evaluatie van beveiligingsproblemen mogelijk gemaakt door Microsoft Defender Vulnerability Management voor een lijst met alle ondersteunde besturingssystemen.
november 2023
Vier waarschuwingen zijn afgeschaft
30 november 2023
Als onderdeel van ons kwaliteitsverbeteringsproces worden de volgende beveiligingswaarschuwingen afgeschaft:
Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)Suspicious process termination burst (VM_TaskkillBurst)PsExec execution detected (VM_RunByPsExec)
Algemene beschikbaarheid van scannen van geheimen zonder agent in Defender voor servers en Defender CSPM
27 november 2023
Scannen van geheimen zonder agent verbetert de cloudgebaseerde Virtual Machines (VM) door geheimen zonder opmaak op VM-schijven te identificeren. Scannen van geheimen zonder agent biedt uitgebreide informatie om prioriteit te geven aan gedetecteerde bevindingen en risico's voor laterale verplaatsing te beperken voordat ze optreden. Deze proactieve benadering voorkomt onbevoegde toegang, zodat uw cloudomgeving veilig blijft.
We kondigen de algemene beschikbaarheid (GA) aan van het scannen van geheimen zonder agent, die is opgenomen in zowel de Defender voor Servers P2 als de Defender CSPM-plannen.
Scannen van geheimen zonder agent maakt gebruik van cloud-API's om momentopnamen van uw schijven vast te leggen, waarbij out-of-band-analyses worden uitgevoerd om ervoor te zorgen dat er geen effect is op de prestaties van uw VM. Scannen van geheimen zonder agent vergroot de dekking die wordt geboden door Defender voor Cloud over cloudassets in Azure-, AWS- en GCP-omgevingen om uw cloudbeveiliging te verbeteren.
Met deze release bieden Defender voor Cloud detectiemogelijkheden nu ondersteuning voor andere databasetypen, ondertekende URL's voor gegevensopslag, toegangstokens en meer.
Meer informatie over het beheren van geheimen met scannen van geheimen zonder agent.
Machtigingenbeheer inschakelen met Defender voor Cloud (preview)
22 november 2023
Microsoft biedt nu oplossingen voor zowel Cloud-Native Application Protection Platforms (CNAPP) als CIEM-oplossingen (Cloud Infrastructure Entitlement Management) met Microsoft Defender voor Cloud (CNAPP) en Microsoft Entra permissions management (CIEM).
Beveiligingsbeheerders kunnen een gecentraliseerde weergave krijgen van hun ongebruikte of overmatige toegangsmachtigingen binnen Defender voor Cloud.
Beveiligingsteams kunnen de besturingselementen voor toegang met minimale bevoegdheden voor cloudresources stimuleren en aanbevelingen ontvangen voor het oplossen van risico's voor machtigingen in Azure-, AWS- en GCP-cloudomgevingen als onderdeel van hun Defender Cloud Security Posture Management (CSPM), zonder extra licentievereisten.
Meer informatie over het Beheer van machtigingen in Microsoft Defender voor Cloud (preview).
Defender voor Cloud integratie met ServiceNow
22 november 2023
ServiceNow is nu geïntegreerd met Microsoft Defender voor Cloud, waarmee klanten ServiceNow kunnen verbinden met hun Defender voor Cloud-omgeving om prioriteit te geven aan herstel van aanbevelingen die van invloed zijn op uw bedrijf. Microsoft Defender voor Cloud integreert met de ITSM-module (incidentbeheer). Als onderdeel van deze verbinding kunnen klanten ServiceNow-tickets (gekoppeld aan aanbevelingen) maken/weergeven vanuit Microsoft Defender voor Cloud.
Meer informatie over de integratie van Defender voor Cloud met ServiceNow.
Algemene beschikbaarheid van het proces voor automatische inrichting voor SQL-servers op machinesplan
20 november 2023
Ter voorbereiding op de afschaffing van de Microsoft Monitoring Agent (MMA) in augustus 2024 heeft Defender voor Cloud een SQL Server-gerichte automatische inrichtingsproces voor Azure Monitoring Agent (AMA) uitgebracht. Het nieuwe proces wordt automatisch ingeschakeld en geconfigureerd voor alle nieuwe klanten en biedt ook de mogelijkheid voor het inschakelen op resourceniveau voor Azure SQL VM's en SQL-servers met Arc.
Klanten die het MMA-proces voor automatische inrichting gebruiken, worden gevraagd om migreren naar de nieuwe Azure Monitoring Agent voor SQL Server op machines die automatisch inrichtingsproces uitvoeren. Het migratieproces is naadloos en biedt continue beveiliging voor alle machines.
Algemene beschikbaarheid van Defender voor API's
15 november 2023
We kondigen de algemene beschikbaarheid (GA) van Microsoft Defender voor API's aan. Defender voor API's is ontworpen om organisaties te beschermen tegen API-beveiligingsrisico's.
Defender voor API's kunnen organisaties hun API's en gegevens beschermen tegen kwaadwillende actoren. Organisaties kunnen hun API-beveiligingspostuur onderzoeken en verbeteren, beveiligingsoplossingen prioriteren en snel actieve realtime bedreigingen detecteren en erop reageren. Organisaties kunnen beveiligingswaarschuwingen ook rechtstreeks integreren in hun SIEM-platform (Security Incident and Event Management), bijvoorbeeld Microsoft Sentinel, om problemen te onderzoeken en te classificeren.
U kunt leren hoe u uw API's Beveiligt met Defender voor API's. U kunt ook meer informatie vinden over About Microsoft Defender voor API's.
U kunt deze blog ook lezen voor meer informatie over de algemene beschikbaarheidsaankondiging.
Defender voor Cloud is nu geïntegreerd met Microsoft 365 Defender (preview)
15 november 2023
Bedrijven kunnen hun cloudresources en -apparaten beschermen met de nieuwe integratie tussen Microsoft Defender voor Cloud en Microsoft Defender XDR. Deze integratie verbindt de punten tussen cloudresources, apparaten en identiteiten, die eerder meerdere ervaringen vereist.
De integratie biedt ook dagelijkse concurrentiemogelijkheden voor cloudbeveiliging in het Security Operations Center (SOC). Met Microsoft Defender XDR kunnen SOC-teams eenvoudig aanvallen detecteren die detecties van meerdere pijlers combineren, waaronder cloud, eindpunt, identiteit, Microsoft 365 en meer.
Enkele van de belangrijkste voordelen zijn:
One gebruiksvriendelijke interface voor SOC-teams: Met de waarschuwingen en cloudcorrelaties van Defender voor Cloud geïntegreerd in M365D hebben SOC-teams nu toegang tot alle beveiligingsinformatie vanaf één interface, waardoor de operationele efficiëntie aanzienlijk wordt verbeterd.
Eén aanvalsverhaal: klanten kunnen het volledige aanvalsverhaal begrijpen, inclusief hun cloudomgeving, met behulp van vooraf gemaakte correlaties die beveiligingswaarschuwingen uit meerdere bronnen combineren.
Nieuwe cloudentiteiten in Microsoft Defender XDR: Microsoft Defender XDR ondersteunt nu nieuwe cloudentiteiten die uniek zijn voor Microsoft Defender voor Cloud, zoals cloudresources. Klanten kunnen entiteiten van virtuele machines (VM's) koppelen aan apparaatentiteiten, zodat ze een uniforme weergave bieden van alle relevante informatie over een machine, inclusief waarschuwingen en incidenten die erop zijn geactiveerd.
Unified API voor Microsoft Beveiliging producten: Klanten kunnen hun beveiligingswaarschuwingen nu exporteren naar hun eigen systemen met behulp van één API, omdat Microsoft Defender voor Cloud waarschuwingen en incidenten nu deel uitmaken van de openbare API van Microsoft Defender XDR.
De integratie tussen Defender voor Cloud en Microsoft Defender XDR is beschikbaar voor alle nieuwe en bestaande Defender voor Cloud klanten.
Algemene beschikbaarheid van Evaluatie van beveiligingsproblemen van containers mogelijk gemaakt door Microsoft Defender Vulnerability Management (MDVM) in Defender voor containers en Defender voor containerregisters
15 november 2023
Evaluatie van beveiligingsproblemen (VA) voor Linux-containerinstallatiekopieën in Azure containerregisters mogelijk gemaakt door Microsoft Defender Vulnerability Management (MDVM) wordt uitgebracht voor algemene beschikbaarheid (GA) in Defender voor containers en Defender voor containerregisters.
Als onderdeel van deze wijziging zijn de volgende aanbevelingen uitgebracht voor algemene beschikbaarheid en hernoemd en zijn nu opgenomen in de berekening van de beveiligingsscore:
| Naam van huidige aanbeveling | Nieuwe aanbevelingsnaam | Description | Evaluatiesleutel |
|---|---|---|---|
| Containerregisterinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) | Azure registercontainerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) | Evaluaties van beveiligingsproblemen van containerinstallatiekopieën scannen uw register op bekende beveiligingsproblemen (CVE's) en bieden een gedetailleerd beveiligingsrapport voor elke installatiekopie. Het oplossen van beveiligingsproblemen kan uw beveiligingspostuur aanzienlijk verbeteren, zodat installatiekopieën veilig kunnen worden gebruikt vóór de implementatie. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Bij het uitvoeren van containerinstallatiekopieën moeten beveiligingsproblemen zijn opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) | Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen zijn opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management | Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Deze aanbeveling biedt inzicht in kwetsbare installatiekopieën die momenteel worden uitgevoerd in uw Kubernetes-clusters. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën die momenteel worden uitgevoerd, is essentieel voor het verbeteren van uw beveiligingspostuur, waardoor de kwetsbaarheid voor aanvallen voor uw in containers geplaatste workloads aanzienlijk wordt verminderd. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Voor een containerinstallatiekopieënscan die mogelijk wordt gemaakt door MDVM worden nu ook kosten in rekening gebracht volgens de prijs van een abonnement.
Note
Installatiekopieën gescand door onze container VA-aanbieding mogelijk gemaakt door Qualys en Container VA-aanbieding mogelijk gemaakt door MDVM, worden slechts eenmaal gefactureerd.
De onderstaande Qualys-aanbevelingen voor de evaluatie van beveiligingsproblemen van containers zijn hernoemd en blijven beschikbaar voor klanten die Defender voor containers hebben ingeschakeld voor een van hun abonnementen vóór 15 november. Nieuwe klanten die na 15 november Defender voor Containers onboarden, zien alleen de nieuwe aanbevelingen voor de evaluatie van beveiligingsproblemen van containers, mogelijk gemaakt door Microsoft Defender Vulnerability Management.
| Naam van huidige aanbeveling | Nieuwe aanbevelingsnaam | Description | Evaluatiesleutel |
|---|---|---|---|
| Containerregisterinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Qualys) | Azure registercontainerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Qualys) | Evaluatie van beveiligingsproblemen van de containerinstallatiekopie scant uw register op beveiligingsproblemen en toont gedetailleerde resultaten voor elke installatiekopie. Door de beveiligingsproblemen op te lossen, kunt u de beveiligingspostuur van uw containers aanzienlijk verbeteren en deze beschermen tegen aanvallen. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Bij het uitvoeren van containerinstallatiekopieën moeten beveiligingsproblemen zijn opgelost (mogelijk gemaakt door Qualys) | Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen zijn opgelost ( mogelijk gemaakt door Qualys) | Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant containerinstallatiekopieën die worden uitgevoerd op uw Kubernetes-clusters op beveiligingsproblemen en toont gedetailleerde bevindingen voor elke installatiekopie. Door de beveiligingsproblemen op te lossen, kunt u de beveiligingspostuur van uw containers aanzienlijk verbeteren en deze beschermen tegen aanvallen. | 41503391-efa5-47ee-9282-4eff6131462c |
Naam van aanbevelingsnamen voor evaluaties van beveiligingsproblemen in containers wijzigen
De volgende aanbevelingen voor evaluaties van beveiligingsproblemen in containers zijn hernoemd:
| Naam van huidige aanbeveling | Nieuwe aanbevelingsnaam | Description | Evaluatiesleutel |
|---|---|---|---|
| Containerregisterinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Qualys) | Azure registercontainerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Qualys) | Evaluatie van beveiligingsproblemen van de containerinstallatiekopie scant uw register op beveiligingsproblemen en toont gedetailleerde resultaten voor elke installatiekopie. Door de beveiligingsproblemen op te lossen, kunt u de beveiligingspostuur van uw containers aanzienlijk verbeteren en deze beschermen tegen aanvallen. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Bij het uitvoeren van containerinstallatiekopieën moeten beveiligingsproblemen zijn opgelost (mogelijk gemaakt door Qualys) | Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen zijn opgelost ( mogelijk gemaakt door Qualys) | Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant containerinstallatiekopieën die worden uitgevoerd op uw Kubernetes-clusters op beveiligingsproblemen en toont gedetailleerde bevindingen voor elke installatiekopie. Door de beveiligingsproblemen op te lossen, kunt u de beveiligingspostuur van uw containers aanzienlijk verbeteren en deze beschermen tegen aanvallen. | 41503391-efa5-47ee-9282-4eff6131462c |
| Installatiekopieën van elastische containerregisters moeten problemen hebben opgelost | AWS-registercontainerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost - (mogelijk gemaakt door Trivy) | Evaluatie van beveiligingsproblemen van de containerinstallatiekopie scant uw register op beveiligingsproblemen en toont gedetailleerde resultaten voor elke installatiekopie. Door de beveiligingsproblemen op te lossen, kunt u de beveiligingspostuur van uw containers aanzienlijk verbeteren en deze beschermen tegen aanvallen. | 03587042-5d4b-44ff-af42-ae99e3c71c87 |
Prioriteitstelling van risico's is nu beschikbaar voor aanbevelingen
15 november 2023
U kunt nu prioriteit geven aan uw beveiligingsaanbeveling op basis van het risiconiveau dat ze vormen, waarbij rekening wordt gehouden met zowel de exploiteerbaarheid als het potentiële bedrijfseffect van elk onderliggend beveiligingsprobleem.
Door uw aanbevelingen te organiseren op basis van hun risiconiveau (kritiek, hoog, gemiddeld, laag), kunt u de meest kritieke risico's binnen uw omgeving aanpakken en efficiënt prioriteit geven aan het oplossen van beveiligingsproblemen op basis van het werkelijke risico, zoals blootstelling aan internet, gegevensgevoeligheid, mogelijkheden voor laterale verplaatsing en mogelijke aanvalspaden die kunnen worden beperkt door de aanbevelingen op te lossen.
Meer informatie over risico prioritering.
Analyse van aanvalspaden nieuwe engine en uitgebreide verbeteringen
15 november 2023
We brengen verbeteringen uit aan de mogelijkheden voor analyse van aanvalspaden in Defender voor Cloud.
Nieuwe engine : analyse van aanvalspaden heeft een nieuwe engine, die gebruikmaakt van padzoekingsalgoritmen om elk mogelijk aanvalspad te detecteren dat bestaat in uw cloudomgeving (op basis van de gegevens die we in onze grafiek hebben). We kunnen veel meer aanvalspaden in uw omgeving vinden en complexere en geavanceerdere aanvalspatronen detecteren die aanvallers kunnen gebruiken om uw organisatie te schenden.
Verbeteringen : de volgende verbeteringen worden uitgebracht:
- Prioriteitsaanduiding van risico's : lijst met prioriteit van aanvalspaden op basis van risico 'exploitability & business affect'.
- Verbeterd herstel : het aanwijzen van de specifieke aanbevelingen die moeten worden opgelost om de keten daadwerkelijk te verbreken.
- Aanvalspaden in meerdere clouds: detectie van aanvalspaden die meerdere clouds zijn (paden die in de ene cloud beginnen en eindigen in een andere).
- MITRE : alle aanvalspaden toewijzen aan het MITRE-framework.
- Vernieuwde gebruikerservaring : vernieuwde ervaring met sterkere mogelijkheden: geavanceerde filters, zoeken en groeperen van aanvalspaden om eenvoudiger te kunnen worden gesorteerd.
Meer informatie over het identificeren en herstellen van aanvalspaden.
Wijzigingen in het Azure Resource Graph tabelschema van het aanvalspad
15 november 2023
Het Azure Resource Graph tabelschema van het aanvalspad wordt bijgewerkt. De attackPathType eigenschap wordt verwijderd en andere eigenschappen worden toegevoegd.
Algemene beschikbaarheidsrelease van GCP-ondersteuning in Defender CSPM
15 november 2023
We kondigen de algemene beschikbaarheidsrelease van de Defender CSPM contextuele cloudbeveiligingsgrafiek en aanvalspadanalyse aan met ondersteuning voor GCP-resources. U kunt de kracht van Defender CSPM toepassen voor uitgebreide zichtbaarheid en intelligente cloudbeveiliging in GCP-resources.
Belangrijke functies van onze GCP-ondersteuning zijn:
- Analyse van aanvalspaden : krijg inzicht in de mogelijke routes die aanvallers kunnen nemen.
- Cloud Security Explorer : proactief beveiligingsrisico's identificeren door op grafieken gebaseerde query's uit te voeren op de beveiligingsgrafiek.
- Scannen zonder agent : scan servers en identificeer geheimen en beveiligingsproblemen zonder een agent te installeren.
- Gegevensbewuste beveiligingspostuur : risico's detecteren en oplossen voor gevoelige gegevens in Google Cloud Storage-buckets.
Meer informatie over Defender CSPM abonnementsopties.
Note
De facturering voor de GA-release van GCP-ondersteuning in Defender CSPM begint op 1 februari 2024.
Algemene beschikbaarheidsrelease van dashboard voor gegevensbeveiliging
15 november 2023
Het dashboard voor gegevensbeveiliging is nu beschikbaar in algemene beschikbaarheid (GA) als onderdeel van het Defender CSPM-abonnement.
Met het dashboard voor gegevensbeveiliging kunt u de gegevensomgeving van uw organisatie, risico's voor gevoelige gegevens en inzichten over uw gegevensbronnen bekijken.
Meer informatie over het dashboard voor gegevensbeveiliging.
Algemene beschikbaarheid van detectie van gevoelige gegevens voor databases
15 november 2023
Detectie van gevoelige gegevens voor beheerde databases, waaronder Azure SQL databases en AWS RDS-exemplaren (alle RDBMS-varianten) is nu algemeen beschikbaar en maakt automatische detectie mogelijk van kritieke databases die gevoelige gegevens bevatten.
Als u deze functie wilt inschakelen in alle ondersteunde gegevensarchieven in uw omgevingen, moet u Sensitive data discovery in Defender CSPM inschakelen. Meer informatie hoe u detectie van gevoelige gegevens inschakelt in Defender CSPM.
U kunt ook leren hoe gevoelige gegevensdetectie wordt gebruikt in de beveiligingspostuur voor gegevensbewust.
Aankondiging van openbare preview: Nieuw uitgebreid inzicht in gegevensbeveiliging met meerdere clouds in Microsoft Defender voor Cloud.
Nieuwe versie van de aanbeveling om ontbrekende systeemupdates te vinden, is nu algemeen beschikbaar
6 november 2023
Er is geen extra agent meer nodig op uw Azure VM's en Azure Arc machines om ervoor te zorgen dat de machines over alle meest recente beveiligingsupdates of essentiële systeemupdates beschikken.
De aanbeveling voor nieuwe systeemupdates, System updates should be installed on your machines (powered by Azure Update Manager) in het besturingselement Apply system updates, is gebaseerd op de Update Manager en is nu volledig ALGEMEEN beschikbaar. De aanbeveling is afhankelijk van een systeemeigen agent die is ingesloten in elke Azure VM en Azure Arc machines in plaats van een geïnstalleerde agent. Met de snelle oplossing in de nieuwe aanbeveling gaat u naar een eenmalige installatie van de ontbrekende updates in de Update Manager-portal.
De oude en de nieuwe versies van de aanbevelingen om ontbrekende systeemupdates te vinden, zijn beide beschikbaar tot augustus 2024. Dit is wanneer de oudere versie wordt afgeschaft. Beide aanbevelingen: System updates should be installed on your machines (powered by Azure Update Manager)and System updates should be installed on your machines zijn beschikbaar onder hetzelfde besturingselement: Apply system updates en heeft dezelfde resultaten. Er is dus geen duplicatie in het effect op de beveiligingsscore.
U wordt aangeraden te migreren naar de nieuwe aanbeveling en de oude te verwijderen door het uit te schakelen van het ingebouwde initiatief van Defender voor Cloud in Azure beleid.
De aanbeveling is ook algemeen beschikbaar [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) en is een vereiste, die een negatief effect heeft op uw beveiligingsscore. U kunt het negatieve effect herstellen met de beschikbare oplossing.
Als u de nieuwe aanbeveling wilt toepassen, moet u het volgende doen:
- Verbind uw niet-Azure machines met Arc.
- Schakel de periodieke evaluatie-eigenschap in. U kunt de snelle oplossing in de nieuwe aanbeveling
[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)gebruiken om de aanbeveling op te lossen.
Note
Het inschakelen van periodieke evaluaties voor machines met Arc die Defender voor Servers Abonnement 2 is niet ingeschakeld voor hun gerelateerde abonnement of connector, is onderhevig aan Azure Update Manager prijzen. Machines met Arc die Defender voor Servers-abonnement 2 zijn ingeschakeld op hun gerelateerde abonnement of connectors, of een Azure VM, komen zonder extra kosten in aanmerking voor deze mogelijkheid.
Oktober 2023
De ernst van beveiligingswaarschuwingen voor adaptieve toepassingen wijzigen
Aankondigingsdatum: 30 oktober 2023
Als onderdeel van het kwaliteitsverbeteringsproces voor beveiligingswaarschuwingen van Defender voor servers en als onderdeel van de functie adaptive toepassingsbeheer wordt de ernst van de volgende beveiligingswaarschuwing gewijzigd in 'Informatie':
| Waarschuwing [Waarschuwingstype] | Beschrijving van waarschuwing |
|---|---|
| Er is een schending van het adaptieve toepassingsbeheerbeleid gecontroleerd. [VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] | De onderstaande gebruikers hebben toepassingen uitgevoerd die het toepassingsbeheerbeleid van uw organisatie op deze computer schenden. Het kan de machine mogelijk blootstellen aan malware of toepassingsproblemen. |
Als u deze waarschuwing wilt blijven weergeven op de pagina Beveiligingswaarschuwingen in de Microsoft Defender voor Cloud-portal, wijzigt u het standaardweergavefilter Instellingen om informatie-waarschuwingen in het raster op te nemen.
Offline-Azure API Management revisies verwijderd uit Defender voor API's
25 oktober 2023
Defender voor API's is de ondersteuning voor Azure API Management API-revisies bijgewerkt. Offlinerevisies worden niet meer weergegeven in de onboarded Defender voor API-inventaris en lijken niet meer te worden toegevoegd aan Defender voor API's. Offlinerevisies staan niet toe dat er verkeer naar hen wordt verzonden en vormt geen risico vanuit een beveiligingsperspectief.
Aanbevelingen voor het beheer van DevOps-beveiligingspostuur die beschikbaar zijn in openbare preview
19 oktober 2023
Nieuwe aanbevelingen voor het beheer van DevOps-postuur zijn nu beschikbaar in openbare preview voor alle klanten met een connector voor Azure DevOps of GitHub. Met DevOps-houdingsbeheer kunt u de kwetsbaarheid voor aanvallen van DevOps-omgevingen verminderen door zwakke plekken in beveiligingsconfiguraties en toegangsbeheer bloot te leggen. Meer informatie over Het beheer van DevOps-postuur.
CIS Azure Foundations Benchmark v2.0.0 vrijgeven in het nalevingsdashboard voor regelgeving
18 oktober 2023
Microsoft Defender voor Cloud ondersteunt nu de nieuwste CIS Azure Security Foundations Benchmark - versie 2.0.0 in het dashboard en een ingebouwd beleidsinitiatief in Azure Policy. De release van versie 2.0.0 in Microsoft Defender voor Cloud is een gezamenlijke samenwerking tussen Microsoft, het Center for Internet Security (CIS) en de gebruikerscommunities. De versie 2.0.0 breidt het evaluatiebereik aanzienlijk uit. Dit omvat nu 90+ ingebouwde Azure-beleidsregels en slaagt in eerdere versies 1.4.0 en 1.3.0 en 1.0 in Microsoft Defender voor Cloud en Azure Policy. Voor meer informatie kunt u dit blogbericht bekijken.
2023 september
Overschakelen naar de Log Analytics daglimiet
Azure monitor biedt de mogelijkheid om een dagelijkse limiet te set voor de gegevens die zijn opgenomen in uw Log Analytics-werkruimten. Defender voor Cloud beveiligingsevenementen worden momenteel echter niet ondersteund in deze uitsluitingen.
De Log Analytics Dagelijkse limiet sluit de volgende set gegevenstypen niet meer uit:
- WindowsEvent
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- MaliciousIPCommunication
- LinuxAuditLog
- SysmonEvent
- ProtectionStatus
- Update
- UpdateSummary
- CommonSecurityLog
- Syslog
Alle factureerbare gegevenstypen worden beperkt als aan de daglimiet wordt voldaan. Deze wijziging verbetert het vermogen om volledig kosten te bevatten van gegevensopname die hoger is dan verwacht.
Meer informatie over werkruimten met Microsoft Defender voor Cloud.
Dashboard voor gegevensbeveiliging beschikbaar in openbare preview
27 september 2023
Het dashboard voor gegevensbeveiliging is nu beschikbaar in openbare preview als onderdeel van het Defender CSPM-abonnement. Het dashboard voor gegevensbeveiliging is een interactief, gegevensgericht dashboard dat aanzienlijke risico's voor gevoelige gegevens verlicht, waarschuwingen en mogelijke aanvalspaden voor gegevens in hybride cloudworkloads prioriteert. Meer informatie over het dashboard voor gegevensbeveiliging.
Preview-versie: Nieuw proces voor automatisch inrichten voor SQL Server op het machineplan
21 september 2023
Microsoft Monitoring Agent (MMA) wordt in augustus 2024 afgeschaft. Defender voor Cloud updated is de strategie door MMA te vervangen door de release van een SQL Server gericht Azure proces voor automatische inrichting van de bewakingsagent.
Tijdens de preview worden klanten die het MMA-proces voor automatische inrichting gebruiken met de optie Azure Monitor Agent (preview) gevraagd om migreren naar de nieuwe Azure Monitoring Agent voor SQL Server op machines (preview) automatisch inrichten. Het migratieproces is naadloos en biedt continue beveiliging voor alle machines.
Zie Migrate to SQL Server targeted Azure Monitoring Agent autoprovisioning process voor meer informatie.
GitHub Geavanceerde beveiliging voor Azure DevOps waarschuwingen in Defender voor Cloud
20 september 2023
U kunt nu GitHub GHAzDO-waarschuwingen (Advanced Security for Azure DevOps) bekijken met betrekking tot CodeQL, geheimen en afhankelijkheden in Defender voor Cloud. Resultaten worden weergegeven op de DevOps-pagina en in Aanbevelingen. Als u deze resultaten wilt zien, onboardt u uw opslagplaatsen met GHAzDO-functionaliteit naar Defender voor Cloud.
Meer informatie over GitHub Advanced Security for Azure DevOps.
Vrijgestelde functionaliteit is nu beschikbaar voor Defender voor API-aanbevelingen
11 september 2023
U kunt nu aanbevelingen uitsluiten voor de volgende Defender voor BEVEILIGINGSaanaanvelingen voor API's.
| Recommendation | Beschrijving en gerelateerd beleid | Severity |
|---|---|---|
| (Preview) API-eindpunten die niet worden gebruikt, moeten worden uitgeschakeld en verwijderd uit de Azure API Management-service | Api-eindpunten die gedurende 30 dagen geen verkeer hebben ontvangen, worden als ongebruikt beschouwd en moeten worden verwijderd uit de Azure API Management-service. Het behouden van ongebruikte API-eindpunten kan een beveiligingsrisico vormen. Dit kunnen API's zijn die moeten zijn afgeschaft uit de Azure API Management-service, maar die per ongeluk actief zijn gebleven. Dergelijke API's ontvangen doorgaans niet de meest recente beveiligingsdekking. | Low |
| (Preview) API-eindpunten in Azure API Management moeten worden geverifieerd | API-eindpunten die zijn gepubliceerd in Azure API Management moeten verificatie afdwingen om beveiligingsrisico's te minimaliseren. Verificatiemechanismen worden soms onjuist geïmplementeerd of ontbreken. Hierdoor kunnen aanvallers misbruik maken van implementatiefouten en toegang krijgen tot gegevens. Voor API's die zijn gepubliceerd in Azure API Management, beoordeelt deze aanbeveling de uitvoering van verificatie via abonnementssleutels, JWT en clientcertificaat dat is geconfigureerd binnen Azure API Management. Als geen van deze verificatiemechanismen wordt uitgevoerd tijdens de API-aanroep, ontvangt de API deze aanbeveling. | High |
Meer informatie over exempting-aanbevelingen in Defender voor Cloud.
Voorbeeldwaarschuwingen maken voor Defender voor API-detecties
11 september 2023
U kunt nu voorbeeldwaarschuwingen genereren voor de beveiligingsdetecties die zijn uitgebracht als onderdeel van de Defender voor openbare preview van API's. Meer informatie over geneervoorbeeldwaarschuwingen in Defender voor Cloud.
Preview-versie: evaluatie van beveiligingsproblemen van containers mogelijk gemaakt door Microsoft Defender Vulnerability Management ondersteunt nu scannen op pull
6 september 2023
Evaluatie van beveiligingsproblemen van containers, mogelijk gemaakt door Microsoft Defender Vulnerability Management, ondersteunt nu een extra trigger voor het scannen van installatiekopieën die zijn opgehaald uit een ACR. Deze nieuw toegevoegde trigger biedt extra dekking voor actieve installatiekopieën, naast de bestaande triggers die installatiekopieën scannen die in de afgelopen 90 dagen naar een ACR zijn gepusht en installatiekopieën die momenteel worden uitgevoerd in AKS.
De nieuwe trigger wordt vandaag geïmplementeerd en is naar verwachting eind september beschikbaar voor alle klanten.
Naamgevingsindeling van CIS-standaarden (Center for Internet Security) bijgewerkt in naleving van regelgeving
6 september 2023
De naamgevingsindeling van CIS-basisbenchmarks (Center for Internet Security) in het nalevingsdashboard wordt gewijzigd van [Cloud] CIS [version number] in CIS [Cloud] Foundations v[version number]. Raadpleeg de volgende tabel:
| Huidige naam | Nieuwe naam |
|---|---|
| Azure CIS 1.1.0 | CIS Azure Foundations v1.1.0 |
| Azure CIS 1.3.0 | CIS Azure Foundations v1.3.0 |
| Azure CIS 1.4.0 | CIS Azure Foundations v1.4.0 |
| AWS CIS 1.2.0 | CIS AWS Foundations v1.2.0 |
| AWS CIS 1.5.0 | CIS AWS Foundations v1.5.0 |
| GCP CIS 1.1.0 | CIS GCP Foundations v1.1.0 |
| GCP CIS 1.2.0 | CIS GCP Foundations v1.2.0 |
Meer informatie over het verbeteren van uw naleving van regelgeving.
Detectie van gevoelige gegevens voor PaaS-databases (preview)
5 september 2023
Gegevensbewuste beveiligingspostuurmogelijkheden voor probleemloze detectie van gevoelige gegevens voor PaaS-databases (Azure SQL Databases en Amazon RDS-exemplaren van elk type) zijn nu beschikbaar als openbare preview. Met deze openbare preview kunt u een kaart maken van uw kritieke gegevens, waar deze zich ook bevinden, en het type gegevens dat in deze databases wordt gevonden.
Detectie van gevoelige gegevens voor Azure- en AWS-databases, voegt toe aan de gedeelde taxonomie en configuratie, die al openbaar beschikbaar is voor cloudobjectopslagresources (Azure Blob Storage, AWS S3-buckets en GCP-opslagbuckets) en biedt één configuratie- en activeringservaring.
Databases worden wekelijks gescand. Als u deze optie inschakelt sensitive data discovery, wordt detectie binnen 24 uur uitgevoerd. De resultaten kunnen worden weergegeven in Cloud Security Explorer of door de nieuwe aanvalspaden voor beheerde databases met gevoelige gegevens te bekijken.
Gegevensbewuste beveiligingspostuur voor databases is beschikbaar via het Defender CSPM-abonnement en wordt automatisch ingeschakeld voor abonnementen waarvoor sensitive data discovery optie is ingeschakeld.
In de volgende artikelen vindt u meer informatie over gegevensbewuste beveiligingspostuur:
- Ondersteuning en vereisten voor gegevensbewuste beveiligingspostuur
- Gegevensbewuste beveiligingspostuur inschakelen
- Risico's voor gevoelige gegevens verkennen
Algemene beschikbaarheid (GA): malwarescans in Defender voor Opslag
1 september 2023
Malwarescans zijn nu algemeen beschikbaar als een invoegtoepassing voor Defender voor Storage. Met malwarescans in Defender voor Opslag kunt u uw opslagaccounts beschermen tegen schadelijke inhoud door in bijna realtime een volledige malwarescan uit te voeren op geüploade inhoud, met behulp van Microsoft Defender Antivirus-mogelijkheden. Het is ontworpen om te voldoen aan de beveiligings- en nalevingsvereisten voor het verwerken van niet-vertrouwde inhoud. De scanfunctie voor malware is een SaaS-oplossing zonder agent die installatie op schaal mogelijk maakt en ondersteuning biedt voor het automatiseren van reacties op schaal.
Meer informatie over malwarescans in Defender voor Storage.
Scannen op malware is geprijsd op basis van uw gegevensgebruik en budget. De facturering begint op 3 september 2023. Ga naar de pagina met prijzen voor meer informatie.
Als u het vorige plan gebruikt, moet u proactief migreren naar het nieuwe plan om malwarescans in te schakelen.
Lees het blogbericht Microsoft Defender voor Cloud aankondiging.
Augustus 2023
De updates in augustus zijn onder meer:
Defender voor containers: detectie zonder agent voor Kubernetes
30 augustus 2023
We introduceren graag Defender For Containers: detectie zonder agent voor Kubernetes. Deze release markeert een belangrijke stap voorwaarts in containerbeveiliging, waardoor u geavanceerde inzichten en uitgebreide inventarismogelijkheden voor Kubernetes-omgevingen krijgt. De nieuwe containeraanbiedingen worden mogelijk gemaakt door de Defender voor Cloud contextuele beveiligingsgrafiek. Dit is wat u kunt verwachten van deze nieuwste update:
- Kubernetes-detectie zonder agent
- Uitgebreide inventarismogelijkheden
- Kubernetes-specifieke beveiligingsinzichten
- Verbeterde opsporing van risico's met Cloud Security Explorer
Detectie zonder agent voor Kubernetes is nu beschikbaar voor alle klanten van Defender For Containers. U kunt vandaag nog aan de slag met deze geavanceerde mogelijkheden. We raden u aan uw abonnementen bij te werken zodat de volledige set extensies is ingeschakeld en profiteren van de nieuwste toevoegingen en functies. Ga naar het deelvenster Omgeving en instellingen van uw Defender for Containers-abonnement om de extensie in te schakelen.
Note
Als u de nieuwste toevoegingen inschakelt, worden er geen nieuwe kosten in rekening gebracht voor actieve Defender voor klanten met containers.
Zie Overview of Container Security Microsoft Defender for Containers voor meer informatie.
Aanbevelingsrelease: Microsoft Defender voor Opslag moet zijn ingeschakeld met malwarescans en detectie van gevoelige gegevensrisico's
dinsdag 22 augustus 2023
Er is een nieuwe aanbeveling in Defender voor Storage uitgebracht. Deze aanbeveling zorgt ervoor dat Defender voor Opslag is ingeschakeld op abonnementsniveau met mogelijkheden voor het scannen van malware en detectie van gevoelige gegevensrisico's.
| Recommendation | Description |
|---|---|
| Microsoft Defender voor Opslag moet zijn ingeschakeld met malwarescans en detectie van gevoelige gegevensrisico's | Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. De nieuwe Defender voor storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. Met een eenvoudige configuratie zonder agent op schaal, wanneer deze is ingeschakeld op abonnementsniveau, worden alle bestaande en nieuw gemaakte opslagaccounts onder dat abonnement automatisch beveiligd. U kunt ook specifieke opslagaccounts uitsluiten van beveiligde abonnementen. |
Deze nieuwe aanbeveling vervangt de huidige aanbeveling Microsoft Defender for Storage should be enabled (evaluatiesleutel 1be22853-8ed1-4005-9907-ddad64cb1417). Deze aanbeveling is echter nog steeds beschikbaar in Azure Government clouds.
Meer informatie over Microsoft Defender voor Storage.
Uitgebreide eigenschappen in Defender voor Cloud beveiligingswaarschuwingen worden gemaskeerd uit activiteitenlogboeken
17 augustus 2023
We hebben onlangs de manier gewijzigd waarop beveiligingswaarschuwingen en activiteitenlogboeken worden geïntegreerd. Om gevoelige klantgegevens beter te beveiligen, nemen we deze informatie niet meer op in activiteitenlogboeken. In plaats daarvan maskeren we het met sterretjes. Deze informatie is echter nog steeds beschikbaar via de waarschuwingen-API, continue export en de Defender voor Cloud-portal.
Klanten die afhankelijk zijn van activiteitenlogboeken voor het exporteren van waarschuwingen naar hun SIEM-oplossingen, moeten overwegen om een andere oplossing te gebruiken, omdat dit niet de aanbevolen methode is voor het exporteren van Defender voor Cloud beveiligingswaarschuwingen.
Zie Stream-waarschuwingen naar een SIEM-, SOAR- of IT Service Management-oplossing voor instructies over het exporteren van Defender voor Cloud beveiligingswaarschuwingen naar SIEM-, SOAR- of IT-toepassingen van derden.
Preview-versie van GCP-ondersteuning in Defender CSPM
15 augustus 2023
We kondigen de preview-versie van de Defender CSPM contextuele cloudbeveiligingsgrafiek en aanvalspadanalyse aan met ondersteuning voor GCP-resources. U kunt de kracht van Defender CSPM toepassen voor uitgebreide zichtbaarheid en intelligente cloudbeveiliging in GCP-resources.
Belangrijke functies van onze GCP-ondersteuning zijn:
- Analyse van aanvalspaden : krijg inzicht in de mogelijke routes die aanvallers kunnen nemen.
- Cloud Security Explorer : proactief beveiligingsrisico's identificeren door op grafieken gebaseerde query's uit te voeren op de beveiligingsgrafiek.
- Scannen zonder agent : scan servers en identificeer geheimen en beveiligingsproblemen zonder een agent te installeren.
- Gegevensbewuste beveiligingspostuur : risico's detecteren en oplossen voor gevoelige gegevens in Google Cloud Storage-buckets.
Meer informatie over Defender CSPM abonnementsopties.
Nieuwe beveiligingswaarschuwingen in Defender voor Servers Plan 2: Potentiële aanvallen detecteren die Azure extensies van virtuele machines misbruiken
7 aug. 2023
Deze nieuwe reeks waarschuwingen is gericht op het detecteren van verdachte activiteiten van Azure extensies van virtuele machines en biedt inzicht in pogingen van aanvallers om inbreuk te maken op en schadelijke activiteiten uit te voeren op uw virtuele machines.
Microsoft Defender voor servers kan nu verdachte activiteiten van de extensies van de virtuele machines detecteren, zodat u een betere dekking van de beveiliging van workloads krijgt.
Azure extensies van virtuele machines zijn kleine toepassingen die na de implementatie op virtuele machines worden uitgevoerd en mogelijkheden bieden, zoals configuratie, automatisering, bewaking, beveiliging en meer. Hoewel extensies een krachtig hulpprogramma zijn, kunnen ze worden gebruikt door bedreigingsactoren voor verschillende schadelijke intenties, bijvoorbeeld:
- Voor het verzamelen en bewaken van gegevens.
- Voor code-uitvoering en configuratie-implementatie met hoge bevoegdheden.
- Voor het opnieuw instellen van referenties en het maken van gebruikers met beheerdersrechten.
- Voor het versleutelen van schijven.
Hier volgt een tabel met de nieuwe waarschuwingen.
| Waarschuwing (waarschuwingstype) | Description | MITRE-tactieken | Severity |
|---|---|---|---|
|
Verdachte fout bij het installeren van de GPU-extensie in uw abonnement (preview) (VM_GPUExtensionSuspiciousFailure) |
Suspicious intent of installing a GPU extension on unsupported VM's (Verdachte intentie van het installeren van een GPU-extensie op niet-ondersteunde VM's). Deze extensie moet worden geïnstalleerd op virtuele machines die zijn uitgerust met een grafische processor, en in dit geval zijn de virtuele machines niet uitgerust met een dergelijke extensie. Deze fouten kunnen worden gezien wanneer kwaadwillende kwaadwillende aanvallers meerdere installaties van een dergelijke extensie uitvoeren voor cryptoanalysedoeleinden. | Impact | Medium |
|
Er is een verdachte installatie van een GPU-extensie gedetecteerd op uw virtuele machine (preview) (VM_GPUDriverExtensionUnusualExecution) Deze waarschuwing is uitgebracht in juli 2023. |
Er is een verdachte installatie van een GPU-extensie op uw virtuele machine gedetecteerd door de Azure Resource Manager bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de GPU-stuurprogramma-extensie gebruiken om GPU-stuurprogramma's op uw virtuele machine te installeren via de Azure Resource Manager om cryptojacking uit te voeren. Deze activiteit wordt verdacht geacht omdat het gedrag van de principal afwijkt van de gebruikelijke patronen. | Impact | Low |
|
Opdracht uitvoeren met een verdacht script is gedetecteerd op uw virtuele machine (preview) (VM_RunCommandSuspiciousScript) |
Er is een opdracht uitvoeren met een verdacht script op uw virtuele machine gedetecteerd door de Azure Resource Manager bewerkingen in uw abonnement te analyseren. Aanvallers kunnen Run Command gebruiken om schadelijke code uit te voeren met hoge bevoegdheden op uw virtuele machine via de Azure Resource Manager. Het script wordt verdacht geacht omdat bepaalde onderdelen zijn geïdentificeerd als mogelijk schadelijk. | Execution | High |
|
Verdacht gebruik van niet-geautoriseerde run-opdrachten is gedetecteerd op uw virtuele machine (preview) (VM_RunCommandSuspiciousFailure) |
Suspicious unauthorized usage of Run Command has failed and detected on your virtual machine by analyzing the Azure Resource Manager operations in your subscription. (Verdacht onbevoegd gebruik van Run Command is mislukt en gedetecteerd op uw virtuele machine door de Azure Resource Manager bewerkingen in uw abonnement te analyseren. Aanvallers kunnen proberen opdracht uitvoeren om schadelijke code uit te voeren met hoge bevoegdheden op uw virtuele machines via de Azure Resource Manager. Deze activiteit wordt verdacht geacht omdat deze nog niet eerder is gezien. | Execution | Medium |
|
Verdacht gebruik van opdracht uitvoeren is gedetecteerd op uw virtuele machine (preview) (VM_RunCommandSuspiciousUsage) |
Suspicious usage of Run Command is detected on your virtual machine by analyzing the Azure Resource Manager operations in your subscription. (Verdacht gebruik van Run Command is gedetecteerd op uw virtuele machine door de Azure Resource Manager bewerkingen in uw abonnement te analyseren. Aanvallers kunnen Run Command gebruiken om schadelijke code uit te voeren met hoge bevoegdheden op uw virtuele machines via de Azure Resource Manager. Deze activiteit wordt verdacht geacht omdat deze nog niet eerder is gezien. | Execution | Low |
|
Er is verdacht gebruik van meerdere bewakings- of gegevensverzamelingsextensies gedetecteerd op uw virtuele machines (preview) (VM_SuspiciousMultiExtensionUsage) |
Verdacht gebruik van meerdere extensies voor bewaking of gegevensverzameling is gedetecteerd op uw virtuele machines door de Azure Resource Manager bewerkingen in uw abonnement te analyseren. Aanvallers kunnen dergelijke extensies misbruiken voor gegevensverzameling, bewaking van netwerkverkeer en meer in uw abonnement. Dit gebruik wordt verdacht geacht omdat dit nog niet eerder is gezien. | Reconnaissance | Medium |
|
Er is een verdachte installatie van schijfversleutelingsextensies gedetecteerd op uw virtuele machines (preview) (VM_DiskEncryptionSuspiciousUsage) |
Er is een verdachte installatie van schijfversleutelingsextensies op uw virtuele machines gedetecteerd door de Azure Resource Manager bewerkingen in uw abonnement te analyseren. Aanvallers kunnen misbruik maken van de schijfversleutelingsextensie om volledige schijfversleuteling op uw virtuele machines te implementeren via de Azure Resource Manager in een poging om ransomware-activiteit uit te voeren. Deze activiteit wordt verdacht geacht omdat deze niet eerder is gezien en vanwege het grote aantal extensie-installaties. | Impact | Medium |
|
Verdacht gebruik van vm-toegangsextensie is gedetecteerd op uw virtuele machines (preview) (VM_VMAccessSuspiciousUsage) |
Suspicious usage of VM Access extension is detected on your virtual machines (Verdacht gebruik van vm-toegangsuitbreiding gedetecteerd op uw virtuele machines). Aanvallers kunnen misbruik maken van de VM-toegangsextensie om toegang te krijgen en inbreuk te maken op uw virtuele machines met hoge bevoegdheden door toegangsrechten opnieuw in te stellen of gebruikers met beheerdersrechten te beheren. Deze activiteit wordt verdacht geacht omdat het gedrag van de principal afwijkt van de gebruikelijke patronen en vanwege het hoge aantal extensie-installaties. | Persistence | Medium |
|
Desired State Configuration (DSC)-extensie met een verdacht script is gedetecteerd op uw virtuele machine (preview) (VM_DSCExtensionSuspiciousScript) |
Desired State Configuration extensie (DSC) met een verdacht script is gedetecteerd op uw virtuele machine door de Azure Resource Manager bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de extensie Desired State Configuration (DSC) gebruiken om schadelijke configuraties te implementeren, zoals persistentiemechanismen, schadelijke scripts en meer, met hoge bevoegdheden, op uw virtuele machines. Het script wordt verdacht geacht omdat bepaalde onderdelen zijn geïdentificeerd als mogelijk schadelijk. | Execution | High |
|
Gebruik van een DSC-extensie (Desired State Configuration) is gedetecteerd op uw virtuele machines (preview) (VM_DSCExtensionSuspiciousUsage) |
Verdacht gebruik van een Desired State Configuration -extensie (DSC) is gedetecteerd op uw virtuele machines door de Azure Resource Manager bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de extensie Desired State Configuration (DSC) gebruiken om schadelijke configuraties te implementeren, zoals persistentiemechanismen, schadelijke scripts en meer, met hoge bevoegdheden, op uw virtuele machines. Deze activiteit wordt verdacht geacht omdat het gedrag van de principal afwijkt van de gebruikelijke patronen en vanwege het hoge aantal extensie-installaties. | Impact | Low |
|
Aangepaste scriptextensie met een verdacht script is gedetecteerd op uw virtuele machine (preview) (VM_CustomScriptExtensionSuspiciousCmd) (Deze waarschuwing bestaat al en is verbeterd met meer verbeterde logica- en detectiemethoden.) |
Aangepaste scriptextensie met een verdacht script is gedetecteerd op uw virtuele machine door de Azure Resource Manager bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de aangepaste scriptextensie gebruiken om schadelijke code uit te voeren met hoge bevoegdheden op uw virtuele machine via de Azure Resource Manager. Het script wordt verdacht geacht omdat bepaalde onderdelen zijn geïdentificeerd als mogelijk schadelijk. | Execution | High |
Zie de op extension gebaseerde waarschuwingen in Defender voor Servers.
Zie de tabel deductie voor alle beveiligingswaarschuwingen in Microsoft Defender voor Cloud voor een volledige lijst met waarschuwingen.
Bedrijfsmodel- en prijsupdates voor Defender voor Cloud-abonnementen
1 augustus 2023
Microsoft Defender voor Cloud heeft drie abonnementen die servicelaagbeveiliging bieden:
Defender voor Key Vault
Defender voor Resource Manager
Defender voor DNS
Deze plannen zijn overgestapt op een nieuw bedrijfsmodel met verschillende prijzen en pakketten om feedback van klanten met betrekking tot de voorspelbaarheid van bestedingen aan te pakken en de algehele kostenstructuur te vereenvoudigen.
Samenvatting van wijzigingen in bedrijfsmodel en prijzen:
Bestaande klanten van Defender voor Key-Vault, Defender voor Resource Manager en Defender voor DNS behouden hun huidige bedrijfsmodel en prijzen, tenzij ze er actief voor kiezen om over te schakelen naar het nieuwe bedrijfsmodel en de prijs.
- Defender voor Resource Manager: Dit abonnement heeft een vaste prijs per abonnement per maand. Klanten kunnen overschakelen naar het nieuwe bedrijfsmodel door de Defender te selecteren voor Resource Manager nieuw per abonnementsmodel.
Bestaande klanten van Defender voor Key-Vault, Defender voor Resource Manager en Defender voor DNS behouden hun huidige bedrijfsmodel en prijzen, tenzij ze er actief voor kiezen om over te schakelen naar het nieuwe bedrijfsmodel en de prijs.
- Defender voor Resource Manager: Dit abonnement heeft een vaste prijs per abonnement per maand. Klanten kunnen overschakelen naar het nieuwe bedrijfsmodel door de Defender te selecteren voor Resource Manager nieuw per abonnementsmodel.
- Defender voor Key Vault: Dit abonnement heeft een vaste prijs per kluis, per maand zonder overschrijdingskosten. Klanten kunnen overschakelen naar het nieuwe bedrijfsmodel door het Defender voor Key Vault nieuw per kluismodel te selecteren
- Defender voor DNS: Defender voor servers abonnement 2 krijgen klanten zonder extra kosten toegang tot Defender voor DNS-waarde als onderdeel van Defender voor Servers Abonnement 2. Klanten met zowel Defender voor serverabonnement 2 als Defender voor DNS worden niet meer in rekening gebracht voor Defender voor DNS. Defender voor DNS is niet meer beschikbaar als zelfstandig abonnement.
Meer informatie over de prijzen voor deze abonnementen vindt u op de pagina Defender voor Cloud prijzen.
Juli 2023
De updates in juli zijn onder meer:
| Date | Update |
|---|---|
| 31 juli | Beoordeling van beveiligingsproblemen van containers bekijken, mogelijk gemaakt door Microsoft Defender Vulnerability Management in Defender voor containers en Defender voor containerregisters |
| 30 juli | Agentless containerpostuur in Defender CSPM is nu algemeen beschikbaar |
| 20 juli | Beheer van automatische updates voor Defender voor Eindpunt voor Linux |
| 18 juli | |
| 12 juli | Nieuwe beveiligingswaarschuwing in Defender voor servers abonnement 2: Potentiële aanvallen detecteren die gebruikmaken van Azure GPU-stuurprogrammaextensies voor VM |
| 9 juli | Ondersteuning voor het uitschakelen van specifieke resultaten van beveiligingsproblemen |
| 1 juli | Gegevensbewuste beveiligingspostuur is nu algemeen beschikbaar |
Preview-versie van evaluatie van beveiligingsproblemen van containers met Microsoft Defender Vulnerability Management
31 juli 2023
We kondigen de release van Evaluatie van beveiligingsproblemen (VA) voor Linux-containerinstallatiekopieën aan in Azure containerregisters mogelijk gemaakt door Microsoft Defender Vulnerability Management in Defender voor containers en Defender voor containerregisters. De nieuwe container VA-aanbieding wordt geleverd naast onze bestaande Container VA-aanbieding mogelijk gemaakt door Qualys in zowel Defender voor containers als Defender voor containerregisters, en bevat dagelijkse herscans van containerinstallatiekopieën, exploitabiliteitsinformatie, ondersteuning voor os- en programmeertalen (SCA) en meer.
Deze nieuwe aanbieding wordt vandaag uitgerold en is naar verwachting tegen 7 augustus beschikbaar voor alle klanten.
Meer informatie over container evaluatie van beveiligingsproblemen met Microsoft Defender Vulnerability Management.
Postuur van containers zonder agent in Defender CSPM is nu algemeen beschikbaar
30 juli 2023
Mogelijkheden voor containerpostuur zonder agent zijn nu algemeen beschikbaar (GA) als onderdeel van het Defender CSPM -plan (Cloud Security Posture Management).
Meer informatie over agentloze containerpostuur in Defender CSPM.
Beheer van automatische updates voor Defender voor Eindpunt voor Linux
20 juli 2023
Standaard probeert Defender voor Cloud uw Defender voor Eindpunt voor Linux-agents bij te werken die zijn toegevoegd aan de extensie MDE.Linux. Met deze release kunt u deze instelling beheren en afmelden bij de standaardconfiguratie om uw updatecycli handmatig te beheren.
Geheimen zonder agent scannen op virtuele machines in Defender voor servers P2 & Defender CSPM
18 juli 2023
Geheimen scannen is nu beschikbaar als onderdeel van het scannen zonder agent in Defender voor Servers P2 en Defender CSPM. Deze mogelijkheid helpt bij het detecteren van onbeheerde en onveilige geheimen die zijn opgeslagen op virtuele machines in Azure of AWS-resources die kunnen worden gebruikt om lateraal in het netwerk te worden verplaatst. Als er geheimen worden gedetecteerd, kan Defender voor Cloud helpen bij het prioriteren en uitvoeren van actiebare herstelstappen om het risico op laterale verplaatsing te minimaliseren, allemaal zonder dat dit van invloed is op de prestaties van uw machine.
Zie Geheimen beheren met scannen zonder agent voor meer informatie over het beveiligen van uw geheimen met het scannen van geheimen.
Nieuwe beveiligingswaarschuwing in Defender voor Servers plan 2: mogelijke aanvallen detecteren die gebruikmaken van Azure GPU-stuurprogrammauitbreidingen voor VM's
12 juli 2023
Deze waarschuwing is gericht op het identificeren van verdachte activiteiten die gebruikmaken van Azure virtuele machine GPU-stuurprogrammaextensies en biedt inzicht in pogingen van aanvallers om uw virtuele machines te misbruiken. De waarschuwing is gericht op verdachte implementaties van GPU-stuurprogramma-extensies; dergelijke extensies worden vaak misbruikt door bedreigingsactoren om de volledige kracht van de GPU-kaart te gebruiken en cryptojacking uit te voeren.
| Weergavenaam van waarschuwing (Waarschuwingstype) |
Description | Severity | MITRE-tactiek |
|---|---|---|---|
| Verdachte installatie van GPU-extensie op uw virtuele machine (preview) (VM_GPUDriverExtensionUnusualExecution) |
Er is een verdachte installatie van een GPU-extensie gedetecteerd op uw virtuele machine door de Azure Resource Manager bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de GPU-stuurprogramma-extensie gebruiken om GPU-stuurprogramma's op uw virtuele machine te installeren via de Azure Resource Manager om cryptojacking uit te voeren. | Low | Impact |
Zie de tabel deductie voor alle beveiligingswaarschuwingen in Microsoft Defender voor Cloud voor een volledige lijst met waarschuwingen.
Ondersteuning voor het uitschakelen van specifieke resultaten van beveiligingsproblemen
9 juli 2023
Release van ondersteuning voor het uitschakelen van resultaten van beveiligingsproblemen voor uw containerregisterinstallatiekopieën of het uitvoeren van installatiekopieën als onderdeel van de postuur van containers zonder agent. Als u een organisatie hebt die een beveiligingsprobleem moet negeren in uw containerregisterinstallatiekopie in plaats van deze te herstellen, kunt u deze desgewenst uitschakelen. Uitgeschakelde bevindingen hebben geen invloed op uw beveiligingsscore of genereren ongewenste ruis.
Gegevensbewuste beveiligingspostuur is nu algemeen beschikbaar
1 juli 2023
Gegevensbewuste beveiligingspostuur in Microsoft Defender voor Cloud is nu algemeen beschikbaar. Het helpt klanten om gegevensrisico's te verminderen en te reageren op gegevensschendingen. Met gegevensbewuste beveiligingspostuur kunt u het volgende doen:
- Automatisch gevoelige gegevensbronnen detecteren in Azure en AWS.
- Evalueer gegevensgevoeligheid, gegevensblootstelling en hoe gegevens in de hele organisatie stromen.
- Proactief en continu risico's blootleggen die kunnen leiden tot gegevensschendingen.
- Detect suspicious activities that might indicate ongoing threats to sensitive data resources (Verdachte activiteiten detecteren die kunnen wijzen op lopende bedreigingen voor gevoelige gegevensbronnen)
Zie Gegevensbewuste beveiligingspostuur in Microsoft Defender voor Cloud voor meer informatie.
Juni 2023
De updates in juni zijn onder meer:
Gestroomlijnde onboarding van meerdere cloudaccounts met verbeterde instellingen
26 juni 2023
Defender voor Cloud heeft de onboarding-ervaring verbeterd met een nieuwe gestroomlijnde gebruikersinterface en instructies, naast nieuwe mogelijkheden waarmee u uw AWS- en GCP-omgevingen kunt onboarden en tegelijkertijd toegang hebt tot geavanceerde onboardingfuncties.
Voor organisaties die Hashicorp Terraform hebben gebruikt voor automatisering, biedt Defender voor Cloud nu de mogelijkheid om Terraform te gebruiken als implementatiemethode naast AWS CloudFormation of GCP Cloud Shell. U kunt nu de vereiste rolnamen aanpassen bij het maken van de integratie. U kunt ook kiezen tussen:
Default-toegang : hiermee kunt Defender voor Cloud uw resources scannen en automatisch toekomstige mogelijkheden opnemen.
Toegang met bevoegdheden -Grants Defender voor Cloud alleen toegang tot de huidige machtigingen die nodig zijn voor de geselecteerde plannen.
Als u de minst bevoegde machtigingen selecteert, ontvangt u alleen meldingen over nieuwe rollen en machtigingen die nodig zijn om volledige functionaliteit op de connectorstatus te krijgen.
Defender voor Cloud kunt u onderscheid maken tussen uw cloudaccounts op basis van hun eigen namen van de cloudleveranciers. Bijvoorbeeld AWS-accountaliassen en GCP-projectnamen.
Ondersteuning voor privé-eindpunten voor malwarescans in Defender voor Opslag
25 juni 2023
Ondersteuning voor privé-eindpunten is nu beschikbaar als onderdeel van de openbare preview-versie van malwarescans in Defender voor Storage. Met deze mogelijkheid kunt u malwarescans inschakelen voor opslagaccounts die gebruikmaken van privé-eindpunten. Er is geen andere configuratie nodig.
Malware scannen (preview) in Defender voor Storage helpt uw opslagaccounts te beschermen tegen schadelijke inhoud door in bijna realtime een volledige malwarescan uit te voeren op geüploade inhoud, met behulp van Microsoft Defender Antivirus-mogelijkheden. Het is ontworpen om te voldoen aan de beveiligings- en nalevingsvereisten voor het verwerken van niet-vertrouwde inhoud. Het is een SaaS-oplossing zonder agent die eenvoudige installatie op schaal mogelijk maakt, zonder onderhoud en ondersteuning biedt voor het automatiseren van reacties op schaal.
Privé-eindpunten bieden beveiligde connectiviteit met uw Azure Storage-services, waardoor de blootstelling aan openbaar internet effectief wordt geëlimineerd en als een aanbevolen beveiligingspraktijk wordt beschouwd.
Voor opslagaccounts met privé-eindpunten waarvoor malwarescans al zijn ingeschakeld, moet u het plan met malwarescans uitschakelen en inschakelen om dit te laten werken.
Meer informatie over het gebruik van private-eindpunten in Defender voor Opslag en hoe u uw opslagservices verder kunt beveiligen.
Aanbeveling die is uitgebracht voor preview: het uitvoeren van containerinstallatiekopieën moet beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management)
21 juni 2023
Er wordt een nieuwe containeraan aanbeveling uitgebracht in Defender CSPM mogelijk gemaakt door Microsoft Defender Vulnerability Management voor preview:
| Recommendation | Description | Evaluatiesleutel |
|---|---|---|
| Als u containerinstallatiekopieën uitvoert, moeten er beveiligingsproblemen zijn opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management)(preview) | Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Deze aanbeveling biedt inzicht in kwetsbare installatiekopieën die momenteel worden uitgevoerd in uw Kubernetes-clusters. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën die momenteel worden uitgevoerd, is essentieel voor het verbeteren van uw beveiligingspostuur, waardoor de kwetsbaarheid voor aanvallen voor uw in containers geplaatste workloads aanzienlijk wordt verminderd. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Deze nieuwe aanbeveling vervangt de huidige aanbeveling van dezelfde naam, mogelijk gemaakt door Qualys, alleen in Defender CSPM (vervang evaluatiesleutel 41503391-efa5-47ee-9282-4eff6131462c).
Controle-updates zijn aangebracht in de NIST 800-53-standaarden in naleving van regelgeving
15 juni 2023
De NIST 800-53-standaarden (zowel R4 als R5) zijn onlangs bijgewerkt met controlewijzigingen in Microsoft Defender voor Cloud naleving van regelgeving. De Microsoft beheerde besturingselementen zijn uit de standaard verwijderd en de informatie over de implementatie van Microsoft verantwoordelijkheid (als onderdeel van het model voor gedeelde verantwoordelijkheid voor de cloud) is nu alleen beschikbaar in het detailvenster van het besturingselement onder Microsoft Actions.
Deze besturingselementen zijn eerder berekend als doorgegeven besturingselementen, dus u ziet mogelijk een aanzienlijke dip in uw nalevingsscore voor NIST-standaarden tussen april 2023 en mei 2023.
Zie Tutorial: Controles voor naleving van regelgeving - Microsoft Defender voor Cloud voor meer informatie over nalevingscontroles.
Het plannen van cloudmigratie met een Azure Migrate business case bevat nu Defender voor Cloud
11 juni 2023
U kunt nu potentiële kostenbesparingen in beveiliging ontdekken door Defender voor Cloud toe te passen binnen de context van een Azure Migrate business case.
Snelle configuratie voor evaluaties van beveiligingsproblemen in Defender voor SQL is nu algemeen beschikbaar
7 juni 2023
Snelle configuratie voor evaluaties van beveiligingsproblemen in Defender voor SQL is nu algemeen beschikbaar. Express-configuratie biedt een gestroomlijnde onboarding-ervaring voor evaluaties van SQL-beveiligingsproblemen met behulp van een configuratie met één klik (of een API-aanroep). Er zijn geen extra instellingen of afhankelijkheden van beheerde opslagaccounts nodig.
Bekijk deze blog voor meer informatie over snelle configuratie.
U kunt de verschillen tussen snelle en klassieke configuratie leren.
Meer bereiken toegevoegd aan bestaande Azure DevOps Connectors
6 juni 2023
Defender voor DevOps de volgende extra bereiken toegevoegd aan de toepassing Azure DevOps (ADO):
Geavanceerde beveiligingsbeheer:
vso.advsec_manage. Dit is nodig om u in staat te stellen GitHub Geavanceerde beveiliging voor ADO in te schakelen, uit te schakelen en te beheren.Containertoewijzing:
vso.extension_manage, ;vso.gallery_managerDit is nodig om u in staat te stellen de decoratorextensie te delen met de ADO-organisatie.
Alleen nieuwe Defender voor DevOps klanten die ADO-resources willen onboarden voor Microsoft Defender voor Cloud worden beïnvloed door deze wijziging.
Onboarding rechtstreeks (zonder Azure Arc) naar Defender voor servers is nu algemeen beschikbaar
5 juni 2023
Voorheen moest Azure Arc niet-Azure servers onboarden naar Defender voor servers. Met de nieuwste versie kunt u uw on-premises servers echter ook onboarden naar Defender voor servers met alleen de Microsoft Defender voor Eindpunt-agent.
Deze nieuwe methode vereenvoudigt het onboardingproces voor klanten die zijn gericht op kerneindpuntbeveiliging en stelt u in staat om te profiteren van Defender voor facturering op basis van verbruik van servers voor zowel cloud- als niet-cloudactiva. De directe onboarding-optie via Defender voor Eindpunt is nu beschikbaar, met facturering voor onboarded machines vanaf 1 juli.
Zie Connect your non-Azure machines to Microsoft Defender voor Cloud with Defender for Endpoint voor meer informatie.
Detectie op basis van agents vervangen door detectie zonder agent voor mogelijkheden van containers in Defender CSPM
4 juni 2023
Met mogelijkheden voor containerpostuur zonder agent die beschikbaar zijn in Defender CSPM, worden de detectiemogelijkheden op basis van agents nu buiten gebruik gesteld. Als u momenteel containermogelijkheden binnen Defender CSPM gebruikt, moet u ervoor zorgen dat de relevante extensies zijn ingeschakeld om containergerelateerde waarde te blijven ontvangen van de nieuwe mogelijkheden zonder agents, zoals paden voor aanvallen in verband met containers, inzichten en inventaris. (Het kan tot 24 uur duren voordat de uitbreidingen worden ingeschakeld).
Meer informatie over de postuur van containers zonder agent.
Mei 2023
De updates in mei zijn onder meer:
- A nieuwe waarschuwing in Defender voor Key Vault.
- Ondersteuning voor het scannen van versleutelde schijven in AWS zonder agent.
- Changes in JIT (Just-In-Time) naamconventies in Defender voor Cloud.
- De onboarding van geselecteerde AWS-regio's.
- Wijzigingen in identiteitsaanaanveling.
- Afschaffing van verouderde standaarden in het nalevingsdashboard.
- Update van twee Defender voor DevOps aanbevelingen om Azure DevOps scanresultaten op te nemen
- Nieuwe standaardinstelling voor de Defender voor de oplossing voor evaluatie van beveiligingsproblemen van servers.
- Mogelijkheid om een CSV-rapport te downloaden van de queryresultaten van cloud security Explorer (preview).
- De release van evaluatie van beveiligingsproblemen van containers met Microsoft Defender Vulnerability Management.
- De naam van containeraanbevelingen, mogelijk gemaakt door Qualys.
- An update to Defender voor DevOps GitHub Application.
- Wijziging om aantekeningen voor pull-aanvragen te Defender voor DevOps in Azure DevOps opslagplaatsen met infrastructuur als onjuiste configuraties.
Nieuwe waarschuwing in Defender voor Key Vault
| Waarschuwing (waarschuwingstype) | Description | MITRE-tactieken | Severity |
|---|---|---|---|
|
Unusual toegang tot de sleutelkluis vanaf een verdacht IP-adres (niet-Microsoft of extern) (KV_UnusualAccessSuspiciousIP) |
Een gebruiker of service-principal heeft in de afgelopen 24 uur geprobeerd afwijkende toegang te krijgen tot sleutelkluizen vanaf een niet-Microsoft IP-adres. Dit afwijkende toegangspatroon kan legitieme activiteit zijn. Het kan een indicatie zijn van een mogelijke poging om toegang te krijgen tot de sleutelkluis en de geheimen daarin. We raden verder onderzoek aan. | Referentietoegang | Medium |
Zie Alerts voor Azure Key Vault voor alle beschikbare waarschuwingen.
Scannen zonder agent ondersteunt nu versleutelde schijven in AWS
Scannen zonder agent voor VM's ondersteunt nu het verwerken van exemplaren met versleutelde schijven in AWS, met zowel CMK als PMK.
Deze uitgebreide ondersteuning verhoogt de dekking en zichtbaarheid van uw cloudomgeving zonder dat dit van invloed is op uw actieve workloads. Ondersteuning voor versleutelde schijven onderhoudt dezelfde nuleffectmethode voor actieve exemplaren.
- Voor nieuwe klanten die scannen zonder agent in AWS inschakelen, is de dekking van versleutelde schijven ingebouwd en wordt standaard ondersteund.
- Voor bestaande klanten die al een AWS-connector hebben waarvoor scannen zonder agent is ingeschakeld, moet u de CloudFormation-stack opnieuw toepassen op uw onboarded AWS-accounts om de nieuwe machtigingen bij te werken en toe te voegen die nodig zijn om versleutelde schijven te verwerken. De bijgewerkte CloudFormation-sjabloon bevat nieuwe toewijzingen waarmee Defender voor Cloud versleutelde schijven kan verwerken.
Meer informatie over de machtigingen die worden gebruikt om AWS-exemplaren te scannen.
Uw CloudFormation-stack opnieuw toepassen:
- Ga naar Defender voor Cloud omgevingsinstellingen en open uw AWS-connector.
- Navigeer naar het tabblad Toegang configureren .
- Selecteer Klik om de CloudFormation-sjabloon te downloaden.
- Navigeer naar uw AWS-omgeving en pas de bijgewerkte sjabloon toe.
Meer informatie over scannen zonder agent en het inschakelen van scannen zonder agent in AWS.
Gereviseerde JIT-regels (Just-In-Time) in Defender voor Cloud
We hebben de JIT-regels (Just-In-Time) aangepast aan de Microsoft Defender voor Cloud merk. We hebben de naamconventies voor regels voor Azure Firewall en NSG (Netwerkbeveiligingsgroep) gewijzigd.
De wijzigingen worden als volgt weergegeven:
| Description | Oude naam | Nieuwe naam |
|---|---|---|
| JIT-regelnamen (toestaan en weigeren) in NSG (netwerkbeveiligingsgroep) | SecurityCenter-JITRule | MicrosoftDefenderForCloud-JITRule |
| JIT-regelbeschrijvingen in NSG | ASC JIT-netwerktoegangsregel | MDC JIT-netwerktoegangsregel |
| Verzamelingsnamen van JIT-firewallregels | ASC-JIT | MDC-JIT |
| Namen van JIT-firewallregels | ASC-JIT | MDC-JIT |
Meer informatie over het beveiligen van uw beheerpoorten met Just-In-Time-toegang.
Geselecteerde AWS-regio's onboarden
Om u te helpen bij het beheren van uw AWS CloudTrail-kosten en nalevingsbehoeften, kunt u nu selecteren welke AWS-regio's moeten worden gescand wanneer u een cloudconnector toevoegt of bewerkt.
U kunt nu geselecteerde AWS-regio's of alle beschikbare regio's (standaard) scannen wanneer u uw AWS-accounts onboardt voor Defender voor Cloud.
Zie
Meerdere wijzigingen in identiteitsaanaanveling
De volgende aanbevelingen worden nu uitgebracht als algemene beschikbaarheid (GA) en vervangen de V1-aanbevelingen die nu zijn afgeschaft.
Algemene beschikbaarheid (GA) release van identiteitsaanaanveling V2
In de V2-versie van identiteitsaanaanvelingen worden de volgende verbeteringen geïntroduceerd:
- Het bereik van de scan is uitgebreid met alle Azure resources, niet alleen abonnementen. Hierdoor kunnen beveiligingsbeheerders roltoewijzingen per account weergeven.
- Specifieke accounts kunnen nu worden uitgesloten van evaluatie. Accounts zoals break glass of serviceaccounts kunnen worden uitgesloten door beveiligingsbeheerders.
- De scanfrequentie is verhoogd van 24 uur tot 12 uur, waardoor de identiteitsaanbeveling beter up-to-date en nauwkeurig is.
De volgende beveiligingsaankopen zijn beschikbaar in algemene beschikbaarheid en vervangen de V1-aanbevelingen:
| Recommendation | Evaluatiesleutel |
|---|---|
| Accounts met eigenaarsmachtigingen voor Azure resources moeten MFA zijn ingeschakeld | 6240402e-f77c-46fa-9060-a7ce53997754 |
| Accounts met schrijfmachtigingen voor Azure resources moeten MFA zijn ingeschakeld | c0cb17b2-0607-48a7-b0e0-903ed22de39b |
| Accounts met leesmachtigingen voor Azure resources moeten MFA zijn ingeschakeld | dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c |
| Gastaccounts met eigenaarsmachtigingen voor Azure resources moeten worden verwijderd | 20606e75-05c4-48c0-9d97-add6daa2109a |
| Gastaccounts met schrijfmachtigingen voor Azure resources moeten worden verwijderd | 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb |
| Gastaccounts met leesmachtigingen voor Azure resources moeten worden verwijderd | fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 |
| Geblokkeerde accounts met eigenaarsmachtigingen voor Azure resources moeten worden verwijderd | 050ac097-3dda-4d24-ab6d-82568e7a50cf |
| Geblokkeerde accounts met lees- en schrijfmachtigingen voor Azure resources moeten worden verwijderd | 1ff0b4c9-ed56-4de6-be9c-d7ab39645926 |
Afschaffing van identiteitsaanbevelingen V1
De volgende beveiligingsaanbevelingen zijn nu afgeschaft:
| Recommendation | Evaluatiesleutel |
|---|---|
| MFA moet zijn ingeschakeld voor accounts met eigenaarsmachtigingen voor abonnementen. | 94290b00-4d0c-d7b4-7cea-064a9554e681 |
| MFA moet zijn ingeschakeld voor accounts met schrijfmachtigingen voor abonnementen. | 57e98606-6b1e-6193-0e3d-fe621387c16b |
| MFA moet zijn ingeschakeld voor accounts met leesmachtigingen voor abonnementen. | 151e82c5-5341-a74b-1eb0-bc38d2c84bb5 |
| Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit abonnementen. | c3b6ae71-f1f0-31b4-e6c1-d5951285d03d |
| Externe accounts met schrijfmachtigingen moeten worden verwijderd uit abonnementen. | 04e7147b-0deb-9796-2e5c-0336343ceb3d |
| Externe accounts met leesmachtigingen moeten worden verwijderd uit abonnementen. | a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b |
| Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit abonnementen. | e52064aa-6853-e252-a11e-dffc675689c2 |
| Afgeschafte accounts moeten worden verwijderd uit abonnementen | 00c6d40b-e990-6acf-d4f3-471e747a27c4 |
Het is raadzaam om uw aangepaste scripts, werkstromen en governanceregels bij te werken zodat deze overeenkomen met de V2-aanbevelingen.
Afschaffing van verouderde standaarden in nalevingsdashboard
Verouderde PCI DSS v3.2.1 en verouderde SOC TSP zijn volledig afgeschaft in het Defender voor Cloud nalevingsdashboard en vervangen door SOC 2 Type 2 initiatief en PCI DSS v4 op initiatief gebaseerde nalevingsstandaarden. We hebben de ondersteuning van PCI DSS standard/initiative in Microsoft Azure beheerd door 21Vianet volledig afgeschaft.
Meer informatie over het aanpassen van de set standaarden in uw dashboard voor naleving van regelgeving.
Defender voor DevOps bevat Azure DevOps scanresultaten
Defender voor DevOps Code en IaC de aanbevelingsdekking in Microsoft Defender voor Cloud uitgebreid met Azure DevOps beveiligingsresultaten voor de volgende twee aanbevelingen:
Code repositories should have code scanning findings resolvedCode repositories should have infrastructure as code scanning findings resolved
Voorheen bevatte dekking voor Azure DevOps beveiligingsscan alleen de aanbeveling voor geheimen.
Meer informatie over Defender voor DevOps.
Nieuwe standaardinstelling voor Defender voor de oplossing voor evaluatie van beveiligingsproblemen van servers
Oplossingen voor evaluatie van beveiligingsproblemen (VA) zijn essentieel om machines te beschermen tegen cyberaanvallen en gegevensschendingen.
Microsoft Defender Vulnerability Management is nu ingeschakeld als de standaardoplossing, ingebouwde oplossing voor alle abonnementen die worden beveiligd door Defender voor servers waarvoor nog geen VA-oplossing is geselecteerd.
Als voor een abonnement een VA-oplossing is ingeschakeld op een van de VM's, worden er geen wijzigingen aangebracht en Microsoft Defender Vulnerability Management wordt niet standaard ingeschakeld op de resterende VM's in dat abonnement. U kunt ervoor kiezen om een VA-oplossing in te schakelen op de resterende VM's in uw abonnementen.
Meer informatie over het vinden van beveiligingsproblemen en het verzamelen van software-inventaris met scannen zonder agent (preview).
Een CSV-rapport van de queryresultaten van cloud security Explorer downloaden (preview)
Defender voor Cloud heeft de mogelijkheid toegevoegd om een CSV-rapport te downloaden van de queryresultaten van cloud security Explorer.
Nadat u een query hebt uitgevoerd, kunt u de knop CSV-rapport downloaden (preview) selecteren op de pagina Cloud Security Explorer in Defender voor Cloud.
Meer informatie over het bouwen van query's met Cloud Security Explorer
De evaluatie van beveiligingsproblemen van containers met Microsoft Defender Vulnerability Management
We kondigen de release van Evaluatie van beveiligingsproblemen voor Linux-installatiekopieën aan in Azure containerregisters, mogelijk gemaakt door Microsoft Defender Vulnerability Management in Defender CSPM. Deze release omvat het dagelijks scannen van afbeeldingen. Bevindingen die worden gebruikt in Security Explorer en aanvalspaden zijn afhankelijk van Microsoft Defender Evaluatie van beveiligingsproblemen in plaats van de Qualys-scanner.
De bestaande aanbeveling Container registry images should have vulnerability findings resolved wordt vervangen door een nieuwe aanbeveling:
| Recommendation | Description | Evaluatiesleutel |
|---|---|---|
| Containerregisterinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) | Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Deze aanbeveling biedt inzicht in kwetsbare installatiekopieën die momenteel worden uitgevoerd in uw Kubernetes-clusters. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën die momenteel worden uitgevoerd, is essentieel voor het verbeteren van uw beveiligingspostuur, waardoor de kwetsbaarheid voor aanvallen voor uw in containers geplaatste workloads aanzienlijk wordt verminderd. | dbd0cb49-b563-45e7-9724-889e799fa648 wordt vervangen door c0b7cfc6-3172-465a-b378-53c7ff2cc0d5. |
Meer informatie over de postuur van Agentless containers in Defender CSPM.
Meer informatie over Microsoft Defender Vulnerability Management.
Naam wijzigen van containeraanbevelingen mogelijk gemaakt door Qualys
De huidige aanbevelingen voor containers in Defender voor containers worden als volgt gewijzigd:
| Recommendation | Description | Evaluatiesleutel |
|---|---|---|
| Containerregisterinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Qualys) | Evaluatie van beveiligingsproblemen van de containerinstallatiekopie scant uw register op beveiligingsproblemen en toont gedetailleerde resultaten voor elke installatiekopie. Door de beveiligingsproblemen op te lossen, kunt u de beveiligingspostuur van uw containers aanzienlijk verbeteren en deze beschermen tegen aanvallen. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Bij het uitvoeren van containerinstallatiekopieën moeten beveiligingsproblemen zijn opgelost (mogelijk gemaakt door Qualys) | Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant containerinstallatiekopieën die worden uitgevoerd op uw Kubernetes-clusters op beveiligingsproblemen en toont gedetailleerde bevindingen voor elke installatiekopie. Door de beveiligingsproblemen op te lossen, kunt u de beveiligingspostuur van uw containers aanzienlijk verbeteren en deze beschermen tegen aanvallen. | 41503391-efa5-47ee-9282-4eff6131462c |
Defender voor DevOps GitHub toepassingsupdate
Microsoft Defender voor DevOps voortdurend wijzigingen en updates aanbrengt die vereisen dat Defender voor DevOps klanten die hun GitHub omgevingen in Defender voor Cloud hebben ge onboardd om machtigingen te verlenen als onderdeel van de toepassing die is geïmplementeerd in hun GitHub Organisatie. Deze machtigingen zijn nodig om ervoor te zorgen dat alle beveiligingsfuncties van Defender voor DevOps normaal en zonder problemen werken.
We raden u aan de machtigingen zo snel mogelijk bij te werken om ervoor te zorgen dat alle beschikbare functies van Defender voor DevOps blijven werken.
Machtigingen kunnen op twee verschillende manieren worden verleend:
Selecteer in uw organisatie GitHub Apps. Zoek uw organisatie en selecteer Beoordelingsaanvraag.
U ontvangt een geautomatiseerd e-mailbericht van GitHub Ondersteuning. Selecteer in het e-mailbericht de machtigingsaanvraag controleren om deze wijziging te accepteren of af te wijzen.
Nadat u een van deze opties hebt gevolgd, gaat u naar het controlescherm waar u de aanvraag moet controleren. Selecteer Nieuwe machtigingen accepteren om de aanvraag goed te keuren.
Als u hulp nodig hebt bij het bijwerken van machtigingen, kunt u een ondersteuning voor Azure aanvraag maken.
U kunt ook meer informatie vinden over Defender voor DevOps. Als voor een abonnement een VA-oplossing is ingeschakeld op een van de VM's, worden er geen wijzigingen aangebracht en Microsoft Defender Vulnerability Management wordt niet standaard ingeschakeld op de resterende VM's in dat abonnement. U kunt ervoor kiezen om een VA-oplossing in te schakelen op de resterende VM's in uw abonnementen.
Meer informatie over het vinden van beveiligingsproblemen en het verzamelen van software-inventaris met scannen zonder agent (preview).
Defender voor DevOps aantekeningen voor pull-aanvragen in Azure DevOps opslagplaatsen bevat nu infrastructuur als onjuiste configuraties van code
Defender voor DevOps heeft de annotatiedekking voor pull-aanvragen (PR) in Azure DevOps uitgebreid om onjuiste configuraties van Infrastructure as Code (IaC) op te nemen die zijn gedetecteerd in Azure Resource Manager- en Bicep-sjablonen.
Ontwikkelaars kunnen nu aantekeningen zien voor onjuiste configuraties van IaC rechtstreeks in hun pull-aanvragen. Ontwikkelaars kunnen ook kritieke beveiligingsproblemen oplossen voordat de infrastructuur wordt ingericht in cloudworkloads. Om het herstel te vereenvoudigen, krijgen ontwikkelaars een ernstniveau, een beschrijving van onjuiste configuratie en instructies voor herstel binnen elke aantekening.
Voorheen bevatte de dekking voor Defender voor DevOps PR-aantekeningen in Azure DevOps alleen geheimen opgenomen.
Meer informatie over Defender voor DevOps en Pull Request annotaations.
April 2023
De updates in april zijn onder meer:
- Agentless ContainerPostuur in Defender CSPM (preview)
- Nieuwe preview-aanbeveling voor Unified Disk Encryption
- Wijzigingen in de aanbevelingsmachines moeten veilig worden geconfigureerd
- Afschaffing van app Service-beleid voor taalbewaking
- Nieuwe waarschuwing in Defender voor Resource Manager
- Three-waarschuwingen in het Defender voor Resource Manager plan zijn afgeschaft
- Alerts automatische export naar Log Analytics werkruimte is afgeschaft
- Deprecation and improvement of selected alerts for Windows and Linux Servers
- Nieuwe Microsoft Entra aanbevelingen voor verificatie voor Azure Data Services
- Er zijn twee aanbevelingen met betrekking tot ontbrekende besturingssysteemupdates (OS) uitgebracht voor algemene beschikbaarheid
- Defender voor API's (preview)
Containerpostuur zonder agent in Defender CSPM (preview)
De nieuwe mogelijkheden voor containerpostuur zonder agent (preview) zijn beschikbaar als onderdeel van het Defender CSPM -plan (Cloud Security Posture Management).
Met containerpostuur zonder agent kunnen beveiligingsteams beveiligingsrisico's in containers en Kubernetes-realms identificeren. Met een aanpak zonder agents kunnen beveiligingsteams inzicht krijgen in hun Kubernetes- en containersregisters in SDLC en runtime, waardoor wrijving en footprint van de workloads worden verwijderd.
Containerpostuur zonder agent biedt evaluaties van beveiligingsproblemen in containers die, in combinatie met analyse van aanvalspaden, beveiligingsteams in staat stellen prioriteit te geven aan en in te zoomen op specifieke beveiligingsproblemen in containers. U kunt cloudbeveiligingsverkenner ook gebruiken om risico's te ontdekken en op containerpostuurinzichten te zoeken, zoals de detectie van toepassingen waarop kwetsbare afbeeldingen worden uitgevoerd of die worden blootgesteld aan internet.
Meer informatie vindt u op Agentless Container Posture (preview).
Aanbeveling voor Unified Disk Encryption (preview)
Er zijn nieuwe aanbevelingen voor geïntegreerde schijfversleuteling in preview.
Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost-
Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.
Deze aanbevelingen vervangen Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, die Azure Disk Encryption en het beleid Virtual machines and virtual machine scale sets should have encryption at host enabled gedetecteerd, waardoor EncryptionAtHost is gedetecteerd. ADE en EncryptionAtHost bieden vergelijkbare versleuteling-at-rest-dekking en we raden u aan een van deze versleuteling in te schakelen op elke virtuele machine. Met de nieuwe aanbevelingen wordt gedetecteerd of ADE of EncryptionAtHost is ingeschakeld en wordt alleen gewaarschuwd als geen van beide is ingeschakeld. We waarschuwen ook als ADE is ingeschakeld op sommige, maar niet alle schijven van een VIRTUELE machine (deze voorwaarde is niet van toepassing op EncryptionAtHost).
Voor de nieuwe aanbevelingen is Azure Automanage MachineConfiguratie vereist.
Deze aanbevelingen zijn gebaseerd op het volgende beleid:
- (preview) Windows virtuele machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen
- (preview) virtuele Linux-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen
Meer informatie over ADE en EncryptionAtHost en hoe u een van deze kunt inschakelen.
Wijzigingen in de aanbevelingsmachines moeten veilig worden geconfigureerd
De aanbeveling Machines should be configured securely is bijgewerkt. De update verbetert de prestaties en stabiliteit van de aanbeveling en is afgestemd op het algemene gedrag van Defender voor Cloud aanbevelingen.
Als onderdeel van deze update is de id van de aanbeveling gewijzigd van 181ac480-f7c4-544b-9865-11b8ffe87f47 in c476dc48-8110-4139-91af-c8d940896b98.
Er is geen actie vereist aan de kant van de klant en er is geen verwacht effect op de beveiligingsscore.
Afschaffing van app Service-beleid voor taalbewaking
Het volgende App Service-beleid voor taalbewaking is afgeschaft vanwege de mogelijkheid om fout-negatieven te genereren en omdat ze geen betere beveiliging bieden. Zorg ervoor dat u altijd een taalversie gebruikt zonder bekende beveiligingsproblemen.
| Beleidsnaam | Beleids-id |
|---|---|
| 496223c3-ad65-4ecd-878a-bae78737e9ed | |
| 7008174a-fd10-4ef0-817e-fc820a951d73 | |
| 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc | |
| 7238174a-fd10-4ef0-817e-fc820a951d73 | |
| App Service-apps die PHP gebruiken, moeten de nieuwste PHP-versie gebruiken | 7261b898-8a84-4db8-9e04-18527132abb3 |
Klanten kunnen alternatieve ingebouwde beleidsregels gebruiken om elke opgegeven taalversie voor hun App Services te bewaken.
Deze beleidsregels zijn niet meer beschikbaar in de ingebouwde aanbevelingen van Defender voor Cloud. U kunt toevoegen als aangepaste aanbevelingen om ze Defender voor Cloud te controleren.
Nieuwe waarschuwing in Defender voor Resource Manager
Defender voor Resource Manager heeft de volgende nieuwe waarschuwing:
| Waarschuwing (waarschuwingstype) | Description | MITRE-tactieken | Severity |
|---|---|---|---|
|
PREVIEW: verdachte creatie van rekenresources gedetecteerd (ARM_SuspiciousComputeCreation) |
Microsoft Defender voor Resource Manager een verdachte creatie van rekenresources in uw abonnement geïdentificeerd die gebruikmaken van Virtual Machines/Azure schaalset. De geïdentificeerde bewerkingen zijn ontworpen om beheerders in staat te stellen hun omgevingen efficiënt te beheren door nieuwe resources te implementeren wanneer dat nodig is. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om cryptoanalyse uit te voeren. De activiteit wordt verdacht geacht omdat de schaal van rekenresources hoger is dan eerder in het abonnement is waargenomen. Dit kan erop wijzen dat de principal is aangetast en wordt gebruikt met schadelijke bedoelingen. |
Impact | Medium |
U ziet een lijst met alle alerts die beschikbaar zijn voor Resource Manager.
Drie waarschuwingen in de Defender voor Resource Manager plan zijn afgeschaft
De volgende drie waarschuwingen voor de Defender voor Resource Manager plan zijn afgeschaft:
Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
In een scenario waarin activiteit van een verdacht IP-adres wordt gedetecteerd, is er een van de volgende Defenders voor Resource Manager planwaarschuwingen Azure Resource Manager operation from suspicious IP address of Azure Resource Manager operation from suspicious proxy IP address aanwezig.
Waarschuwingen voor het automatisch exporteren naar Log Analytics werkruimte zijn afgeschaft
Defender voor Cloud beveiligingswaarschuwingen automatisch worden geëxporteerd naar een standaardwerkruimte Log Analytics op resourceniveau. Dit veroorzaakt een deterministisch gedrag en daarom hebben we deze functie afgeschaft.
In plaats daarvan kunt u uw beveiligingswaarschuwingen exporteren naar een toegewezen Log Analytics werkruimte met Continuous Export.
Als u al continue export van uw waarschuwingen naar een Log Analytics werkruimte hebt geconfigureerd, is er geen verdere actie vereist.
Afschaffing en verbetering van geselecteerde waarschuwingen voor Windows- en Linux-servers
Het kwaliteitsverbeteringsproces voor beveiligingswaarschuwingen voor Defender voor servers omvat de afschaffing van sommige waarschuwingen voor zowel Windows als Linux-servers. De afgeschafte waarschuwingen zijn nu afkomstig van en worden gedekt door Defender voor waarschuwingen voor eindpuntbedreigingen.
Als u de Defender voor eindpuntintegratie al hebt ingeschakeld, is er geen verdere actie vereist. In april 2023 kan het aantal waarschuwingen afnemen.
Als de Defender voor eindpuntintegratie niet is ingeschakeld in Defender voor servers, moet u de Defender voor eindpuntintegratie inschakelen om uw waarschuwingsdekking te behouden en te verbeteren.
Alle Defender voor serversklanten hebben volledige toegang tot de Defender voor de integratie van eindpunten als onderdeel van het Defender for Servers-abonnement.
Meer informatie over Microsoft Defender voor Eindpunt opties voor onboarding.
U kunt ook de volledige lijst met waarschuwingen bekijken die zijn ingesteld om te worden afgeschaft.
Lees het blog Microsoft Defender voor Cloud.
Nieuwe Microsoft Entra aan verificatie gerelateerde aanbevelingen voor Azure Data Services
We hebben vier nieuwe aanbevelingen voor Microsoft Entra verificatie toegevoegd voor Azure Data Services.
| Naam van aanbeveling | Beschrijving van aanbeveling | Policy |
|---|---|---|
| Azure SQL Managed Instance verificatiemodus moet alleen worden Microsoft Entra ID | Door lokale verificatiemethoden uit te schakelen en alleen Microsoft Entra verificatie toe te staan, wordt de beveiliging verbeterd door ervoor te zorgen dat Azure SQL beheerde exemplaren uitsluitend toegankelijk zijn voor Microsoft Entra ID identiteiten. | Azure SQL Managed Instance moet Microsoft Entra ID alleen verificatie hebben ingeschakeld |
| Azure Synapse werkruimteverificatiemodus moet alleen worden Microsoft Entra ID | Microsoft Entra ID alleen verificatiemethoden verbeteren de beveiliging door ervoor te zorgen dat Synapse-werkruimten uitsluitend Microsoft Entra ID identiteiten voor verificatie vereisen. Meer informatie. | Synapse-werkruimten mogen alleen Microsoft Entra ID identiteiten gebruiken voor verificatie |
| Azure Database for MySQL moet een Microsoft Entra beheerder hebben ingericht | Richt een Microsoft Entra beheerder in voor uw Azure Database for MySQL om Microsoft Entra verificatie in te schakelen. Microsoft Entra verificatie zorgt voor vereenvoudigd machtigingsbeheer en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services | A Microsoft Entra-beheerder moet worden ingericht voor MySQL-servers |
| Azure Database for PostgreSQL moet een Microsoft Entra-beheerder hebben ingericht | Richt een Microsoft Entra-beheerder in voor uw Azure Database for PostgreSQL om Microsoft Entra verificatie in te schakelen. Microsoft Entra verificatie zorgt voor vereenvoudigd machtigingsbeheer en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services | A Microsoft Entra-beheerder moet worden ingericht voor PostgreSQL-servers |
Er zijn twee aanbevelingen met betrekking tot ontbrekende besturingssysteemupdates (OS) uitgebracht voor algemene beschikbaarheid
De aanbevelingen System updates should be installed on your machines (powered by Azure Update Manager) en Machines should be configured to periodically check for missing system updates zijn uitgebracht voor algemene beschikbaarheid.
Als u de nieuwe aanbeveling wilt gebruiken, moet u het volgende doen:
- Verbind uw niet-Azure machines met Arc.
-
Schakel de periodieke evaluatie-eigenschap in. U kunt de knop Herstellen gebruiken.
in de nieuwe aanbeveling
Machines should be configured to periodically check for missing system updatesom de aanbeveling op te lossen.
Nadat u deze stappen hebt voltooid, kunt u de oude aanbeveling System updates should be installed on your machines verwijderen door het uit te schakelen van het ingebouwde initiatief van Defender voor Cloud in Azure-beleid.
De twee versies van de aanbevelingen:
System updates should be installed on your machinesSystem updates should be installed on your machines (powered by Azure Update Manager)
Beide zijn beschikbaar totdat de Log Analytics-agent is afgeschaft op 31 augustus 2024, wat is wanneer de oudere versie (System updates should be installed on your machines) van de aanbeveling ook wordt afgeschaft. Beide aanbevelingen retourneren dezelfde resultaten en zijn beschikbaar onder hetzelfde besturingselement Apply system updates.
De nieuwe aanbeveling System updates should be installed on your machines (powered by Azure Update Manager) heeft een herstelstroom beschikbaar via de knop Fix, die kan worden gebruikt om eventuele resultaten te herstellen via Updatebeheer (preview). Dit herstelproces is nog in preview.
De nieuwe aanbeveling System updates should be installed on your machines (powered by Azure Update Manager) is niet van invloed op uw beveiligingsscore, omdat deze dezelfde resultaten heeft als de oude aanbeveling System updates should be installed on your machines.
De vereiste aanbeveling (de eigenschap periodieke evaluatie inschakelen) heeft een negatief effect op uw beveiligingsscore. U kunt het negatieve effect herstellen met de beschikbare knop Herstellen.
Defender voor API's (preview)
Microsoft Defender voor Cloud aankondigt dat de nieuwe Defender voor API's beschikbaar is in de preview-versie.
Defender voor API's biedt volledige levenscyclusbeveiliging, detectie en responsdekking voor API's.
Defender voor API's helpt u inzicht te krijgen in bedrijfskritieke API's. U kunt uw API-beveiligingspostuur onderzoeken en verbeteren, oplossingen voor beveiligingsproblemen prioriteren en snel actieve realtime bedreigingen detecteren.
Meer informatie over Defender voor API's.
Maart 2023
Updates in maart zijn onder andere:
- A nieuwe Defender voor Storage-abonnement is beschikbaar, waaronder bijna realtime malwarescans en detectie van gevoelige gegevensbedreigingen
- Gegevensbewuste beveiligingspostuur (preview)
- Improved experience for managing the default Azure security policies
- Defender CSPM (Cloud Security Posture Management) is nu algemeen beschikbaar (GA)
- Option voor het maken van aangepaste aanbevelingen en beveiligingsstandaarden in Microsoft Defender voor Cloud
- Microsoft MCSB-versie (Cloud Security Benchmark) versie 1.0 is nu algemeen beschikbaar (GA)
- Sommige nalevingsstandaarden voor regelgeving zijn nu beschikbaar in overheidsclouds
- Nieuwe preview-aanbeveling voor Azure SQL Servers
- Nieuwe waarschuwing in Defender voor Key Vault
Er is een nieuwe Defender voor opslagabonnement beschikbaar, waaronder bijna realtime malwarescans en detectie van gevoelige gegevensbedreigingen
Cloudopslag speelt een belangrijke rol in de organisatie en slaat grote hoeveelheden waardevolle en gevoelige gegevens op. Vandaag kondigen we een nieuw Defender voor storage-abonnement aan. Als u het vorige abonnement gebruikt (nu hernoemd naar Defender voor Storage (klassiek)), moet u proactief migreren naar het nieuwe abonnement om de nieuwe functies en voordelen te kunnen gebruiken.
Het nieuwe plan bevat geavanceerde beveiligingsmogelijkheden ter bescherming tegen schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het biedt ook een meer voorspelbare en flexibele prijsstructuur voor betere controle over dekking en kosten.
Het nieuwe plan heeft nu nieuwe mogelijkheden in de openbare preview:
Detectie van blootstelling van gevoelige gegevens en exfiltratie-gebeurtenissen
Bijna realtime blob bij het uploaden van malware scannen op alle bestandstypen
Entiteiten zonder identiteiten detecteren met behulp van SAS-tokens
Deze mogelijkheden verbeteren de bestaande mogelijkheid voor activiteitenbewaking, op basis van analyse van controle- en gegevensvlaklogboeken en gedragsmodellering om vroege tekenen van inbreuk te identificeren.
Al deze mogelijkheden zijn beschikbaar in een nieuw voorspelbaar en flexibel prijsplan dat gedetailleerde controle biedt over gegevensbeveiliging op abonnements- en resourceniveau.
Meer informatie vindt u in Overview van Microsoft Defender voor Storage.
Gegevensbewuste beveiligingspostuur (preview)
Microsoft Defender voor Cloud helpt beveiligingsteams productiever te zijn bij het verminderen van risico's en het reageren op gegevensschendingen in de cloud. Hiermee kunnen ze de ruis doornemen met gegevenscontext en prioriteit geven aan de meest kritieke beveiligingsrisico's, waardoor kostbare gegevenslekken worden voorkomen.
- Automatisch gegevensresources detecteren in cloudomgevingen en hun toegankelijkheid, gegevensgevoeligheid en geconfigureerde gegevensstromen evalueren. -Risico's voor gegevensschendingen van gevoelige gegevensresources, blootstellings- of aanvalspaden die kunnen leiden tot een gegevensresource met behulp van een zijdelingse verplaatsingstechniek.
- Detecteer verdachte activiteiten die duiden op een voortdurende bedreiging voor gevoelige gegevensbronnen.
Meer informatie over gegevensbewuste beveiligingspostuur.
Verbeterde ervaring voor het beheren van het standaardbeveiligingsbeleid voor Azure
We introduceren een verbeterde Azure beveiligingsbeleidsbeheerervaring voor ingebouwde aanbevelingen die de manier vereenvoudigen waarop Defender voor Cloud klanten hun beveiligingsvereisten nauwkeurig kunnen afstemmen. De nieuwe ervaring bevat de volgende nieuwe mogelijkheden:
- Een eenvoudige interface biedt betere prestaties en ervaring bij het beheren van standaardbeveiligingsbeleid binnen Defender voor Cloud.
- Eén weergave van alle ingebouwde beveiligingsaanbeveling die wordt aangeboden door de Microsoft cloudbeveiligingsbenchmark (voorheen de Azure beveiligingsbenchmark). Aanbevelingen zijn ingedeeld in logische groepen, waardoor het gemakkelijker is om inzicht te krijgen in de typen resources die worden behandeld en de relatie tussen parameters en aanbevelingen.
- Er zijn nieuwe functies toegevoegd, zoals filters en zoeken.
Meer informatie over het beheren van beveiligingsbeleid.
Lees het blog Microsoft Defender voor Cloud.
Defender CSPM (Cloud Security Posture Management) is nu algemeen beschikbaar (GA)
We kondigen aan dat Defender CSPM nu algemeen beschikbaar (GA) is. Defender CSPM biedt alle services die beschikbaar zijn onder de Foundational CSPM-mogelijkheden en voegt de volgende voordelen toe:
- Analyse van aanvalspaden en ARG-API : analyse van aanvalspaden maakt gebruik van een algoritme op basis van grafieken dat de cloudbeveiligingsgrafiek scant om aanvalspaden beschikbaar te maken en aanbevelingen te doen voor het beste oplossen van problemen die het aanvalspad breken en geslaagde schendingen voorkomen. U kunt ook programmatisch aanvalspaden gebruiken door een query uit te voeren op Azure Resource Graph (ARG) API. Meer informatie over het gebruik van analyse van aanvalspaden
- Cloud Security Explorer : gebruik Cloud Security Explorer om op grafieken gebaseerde query's uit te voeren op de cloudbeveiligingsgrafiek om proactief beveiligingsrisico's in uw omgevingen met meerdere clouds te identificeren. Meer informatie over cloudbeveiligingsverkenner.
Meer informatie over Defender CSPM.
Optie voor het maken van aangepaste aanbevelingen en beveiligingsstandaarden in Microsoft Defender voor Cloud
Microsoft Defender voor Cloud biedt de mogelijkheid om aangepaste aanbevelingen en standaarden te maken voor AWS en GCP met behulp van KQL-query's. U kunt een queryeditor gebruiken om query's over uw gegevens te bouwen en te testen. Deze functie maakt deel uit van het Defender CSPM -plan (Cloud Security Posture Management). Meer informatie over het maken van aangepaste aanbevelingen en standaarden.
Microsoft MCSB-versie (Cloud Security Benchmark) versie 1.0 is nu algemeen beschikbaar (GA)
Microsoft Defender voor Cloud kondigt aan dat de Microsoft MCSB-versie (Cloud Security Benchmark) versie 1.0 nu algemeen beschikbaar is.
MCSB versie 1.0 vervangt de Azure Security Benchmark (ASB) versie 3 als het standaardbeveiligingsbeleid van Defender voor Cloud. MCSB versie 1.0 wordt weergegeven als de standaardnalevingsstandaard in het nalevingsdashboard en is standaard ingeschakeld voor alle Defender voor Cloud klanten.
U kunt ook leren Hoe Microsoft cloudbeveiligingsbenchmark (MCSB) u helpt uw cloudbeveiligingstraject te voltooien.
Meer informatie over MCSB.
Sommige nalevingsstandaarden voor regelgeving zijn nu beschikbaar in overheidsclouds
Deze standaarden worden bijgewerkt voor klanten in Azure Government en Microsoft Azure beheerd door 21Vianet.
Azure Government:
Microsoft Azure beheerd door 21Vianet:
Meer informatie over het aanpassen van de set standaarden in uw dashboard voor naleving van regelgeving.
Nieuwe preview-aanbeveling voor Azure SQL Servers
We hebben een nieuwe aanbeveling toegevoegd voor Azure SQL Servers, Azure SQL Server authentication mode should be Azure Active Directory Only (Preview).
De aanbeveling is gebaseerd op het bestaande beleid Azure SQL Database should have Azure Active Directory Only Authentication enabled
Met deze aanbeveling worden lokale verificatiemethoden uitgeschakeld en worden alleen Microsoft Entra verificatie toegestaan, waardoor de beveiliging wordt verbeterd door ervoor te zorgen dat Azure SQL Databases uitsluitend toegankelijk zijn voor Microsoft Entra ID identiteiten.
Meer informatie over het maken van servers met Azure AD-verificatie ingeschakeld in Azure SQL.
Nieuwe waarschuwing in Defender voor Key Vault
Defender voor Key Vault heeft de volgende nieuwe waarschuwing:
| Waarschuwing (waarschuwingstype) | Description | MITRE-tactieken | Severity |
|---|---|---|---|
|
Toegang geweigerd vanaf een verdacht IP-adres naar een sleutelkluis (KV_SuspiciousIPAccessDenied) |
Een mislukte toegang tot de sleutelkluis is geprobeerd door een IP-adres dat is geïdentificeerd door Microsoft Bedreigingsinformatie als een verdacht IP-adres. Hoewel deze poging mislukt is, geeft dit aan dat uw infrastructuur mogelijk is aangetast. We raden verder onderzoek aan. | Referentietoegang | Low |
U ziet een lijst met alle beschikbare alerts voor Key Vault.
Februari 2023
Updates in februari zijn onder andere:
- Verbeterde Cloud Security Explorer
- Defender voor beveiligingsproblemen van containers voor het uitvoeren van Linux-installatiekopieën
- Aankondiging van ondersteuning voor de NALEVINGsstandaard AWS CIS 1.5.0
- Microsoft Defender voor DevOps (preview) is nu beschikbaar in andere regio's
- De ingebouwde beleidsregel [preview]: privé-eindpunt moet worden geconfigureerd voor Key Vault is afgeschaft
Verbeterde Cloud Security Explorer
Een verbeterde versie van de cloudbeveiligingsverkenner bevat een vernieuwde gebruikerservaring waarmee query's aanzienlijk worden verwijderd, de mogelijkheid is toegevoegd om query's met meerdere clouds en meerdere resources uit te voeren, en ingesloten documentatie voor elke queryoptie.
Met Cloud Security Explorer kunt u nu cloudabstraheerde query's uitvoeren op resources. U kunt de vooraf gemaakte querysjablonen gebruiken of de aangepaste zoekopdracht gebruiken om filters toe te passen om uw query te bouwen. Meer informatie over het beheren van Cloud Security Explorer.
Defender voor beveiligingsscans van containers voor het uitvoeren van Linux-installatiekopieën
Defender voor Containers detecteert beveiligingsproblemen in actieve containers. Zowel Windows als Linux-containers worden ondersteund.
In augustus 2022 is deze mogelijkheid uitgebracht als preview-versie voor Windows en Linux. We brengen deze nu uit voor algemene beschikbaarheid (GA) voor Linux.
Wanneer beveiligingsproblemen worden gedetecteerd, genereert Defender voor Cloud de volgende beveiligingsaanbeveling met de bevindingen van de scan: Installatiekopieën van containers moeten zijn opgelost.
Meer informatie over het weergeven van beveiligingsproblemen voor het uitvoeren van installatiekopieën.
Aankondiging van ondersteuning voor de NALEVINGsstandaard AWS CIS 1.5.0
Defender voor Cloud ondersteunt nu de nalevingsstandaard CIS Amazon Web Services Foundations v1.5.0. De standaard kan worden toegevoegd aan uw dashboard voor naleving van regelgeving en bouwt voort op de bestaande aanbiedingen van MDC voor aanbevelingen en standaarden voor meerdere clouds.
Deze nieuwe standaard omvat zowel bestaande als nieuwe aanbevelingen die de dekking van Defender voor Cloud uitbreiden naar nieuwe AWS-services en -resources.
Meer informatie over het beheren van AWS-evaluaties en -standaarden.
Microsoft Defender voor DevOps (preview) is nu beschikbaar in andere regio's
Microsoft Defender voor DevOps heeft de preview-versie uitgebreid en is nu beschikbaar in de regio's Europa - west en Australië - oost wanneer u uw Azure DevOps en GitHub resources onboardt.
Meer informatie over Microsoft Defender voor DevOps.
Het ingebouwde beleid [preview]: privé-eindpunt moet worden geconfigureerd voor Key Vault is afgeschaft
Het ingebouwde beleid [Preview]: Private endpoint should be configured for Key Vault is afgeschaft en vervangen door het beleid [Preview]: Azure Key Vaults should use private link.
Meer informatie over integratie van Azure Key Vault met Azure Policy.
Januari 2023
Updates in januari zijn onder andere:
- De endpoint protection-component (Microsoft Defender voor Eindpunt) is nu toegankelijk op de pagina Instellingen en bewaking
- Nieuwe versie van de aanbeveling om ontbrekende systeemupdates te vinden (preview)
- Cleanup van verwijderde Azure Arc machines in verbonden AWS- en GCP-accounts
- Continue export naar Event Hubs achter een firewall toestaan
- De naam van het besturingselement Secure Score Protect your applications with Azure advanced networking solutions has changed
- De beleidsinstellingen voor evaluatie van beveiligingsproblemen voor SQL Server moeten een e-mailadres bevatten voor het ontvangen van scanrapporten is afgeschaft
- Aanbeveling om diagnostische logboeken in te schakelen voor Virtual Machine Scale Sets is afgeschaft
Het onderdeel Endpoint Protection (Microsoft Defender voor Eindpunt) wordt nu geopend op de pagina Instellingen en bewaking
Voor toegang tot Endpoint Protection gaat u naar Omgevingsinstellingen>Defender>Settings en bewaking. Hier kunt u Endpoint Protection instellen op Aan. U kunt ook de andere onderdelen zien die worden beheerd.
Meer informatie over het inschakelen van Microsoft Defender voor Eindpunt op uw servers met Defender voor servers.
Nieuwe versie van de aanbeveling om ontbrekende systeemupdates te vinden (preview)
U hebt geen agent meer nodig op uw Azure-VM's en Azure Arc machines om ervoor te zorgen dat de machines over alle meest recente beveiligingsupdates of essentiële systeemupdates beschikken.
De aanbeveling voor nieuwe systeemupdates, System updates should be installed on your machines (powered by Azure Update Manager) in het besturingselement Apply system updates, is gebaseerd op de Update Manager (preview). De aanbeveling is afhankelijk van een systeemeigen agent die is ingesloten in elke Azure VM en Azure Arc machines in plaats van een geïnstalleerde agent. De snelle oplossing in de nieuwe aanbeveling leidt u naar een eenmalige installatie van de ontbrekende updates in de Update Manager-portal.
Als u de nieuwe aanbeveling wilt gebruiken, moet u het volgende doen:
- Uw niet-Azure machines verbinden met Arc
- Schakel de periodieke evaluatie-eigenschap in. U kunt de snelle oplossing in de nieuwe aanbeveling
Machines should be configured to periodically check for missing system updatesgebruiken om de aanbeveling op te lossen.
De aanbeveling 'Systeemupdates moeten op uw computers worden geïnstalleerd', die afhankelijk is van de Log Analytics-agent, is nog steeds beschikbaar onder hetzelfde besturingselement.
Opschonen van verwijderde Azure Arc machines in verbonden AWS- en GCP-accounts
Een computer die is verbonden met een AWS- en GCP-account dat wordt gedekt door Defender voor Servers of Defender voor SQL op machines, wordt weergegeven in Defender voor Cloud als een Azure Arc machine. Tot nu toe is die machine niet uit de inventaris verwijderd toen de machine uit het AWS- of GCP-account werd verwijderd. Leidend tot onnodige Azure Arc resources die nog in Defender voor Cloud staan die verwijderde machines vertegenwoordigen.
Defender voor Cloud worden nu automatisch Azure Arc machines verwijderd wanneer deze machines worden verwijderd in het verbonden AWS- of GCP-account.
Continue export naar Event Hubs achter een firewall toestaan
U kunt nu de continue export van waarschuwingen en aanbevelingen inschakelen als een vertrouwde service voor Event Hubs die worden beveiligd door een Azure firewall.
U kunt continue export inschakelen wanneer de waarschuwingen of aanbevelingen worden gegenereerd. U kunt ook een schema definiëren voor het verzenden van periodieke momentopnamen van alle nieuwe gegevens.
Meer informatie over het inschakelen van continuous export naar een Event Hubs achter een Azure firewall.
De naam van het beveiligingsscorebeheer Beveilig uw toepassingen met Azure geavanceerde netwerkoplossingen wordt gewijzigd
Het beveiligingsscorebeheer, Protect your applications with Azure advanced networking solutions wordt gewijzigd in Protect applications against DDoS attacks.
De bijgewerkte naam wordt weergegeven op Azure Resource Graph (ARG), secure score controls-API en de Download CSV report.
De beleidsinstellingen voor evaluatie van beveiligingsproblemen voor SQL Server moeten een e-mailadres bevatten voor het ontvangen van scanrapporten is afgeschaft
Het beleid Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports is afgeschaft.
Het Defender voor het e-mailrapport voor de evaluatie van SQL-beveiligingsproblemen is nog steeds beschikbaar en bestaande e-mailconfiguraties zijn niet gewijzigd.
Aanbeveling voor het inschakelen van diagnostische logboeken voor Virtual Machine Scale Sets is afgeschaft
De aanbeveling Diagnostic logs in Virtual Machine Scale Sets should be enabled is afgeschaft.
De gerelateerde beleidsdefinitie is ook afgeschaft op basis van alle standaarden die worden weergegeven in het dashboard voor naleving van regelgeving.
| Recommendation | Description | Severity |
|---|---|---|
| Diagnostische logboeken in Virtual Machine Scale Sets moeten zijn ingeschakeld | Schakel logboeken in en bewaar ze maximaal een jaar, zodat u activiteitenpaden voor onderzoeksdoeleinden opnieuw kunt maken wanneer er een beveiligingsincident optreedt of uw netwerk wordt aangetast. | Low |
December 2022
Updates in december omvatten:
Aankondiging van snelle configuratie voor evaluatie van beveiligingsproblemen in Defender voor SQL
De snelle configuratie voor evaluatie van beveiligingsproblemen in Microsoft Defender voor SQL biedt beveiligingsteams een gestroomlijnde configuratie-ervaring op Azure SQL Databases en Toegewezen SQL-pools buiten Synapse-werkruimten.
Met de snelle configuratie-ervaring voor evaluatie van beveiligingsproblemen kunnen beveiligingsteams het volgende doen:
- Voltooi de configuratie van de evaluatie van beveiligingsproblemen in de beveiligingsconfiguratie van de SQL-resource, zonder andere instellingen of afhankelijkheden van door de klant beheerde opslagaccounts.
- Voeg onmiddellijk scanresultaten toe aan basislijnen, zodat de status van de gevonden wijzigingen van Beschadigd in In orde is zonder een database opnieuw te scannen.
- Voeg meerdere regels tegelijk toe aan basislijnen en gebruik de meest recente scanresultaten.
- Schakel evaluatie van beveiligingsproblemen in voor alle Azure SQL Servers wanneer u Microsoft Defender inschakelt voor databases op abonnementsniveau.
Meer informatie over Defender voor evaluatie van SQL-beveiligingsproblemen.
november 2022
Updates in november omvatten:
- Beveiligingscontainers in uw GCP-organisatie met Defender voor containers
- Validate Defender for Containers protections with sample alerts
- Governanceregels op schaal (preview)
- De mogelijkheid om aangepaste evaluaties te maken in AWS en GCP (preview) is afgeschaft
- De aanbeveling voor het configureren van wachtrijen met dode letters voor Lambda-functies is afgeschaft
Containers in uw GCP-organisatie beveiligen met Defender voor containers
U kunt nu Defender voor containers inschakelen voor uw GCP-omgeving om standaard GKE-clusters in een hele GCP-organisatie te beveiligen. Maak een nieuwe GCP-connector met Defender voor containers ingeschakeld of schakel Defender in voor containers op een bestaande GCP-connector op organisatieniveau.
Meer informatie over connecting van GCP-projecten en -organisaties voor Defender voor Cloud.
Valideer Defender voor containersbeveiligingen met voorbeeldwaarschuwingen
U kunt nu ook voorbeeldwaarschuwingen maken voor Defender voor containers. De nieuwe voorbeeldwaarschuwingen worden weergegeven als afkomstig van AKS-, Arc-verbonden clusters, EKS- en GKE-resources met verschillende ernst- en MITRE-tactieken. U kunt de voorbeeldwaarschuwingen gebruiken om configuraties van beveiligingswaarschuwingen te valideren, zoals SIEM-integraties, werkstroomautomatisering en e-mailmeldingen.
Meer informatie over waarschuwingsvalidatie.
Governanceregels op schaal (preview)
We kondigen graag de nieuwe mogelijkheid aan om governanceregels op schaal (preview) toe te passen in Defender voor Cloud.
Met deze nieuwe ervaring kunnen beveiligingsteams governanceregels bulksgewijs definiëren voor verschillende bereiken (abonnementen en connectors). Beveiligingsteams kunnen deze taak uitvoeren met behulp van beheerbereiken zoals Azure beheergroepen, AWS-accounts op het hoogste niveau of GCP-organisaties.
Daarnaast worden op de pagina Governanceregels (preview) alle beschikbare governanceregels weergegeven die effectief zijn in de omgevingen van de organisatie.
Meer informatie over de nieuwe governanceregels op schaal.
Note
Vanaf 1 januari 2023 moet het Defender CSPM-plan zijn ingeschakeld voor uw abonnement of connector om de mogelijkheden van Governance te kunnen ervaren.
De mogelijkheid om aangepaste evaluaties te maken in AWS en GCP (preview) is afgeschaft
De mogelijkheid om aangepaste evaluaties te maken voor AWS-accounts en GCP-projecten, die een preview-functie was, is afgeschaft.
De aanbeveling voor het configureren van wachtrijen met dode letters voor Lambda-functies is afgeschaft
De aanbeveling Lambda functions should have a dead-letter queue configured is afgeschaft.
| Recommendation | Description | Severity |
|---|---|---|
| Lambda-functies moeten een wachtrij met dode letters hebben geconfigureerd | Met dit besturingselement wordt gecontroleerd of een Lambda-functie is geconfigureerd met een wachtrij met dode letters. Het besturingselement mislukt als de lambda-functie niet is geconfigureerd met een wachtrij met onbestelbare letters. Als alternatief voor een on-failure-bestemming kunt u uw functie configureren met een wachtrij met dode letters om verwijderde gebeurtenissen op te slaan voor verdere verwerking. Een wachtrij met dead-letter fungeert hetzelfde als een on-failure-bestemming. Deze wordt gebruikt wanneer een gebeurtenis alle verwerkingspogingen mislukt of verloopt zonder te worden verwerkt. Met een wachtrij met dode letters kunt u terugkijken naar fouten of mislukte aanvragen voor uw Lambda-functie om fouten op te sporen of ongebruikelijk gedrag te identificeren. Vanuit beveiligingsperspectief is het belangrijk om te begrijpen waarom uw functie is mislukt en om ervoor te zorgen dat uw functie geen gegevens verwijdert of gegevensbeveiliging in gevaar brengt. Als uw functie bijvoorbeeld niet kan communiceren met een onderliggende resource die een symptoom kan zijn van een DoS-aanval (Denial of Service) elders in het netwerk. | Medium |
Oktober 2022
De updates in oktober omvatten:
- Aankondiging van de Microsoft cloudbeveiligingsbenchmark
- Padanalyse en contextuele beveiligingsmogelijkheden in Defender voor Cloud (preview)
- Agentless scannen op Azure- en AWS-machines (preview)
- Defender voor DevOps (preview)
- Regulatory Compliance Dashboard ondersteunt nu handmatig beheer en gedetailleerde informatie over de nalevingsstatus van Microsoft
- Automatische inrichting wordt hernoemd naar Instellingen en bewaking en heeft een bijgewerkte ervaring
- Defender Cloud Security Posture Management (CSPM) (preview)
- Toewijzing van MITRE ATT&CK-framework is nu ook beschikbaar voor AANBEVELINGEN voor AWS- en GCP-beveiliging
- Defender voor containers ondersteunt nu evaluatie van beveiligingsproblemen voor Elastic Container Registry (preview)
Aankondiging van de Microsoft cloudbeveiligingsbenchmark
De Microsoft cloudbeveiligingsbenchmark (MCSB) is een nieuw framework dat fundamentele principes voor cloudbeveiliging definieert op basis van algemene industriestandaarden en nalevingsframeworks. Samen met gedetailleerde technische richtlijnen voor het implementeren van deze best practices op cloudplatforms. MCSB vervangt de Azure Security Benchmark. MCSB biedt beschrijvende informatie over het implementeren van de cloudagnostische beveiligingsaanbevelingen op meerdere cloudserviceplatforms, die in eerste instantie betrekking hebben op Azure en AWS.
U kunt nu uw nalevingspostuur voor cloudbeveiliging per cloud bewaken in één geïntegreerd dashboard. U kunt MCSB zien als de standaardnalevingsstandaard wanneer u naar het dashboard voor naleving van regelgeving van Defender voor Cloud navigeert.
Microsoft cloudbeveiligingsbenchmark automatisch wordt toegewezen aan uw Azure-abonnementen en AWS-accounts wanneer u Defender voor Cloud onboardt.
Meer informatie over de Microsoft cloudbeveiligingsbenchmark.
Analyse van aanvalspaden en contextuele beveiligingsmogelijkheden in Defender voor Cloud (preview)
De nieuwe cloudbeveiligingsgrafiek, analyse van aanvalspaden en contextuele cloudbeveiligingsmogelijkheden zijn nu beschikbaar in Defender voor Cloud in preview.
Een van de grootste uitdagingen waarmee beveiligingsteams tegenwoordig te maken hebben, is het aantal beveiligingsproblemen waarmee ze dagelijks worden geconfronteerd. Er zijn talloze beveiligingsproblemen die moeten worden opgelost en nooit genoeg resources om ze allemaal op te lossen.
Defender voor Cloud nieuwe mogelijkheden voor cloudbeveiligings- en aanvalspadanalyse biedt beveiligingsteams de mogelijkheid om het risico achter elk beveiligingsprobleem te beoordelen. Beveiligingsteams kunnen ook de problemen met het hoogste risico identificeren die binnenkort moeten worden opgelost. Defender voor Cloud werkt met beveiligingsteams om het risico op een beïnvloede inbreuk op hun omgeving op de meest effectieve manier te verminderen.
Meer informatie over de nieuwe grafiek voor cloudbeveiliging, analyse van aanvalspaden en cloudbeveiligingsverkenner.
Scannen zonder agent voor Azure- en AWS-machines (preview)
Tot nu toe Defender voor Cloud de houdingsevaluaties voor VM's gebaseerd op oplossingen op basis van agents. Om klanten te helpen de dekking te maximaliseren en de wrijving van onboarding en beheer te verminderen, brengen we het scannen zonder agent uit voor VM's om een preview-versie uit te voeren.
Met scannen zonder agent voor VM's krijgt u een brede zichtbaarheid van geïnstalleerde software- en software-CV's. U krijgt de zichtbaarheid zonder de uitdagingen van agentinstallatie en -onderhoud, vereisten voor netwerkconnectiviteit en prestaties die van invloed zijn op uw workloads. De analyse wordt mogelijk gemaakt door Microsoft Defender Vulnerability Management.
Scannen op beveiligingsproblemen zonder agent is beschikbaar in zowel Defender CsPM (Cloud Security Posture Management) als in Defender voor Servers P2, met systeemeigen ondersteuning voor AWS- en Azure-VM's.
- Meer informatie over scannen zonder agent.
- Ontdek hoe u evaluatie van beveiligingsproblemen zonder agent inschakelt.
Defender voor DevOps (preview)
Microsoft Defender voor Cloud biedt uitgebreide zichtbaarheid, postuurbeheer en bedreigingsbeveiliging in hybride en multicloudomgevingen, waaronder Azure, AWS, Google en on-premises resources.
Het nieuwe Defender voor DevOps-plan integreert nu broncodebeheersystemen, zoals GitHub en Azure DevOps, in Defender voor Cloud. Met deze nieuwe integratie stellen we beveiligingsteams in staat om hun resources te beschermen tegen code naar de cloud.
Defender voor DevOps kunt u inzicht krijgen in uw verbonden ontwikkelomgevingen en codebronnen en deze beheren. Op dit moment kunt u Azure DevOps en GitHub-systemen verbinden om DevOps-opslagplaatsen te Defender voor Cloud en onboarden voor Inventory en de nieuwe DevOps-beveiligingspagina. Het biedt beveiligingsteams een overzicht op hoog niveau van de gedetecteerde beveiligingsproblemen die erin bestaan op een uniforme DevOps-beveiligingspagina.
U kunt aantekeningen voor pull-aanvragen configureren om ontwikkelaars te helpen bij het oplossen van geheimenscans in Azure DevOps rechtstreeks op hun pull-aanvragen.
U kunt de Microsoft Beveiliging DevOps-hulpprogramma's configureren voor Azure-pipelines en GitHub werkstromen om de volgende beveiligingsscans in te schakelen:
| Name | Language | License |
|---|---|---|
| Bandit | Python | Apache License 2.0 |
| BinSkim | Binair – Windows, ELF | MIT-licentie |
| ESlint | JavaScript | MIT-licentie |
| CredScan (alleen Azure DevOps) | Referentiescanner (ook wel CredScan genoemd) is een hulpprogramma dat is ontwikkeld en onderhouden door Microsoft om referentielekken te identificeren, zoals die in de broncode en configuratiebestanden veelvoorkomende typen: standaardwachtwoorden, SQL-verbindingsreeksen, certificaten met persoonlijke sleutels | Niet open source |
| Template Analyze | ARM-sjabloon, Bicep-bestand | MIT-licentie |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, CloudFormatie | Apache License 2.0 |
| Trivy | Containerinstallatiekopieën, bestandssystemen, Git-opslagplaatsen | Apache License 2.0 |
De volgende nieuwe aanbevelingen zijn nu beschikbaar voor DevOps:
| Recommendation | Description | Severity |
|---|---|---|
| (Preview) In codeopslagplaatsen moeten de resultaten van codescans zijn opgelost | Defender voor DevOps beveiligingsproblemen in codeopslagplaatsen heeft gevonden. Om de beveiligingspostuur van de opslagplaatsen te verbeteren, wordt het ten zeerste aanbevolen deze beveiligingsproblemen op te heffen. (Geen gerelateerd beleid) | Medium |
| (Preview) Codeopslagplaatsen moeten geheime scanresultaten hebben opgelost | Defender voor DevOps heeft een geheim gevonden in codeopslagplaatsen. Dit moet onmiddellijk worden hersteld om een beveiligingsschending te voorkomen. Geheimen in opslagplaatsen kunnen worden gelekt of gedetecteerd door kwaadwillende personen, wat leidt tot inbreuk op een toepassing of service. Voor Azure DevOps scant het hulpprogramma Microsoft Beveiliging DevOps CredScan alleen builds waarop het is geconfigureerd om uit te voeren. De resultaten weerspiegelen daarom mogelijk niet de volledige status van geheimen in uw opslagplaatsen. (Geen gerelateerd beleid) | High |
| (Preview) De resultaten van het scannen van Dependabot in codeopslagplaatsen moeten zijn opgelost | Defender voor DevOps beveiligingsproblemen in codeopslagplaatsen heeft gevonden. Om de beveiligingspostuur van de opslagplaatsen te verbeteren, wordt het ten zeerste aanbevolen deze beveiligingsproblemen op te heffen. (Geen gerelateerd beleid) | Medium |
| (Preview) Codeopslagplaatsen moeten infrastructuur hebben als het scannen van code is opgelost | (Preview) Codeopslagplaatsen moeten infrastructuur hebben als het scannen van code is opgelost | Medium |
| (Preview) GitHub opslagplaatsen moeten codescans hebben ingeschakeld | GitHub gebruikt codescans om code te analyseren om beveiligingsproblemen en fouten in code te vinden. Codescans kunnen worden gebruikt voor het vinden, classificeren en prioriteren van oplossingen voor bestaande problemen in uw code. Codescans kunnen ook voorkomen dat ontwikkelaars nieuwe problemen introduceren. Scans kunnen worden gepland voor specifieke dagen en tijden, of scans kunnen worden geactiveerd wanneer een specifieke gebeurtenis plaatsvindt in de opslagplaats, zoals een push. Als codescans een mogelijk beveiligingsprobleem of een mogelijke fout in code vinden, GitHub een waarschuwing in de opslagplaats weergeven. Een beveiligingsprobleem is een probleem in de code van een project die kan worden misbruikt om de vertrouwelijkheid, integriteit of beschikbaarheid van het project te beschadigen. (Geen gerelateerd beleid) | Medium |
| (Preview) GitHub opslagplaatsen moeten geheim scannen zijn ingeschakeld | GitHub scant opslagplaatsen op bekende typen geheimen om frauduleus gebruik te voorkomen van geheimen die per ongeluk zijn doorgevoerd in opslagplaatsen. Scannen van geheimen scant de volledige Git-geschiedenis op alle vertakkingen die aanwezig zijn in de GitHub opslagplaats voor geheimen. Voorbeelden van geheimen zijn tokens en persoonlijke sleutels die een serviceprovider kan uitgeven voor verificatie. Als een geheim is ingecheckt in een opslagplaats, kan iedereen die leestoegang tot de opslagplaats heeft, het geheim gebruiken om toegang te krijgen tot de externe service met deze bevoegdheden. Geheimen moeten worden opgeslagen op een toegewezen, veilige locatie buiten de opslagplaats voor het project. (Geen gerelateerd beleid) | High |
| (Preview) GitHub opslagplaatsen moeten dependabotscans hebben ingeschakeld | GitHub verzendt Dependabot-waarschuwingen wanneer beveiligingsproblemen in codeafhankelijkheden worden gedetecteerd die van invloed zijn op opslagplaatsen. Een beveiligingsprobleem is een probleem in de code van een project die kan worden misbruikt om de vertrouwelijkheid, integriteit of beschikbaarheid van het project of andere projecten die de bijbehorende code gebruiken, te beschadigen. Beveiligingsproblemen variëren per type, ernst en aanvalsmethode. Wanneer code afhankelijk is van een pakket met een beveiligingsprobleem, kan deze kwetsbare afhankelijkheid een reeks problemen veroorzaken. (Geen gerelateerd beleid) | Medium |
De Defender voor DevOps aanbevelingen hebben de afgeschafte scanner voor beveiligingsproblemen vervangen voor CI/CD-werkstromen die zijn opgenomen in Defender voor containers.
Meer informatie over Defender voor DevOps
Dashboard Naleving van regelgeving ondersteunt nu handmatig beheer en gedetailleerde informatie over de nalevingsstatus van Microsoft
Het nalevingsdashboard in Defender voor Cloud is een belangrijk hulpmiddel voor klanten om hen te helpen hun nalevingsstatus te begrijpen en bij te houden. Klanten kunnen omgevingen continu bewaken in overeenstemming met de vereisten van veel verschillende standaarden en voorschriften.
Nu kunt u uw nalevingspostuur volledig beheren door handmatig te attesteren aan operationele en andere besturingselementen. U kunt nu bewijs leveren van naleving voor besturingselementen die niet zijn geautomatiseerd. Samen met de geautomatiseerde evaluaties kunt u nu een volledig nalevingsrapport genereren binnen een geselecteerd bereik, waarbij de volledige set controles voor een bepaalde standaard wordt aangepakt.
Bovendien beschikt u over uitgebreidere controle-informatie en uitgebreidere details en bewijsmateriaal voor de nalevingsstatus van Microsoft, nu beschikt u over alle informatie die nodig is voor controles binnen handbereik.
Dit zijn enkele nieuwe voordelen:
Handmatige klantacties bieden een mechanisme voor het handmatig controleren van naleving van niet-geautomatiseerde controles. Inclusief de mogelijkheid om bewijs te koppelen, een nalevingsdatum en vervaldatum instellen.
Uitgebreidere controledetails voor ondersteunde standaarden waarin Microsoft acties en manuele klantacties naast de reeds bestaande geautomatiseerde klantacties worden weergegeven.
Microsoft acties bieden transparantie in de nalevingsstatus van Microsoft, waaronder controlebeoordelingsprocedures, testresultaten en Microsoft reacties op afwijkingen.
Aanbiedingsaanbiedingen bieden een centrale locatie om Azure, Dynamics 365 en Power Platform-producten en hun respectieve nalevingscertificeringen voor regelgeving te controleren.
Meer informatie over het Improve your regulatory compliance with Defender voor Cloud.
Automatische inrichting wordt hernoemd naar Instellingen en bewaking en heeft een bijgewerkte ervaring
De naam van de pagina Voor automatisch inrichten is gewijzigd in Instellingen en bewaking.
Automatische inrichting was bedoeld om het inschakelen van vereisten op schaal toe te staan, die nodig zijn voor de geavanceerde functies en mogelijkheden van Defender voor Cloud. Om onze uitgebreide mogelijkheden beter te ondersteunen, starten we een nieuwe ervaring met de volgende wijzigingen:
De abonnementspagina van de Defender voor Cloud bevat nu:
- Wanneer u een Defender-plan inschakelt waarvoor bewakingsonderdelen zijn vereist, worden deze onderdelen ingeschakeld voor automatische inrichting met standaardinstellingen. Deze instellingen kunnen op elk gewenst moment worden bewerkt.
- U hebt toegang tot de instellingen van het bewakingsonderdeel voor elk Defender plan vanaf de pagina Defender plan.
- De pagina Defender plannen geeft duidelijk aan of alle bewakingsonderdelen aanwezig zijn voor elk Defender plan, of dat uw bewakingsdekking onvolledig is.
De pagina Instellingen en bewaking:
- Elk bewakingsonderdeel geeft de Defender plannen aan waaraan het is gerelateerd.
Meer informatie over het beheren van uw bewakingsinstellingen.
Defender Cloud Security Posture Management (CSPM)
Een van de belangrijkste pijlers van Microsoft Defender voor Cloud voor cloudbeveiliging is Cloud Security Posture Management (CSPM). CSPM biedt u richtlijnen voor beveiliging waarmee u uw beveiliging efficiënt en effectief kunt verbeteren. CSPM geeft u ook inzicht in uw huidige beveiligingssituatie.
We kondigen een nieuw Defender plan aan: Defender CSPM. Dit plan verbetert de beveiligingsmogelijkheden van Defender voor Cloud en bevat de volgende nieuwe en uitgebreide functies:
- Continue evaluatie van de beveiligingsconfiguratie van uw cloudresources
- Aanbevelingen voor beveiliging om onjuiste configuraties en zwakke plekken op te lossen
- Beveiligingsscore
- Governance
- Naleving van regelgeving
- Cloudbeveiligingsgrafiek
- Analyse van aanvalspad
- Scannen zonder agent voor machines
Meer informatie over het Defender CSPM-abonnement.
Toewijzing van MITRE ATT&CK-framework is nu ook beschikbaar voor AANBEVELINGEN voor AWS- en GCP-beveiliging
Voor beveiligingsanalisten is het essentieel om de potentiële risico's te identificeren die zijn gekoppeld aan beveiligingsaanbevelingen en inzicht te krijgen in de aanvalsvectoren, zodat ze hun taken efficiënt kunnen prioriteren.
Defender voor Cloud prioriteitsaanduiding eenvoudiger maakt door de Azure, AWS- en GCP-beveiligingsaanbevelingen toe te passen aan de MITRE ATT& CK-framework. Het MITRE ATT&CK-framework is een wereldwijd toegankelijke knowledge base van kwaadwillende tactieken en technieken op basis van praktijkobservaties, zodat klanten de veilige configuratie van hun omgevingen kunnen versterken.
Het MITRE ATT&CK-framework is op drie manieren geïntegreerd:
- Aanbevelingen zijn toegewezen aan MITRE ATT&CK-tactieken en -technieken.
- Query's uitvoeren op MITRE ATT & CK-tactieken en -technieken voor aanbevelingen met behulp van de Azure Resource Graph.
Defender voor containers ondersteunt nu evaluatie van beveiligingsproblemen voor Elastic Container Registry (preview)
Microsoft Defender voor containers biedt nu scannen op evaluatie van beveiligingsproblemen zonder agent voor ECR (Elastic Container Registry) in Amazon AWS. Uitbreiden van dekking voor omgevingen met meerdere clouds, voortbouwend op de release eerder dit jaar van geavanceerde bedreigingsbeveiliging en Kubernetes-omgevingbeveiliging voor AWS en Google GCP. Met het model zonder agent worden AWS-resources in uw accounts gemaakt om uw afbeeldingen te scannen zonder afbeeldingen uit uw AWS-accounts te extraheren en zonder footprint op uw workload.
Het scannen van evaluatie van beveiligingsproblemen zonder agent op installatiekopieën in ECR-opslagplaatsen helpt het kwetsbaarheid voor aanvallen van uw containeromgeving te verminderen door continu installatiekopieën te scannen om beveiligingsproblemen in containers te identificeren en te beheren. Met deze nieuwe release scant Defender voor Cloud containerinstallatiekopieën nadat deze naar de opslagplaats zijn gepusht en de ECR-containerinstallatiekopieën in het register voortdurend opnieuw evalueert. De bevindingen zijn beschikbaar in Microsoft Defender voor Cloud als aanbevelingen en u kunt de ingebouwde geautomatiseerde werkstromen van Defender voor Cloud gebruiken om actie te ondernemen op de resultaten, zoals het openen van een ticket voor het oplossen van een beveiligingsprobleem met hoge ernst in een afbeelding.
Meer informatie over evaluatie van beveiligingsproblemen voor Amazon ECR-installatiekopieën.
2022 september
De updates in september zijn onder meer:
- Waarschuwingen onderdrukken op basis van container- en Kubernetes-entiteiten
- Defender voor servers ondersteunt bewaking van bestandsintegriteit met Azure Monitor agent
- Verouderde evaluaties-API's afschaffen
- Extra aanbevelingen toegevoegd aan identiteit
- Removed security alerts for machines reporting to cross-tenant Log Analytics workspaces
Waarschuwingen onderdrukken op basis van container- en Kubernetes-entiteiten
- Kubernetes-naamruimte
- Kubernetes-pod
- Kubernetes-geheim
- Kubernetes ServiceAccount
- Kubernetes ReplicaSet
- Kubernetes StatefulSet
- Kubernetes DaemonSet
- Kubernetes-taak
- Kubernetes CronJob
Meer informatie over regels voor waarschuwingsonderdrukking.
Defender voor servers ondersteunt bewaking van bestandsintegriteit met Azure Monitor-agent
Fim (File Integrity Monitoring) onderzoekt besturingssysteembestanden en registers op wijzigingen die kunnen duiden op een aanval.
FIM is nu beschikbaar in een nieuwe versie op basis van Azure Monitor Agent (AMA), die u kunt implementeren via Defender voor Cloud.
Verouderde evaluaties-API's afschaffen
De volgende API's zijn afgeschaft:
- Beveiligingstaken
- Beveiligingsstatussen
- Beveiligingssamenvattingen
Deze drie API's hebben oude indelingen van evaluaties weergegeven en worden vervangen door de Evaluaties-API's en SubAssessments-API's. Alle gegevens die beschikbaar worden gesteld door deze verouderde API's, zijn ook beschikbaar in de nieuwe API's.
Extra aanbevelingen toegevoegd aan identiteit
Defender voor Cloud aanbevelingen voor het verbeteren van het beheer van gebruikers en accounts.
Nieuwe aanbevelingen
De nieuwe release bevat de volgende mogelijkheden:
Extended evaluatiebereik – Dekking is verbeterd voor identiteitsaccounts zonder MFA en externe accounts op Azure resources (in plaats van alleen abonnementen) waarmee uw beveiligingsbeheerders roltoewijzingen per account kunnen bekijken.
Verbeterd vernieuwingsinterval : de identiteitsaanbeveling heeft nu een vernieuwingsinterval van 12 uur.
Account-uitzonderingsmogelijkheid- Defender voor Cloud heeft veel functies die u kunt gebruiken om uw ervaring aan te passen en ervoor te zorgen dat uw beveiligingsscore overeenkomt met de beveiligingsprioriteiten van uw organisatie. U kunt bijvoorbeeld resources en aanbevelingen uitsluiten van uw beveiligingsscore.
Met deze update kunt u specifieke accounts uitsluiten van evaluatie met de zes aanbevelingen die in de volgende tabel worden vermeld.
Normaal gesproken zou u accounts voor 'break glass' uitsluiten van MFA-aanbevelingen, omdat dergelijke accounts vaak opzettelijk worden uitgesloten van de MFA-vereisten van een organisatie. U kunt ook externe accounts hebben waartoe u toegang wilt toestaan, waarvoor MFA niet is ingeschakeld.
Tip
Wanneer u een account uitzond, wordt dit niet weergegeven als beschadigd en wordt een abonnement ook niet in orde weergegeven.
Recommendation Evaluatiesleutel Accounts met eigenaarsmachtigingen voor Azure resources moeten MFA zijn ingeschakeld 6240402e-f77c-46fa-9060-a7ce53997754 Accounts met schrijfmachtigingen voor Azure resources moeten MFA zijn ingeschakeld c0cb17b2-0607-48a7-b0e0-903ed22de39b Accounts met leesmachtigingen voor Azure resources moeten MFA zijn ingeschakeld dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c Gastaccounts met eigenaarsmachtigingen voor Azure resources moeten worden verwijderd 20606e75-05c4-48c0-9d97-add6daa2109a Gastaccounts met schrijfmachtigingen voor Azure resources moeten worden verwijderd 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb Gastaccounts met leesmachtigingen voor Azure resources moeten worden verwijderd fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 Geblokkeerde accounts met eigenaarsmachtigingen voor Azure resources moeten worden verwijderd 050ac097-3dda-4d24-ab6d-82568e7a50cf Geblokkeerde accounts met lees- en schrijfmachtigingen voor Azure resources moeten worden verwijderd 1ff0b4c9-ed56-4de6-be9c-d7ab39645926
De aanbevelingen worden weliswaar in de preview-versie weergegeven naast de aanbevelingen die momenteel in algemene beschikbaarheid zijn opgenomen.
Beveiligingswaarschuwingen verwijderd voor machines die rapporteren aan Log Analytics werkruimten voor meerdere tenants
In het verleden kunt u Defender voor Cloud de werkruimte kiezen waarnaar uw Log Analytics agents rapporteren. Wanneer een machine behoort tot één tenant (tenant A), maar de Log Analytics agent die is gerapporteerd aan een werkruimte in een andere tenant (Tenant B), zijn beveiligingswaarschuwingen over de machine gerapporteerd aan de eerste tenant (tenant A).
Met deze wijziging worden waarschuwingen op computers die zijn verbonden met Log Analytics werkruimte in een andere tenant niet meer weergegeven in Defender voor Cloud.
Als u de waarschuwingen in Defender voor Cloud wilt blijven ontvangen, verbindt u de Log Analytics-agent van de relevante machines met de werkruimte in dezelfde tenant als de machine.
Meer informatie over beveiligingswaarschuwingen.
Augustus 2022
De updates in augustus zijn onder meer:
- Vulnerabiliteiten voor het uitvoeren van installatiekopieën zijn nu zichtbaar met Defender voor containers in uw Windows-containers
- Azure Monitor Agent-integratie nu in preview
- Afgeschafte VM-waarschuwingen met betrekking tot verdachte activiteiten met betrekking tot een Kubernetes-cluster
Beveiligingsproblemen voor het uitvoeren van installatiekopieën zijn nu zichtbaar met Defender for Containers in uw Windows-containers
Defender voor containers toont nu beveiligingsproblemen voor het uitvoeren van Windows containers.
Wanneer beveiligingsproblemen worden gedetecteerd, genereert Defender voor Cloud de volgende beveiligingsaanbeveling met de gedetecteerde problemen: Installatiekopieën van containers moeten zijn opgelost.
Meer informatie over het weergeven van beveiligingsproblemen voor het uitvoeren van installatiekopieën.
Azure Monitor Agent-integratie nu in preview
Defender voor Cloud bevat nu preview-ondersteuning voor de Azure Monitor Agent (AMA). AMA is bedoeld om de verouderde Log Analytics-agent (ook wel de Microsoft Monitoring Agent (MMA) genoemd) te vervangen, die zich op een pad naar afschaffing bevindt. AMA biedt veel voordelen ten opzichte van verouderde agents.
Wanneer u in Defender voor Cloud enable autoprovisioning for AMA, wordt de agent geïmplementeerd op existing and new VM's en Azure Arc-enabled machines die zijn gedetecteerd in uw abonnementen. Als Defender voor Cloud abonnementen zijn ingeschakeld, verzamelt AMA configuratiegegevens en gebeurtenislogboeken van Azure VM's en Azure Arc machines. De AMA-integratie is in preview, dus we raden u aan deze te gebruiken in testomgevingen in plaats van in productieomgevingen.
Afgeschafte VM-waarschuwingen met betrekking tot verdachte activiteiten met betrekking tot een Kubernetes-cluster
De volgende tabel bevat de waarschuwingen die zijn afgeschaft:
| Waarschuwingsnaam | Description | Tactics | Severity |
|---|---|---|---|
|
Docker-buildbewerking gedetecteerd op een Kubernetes-knooppunt (VM_ImageBuildOnNode) |
Machinelogboeken geven een build-bewerking van een containerinstallatiekopieën op een Kubernetes-knooppunt aan. Hoewel dit gedrag legitiem kan zijn, kunnen aanvallers hun schadelijke installatiekopieën lokaal bouwen om detectie te voorkomen. | Verdedigingsontduiking | Low |
|
Suspicious request to Kubernetes API (Verdachte aanvraag voor Kubernetes-API) (VM_KubernetesAPI) |
Computerlogboeken geven aan dat er een verdachte aanvraag is verstuurd naar de Kubernetes-API. De aanvraag is verzonden vanaf een Kubernetes-knooppunt, mogelijk vanuit een van de containers die op het knooppunt worden uitgevoerd. Hoewel dit gedrag opzettelijk kan zijn, kan dit erop wijzen dat op het knooppunt een geïnfecteerde container wordt uitgevoerd. | LateralMovement | Medium |
|
SSH server is running inside a container (SSH-server wordt uitgevoerd in een container) (VM_ContainerSSH) |
Computerlogboeken geven aan dat een SSH-server wordt uitgevoerd in een Docker-container. Hoewel dit gedrag opzettelijk kan zijn, geeft dit vaak aan dat een container onjuist is geconfigureerd of wordt geschonden. | Execution | Medium |
Deze waarschuwingen worden gebruikt om een gebruiker op de hoogte te stellen van verdachte activiteiten die zijn verbonden met een Kubernetes-cluster. De waarschuwingen worden vervangen door overeenkomende waarschuwingen die deel uitmaken van de Microsoft Defender voor Cloud Container-waarschuwingen (K8S.NODE_ImageBuildOnNode, K8S.NODE_ KubernetesAPI en K8S.NODE_ ContainerSSH) die een verbeterde kwaliteit en uitgebreide context bieden om de waarschuwingen te onderzoeken en erop te reageren. Meer informatie over waarschuwingen voor Kubernetes-clusters.
Beveiligingsproblemen in containers bevatten nu gedetailleerde pakketinformatie
Defender voor evaluatie van beveiligingsproblemen van containers bevat nu gedetailleerde pakketinformatie voor elke bevindingen, waaronder: pakketnaam, pakkettype, pad, geïnstalleerde versie en vaste versie. Met de pakketinformatie kunt u kwetsbare pakketten vinden, zodat u het beveiligingsprobleem kunt oplossen of het pakket kunt verwijderen.
Deze gedetailleerde pakketinformatie is beschikbaar voor nieuwe scans van afbeeldingen.
Juli 2022
De updates in juli zijn onder meer:
- Algemene beschikbaarheid (GA) van de cloudeigen beveiligingsagent voor Kubernetes Runtime-beveiliging
- Defender voor va van container voegt ondersteuning toe voor de detectie van taalspecifieke pakketten (preview)
- Bescherming tegen het beveiligingsprobleem van de Operations Management-infrastructuur CVE-2022-29149
- Integratie met Entra Permissions Management
- Key Vault aanbevelingen zijn gewijzigd in 'audit'
- API-app-beleid voor App Service verwijderen
Algemene beschikbaarheid (GA) van de cloudeigen beveiligingsagent voor Kubernetes Runtime-beveiliging
We delen graag dat de cloudeigen beveiligingsagent voor Kubernetes Runtime-beveiliging nu algemeen beschikbaar is (GA)!
De productie-implementaties van Kubernetes-clusters blijven groeien naarmate klanten hun toepassingen blijven containeriseren. Ter ondersteuning van deze groei heeft het Defender for Containers-team een cloudeigen Kubernetes-beveiligingsagent ontwikkeld.
De nieuwe beveiligingsagent is een Kubernetes DaemonSet, gebaseerd op eBPF-technologie en is volledig geïntegreerd in AKS-clusters als onderdeel van het AKS-beveiligingsprofiel.
De activering van de beveiligingsagent is beschikbaar via automatische inrichting, aanbevelingenstroom, AKS RP of op schaal met behulp van Azure Policy.
U kunt vandaag de Defender-agent implementeren op uw AKS-clusters.
Met deze aankondiging is de runtimebeveiliging - bedreigingsdetectie (workload) nu ook algemeen beschikbaar.
Meer informatie over de Defender voor de beschikbaarheid van container feature.
U kunt ook alle beschikbare waarschuwingen bekijken.
Als u de preview-versie gebruikt, is de AKS-AzureDefender functievlag niet meer vereist.
Defender voor container-VA voegt ondersteuning toe voor de detectie van taalspecifieke pakketten (preview)
Defender voor de evaluatie van beveiligingsproblemen van containers kan beveiligingsproblemen detecteren in besturingssysteempakketten die zijn geïmplementeerd via os-pakketbeheer. We hebben nu de mogelijkheden van VA uitgebreid om beveiligingsproblemen te detecteren die zijn opgenomen in taalspecifieke pakketten.
Deze functie is in preview en is alleen beschikbaar voor Linux-installatiekopieën.
Als u alle opgenomen taalspecifieke pakketten wilt zien die zijn toegevoegd, bekijkt u Defender voor de volledige lijst met functies en de beschikbaarheid van container.
Bescherming tegen het beveiligingsprobleem van de Operations Management-infrastructuur CVE-2022-29149
Operations Management Infrastructure (OMI) is een verzameling cloudservices voor het beheren van on-premises en cloudomgevingen vanaf één locatie. In plaats van on-premises resources te implementeren en beheren, worden OMI-onderdelen volledig gehost in Azure.
Log Analytics geïntegreerd met Azure HDInsight met OMI versie 13, is een patch vereist om CVE-2022-29149 te herstellen. Bekijk het rapport over dit beveiligingsprobleem in de handleiding Microsoft Beveiliging Update voor informatie over het identificeren van resources die worden beïnvloed door deze beveiligings- en herstelstappen.
Als u Defender hebt ingeschakeld voor servers met evaluatie van beveiligingsproblemen, kunt u de werkmap gebruiken om betrokken resources te identificeren.
Integratie met Entra Permissions Management
Defender voor Cloud is geïntegreerd met Microsoft Entra Machtigingsbeheer, een CIEM-oplossing (Cloud Infrastructure Entitlement Management) die uitgebreide zichtbaarheid en controle biedt over machtigingen voor elke identiteit en elke resource in Azure, AWS en GCP.
Elk Azure-abonnement, AWS-account en GCP-project dat u onboardt, ziet u nu een weergave van uw PCI (Creep Index).
Meer informatie over Entra Permission Management (voorheen Cloudknox)
Key Vault aanbevelingen gewijzigd in 'controle'
Het effect voor de Key Vault aanbevelingen die hier worden vermeld, is gewijzigd in 'controle':
| Naam van aanbeveling | Aanbevelings-id |
|---|---|
| Geldigheidsperiode van certificaten die zijn opgeslagen in Azure Key Vault mag niet langer zijn dan 12 maanden | fc84abc0-eee6-4758-8372-a7681965ca44 |
| Key Vault geheimen een vervaldatum moeten hebben | 14257785-9437-97fa-11ae-898cfb24302b |
| Key Vault sleutels een vervaldatum moeten hebben | 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2 |
API-app-beleid voor App Service verwijderen
We hebben het volgende beleid afgeschaft voor overeenkomende beleidsregels die al bestaan om API-apps op te nemen:
| Afgeschaft | Wijzigen in |
|---|---|
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' |
App Service apps should have 'Client Certificates (Incoming client certificates)' enabled |
Ensure that 'Python version' is the latest, if used as a part of the API app |
App Service apps that use Python should use the latest Python version' |
CORS should not allow every resource to access your API App |
App Service apps should not have CORS configured to allow every resource to access your apps |
Managed identity should be used in your API App |
App Service apps should use managed identity |
Remote debugging should be turned off for API Apps |
App Service apps should have remote debugging turned off |
Ensure that 'PHP version' is the latest, if used as a part of the API app |
App Service apps that use PHP should use the latest 'PHP version' |
FTPS only should be required in your API App |
App Service apps should require FTPS only |
Ensure that 'Java version' is the latest, if used as a part of the API app |
App Service apps that use Java should use the latest 'Java version' |
Latest TLS version should be used in your API App |
App Service apps should use the latest TLS version |
Juni 2022
De updates in juni zijn onder meer:
- Algemene beschikbaarheid (GA) voor Microsoft Defender voor Azure Cosmos DB
- Algemene beschikbaarheid (GA) van Defender voor SQL op machines voor AWS- en GCP-omgevingen
- De implementatie van beveiligingsaanveling stimuleren om uw beveiligingspostuur te verbeteren
- Beveiligingswaarschuwingen filteren op IP-adres
- Waarschuwingen per resourcegroep
- Autoprovisioning van Microsoft Defender voor Eindpunt geïntegreerde oplossing
- De afschaffing van het beleid 'API-app mag alleen toegankelijk zijn via HTTPS'-beleid
- Nieuwe Key Vault waarschuwingen
Algemene beschikbaarheid (GA) voor Microsoft Defender voor Azure Cosmos DB
Microsoft Defender voor Azure Cosmos DB is nu algemeen beschikbaar (GA) en ondersteunt sql-API-accounttypen (core).
Deze nieuwe release voor ALGEMENE beschikbaarheid maakt deel uit van de Microsoft Defender voor Cloud databasebeveiligingssuite, die verschillende typen SQL-databases en MariaDB bevat. Microsoft Defender voor Azure Cosmos DB is een Azure systeemeigen beveiligingslaag waarmee pogingen worden gedetecteerd om databases in uw Azure Cosmos DB-accounts te misbruiken.
Door dit plan in te schakelen, wordt u gewaarschuwd voor mogelijke SQL-injecties, bekende slechte actoren, verdachte toegangspatronen en mogelijke verkenningen van uw database via gecompromitteerde identiteiten of schadelijke insiders.
Wanneer mogelijk schadelijke activiteiten worden gedetecteerd, worden beveiligingswaarschuwingen gegenereerd. Deze waarschuwingen bieden details van verdachte activiteiten, samen met de relevante onderzoeksstappen, herstelacties en aanbevelingen voor beveiliging.
Microsoft Defender voor Azure Cosmos DB analyseert continu de telemetriestroom die door de Azure Cosmos DB-services wordt gegenereerd en kruist deze met Microsoft Bedreigingsinformatie en gedragsmodellen om verdachte activiteiten te detecteren. Defender voor Azure Cosmos DB heeft geen toegang tot de Azure Cosmos DB-accountgegevens en heeft geen invloed op de prestaties van uw database.
Meer informatie over Microsoft Defender voor Azure Cosmos DB.
Dankzij de toevoeging van ondersteuning voor Azure Cosmos DB biedt Defender voor Cloud nu een van de meest uitgebreide workloadbeveiligingsaanbiedingen voor clouddatabases. Beveiligingsteams en database-eigenaren kunnen nu een gecentraliseerde ervaring hebben om hun databasebeveiliging van hun omgevingen te beheren.
Meer informatie over het inschakelen van beveiliging voor uw databases.
Algemene beschikbaarheid (GA) van Defender voor SQL op machines voor AWS- en GCP-omgevingen
De databasebeveiligingsmogelijkheden van Microsoft Defender voor Cloud hebben ondersteuning toegevoegd voor uw SQL-servers die worden gehost in AWS- of GCP-omgevingen.
Defender voor SQL kunnen ondernemingen nu hun hele database-estate beveiligen, gehost in Azure, AWS, GCP en on-premises machines.
Microsoft Defender voor SQL biedt een uniforme multicloud-ervaring voor het weergeven van beveiligingsaanbevelingen, beveiligingswaarschuwingen en evaluatie van beveiligingsproblemen voor zowel de SQL-server als het onderstreepte Windows besturingssysteem.
Met de onboarding-ervaring voor meerdere clouds kunt u databasesbeveiliging inschakelen en afdwingen voor SQL-servers die worden uitgevoerd op AWS EC2, RDS Custom voor SQL Server en GCP-rekenengine. Zodra u een van deze abonnementen hebt ingeschakeld, worden alle ondersteunde resources in het abonnement beveiligd. Toekomstige resources die in hetzelfde abonnement zijn gemaakt, worden ook beveiligd.
Meer informatie over het beveiligen en verbinden van uw AWS-omgeving en uw GCP-organisatie met Microsoft Defender voor Cloud.
De implementatie van beveiligingsaanveling stimuleren om uw beveiligingspostuur te verbeteren
De huidige toenemende bedreigingen voor organisaties strekken de limieten van beveiligingspersoneel uit om hun groeiende workloads te beschermen. Beveiligingsteams worden uitgedaagd om de beveiligingen te implementeren die zijn gedefinieerd in hun beveiligingsbeleid.
Met de governance-ervaring in preview kunnen beveiligingsteams nu herstel van beveiligingsaanbeveling toewijzen aan de resource-eigenaren en een herstelschema vereisen. Ze kunnen volledige transparantie hebben in de voortgang van het herstel en op de hoogte worden gesteld wanneer taken te laat zijn.
Meer informatie over de governance-ervaring in het stimuleren van uw organisatie om beveiligingsproblemen met aanbevelingsbeheer op te lossen.
Beveiligingswaarschuwingen filteren op IP-adres
In veel gevallen van aanvallen wilt u waarschuwingen bijhouden op basis van het IP-adres van de entiteit die betrokken is bij de aanval. Tot nu toe werd het IP-adres alleen weergegeven in de sectie Gerelateerde entiteiten in het deelvenster met één waarschuwing. U kunt nu de waarschuwingen filteren op de pagina beveiligingswaarschuwingen om de waarschuwingen te bekijken die betrekking hebben op het IP-adres en u kunt zoeken naar een specifiek IP-adres.
Waarschuwingen per resourcegroep
De mogelijkheid om te filteren, sorteren en groeperen op resourcegroep wordt toegevoegd aan de pagina Beveiligingswaarschuwingen.
Er wordt een resourcegroepkolom toegevoegd aan het waarschuwingenraster.
Er wordt een nieuw filter toegevoegd waarmee u alle waarschuwingen voor specifieke resourcegroepen kunt bekijken.
U kunt nu ook uw waarschuwingen per resourcegroep groeperen om al uw waarschuwingen voor elk van uw resourcegroepen weer te geven.
Automatisch inrichten van Microsoft Defender voor Eindpunt geïntegreerde oplossing
Tot nu toe bevatte de integratie met Microsoft Defender voor Eindpunt (MDE) automatische installatie van de nieuwe MDE unified solution voor machines (Azure abonnementen en multicloudconnectors) met Defender voor Servers Plan 1 ingeschakeld en voor connectors met meerdere clouds met Defender voor Servers Abonnement 2 ingeschakeld. Plan 2 voor Azure-abonnementen hebben alleen de geïntegreerde oplossing voor Linux-machines en Windows 2019- en 2022-servers ingeschakeld. Windows servers 2012R2 en 2016 de verouderde MDE-oplossing gebruikt die afhankelijk is van Log Analytics agent.
De nieuwe geïntegreerde oplossing is nu beschikbaar voor alle machines in beide abonnementen, voor zowel Azure abonnementen als connectors voor meerdere clouds. Voor Azure abonnementen met Servers Plan 2 waarvoor MDE-integratie is ingeschakeld na juni 20, 2022: de geïntegreerde oplossing is standaard ingeschakeld voor alle machines Azure abonnementen waarvoor de Defender voor Servers Abonnement 2 is ingeschakeld met MDE-integratie voorbevoor 20 juni 2022 kan nu geïntegreerde oplossingsinstallatie inschakelen voor Windows servers 2012R2 en 2016 via de speciale knop op de pagina Integraties:
Meer informatie over MDE-integratie met Defender voor servers.
De afschaffing van het beleid 'API-app mag alleen toegankelijk zijn via HTTPS'-beleid
Het beleid API App should only be accessible over HTTPS is afgeschaft. Dit beleid wordt vervangen door het beleid, waarvan de Web Application should only be accessible over HTTPS naam is gewijzigd in App Service apps should only be accessible over HTTPS.
Zie Azure Policy ingebouwde definities voor Azure App Service voor meer informatie over beleidsdefinities voor Azure App Service.
Nieuwe Key Vault-waarschuwingen
Als u de bedreigingsbeveiligingen van Microsoft Defender voor Key Vault wilt uitbreiden, hebben we twee nieuwe waarschuwingen toegevoegd.
Deze waarschuwingen informeren u over een anomalie voor toegang geweigerd, wordt gedetecteerd voor een van uw sleutelkluizen.
| Waarschuwing (waarschuwingstype) | Description | MITRE-tactieken | Severity |
|---|---|---|---|
|
Ongebruikelijke toegang geweigerd - Gebruiker heeft toegang tot een groot aantal sleutelkluizen geweigerd (KV_DeniedAccountVolumeAnomaly) |
Een gebruiker of service-principal heeft in de afgelopen 24 uur geprobeerd toegang te krijgen tot afwijkende grote hoeveelheden sleutelkluizen. Dit afwijkende toegangspatroon kan legitieme activiteit zijn. Hoewel deze poging mislukt, kan het een indicatie zijn van een mogelijke poging om toegang te krijgen tot de sleutelkluis en de geheimen erin. We raden verder onderzoek aan. | Discovery | Low |
|
Ongebruikelijke toegang geweigerd - Ongebruikelijke gebruikerstoegang tot sleutelkluis geweigerd (KV_UserAccessDeniedAnomaly) |
Een sleutelkluistoegang is geprobeerd door een gebruiker die deze normaal gesproken niet opent. Dit afwijkende toegangspatroon kan legitieme activiteit zijn. Hoewel deze poging mislukt, kan het een indicatie zijn van een mogelijke poging om toegang te krijgen tot de sleutelkluis en de geheimen erin. | Eerste toegang, detectie | Low |
Mei 2022
De updates in mei zijn onder meer:
- Multicloud-instellingen van het Servers-abonnement zijn nu beschikbaar op connectorniveau
- JIT-toegang (Just-In-Time) voor VM's is nu beschikbaar voor AWS EC2-exemplaren (preview)
- Toevoegen en verwijderen van de Defender sensor voor AKS-clusters met behulp van de CLI
Multicloud-instellingen van het Servers-abonnement zijn nu beschikbaar op connectorniveau
Er zijn nu instellingen op connectorniveau voor Defender voor servers in meerdere clouds.
De nieuwe instellingen op connectorniveau bieden granulariteit voor de configuratie van prijzen en automatisch inrichten per connector, onafhankelijk van het abonnement.
Alle onderdelen voor automatisch inrichten die beschikbaar zijn op connectorniveau (Azure Arc, MDE en evaluatie van beveiligingsproblemen) zijn standaard ingeschakeld en de nieuwe configuratie ondersteunt zowel Plan 1- als abonnement 2.
Updates in de gebruikersinterface bevatten een weerspiegeling van de geselecteerde prijscategorie en de vereiste onderdelen die zijn geconfigureerd.
Wijzigingen in evaluatie van beveiligingsproblemen
Defender voor containers geeft nu beveiligingsproblemen weer met gemiddelde en lage ernst die niet kunnen worden gepatcht.
Als onderdeel van deze update worden beveiligingsproblemen met gemiddeld en laag ernst nu weergegeven, ongeacht of er patches beschikbaar zijn. Deze update biedt maximale zichtbaarheid, maar u kunt nog steeds ongewenste beveiligingsproblemen filteren met behulp van de opgegeven regel Uitschakelen.
Meer informatie over beveiligingsproblemen beheren
JIT-toegang (Just-In-Time) voor VM's is nu beschikbaar voor AWS EC2-exemplaren (preview)
Wanneer u AWS-accounts verbindt, evalueert JIT automatisch de netwerkconfiguratie van de beveiligingsgroepen van uw exemplaar en raadt u aan welke exemplaren beveiliging nodig hebben voor hun blootgestelde beheerpoorten. Dit is vergelijkbaar met hoe JIT werkt met Azure. Wanneer u onbeveiligde EC2-exemplaren onboardt, blokkeert JIT openbare toegang tot de beheerpoorten en opent deze alleen met geautoriseerde aanvragen gedurende een beperkte periode.
Meer informatie over hoe JIT uw AWS EC2-exemplaren beveiligt
De Defender sensor voor AKS-clusters toevoegen en verwijderen met behulp van de CLI
De Defender-agent is vereist voor Defender voor containers om de runtimebeveiligingen te bieden en signalen van knooppunten te verzamelen. U kunt nu de Azure CLI gebruiken om
Note
Deze optie is opgenomen in Azure CLI 3.7 en hoger.
April 2022
De updates in april zijn onder meer:
- Nieuwe Defender voor Servers-abonnementen
- Herlocatie van aangepaste aanbevelingen
- PowerShell-script voor het streamen van waarschuwingen naar Splunk en QRadar
- Deprecated the Azure Cache voor Redis recommendation
- Nieuwe waarschuwingsvariant voor Microsoft Defender voor Opslag (preview) om blootstelling van gevoelige gegevens te detecteren
- Titel van containerscanwaarschuwing uitgebreid met IP-adresreputatie
- Bekijk de activiteitenlogboeken die betrekking hebben op een beveiligingswaarschuwing
Nieuwe Defender voor Servers-abonnementen
Microsoft Defender voor servers wordt nu aangeboden in twee incrementele abonnementen:
- Defender voor Servers Plan 2, voorheen Defender voor Servers
- Defender voor Servers Plan 1 biedt alleen ondersteuning voor Microsoft Defender voor Eindpunt
Hoewel Defender voor Servers Plan 2 bescherming blijft bieden tegen bedreigingen en beveiligingsproblemen voor uw cloud- en on-premises workloads, biedt Defender voor Servers Plan 1 alleen eindpuntbeveiliging, mogelijk gemaakt door de systeemeigen geïntegreerde Defender voor Eindpunt. Lees meer over de Defender voor servers.
Als u Defender voor servers tot nu toe hebt gebruikt, is er geen actie vereist.
Bovendien begint Defender voor Cloud ook geleidelijke ondersteuning voor de Defender voor de geïntegreerde eindpuntagent voor Windows Server 2012 R2 en 2016. Defender voor Servers Plan 1 implementeert de nieuwe geïntegreerde agent in Windows Server 2012 R2- en 2016-workloads.
Herlocatie van aangepaste aanbevelingen
Aangepaste aanbevelingen zijn de aanbevelingen die door gebruikers zijn gemaakt en hebben geen invloed op de beveiligingsscore. De aangepaste aanbevelingen vindt u nu op het tabblad Alle aanbevelingen.
Gebruik het nieuwe filter aanbevelingstype om aangepaste aanbevelingen te vinden.
Meer informatie vindt u in Aangepaste beveiligingsinitiatieven en -beleidsregels maken.
PowerShell-script voor het streamen van waarschuwingen naar Splunk en IBM QRadar
U wordt aangeraden Event Hubs en een ingebouwde connector te gebruiken om beveiligingswaarschuwingen te exporteren naar Splunk en IBM QRadar. U kunt nu een PowerShell-script gebruiken om de Azure resources in te stellen die nodig zijn voor het exporteren van beveiligingswaarschuwingen voor uw abonnement of tenant.
Download en voer het PowerShell-script uit. Nadat u enkele details van uw omgeving hebt opgegeven, configureert het script de resources voor u. Het script produceert vervolgens uitvoer die u in het SIEM-platform gebruikt om de integratie te voltooien.
Zie Stream-waarschuwingen voor Splunk en QRadar voor meer informatie.
De aanbeveling voor Azure Cache voor Redis afgeschaft
De aanbeveling Azure Cache voor Redis should reside within a virtual network (preview) is afgeschaft. We hebben onze richtlijnen voor het beveiligen van Azure Cache voor Redis exemplaren gewijzigd. U wordt aangeraden een privé-eindpunt te gebruiken om de toegang tot uw Azure Cache voor Redis exemplaar te beperken in plaats van een virtueel netwerk.
Nieuwe waarschuwingsvariant voor Microsoft Defender voor Storage (preview) om blootstelling van gevoelige gegevens te detecteren
Microsoft Defender voor waarschuwingen van Storage waarschuwt u wanneer bedreigingsactoren proberen gevoelige informatie te scannen en beschikbaar te maken, met succes of niet, onjuist geconfigureerd, openbaar geopende opslagcontainers om gevoelige informatie te exfiltreren.
Om snellere triatiërings- en reactietijd mogelijk te maken, hebben we een nieuwe variatie op de bestaande Publicly accessible storage containers have been exposed waarschuwing uitgebracht wanneer exfiltratie van mogelijk gevoelige gegevens is opgetreden.
De nieuwe waarschuwing, wordt Publicly accessible storage containers with potentially sensitive data have been exposedgeactiveerd met een High ernstniveau, na een geslaagde detectie van een openbaar geopende opslagcontainer(s) met namen die statistisch zelden openbaar zijn blootgesteld, wat suggereert dat ze gevoelige informatie kunnen bevatten.
| Waarschuwing (waarschuwingstype) | Description | MITRE-tactiek | Severity |
|---|---|---|---|
|
PREVIEW: openbaar toegankelijke opslagcontainers met mogelijk gevoelige gegevens zijn beschikbaar gesteld (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive) |
Iemand heeft uw Azure Storage-account gescand en een of meer containers weergegeven die openbare toegang toestaan. Een of meer van de weergegeven containers hebben namen die aangeven dat ze gevoelige gegevens kunnen bevatten. Dit duidt meestal op reconnaissance door een bedreigingsacteur die scant op onjuist geconfigureerde openbaar toegankelijke opslagcontainers die gevoelige gegevens kunnen bevatten. Nadat een bedreigingsacteur een container heeft gedetecteerd, kunnen ze doorgaan door de gegevens te exfiltreren. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | High |
Titel van containerscanwaarschuwing uitgebreid met IP-adresreputatie
De reputatie van een IP-adres kan aangeven of de scanactiviteit afkomstig is van een bekende bedreigingsacteur of van een actor die het Tor-netwerk gebruikt om hun identiteit te verbergen. Beide indicatoren suggereren dat er schadelijke bedoelingen zijn. De reputatie van het IP-adres wordt geleverd door Microsoft Bedreigingsinformatie.
De toevoeging van de reputatie van het IP-adres aan de waarschuwingstitel biedt een manier om snel de intentie van de actor te evalueren, en dus de ernst van de bedreiging.
De volgende waarschuwingen bevatten deze informatie:
Publicly accessible storage containers have been exposedPublicly accessible storage containers with potentially sensitive data have been exposedPublicly accessible storage containers have been scanned. No publicly accessible data was discovered
De toegevoegde informatie aan de titel van de Publicly accessible storage containers have been exposed waarschuwing ziet er bijvoorbeeld als volgt uit:
Publicly accessible storage containers have been exposedby a suspicious IP addressPublicly accessible storage containers have been exposedby a Tor exit node
Alle waarschuwingen voor Microsoft Defender voor Opslag blijven informatie over bedreigingsinformatie in de IP-entiteit opnemen in de sectie Gerelateerde entiteiten van de waarschuwing.
Bekijk de activiteitenlogboeken die betrekking hebben op een beveiligingswaarschuwing
Als onderdeel van de acties die u kunt ondernemen om een beveiligingswaarschuwing te evalueren, kunt u de gerelateerde platformlogboeken vinden in Resourcecontext inspecteren om context te krijgen over de betreffende resource. Microsoft Defender voor Cloud identificeert platformlogboeken die zich binnen één dag na de waarschuwing bevinden.
De platformlogboeken kunnen u helpen bij het evalueren van de beveiligingsrisico's en het identificeren van stappen die u kunt ondernemen om het geïdentificeerde risico te beperken.
Maart 2022
Updates in maart zijn onder andere:
- Wereldwijde beschikbaarheid van Veiligheidsscore voor AWS- en GCP-omgevingen
- De aanbevelingen voor het installeren van de gegevensverzamelingsagent voor netwerkverkeer afgeschaft
- Defender voor containers kan nu scannen op beveiligingsproblemen in Windows installatiekopieën (preview)
- Nieuwe waarschuwing voor Microsoft Defender voor Storage (preview)
- Instellingen voor e-mailmeldingen configureren vanuit een waarschuwing
- Afgeschafte preview-waarschuwing: ARM. MCAS_ActivityFromAnonymousIPAddresses
- De aanbeveling beveiligingsproblemen in containerbeveiligingsconfiguraties zijn verplaatst, moeten worden hersteld van de beveiligingsscore naar aanbevolen procedures
- De aanbeveling voor het gebruik van service-principals afgeschaft om uw abonnementen te beveiligen
- Verouderde implementatie van ISO 27001 vervangen door nieuw ISO 27001:2013-initiatief
- Deprecated Microsoft Defender for IoT device recommendations
- Deprecated Microsoft Defender for IoT device alerts
- Postuurbeheer en bedreigingsbeveiliging voor AWS en GCP uitgebracht voor algemene beschikbaarheid (GA)
- Registerscan voor Windows installatiekopieën in ACR heeft ondersteuning toegevoegd voor nationale clouds
Wereldwijde beschikbaarheid van Veiligheidsscore voor AWS- en GCP-omgevingen
De beheermogelijkheden voor cloudbeveiligingspostuur die door Microsoft Defender voor Cloud worden geboden, hebben nu ondersteuning toegevoegd voor uw AWS- en GCP-omgevingen binnen uw Beveiligingsscore.
Ondernemingen kunnen nu hun algehele beveiligingspostuur bekijken, in verschillende omgevingen, zoals Azure, AWS en GCP.
De pagina Secure Score wordt vervangen door het dashboard Beveiligingspostuur. Met het dashboard Beveiligingspostuur kunt u een algemene gecombineerde score voor al uw omgevingen bekijken of een uitsplitsing van uw beveiligingspostuur op basis van elke combinatie van omgevingen die u kiest.
De pagina Aanbevelingen is ook opnieuw ontworpen om nieuwe mogelijkheden te bieden, zoals: selectie van cloudomgevingen, geavanceerde filters op basis van inhoud (resourcegroep, AWS-account, GCP-project en meer), verbeterde gebruikersinterface op lage resolutie, ondersteuning voor open query's in resourcegrafiek en meer. Meer informatie over uw algehele beveiligingspostuur en beveiligingsaanbeveling.
De aanbevelingen voor het installeren van de gegevensverzamelingsagent voor netwerkverkeer afgeschaft
Wijzigingen in onze roadmap en prioriteiten hebben de noodzaak voor de agent voor het verzamelen van netwerkverkeersgegevens verwijderd. De volgende twee aanbevelingen en het bijbehorende beleid zijn afgeschaft.
| Recommendation | Description | Severity |
|---|---|---|
| De gegevensverzamelingsagent voor het netwerkverkeer moet zijn geïnstalleerd op virtuele machines van Linux | Defender voor Cloud gebruikt de Microsoft Dependency Agent om netwerkverkeersgegevens van uw Azure virtuele machines te verzamelen om geavanceerde netwerkbeveiligingsfuncties in te schakelen, zoals verkeersvisualisatie op de netwerkkaart, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | Medium |
| Gegevensverzamelingsagent voor netwerkverkeer moet worden geïnstalleerd op Windows virtuele machines | Defender voor Cloud gebruikt de Microsoft Dependency Agent om netwerkverkeersgegevens van uw Azure virtuele machines te verzamelen om geavanceerde functies voor netwerkbeveiliging in te schakelen, zoals verkeersvisualisatie op de netwerkkaart, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | Medium |
Defender voor containers kan nu scannen op beveiligingsproblemen in Windows installatiekopieën (preview)
Defender voor de installatiekopiescan van de container ondersteunt nu Windows installatiekopieën die worden gehost in Azure Container Registry. Deze functie is gratis tijdens de preview-versie en brengt kosten met zich mee wanneer deze algemeen beschikbaar is.
Meer informatie vindt u in Gebruik Microsoft Defender voor Container om uw installatiekopieën te scannen op beveiligingsproblemen.
Nieuwe waarschuwing voor Microsoft Defender voor Opslag (preview)
Om de bedreigingsbeveiligingen van Microsoft Defender voor Storage uit te breiden, hebben we een nieuwe preview-waarschuwing toegevoegd.
Bedreigingsactoren gebruiken toepassingen en hulpprogramma's om opslagaccounts te detecteren en te openen. Microsoft Defender voor Storage detecteert deze toepassingen en hulpprogramma's, zodat u deze kunt blokkeren en uw houding kunt herstellen.
Deze preview-waarschuwing wordt aangeroepen Access from a suspicious application. De waarschuwing is alleen relevant voor Azure Blob Storage en alleen ADLS Gen2.
| Waarschuwing (waarschuwingstype) | Description | MITRE-tactiek | Severity |
|---|---|---|---|
|
PREVIEW - Toegang vanuit een verdachte toepassing (Storage.Blob_SuspiciousApp) |
Geeft aan dat een verdachte toepassing toegang heeft tot een container van een opslagaccount met verificatie. Dit kan erop wijzen dat een aanvaller de referenties heeft verkregen die nodig zijn om toegang te krijgen tot het account en misbruik maakt van het account. Dit kan ook een indicatie zijn van een penetratietest die in uw organisatie wordt uitgevoerd. Van toepassing op: Azure Blob Storage, Azure Data Lake Storage Gen2 |
Eerste toegang | Medium |
Instellingen voor e-mailmeldingen configureren vanuit een waarschuwing
Er is een nieuwe sectie toegevoegd aan de gebruikersinterface (UI) voor waarschuwingen, waarmee u kunt bekijken en bewerken wie e-mailmeldingen ontvangt voor waarschuwingen die worden geactiveerd in het huidige abonnement.
Meer informatie over het configureren van e-mailmeldingen voor beveiligingswaarschuwingen.
Afgeschafte preview-waarschuwing: ARM. MCAS_ActivityFromAnonymousIPAddresses
De volgende preview-waarschuwing is afgeschaft:
| Waarschuwingsnaam | Description |
|---|---|
|
PREVIEW - Activity from a risky IP address (PREVIEW: activiteit vanaf een riskant IP-adres) (ARM.MCAS_ActivityFromAnonymousIPAddresses) |
Er is gebruikersactiviteit gedetecteerd vanaf een IP-adres dat is geïdentificeerd als het IP-adres van een anonieme proxy. Deze proxy's worden gebruikt door mensen die het IP-adres van hun apparaat willen verbergen en kunnen worden gebruikt voor kwaadaardige doeleinden. Deze detectie maakt gebruik van een algoritme voor machine learning dat het aantal fout-positieven vermindert, zoals verkeerd gelabelde IP-adressen die veel worden gebruikt door gebruikers in de organisatie. Vereist een actieve Microsoft Defender for Cloud Apps licentie. |
Er is een nieuwe waarschuwing gemaakt die deze informatie levert en eraan toevoegt. Bovendien hebben de nieuwere waarschuwingen (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) geen licentie nodig voor Microsoft Defender for Cloud Apps (voorheen bekend als Microsoft Cloud App Security).
Zie meer waarschuwingen voor Resource Manager.
De aanbeveling beveiligingsproblemen in containerbeveiligingsconfiguraties zijn verplaatst, moeten worden hersteld van de beveiligingsscore naar aanbevolen procedures
De aanbeveling Vulnerabilities in container security configurations should be remediated is verplaatst van de sectie secure score naar de sectie best practices.
De huidige gebruikerservaring biedt alleen de score wanneer alle nalevingscontroles zijn geslaagd. De meeste klanten hebben problemen met het voldoen aan alle vereiste controles. We werken aan een verbeterde ervaring voor deze aanbeveling en zodra de aanbeveling is uitgebracht, wordt deze teruggezet naar de beveiligingsscore.
De aanbeveling voor het gebruik van service-principals afgeschaft om uw abonnementen te beveiligen
Naarmate organisaties geen beheercertificaten meer gebruiken om hun abonnementen te beheren en aankondiging dat we het cloudservicesimplementatiemodel (klassiek) buiten gebruik stellen, hebben we de volgende Defender voor Cloud aanbeveling en het bijbehorende beleid afgeschaft:
| Recommendation | Description | Severity |
|---|---|---|
| In plaats van beheercertificaten moeten service-principals worden gebruikt om uw abonnementen te beschermen | Met beheercertificaten kan iedereen die met hen wordt geverifieerd, de abonnementen beheren waaraan ze zijn gekoppeld. Als u abonnementen veiliger wilt beheren, wordt het gebruik van service-principals met Resource Manager aanbevolen om de straalstraal te beperken in het geval van een inbreuk op een certificaat. Ook wordt het resourcebeheer geautomatiseerd. (Gerelateerd beleid: Service-principals moeten worden gebruikt om uw abonnementen te beveiligen in plaats van beheercertificaten) |
Medium |
Meer informatie:
- Het cloudservicesimplementatiemodel (klassiek) wordt op 31 augustus 2024 buiten gebruik gesteld
- Overzicht van Azure Cloud Services (klassiek)
- Werkstroom van Microsoft Azure klassieke VM-architectuur, inclusief basisprincipes van RDFE-werkstromen
Verouderde implementatie van ISO 27001 vervangen door nieuw ISO 27001:2013-initiatief
De verouderde implementatie van ISO 27001 is verwijderd uit het nalevingsdashboard van Defender voor Cloud. Als u uw ISO 27001-naleving bijhoudt met Defender voor Cloud, onboardt u de nieuwe ISO 27001:2013-standaard voor alle relevante beheergroepen of abonnementen.
Afgeschafte Microsoft Defender for IoT apparaataanbeveling
Microsoft Defender for IoT aanbevelingen voor apparaten zijn niet meer zichtbaar in Microsoft Defender voor Cloud. Deze aanbevelingen zijn nog steeds beschikbaar op de pagina Aanbevelingen van Microsoft Defender for IoT.
De volgende aanbevelingen zijn afgeschaft:
| Evaluatiesleutel | Recommendations |
|---|---|
| 1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: IoT-apparaten | Poorten openen op apparaat |
| ba975338-f956-41e7-a9f2-7614832d382d: IoT-apparaten | Er is een permissieve firewallregel gevonden in de invoerketen |
| beb62be3-5e78-49bd-ac5f-099250ef3c7c7c: IoT-apparaten | Het permissieve firewallbeleid in een van de ketens is gevonden |
| d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: IoT-apparaten | Er is een permissieve firewallregel gevonden in de uitvoerketen |
| 5f65e47f-7a00-4bf3-acae-90e441ee876: IoT-apparaten | Validatiefout in basislijn van besturingssysteem |
| a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: IoT-apparaten | Agent die onderbenutte berichten verzendt |
| 2acc27c6-5fdb-405e-9080-cb66b850c8f5: IoT-apparaten | Upgrade van TLS-coderingssuite vereist |
| d74d2738-2485-4103-9919-69c7e63776ec: IoT-apparaten |
Auditd het verzenden van gebeurtenissen is gestopt |
Afgeschafte Microsoft Defender for IoT apparaatwaarschuwingen
Alle Defender van Microsoft voor IoT-apparaatwaarschuwingen zijn niet meer zichtbaar in Microsoft Defender voor Cloud. Deze waarschuwingen zijn nog steeds beschikbaar op de pagina Waarschuwing van Microsoft Defender for IoT en in Microsoft Sentinel.
Postuurbeheer en bedreigingsbeveiliging voor AWS en GCP uitgebracht voor algemene beschikbaarheid (GA)
de CSPM-functies van Defender voor Cloud uitbreiden naar uw AWS- en GCP-resources. Met dit plan zonder agent worden uw resources met meerdere clouds beoordeeld op basis van cloudspecifieke beveiligingsaanbeveling die zijn opgenomen in uw beveiligingsscore. De resources worden beoordeeld op naleving met behulp van de ingebouwde standaarden. Defender voor Cloud's assetinventarispagina is een functie met meerdere clouds waarmee u uw AWS-resources naast uw Azure resources kunt beheren.
Microsoft Defender voor Servers brengt bedreigingsdetectie en geavanceerde verdediging naar uw rekeninstanties in AWS en GCP. Het Defender voor Servers-plan bevat een geïntegreerde licentie voor Microsoft Defender voor Eindpunt, scannen van beveiligingsproblemen en meer. Meer informatie over alle ondersteunde functies voor virtuele machines en servers. Met automatische onboardingmogelijkheden kunt u eenvoudig verbinding maken met bestaande of nieuwe rekeninstanties die in uw omgeving zijn gedetecteerd.
Meer informatie over het beveiligen en verbinden van uw AWS-omgeving en GCP-organisatie met Microsoft Defender voor Cloud.
Registerscan voor Windows installatiekopieën in ACR heeft ondersteuning toegevoegd voor nationale clouds
Registerscan voor Windows installatiekopieën wordt nu ondersteund in Azure Government en Microsoft Azure beheerd door 21Vianet. Deze toevoeging is momenteel beschikbaar als preview-versie.
Meer informatie over de beschikbaarheid van onze functie.
Februari 2022
Updates in februari zijn onder andere:
- Kubernetes-workloadbeveiliging voor Kubernetes-clusters met Arc
- Systeemeigen CSPM voor GCP en bedreigingsbeveiliging voor GCP-rekeninstanties
- Microsoft Defender voor Azure Cosmos DB plan uitgebracht voor preview
- Bedreigingsbeveiliging voor GKE-clusters (Google Kubernetes Engine)
Kubernetes-workloadbeveiliging voor Kubernetes-clusters met Arc
Defender voor containers zijn eerder alleen beveiligde Kubernetes-workloads die worden uitgevoerd in Azure Kubernetes Service. We hebben nu de beschermingsdekking uitgebreid met Azure Arc kubernetes-clusters.
Meer informatie over het set up your Kubernetes workload protection for AKS and Azure Arc enabled Kubernetes clusters.
Systeemeigen CSPM voor GCP en bedreigingsbeveiliging voor GCP-rekeninstanties
Met de nieuwe geautomatiseerde onboarding van GCP-omgevingen kunt u GCP-workloads beveiligen met Microsoft Defender voor Cloud. Defender voor Cloud uw resources beveiligt met de volgende abonnementen:
Defender voor Cloud CSPM-functies worden uitgebreid naar uw GCP-resources. Met dit plan zonder agent worden uw GCP-resources beoordeeld op basis van de GCP-specifieke beveiligingsaanbeveling, die worden geleverd met Defender voor Cloud. GCP-aanbevelingen worden opgenomen in uw beveiligingsscore en de resources worden beoordeeld op naleving van de ingebouwde GCP CIS-standaard. Defender voor Cloud's assetinventarispagina is een functie met meerdere cloudfuncties waarmee u uw resources kunt beheren in Azure, AWS en GCP.
Microsoft Defender voor servers brengt bedreigingsdetectie en geavanceerde verdediging naar uw GCP-rekeninstanties. Dit plan omvat de geïntegreerde licentie voor Microsoft Defender voor Eindpunt, scannen op beveiligingsproblemen en meer.
Zie Ondersteunde functies voor virtuele machines en servers voor een volledige lijst met beschikbare functies. Met automatische onboardingmogelijkheden kunt u eenvoudig bestaande en nieuwe rekeninstanties in uw omgeving verbinden.
Meer informatie over het beveiligen en connecteren van uw GCP-projecten met Microsoft Defender voor Cloud.
Microsoft Defender voor Azure Cosmos DB-abonnement dat is uitgebracht voor preview
We hebben de databasedekking van Microsoft Defender voor Cloud uitgebreid. U kunt nu beveiliging inschakelen voor uw Azure Cosmos DB-databases.
Microsoft Defender voor Azure Cosmos DB is een Azure systeemeigen beveiligingslaag waarmee elke poging om databases in uw Azure Cosmos DB-accounts te misbruiken wordt gedetecteerd. Microsoft Defender voor Azure Cosmos DB detecteert potentiële SQL-injecties, bekende slechte actoren op basis van Microsoft Bedreigingsinformatie, verdachte toegangspatronen en mogelijke exploitatie van uw database via aangetaste identiteiten of kwaadwillende insiders.
Het analyseert continu de gegevensstroom van de klant die wordt gegenereerd door de Azure Cosmos DB-services.
Wanneer mogelijk schadelijke activiteiten worden gedetecteerd, worden beveiligingswaarschuwingen gegenereerd. Deze waarschuwingen worden weergegeven in Microsoft Defender voor Cloud samen met de details van de verdachte activiteit, samen met de relevante onderzoeksstappen, herstelacties en aanbevelingen voor beveiliging.
Er is geen invloed op databaseprestaties bij het inschakelen van de service, omdat Defender voor Azure Cosmos DB geen toegang heeft tot de Azure Cosmos DB-accountgegevens.
Meer informatie vindt u in Overview van Microsoft Defender voor Azure Cosmos DB.
We introduceren ook een nieuwe activeringservaring voor databasebeveiliging. U kunt nu Microsoft Defender voor Cloud beveiliging inschakelen voor uw abonnement om alle databasetypen te beveiligen, zoals Azure Cosmos DB, Azure SQL Database, Azure SQL servers op computers en Microsoft Defender voor opensource-relationele databases via één activeringsproces. Specifieke resourcetypen kunnen worden opgenomen of uitgesloten door uw plan te configureren.
Meer informatie over het inschakelen van uw databasebeveiliging op abonnementsniveau.
Bedreigingsbeveiliging voor GKE-clusters (Google Kubernetes Engine)
Na onze recente aankondiging Native CSPM for GCP and threat protection for GCP compute instances, Microsoft Defender for Containers heeft de Kubernetes threat protection, gedragsanalyses en ingebouwde toegangsbeheerbeleidsregels uitgebreid naar GKE Standard-clusters (Kubernetes Engine) van Google. U kunt eenvoudig bestaande of nieuwe GKE Standard-clusters in uw omgeving onboarden via onze mogelijkheden voor automatische onboarding. Bekijk Containerbeveiliging met Microsoft Defender voor Cloud voor een volledige lijst met beschikbare functies.
Januari 2022
Updates in januari zijn onder andere:
Microsoft Defender voor Resource Manager bijgewerkt met nieuwe waarschuwingen en meer nadruk op risicovolle bewerkingen die zijn toegewezen aan MITRE ATT& CK® Matrix - Aanbevelingen voor het inschakelen van plannen in Microsoft Defender op werkruimten (in preview)
- Autoprovision Log Analytics-agent voor Azure Arc ingeschakelde machines (preview)
- De aanbeveling voor het classificeren van gevoelige gegevens in SQL-databases afgeschaft
- Communicatie met verdachte domeinwaarschuwing uitgebreid naar bekende Log4Shell-gerelateerde domeinen
- De knop Waarschuwings-JSON kopiëren die is toegevoegd aan het detailvenster voor beveiligingswaarschuwingen
- Naam van twee aanbevelingen gewijzigd
- Kubernetes-clustercontainers moeten alleen luisteren naar beleid voor toegestane poorten
- Werkmap Actieve waarschuwingen toegevoegd
- Aanbeveling 'Systeemupdate' toegevoegd aan de overheidscloud
Microsoft Defender voor Resource Manager bijgewerkt met nieuwe waarschuwingen en meer nadruk op bewerkingen met een hoog risico die zijn toegewezen aan MITRE ATT& CK® Matrix
De cloudbeheerlaag is een cruciale service die is verbonden met al uw cloudresources. Daarom is het ook een potentieel doelwit voor aanvallers. We raden beveiligingsteams aan om de resourcebeheerlaag nauwkeurig te bewaken.
Microsoft Defender voor Resource Manager controleert automatisch de resourcebeheerbewerkingen in uw organisatie, ongeacht of deze worden uitgevoerd via de Azure-portal, Azure REST API's, Azure CLI of andere programmatische Azure-clients. Defender voor Cloud voert geavanceerde beveiligingsanalyses uit om bedreigingen te detecteren en u te waarschuwen over verdachte activiteiten.
De beveiligingen van het plan verbeteren de tolerantie van een organisatie aanzienlijk tegen aanvallen van bedreigingsactoren en verhogen het aantal Azure resources dat wordt beschermd door Defender voor Cloud.
In december 2020 hebben we de preview van Defender geïntroduceerd voor Resource Manager en in mei 2021 werd het plan uitgebracht voor algemene beschikbaarheid.
Met deze update hebben we de focus van de Microsoft Defender voor Resource Manager plan uitgebreid herzien. Het bijgewerkte plan bevat veel nieuwe waarschuwingen die zijn gericht op het identificeren van verdachte aanroep van bewerkingen met een hoog risico. Deze nieuwe waarschuwingen bieden uitgebreide bewaking voor aanvallen in de volledigeMITRE ATT&CK-matrix® voor cloudtechnieken.
Deze matrix omvat het volgende bereik van mogelijke intenties van bedreigingsactoren die mogelijk gericht zijn op de resources van uw organisatie: eerste toegang, uitvoering, persistentie, escalatie van bevoegdheden, verdedigingsontduiking, referentietoegang, detectie, laterale verplaatsing, verzameling, exfiltratie en impact.
De nieuwe waarschuwingen voor dit Defender plan hebben betrekking op deze intenties, zoals wordt weergegeven in de volgende tabel.
Tip
Deze waarschuwingen worden ook weergegeven op de referentiepagina voor waarschuwingen.
| Waarschuwing (waarschuwingstype) | Description | MITRE-tactieken (intenties) | Severity |
|---|---|---|---|
|
Suspicious invocation of a high-risk 'Initial Access' operation detected (preview) (ARM_AnomalousOperation.InitialAccess) |
Microsoft Defender voor Resource Manager een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om toegang te krijgen tot beperkte resources. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders efficiënt toegang hebben tot hun omgevingen. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om in eerste instantie toegang te krijgen tot beperkte resources in uw omgeving. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen. | Eerste toegang | Medium |
|
Suspicious invocation of a high-risk 'Execution' operation detected (preview) (ARM_AnomalousOperation.Execution) |
Microsoft Defender voor Resource Manager een verdachte aanroep van een bewerking met een hoog risico geïdentificeerd op een computer in uw abonnement. Dit kan duiden op een poging om code uit te voeren. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken voor toegang tot beperkte referenties en inbreuk maken op resources in uw omgeving. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen. | Execution | Medium |
|
Suspicious invocation of a high-risk 'Persistence' operation detected (preview) (ARM_AnomalousOperation.Persistence) |
Microsoft Defender voor Resource Manager een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om persistentie vast te stellen. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om persistentie in uw omgeving tot stand te brengen. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen. | Persistence | Medium |
|
Suspicious invocation of a high-risk 'Privilege Escalation' operation detected (preview) (ARM_AnomalousOperation.PrivilegeEscalation) |
Microsoft Defender voor Resource Manager een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om bevoegdheden te escaleren. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om bevoegdheden te escaleren terwijl resources in uw omgeving in gevaar komen. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen. | Escalatie van bevoegdheden | Medium |
|
Suspicious invocation of a high-risk 'Defense Evasion' operation detected (preview) (ARM_AnomalousOperation.DefenseEvasion) |
Microsoft Defender voor Resource Manager een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd, wat kan duiden op een poging om verdediging te omzeilen. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders de beveiligingspostuur van hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om te voorkomen dat deze worden gedetecteerd terwijl resources in uw omgeving in gevaar komen. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen. | Verdedigingsontduiking | Medium |
|
Suspicious invocation of a high-risk 'Credential Access' operation detected (preview) (ARM_AnomalousOperation.CredentialAccess) |
Microsoft Defender voor Resource Manager een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om toegang te krijgen tot referenties. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders efficiënt toegang hebben tot hun omgevingen. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken voor toegang tot beperkte referenties en inbreuk maken op resources in uw omgeving. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen. | Referentietoegang | Medium |
|
Suspicious invocation of a high-risk 'Lateral Movement' operation detected (preview) (ARM_AnomalousOperation.LateralMovement) |
Microsoft Defender voor Resource Manager een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd, wat kan duiden op een poging om laterale verplaatsing uit te voeren. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om extra resources in uw omgeving te compromitteren. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen. | Zijwaartse beweging | Medium |
|
Suspicious invocation of a high-risk 'Data Collection' operation detected (preview) (ARM_AnomalousOperation.Collection) |
Microsoft Defender voor Resource Manager een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd, wat kan duiden op een poging om gegevens te verzamelen. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om gevoelige gegevens over resources in uw omgeving te verzamelen. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen. | Collection | Medium |
|
Suspicious invocation of a high-risk 'Impact' operation detected (preview) (ARM_AnomalousOperation.Impact) |
Microsoft Defender voor Resource Manager een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging tot configuratiewijziging. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken voor toegang tot beperkte referenties en inbreuk maken op resources in uw omgeving. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen. | Impact | Medium |
Bovendien zijn deze twee waarschuwingen van dit plan uit de preview-fase gekomen:
| Waarschuwing (waarschuwingstype) | Description | MITRE-tactieken (intenties) | Severity |
|---|---|---|---|
|
Azure Resource Manager bewerking vanaf verdacht IP-adres (ARM_OperationFromSuspiciousIP) |
Microsoft Defender voor Resource Manager een bewerking gedetecteerd vanaf een IP-adres dat is gemarkeerd als verdacht in feeds voor bedreigingsinformatie. | Execution | Medium |
|
Azure Resource Manager bewerking vanaf verdacht IP-adres van proxy (ARM_OperationFromSuspiciousProxyIP) |
Microsoft Defender voor Resource Manager een resourcebeheerbewerking gedetecteerd van een IP-adres dat is gekoppeld aan proxyservices, zoals TOR. Hoewel dit gedrag legitiem kan zijn, wordt dit vaak gezien in schadelijke activiteiten, wanneer bedreigingsactoren proberen hun bron-IP te verbergen. | Verdedigingsontduiking | Medium |
Aanbevelingen voor het inschakelen van Microsoft Defender plannen voor werkruimten (in preview)
Als u wilt profiteren van alle beveiligingsfuncties die beschikbaar zijn in Microsoft Defender voor Servers en Microsoft Defender voor SQL op machines, moeten de plannen zijn ingeschakeld op both het abonnement en de werkruimteniveaus.
Wanneer een machine deel uitmaakt van een abonnement waarvoor een van deze abonnementen is ingeschakeld, wordt u gefactureerd voor de volledige beveiliging. Als die machine echter rapporteert aan een werkruimte zonder dat het plan is ingeschakeld, ontvangt u deze voordelen niet.
We hebben twee aanbevelingen toegevoegd waarmee werkruimten worden gemarkeerd zonder dat deze plannen zijn ingeschakeld, maar dat er machines zijn die aan hen rapporteren vanuit abonnementen waarvoor het plan wel is ingeschakeld.
De twee aanbevelingen, die beide geautomatiseerd herstel bieden (de actie Herstellen), zijn:
| Recommendation | Description | Severity |
|---|---|---|
| Microsoft Defender voor servers moet zijn ingeschakeld voor werkruimten | Microsoft Defender voor Servers biedt bedreigingsdetectie en geavanceerde verdediging voor uw Windows- en Linux-machines. Als dit Defender abonnement is ingeschakeld voor uw abonnementen, maar niet in uw werkruimten, betaalt u voor de volledige mogelijkheid van Microsoft Defender voor servers, maar mist u enkele voordelen. Wanneer u Microsoft Defender inschakelt voor Servers in een werkruimte, worden alle computers die aan die werkruimte rapporteren gefactureerd voor Microsoft Defender voor Servers, zelfs als ze in abonnementen zijn zonder Defender abonnementen ingeschakeld. Tenzij u ook Microsoft Defender inschakelt voor servers in het abonnement, kunnen deze machines niet profiteren van Just-In-Time-VM-toegang, adaptieve toepassingsregelaars en netwerkdetecties voor Azure resources. Meer informatie vindt u in Overview van Microsoft Defender voor Servers. (Geen gerelateerd beleid) |
Medium |
| Microsoft Defender voor SQL op machines moet zijn ingeschakeld voor werkruimten | Microsoft Defender voor Servers biedt bedreigingsdetectie en geavanceerde verdediging voor uw Windows- en Linux-machines. Als dit Defender abonnement is ingeschakeld voor uw abonnementen, maar niet in uw werkruimten, betaalt u voor de volledige mogelijkheid van Microsoft Defender voor servers, maar mist u enkele voordelen. Wanneer u Microsoft Defender inschakelt voor Servers in een werkruimte, worden alle computers die aan die werkruimte rapporteren gefactureerd voor Microsoft Defender voor Servers, zelfs als ze in abonnementen zijn zonder Defender abonnementen ingeschakeld. Tenzij u ook Microsoft Defender inschakelt voor servers in het abonnement, kunnen deze machines niet profiteren van Just-In-Time-VM-toegang, adaptieve toepassingsregelaars en netwerkdetecties voor Azure resources. Meer informatie vindt u in Overview van Microsoft Defender voor Servers. (Geen gerelateerd beleid) |
Medium |
Automatische inrichting van Log Analytics-agent voor Azure Arc ingeschakelde machines (preview)
Defender voor Cloud gebruikt de Log Analytics-agent om beveiligingsgegevens van computers te verzamelen. De agent leest verschillende beveiligingsconfiguraties en gebeurtenislogboeken en kopieert de gegevens naar uw werkruimte voor analyse.
de instellingen voor automatische inrichting van Defender voor Cloud hebben een wisselknop voor elk type ondersteunde extensie, inclusief de Log Analytics-agent.
In een verdere uitbreiding van onze hybride cloudfuncties hebben we een optie toegevoegd om de Log Analytics-agent automatisch in te richten op machines die zijn verbonden met Azure Arc.
Net als bij de andere opties voor automatisch inrichten, wordt dit geconfigureerd op abonnementsniveau.
Wanneer u deze optie inschakelt, wordt u gevraagd om de werkruimte.
Note
Voor deze preview kunt u niet de standaardwerkruimte selecteren die is gemaakt door Defender voor Cloud. Om ervoor te zorgen dat u de volledige set beveiligingsfuncties ontvangt die beschikbaar zijn voor de servers met Azure Arc, controleert u of de relevante beveiligingsoplossing is geïnstalleerd in de geselecteerde werkruimte.
De aanbeveling voor het classificeren van gevoelige gegevens in SQL-databases afgeschaft
We hebben de aanbeveling Sensitieve gegevens in uw SQL-databases verwijderd, moeten worden geclassificeerd als onderdeel van een revisie van de wijze waarop Defender voor Cloud gevoelige datum in uw cloudresources identificeert en beveiligt.
In de Aankomende wijzigingen op Microsoft Defender voor Cloud pagina zijn de voorafgaande kennisgeving van deze wijziging verschenen voor de afgelopen zes maanden.
Communicatie met verdachte domeinwaarschuwing uitgebreid naar bekende Log4Shell-gerelateerde domeinen
De volgende waarschuwing was eerder alleen beschikbaar voor organisaties die het Microsoft Defender voor DNS-abonnement hadden ingeschakeld.
Met deze update wordt de waarschuwing ook weergegeven voor abonnementen met de Microsoft Defender voor Servers of Defender voor App Service-abonnement ingeschakeld.
Bovendien heeft Microsoft Threat Intelligence de lijst met bekende schadelijke domeinen uitgebreid met domeinen die zijn gekoppeld aan het misbruiken van de algemeen openbare beveiligingsproblemen die zijn gekoppeld aan Log4j.
| Waarschuwing (waarschuwingstype) | Description | MITRE-tactieken | Severity |
|---|---|---|---|
|
Communicatie met verdacht domein geïdentificeerd door bedreigingsinformatie (AzureDNS_ThreatIntelSuspectDomain) |
Communicatie met verdacht domein is gedetecteerd door DNS-transacties van uw resource te analyseren en te vergelijken met bekende schadelijke domeinen die worden geïdentificeerd door feeds voor bedreigingsinformatie. Communicatie met schadelijke domeinen wordt vaak uitgevoerd door aanvallers en kan betekenen dat uw resource wordt aangetast. | Initiële toegang/persistentie/uitvoering/opdracht en beheer/exploitatie | Medium |
De knop Waarschuwings-JSON kopiëren die is toegevoegd aan het detailvenster voor beveiligingswaarschuwingen
Om onze gebruikers te helpen snel de details van een waarschuwing met anderen te delen (bijvoorbeeld SOC-analisten, resource-eigenaren en ontwikkelaars) hebben we de mogelijkheid toegevoegd om eenvoudig alle details van een specifieke waarschuwing te extraheren met één knop uit het detailvenster van de beveiligingswaarschuwing.
Met de nieuwe JSON-knop Waarschuwing kopiëren worden de details van de waarschuwing in JSON-indeling op het klembord van de gebruiker geplaatst.
Naam van twee aanbevelingen gewijzigd
Voor consistentie met andere aanbevelingsnamen hebben we de volgende twee aanbevelingen gewijzigd:
Aanbeveling om beveiligingsproblemen op te lossen die zijn gedetecteerd bij het uitvoeren van containerinstallatiekopieën
- Vorige naam: Beveiligingsproblemen in het uitvoeren van containerinstallatiekopieën moeten worden hersteld (mogelijk gemaakt door Qualys)
- Nieuwe naam: bij het uitvoeren van containerinstallatiekopieën moeten beveiligingsproblemen zijn opgelost
Aanbeveling voor het inschakelen van diagnostische logboeken voor Azure App Service
- Vorige naam: Diagnostische logboeken moeten zijn ingeschakeld in App Service
- Nieuwe naam: Diagnostische logboeken in App Service moeten zijn ingeschakeld
Kubernetes-clustercontainers moeten alleen luisteren naar beleid voor toegestane poorten
De Kubernetes-clustercontainers moeten alleen luisteren naar de aanbeveling voor toegestane poorten .
| Beleidsnaam | Description | Effect(s) | Version |
|---|---|---|---|
| Kubernetes-clustercontainers mogen alleen luisteren op toegestane poorten | Beperk containers om alleen te luisteren op toegestane poorten om de toegang tot het Kubernetes-cluster te beveiligen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor AKS Engine en Azure Arc ingeschakelde Kubernetes. Zie Onderstand-Azure Policy voor Kubernetes-clusters voor meer informatie. | controleren, weigeren, uitgeschakeld | 6.1.2 |
De Services moeten luisteren naar toegestane poorten , maar alleen aanbevelingen moeten worden gebruikt om poorten te beperken die een toepassing beschikbaar maakt voor internet.
Werkmap Actieve waarschuwing toegevoegd
Om onze gebruikers te helpen bij het begrijpen van de actieve bedreigingen voor hun omgevingen en prioriteit te geven tussen actieve waarschuwingen tijdens het herstelproces, hebben we de werkmap Actieve waarschuwingen toegevoegd.
Met de werkmap actieve waarschuwingen kunnen gebruikers een geïntegreerd dashboard van hun samengevoegde waarschuwingen weergeven op ernst, type, tag, MITRE ATT&CK-tactiek en locatie. Meer informatie vindt u in de werkmap Actieve waarschuwingen gebruiken.
Aanbeveling 'Systeemupdate' toegevoegd aan de overheidscloud
De aanbeveling 'Systeemupdates moeten worden geïnstalleerd op uw computers' is nu beschikbaar in alle overheidsclouds.
De kans is groot dat deze wijziging van invloed is op de beveiligingsscore van uw cloudabonnement voor uw overheid. We verwachten dat de wijziging leidt tot een verminderde score, maar het is mogelijk dat de opname van de aanbeveling in sommige gevallen tot een hogere score kan leiden.
December 2021
Updates in december omvatten:
- Microsoft Defender for Containers-plan uitgebracht voor algemene beschikbaarheid (GA)
- Nieuwe waarschuwingen voor Microsoft Defender voor Opslag die zijn uitgebracht voor algemene beschikbaarheid (GA)
- Improvements to alerts for Microsoft Defender for Storage
- Waarschuwing 'PortSweeping' verwijderd uit netwerklaagwaarschuwingen
Microsoft Defender voor containers-abonnement uitgebracht voor algemene beschikbaarheid (GA)
Meer dan twee jaar geleden hebben we Defender geïntroduceerd voor Kubernetes en Defender voor containerregisters als onderdeel van de Azure Defender-aanbieding binnen Microsoft Defender voor Cloud.
Met de release van Microsoft Defender for Containers hebben we deze twee bestaande Defender-abonnementen samengevoegd.
Het nieuwe plan:
- Combineert de functies van de twee bestaande plannen : bedreigingsdetectie voor Kubernetes-clusters en evaluatie van beveiligingsproblemen voor installatiekopieën die zijn opgeslagen in containerregisters
- Nieuwe en verbeterde functies , waaronder ondersteuning voor meerdere clouds, detectie van bedreigingen op hostniveau met meer dan zestig nieuwe Kubernetes-bewuste analyses en evaluatie van beveiligingsproblemen voor het uitvoeren van installatiekopieën
- Introduceert systeemeigen onboarding van Kubernetes op schaal. Wanneer u het plan inschakelt, worden standaard alle relevante onderdelen geconfigureerd om automatisch te worden geïmplementeerd
Met deze release is de beschikbaarheid en presentatie van Defender voor Kubernetes en Defender voor containerregisters als volgt gewijzigd:
- Nieuwe abonnementen: de twee vorige containerplannen zijn niet meer beschikbaar
- Bestaande abonnementen: waar ze ook worden weergegeven in de Azure-portal, de plannen worden weergegeven als Afgeschaft met instructies voor het upgraden naar het nieuwere abonnement
Het nieuwe abonnement is gratis voor de maand december 2021. Zie Introducing Microsoft Defender for Containers voor meer informatie over de mogelijke wijzigingen in de facturering van de oude abonnementen naar Defender voor containers.
Zie voor meer informatie:
- Overview van Microsoft Defender voor containers
- Enable Microsoft Defender for Containers
- Introducing Microsoft Defender for Containers - Microsoft Tech Community
- Microsoft Defender voor containers | Defender voor Cloud in het veld #3 - YouTube
Nieuwe waarschuwingen voor Microsoft Defender voor Opslag die zijn uitgebracht voor algemene beschikbaarheid (GA)
Bedreigingsactoren gebruiken hulpprogramma's en scripts om te scannen op openbaar geopende containers in de hoop dat er onjuist geconfigureerde open opslagcontainers met gevoelige gegevens worden gevonden.
Microsoft Defender voor Storage detecteert deze scanners, zodat u deze kunt blokkeren en uw houding kunt herstellen.
De preview-waarschuwing die heeft gedetecteerd, heet 'Anonieme scan van openbare opslagcontainers'. Om meer duidelijkheid te bieden over de gedetecteerde verdachte gebeurtenissen, hebben we dit onderverdeeld in twee nieuwe waarschuwingen. Deze waarschuwingen zijn alleen relevant voor Azure Blob Storage.
We hebben de detectielogica verbeterd, de metagegevens van de waarschuwing bijgewerkt en de naam en het waarschuwingstype gewijzigd.
Dit zijn de nieuwe waarschuwingen:
| Waarschuwing (waarschuwingstype) | Description | MITRE-tactiek | Severity |
|---|---|---|---|
|
Openbaar toegankelijke opslagcontainers gedetecteerd (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
Een geslaagde detectie van openbaar geopende opslagcontainers in uw opslagaccount is in het afgelopen uur uitgevoerd door een scanscript of hulpprogramma. Dit duidt meestal op een reconnaissance-aanval, waarbij de bedreigingsacteur probeert blobs weer te geven door containernamen te raden, in de hoop dat verkeerd geconfigureerde open opslagcontainers met gevoelige gegevens erin worden gevonden. De bedreigingsacteur kan hun eigen script gebruiken of bekende scanhulpprogramma's zoals Microburst gebruiken om te scannen op openbaar geopende containers. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | Medium |
|
Openbaar toegankelijke opslagcontainers zijn niet gescand (Storage.Blob_OpenContainersScanning.FailedAttempt) |
Het afgelopen uur is een reeks mislukte pogingen uitgevoerd om te scannen op openbaar geopende opslagcontainers. Dit duidt meestal op een reconnaissance-aanval, waarbij de bedreigingsacteur probeert blobs weer te geven door containernamen te raden, in de hoop dat verkeerd geconfigureerde open opslagcontainers met gevoelige gegevens erin worden gevonden. De bedreigingsacteur kan hun eigen script gebruiken of bekende scanhulpprogramma's zoals Microburst gebruiken om te scannen op openbaar geopende containers. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | Low |
Zie voor meer informatie:
- Bedreigingsmatrix voor opslagservices
- Overview van Microsoft Defender voor Storage
- Lijst met waarschuwingen van Microsoft Defender voor Storage
Verbeteringen in waarschuwingen voor Microsoft Defender voor Opslag
De eerste toegangswaarschuwingen hebben nu een verbeterde nauwkeurigheid en meer gegevens ter ondersteuning van onderzoek.
Bedreigingsactoren gebruiken verschillende technieken in de eerste toegang om een voet aan de grond te krijgen binnen een netwerk. Twee van de Microsoft Defender voor Storage-waarschuwingen die gedragsafwijkingen in deze fase detecteren, hebben nu verbeterde detectielogica en aanvullende gegevens ter ondersteuning van onderzoeken.
Als u automatiseringen hebt geconfigureerd of regels voor waarschuwingsonderdrukking hebt gedefinieerd voor deze waarschuwingen in het verleden, werkt u deze bij overeenkomstig deze wijzigingen.
Toegang detecteren vanaf een Tor-afsluitknooppunt
Toegang vanaf een Tor-afsluitknooppunt kan duiden op een bedreigingsacteur die zijn identiteit probeert te verbergen.
De waarschuwing is nu afgestemd om alleen te genereren voor geverifieerde toegang, wat resulteert in een hogere nauwkeurigheid en betrouwbaarheid dat de activiteit schadelijk is. Deze verbetering vermindert de goedaardige positieve snelheid.
Een outlying-patroon heeft een hoge ernst, terwijl minder afwijkende patronen een gemiddelde ernst hebben.
De naam en beschrijving van de waarschuwing zijn bijgewerkt. Het AlertType blijft ongewijzigd.
- Waarschuwingsnaam (oud): Toegang van een Tor-afsluitknooppunt naar een opslagaccount
- Waarschuwingsnaam (nieuw): Geverifieerde toegang vanaf een Tor-afsluitknooppunt
- Waarschuwingstypen: Storage.Blob_TorAnomaly/Storage.Files_TorAnomaly
- Beschrijving: Een of meer opslagcontainers/bestandsshares in uw opslagaccount zijn geopend vanaf een IP-adres dat bekend staat als een actief afsluitknooppunt van Tor (een geanonimiseerde proxy). Bedreigingsactoren gebruiken Tor om het moeilijk te maken om de activiteit naar hen terug te traceren. Geverifieerde toegang vanaf een Tor-afsluitknooppunt is waarschijnlijk een indicatie dat een bedreigingsacteur zijn identiteit probeert te verbergen. Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
- MITRE-tactiek: Initiële toegang
- Ernst: hoog/gemiddeld
Ongebruikelijke niet-geverifieerde toegang
Een wijziging in toegangspatronen kan erop wijzen dat een bedreigings actor openbare leestoegang tot opslagcontainers kan benutten door misbruik te maken van een fout in toegangsconfiguraties of door de toegangsmachtigingen te wijzigen.
Deze waarschuwing voor gemiddelde ernst is nu afgestemd op verbeterde gedragslogica, hogere nauwkeurigheid en betrouwbaarheid dat de activiteit schadelijk is. Deze verbetering vermindert de goedaardige positieve snelheid.
De naam en beschrijving van de waarschuwing zijn bijgewerkt. Het AlertType blijft ongewijzigd.
- Waarschuwingsnaam (oud): Anonieme toegang tot een opslagaccount
- Waarschuwingsnaam (nieuw): Ongebruikelijke niet-geverifieerde toegang tot een opslagcontainer
- Waarschuwingstypen: Storage.Blob_AnonymousAccessAnomaly
- Beschrijving: Dit opslagaccount is geopend zonder verificatie. Dit is een wijziging in het algemene toegangspatroon. Leestoegang tot deze container wordt meestal geverifieerd. Dit kan erop wijzen dat een bedreigings actor openbare leestoegang tot opslagcontainer(s) in deze opslagaccount(s) kan benutten. Van toepassing op: Azure Blob Storage
- MITRE-tactiek: Verzameling
- Ernst: gemiddeld
Zie voor meer informatie:
- Bedreigingsmatrix voor opslagservices
- Inleiding tot Microsoft Defender voor Storage
- Lijst met waarschuwingen van Microsoft Defender voor Storage
Waarschuwing 'PortSweeping' verwijderd uit netwerklaagwaarschuwingen
De volgende waarschuwing is verwijderd uit onze netwerklaagwaarschuwingen vanwege inefficiëntie:
| Waarschuwing (waarschuwingstype) | Description | MITRE-tactieken | Severity |
|---|---|---|---|
|
Possible outgoing port scanning activity detected (Mogelijke activiteit voor het scannen van uitgaande poorten gedetecteerd) (PortSweeping) |
Analyse van netwerkverkeer heeft aangetoond dat er verdacht uitgaand verkeer afkomstig is van %{Compromised Host}. Dit verkeer kan het gevolg zijn van een poortscanactiviteit. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte uitgaande verkeer afkomstig van een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). Als dit gedrag opzettelijk is, moet u er rekening mee houden dat het scannen van poorten in strijd is met Azure servicevoorwaarden. Als dit gedrag onbedoeld is, kan dit betekenen dat uw resource is aangetast. | Discovery | Medium |
November 2021
Onze Ignite-release omvat:
- Azure Security Center en Azure Defender worden Microsoft Defender voor Cloud
- Systeemeigen CSPM voor AWS en bedreigingsbeveiliging voor Amazon EKS en AWS EC2
- Prioritize security actions by data sensitivity (powered by Microsoft Purview) (in preview)
- Expanded security control assessments with Azure Security Benchmark v3
- Microsoft Sentinel connector optionele bidirectionele waarschuwingssynchronisatie uitgebracht voor algemene beschikbaarheid (GA)
Nieuwe aanbeveling om Azure Kubernetes Service (AKS) logboeken naar Microsoft Sentinel - Aanbevelingen die zijn toegewezen aan het MITRE ATT&CK-framework® - uitgebracht voor algemene beschikbaarheid (GA)
Andere wijzigingen in november zijn:
- Microsoft Bedreigings- en beveiligingsproblemenbeheer toegevoegd als oplossing voor evaluatie van beveiligingsproblemen, uitgebracht voor algemene beschikbaarheid
- Microsoft Defender voor Eindpunt voor Linux nu ondersteund door Microsoft Defender voor servers- uitgebracht voor algemene beschikbaarheid (GA)
- Momentopname exporteren voor aanbevelingen en beveiligingsresultaten (in preview)
- Automatische inrichting van oplossingen voor evaluatie van beveiligingsproblemen die zijn uitgebracht voor algemene beschikbaarheid (GA)
- Software-inventarisfilters in assetinventaris die zijn vrijgegeven voor algemene beschikbaarheid (GA)
- Nieuw AKS-beveiligingsbeleid toegevoegd aan standaardinitiatief - preview
- Inventarisweergave van on-premises machines past een andere sjabloon toe voor de resourcenaam
Azure Security Center en Azure Defender worden Microsoft Defender voor Cloud
Volgens het rapport 2021 State of the Cloud hebben 92% van de organisaties nu een strategie voor meerdere clouds. Op Microsoft is het ons doel om de beveiliging in omgevingen te centraliseren en beveiligingsteams te helpen effectiever te werken.
Microsoft Defender voor Cloud is een CSPM-oplossing (Cloud Security Posture Management) en CWPP -oplossing (Cloud Workload Protection Platform) die zwakke plekken in uw cloudconfiguratie detecteert, helpt de algehele beveiligingspostuur van uw omgeving te versterken en workloads in meerdere cloud- en hybride omgevingen te beschermen.
Bij Ignite 2019 hebben we onze visie gedeeld om de meest complete benadering te creëren voor het beveiligen van uw digitale activa en het integreren van XDR-technologieën onder het merk Microsoft Defender. Het samenvoegen van Azure Security Center en Azure Defender onder de nieuwe naam Microsoft Defender voor Cloud weerspiegelt de geïntegreerde mogelijkheden van ons beveiligingsaanbod en onze mogelijkheid om elk cloudplatform te ondersteunen.
Systeemeigen CSPM voor AWS en bedreigingsbeveiliging voor Amazon EKS en AWS EC2
Een nieuwe pagina met omgevingsinstellingen biedt meer zichtbaarheid en controle over uw beheergroepen, abonnementen en AWS-accounts. De pagina is ontworpen om AWS-accounts op schaal te onboarden: verbind uw AWS-beheeraccount en u gaat automatisch bestaande en toekomstige accounts onboarden.
Wanneer u uw AWS-accounts hebt toegevoegd, beveiligt Defender voor Cloud uw AWS-resources met een of meer van de volgende abonnementen:
- Defender voor Cloud cspm-functies uitbreiden naar uw AWS-resources. Dit plan zonder agent evalueert uw AWS-resources op basis van aws-specifieke beveiligingsaanbevelingen en deze zijn opgenomen in uw beveiligingsscore. De resources worden ook beoordeeld op naleving van ingebouwde standaarden die specifiek zijn voor AWS (AWS CIS, AWS PCI DSS en AWS Foundational Security Best Practices). de inventarispagina van Defender voor Cloud asset is een functie met meerdere clouds waarmee u uw AWS-resources naast uw Azure resources kunt beheren.
- Microsoft Defender voor Kubernetes breidt de detectie van containerbedreigingen en geavanceerde verdediging uit naar uw Amazon EKS Linux-clusters.
- Microsoft Defender voor servers brengt bedreigingsdetectie en geavanceerde verdediging naar uw Windows- en Linux EC2-exemplaren. Dit plan omvat de geïntegreerde licentie voor Microsoft Defender voor Eindpunt, beveiligingsbasislijnen en evaluaties op besturingssysteemniveau, scannen op evaluatie van beveiligingsproblemen, adaptieve toepassingsregelaars (AAC), bewaking van bestandsintegriteit (FIM) en meer.
Meer informatie over connecting van uw AWS-accounts met Microsoft Defender voor Cloud.
Prioriteit geven aan beveiligingsacties op basis van gegevensgevoeligheid (mogelijk gemaakt door Microsoft Purview) (in preview)
Gegevensbronnen blijven een populair doelwit voor bedreigingsactoren. Het is dus van cruciaal belang dat beveiligingsteams gevoelige gegevensresources in hun cloudomgevingen identificeren, prioriteren en beveiligen.
Om deze uitdaging aan te pakken, integreert Microsoft Defender voor Cloud nu vertrouwelijkheidsinformatie van Microsoft Purview. Microsoft Purview is een geïntegreerde service voor gegevensbeheer die uitgebreide inzichten biedt in de gevoeligheid van uw gegevens binnen meerdere clouds en on-premises workloads.
De integratie met Microsoft Purview breidt uw zichtbaarheid van beveiliging uit in Defender voor Cloud van het infrastructuurniveau tot aan de gegevens, waardoor een geheel nieuwe manier wordt ingeschakeld om prioriteit te geven aan resources en beveiligingsactiviteiten voor uw beveiligingsteams.
Meer informatie over beveiligingsacties prioriteren op basis van gegevensgevoeligheid.
Uitgebreide evaluaties van beveiligingsbeheer met Azure Security Benchmark v3
Aanbevelingen voor beveiliging in Defender voor Cloud worden ondersteund door de Azure Security Benchmark.
Azure Security Benchmark is de door Microsoft geschreven, Azure specifieke set richtlijnen voor aanbevolen beveiligings- en nalevingsprocedures op basis van algemene nalevingsframeworks. Deze algemeen gerespecteerde benchmark bouwt voort op de controles van het Center for Internet Security (CIS) en het National Institute of Standards and Technology (NIST) met een focus op cloudgerichte beveiliging.
Vanuit Ignite 2021 is Azure Security Benchmark v3 beschikbaar in Defender voor Cloud dashboard voor naleving van regelgeving en ingeschakeld als het nieuwe standaardinitiatief voor alle Azure abonnementen die zijn beveiligd met Microsoft Defender voor Cloud.
Verbeteringen voor v3 zijn onder andere:
Aanvullende toewijzingen aan brancheframeworks PCI-DSS v3.2.1 en CIS Controls v8.
Meer gedetailleerde en bruikbare richtlijnen voor besturingselementen met de introductie van:
- Beveiligingsprincipes : inzicht geven in de algemene beveiligingsdoelstellingen die de basis vormen voor onze aanbevelingen.
- Azure Guidance - De technische instructies voor het voldoen aan deze doelstellingen.
Nieuwe besturingselementen omvatten DevOps-beveiliging voor problemen zoals threat modeling en beveiliging van software-toeleveringsketens, evenals sleutel- en certificaatbeheer voor best practices in Azure.
Meer informatie vindt u in Inleiding tot Azure Security Benchmark.
Microsoft Sentinel connector optionele bidirectionele waarschuwingssynchronisatie uitgebracht voor algemene beschikbaarheid (GA)
In juli heeft we aangekondigd een preview-functie, bidirectionele waarschuwingssynchronisatie voor de ingebouwde connector in Microsoft Sentinel (cloudeigen SIEM- en SOAR-oplossing van Microsoft). Deze functie is nu beschikbaar voor algemene beschikbaarheid (GA).
Wanneer u Microsoft Defender voor Cloud verbindt met Microsoft Sentinel, wordt de status van beveiligingswaarschuwingen gesynchroniseerd tussen de twee services. Als een waarschuwing bijvoorbeeld wordt gesloten in Defender voor Cloud, wordt die waarschuwing ook weergegeven als gesloten in Microsoft Sentinel. Het wijzigen van de status van een waarschuwing in Defender voor Cloud heeft geen invloed op de status van een Microsoft Sentinel incidenten die de gesynchroniseerde Microsoft Sentinel-waarschuwing bevatten, alleen die van de gesynchroniseerde waarschuwing zelf.
Wanneer u bidirectionele waarschuwingssynchronisatie inschakelt, synchroniseert u automatisch de status van de oorspronkelijke Defender voor Cloud waarschuwingen met Microsoft Sentinel incidenten die de kopieën van deze waarschuwingen bevatten. Wanneer bijvoorbeeld een Microsoft Sentinel incident met een Defender voor Cloud waarschuwing wordt gesloten, sluit Defender voor Cloud automatisch de bijbehorende oorspronkelijke waarschuwing.
Meer informatie vindt u in Connect Azure Defender alerts from Azure Security Center and Stream alerts to Microsoft Sentinel.
Nieuwe aanbeveling voor het pushen van Azure Kubernetes Service (AKS) logboeken naar Microsoft Sentinel
In een verdere verbetering van de gecombineerde waarde van Defender voor Cloud en Microsoft Sentinel, markeren we nu Azure Kubernetes Service exemplaren die geen logboekgegevens naar Microsoft Sentinel verzenden.
SecOps-teams kunnen de relevante Microsoft Sentinel werkruimte rechtstreeks kiezen vanaf de pagina met aanbevelingsgegevens en direct het streamen van onbewerkte logboeken inschakelen. Dankzij deze naadloze verbinding tussen de twee producten kunnen beveiligingsteams eenvoudig de volledige dekking van logboekregistratie voor hun workloads garanderen, zodat ze hun volledige omgeving kunnen blijven gebruiken.
De nieuwe aanbeveling 'Diagnostische logboeken in Kubernetes-services moeten worden ingeschakeld' bevat de optie Herstellen voor snellere herstel.
We hebben ook de aanbeveling 'Controle op SQL Server moet worden ingeschakeld' verbeterd met dezelfde Microsoft Sentinel streamingmogelijkheden.
Aanbevelingen die zijn toegewezen aan het MITRE ATT&CK-framework® - uitgebracht voor algemene beschikbaarheid (GA)
We hebben de beveiligingsaanbeveling van Defender voor Cloud verbeterd om hun positie op de MITRE ATT & weer te geven CK-framework®. Deze wereldwijd toegankelijke knowledge base van tactieken en technieken van bedreigingsactoren op basis van praktijkobservaties biedt meer context om u inzicht te geven in de bijbehorende risico's van de aanbevelingen voor uw omgeving.
U vindt deze tactieken waar u ook toegang hebt tot aanbevelingsgegevens:
Azure Resource Graph queryresultaten voor relevante aanbevelingen zijn de MITRE ATT& CK-tactieken® en -technieken.Pagina's met aanbevelingsdetails tonen de toewijzing voor alle relevante aanbevelingen:
De pagina met aanbevelingen in Defender voor Cloud heeft een nieuw
filter om aanbevelingen te selecteren op basis van de bijbehorende tactiek:
Meer informatie vindt u in Aanbevelingen voor beveiliging controleren.
Microsoft Bedreigings- en beveiligingsproblemenbeheer toegevoegd als oplossing voor evaluatie van beveiligingsproblemen, uitgebracht voor algemene beschikbaarheid (GA)
In oktober heeft we aangekondigd een uitbreiding op de integratie tussen Microsoft Defender voor Servers en Microsoft Defender voor Eindpunt, ter ondersteuning van een nieuwe provider voor evaluatie van beveiligingsproblemen voor uw computers: Microsoft bedreigings- en beveiligingsproblemenbeheer. Deze functie is nu beschikbaar voor algemene beschikbaarheid (GA).
Gebruik threat en vulnerability management om beveiligingsproblemen en onjuiste configuraties bijna in realtime te detecteren met de integratie met Microsoft Defender voor Eindpunt ingeschakeld en zonder dat extra agents of periodieke scans nodig zijn. Bedreigings- en beveiligingsbeheer geeft prioriteit aan beveiligingsproblemen op basis van het bedreigingslandschap en detecties in uw organisatie.
Gebruik de beveiligingsaanbeveling 'Een oplossing voor evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw virtuele machines' om de beveiligingsproblemen weer te geven die zijn gedetecteerd door bedreigings- en beveiligingsproblemenbeheer voor uw ondersteunde machines.
Als u de beveiligingsproblemen automatisch wilt weergeven op bestaande en nieuwe machines, zonder dat u de aanbeveling handmatig hoeft op te lossen, raadpleegt u oplossingen voor evaluatie van beveiligingsproblemen nu automatisch worden ingeschakeld (in preview).
Meer informatie vindt u in Investigate-zwakke punten met het beheer van bedreigingen en beveiligingsproblemen van Microsoft Defender voor Eindpunt.
Microsoft Defender voor Eindpunt voor Linux nu ondersteund door Microsoft Defender voor servers - uitgebracht voor algemene beschikbaarheid (GA)
In augustus heeft we aangekondigd preview-ondersteuning voor het implementeren van de Defender voor Eindpunt voor Linux sensor op ondersteunde Linux-machines. Deze functie is nu beschikbaar voor algemene beschikbaarheid (GA).
Microsoft Defender voor Servers bevat een geïntegreerde licentie voor Microsoft Defender voor Eindpunt. Samen bieden ze uitgebreide mogelijkheden voor eindpuntdetectie en -reactie (EDR).
Wanneer Defender voor Eindpunt een bedreiging detecteert, wordt er een waarschuwing geactiveerd. De waarschuwing wordt weergegeven in Defender voor Cloud. Vanuit Defender voor Cloud kunt u ook naar de Defender voor eindpuntconsole draaien en een gedetailleerd onderzoek uitvoeren om het bereik van de aanval te ontdekken.
Meer informatie vindt u in Beveilig uw eindpunten met de geïntegreerde EDR-oplossing van Security Center: Microsoft Defender voor Eindpunt.
Momentopname exporteren voor aanbevelingen en beveiligingsresultaten (in preview)
Defender voor Cloud genereert gedetailleerde beveiligingswaarschuwingen en aanbevelingen. U kunt ze bekijken in de portal of via programmatische hulpprogramma's. Mogelijk moet u ook bepaalde of alle informatie exporteren voor het bijhouden met andere bewakingshulpprogramma's in uw omgeving.
Defender voor Cloud continuous export kunt u what volledig aanpassen en where gaan. Meer informatie vindt u in Continu exporteren van Microsoft Defender voor Cloud gegevens.
Hoewel de functie doorlopend wordt genoemd, is er ook een optie om wekelijkse momentopnamen te exporteren. Tot nu toe waren deze wekelijkse momentopnamen beperkt tot beveiligingsscore- en nalevingsgegevens voor regelgeving. We hebben de mogelijkheid toegevoegd om aanbevelingen en beveiligingsresultaten te exporteren.
Automatische inrichting van oplossingen voor evaluatie van beveiligingsproblemen die zijn uitgebracht voor algemene beschikbaarheid (GA)
In oktober heeft we aangekondigd de toevoeging van oplossingen voor evaluatie van beveiligingsproblemen aan de pagina voor automatische inrichting van Defender voor Cloud. Dit is relevant voor Azure virtuele machines en Azure Arc machines op abonnementen die worden beveiligd door Azure Defender voor servers. Deze functie is nu beschikbaar voor algemene beschikbaarheid (GA).
Als de integratie met Microsoft Defender voor Eindpunt is ingeschakeld, biedt Defender voor Cloud een keuze uit oplossingen voor evaluatie van beveiligingsproblemen:
- (NIEUW) De module Microsoft bedreigings- en beveiligingsproblemenbeheer van Microsoft Defender voor Eindpunt (zie de releasenotitie)
- De geïntegreerde Qualys-agent
De gekozen oplossing wordt automatisch ingeschakeld op ondersteunde machines.
Meer informatie vindt u in De evaluatie van beveiligingsproblemen automatisch configureren voor uw computers.
Software-inventarisfilters in assetinventaris die zijn vrijgegeven voor algemene beschikbaarheid (GA)
In oktober hebben we nieuwe filters aangekondigd voor de pagina assetinventaris om machines met specifieke software te selecteren en zelfs de gewenste versies op te geven. Deze functie is nu beschikbaar voor algemene beschikbaarheid (GA).
U kunt een query uitvoeren op de software-inventarisgegevens in Azure Resource Graph Explorer.
Als u deze functies wilt gebruiken, moet u de integratie met Microsoft Defender voor Eindpunt inschakelen.
Zie Access a software inventory voor meer informatie, waaronder voorbeeldquery's voor Kusto-query's voor Azure Resource Graph.
Nieuw AKS-beveiligingsbeleid toegevoegd aan standaardinitiatief
Om ervoor te zorgen dat Kubernetes-workloads standaard beveiligd zijn, bevat Defender voor Cloud beleidsregels op Kubernetes-niveau en aanbevelingen voor beveiliging, waaronder afdwingingsopties met Kubernetes-toegangsbeheer.
Als onderdeel van dit project hebben we een beleid en aanbeveling (standaard uitgeschakeld) toegevoegd voor het beperken van implementatie op Kubernetes-clusters. Het beleid bevindt zich in het standaardinitiatief, maar is alleen relevant voor organisaties die zich registreren voor de gerelateerde preview.
U kunt het beleid en de aanbeveling ('Kubernetes-clusters moeten de implementatie van kwetsbare installatiekopieën' veilig negeren en er is geen invloed op uw omgeving.
Als u wilt deelnemen aan de preview,moet u lid zijn van de preview-ring. Als u nog geen lid bent, dient u hier een aanvraag in. Leden ontvangen een melding wanneer de preview begint.
Inventarisweergave van on-premises machines past een andere sjabloon toe voor de resourcenaam
Om de presentatie van resources in de assetinventaris te verbeteren, hebben we het element source-computer-IP verwijderd uit de sjabloon voor het benoemen van on-premises machines.
-
Vorige indeling:
machine-name_source-computer-id_VMUUID -
Vanaf deze update:
machine-name_VMUUID
Oktober 2021
De updates in oktober omvatten:
- Microsoft Bedreigings- en beveiligingsproblemenbeheer toegevoegd als oplossing voor evaluatie van beveiligingsproblemen (in preview)
- Oplossingen voor evaluatie van beveiligingsproblemen kunnen nu automatisch worden ingeschakeld (in preview)
- Software-inventarisfilters toegevoegd aan assetinventaris (in preview)
- Het voorvoegsel van sommige waarschuwingstypen is gewijzigd van 'ARM_' in 'VM_'
- Wijzigingen in de logica van een beveiligingsaanbeveling voor Kubernetes-clusters
- Pagina's met details van aanbevelingen tonen nu gerelateerde aanbevelingen
- Nieuwe waarschuwingen voor Azure Defender voor Kubernetes (in preview)
Microsoft Bedreigings- en beveiligingsbeheer toegevoegd als oplossing voor evaluatie van beveiligingsproblemen (in preview)
We hebben de integratie tussen Azure Defender voor servers en Microsoft Defender voor Eindpunt uitgebreid ter ondersteuning van een nieuwe provider voor evaluatie van beveiligingsproblemen voor uw computers: Microsoft bedreigings- en beveiligingsbeheer.
Gebruik threat en vulnerability management om beveiligingsproblemen en onjuiste configuraties bijna in realtime te detecteren met de integratie met Microsoft Defender voor Eindpunt ingeschakeld en zonder dat extra agents of periodieke scans nodig zijn. Bedreigings- en beveiligingsbeheer geeft prioriteit aan beveiligingsproblemen op basis van het bedreigingslandschap en detecties in uw organisatie.
Gebruik de beveiligingsaanbeveling 'Een oplossing voor evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw virtuele machines' om de beveiligingsproblemen weer te geven die zijn gedetecteerd door bedreigings- en beveiligingsproblemenbeheer voor uw ondersteunde machines.
Als u de beveiligingsproblemen automatisch wilt weergeven op bestaande en nieuwe machines, zonder dat u de aanbeveling handmatig hoeft op te lossen, raadpleegt u oplossingen voor evaluatie van beveiligingsproblemen nu automatisch worden ingeschakeld (in preview).
Meer informatie vindt u in Investigate-zwakke punten met het beheer van bedreigingen en beveiligingsproblemen van Microsoft Defender voor Eindpunt.
Oplossingen voor evaluatie van beveiligingsproblemen kunnen nu automatisch worden ingeschakeld (in preview)
De pagina voor automatisch inrichten van Security Center bevat nu de optie om automatisch een oplossing voor evaluatie van beveiligingsproblemen in te schakelen voor het Azure van virtuele machines en Azure Arc machines op abonnementen die worden beveiligd door Azure Defender voor servers.
Als de integratie met Microsoft Defender voor Eindpunt is ingeschakeld, biedt Defender voor Cloud een keuze uit oplossingen voor evaluatie van beveiligingsproblemen:
- (NIEUW) De module Microsoft bedreigings- en beveiligingsproblemenbeheer van Microsoft Defender voor Eindpunt (zie de releasenotitie)
- De geïntegreerde Qualys-agent
De gekozen oplossing wordt automatisch ingeschakeld op ondersteunde machines.
Meer informatie vindt u in De evaluatie van beveiligingsproblemen automatisch configureren voor uw computers.
Software-inventarisfilters toegevoegd aan assetinventaris (in preview)
De pagina assetinventaris bevat nu een filter om machines met specifieke software te selecteren en zelfs de gewenste versies op te geven.
Daarnaast kunt u query's uitvoeren op de software-inventarisgegevens in Azure Resource Graph Explorer.
Als u deze nieuwe functies wilt gebruiken, moet u de integratie met Microsoft Defender voor Eindpunt inschakelen.
Zie Access a software inventory voor meer informatie, waaronder voorbeeldquery's voor Kusto-query's voor Azure Resource Graph.
Het voorvoegsel van sommige waarschuwingstypen is gewijzigd van 'ARM_' in 'VM_'
In juli 2021 hebben we een logical reorganisatie van Azure Defender aangekondigd voor Resource Manager waarschuwingen
Tijdens de reorganisatie van Defender-plannen hebben we waarschuwingen verplaatst van Azure Defender voor Resource Manager naar Azure Defender voor servers.
Met deze update hebben we de voorvoegsels van deze waarschuwingen gewijzigd zodat deze overeenkomen met deze toewijzing en hebben we 'ARM_' vervangen door 'VM_', zoals wordt weergegeven in de volgende tabel:
| Oorspronkelijke naam | Van deze wijziging |
|---|---|
| ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
| ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
| ARM_AmDisablement | VM_AmDisablement |
| ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
| ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
| ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
| ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
| ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
| ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
| ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
| ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
| ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
| ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
| ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
| ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
| ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
| ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
| ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
| ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
Meer informatie over de abonnementen Azure Defender voor Resource Manager en Azure Defender voor Servers.
Wijzigingen in de logica van een beveiligingsaanbeveling voor Kubernetes-clusters
De aanbeveling 'Kubernetes-clusters mogen de standaardnaamruimte niet gebruiken' voorkomt het gebruik van de standaardnaamruimte voor een bereik van resourcetypen. Twee van de resourcetypen die in deze aanbeveling zijn opgenomen, zijn verwijderd: ConfigMap en Secret.
Meer informatie over deze aanbeveling en het beveiligen van uw Kubernetes-clusters in Onderstand-Azure Policy voor Kubernetes-clusters.
Pagina's met details van aanbevelingen tonen nu gerelateerde aanbevelingen
Om de relaties tussen verschillende aanbevelingen te verduidelijken, hebben we een gebied gerelateerde aanbevelingen toegevoegd aan de detailpagina's van veel aanbevelingen.
De drie relatietypen die op deze pagina's worden weergegeven, zijn:
- Vereiste : een aanbeveling die moet worden voltooid vóór de geselecteerde aanbeveling
- Alternatief : een andere aanbeveling die een andere manier biedt om de doelstellingen van de geselecteerde aanbeveling te bereiken
- Afhankelijk : een aanbeveling waarvoor de geselecteerde aanbeveling een vereiste is
Voor elke gerelateerde aanbeveling wordt het aantal beschadigde resources weergegeven in de kolom Betrokken resources.
Tip
Als een gerelateerde aanbeveling grijs wordt weergegeven, is de afhankelijkheid nog niet voltooid en is deze niet beschikbaar.
Een voorbeeld van gerelateerde aanbevelingen:
Security Center controleert uw machines op ondersteunde oplossingen voor evaluatie van beveiligingsproblemen:
A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld)Als er een is gevonden, krijgt u een melding over gedetecteerde beveiligingsproblemen:
Beveiligingsproblemen op uw virtuele machines moeten worden hersteld
Security Center kan u uiteraard niet op de hoogte stellen van gedetecteerde beveiligingsproblemen, tenzij er een ondersteunde oplossing voor evaluatie van beveiligingsproblemen wordt gevonden.
Therefore:
- Aanbeveling 1 is een vereiste voor aanbeveling 2
- Aanbeveling 2 is afhankelijk van aanbeveling 1
Nieuwe waarschuwingen voor Azure Defender voor Kubernetes (in preview)
Als u de bedreigingsbeveiligingen van Azure Defender voor Kubernetes wilt uitbreiden, hebben we twee preview-waarschuwingen toegevoegd.
Deze waarschuwingen worden gegenereerd op basis van een nieuw machine learning-model en geavanceerde analyses van Kubernetes, waarbij meerdere kenmerken voor implementatie en roltoewijzing worden gemeten op basis van eerdere activiteiten in het cluster en in alle clusters die worden bewaakt door Azure Defender.
| Waarschuwing (waarschuwingstype) | Description | MITRE-tactiek | Severity |
|---|---|---|---|
|
Afwijkende podimplementatie (preview) (K8S_AnomalousPodDeployment) |
Analyse van het auditlogboek van Kubernetes heeft een afwijkende podimplementatie gedetecteerd op basis van eerdere implementatieactiviteiten. Deze activiteit wordt als afwijkend beschouwd bij het onderzoeken van de relatie tussen de verschillende functies in de implementatiebewerking. De bewaakte functies omvatten het containerinstallatiekopieënregister dat wordt gebruikt, het implementatieaccount, de dag van de week, de implementatiefrequentie voor dit account, de gebruikte gebruikersagent, de implementatiepatronen van de naamruimte en andere kenmerken. De uitgebreide eigenschappen van de waarschuwing bevatten de belangrijkste bijdragende redenen om deze als afwijkende activiteit te identificeren. | Execution | Medium |
|
Overmatige rolmachtigingen die zijn toegewezen in kubernetes-cluster (preview) (K8S_ServiceAcountPermissionAnomaly) |
Bij analyse van de Kubernetes-auditlogboeken is een overmatige toewijzing van machtigingen aan uw cluster gedetecteerd. Bij het onderzoeken van roltoewijzingen zijn de vermelde machtigingen ongebruikelijk voor het specifieke serviceaccount. Deze detectie beschouwt eerdere roltoewijzingen voor hetzelfde serviceaccount in clusters die worden bewaakt door Azure, volume per machtiging en de impact van de specifieke machtiging. Het anomaliedetectiemodel dat voor deze waarschuwing wordt gebruikt, houdt rekening met hoe deze machtiging wordt gebruikt in alle clusters die worden bewaakt door Azure Defender. | Escalatie van bevoegdheden | Low |
Zie Waarschuwingen voor Kubernetes-clusters voor een volledige lijst met kubernetes-waarschuwingen.
September 2021
In september is de volgende update uitgebracht:
Twee nieuwe aanbevelingen voor het controleren van besturingssysteemconfiguraties voor Azure naleving van de beveiligingsbasislijn (in preview)
De volgende twee aanbevelingen zijn uitgebracht om de naleving van de Windows beveiligingsbasislijn en de Linux-beveiligingsbasislijn te beoordelen:
- Voor Windows machines moet Vulnerabiliteiten in de beveiligingsconfiguratie op uw Windows-machines worden hersteld (mogelijk gemaakt door gastconfiguratie)
- Voor Linux-machines moeten beveiligingsproblemen in de beveiligingsconfiguratie op uw Linux-machines worden hersteld (mogelijk gemaakt door gastconfiguratie)
Deze aanbevelingen maken gebruik van de functie voor gastconfiguratie van Azure Policy om de configuratie van het besturingssysteem van een machine te vergelijken met de basislijn die is gedefinieerd in de Azure Security Benchmark.
Meer informatie over het gebruik van deze aanbevelingen in de besturingssysteemconfiguratie van een machine beveiligen met behulp van gastconfiguratie.
Augustus 2021
De updates in augustus zijn onder meer:
- Microsoft Defender voor Eindpunt voor Linux nu ondersteund door Azure Defender voor servers (in preview)
- Twee nieuwe aanbevelingen voor het beheren van endpoint protection-oplossingen (in preview)
- Ingebouwde probleemoplossing en richtlijnen voor het oplossen van veelvoorkomende problemen
- Regulatory Compliance dashboards Azure Audit reports uitgebracht voor algemene beschikbaarheid (GA)
- Aanbeveling 'Log Analytics agentstatusproblemen moeten worden opgelost op uw computers'
- Azure Defender voor containerregisters scant nu op beveiligingsproblemen in registers die zijn beveiligd met Azure Private Link
Security Center kan de Azure Policy-extensie voor gastconfiguratie (in preview) - Aanbevelingen bieden nu ondersteuning voor Afdwingen.
- CSV-exports van aanbevelingsgegevens zijn nu beperkt tot 20 MB
- De pagina Aanbevelingen bevat nu meerdere weergaven
Microsoft Defender voor Eindpunt voor Linux nu ondersteund door Azure Defender voor servers (in preview)
Azure Defender voor Servers bevat een geïntegreerde licentie voor Microsoft Defender voor Eindpunt. Samen bieden ze uitgebreide mogelijkheden voor eindpuntdetectie en -reactie (EDR).
Wanneer Defender voor Eindpunt een bedreiging detecteert, wordt er een waarschuwing geactiveerd. De waarschuwing wordt weergegeven in Security Center. Vanuit Security Center kunt u ook naar de Defender voor eindpuntconsole draaien en een gedetailleerd onderzoek uitvoeren om het bereik van de aanval te ontdekken.
Tijdens de preview-periode implementeert u de sensor Defender voor Eindpunt voor Linux op ondersteunde Linux-machines op twee manieren, afhankelijk van of u deze al op uw Windows-machines hebt geïmplementeerd:
- Existing users with Defender voor Cloud's enhanced security features enabled and Microsoft Defender voor Eindpunt for Windows
- Nieuwe gebruikers die de integratie met Microsoft Defender voor Eindpunt nooit hebben ingeschakeld voor Windows
Meer informatie vindt u in Beveilig uw eindpunten met de geïntegreerde EDR-oplossing van Security Center: Microsoft Defender voor Eindpunt.
Twee nieuwe aanbevelingen voor het beheren van endpoint protection-oplossingen (in preview)
We hebben twee preview-aanbevelingen toegevoegd voor het implementeren en onderhouden van de eindpuntbeveiligingsoplossingen op uw computers. Beide aanbevelingen omvatten ondersteuning voor Azure virtuele machines en machines die zijn verbonden met Azure Arc servers.
| Recommendation | Description | Severity |
|---|---|---|
| Endpoint Protection moet worden geïnstalleerd op uw computers | Installeer een ondersteunde oplossing voor eindpuntbeveiliging om uw machines tegen bedreigingen en beveiligingsproblemen te beschermen.
Meer informatie over het evalueren van Endpoint Protection voor machines. (Gerelateerd beleid: Monitor missing Endpoint Protection in Azure Security Center) |
High |
| Statusproblemen met eindpuntbescherming moeten worden opgelost voor uw machines | Statusproblemen met eindpuntbeveiliging op virtuele machines oplossen om deze te beschermen tegen de nieuwste bedreigingen en beveiligingsproblemen. Azure Security Center ondersteunde eindpuntbeveiligingsoplossingen worden gedocumenteerd here. De eindpuntbeveiligingsevaluatie wordt hier beschreven. (Gerelateerd beleid: Monitor missing Endpoint Protection in Azure Security Center) |
Medium |
Note
De aanbevelingen tonen hun versheidsinterval als 8 uur, maar er zijn enkele scenario's waarin dit aanzienlijk langer kan duren. Wanneer een on-premises machine bijvoorbeeld wordt verwijderd, duurt het 24 uur voordat Security Center de verwijdering identificeert. Daarna duurt het maximaal 8 uur om de informatie te retourneren. In deze specifieke situatie kan het daarom 32 uur duren voordat de machine uit de lijst met betrokken resources is verwijderd.
Ingebouwde probleemoplossing en richtlijnen voor het oplossen van veelvoorkomende problemen
Een nieuw, speciaal gebied van de Security Center-pagina's in de Azure-portal biedt een gesorteerde, steeds groeiende set zelfhulpmaterialen voor het oplossen van veelvoorkomende uitdagingen met Security Center en Azure Defender.
Wanneer u een probleem ondervindt of advies zoekt van ons ondersteuningsteam, is diagnose en oplossing van problemen een ander hulpmiddel om u te helpen de oplossing te vinden:
Dashboard voor naleving van regelgeving Azure Auditrapporten die zijn vrijgegeven voor algemene beschikbaarheid (GA)
De werkbalk van het dashboard voor naleving van regelgeving biedt Azure- en Dynamics certificeringsrapporten voor de standaarden die zijn toegepast op uw abonnementen.
U kunt het tabblad selecteren voor de relevante rapportentypen (PCI, SOC, ISO en andere) en filters gebruiken om de specifieke rapporten te vinden die u nodig hebt.
Zie Rapporten en certificaten voor nalevingsstatus genereren voor meer informatie.
Aanbeveling 'Log Analytics agentstatusproblemen moeten worden opgelost op uw computers' afgeschaft
We hebben vastgesteld dat aanbeveling Log Analytics agentstatusproblemen moeten worden opgelost op uw computers invloed heeft op beveiligingsscores op manieren die inconsistent zijn met de focus van Cloud Security Posture Management (CSPM). CsPM heeft meestal betrekking op het identificeren van onjuiste configuraties van beveiliging. Statusproblemen van de agent passen niet in deze categorie problemen.
De aanbeveling is ook een anomalie in vergelijking met de andere agents met betrekking tot Security Center: dit is de enige agent met een aanbeveling met betrekking tot statusproblemen.
De aanbeveling is afgeschaft.
Als gevolg van deze afschaffing hebben we ook kleine wijzigingen aangebracht in de aanbevelingen voor het installeren van de Log Analytics-agent (Log Analytics agent moet worden geïnstalleerd op... ).
De kans is groot dat deze wijziging van invloed is op uw beveiligingsscores. Voor de meeste abonnementen verwachten we dat de wijziging leidt tot een hogere score, maar het is mogelijk dat de updates van de installatieaanaanveling in sommige gevallen leiden tot lagere scores.
Tip
De inventarispagina van activa is ook beïnvloed door deze wijziging, omdat deze de bewaakte status weergeeft voor machines (bewaakt, niet bewaakt of gedeeltelijk bewaakt: een status die verwijst naar een agent met statusproblemen).
Azure Defender voor containerregisters scant nu op beveiligingsproblemen in registers die zijn beveiligd met Azure Private Link
Azure Defender voor containerregisters bevat een scanner voor beveiligingsproblemen voor het scannen van installatiekopieën in uw Azure Container Registry registers. Meer informatie over het scannen van uw registers en het herstellen van bevindingen in Gebruik Azure Defender voor containerregisters om uw installatiekopieën te scannen op beveiligingsproblemen.
Als u de toegang tot een register wilt beperken dat wordt gehost in Azure Container Registry, wijst u privé-IP-adressen van een virtueel netwerk toe aan de registereindpunten en gebruikt u Azure Private Link zoals uitgelegd in Privé verbinden met een Azure container registry met behulp van Azure Private Link.
Als onderdeel van onze voortdurende inspanningen om aanvullende omgevingen en use cases te ondersteunen, scant Azure Defender nu ook containerregisters die zijn beveiligd met Azure Private Link.
Security Center kan nu de gastconfiguratie-extensie van de Azure Policy automatisch inrichten (in preview)
Azure Policy kunt instellingen binnen een computer controleren, zowel voor machines die worden uitgevoerd in Azure als met Arc verbonden machines. De validatie wordt uitgevoerd door de extensie en client voor gastconfiguratie. Meer informatie vindt u in Onderstand Azure Policy gastconfiguratie.
Met deze update kunt u Security Center nu instellen om deze extensie automatisch in te richten op alle ondersteunde computers.
Meer informatie over hoe automatisch inrichten werkt in Automatische inrichting configureren voor agents en extensies.
Aanbevelingen bieden nu ondersteuning voor Afdwingen
Security Center bevat twee functies waarmee u ervoor kunt zorgen dat nieuw gemaakte resources op een veilige manier worden ingericht: afdwingen en weigeren. Wanneer een aanbeveling deze opties biedt, kunt u ervoor zorgen dat aan uw beveiligingsvereisten wordt voldaan wanneer iemand probeert een resource te maken:
- Weigeren voorkomt dat beschadigde resources worden gemaakt
- Automatisch niet-compatibele resources afdwingen wanneer ze worden gemaakt
Met deze update is de optie afdwingen nu beschikbaar voor de aanbevelingen voor het inschakelen van Azure Defender plannen (zoals Azure Defender voor App Service moet zijn ingeschakeld, Azure Defender voor Key Vault moet zijn ingeschakeld, Azure Defender voor Opslag moet zijn ingeschakeld).
Meer informatie over deze opties vindt u in Onjuiste configuraties voorkomen met aanbevelingen voor afdwingen/weigeren.
CSV-exports van aanbevelingsgegevens zijn nu beperkt tot 20 MB
We stellen een limiet van 20 MB in bij het exporteren van aanbevelingen van Security Center.
Als u grotere hoeveelheden gegevens wilt exporteren, gebruikt u de beschikbare filters voordat u deze selecteert of selecteert u subsets van uw abonnementen en downloadt u de gegevens in batches.
Meer informatie over het uitvoeren van een CSV-export van uw beveiligingsaan aanbevelingen.
De pagina Aanbevelingen bevat nu meerdere weergaven
De pagina aanbevelingen bevat nu twee tabbladen om alternatieve manieren te bieden om de aanbevelingen weer te geven die relevant zijn voor uw resources:
- Aanbevelingen voor beveiligingsscore : gebruik dit tabblad om de lijst met aanbevelingen weer te geven die zijn gegroepeerd op beveiligingsbeheer. Meer informatie over deze besturingselementen vindt u in beveiligingscontroles en hun aanbevelingen.
- Alle aanbevelingen : gebruik dit tabblad om de lijst met aanbevelingen weer te geven als een platte lijst. Dit tabblad is ook handig om te begrijpen welk initiatief (inclusief standaarden voor naleving van regelgeving) de aanbeveling heeft gegenereerd. Meer informatie over initiatieven en hun relatie met aanbevelingen in Wat zijn beveiligingsbeleid, initiatieven en aanbevelingen?
Juli 2021
De updates in juli zijn onder meer:
- Microsoft Sentinel connector bevat nu optionele bidirectionele waarschuwingssynchronisatie (in preview)
- Logical reorganisatie van Azure Defender voor Resource Manager waarschuwingen
Aan aanbeveling om Azure Disk Encryption (ADE) - Continue export van beveiligingsscore- en regelgevingsnalevingsgegevens die zijn vrijgegeven voor algemene beschikbaarheid (GA)
- Werkstroomautomatiseringen kunnen worden geactiveerd door wijzigingen in nalevingsevaluaties voor regelgeving (GA)
- Evaluaties-API-veld FirstEvaluationDate en StatusChangeDate zijn nu beschikbaar in werkruimteschema's en logische apps
- Werkmapsjabloon naleving in de loop van de tijd toegevoegd aan Azure Monitor Werkmapgalerie
Microsoft Sentinel connector bevat nu optionele bidirectionele waarschuwingssynchronisatie (in preview)
Security Center integreert systeemeigen met Microsoft Sentinel, de cloudeigen SIEM- en SOAR-oplossing van Azure.
Microsoft Sentinel bevat ingebouwde connectors voor Azure Security Center op abonnements- en tenantniveau. Meer informatie vindt u in Stream-waarschuwingen voor Microsoft Sentinel.
Wanneer u Azure Defender verbindt met Microsoft Sentinel, wordt de status van Azure Defender waarschuwingen die worden opgenomen in Microsoft Sentinel gesynchroniseerd tussen de twee services. Als een waarschuwing bijvoorbeeld wordt gesloten in Azure Defender, wordt die waarschuwing ook weergegeven als gesloten in Microsoft Sentinel. Het wijzigen van de status van een waarschuwing in Azure Defender 'niet'* heeft invloed op de status van een Microsoft Sentinel incidenten die de gesynchroniseerde Microsoft Sentinel-waarschuwing bevatten, alleen die van de gesynchroniseerde waarschuwing zelf.
Wanneer u preview-functie bidirectionele waarschuwingssynchronisatie inschakelt, wordt de status van de oorspronkelijke Azure Defender waarschuwingen automatisch gesynchroniseerd met Microsoft Sentinel incidenten die kopieën van deze Azure Defender-waarschuwingen bevatten. Wanneer bijvoorbeeld een Microsoft Sentinel incident met een Azure Defender waarschuwing wordt gesloten, wordt de bijbehorende oorspronkelijke waarschuwing automatisch gesloten Azure Defender.
Meer informatie vindt u in Connect Azure Defender-waarschuwingen van Azure Security Center.
Logische reorganisatie van Azure Defender voor Resource Manager waarschuwingen
De onderstaande waarschuwingen zijn opgegeven als onderdeel van het Azure Defender voor Resource Manager-plan.
Als onderdeel van een logische reorganisatie van een aantal van de Azure Defender-plannen hebben we enkele waarschuwingen verplaatst van Azure Defender voor Resource Manager naar Azure Defender voor servers.
De waarschuwingen zijn ingedeeld op basis van twee hoofdprincipes:
- Waarschuwingen die beveiliging op het besturingsvlak bieden , in veel Azure resourcetypen, maken deel uit van Azure Defender voor Resource Manager
- Waarschuwingen die specifieke workloads beveiligen, bevinden zich in het Azure Defender-plan dat betrekking heeft op de bijbehorende workload
Dit zijn de waarschuwingen die deel uitmaakten van Azure Defender voor Resource Manager, en die als gevolg van deze wijziging nu deel uitmaken van Azure Defender voor servers:
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
Meer informatie over de abonnementen Azure Defender voor Resource Manager en Azure Defender voor Servers.
Verbeteringen in aanbeveling voor het inschakelen van Azure Disk Encryption (ADE)
Na feedback van gebruikers hebben we de naam van de aanbeveling Schijfversleuteling op virtuele machines toegepast.
De nieuwe aanbeveling maakt gebruik van dezelfde evaluatie-id en wordt virtuele machines genoemd , moeten tijdelijke schijven, caches en gegevensstromen tussen compute- en opslagresources versleutelen.
De beschrijving is ook bijgewerkt om het doel van deze harding aanbeveling beter uit te leggen:
| Recommendation | Description | Severity |
|---|---|---|
| Virtuele machines moeten tijdelijke schijven, caches en gegevensstromen tussen reken- en opslagresources versleutelen | Standaard worden het besturingssysteem en de gegevensschijven van een virtuele machine versleuteld in rust met behulp van door platform beheerde sleutels; tijdelijke schijven en gegevenscaches worden niet versleuteld en gegevens worden niet versleuteld bij het stromen tussen reken- en opslagresources. Zie de comparison van verschillende schijfversleutelingstechnologieën in Azure voor meer informatie. Gebruik Azure Disk Encryption om al deze gegevens te versleutelen. Negeer deze aanbeveling als: (1) u de functie versleuteling op de host gebruikt of (2) versleuteling aan de serverzijde op Managed Disks voldoet aan uw beveiligingsvereisten. Meer informatie over versleuteling aan de serverzijde van Azure Disk Storage. |
High |
Continue export van beveiligingsscore- en regelgevingsnalevingsgegevens die zijn vrijgegeven voor algemene beschikbaarheid (GA)
Continue export biedt het mechanisme voor het exporteren van uw beveiligingswaarschuwingen en aanbevelingen voor het bijhouden met andere bewakingshulpprogramma's in uw omgeving.
Wanneer u uw continue export instelt, configureert u wat er wordt geëxporteerd en waar deze naartoe gaat. Meer informatie vindt u in het overzicht van continue export.
We hebben deze functie in de loop van de tijd uitgebreid en uitgebreid:
In november 2020 hebben we de preview-optie toegevoegd om wijzigingen in uw beveiligingsscore te streamen.
In december 2020 hebben we de preview-optie toegevoegd om wijzigingen in uw nalevingsbeoordelingsgegevens voor regelgeving te streamen.
Met deze update worden deze twee opties uitgebracht voor algemene beschikbaarheid (GA).
Werkstroomautomatiseringen kunnen worden geactiveerd door wijzigingen in nalevingsevaluaties voor regelgeving (GA)
In februari 2021 hebben we een derde voorbeeldgegevenstype toegevoegd aan de triggeropties voor uw werkstroomautomatiseringen: wijzigingen in nalevingsevaluaties voor regelgeving. Meer informatie in werkstroomautomatiseringen kan worden geactiveerd door wijzigingen in nalevingsevaluaties voor regelgeving.
Met deze update wordt deze triggeroptie voor algemene beschikbaarheid (GA) uitgebracht.
Meer informatie over het gebruik van de hulpprogramma's voor werkstroomautomatisering in Reacties op Security Center-triggers automatiseren.
Evaluaties-API-veld FirstEvaluationDate en StatusChangeDate zijn nu beschikbaar in werkruimteschema's en logische apps
In mei 2021 hebben we de evaluatie-API bijgewerkt met twee nieuwe velden, FirstEvaluationDate en StatusChangeDate. Zie Evaluaties-API uitgebreid met twee nieuwe velden voor meer informatie.
Deze velden waren toegankelijk via de REST API, Azure Resource Graph, continue export en in CSV-exports.
Met deze wijziging maken we de informatie beschikbaar in het Log Analytics werkruimteschema en vanuit logische apps.
Werkmapsjabloon 'Naleving in de loop van de tijd' toegevoegd aan Azure Monitor Galerie Werkmappen
In maart hebben we de geïntegreerde Azure Monitor Workbooks-ervaring in Security Center aangekondigd (zie Azure Monitor Workbooks integrated into Security Center and three templates provided).
De eerste release bevat drie sjablonen voor het maken van dynamische en visuele rapporten over de beveiligingspostuur van uw organisatie.
We hebben nu een werkmap toegevoegd die is toegewezen aan het bijhouden van de naleving van een abonnement met de regelgevings- of branchestandaarden die erop zijn toegepast.
Meer informatie over het gebruik van deze rapporten of het bouwen van uw eigen rapporten in Uitgebreide, interactieve rapporten van Security Center-gegevens.
Juni 2021
De updates in juni zijn onder meer:
- Nieuwe waarschuwing voor Azure Defender voor Key Vault
- Aanbevelingen voor het versleutelen met door de klant beheerde sleutels (CMK's) zijn standaard uitgeschakeld
- Voorvoegsel voor Kubernetes-waarschuwingen is gewijzigd van 'AKS_' in 'K8S_'
- Twee aanbevelingen van beveiligingsupdates toepassen van systeemupdates afgeschaft
Nieuwe waarschuwing voor Azure Defender voor Key Vault
Om de bedreigingsbeveiligingen van Azure Defender voor Key Vault uit te breiden, hebben we de volgende waarschuwing toegevoegd:
| Waarschuwing (waarschuwingstype) | Description | MITRE-tactiek | Severity |
|---|---|---|---|
| Toegang vanaf een verdacht IP-adres naar een sleutelkluis (KV_SuspiciousIPAccess) |
Een sleutelkluis is geopend door een IP-adres dat is geïdentificeerd door Microsoft Bedreigingsinformatie als een verdacht IP-adres. Dit kan erop wijzen dat uw infrastructuur is aangetast. We raden verder onderzoek aan. | Referentietoegang | Medium |
Zie voor meer informatie:
- Invoer voor Azure Defender voor Key Vault
- Respond to Azure Defender for Key Vault alerts
- Lijst met waarschuwingen van Azure Defender voor Key Vault
Aanbevelingen voor het versleutelen met door de klant beheerde sleutels (CMK's) zijn standaard uitgeschakeld
Security Center bevat meerdere aanbevelingen voor het versleutelen van data-at-rest met door de klant beheerde sleutels, zoals:
- Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
- Azure Cosmos DB accounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen
- Azure Machine Learning werkruimten moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
Gegevens in Azure worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit vereist is voor naleving van een specifiek beleid dat uw organisatie kiest om af te dwingen.
Met deze wijziging worden de aanbevelingen voor het gebruik van CMK's nu standaard uitgeschakeld. Wanneer dit relevant is voor uw organisatie, kunt u deze inschakelen door de parameter Effect voor het bijbehorende beveiligingsbeleid te wijzigen in AuditIfNotExists of Afdwingen. Meer informatie vindt u in Een beveiligingsaanaanveling inschakelen.
Deze wijziging wordt weerspiegeld in de namen van de aanbeveling met een nieuw voorvoegsel , [Indien nodig inschakelen], zoals wordt weergegeven in de volgende voorbeelden:
- [Inschakelen indien nodig] Opslagaccounts moeten door de klant beheerde sleutel gebruiken om data-at-rest te versleutelen
- [Inschakelen indien nodig] Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
- [Inschakelen indien nodig] Azure Cosmos DB accounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen
Voorvoegsel voor Kubernetes-waarschuwingen is gewijzigd van 'AKS_' in 'K8S_'
Azure Defender voor Kubernetes onlangs uitgebreid om Kubernetes-clusters te beveiligen die on-premises en in omgevingen met meerdere clouds worden gehost. Meer informatie vindt u in Gebruik Azure Defender voor Kubernetes om hybride kubernetes-implementaties (in preview) te beveiligen.
Om het feit weer te geven dat de beveiligingswaarschuwingen van Azure Defender voor Kubernetes niet langer zijn beperkt tot clusters op Azure Kubernetes Service, hebben we het voorvoegsel voor de waarschuwingstypen gewijzigd van 'AKS_' in 'K8S_'. Indien nodig zijn de namen en beschrijvingen ook bijgewerkt. Bijvoorbeeld deze waarschuwing:
| Waarschuwing (waarschuwingstype) | Description |
|---|---|
| Kubernetes-hulpprogramma voor penetratietests gedetecteerd (AKS_PenTestToolsKubeHunter) |
Kubernetes-auditlogboekanalyse heeft het gebruik van het kubernetes-hulpprogramma voor penetratietests in het AKS-cluster gedetecteerd. Hoewel dit gedrag legitiem kan zijn, kunnen aanvallers dergelijke openbare hulpprogramma's gebruiken voor schadelijke doeleinden. |
Gewijzigd in deze waarschuwing:
| Waarschuwing (waarschuwingstype) | Description |
|---|---|
| Kubernetes-hulpprogramma voor penetratietests gedetecteerd (K8S_PenTestToolsKubeHunter) |
Kubernetes-auditlogboekanalyse heeft het gebruik van het kubernetes-hulpprogramma voor penetratietests in het Kubernetes-cluster gedetecteerd. Hoewel dit gedrag legitiem kan zijn, kunnen aanvallers dergelijke openbare hulpprogramma's gebruiken voor schadelijke doeleinden. |
Onderdrukkingsregels die verwijzen naar waarschuwingen die beginnen met 'AKS_', worden automatisch geconverteerd. Als u SIEM-exports of aangepaste automatiseringsscripts hebt ingesteld die verwijzen naar Kubernetes-waarschuwingen op waarschuwingstype, moet u deze bijwerken met de nieuwe waarschuwingstypen.
Zie Waarschuwingen voor Kubernetes-clusters voor een volledige lijst met kubernetes-waarschuwingen.
Twee aanbevelingen van beveiligingsupdates toepassen van systeemupdates afgeschaft
De volgende twee aanbevelingen zijn afgeschaft:
- OS-versie moet worden bijgewerkt voor uw cloudservicerollen: Azure uw gastbesturingssysteem regelmatig bijwerkt naar de meest recente ondersteunde installatiekopieën binnen de besturingssysteemfamilie die u hebt opgegeven in uw serviceconfiguratie (.cscfg), zoals Windows Server 2016.
- Kubernetes Services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie . De evaluaties van deze aanbeveling zijn niet zo breed als we willen. We zijn van plan de aanbeveling te vervangen door een verbeterde versie die beter is afgestemd op uw beveiligingsbehoeften.
Mei 2021
De updates in mei zijn onder meer:
- Azure Defender voor DNS en Azure Defender voor Resource Manager uitgebracht voor algemene beschikbaarheid (GA)
- Azure Defender voor opensource relationele databases die zijn uitgebracht voor algemene beschikbaarheid (GA)
- Nieuwe waarschuwingen voor Azure Defender voor Resource Manager
- CI/CD-beveiligingsproblemen scannen van containerinstallatiekopieën met GitHub werkstromen en Azure Defender (preview)
- Meer Resource Graph-query's beschikbaar voor enkele aanbevelingen
- De ernst van de aanbeveling voor SQL-gegevensclassificatie is gewijzigd
- Nieuwe aanbevelingen voor het inschakelen van vertrouwde startmogelijkheden (in preview)
- Nieuwe aanbevelingen voor het beveiligen van Kubernetes-clusters (in preview)
- Evaluaties-API uitgebreid met twee nieuwe velden
- Asset-inventaris haalt een cloudomgevingsfilter op
Azure Defender voor DNS en Azure Defender voor Resource Manager uitgebracht voor algemene beschikbaarheid (GA)
Deze twee cloudeigen breedtebeveiligingsplannen voor bedreigingsbeveiliging zijn nu algemeen beschikbaar.
Deze nieuwe beveiliging verbetert uw tolerantie tegen aanvallen van bedreigingsactoren aanzienlijk en verhoogt het aantal Azure resources dat wordt beveiligd door Azure Defender aanzienlijk.
Azure Defender voor Resource Manager: controleert automatisch alle resourcebeheerbewerkingen die in uw organisatie worden uitgevoerd. Zie voor meer informatie:
Azure Defender voor DNS - bewaakt continu alle DNS-query's van uw Azure-resources. Zie voor meer informatie:
Gebruik de aanbevelingen om het proces van het inschakelen van deze plannen te vereenvoudigen:
- Azure Defender moet zijn ingeschakeld voor Resource Manager
- Azure Defender voor DNS moet zijn ingeschakeld
Note
Het inschakelen van Azure Defender plannen resulteert in kosten. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center.
Azure Defender voor opensource-relationele databases die zijn uitgebracht voor algemene beschikbaarheid (GA)
Azure Security Center breidt de aanbieding voor SQL-beveiliging uit met een nieuwe bundel om uw opensource-relationele databases te dekken:
- Azure Defender voor Azure SQL databaseservers - beschermt uw Azure systeemeigen SQL-servers
- Azure Defender voor SQL-servers op computers - breidt dezelfde beveiligingen uit op uw SQL-servers in hybride, multicloud- en on-premises omgevingen
- Azure Defender voor opensource-relationele databases - beschermt uw Azure Databases for MySQL-, PostgreSQL- en MariaDB-servers
Azure Defender voor opensource-relationele databases bewaakt voortdurend uw servers op beveiligingsrisico's en detecteert afwijkende databaseactiviteiten die mogelijke bedreigingen voor Azure Database for MySQL, PostgreSQL en MariaDB aangeven. Enkele voorbeelden:
- Granular detectie van beveiligingsaanvallen - Azure Defender voor opensource-relationele databases biedt gedetailleerde informatie over pogingen en geslaagde beveiligingsaanvallen. Hiermee kunt u de aard en status van de aanval op uw omgeving onderzoeken en erop reageren.
- Detectie van waarschuwingen voorbehaviorale waarschuwingen - Azure Defender voor opensource-relationele databases waarschuwt u voor verdacht en onverwacht gedrag op uw servers, zoals wijzigingen in het toegangspatroon voor uw database.
- De detectie op basis van intelligentie- Azure Defender past de bedreigingsinformatie van Microsoft en een uitgebreide knowledge base toe om bedreigingswaarschuwingen aan de oppervlakte te brengen, zodat u actie kunt ondernemen.
Meer informatie vindt u in Invoering voor Azure Defender voor opensource-relationele databases.
Nieuwe waarschuwingen voor Azure Defender voor Resource Manager
Als u de bedreigingsbeveiligingen van Azure Defender voor Resource Manager wilt uitbreiden, hebben we de volgende waarschuwingen toegevoegd:
| Waarschuwing (waarschuwingstype) | Description | MITRE-tactieken | Severity |
|---|---|---|---|
|
Toewijzingen voor een RBAC-rol op een ongebruikelijke manier voor uw Azure-omgeving (preview) (ARM_AnomalousRBACRoleAssignment) |
Azure Defender voor Resource Manager een RBAC-roltoewijzing gedetecteerd die ongebruikelijk is in vergelijking met andere toewijzingen die worden uitgevoerd door dezelfde assigner / uitgevoerd voor dezelfde toegewezen gebruiker / in uw tenant vanwege de volgende afwijkingen: toewijzingstijd, toewijzingstijd, toewijzingslocatie, toegewezener, verificatiemethode, toegewezen entiteiten, gebruikte clientsoftware, toewijzingsbereik. Deze bewerking is mogelijk uitgevoerd door een legitieme gebruiker in uw organisatie. Het kan ook aangeven dat een account in uw organisatie is geschonden en dat de bedreigingsacteur machtigingen probeert te verlenen aan een extra gebruikersaccount dat hij/zij bezit. | Laterale beweging, defensieontduiking | Medium |
|
Bevoorrechte aangepaste rol gemaakt voor uw abonnement op een verdachte manier (preview) (ARM_PrivilegedRoleDefinitionCreation) |
Azure Defender voor Resource Manager een verdachte creatie van aangepaste roldefinitie met bevoegdheden in uw abonnement gedetecteerd. Deze bewerking is mogelijk uitgevoerd door een legitieme gebruiker in uw organisatie. Het kan ook aangeven dat een account in uw organisatie is geschonden en dat de bedreigingsacteur probeert een bevoorrechte rol te maken die in de toekomst moet worden gebruikt om detectie te omzeilen. | Laterale beweging, defensieontduiking | Low |
|
Azure Resource Manager bewerking vanaf verdacht IP-adres (preview) (ARM_OperationFromSuspiciousIP) |
Azure Defender voor Resource Manager een bewerking gedetecteerd vanaf een IP-adres dat is gemarkeerd als verdacht in feeds voor bedreigingsinformatie. | Execution | Medium |
|
Azure Resource Manager bewerking vanaf verdacht IP-adres van proxy (preview) (ARM_OperationFromSuspiciousProxyIP) |
Azure Defender voor Resource Manager een resourcebeheerbewerking gedetecteerd van een IP-adres dat is gekoppeld aan proxyservices, zoals TOR. Hoewel dit gedrag legitiem kan zijn, wordt dit vaak gezien in schadelijke activiteiten, wanneer bedreigingsactoren proberen hun bron-IP te verbergen. | Verdedigingsontduiking | Medium |
Zie voor meer informatie:
- Invoer voor Azure Defender voor Resource Manager
- Respond to Azure Defender for Resource Manager alerts
- Lijst met waarschuwingen van Azure Defender voor Resource Manager
CI/CD-beveiligingsproblemen scannen van containerinstallatiekopieën met GitHub werkstromen en Azure Defender (preview)
Azure Defender voor containerregisters biedt devSecOps-teams nu waarneembaarheid in GitHub Actions werkstromen.
De nieuwe functie voor het scannen van beveiligingsproblemen voor containerinstallatiekopieën, waarbij Trivy wordt gebruikt, helpt u bij het scannen op veelvoorkomende beveiligingsproblemen in hun containerinstallatiekopieën voordat u installatiekopieën naar containerregisters pusht.
Containerscanrapporten worden samengevat in Azure Security Center, waardoor beveiligingsteams beter inzicht krijgen in en inzicht krijgen in de bron van kwetsbare containerinstallatiekopieën en de werkstromen en opslagplaatsen van waaruit ze afkomstig zijn.
Meer informatie over het identificeren van kwetsbare containerinstallatiekopieën in uw CI/CD-werkstromen.
Meer Resource Graph-query's beschikbaar voor enkele aanbevelingen
Alle aanbevelingen van Security Center hebben de mogelijkheid om de informatie over de status van betrokken resources weer te geven met behulp van Azure Resource Graph uit de Openquery. Zie Review aanbevelingsgegevens in Azure Resource Graph Explorer voor meer informatie over deze krachtige functie.
Security Center bevat ingebouwde scanners voor beveiligingsproblemen om uw VM's, SQL-servers en hun hosts en containerregisters te scannen op beveiligingsproblemen. De resultaten worden geretourneerd als aanbevelingen met alle afzonderlijke bevindingen voor elk resourcetype dat in één weergave is verzameld. De aanbevelingen zijn:
- Beveiligingsproblemen in Azure Container Registry installatiekopieën moeten worden hersteld (mogelijk gemaakt door Qualys)
- Beveiligingsproblemen op uw virtuele machines moeten worden hersteld
- SQL-databases moeten vinden dat beveiligingsproblemen zijn opgelost
- SQL-servers op computers moeten resultaten van beveiligingsproblemen hebben opgelost
Met deze wijziging kunt u de knop Query openen gebruiken om ook de query te openen met de beveiligingsresultaten.
De knop Query openen biedt aanvullende opties voor enkele andere aanbevelingen, indien relevant.
Meer informatie over de scanners voor beveiligingsproblemen van Security Center:
- Azure Defender geïntegreerde Qualys-scanner voor beveiligingsproblemen voor Azure en hybride machines
- Azure Defender geïntegreerde scanner voor evaluatie van beveiligingsproblemen voor SQL-servers
- Azure Defender geïntegreerde scanner voor evaluatie van beveiligingsproblemen voor containerregisters
De ernst van de aanbeveling voor SQL-gegevensclassificatie is gewijzigd
De ernst van de aanbeveling gevoelige gegevens in uw SQL-databases moet worden geclassificeerdvan Hoog naar Laag.
Dit maakt deel uit van een doorlopende wijziging van deze aanbeveling die wordt aangekondigd op onze aanstaande pagina met wijzigingen.
Nieuwe aanbevelingen voor het inschakelen van vertrouwde startmogelijkheden (in preview)
Azure biedt vertrouwde lancering als een naadloze manier om de beveiliging van generatie 2-VM's te verbeteren. Vertrouwde lancering beschermt tegen geavanceerde en permanente aanvalstechnieken. Vertrouwde lancering bestaat uit verschillende, gecoördineerde infrastructuurtechnologieën die onafhankelijk van elkaar kunnen worden ingeschakeld. Elke technologie biedt een andere verdedigingslaag tegen geavanceerde bedreigingen. Meer informatie vindt u in Trusted launch for Azure virtual machines.
Important
Voor vertrouwde lancering is het maken van nieuwe virtuele machines vereist. U kunt vertrouwde start niet inschakelen op bestaande virtuele machines die in eerste instantie zijn gemaakt zonder deze.
Vertrouwde start is momenteel beschikbaar als openbare preview. De preview wordt geleverd zonder service level agreement en wordt niet aanbevolen voor productieworkloads. Misschien worden bepaalde functies niet ondersteund of zijn de mogelijkheden ervan beperkt.
De aanbeveling van Security Center, vTPM moet zijn ingeschakeld op ondersteunde virtuele machines, zorgt ervoor dat uw Azure VM's een vTPM gebruiken. Deze gevirtualiseerde versie van een vertrouwde platformmodule voor hardware maakt attestation mogelijk door de volledige opstartketen van uw VM (UEFI, BESTURINGSSYSTEEM, systeem en stuurprogramma's) te meten.
Als de vTPM is ingeschakeld, kan de extensie Voor gastat attestation de beveiligde opstart op afstand valideren. De volgende aanbevelingen zorgen ervoor dat deze extensie wordt geïmplementeerd:
- Secure Boot moet zijn ingeschakeld op ondersteunde Windows virtuele machines
- Guest Attestation-extensie moet worden geïnstalleerd op ondersteunde Windows virtuele machines
- Guest Attestation-extensie moet worden geïnstalleerd op ondersteunde Windows Virtual Machine Scale Sets
- De Gastat attestation-extensie moet worden geïnstalleerd op ondersteunde virtuele Linux-machines
- Guest Attestation-extensie moet worden geïnstalleerd op ondersteunde Linux-Virtual Machine Scale Sets
Meer informatie vindt u in Trusted launch for Azure virtual machines.
Nieuwe aanbevelingen voor het beveiligen van Kubernetes-clusters (in preview)
Met de volgende aanbevelingen kunt u uw Kubernetes-clusters verder beveiligen
- Kubernetes-clusters mogen de standaardnaamruimte niet gebruiken: om te beveiligen tegen onbevoegde toegang voor ConfigMap-, Pod-, Secret-, Service- en ServiceAccount-resourcetypen, voorkomt u het gebruik van de standaardnaamruimte in Kubernetes-clusters.
- Kubernetes-clusters moeten automatisch koppelen van API-referenties uitschakelen: als u wilt voorkomen dat een mogelijk aangetaste Pod-resource API-opdrachten uitvoert op Kubernetes-clusters, schakelt u automatisch koppelen van API-referenties uit.
- Kubernetes-clusters mogen geen CAPSYSADMIN-beveiligingsmogelijkheden verlenen
Meer informatie over hoe Security Center uw containeromgevingen kan beveiligen in containerbeveiliging in Security Center.
Evaluaties-API uitgebreid met twee nieuwe velden
We hebben de volgende twee velden toegevoegd aan de Evaluaties REST API:
- FirstEvaluationDate : de tijd dat de aanbeveling is gemaakt en voor het eerst is geëvalueerd. Geretourneerd als UTC-tijd in ISO 8601-indeling.
- StatusChangeDate : het tijdstip waarop de status van de aanbeveling voor het laatst is gewijzigd. Geretourneerd als UTC-tijd in ISO 8601-indeling.
De initiële standaardwaarde voor deze velden , voor alle aanbevelingen , is 2021-03-14T00:00:00+0000000Z.
Voor toegang tot deze informatie kunt u een van de methoden in de onderstaande tabel gebruiken.
| Tool | Details |
|---|---|
| REST API-aanroep | GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates |
| Azure Resource Graph | securityresourceswhere type == "microsoft.security/assessments" |
| Voortdurende export | De twee toegewezen velden zijn beschikbaar voor de Log Analytics werkruimtegegevens |
| CSV-export | De twee velden zijn opgenomen in de CSV-bestanden |
Meer informatie over de EVALUATIES REST API.
Asset-inventaris haalt een cloudomgevingsfilter op
De inventarispagina van Security Center biedt veel filters om de weergegeven lijst met resources snel te verfijnen. Voor meer informatie raadpleegt u Uw resources verkennen en beheren met assetvoorraad.
Een nieuw filter biedt de mogelijkheid om de lijst te verfijnen op basis van de cloudaccounts die u hebt verbonden met de functie voor meerdere clouds van Security Center.
Meer informatie over de mogelijkheden voor meerdere clouds:
- Connect your AWS accounts to Azure Security Center
- Connect your GCP projects to Azure Security Center
April 2021
De updates in april zijn onder meer:
- Pagina voor vernieuwde resourcestatus (in preview)
- Containerregisterinstallatiekopieën die onlangs zijn opgehaald, worden nu wekelijks opnieuw gescand (vrijgegeven voor algemene beschikbaarheid ))
Gebruik Azure Defender voor Kubernetes om hybride kubernetes-implementaties (in preview) - Microsoft Defender voor Eindpunt-integratie met Azure Defender ondersteunt nu Windows Server 2019 en Windows 10 op Windows Virtual Desktop die is uitgebracht voor algemene beschikbaarheid (GA)
- Aanbevelingen om Azure Defender in te schakelen voor DNS en Resource Manager (in preview)
- De nalevingsstandaarden voor regelgeving zijn toegevoegd: Azure CIS 1.3.0, CMMC Level 3 en New Zealand ISM Restricted
- Vier nieuwe aanbevelingen met betrekking tot gastconfiguratie (in preview)
- CMK-aanbevelingen zijn verplaatst naar aanbevolen procedures voor beveiligingsbeheer
- Eleven Azure Defender waarschuwingen afgeschaft
- Er zijn twee aanbevelingen van beveiligingsupdates voor het toepassen van systeemupdates afgeschaft
- Azure Defender voor SQL op machinetegel verwijderd uit Azure Defender dashboard
- Aanbevelingen zijn verplaatst tussen beveiligingscontroles
Pagina voor vernieuwde resourcestatus (in preview)
Resourcestatus is uitgebreid, verbeterd en verbeterd om een momentopnameweergave te bieden van de algehele status van één resource.
U kunt gedetailleerde informatie bekijken over de resource en alle aanbevelingen die van toepassing zijn op die resource. Als u de geavanceerde beveiligingsplannen van Microsoft Defender gebruikt, ziet u ook openstaande beveiligingswaarschuwingen voor die specifieke resource.
Als u de resourcestatuspagina voor een resource wilt openen, selecteert u een resource op de pagina assetinventaris.
Deze voorbeeldpagina op de portalpagina's van Security Center toont:
- Resourcegegevens : de resourcegroep en het abonnement waaraan deze is gekoppeld, de geografische locatie en meer.
- Applied-beveiligingsfunctie - of Azure Defender is ingeschakeld voor de resource.
- Aantal openstaande aanbevelingen en waarschuwingen - het aantal openstaande beveiligingsaanbevelingen en Azure Defender waarschuwingen.
- Bruikbare aanbevelingen en waarschuwingen : op twee tabbladen worden de aanbevelingen en waarschuwingen vermeld die van toepassing zijn op de resource.
de resourcestatuspagina van 
Meer informatie in zelfstudie: De status van uw resources onderzoeken.
Containerregisterinstallatiekopieën die onlangs zijn opgehaald, worden nu wekelijks opnieuw gescand (vrijgegeven voor algemene beschikbaarheid ))
Azure Defender voor containerregisters bevat een ingebouwde scanner voor beveiligingsproblemen. Deze scanner scant onmiddellijk elke installatiekopie die u naar uw register pusht en elke installatiekopie die in de afgelopen 30 dagen is opgehaald.
Er worden elke dag nieuwe beveiligingsproblemen gedetecteerd. Met deze update worden containerinstallatiekopieën die tijdens de afgelopen 30 dagen zijn opgehaald uit uw registers, elke week opnieuw gescand . Dit zorgt ervoor dat nieuw gedetecteerde beveiligingsproblemen worden geïdentificeerd in uw installatiekopieën.
Scannen wordt per afbeelding in rekening gebracht, dus er worden geen extra kosten in rekening gebracht voor deze nieuwe scans.
Meer informatie over deze scanner vindt u in Gebruik Azure Defender voor containerregisters om uw installatiekopieën te scannen op beveiligingsproblemen.
Gebruik Azure Defender voor Kubernetes om kubernetes-implementaties met meerdere clouds te beveiligen (in preview)
Azure Defender voor Kubernetes breidt de mogelijkheden voor bedreigingsbeveiliging uit om uw clusters te beschermen waar ze ook worden geïmplementeerd. Dit is ingeschakeld door integratie met Azure Arc-enabled Kubernetes en de nieuwe extensions-mogelijkheden.
Wanneer u Azure Arc hebt ingeschakeld voor uw niet-Azure Kubernetes-clusters, wordt een nieuwe aanbeveling van Azure Security Center aanbiedingen gedaan om de Azure Defender-agent erop te implementeren met slechts een paar klikken.
Gebruik de aanbeveling (Azure Arc-ingeschakelde Kubernetes-clusters moeten de extensie van Azure Defender hebben geïnstalleerd) en de extensie om Kubernetes-clusters te beveiligen die zijn geïmplementeerd in andere cloudproviders, maar niet op hun beheerde Kubernetes-services.
Deze integratie tussen Azure Security Center, Azure Defender en Azure Arc kubernetes biedt:
- Eenvoudig inrichten van de Azure Defender-agent voor niet-beveiligde Kubernetes-clusters met Azure Arc (handmatig en op schaal)
- Bewaking van de Azure Defender-agent en de inrichtingsstatus van de Azure Arc-portal
- Beveiligingsaan aanbevelingen van Security Center worden gerapporteerd op de nieuwe beveiligingspagina van de Azure Arc-portal
- Geïdentificeerde beveiligingsrisico's van Azure Defender worden gerapporteerd op de nieuwe pagina Beveiliging van de Azure Arc-portal
- kubernetes-clusters met Azure Arc zijn geïntegreerd in het Azure Security Center-platform en -ervaring
Meer informatie vindt u in Use Azure Defender for Kubernetes with your on-premises and multicloud Kubernetes clusters.
Microsoft Defender voor Eindpunt integratie met Azure Defender ondersteunt nu Windows Server 2019 en Windows 10 op Windows Virtual Desktop die is uitgebracht voor algemene beschikbaarheid (GA)
Microsoft Defender voor Eindpunt is een holistische, cloudoplossing voor eindpuntbeveiliging. Het biedt risicogebaseerd beveiligingsbeheer en -evaluatie, evenals eindpuntdetectie en -respons (EDR). Zie Protect your endpoints with Security Center's integrated EDR solution: Microsoft Defender voor Eindpunt voor een volledige lijst met de voordelen van het gebruik van Defender voor Eindpunt in combinatie met Azure Security Center.
Wanneer u Azure Defender inschakelt voor servers waarop Windows Server wordt uitgevoerd, wordt er een licentie voor Defender voor Eindpunt opgenomen in het abonnement. Als u Azure Defender al hebt ingeschakeld voor servers en u Windows Server 2019 servers in uw abonnement hebt, ontvangen deze automatisch Defender voor Eindpunt met deze update. Er is geen handmatige actie vereist.
De ondersteuning is nu uitgebreid met Windows Server 2019 en Windows 10 op Windows Virtual Desktop.
Note
Als u Defender inschakelt voor Eindpunt op een Windows Server 2019-server, moet u ervoor zorgen dat deze voldoet aan de vereisten die worden beschreven in De integratie van de Microsoft Defender voor Eindpunt.
Aanbevelingen voor het inschakelen van Azure Defender voor DNS en Resource Manager (in preview)
Er zijn twee nieuwe aanbevelingen toegevoegd om het inschakelen van Azure Defender voor Resource Manager en Azure Defender voor DNS te vereenvoudigen:
- Azure Defender voor Resource Manager moet zijn ingeschakeld - Defender voor Resource Manager controleert automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender bedreigingen detecteert en waarschuwt u over verdachte activiteiten.
- Azure Defender voor DNS moet zijn ingeschakeld : Defender voor DNS biedt een extra beveiligingslaag voor uw cloudresources door voortdurend alle DNS-query's van uw Azure-resources te bewaken. Azure Defender waarschuwt u over verdachte activiteiten op de DNS-laag.
Het inschakelen van Azure Defender plannen resulteert in kosten. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center.
Tip
Preview-aanbevelingen zorgen er niet voor dat een resource als beschadigd wordt weergegeven en ze worden niet opgenomen in de berekeningen van uw beveiligde score. Herstel ze waar mogelijk, zodat zij wanneer de preview-periode afloopt zullen bijdragen aan uw score. Meer informatie over hoe u kunt reageren op deze aanbevelingen in Aanbevelingen herstellen in Azure Security Center.
Er zijn drie nalevingsstandaarden toegevoegd voor regelgeving: Azure CIS 1.3.0, CMMC Niveau 3 en Nieuw-Zeeland ISM Restricted
We hebben drie standaarden toegevoegd voor gebruik met Azure Security Center. Met behulp van het dashboard voor naleving van regelgeving kunt u nu uw naleving bijhouden met:
U kunt deze toewijzen aan uw abonnementen, zoals beschreven in De set standaarden aanpassen in uw nalevingsdashboard voor regelgeving.
Meer informatie vindt u in:
- Aanpassen van de set standaarden in uw dashboard voor naleving van regelgeving
- Zelfstudie: Uw naleving van regelgeving verbeteren
- Veelgestelde vragen: dashboard voor Naleving van regelgeving
Vier nieuwe aanbevelingen met betrekking tot gastconfiguratie (in preview)
de Guest Configuration-extensie van Azure rapporteert aan Security Center om ervoor te zorgen dat de in-guest-instellingen van uw virtuele machines worden beveiligd. De extensie is niet vereist voor Arc-servers omdat de extensie is opgenomen in de Arc Connected Machine-agent. Voor de extensie is een door het systeem beheerde identiteit op de computer vereist.
We hebben vier nieuwe aanbevelingen toegevoegd aan Security Center om optimaal gebruik te maken van deze extensie.
In twee aanbevelingen wordt u gevraagd om de extensie en de vereiste door het systeem beheerde identiteit te installeren:
- De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd
- De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit
Wanneer de extensie is geïnstalleerd en wordt uitgevoerd, wordt u gevraagd uw computers te controleren en wordt u gevraagd om instellingen te beveiligen, zoals de configuratie van het besturingssysteem en de omgevingsinstellingen. Deze twee aanbevelingen vragen u om uw Windows- en Linux-machines te beveiligen zoals beschreven:
- Microsoft Defender Exploit Guard moet zijn ingeschakeld op uw computers
- Voor verificatie op Linux-machines moeten SSH-sleutels zijn vereist
Meer informatie vindt u in Onderstand Azure Policy gastconfiguratie.
CMK-aanbevelingen zijn verplaatst naar aanbevolen procedures voor beveiligingsbeheer
Het beveiligingsprogramma van elke organisatie bevat vereisten voor gegevensversleuteling. Standaard worden de gegevens van Azure klanten in rust versleuteld met door de service beheerde sleutels. Door de klant beheerde sleutels (CMK) zijn echter vaak vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met CMK's kunt u uw gegevens versleutelen met een Azure Key Vault sleutel die door u is gemaakt en eigendom is. Dit geeft u volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, inclusief rotatie en beheer.
Azure Security Center beveiligingscontroles zijn logische groepen gerelateerde beveiligingsaanbevelingen en weerspiegelen uw kwetsbare kwetsbaarheid voor aanvallen. Elk besturingselement heeft een maximum aantal punten dat u aan uw beveiligingsscore kunt toevoegen als u alle aanbevelingen in het besturingselement herstelt voor al uw resources. Het beveiligingsbeheer voor aanbevolen beveiligingsprocedures implementeren is nul punten waard. Aanbevelingen in dit besturingselement hebben dus geen invloed op uw beveiligingsscore.
De onderstaande aanbevelingen worden verplaatst naar het beveiligingsbeheer voor aanbevolen beveiligingsprocedures implementeren om hun optionele aard beter weer te geven. Deze verplaatsing zorgt ervoor dat deze aanbevelingen zich in de meest geschikte controle bevinden om te voldoen aan hun doelstelling.
- Azure Cosmos DB accounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen
- Azure Machine Learning werkruimten moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
- Azure AI-services-accounts moeten gegevensversleuteling inschakelen met een door de klant beheerde sleutel (CMK)
- Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
- Voor met SQL beheerde exemplaren moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest
- Voor SQL Server moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest
- Voor opslagaccounts moet een CMK (door de klant beheerde sleutel) worden gebruikt voor versleuteling
Voor meer informatie over welke aanbevelingen zich in elk beveiligingsbeheer bevinden, raadpleegt u Beveiligingscontroles en de bijbehorende aanbevelingen.
11 Azure Defender waarschuwingen afgeschaft
De elf Azure Defender hieronder vermelde waarschuwingen zijn afgeschaft.
Nieuwe waarschuwingen vervangen deze twee waarschuwingen en bieden een betere dekking:
AlertType AlertDisplayName ARM_MicroBurstDomainInfo PREVIEW - De functie Get-AzureDomainInfo van de MicroBurst-toolkit gedetecteerd ARM_MicroBurstRunbook PREVIEW - De functie Get-AzurePasswords van de MicroBurst-toolkit gedetecteerd Deze negen waarschuwingen hebben betrekking op een Microsoft Entra Identity Protection-connector (IPC) die al is afgeschaft:
AlertType AlertDisplayName UnfamiliarLocation Onbekende aanmeldingseigenschappen AnonymousLogin Anoniem IP-adres InfectedDeviceLogin Aan malware gekoppeld IP-adres ImpossibleTravel Atypical travel MaliciousIP Schadelijk IP-adres LeakedCredentials Leaked credentials PasswordSpray Wachtwoordspray LeakedCredentials bedreigingsinformatie Microsoft Entra ID AADAI AI Microsoft Entra ID Tip
Deze negen IPC-waarschuwingen waren nooit Security Center-waarschuwingen. Ze maken deel uit van de Microsoft Entra Identity Protection-connector (IPC) die ze naar Security Center heeft verzonden. De afgelopen twee jaar zijn de enige klanten die deze waarschuwingen zien organisaties die de export (van de connector naar ASC) in 2019 of eerder hebben geconfigureerd. Microsoft Entra ID IPC heeft ze in zijn eigen waarschuwingssystemen blijven zien en ze zijn nog steeds beschikbaar in Microsoft Sentinel. De enige wijziging is dat ze niet meer worden weergegeven in Security Center.
Er zijn twee aanbevelingen van beveiligingsupdates voor het toepassen van systeemupdates afgeschaft
De volgende twee aanbevelingen zijn afgeschaft en de wijzigingen kunnen leiden tot een lichte impact op uw beveiligingsscore:
- Uw machines moeten opnieuw worden opgestart om systeemupdates toe te passen
- De bewakingsagent moet op uw machines worden geïnstalleerd. Deze aanbeveling heeft alleen betrekking op on-premises machines en sommige van de logica worden overgebracht naar een andere aanbeveling, Log Analytics agentstatusproblemen moeten worden opgelost op uw computers
U wordt aangeraden uw configuraties voor continue export en werkstroomautomatisering te controleren om te zien of deze aanbevelingen erin zijn opgenomen. Daarnaast moeten dashboards of andere hulpprogramma's voor bewaking die hiervan gebruik kunnen maken, dienovereenkomstig worden bijgewerkt.
Azure Defender voor SQL op machinetegel verwijderd uit Azure Defender dashboard
Het dekkingsgebied van het Azure Defender dashboard bevat tegels voor de relevante Azure Defender plannen voor uw omgeving. Vanwege een probleem met het rapporteren van het aantal beveiligde en niet-beveiligde resources, hebben we besloten om de status van de resourcedekking voor Azure Defender voor SQL op computers tijdelijk te verwijderen totdat het probleem is opgelost.
Aanbevelingen die zijn verplaatst tussen beveiligingscontroles
De volgende aanbevelingen zijn verplaatst naar verschillende beveiligingscontroles. Beveiligingscontroles zijn logische groepen gerelateerde beveiligingsaanbevelingen en weerspiegelen uw kwetsbare kwetsbaarheid voor aanvallen. Deze stap zorgt ervoor dat elk van deze aanbevelingen zich in de meest geschikte controle bevindt om te voldoen aan het doel ervan.
Voor meer informatie over welke aanbevelingen zich in elk beveiligingsbeheer bevinden, raadpleegt u Beveiligingscontroles en de bijbehorende aanbevelingen.
| Recommendation | Wijziging en impact |
|---|---|
| De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers De evaluatie van beveiligingsproblemen moet worden ingeschakeld voor uw beheerde SQL-exemplaren Beveiligingsproblemen in uw SQL-databases moeten worden hersteld Beveiligingsproblemen op uw SQL-databases in VM's moeten worden hersteld |
Overstappen van beveiligingsproblemen herstellen (zes punten waard) om beveiligingsconfiguraties te herstellen (vier punten waard). Afhankelijk van uw omgeving hebben deze aanbevelingen een verminderde impact op uw score. |
| Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement Automation-accountvariabelen moeten worden versleuteld IoT-apparaten : het gecontroleerde proces heeft het verzenden van gebeurtenissen gestopt IoT-apparaten: validatiefout voor besturingssysteembasislijn IoT-apparaten : upgrade van TLS-coderingssuite vereist IoT-apparaten - Poorten op apparaat openen IoT-apparaten : het permissieve firewallbeleid in een van de ketens is gevonden IoT-apparaten: een missieve firewallregel in de invoerketen is gevonden IoT-apparaten: er is een permissieve firewallregel in de uitvoerketen gevonden Diagnostische logboeken in IoT Hub moeten zijn ingeschakeld IoT-apparaten - Agent die onderbenutte berichten verzendt IoT-apparaten: standaard-IP-filterbeleid moet worden geweigerd IoT-apparaten - IP-filterregel groot IP-bereik IoT-apparaten: intervallen en grootte van agentberichten moeten worden aangepast IoT-apparaten - Identieke verificatiereferenties IoT-apparaten : gecontroleerd proces stopt met het verzenden van gebeurtenissen IoT-apparaten: de basislijnconfiguratie van het besturingssysteem (OS) moet worden opgelost |
Overstappen op het implementeren van best practices voor beveiliging. Wanneer een aanbeveling wordt verplaatst naar het beveiligingsbeheer voor aanbevolen beveiligingsprocedures implementeren, wat geen punten waard is, heeft de aanbeveling geen invloed meer op uw beveiligingsscore. |
maart 2021
Updates in maart zijn onder andere:
- Azure Firewall beheer geïntegreerd in Security Center
- Evaluatie van SQL-beveiligingsproblemen bevat nu de ervaring 'Regel uitschakelen' (preview)
- Azure Monitor-werkmappen geïntegreerd in Security Center en drie sjablonen
- Regulatory Compliance dashboard bevat nu Azure Auditrapporten (preview)
- Aanbevelingsgegevens kunnen worden weergegeven in Azure Resource Graph met 'Verkennen in ARG'
- Updates voor het beleid voor het implementeren van werkstroomautomatisering
- Two verouderde aanbevelingen schrijven geen gegevens meer rechtstreeks naar Azure activiteitenlogboek
- Verbeteringen op de pagina Aanbevelingen
Azure Firewall-beheer geïntegreerd in Security Center
Wanneer u Azure Security Center opent, wordt de eerste pagina weergegeven als de overzichtspagina.
Dit interactieve dashboard biedt een uniforme weergave van de beveiligingspostuur van uw hybride cloudworkloads. Bovendien worden er naast andere informatie beveiligingswaarschuwingen en informatie over de dekking weergegeven.
Als onderdeel van het bekijken van uw beveiligingsstatus vanuit een centrale ervaring, hebben we de Azure Firewall Manager in dit dashboard geïntegreerd. U kunt nu de firewalldekkingsstatus controleren in alle netwerken en Azure Firewall beleid centraal beheren vanaf Security Center.
Meer informatie over dit dashboard vindt u op de overzichtspagina van Azure Security Center.
Evaluatie van SQL-beveiligingsproblemen bevat nu de ervaring 'Regel uitschakelen' (preview)
Security Center bevat een ingebouwde scanner voor beveiligingsproblemen om potentiële beveiligingsproblemen te detecteren, bij te houden en op te lossen. De resultaten van uw evaluatiescans bieden een overzicht van de beveiligingsstatus van uw SQL-machines en details van eventuele beveiligingsresultaten.
Als u een organisatorische behoefte hebt om een resultaat te negeren in plaats van dit te herstellen, kunt u het eventueel uitschakelen. Uitgeschakelde resultaten hebben geen invloed op uw beveiligingsscore en genereren geen ongewenste ruis.
Meer informatie vindt u in Specifieke bevindingen uitschakelen.
Azure Monitor Werkmappen geïntegreerd in Security Center en drie beschikbare sjablonen
Als onderdeel van Ignite Spring 2021 hebben we een geïntegreerde Azure Monitor Workbooks-ervaring aangekondigd in Security Center.
U kunt de nieuwe integratie gebruiken om de standaardsjablonen uit de galerie van Security Center te gebruiken. Met behulp van werkmapsjablonen kunt u dynamische en visuele rapporten openen en bouwen om het beveiligingspostuur van uw organisatie bij te houden. Daarnaast kunt u nieuwe werkmappen maken op basis van Security Center-gegevens of andere ondersteunde gegevenstypen en snel communitywerkmappen implementeren vanuit de GitHub community van Security Center.
Er zijn drie sjablonenrapporten beschikbaar:
- Beveiligingsscore in de loop van de tijd : de scores en wijzigingen van uw abonnementen bijhouden in aanbevelingen voor uw resources
- Systeemupdates : ontbrekende systeemupdates weergeven op resources, besturingssysteem, ernst en meer
- Bevindbaarheidsbeoordelingsresultaten - Bekijk de resultaten van beveiligingsscans van uw Azure resources
Meer informatie over het gebruik van deze rapporten of het bouwen van uw eigen rapporten in Uitgebreide, interactieve rapporten van Security Center-gegevens.
Dashboard naleving van regelgeving bevat nu Azure Auditrapporten (preview)
Op de werkbalk van het dashboard voor naleving van regelgeving kunt u nu Azure en Dynamics certificeringsrapporten downloaden.
U kunt het tabblad selecteren voor de relevante rapportentypen (PCI, SOC, ISO en andere) en filters gebruiken om de specifieke rapporten te vinden die u nodig hebt.
Meer informatie over het beheren van de standaarden in uw dashboard voor naleving van regelgeving.
Aanbevelingsgegevens kunnen worden weergegeven in Azure Resource Graph met 'Verkennen in ARG'
De pagina's met aanbevelingsgegevens bevatten nu de werkbalkknop Verkennen in ARG. Gebruik deze knop om een Azure Resource Graph query te openen en de gegevens van de aanbeveling te verkennen, te exporteren en te delen.
Azure Resource Graph (ARG) biedt directe toegang tot resourcegegevens in uw cloudomgevingen met robuuste filter-, groeperings- en sorteermogelijkheden. Het is een snelle en efficiënte manier om programmatisch of vanuit de Azure portal query's uit te voeren op gegevens in Azure abonnementen.
Meer informatie over Azure Resource Graph.
Updates voor het beleid voor het implementeren van werkstroomautomatisering
Het automatiseren van de processen voor bewaking en reageren op incidenten van uw organisatie kan de tijd die nodig is om beveiligingsincidenten te onderzoeken en te verhelpen aanzienlijk verbeteren.
We bieden drie Azure Policy 'DeployIfNotExist'-beleid waarmee werkstroomautomatiseringsprocedures worden gemaakt en geconfigureerd, zodat u uw automatiseringen in uw organisatie kunt implementeren:
| Goal | Policy | Beleids-id |
|---|---|---|
| Werkstroomautomatisering voor beveiligingswaarschuwingen | Werkstroomautomatisering implementeren voor Azure Security Center waarschuwingen | f1525828-9a90-4fcf-be48-268cdd02361e |
| Werkstroomautomatisering voor beveiligingsaanbevelingen | Werkstroomautomatisering implementeren voor Azure Security Center aanbevelingen | 73d6ab6c-2475-4850-afd6-43795f3492ef |
| Werkstroomautomatisering voor wijzigingen in naleving van regelgeving | Werkstroomautomatisering implementeren voor Azure Security Center naleving van regelgeving | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
Er zijn twee updates voor de functies van dit beleid:
- Wanneer ze worden toegewezen, blijven ze ingeschakeld door afdwinging.
- U kunt deze beleidsregels nu aanpassen en alle parameters bijwerken, zelfs nadat ze al zijn geïmplementeerd. U kunt bijvoorbeeld een evaluatiesleutel toevoegen of bewerken.
Aan de slag met werkstroomautomatiseringssjablonen.
Meer informatie over het automatiseren van reacties op Security Center-triggers.
Twee verouderde aanbevelingen schrijven geen gegevens meer rechtstreeks naar Azure activiteitenlogboek
Security Center geeft de gegevens door aan Azure Advisor, die op zijn beurt worden geschreven naar Azure activiteitenlogboek.
Voor twee aanbevelingen worden de gegevens gelijktijdig naar Azure activiteitenlogboek geschreven. Met deze wijziging stopt Security Center met het schrijven van gegevens voor deze verouderde beveiligingsaanaanvelingsaankopen rechtstreeks naar activiteitenlogboek. In plaats daarvan exporteren we de gegevens naar Azure Advisor, net als voor alle andere aanbevelingen.
De twee verouderde aanbevelingen zijn:
- Statusproblemen met eindpuntbescherming moeten worden opgelost voor uw machines
- Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld
Als u toegang hebt tot gegevens voor deze twee aanbevelingen in de categorie Aanbeveling van het type TaskDiscovery van het activiteitenlogboek, is dit niet meer beschikbaar.
Verbeteringen op de pagina Aanbevelingen
We hebben een verbeterde versie van de lijst met aanbevelingen uitgebracht om in één oogopslag meer informatie weer te geven.
Nu ziet u op de pagina het volgende:
- De maximumscore en huidige score voor elk beveiligingsbeheer.
- Pictogrammen die tags vervangen, zoals Fix en Preview.
- Een nieuwe kolom met het beleidsinitiatief met betrekking tot elke aanbeveling, zichtbaar wanneer Groeperen op besturingselementen is uitgeschakeld.
Meer informatie vindt u in Beveiligingsaanaanveling in Azure Security Center.
Februari 2021
Updates in februari zijn onder andere:
- Nieuwe pagina met beveiligingswaarschuwingen in de Azure-portal die is uitgebracht voor algemene beschikbaarheid (GA)
- Aanbevelingen voor Kubernetes-workloadbeveiliging die zijn uitgebracht voor algemene beschikbaarheid (GA)
- Microsoft Defender voor Eindpunt-integratie met Azure Defender ondersteunt nu Windows Server 2019 en Windows 10 op Windows Virtual Desktop (in preview)
- Directe koppeling naar beleid vanaf de pagina met aanbevelingsdetails
- Aanbeveling voor SQL-gegevensclassificatie heeft geen invloed meer op uw beveiligingsscore
- Werkstroomautomatiseringen kunnen worden geactiveerd door wijzigingen in nalevingsevaluaties voor regelgeving (in preview)
- Verbeteringen op de pagina Assetinventaris
De pagina Nieuwe beveiligingswaarschuwingen in de Azure-portal die is uitgebracht voor algemene beschikbaarheid (GA)
de pagina met beveiligingswaarschuwingen van Azure Security Center is opnieuw ontworpen om het volgende te bieden:
- Verbeterde triage-ervaring voor waarschuwingen: om de vermoeidheid van waarschuwingen te verminderen en u te richten op de meest relevante bedreigingen, bevat de lijst aanpasbare filters en groeperingsopties.
- Meer informatie in de lijst met waarschuwingen, zoals MITRE ATT&ACK-tactieken.
- Button om voorbeeldwaarschuwingen te maken : om Azure Defender mogelijkheden te evalueren en uw waarschuwingen te testen. configuratie (voor SIEM-integratie, e-mailmeldingen en werkstroomautomatiseringen), kunt u voorbeeldwaarschuwingen maken van alle Azure Defender-abonnementen.
- Alignment with Azure Sentinel's incident experience - voor klanten die beide producten gebruiken, is nu een eenvoudigere ervaring en is het gemakkelijk om er een van de andere te leren.
- Betere prestaties voor grote lijsten met waarschuwingen.
- Toetsenbordnavigatie via de lijst met waarschuwingen.
- Alerts van Azure Resource Graph: u kunt query's uitvoeren op waarschuwingen in Azure Resource Graph, de Kusto-achtige API voor al uw resources. Dit is ook handig als u uw eigen waarschuwingendashboards bouwt. Meer informatie over Azure Resource Graph.
- Functie voorbeeldwaarschuwingen maken - Zie Voorbeelden Azure Defender waarschuwingen genereren als u voorbeeldwaarschuwingen wilt maken op basis van de nieuwe waarschuwingservaring.
Aanbevelingen voor Kubernetes-workloadbeveiliging die zijn uitgebracht voor algemene beschikbaarheid (GA)
We kondigen de algemene beschikbaarheid (GA) van de set aanbevelingen voor Kubernetes-workloadbeveiligingen aan.
Om ervoor te zorgen dat Kubernetes-workloads standaard beveiligd zijn, heeft Security Center aanbevelingen voor beveiliging op Kubernetes-niveau toegevoegd, waaronder afdwingingsopties met Kubernetes-toegangsbeheer.
Wanneer Azure Policy voor Kubernetes is geïnstalleerd op uw Azure Kubernetes Service (AKS)-cluster, wordt elke aanvraag naar de Kubernetes-API-server gecontroleerd op basis van de vooraf gedefinieerde set aanbevolen procedures( weergegeven als 13 beveiligingsaanbevelingsaanbeveling) voordat deze wordt bewaard naar het cluster. Vervolgens kunt u instellingen configureren om de aanbevolen procedures af te dwingen en ze te verplichten voor toekomstige workloads.
U kunt er bijvoorbeeld voor zorgen dat containers met machtigingen niet moeten worden gemaakt, en toekomstige aanvragen hiervoor worden dan geblokkeerd.
Meer informatie vindt u in Aanbevolen procedures voor workloadbeveiliging met behulp van Kubernetes Admission Control.
Note
Hoewel de aanbevelingen in preview waren, hebben ze geen AKS-clusterresource in orde gemaakt en zijn ze niet opgenomen in de berekeningen van uw beveiligingsscore. Met deze algemene beschikbaarheidsaankondiging worden deze opgenomen in de scoreberekening. Als u ze nog niet hebt hersteld, kan dit leiden tot een lichte impact op uw beveiligingsscore. Herstel ze waar mogelijk zoals beschreven in Aanbevelingen herstellen in Azure Security Center.
Microsoft Defender voor Eindpunt integratie met Azure Defender ondersteunt nu Windows Server 2019 en Windows 10 op Windows Virtual Desktop (in preview)
Microsoft Defender voor Eindpunt is een holistische, cloudoplossing voor eindpuntbeveiliging. Het biedt risicogebaseerd beveiligingsbeheer en -evaluatie, evenals eindpuntdetectie en -respons (EDR). Zie Protect your endpoints with Security Center's integrated EDR solution: Microsoft Defender voor Eindpunt voor een volledige lijst met de voordelen van het gebruik van Defender voor Eindpunt in combinatie met Azure Security Center.
Wanneer u Azure Defender inschakelt voor servers waarop Windows Server wordt uitgevoerd, wordt er een licentie voor Defender voor Eindpunt opgenomen in het abonnement. Als u Azure Defender al hebt ingeschakeld voor servers en u Windows Server 2019 servers in uw abonnement hebt, ontvangen deze automatisch Defender voor Eindpunt met deze update. Er is geen handmatige actie vereist.
De ondersteuning is nu uitgebreid met Windows Server 2019 en Windows 10 op Windows Virtual Desktop.
Note
Als u Defender inschakelt voor Eindpunt op een Windows Server 2019-server, moet u ervoor zorgen dat deze voldoet aan de vereisten die worden beschreven in De integratie van de Microsoft Defender voor Eindpunt.
Directe koppeling naar beleid vanaf de pagina met aanbevelingsdetails
Wanneer u de details van een aanbeveling bekijkt, is het vaak handig om het onderliggende beleid te kunnen zien. Voor elke aanbeveling die wordt ondersteund door een beleid, is er een nieuwe koppeling op de pagina met aanbevelingsgegevens:
Gebruik deze koppeling om de beleidsdefinitie weer te geven en de evaluatielogica te controleren.
Aanbeveling voor SQL-gegevensclassificatie heeft geen invloed meer op uw beveiligingsscore
De aanbeveling Gevoelige gegevens in uw SQL-databases moeten worden geclassificeerd , heeft geen invloed meer op uw beveiligingsscore. Het beveiligingsbeheer Gegevensclassificatie toepassen die deze bevat, heeft nu een beveiligingsscorewaarde van 0.
Zie Beveiligingscontroles en hun aanbevelingen voor een volledige lijst met alle beveiligingscontroles, samen met hun scores en een lijst met de aanbevelingen.
Werkstroomautomatiseringen kunnen worden geactiveerd door wijzigingen in nalevingsevaluaties voor regelgeving (in preview)
We hebben een derde gegevenstype toegevoegd aan de triggeropties voor uw werkstroomautomatiseringen: wijzigingen in nalevingsbeoordelingen voor regelgeving.
Meer informatie over het gebruik van de hulpprogramma's voor werkstroomautomatisering in Reacties op Security Center-triggers automatiseren.
Verbeteringen op de pagina Assetinventaris
De inventarispagina van Security Center is verbeterd:
Samenvattingen boven aan de pagina bevatten nu niet-geregistreerde abonnementen, met het aantal abonnementen waarvoor Security Center niet is ingeschakeld.
Filters zijn uitgebreid en uitgebreid om het volgende op te nemen:
Aantal- Elk filter geeft het aantal resources weer dat voldoet aan de criteria van elke categorie
Bevat het filter uitzonderingen (optioneel): beperkt de resultaten tot resources die geen uitzonderingen hebben. Dit filter wordt niet standaard weergegeven, maar is toegankelijk via de knop Filter toevoegen .
Meer informatie over het verkennen en beheren van uw resources met assetinventaris.
Januari 2021
Updates in januari zijn onder andere:
- Azure Security Benchmark is nu het standaardbeleidsinitiatief voor Azure Security Center
- Evaluatie van beveiligingsproblemen voor on-premises en multicloudmachines wordt uitgebracht voor algemene beschikbaarheid (GA)
- Veiligheidsscore voor beheergroepen is nu beschikbaar als preview-versie
- Secure Score-API wordt uitgebracht voor algemene beschikbaarheid (GA)
- Dangling DNS-beveiligingen toegevoegd aan Azure Defender voor App Service
- Connectors met meerdere clouds worden uitgebracht voor algemene beschikbaarheid (GA)
- Volledige aanbevelingen uitsluiten van uw beveiligingsscore voor abonnementen en beheergroepen
- Gebruikers kunnen nu tenantbrede zichtbaarheid aanvragen bij hun globale beheerder
- 35 preview-aanbevelingen toegevoegd om de dekking van Azure Security Benchmark
- CSV-export van een gefilterde lijst met aanbevelingen
- "Niet van toepassing" resources worden nu gerapporteerd als 'Compatibel' in Azure Policy evaluaties
- Wekelijkse momentopnamen van veiligheidsscores en nalevingsgegevens van de regelgeving exporteren met doorlopend exporteren (preview-versie)
Azure Security Benchmark is nu het standaardbeleidsinitiatief voor Azure Security Center
Azure Security Benchmark is de door Microsoft geschreven, Azure specifieke set richtlijnen voor best practices voor beveiliging en naleving op basis van algemene nalevingsframeworks. Deze algemeen gerespecteerde benchmark bouwt voort op de controles van het Center for Internet Security (CIS) en het National Institute of Standards and Technology (NIST) met een focus op cloudgerichte beveiliging.
De afgelopen maanden is de lijst met ingebouwde beveiligingsaanbevelingen van Security Center aanzienlijk gegroeid om onze dekking van deze benchmark uit te breiden.
Vanuit deze release vormt de benchmark de basis voor de aanbevelingen van Security Center en volledig geïntegreerd als het standaardbeleidsinitiatief.
Alle Azure-services hebben een beveiligingsbasislijnpagina in hun documentatie. Deze basislijnen zijn gebaseerd op Azure Security Benchmark.
Als u het dashboard voor naleving van regelgeving van Security Center gebruikt, ziet u twee exemplaren van de benchmark tijdens een overgangsperiode:
Bestaande aanbevelingen worden niet beïnvloed en naarmate de benchmark groeit, worden wijzigingen automatisch doorgevoerd in Security Center.
Zie de volgende pagina's voor meer informatie:
- Meer informatie over Azure Security Benchmark
- Aanpassen van de set standaarden in uw dashboard voor naleving van regelgeving
Evaluatie van beveiligingsproblemen voor on-premises en multicloudmachines wordt uitgebracht voor algemene beschikbaarheid (GA)
In oktober hebben we een preview aangekondigd voor het scannen van Azure Arc servers met Azure Defender voor Servers geïntegreerde scanner voor evaluatie van beveiligingsproblemen (mogelijk gemaakt door Qualys).
Het wordt nu uitgebracht voor algemene beschikbaarheid (GA).
Wanneer u Azure Arc hebt ingeschakeld op uw niet-Azure machines, biedt Security Center aan om de geïntegreerde scanner voor beveiligingsproblemen op deze machines handmatig en op schaal te implementeren.
Met deze update kunt u de kracht van Azure Defender voor Servers ontketenen om uw programma voor beveiligingsproblemen te consolideren voor al uw Azure en niet-Azure assets.
Belangrijkste mogelijkheden:
- De inrichtingsstatus van de SCANNER van de VA (evaluatie van beveiligingsproblemen) bewaken op Azure Arc machines
- De geïntegreerde VA-agent inrichten voor niet-beveiligde Windows- en Linux-Azure Arc-machines (handmatig en op schaal)
- Ontvangen en analyseren van gedetecteerde beveiligingsproblemen afkomstig van geïmplementeerde agents (handmatig en op schaal)
- Geïntegreerde ervaring voor Azure VM's en Azure Arc machines
Meer informatie over servers met Azure Arc.
Veiligheidsscore voor beheergroepen is nu beschikbaar als preview-versie
Op de pagina secure score worden nu de geaggregeerde beveiligde scores voor uw beheergroepen weergegeven, naast het abonnementsniveau. U kunt nu dus de lijst met beheergroepen in uw organisatie en de score voor elke beheergroep bekijken.
Meer informatie over secure score and security controls in Azure Security Center.
Secure Score-API wordt uitgebracht voor algemene beschikbaarheid (GA)
U hebt nu toegang tot uw score via de secure score-API. De API-methoden bieden de flexibiliteit om query's uit te voeren op de gegevens en uw eigen rapportagemechanisme te bouwen van uw beveiligingsscores in de loop van de tijd. Voorbeeld:
- de SECURE Scores-API gebruiken om de score voor een specifiek abonnement op te halen
- de API voor Secure Score Controls gebruiken om de beveiligingsbesturingselementen en de huidige score van uw abonnementen weer te geven
Meer informatie over externe hulpprogramma's die mogelijk zijn gemaakt met de SECURE Score API in the secure score area of our GitHub community.
Meer informatie over secure score and security controls in Azure Security Center.
Zwevende DNS-beveiligingen toegevoegd aan Azure Defender voor App Service
Overnames van subdomeinen zijn een veelvoorkomende bedreiging met hoge ernst voor organisaties. Een overname van subdomeinen kan optreden wanneer u een DNS-record hebt die verwijst naar een niet-ingerichte website. Dergelijke DNS-records worden ook wel 'zwevende DNS-vermeldingen' genoemd. Met name CNAME-records zijn kwetsbaar voor deze bedreiging.
Met overnames van subdomeinen kunnen bedreigingsactoren verkeer dat is bedoeld voor het domein van een organisatie, omleiden naar een site die schadelijke activiteiten uitvoert.
Azure Defender voor App Service detecteert nu zwevende DNS-vermeldingen wanneer een App Service-website buiten gebruik wordt gesteld. Dit is het moment waarop de DNS-vermelding verwijst naar een resource die niet bestaat en uw website kwetsbaar is voor een overname van subdomeinen. Deze beveiligingen zijn beschikbaar, ongeacht of uw domeinen worden beheerd met Azure DNS of een externe domeinregistrar en van toepassing zijn op zowel App Service op Windows als App Service op Linux.
Meer informatie:
- App Service-waarschuwingstabel - Bevat twee nieuwe Azure Defender-waarschuwingen die worden geactiveerd wanneer een zwevende DNS-vermelding wordt gedetecteerd
- Zwevende DNS-vermeldingen voorkomen en overname van subdomeinen voorkomen - Meer informatie over de bedreiging van overname van subdomeinen en het zwevende DNS-aspect
- Invoer voor Azure Defender voor App Service
Connectors met meerdere clouds worden uitgebracht voor algemene beschikbaarheid (GA)
Veel workloads in de cloud beslaan meerdere cloudplatforms, dus moeten cloudbeveiligingsservices hetzelfde doen.
Azure Security Center beschermt workloads in Azure, Amazon Web Services (AWS) en Google Cloud Platform (GCP).
Het verbinden van uw AWS- of GCP-projecten integreert hun systeemeigen beveiligingshulpprogramma's zoals AWS Security Hub en GCP Security Command Center in Azure Security Center.
Deze mogelijkheid betekent dat Security Center zichtbaarheid en beveiliging biedt in alle belangrijke cloudomgevingen. Enkele voordelen van deze integratie:
- Automatische inrichting van agents - Security Center maakt gebruik van Azure Arc om de Log Analytics-agent te implementeren in uw AWS-exemplaren
- Beleidsbeheer
- Beheer van beveiligingsproblemen
- Geïntegreerde eindpuntdetectie en -respons (EDR)
- Detectie van onjuiste beveiligingsconfiguraties
- Eén weergave met beveiligingsaanaanveling van alle cloudproviders
- Al uw resources opnemen in de berekeningen van beveiligingsscores van Security Center
- Evaluaties van naleving van regelgeving van uw AWS- en GCP-resources
Selecteer in het menu van Defender voor Cloud Multicloud-connectors en u ziet de opties voor het maken van nieuwe connectors:
Meer informatie vindt u in:
- Connect your AWS accounts to Azure Security Center
- Connect your GCP projects to Azure Security Center
Volledige aanbevelingen uitsluiten van uw beveiligingsscore voor abonnementen en beheergroepen
De uitzonderingsmogelijkheid wordt uitgebreid met volledige aanbevelingen. Biedt verdere opties om de beveiligingsaanbeveling af te stemmen die Security Center doet voor uw abonnementen, beheergroep of resources.
Af en toe wordt een resource vermeld als beschadigd wanneer u weet dat het probleem wordt opgelost door een hulpprogramma van derden dat door Security Center niet is gedetecteerd. Of een aanbeveling wordt weergegeven in een bereik waar u denkt dat het niet hoort. De aanbeveling is mogelijk ongepast voor een specifiek abonnement. Of misschien heeft uw organisatie besloten de risico's met betrekking tot de specifieke resource of aanbeveling te accepteren.
Met deze preview-functie kunt u nu een uitzondering maken voor een aanbeveling voor het volgende:
Sluit een resource uit om ervoor te zorgen dat deze niet wordt vermeld met de beschadigde resources in de toekomst en heeft geen invloed op uw beveiligingsscore. De resource wordt weergegeven als niet van toepassing en de reden wordt weergegeven als 'uitgesloten' met de specifieke reden die u selecteert.
Sluit een abonnement of beheergroep uit om ervoor te zorgen dat de aanbeveling geen invloed heeft op uw beveiligingsscore en in de toekomst niet meer wordt weergegeven voor het abonnement of de beheergroep. Dit heeft betrekking op bestaande resources en alle resources die u in de toekomst maakt. De aanbeveling wordt gemarkeerd met de specifieke reden die u selecteert voor het bereik dat u hebt geselecteerd.
Meer informatie over het uitsluiten van resources en aanbevelingen van uw beveiligingsscore.
Gebruikers kunnen nu tenantbrede zichtbaarheid aanvragen bij hun globale beheerder
Als een gebruiker geen machtigingen heeft om Security Center-gegevens te zien, ziet deze nu een koppeling om machtigingen aan te vragen van de globale beheerder van de organisatie. De aanvraag bevat de gewenste rol en de reden waarom dit nodig is.
Meer informatie over machtigingen voor de hele tenant aanvragen wanneer uw machtigingen onvoldoende zijn.
35 preview-aanbevelingen toegevoegd om de dekking van Azure Security Benchmark te verhogen
Azure Security Benchmark is het standaardbeleidsinitiatief in Azure Security Center.
Om de dekking van deze benchmark te verhogen, zijn de volgende 35 preview-aanbevelingen toegevoegd aan Security Center.
Tip
Preview-aanbevelingen zorgen er niet voor dat een resource als beschadigd wordt weergegeven en ze worden niet opgenomen in de berekeningen van uw beveiligde score. Herstel ze waar mogelijk, zodat zij wanneer de preview-periode afloopt zullen bijdragen aan uw score. Meer informatie over hoe u kunt reageren op deze aanbevelingen in Aanbevelingen herstellen in Azure Security Center.
| Beveiligingsbeheer | Nieuwe aanbevelingen |
|---|---|
| Versleuteling at-rest inschakelen | - Azure Cosmos DB accounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen - Azure Machine Learning werkruimten moeten worden versleuteld met een door de klant beheerde sleutel (CMK) - BYOK-gegevensversleuteling moet zijn ingeschakeld voor MySQL-servers - BYOK-gegevensversleuteling moet zijn ingeschakeld voor PostgreSQL-servers - Azure AI-services accounts moeten gegevensversleuteling inschakelen met een door de klant beheerde sleutel (CMK) - Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel (CMK) - Voor SQL Managed Instance moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest - Voor SQL Server moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest - Voor opslagaccounts moet een door de klant beheerde sleutel (CMK) worden gebruikt voor versleuteling |
| Best practices voor beveiliging implementeren | - Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten - Automatische inrichting van de Log Analytics-agent moet zijn ingeschakeld voor uw abonnement - E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld - E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld - Beveiliging tegen leegmaken moet zijn ingeschakeld voor sleutelkluizen - Voorlopig verwijderen moet zijn ingeschakeld voor sleutelkluizen |
| Toegang en machtigingen beheren | - Clientcertificaten (binnenkomende clientcertificaten) moeten voor functie-apps zijn ingeschakeld |
| Toepassingen beschermen tegen DDoS-aanvallen | - Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway - Web Application Firewall (WAF) moet zijn ingeschakeld voor Azure Front Door Service-service |
| Onbevoegde netwerktoegang beperken | - Firewall moet zijn ingeschakeld op Key Vault - Privé-eindpunt moet worden geconfigureerd voor Key Vault - Voor App Configuration moeten privékoppelingen worden gebruikt - Azure Cache voor Redis moet zich in een virtueel netwerk bevinden - Azure Event Grid domeinen moeten private link gebruiken - Azure Event Grid onderwerpen moeten private link gebruiken - Azure Machine Learning werkruimten moeten private link gebruiken - Azure SignalR Service moet private link gebruiken - Azure Spring Cloud moet netwerkinjectie gebruiken - Containerregisters mogen geen onbeperkte netwerktoegang toestaan - Voor containerregisters moet Private Link worden gebruikt - Openbare netwerktoegang moet worden uitgeschakeld voor MariaDB-servers - Openbare netwerktoegang moet worden uitgeschakeld voor MySQL-servers - Openbare netwerktoegang moet worden uitgeschakeld voor PostgreSQL-servers - Voor een opslagaccount moet een Private Link-verbinding worden gebruikt - Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken - Voor VM Image Builder-sjablonen moet Private Link worden gebruikt |
Verwante koppelingen:
- Meer informatie over Azure Security Benchmark
- Meer informatie over Azure Database for MariaDB
- Meer informatie over Azure Database for MySQL
- Meer informatie over Azure Database for PostgreSQL
CSV-export van een gefilterde lijst met aanbevelingen
In november 2020 hebben we filters toegevoegd aan de pagina met aanbevelingen.
Met deze aankondiging veranderen we het gedrag van de knop Downloaden naar CSV, zodat de CSV-export alleen de aanbevelingen omvat die momenteel worden weergegeven in de gefilterde lijst.
In de onderstaande afbeelding ziet u bijvoorbeeld dat de lijst is gefilterd op twee aanbevelingen. Het gegenereerde CSV-bestand omvat de statusgegevens voor elke resource die door deze twee aanbevelingen wordt beïnvloed.
Meer informatie vindt u in Beveiligingsaanaanveling in Azure Security Center.
Resources die niet van toepassing zijn, worden nu gerapporteerd als 'Compatibel' in Azure Policy evaluaties
Eerder werden resources die zijn geëvalueerd voor een aanbeveling en gevonden dat ze niet van toepassing werden weergegeven in Azure Policy als 'Niet-compatibel'. Gebruikersacties kunnen hun status niet wijzigen in 'Compatibel'. Met deze wijziging worden ze gerapporteerd als 'Compatibel' voor een betere duidelijkheid.
De enige impact wordt weergegeven in Azure Policy waar het aantal compatibele resources toeneemt. Er is geen invloed op uw beveiligingsscore in Azure Security Center.
Wekelijkse momentopnamen van veiligheidsscores en nalevingsgegevens van de regelgeving exporteren met doorlopend exporteren (preview-versie)
We hebben een nieuwe preview-functie toegevoegd aan de hulpprogramma's voor continue export voor het exporteren van wekelijkse momentopnamen van beveiligingsscore- en nalevingsgegevens voor regelgeving.
Wanneer u een continue export definieert, stelt u de exportfrequentie in:
- Streaming : evaluaties worden verzonden wanneer de status van een resource wordt bijgewerkt (als er geen updates plaatsvinden, worden er geen gegevens verzonden).
- Momentopnamen: een momentopname van de huidige status van alle nalevingsevaluaties voor regelgeving wordt elke week verzonden (dit is een preview-functie voor wekelijkse momentopnamen van beveiligde scores en nalevingsgegevens voor regelgeving).
Meer informatie over de volledige mogelijkheden van deze functie in het continu exporteren van Security Center-gegevens.
December 2020
Updates in december omvatten:
- Azure Defender voor SQL-servers op computers is algemeen beschikbaar
- Azure Defender voor SQL-ondersteuning voor Azure Synapse Analytics toegewezen SQL-pool is algemeen beschikbaar
- Globale beheerders kunnen nu machtigingen op tenantniveau aan zichzelf verlenen
- Two new Azure Defender plans: Azure Defender for DNS and Azure Defender for Resource Manager (in preview)
- Pagina Met nieuwe beveiligingswaarschuwingen in de Azure-portal (preview)
Revitalized Security Center-ervaring in Azure SQL Database & SQL Managed Instance - Tools en filters voor inventarisatie van activa bijgewerkt
- Aanbeveling over web-apps die SSL-certificaten aanvragen die geen deel meer uitmaken van beveiligde score
- De aanbevelingspagina bevat nieuwe filters voor omgeving, ernst en beschikbare reacties
- Continue export haalt nieuwe gegevenstypen en verbeterde deployifnotexist-beleidsregels op
Azure Defender voor SQL-servers op computers is algemeen beschikbaar
Azure Security Center biedt twee Azure Defender-abonnementen voor SQL-servers:
- Azure Defender voor Azure SQL databaseservers - beschermt uw Azure systeemeigen SQL-servers
- Azure Defender voor SQL-servers op computers - breidt dezelfde beveiligingen uit op uw SQL-servers in hybride, multicloud- en on-premises omgevingen
Met deze aankondiging beveiligt Azure Defender voor SQL uw databases en hun gegevens, waar ze zich ook bevinden.
Azure Defender voor SQL bevat mogelijkheden voor evaluatie van beveiligingsproblemen. Het hulpprogramma voor de evaluatie van beveiligingsproblemen biedt de volgende geavanceerde functies:
- Basislijnconfiguratie (nieuw!) om de resultaten van beveiligingsscans intelligent te verfijnen op beveiligingsproblemen die echte beveiligingsproblemen kunnen vertegenwoordigen. Nadat u de beveiligingsstatus van uw basislijn hebt ingesteld, worden door het hulpprogramma voor de evaluatie van beveiligingsproblemen alleen afwijkingen van die basislijnstatus gerapporteerd. Resultaten die overeenkomen met de basislijn, worden niet meer meegenomen in vervolgscans. Zo kunnen u en uw analisten zich volledig richten op de belangrijkste problemen.
- Gedetailleerde benchmarkgegevens om u meer inzicht te geven in de gedetecteerde problemen en in hoe deze gerelateerd zijn aan uw resources.
- Herstelscripts om u te helpen geïdentificeerde risico's te beperken.
Meer informatie over Azure Defender voor SQL.
Azure Defender voor SQL-ondersteuning voor Azure Synapse Analytics toegewezen SQL-pool is algemeen beschikbaar
Azure Synapse Analytics (voorheen SQL DW) is een analyseservice die zakelijke datawarehousing en big data-analyses combineert. Toegewezen SQL-pools zijn de enterprise datawarehousingfuncties van Azure Synapse. Meer informatie vindt u in Wat is Azure Synapse Analytics (voorheen SQL DW)?.
Azure Defender voor SQL beveiligt uw toegewezen SQL-pools met:
- Geavanceerde bescherming tegen bedreigingen om bedreigingen en aanvallen te detecteren
- Functionaliteit voor de evaluatie van beveiligingsproblemen om onjuiste beveiligingsconfiguraties te identificeren en te herstellen
Azure Defender voor de ondersteuning van SQL voor Azure Synapse Analytics SQL-pools wordt automatisch toegevoegd aan Azure SQL databasesbundel in Azure Security Center. Er is een nieuw Azure Defender voor SQL tabblad in de Synapse-werkruimtepagina in de Azure-portal.
Meer informatie over Azure Defender voor SQL.
Globale beheerders kunnen nu machtigingen op tenantniveau aan zichzelf verlenen
Een gebruiker met de Microsoft Entra ID rol van Global Administrator heeft mogelijk tenantbrede verantwoordelijkheden, maar beschikt niet over de Azure machtigingen om die organisatiebrede informatie in Azure Security Center te bekijken.
Volg de instructies in Tenantbrede machtigingen toewijzen aan uzelf om machtigingen op tenantniveau toe te wijzen aan uzelf.
Twee nieuwe Azure Defender-abonnementen: Azure Defender voor DNS en Azure Defender voor Resource Manager (in preview)
We hebben twee nieuwe cloudeigen mogelijkheden voor bedreigingsbeveiliging toegevoegd voor uw Azure-omgeving.
Deze nieuwe beveiliging verbetert uw tolerantie tegen aanvallen van bedreigingsactoren aanzienlijk en verhoogt het aantal Azure resources dat wordt beveiligd door Azure Defender aanzienlijk.
Azure Defender voor Resource Manager: controleert automatisch alle resourcebeheerbewerkingen die in uw organisatie worden uitgevoerd. Zie voor meer informatie:
Azure Defender voor DNS - bewaakt continu alle DNS-query's van uw Azure-resources. Zie voor meer informatie:
Pagina Nieuwe beveiligingswaarschuwingen in de Azure-portal (preview)
de pagina met beveiligingswaarschuwingen van Azure Security Center is opnieuw ontworpen om het volgende te bieden:
- Verbeterde sorteerervaring voor waarschuwingen: hiermee wordt de alertheid op waarschuwingen verbeterd en de focus meer gericht op de meest relevante bedreigingen; de lijst bevat aanpasbare opties voor filters en groeperingen
- Meer informatie in de lijst met waarschuwingen, bijvoorbeeld MITRE ATT&ACK-tactieken
- Button voor het maken van voorbeeldwaarschuwingen : als u Azure Defender mogelijkheden wilt evalueren en de configuratie van waarschuwingen wilt testen (voor SIEM-integratie, e-mailmeldingen en werkstroomautomatiseringen), kunt u voorbeeldwaarschuwingen maken van alle Azure Defender-plannen
- Alignment with Azure Sentinel's incident experience - voor klanten die beide producten gebruiken, is het nu een eenvoudigere ervaring en is het gemakkelijk om een van de andere te leren
- Betere prestaties voor grote waarschuwingenlijsten
- Toetsenbordnavigatie via de lijst met waarschuwingen
- Alerts van Azure Resource Graph: u kunt query's uitvoeren op waarschuwingen in Azure Resource Graph, de Kusto-achtige API voor al uw resources. Dit is ook handig als u uw eigen waarschuwingendashboards bouwt. Meer informatie over Azure Resource Graph.
Als u toegang wilt krijgen tot de nieuwe ervaring, gebruikt u de koppeling Nu proberen in de banner boven aan de pagina met beveiligingswaarschuwingen.
Zie Generate sample Azure Defender alerts als u voorbeeldwaarschuwingen wilt maken op basis van de nieuwe waarschuwingen.
Gerevitaliseerde Security Center-ervaring in Azure SQL Database & SQL Managed Instance
De Security Center-ervaring in SQL biedt toegang tot de volgende Security Center- en Azure Defender voor SQL-functies:
- Beveiligingsaanbevelingen – Security Center analyseert regelmatig de beveiligingsstatus van alle verbonden Azure resources om mogelijke onjuiste configuraties van beveiliging te identificeren. Vervolgens worden aanbevelingen geboden voor het oplossen van deze beveiligingsproblemen en het verbeteren van de beveiligingspostuur van organisaties.
- Beveiligingswaarschuwingen: een detectieservice die continu Azure SQL activiteiten bewaakt op bedreigingen zoals SQL-injectie, beveiligingsaanvallen en misbruik van bevoegdheden. Deze service activeert gedetailleerde en actiegerichte beveiligingswaarschuwingen in Security Center en biedt opties voor continue onderzoeken met Microsoft Sentinel, Microsoft Azure systeemeigen SIEM-oplossing.
- Findings – een service voor evaluatie van beveiligingsproblemen die voortdurend Azure SQL configuraties bewaakt en helpt beveiligingsproblemen op te lossen. Evaluatiescans bieden een overzicht van Azure SQL beveiligingsstatussen, samen met gedetailleerde beveiligingsresultaten.
de beveiligingsfuncties van 
Tools en filters voor inventarisatie van activa bijgewerkt
De inventarispagina in Azure Security Center is vernieuwd met de volgende wijzigingen:
Hulplijnen en feedback toegevoegd aan de werkbalk. Hiermee opent u een deelvenster met koppelingen naar gerelateerde informatie en hulpprogramma's.
Abonnementenfilter toegevoegd aan de standaardfilters die beschikbaar zijn voor uw resources.
Query openen koppeling voor het openen van de huidige filteropties als een Azure Resource Graph-query (voorheen 'Weergeven in resourcegrafiekverkenner' genoemd).
Operatoropties voor elk filter. U kunt nu kiezen uit meer logische operatoren dan '='. U kunt bijvoorbeeld alle resources zoeken met actieve aanbevelingen waarvan de titels de tekenreeks 'versleutelen' bevatten.
Voor meer informatie over voorraad, zie Uw resources verkennen en beheren met assetvoorraad.
Aanbeveling over web-apps die SSL-certificaten aanvragen die geen deel meer uitmaken van beveiligde score
De aanbeveling 'Web-apps moeten een SSL-certificaat aanvragen voor alle binnenkomende aanvragen' is verplaatst van het beveiligingsbeheer Toegang en machtigingen beheren (maximaal 4 ptn) in aanbevolen procedures voor beveiliging implementeren (wat geen punten waard is).
Door ervoor te zorgen dat een web-app een certificaat aanvraagt, is het zeker veiliger. Voor openbare web-apps is het echter irrelevant. Als u toegang tot uw site hebt via HTTP en niet HTTPS, ontvangt u geen clientcertificaat. Als voor uw toepassing clientcertificaten zijn vereist, moet u dus geen aanvragen voor uw toepassing via HTTP toestaan. Meer informatie vindt u in Configure TLS wederzijdse verificatie voor Azure App Service.
Met deze wijziging is de aanbeveling nu een aanbevolen best practice die geen invloed heeft op uw score.
Voor meer informatie over welke aanbevelingen zich in elk beveiligingsbeheer bevinden, raadpleegt u Beveiligingscontroles en de bijbehorende aanbevelingen.
De aanbevelingspagina bevat nieuwe filters voor omgeving, ernst en beschikbare reacties
Azure Security Center controleert alle verbonden resources en genereert beveiligingsaan aanbevelingen. Gebruik deze aanbevelingen om uw hybride cloudpostuur te versterken en naleving van de beleidsregels en standaarden bij te houden die relevant zijn voor uw organisatie, branche en land/regio.
Naarmate Security Center de dekking en functies blijft uitbreiden, neemt de lijst van beveiligingsaanbevelingen elke maand toe. Zie bijvoorbeeld Twenty nine preview recommendations added to increase coverage of Azure Security Benchmark.
Met de groeiende lijst moet u de aanbevelingen filteren om de aanbevelingen te vinden die het meest interessant zijn. In november hebben we filters toegevoegd aan de aanbevelingspagina (zie Lijst met aanbevelingen bevat nu filters).
De filters die deze maand zijn toegevoegd bieden opties om de lijst met aanbevelingen te verfijnen op basis van:
Omgeving - Aanbevelingen voor uw AWS-, GCP- of Azure resources (of een combinatie) weergeven
Ernst : aanbevelingen weergeven op basis van de ernstclassificatie die is ingesteld door Security Center
Reactieacties : aanbevelingen weergeven op basis van de beschikbaarheid van security Center-antwoordopties: Herstellen, Weigeren en Afdwingen
Tip
Het filter voor antwoordacties vervangt het filter Snelle oplossing beschikbaar (Ja/Nee).
Meer informatie over elk van deze antwoordopties:
Continue export haalt nieuwe gegevenstypen en verbeterde deployifnotexist-beleidsregels op
met de hulpprogramma's voor continue export van Azure Security Center kunt u aanbevelingen en waarschuwingen van Security Center exporteren voor gebruik met andere bewakingshulpprogramma's in uw omgeving.
Met continue export kunt u volledig aanpassen wat waarheen wordt geëxporteerd. Voor meer informatie, zie Security Center-gegevens continu exporteren.
Deze hulpprogramma's zijn verbeterd en uitgebreid op de volgende manieren:
Het deployifnotexist-beleid van continue export is verbeterd. Het beleid is nu:
Controleer of de configuratie is ingeschakeld. Als dat niet het geval is, wordt het beleid weergegeven als niet-compatibel en wordt er een compatibele resource gemaakt. Meer informatie over de opgegeven Azure Policy-sjablonen vindt u op het tabblad Implementeren op schaal met Azure Policy in Set up a continuous export.
Ondersteuning voor het exporteren van beveiligingsresultaten. Wanneer u de Azure Policy-sjablonen gebruikt, kunt u uw continue export zo configureren dat deze resultaten bevat. Dit is relevant bij het exporteren van aanbevelingen met 'subaanbevelingen' (zoals bevindingen van scanners voor beveiligingsevaluatie) of specifieke systeemupdates voor de 'hoofdaanbeveling': "Systeemupdates moeten op uw computers worden geïnstalleerd".
Ondersteuning voor het exporteren van beveiligingsscoregegevens.
Gegevens over reglementaire nalevingsbeoordeling toegevoegd (in preview). U kunt nu continu updates exporteren naar nalevingsevaluaties voor regelgeving, waaronder voor aangepaste initiatieven, naar een Log Analytics werkruimte of Event Hubs. Deze functie is niet beschikbaar in nationale clouds.
November 2020
Updates in november omvatten:
- 29 preview-aanbevelingen toegevoegd om de dekking van Azure Security Benchmark
- NIST SP 800 171 R2 is toegevoegd aan het nalevingsdashboard van de Security Center
- Er zijn filters opgenomen in de lijst met aanbevelingen
- Verbeterde en uitgebreide ervaring voor automatisch inrichten
- Beveiligingsscore is nu beschikbaar in continue export (preview)
- Aanbeveling 'Systeemupdates moeten worden geïnstalleerd op uw computers' bevat nu subaanbevelingen
- Policy-beheerpagina in de Azure-portal bevat nu de status van standaardbeleidstoewijzingen
29 preview-aanbevelingen toegevoegd om de dekking van Azure Security Benchmark te verhogen
Azure Security Benchmark is de door de Microsoft geschreven, Azure-specifieke set richtlijnen voor best practices voor beveiliging en naleving op basis van algemene nalevingsframeworks. Meer informatie over Azure Security Benchmark.
De volgende 29 preview-aanbevelingen zijn toegevoegd aan Security Center om de dekking van deze benchmark te verhogen.
Preview-aanbevelingen zorgen er niet voor dat een resource als beschadigd wordt weergegeven en ze worden niet opgenomen in de berekeningen van uw beveiligde score. Herstel ze waar mogelijk, zodat zij wanneer de preview-periode afloopt zullen bijdragen aan uw score. Meer informatie over hoe u kunt reageren op deze aanbevelingen in Aanbevelingen herstellen in Azure Security Center.
| Beveiligingsbeheer | Nieuwe aanbevelingen |
|---|---|
| Actieve gegevens versleutelen | - SSL-verbinding afdwingen moet zijn ingeschakeld voor PostgreSQL-databaseservers - SSL-verbinding afdwingen moet zijn ingeschakeld voor MySQL-databaseservers - TLS moet zijn bijgewerkt naar de nieuwste versie van uw API-app - TLS moet zijn bijgewerkt naar de nieuwste versie van uw functie-app - TLS moet zijn bijgewerkt naar de nieuwste versie van uw web-app - FTPS moet zijn vereist in uw API-app - FTPS moet zijn vereist in uw functie-app - FTPS moet zijn vereist in uw web-app |
| Toegang en machtigingen beheren | - Web-apps moeten een SSL-certificaat aanvragen voor alle inkomende aanvragen - Er moet een beheerde identiteit worden gebruikt in uw API-app - Er moet een beheerde identiteit worden gebruikt in uw functie-app - Er moet een beheerde identiteit worden gebruikt in uw web-app |
| Onbevoegde netwerktoegang beperken | - Het privé-eindpunt moet zijn ingeschakeld voor PostgreSQL-servers - Het privé-eindpunt moet zijn ingeschakeld voor MariaDB-servers - Het privé-eindpunt moet zijn ingeschakeld voor MySQL-servers |
| Controle en logboekregistratie inschakelen | - Diagnostische logboeken in App Services moeten zijn ingeschakeld |
| Best practices voor beveiliging implementeren | - Azure Backup moet zijn ingeschakeld voor virtuele machines - Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDB - Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL - Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL - PHP moet zijn bijgewerkt naar de nieuwste versie van uw API-app - PHP moet zijn bijgewerkt naar de nieuwste versie van uw web-app - Java moet worden bijgewerkt naar de nieuwste versie voor uw API-app - Java moet worden bijgewerkt naar de nieuwste versie voor uw functie-app - Java moet worden bijgewerkt naar de nieuwste versie voor uw web-app - Python moet worden bijgewerkt naar de nieuwste versie voor uw API-app - Python moet worden bijgewerkt naar de nieuwste versie voor uw functie-app - Python moet worden bijgewerkt naar de nieuwste versie voor uw web-app - Retentie voor controle voor SQL-servers moet zijn ingesteld op minstens 90 dagen |
Verwante koppelingen:
- Meer informatie over Azure Security Benchmark
- Meer informatie over Azure API-apps
- Meer informatie over Azure functie-apps
- Meer informatie over Azure web-apps
- Meer informatie over Azure Database for MariaDB
- Meer informatie over Azure Database for MySQL
- Meer informatie over Azure Database for PostgreSQL
NIST SP 800 171 R2 is toegevoegd aan het nalevingsdashboard van Security Center
De NIST SP 800-171 R2-standaard is nu beschikbaar als ingebouwd initiatief voor gebruik met het dashboard voor naleving van regelgeving van Azure Security Center. De toewijzingen voor de controles worden beschreven in Details van het ingebouwde NIST SP 800-171 R2-nalevingsinitiatief.
Als u de standaard wilt toepassen op uw abonnementen en uw nalevingsstatus continu wilt bewaken, gebruikt u de instructies in Het aanpassen van de set standaarden in uw dashboard voor naleving van regelgeving.
Zie NIST SP 800-171 R2voor meer informatie over deze nalevingsstandaard.
Er zijn filters opgenomen in de lijst met aanbevelingen
U kunt de lijst met aanbevelingen voor de beveiliging nu filteren op verschillende criteria. In het volgende voorbeeld wordt de lijst met aanbevelingen gefilterd om aanbevelingen weer te geven die:
- zijn algemeen beschikbaar (dat wil gezegd, geen preview)
- zijn voor opslagaccounts
- ondersteuning voor snelle oplossing voor herstel
Verbeterde en uitgebreide ervaring voor automatisch inrichten
De functie voor automatisch inrichten helpt de beheeroverhead te verminderen door de vereiste extensies te installeren op nieuwe, en bestaande, Azure VM's, zodat ze kunnen profiteren van de beveiliging van Security Center.
Naarmate Azure Security Center groeit, zijn er meer extensies ontwikkeld en kan Security Center een grotere lijst met resourcetypen bewaken. De hulpprogramma's voor automatisch inrichten zijn nu uitgebreid ter ondersteuning van andere extensies en resourcetypen door gebruik te maken van de mogelijkheden van Azure Policy.
U kunt nu de automatische inrichting van:
- Logboekanalyse-agent
- (Nieuw) Azure Policy voor Kubernetes
- (Nieuw) Microsoft Agent voor afhankelijkheden
Meer informatie vindt u in Autoprovisioning agents en extensies van Azure Security Center.
Beveiligingsscore is nu beschikbaar in continue export (preview)
Met continue export van beveiligde score kunt u wijzigingen in uw score in realtime streamen naar Azure Event Hubs of een Log Analytics werkruimte. Gebruik deze mogelijkheid om:
- uw beveiligingsscore na verloop van tijd bij te houden met dynamische rapporten
- Secure Score-gegevens exporteren naar Microsoft Sentinel (of een andere SIEM)
- deze gegevens integreren met andere processen die u mogelijk al gebruikt om de beveiligingsscore in uw organisatie te bewaken
Meer informatie over hoe u Security Center-gegevens continue exporteert.
Aanbeveling 'Systeemupdates moeten worden geïnstalleerd op uw computers' bevat nu subaanbevelingen
De systeemupdates moeten worden geïnstalleerd op uw computers aanbeveling is verbeterd. De nieuwe versie bevat subommendations voor elke ontbrekende update en brengt de volgende verbeteringen met zich mee:
Een opnieuw ontworpen ervaring op de Azure Security Center pagina's van de Azure-portal. De pagina met aanbevelingsinformatie voor Er moeten systeemupdates worden geïnstalleerd op uw computer bevat de lijst met resultaten zoals hieronder wordt weergegeven. Wanneer u één resultaat selecteert, wordt het deelvenster Details geopend met een koppeling naar de herstelgegevens en een lijst met betrokken resources.
Verrijkte gegevens voor de aanbeveling van Azure Resource Graph (ARG). ARG is een Azure-service die is ontworpen om efficiënt resources te verkennen. U kunt ARG gebruiken om op schaal een query uit te voeren in een bepaalde set abonnementen, zodat u uw omgeving effectief kunt beheren.
Voor Azure Security Center kunt u ARG en de Kusto Query Language (KQL) gebruiken om een groot aantal beveiligingspostuurgegevens op te vragen.
Als u in ARG eerder deze query uitvoerde op deze aanbeveling, was de enige beschikbare informatie dat de aanbeveling moet worden herstel op een machine. De volgende query van de verbeterde versie retourneert elke ontbrekende systeemupdate, gegroepeerd op machine.
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27" | where properties.status.code == "Unhealthy"
De pagina Beleidsbeheer in de Azure-portal toont nu de status van standaardbeleidstoewijzingen
U kunt nu zien of aan uw abonnementen het standaard Security Center-beleid is toegewezen, op de pagina beveiligingsbeleid van Security Center van de Azure-portal.
Oktober 2020
De updates in oktober omvatten:
- Evaluatie van beveiligingsproblemen voor on-premises en multicloudmachines (preview)
- Azure Firewall aanbeveling toegevoegd (preview)
- Aanbeveling Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services is bijgewerkt met een snelle oplossing
- Het dashboard Naleving van regelgeving bevat nu een optie voor het verwijderen van standaarden
- Microsoft. Tabel Security/securityStatuses verwijderd uit Azure Resource Graph
Evaluatie van beveiligingsproblemen voor on-premises en multicloudmachines (preview)
Azure Defender voor servers geïntegreerde scanner voor evaluatie van beveiligingsproblemen (mogelijk gemaakt door Qualys) scant nu Azure Arc servers.
Wanneer u Azure Arc hebt ingeschakeld op uw niet-Azure machines, biedt Security Center aan om de geïntegreerde scanner voor beveiligingsproblemen op deze machines handmatig en op schaal te implementeren.
Met deze update kunt u de kracht van Azure Defender voor Servers ontketenen om uw programma voor beveiligingsproblemen te consolideren voor al uw Azure en niet-Azure assets.
Belangrijkste mogelijkheden:
- De inrichtingsstatus van de SCANNER van de VA (evaluatie van beveiligingsproblemen) bewaken op Azure Arc machines
- De geïntegreerde VA-agent inrichten voor niet-beveiligde Windows- en Linux-Azure Arc-machines (handmatig en op schaal)
- Ontvangen en analyseren van gedetecteerde beveiligingsproblemen afkomstig van geïmplementeerde agents (handmatig en op schaal)
- Geïntegreerde ervaring voor Azure VM's en Azure Arc machines
Meer informatie over servers met Azure Arc.
Azure Firewall aanbeveling toegevoegd (preview)
Er is een nieuwe aanbeveling toegevoegd om al uw virtuele netwerken te beveiligen met Azure Firewall.
De aanbeveling, Virtual-netwerken moeten worden beveiligd door Azure Firewall adviseert u om de toegang tot uw virtuele netwerken te beperken en potentiële bedreigingen te voorkomen met behulp van Azure Firewall.
Meer informatie over Azure Firewall.
De aanbeveling Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services is bijgewerkt met een snelle oplossing
De aanbeveling Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services bevat nu een snelle oplossing.
Het dashboard Naleving van regelgeving bevat nu een optie voor het verwijderen van standaarden
Het Dashboard Naleving van regelgeving van Security Center biedt inzicht in uw nalevingsstatus op basis van in hoeverre u aan specifieke nalevingsmechanismen en -vereisten voldoet.
Het dashboard bevat een vaste set reglementaire standaarden. Als een van de opgegeven standaarden niet relevant is voor uw organisatie, is het nu een eenvoudig proces om ze uit de gebruikersinterface voor een abonnement te verwijderen. Standaarden kunnen alleen worden verwijderd op abonnementsniveau ; niet het bereik van de beheergroep.
Meer informatie in Een standaard verwijderen uit uw dashboard.
Microsoft. Tabel Security/securityStatuses verwijderd uit Azure Resource Graph (ARG)
Azure Resource Graph is een service in Azure die is ontworpen om efficiënt resources te verkennen met de mogelijkheid om query's op schaal uit te voeren voor een bepaalde set abonnementen, zodat u uw omgeving effectief kunt beheren.
Voor Azure Security Center kunt u ARG en de Kusto Query Language (KQL) gebruiken om een groot aantal beveiligingspostuurgegevens op te vragen. Voorbeeld:
- Assetinventaris maakt gebruik van ARG
- We hebben een voorbeeld van een ARG-query gedocumenteerd voor het identificeren van accounts zonder meervoudige verificatie (MFA) ingeschakeld
Binnen ARG zijn er tabellen met gegevens die u kunt gebruiken in uw query's.
Tip
De ARG-documentatie bevat alle beschikbare tabellen in Azure Resource Graph tabel- en resourcetypereferentie.
De Microsoft uit deze update. De tabel Security/securityStatuses is verwijderd. De securityStatuses-API is nog steeds beschikbaar.
Gegevensvervanging kan worden gebruikt door Microsoft. Tabel Beveiliging/Evaluaties.
Het belangrijkste verschil tussen Microsoft. Security/securityStatuses en Microsoft. Beveiliging/evaluaties is dat terwijl de eerste aggregatie van evaluaties toont, de seconden één record voor elk record bevatten.
Bijvoorbeeld Microsoft. Security/securityStatuses retourneert een resultaat met een matrix van twee beleidsevaluaties:
{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
Overwegende dat Microsoft. Beveiliging/evaluaties bevatten als volgt een record voor elke beleidsevaluatie:
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}
Voorbeeld van het converteren van een bestaande ARG-query met behulp van securityStatuses om nu de tabel met evaluaties te kunnen gebruiken:
Query die verwijst naar SecurityStatuses:
SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails
Vervangingsquery voor de tabel met evaluaties:
securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData
Meer informatie vindt u via de volgende koppelingen:
September 2020
De updates in september zijn onder meer:
- Security Center krijgt een nieuwe look.
- Azure Defender uitgebracht
- Azure Defender voor Key Vault is algemeen beschikbaar
- Azure Defender voor opslagbeveiliging voor bestanden en ADLS Gen2 is algemeen beschikbaar
- Hulpprogramma's voor assetinventarisatie zijn nu algemeen beschikbaar
- Een specifiek gevonden beveiligingsprobleem voor scans van containerregisters en virtuele machines uitschakelen
- Een resource uitsluiten van een aanbeveling
- AWS- en GCP-connectors in Security Center bieden een multicloud-ervaring
- Bundel met aanbevelingen voor Kubernetes-workloadbeveiliging
- Resultaten van evaluatie van beveiligingsproblemen zijn nu beschikbaar in continue export
- Onjuiste beveiligingsconfiguraties voorkomen door aanbevelingen af te dwingen bij het maken van nieuwe resources
- Aanbevelingen voor netwerkbeveiligingsgroep verbeterd
- Aanbeveling AKS-preview 'Beveiligingsbeleid voor pods moet worden gedefinieerd voor Kubernetes Services' afgeschaft'
- Emailmeldingen van Azure Security Center verbeterd
- Beveiligingsscore bevat geen preview-aanbevelingen
- Aanbevelingen bevatten nu een ernst-indicator en vernieuwingsinterval
Security Center krijgt een nieuw uiterlijk
We hebben een vernieuwde gebruikersinterface voor de portalpagina's van Security Center uitgebracht. De nieuwe pagina's bevatten een nieuwe overzichtspagina en dashboards voor secure score, assetinventaris en Azure Defender.
De opnieuw ontworpen overzichtspagina bevat nu een tegel voor toegang tot de beveiligingsscore, assetinventaris en Azure Defender dashboards. Het bevat ook een tegel met een koppeling naar het dashboard voor naleving van regelgeving.
Meer informatie over de overzichtspagina.
Azure Defender uitgebracht
Azure Defender is het cloudworkloadbeveiligingsplatform (CWPP) dat is geïntegreerd in Security Center voor geavanceerde, intelligente beveiliging van uw Azure en hybride workloads. Het vervangt de standaardprijscategorie van Security Center.
Wanneer u Azure Defender inschakelt vanuit het gebied Pricing en instellingen van Azure Security Center, zijn de volgende Defender plannen allemaal tegelijk ingeschakeld en bieden ze uitgebreide beveiliging voor de reken-, gegevens- en servicelagen van uw omgeving:
- Azure Defender voor servers
- Azure Defender voor App Service
- Azure Defender voor Opslag
- Azure Defender voor SQL
- Azure Defender voor Key Vault
- Azure Defender voor Kubernetes
- Azure Defender voor containerregisters
Elk van deze abonnementen wordt afzonderlijk beschreven in de documentatie voor Security Center.
Met het toegewezen dashboard biedt Azure Defender beveiligingswaarschuwingen en geavanceerde bedreigingsbeveiliging voor virtuele machines, SQL-databases, containers, webtoepassingen, uw netwerk en meer.
Meer informatie over Azure Defender
Azure Defender voor Key Vault is algemeen beschikbaar
Azure Key Vault is een cloudservice waarmee versleutelingssleutels en geheimen, zoals certificaten, verbindingsreeksen en wachtwoorden, worden beschermd.
Azure Defender voor Key Vault biedt Azure systeemeigen geavanceerde beveiliging tegen bedreigingen voor Azure Key Vault, waardoor er een extra beveiligingslaag wordt geboden. Azure Defender voor Key Vault beschermt daarom veel van de resources die afhankelijk zijn van uw Key Vault-accounts.
Het optionele abonnement is nu algemeen beschikbaar. Deze functie was in preview als 'Advanced Threat Protection voor Azure Key Vault'.
De Key Vault pagina's in de Azure-portal bevatten nu ook een speciale Security-pagina voor Security Center aanbevelingen en waarschuwingen.
Meer informatie vindt u in Azure Defender voor Key Vault.
Azure Defender voor opslagbeveiliging voor bestanden en ADLS Gen2 is algemeen beschikbaar
Azure Defender voor Storage detecteert mogelijk schadelijke activiteiten op uw Azure Storage-accounts. Uw gegevens kunnen worden beschermd, ongeacht of deze zijn opgeslagen als blobcontainers, bestandsshares of data lakes.
Ondersteuning voor Azure Files en Azure Data Lake Storage Gen2 is nu algemeen beschikbaar.
Vanaf 1 oktober 2020 gaan we kosten in rekening brengen voor het beveiligen van resources voor deze services.
Meer informatie vindt u in Azure Defender voor Storage.
Hulpprogramma's voor assetinventarisatie zijn nu algemeen beschikbaar
De pagina assetinventaris van Azure Security Center biedt één pagina voor het weergeven van de beveiligingspostuur van de resources die u hebt verbonden met Security Center.
Security Center analyseert periodiek de beveiligingsstatus van uw Azure-resources om potentiële beveiligingsproblemen te identificeren. Vervolgens krijgt u aanbevelingen voor het oplossen van deze beveiligingsproblemen.
Wanneer een resource openstaande aanbevelingen heeft, worden deze weergegeven in de inventarisatie.
Voor meer informatie raadpleegt u Uw resources verkennen en beheren met assetvoorraad.
Een specifiek gevonden beveiligingsprobleem voor scans van containerregisters en virtuele machines uitschakelen
Azure Defender bevat scanners voor beveiligingsproblemen om installatiekopieën in uw Azure Container Registry en uw virtuele machines te scannen.
Als u een organisatorische behoefte hebt om een resultaat te negeren in plaats van dit te herstellen, kunt u het eventueel uitschakelen. Uitgeschakelde resultaten hebben geen invloed op uw beveiligingsscore en genereren geen ongewenste ruis.
Wanneer een resultaat overeenkomt met de criteria die u hebt gedefinieerd in de regels voor uitschakelen, wordt dit niet weergegeven in de lijst met resultaten.
Deze optie is beschikbaar op de pagina met aanbevelingsdetails voor:
- Vulnerabilities in Azure Container Registry afbeeldingen moeten worden hersteld
- Beveiligingsproblemen op uw virtuele machines moeten worden hersteld
Een resource uitsluiten van een aanbeveling
In sommige gevallen wordt een resource vermeld als niet in orde met betrekking tot een specifieke aanbeveling (en waardoor uw beveiligingsscore lager wordt), zelfs als u denkt dat dit niet zo zou moeten zijn. Dit kan zijn opgelost door een proces dat niet wordt bijgehouden door Security Center. Of misschien heeft uw organisatie besloten het risico voor die specifieke resource te accepteren.
In dergelijke gevallen kunt u een uitzonderingsregel maken en ervoor zorgen dat de resource in de toekomst niet wordt vermeld als een resource die niet in orde is. Deze regels kunnen gedocumenteerde redenen bevatten, zoals hieronder wordt beschreven.
Meer informatie vindt u in Een resource uitsluiten van aanbevelingen en de beveiligingsscore.
AWS- en GCP-connectors in Security Center bieden een multicloud-ervaring
Veel workloads in de cloud beslaan meerdere cloudplatforms, dus moeten cloudbeveiligingsservices hetzelfde doen.
Azure Security Center beveiligt nu workloads in Azure, Amazon Web Services (AWS) en Google Cloud Platform (GCP).
Wanneer u AWS- en GCP-projecten onboardt in Security Center, worden AWS Security Hub, GCP Security Command en Azure Security Center geïntegreerd.
Meer informatie vindt u in Connect your AWS accounts to Azure Security Center and Connect your GCP projects to Azure Security Center.
Bundel met aanbevelingen voor Kubernetes-workloadbeveiliging
Om ervoor te zorgen dat Kubernetes-workloads standaard veilig zijn, voegt Security Center aanbevelingen voor beveiliging op Kubernetes-niveau toe, met inbegrip van afdwingingsopties met Kubernetes Admission Control.
Wanneer u Azure Policy voor Kubernetes op uw AKS-cluster hebt geïnstalleerd, wordt elke aanvraag naar de Kubernetes-API-server gecontroleerd op basis van de vooraf gedefinieerde set aanbevolen procedures voordat deze naar het cluster wordt bewaard. Vervolgens kunt u instellingen configureren om de aanbevolen procedures af te dwingen en ze te verplichten voor toekomstige workloads.
U kunt er bijvoorbeeld voor zorgen dat containers met machtigingen niet moeten worden gemaakt, en toekomstige aanvragen hiervoor worden dan geblokkeerd.
Meer informatie vindt u in Aanbevolen procedures voor workloadbeveiliging met behulp van Kubernetes Admission Control.
Resultaten van evaluatie van beveiligingsproblemen zijn nu beschikbaar in continue export
Gebruik continue export om uw waarschuwingen en aanbevelingen te streamen naar Azure Event Hubs, Log Analytics werkruimten of Azure Monitor. Van daaruit kunt u deze gegevens integreren met SIEM's, zoals Microsoft Sentinel, Power BI, Azure Data Explorer en meer.
De hulpprogramma's voor evaluatie van beveiligingsproblemen van Security Center retourneren informatie over uw resources als aanbevelingen voor het uitvoeren van acties in een 'hoofdaanbeveling', zoals 'beveiligingsproblemen op uw virtuele machines, moeten worden hersteld'.
De beveiligingsresultaten zijn nu beschikbaar voor export door middel van continue export wanneer u aanbevelingen selecteert en de optie Beveiligingsresultaten insluiten in te schakelen.
Verwante pagina's:
- Security Center's geïntegreerde Qualys-oplossing voor evaluatie van beveiligingsproblemen voor Azure virtuele machines
- Security Center's geïntegreerde oplossing voor evaluatie van beveiligingsproblemen voor Azure Container Registry installatiekopieën
- Continue export
Onjuiste beveiligingsconfiguraties voorkomen door aanbevelingen af te dwingen bij het maken van nieuwe resources
Onjuiste beveiligingsconfiguraties zijn een belangrijke oorzaak van beveiligingsincidenten. Security Center biedt nu de mogelijkheid om onjuiste configuraties van nieuwe resources met betrekking tot specifieke aanbevelingen te voorkomen .
Deze functie kan u helpen uw workloads veilig te houden en uw beveiligingsscore stabiel te houden.
U kunt een beveiligde configuratie afdwingen, op basis van een specifieke aanbeveling, in twee modi:
Als u de modus Geweigerd van Azure Policy gebruikt, kunt u voorkomen dat beschadigde resources worden gemaakt
Met de afgedwongen optie kunt u profiteren van het effect van Azure Policy DeployIfNotExist en automatisch niet-compatibele resources herstellen bij het maken
Dit is beschikbaar voor geselecteerde beveiligingsaanbevelingen en is bovenaan de pagina met resourcedetails te vinden.
Meer informatie vindt u in Onjuiste configuraties voorkomen met de aanbevelingen voor afdwingen/weigeren.
Aanbevelingen voor netwerkbeveiligingsgroep verbeterd
De volgende beveiligingsaanbevelingen met betrekking tot netwerkbeveiligingsgroepen zijn verbeterd om enkele gevallen van fout-positieven te verminderen.
- Alle netwerkpoorten moeten worden beperkt voor de netwerkbeveiligingsgroep die is gekoppeld aan uw VM
- Beheerpoorten moeten gesloten zijn op uw virtuele machines
- Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen
- Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep
Aanbeveling AKS-preview 'Beveiligingsbeleid voor pods moet worden gedefinieerd voor Kubernetes Services' afgeschaft'
De preview-aanbeveling 'Beveiligingsbeleid voor pods moet worden gedefinieerd in Kubernetes Services' wordt afgeschaft zoals beschreven in de documentatie Azure Kubernetes Service.
De functie voor podbeveiligingsbeleid (preview) is ingesteld voor afschaffing en is niet meer beschikbaar na 15 oktober 2020 ten gunste van Azure Policy voor AKS.
Nadat het beveiligingsbeleid voor pods (preview) is afgeschaft, moet u de functie uitschakelen op bestaande clusters met behulp van de afgeschafte functie om toekomstige clusterupgrades uit te voeren en binnen ondersteuning voor Azure te blijven.
E-mailmeldingen van Azure Security Center verbeterd
E-mailmeldingen met betrekking tot beveiligingswaarschuwingen zijn als volgt verbeterd:
- De mogelijkheid voor het verzenden van e-mailmeldingen over waarschuwingen voor alle ernstniveaus is toegevoegd
- De mogelijkheid toegevoegd om gebruikers met verschillende Azure rollen op de hoogte te stellen voor het abonnement
- We informeren abonnementseigenaren standaard proactief over waarschuwingen met een hoge urgentie (die een hoge waarschijnlijkheid hebben een echte inbreuk te zijn)
- Het telefoonnummerveld is verwijderd van de configuratiepagina voor e-mailmeldingen
Meer informatie vindt u in E-mailmeldingen instellen voor beveiligingswaarschuwingen.
Beveiligingsscore bevat geen preview-aanbevelingen
Security Center controleert uw resources, abonnementen en organisatie doorlopend op beveiligingsproblemen. Vervolgens worden alle bevindingen tot één enkele score samengevoegd, zodat u in een oogopslag uw huidige beveiligingssituatie kunt zien: hoe hoger de score, hoe lager het geïdentificeerde risiconiveau is.
Als er nieuwe bedreigingen worden gedetecteerd, wordt nieuw beveiligingsadvies beschikbaar gesteld in Security Center via nieuwe aanbevelingen. Om verrassingswijzigingen van uw beveiligingsscore te voorkomen en om een respijtperiode te bieden waarin u nieuwe aanbevelingen kunt verkennen voordat deze van invloed zijn op uw scores, worden aanbevelingen die als preview zijn gemarkeerd, niet meer opgenomen in de berekeningen van uw beveiligingsscore. Ze moeten, waar mogelijk, nog steeds worden hersteld. Wanneer de preview-periode is afgelopen, worden ze dus meegerekend in uw score.
Preview-aanbevelingen geven ook geen resource 'Niet in orde' weer.
Een voorbeeld van een preview-aanbeveling:
Meer informatie over de beveiligingsscore.
Aanbevelingen bevatten nu een ernst-indicator en vernieuwingsinterval
De detailpagina voor aanbevelingen bevat nu een indicator voor het vernieuwingsinterval (indien relevant) en een duidelijke weergave van de ernst van de aanbeveling.
Augustus 2020
De updates in augustus zijn onder meer:
- Inventarisatie van activa - krachtige nieuwe weergave van het beveiligingspostuur van uw assets
- Toevoegde ondersteuning voor Microsoft Entra ID standaardinstellingen voor beveiliging (voor meervoudige verificatie)
- Aanbeveling voor service-principals toegevoegd
- Evaluatie van beveiligingsproblemen op VM's - aanbevelingen en beleidsregels geconsolideerd
- Nieuw AKS-beveiligingsbeleid toegevoegd aan ASC_default initiatief
Inventarisatie van activa - krachtige nieuwe weergave van het beveiligingspostuur van uw assets
Assetinventarisatie van Azure Security Center (momenteel in preview) biedt een manier om het beveiligingspostuur weer te geven van de resources die u hebt verbonden met Security Center.
Security Center analyseert periodiek de beveiligingsstatus van uw Azure-resources om potentiële beveiligingsproblemen te identificeren. Vervolgens krijgt u aanbevelingen voor het oplossen van deze beveiligingsproblemen. Wanneer een resource openstaande aanbevelingen heeft, worden deze weergegeven in de inventarisatie.
U kunt de weergave en de filters gebruiken om uw beveiligingspostuur te verkennen en verdere acties uit te voeren op basis van uw bevindingen.
Meer informatie over assetinventaris.
Ondersteuning toegevoegd voor Microsoft Entra ID standaardinstellingen voor beveiliging (voor meervoudige verificatie)
Security Center heeft volledige ondersteuning toegevoegd voor de standaardinstellingen voor security Microsoft gratis identiteitsbeveiliging.
Standaardwaarden voor beveiliging bieden vooraf geconfigureerde instellingen voor identiteitsbeveiliging om uw organisatie te beschermen tegen algemene identiteitsgerelateerde aanvallen. Standaardinstellingen voor beveiliging beschermen al meer dan 5 miljoen tenants in totaal; 50.000-tenants worden ook beveiligd door Security Center.
Security Center biedt nu een beveiligingsaanaanveling wanneer er een Azure-abonnement wordt geïdentificeerd zonder dat de standaardinstellingen voor beveiliging zijn ingeschakeld. Tot nu toe heeft Security Center aanbevolen meervoudige verificatie in te schakelen met behulp van voorwaardelijke toegang, die deel uitmaakt van de Microsoft Entra ID Premium-licentie. Voor klanten die Microsoft Entra ID gratis gebruiken, raden we u nu aan om de standaardinstellingen voor beveiliging in te schakelen.
Ons doel is om meer klanten aan te moedigen om hun cloudomgevingen te beveiligen met MFA en een van de hoogste risico's te beperken die ook het meest van invloed zijn op uw beveiligingsscore.
Meer informatie over standaardinstellingen voor beveiliging.
Aanbeveling voor service-principals toegevoegd
Er is een nieuwe aanbeveling toegevoegd om aan te bevelen dat Security Center-klanten die beheercertificaten gebruiken om hun abonnementen te beheren, overstappen op service-principals.
De aanbeveling, Service-principals moeten worden gebruikt om uw abonnementen te beveiligen in plaats van beheercertificaten adviseert u om service-principals of Azure Resource Manager te gebruiken om uw abonnementen veiliger te beheren.
Meer informatie over Application- en service-principal-objecten in Microsoft Entra ID.
Evaluatie van beveiligingsproblemen op VM's - aanbevelingen en beleidsregels geconsolideerd
Security Center inspecteert uw VM's om te detecteren of ze een oplossing voor de evaluatie van beveiligingsproblemen uitvoeren. Als er geen oplossing voor de evaluatie van beveiligingsproblemen wordt gevonden, biedt Security Center een aanbeveling om de implementatie te vereenvoudigen.
Als er beveiligingsproblemen worden gevonden, wordt in Security Center een aanbeveling gegeven waarin de resultaten worden beschreven die u zo nodig kunt onderzoeken en herstellen.
Om ervoor te zorgen dat alle gebruikers een consistente ervaring hebben, ongeacht het type scanner dat ze gebruiken, hebben we vier aanbevelingen geïntegreerd in de volgende twee:
| Uniforme aanbeveling | Beschrijving wijzigen |
|---|---|
| A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld) | Vervangt de volgende twee aanbevelingen: De ingebouwde oplossing voor evaluatie van beveiligingsproblemen inschakelen op virtuele machines (mogelijk gemaakt door Qualys (nu afgeschaft) (opgenomen in de standard-laag) De oplossing voor evaluatie van beveiligingsproblemen moet worden geïnstalleerd op uw virtuele machines (nu afgeschaft) (Standard- en gratis lagen) |
| Beveiligingsproblemen op uw virtuele machines moeten worden hersteld | Vervangt de volgende twee aanbevelingen: Beveiligingsproblemen herstellen die zijn gevonden op uw virtuele machines (mogelijk gemaakt door Qualys) (nu afgeschaft) Beveiligingsproblemen moeten worden opgelost door een oplossing voor evaluatie van beveiligingsproblemen (nu afgeschaft) |
Nu gebruikt u dezelfde aanbeveling om de extensie voor evaluatie van beveiligingsproblemen van Security Center of een privé gelicentieerde oplossing (BYOL) te implementeren van een partner zoals Qualys of Rapid 7.
Wanneer er beveiligingsproblemen worden gevonden en gerapporteerd aan Security Center, wordt u door één aanbeveling gewaarschuwd voor de bevindingen, ongeacht de oplossing voor de evaluatie van beveiligingsproblemen die deze heeft gesignaleerd.
Afhankelijkheden bijwerken
Als u scripts, query's of automatiseringen hebt die verwijzen naar de vorige aanbevelingen of beleidssleutels/-namen, gebruikt u de onderstaande tabellen om de verwijzingen bij te werken:
Vóór augustus 2020
| Recommendation | Scope |
|---|---|
|
De ingebouwde oplossing voor evaluatie van beveiligingsproblemen inschakelen op virtuele machines (mogelijk gemaakt door Qualys) Sleutel: 550e890b-e652-4d22-8274-60b3bdb24c63 |
Built-in |
|
Beveiligingsproblemen op uw virtuele machines herstellen (mogelijk gemaakt door Qualys) Sleutel: 1195afff-c881-495e-9bc5-1486211ae03f |
Built-in |
|
Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines moeten worden geïnstalleerd Sleutel: 01b1ed4c-b733-4fee-b145-f23236e70cf3 |
BYOL |
|
Beveiligingsproblemen moeten worden opgelost met een oplossing voor evaluatie van beveiligingsproblemen Sleutel: 71992a2a-d168-42e0-b10e-6b45fa2ecddb |
BYOL |
| Policy | Scope |
|---|---|
|
Evaluatie van beveiligingsproblemen moet zijn ingeschakeld op virtuele machines Beleids-id: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Built-in |
|
Beveiligingsproblemen moeten worden opgelost met een oplossing voor evaluatie van beveiligingsproblemen Beleids-id: 760a85ff-6162-42b3-8d70-698e268f648c |
BYOL |
Vanaf augustus 2020
| Recommendation | Scope |
|---|---|
|
A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld) Sleutel: ffff0522-1e88-47fc-8382-2a80ba848f5d |
Ingebouwd en BYOL |
|
Beveiligingsproblemen op uw virtuele machines moeten worden hersteld Sleutel: 1195afff-c881-495e-9bc5-1486211ae03f |
Ingebouwd en BYOL |
| Policy | Scope |
|---|---|
|
Evaluatie van beveiligingsproblemen moet zijn ingeschakeld op virtuele machines Beleids-id: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Ingebouwd en BYOL |
Nieuw AKS-beveiligingsbeleid toegevoegd aan ASC_default initiatief
Om ervoor te zorgen dat Kubernetes-workloads standaard veilig zijn, voegt Security Center beleid en aanbevelingen voor beveiliging op Kubernetes-niveau toe, met inbegrip van afdwingingsopties met Kubernetes Admission Control.
De vroege fase van dit project bevat een preview en het toevoegen van nieuwe (standaard uitgeschakelde) beleidsregels aan het ASC_default initiatief.
U kunt dit beleid veilig negeren en dit heeft geen invloed op uw omgeving. Als u ze wilt inschakelen, meldt u zich aan voor de preview via de Microsoft Cloud Security Private Community en selecteert u een van de volgende opties:
- Eén preview : alleen deze preview toevoegen. Vermeld 'ASC Continuous Scan' expliciet als de preview-versie waaraan u wilt deelnemen.
- Doorlopend programma : om aan deze en toekomstige previews te worden toegevoegd. U moet een profiel- en privacyovereenkomst voltooien.
Juli 2020
De updates in juli zijn onder meer:
- Evaluatie van beveiligingsproblemen voor virtuele machines is nu beschikbaar voor installatiekopieën die zich niet in de marketplace bevinden
- De beveiliging voor Azure Storage uitgebreid met Azure Files en Azure Data Lake Storage Gen2 (preview)
- Acht nieuwe aanbevelingen voor het inschakelen van beveiligingsfuncties voor bedreigingen
- Verbeteringen in de containerbeveiliging - sneller zoeken in het register en vernieuwde documentatie
- Adaptieve toepassingsregelaars bijgewerkt met een nieuwe aanbeveling en ondersteuning voor jokertekens in padregels
- Zes beleidsregels voor Advanced Data Security van SQL afgeschaft
De evaluatie van beveiligingsproblemen voor virtuele machines is nu beschikbaar voor niet-Marketplace-installatiekopieën
Toen u een oplossing voor evaluatie van beveiligingsproblemen hebt geïmplementeerd, heeft Security Center eerder een validatiecontrole uitgevoerd vóór de implementatie. De controle was om te bevestigen dat de virtuele doelmachine een Marketplace-SKU bevatte.
Vanaf deze update wordt de controle verwijderd en kunt u nu hulpprogramma's voor evaluatie van beveiligingsproblemen implementeren op 'aangepaste' Windows- en Linux-machines. Aangepaste installatiekopieën zijn bestanden die u hebt gewijzigd op basis van de standaardinstellingen voor Marketplace.
Hoewel u nu de geïntegreerde uitbreiding van de evaluatie van beveiligingsproblemen kunt implementeren (mogelijk gemaakt door Qualys) op veel meer computers, is ondersteuning alleen beschikbaar als u een besturingssysteem gebruikt dat wordt vermeld in De geïntegreerde scanner voor beveiligingsproblemen implementeren op virtuele machines van de Standaard-laag
Meer informatie over de integrated vulnerability scanner voor virtuele machines (vereist Azure Defender).
Meer informatie over het gebruik van uw eigen oplossing voor evaluatie van beveiligingsproblemen met een persoonlijke licentie van Qualys of Rapid7 in het implementeren van een oplossing voor het scannen van beveiligingsproblemen van partners.
Bedreigingsbeveiliging voor Azure Storage uitgebreid met Azure Files en Azure Data Lake Storage Gen2 (preview)
Bedreigingsbeveiliging voor Azure Storage detecteert mogelijk schadelijke activiteiten op uw Azure Storage-accounts. Security Center geeft waarschuwingen weer wanneer er wordt geprobeerd toegang te krijgen tot uw opslagaccounts.
Uw gegevens kunnen worden beschermd, ongeacht of deze zijn opgeslagen als blobcontainers, bestandsshares of data lakes.
Acht nieuwe aanbevelingen voor het inschakelen van beveiligingsfuncties voor bedreigingen
Er zijn acht nieuwe aanbevelingen toegevoegd om een eenvoudige manier te bieden om de functies voor bedreigingsbeveiliging van Azure Security Center in te schakelen voor de volgende resourcetypen: virtuele machines, App Service-plannen, Azure SQL Database servers, SQL-servers op machines, Azure Storage-accounts, Azure Kubernetes Service clusters, Azure Container Registry registers en Azure Key Vault kluizen.
De nieuwe aanbevelingen zijn:
- Ontvanced gegevensbeveiliging moet zijn ingeschakeld op Azure SQL Database servers
- Advanced Data Security moet zijn ingeschakeld voor SQL-servers op computers
- Advanced Threat Protection moet zijn ingeschakeld voor Azure App Service plannen
- Advanced Threat Protection moet zijn ingeschakeld voor Azure Container Registry registers
- Advanced Threat Protection moet zijn ingeschakeld voor Azure Key Vault kluizen
- Advanced Threat Protection moet zijn ingeschakeld op Azure Kubernetes Service clusters
- Advanced Threat Protection moet zijn ingeschakeld voor Azure Storage accounts
- Advanced Thread Protection moet zijn ingeschakeld op virtuele machines
De aanbevelingen bevatten ook de mogelijkheid voor snelle oplossingen.
Important
Als u een van deze aanbevelingen herstelt, worden er kosten in rekening gebracht voor de beveiliging van de relevante resources. Deze kosten worden onmiddellijk van kracht als er gerelateerde resources zijn in het huidige abonnement. Of in de toekomst, als u ze op een later tijdstip toevoegt.
Als u bijvoorbeeld geen Azure Kubernetes Service clusters in uw abonnement hebt en u de beveiliging tegen bedreigingen inschakelt, worden er geen kosten in rekening gebracht. Als u in de toekomst een cluster toevoegt aan dit abonnement, wordt dit automatisch beveiligd en worden de kosten op dat moment gestart.
Meer informatie over threat-beveiliging in Azure Security Center.
Verbeteringen in de containerbeveiliging - sneller zoeken in het register en vernieuwde documentatie
Als onderdeel van de continue investeringen in het containerbeveiligingsdomein delen we graag een aanzienlijke prestatieverbetering in de dynamische scans van containerinstallatiekopieën van Security Center die zijn opgeslagen in Azure Container Registry. Scans zijn nu doorgaans in ongeveer twee minuten voltooid. In sommige gevallen kunnen ze maximaal 15 minuten duren.
Om de duidelijkheid en richtlijnen met betrekking tot de beveiligingsmogelijkheden van Azure Security Center voor containers te verbeteren, hebben we ook de pagina's met containerbeveiligingsdocumentatie vernieuwd.
Adaptieve toepassingsregelaars bijgewerkt met een nieuwe aanbeveling en ondersteuning voor jokertekens in padregels
De functie voor adaptieve toepassingsregelaars heeft twee belangrijke updates ontvangen:
Een nieuwe aanbeveling duidt mogelijk legitiem gedrag aan dat nog niet is toegestaan. De nieuwe aanbeveling, De Allowlist-regels in uw beleid voor adaptief toepassingsbeheer moeten worden bijgewerkt, vraagt u om nieuwe regels aan het bestaande beleid toe te voegen om het aantal fout-positieven in adaptieve toepassingsregelaars te verminderen.
Padregels ondersteunen nu jokertekens. Vanaf deze update kunt u regels voor toegestane paden configureren met behulp van jokertekens. Er zijn twee ondersteunde scenario's:
Gebruik een jokerteken aan het einde van een pad om alle uitvoerbare bestanden in deze map en submappen toe te staan.
Een jokerteken in het midden van een pad gebruiken om het mogelijk te maken een bekende naam van een uitvoerbaar bestand te gebruiken met een veranderende mapnaam (bijvoorbeeld persoonlijke gebruikersmappen met een bekend uitvoerbaar bestand, automatisch gegenereerde mapnamen, etc.).
Zes beleidsregels voor Advanced Data Security van SQL afgeschaft
Er worden zes beleidsregels met betrekking tot geavanceerde gegevensbeveiliging voor SQL-machines afgeschaft:
- Advanced Threat Protection-typen moeten zijn ingesteld op 'Alles' in de Advanced Data Security-instellingen van SQL Managed Instance
- Advanced Threat Protection-typen moeten worden ingesteld op 'Alles' in de Advanced Data Security-instellingen van SQL Server
- De Advanced Data Security-instellingen voor SQL Managed Instance moeten een e-mailadres bevatten om beveiligingswaarschuwingen te ontvangen
- De Advanced Data Security-instellingen voor SQL Server moeten een e-mailadres bevatten om beveiligingswaarschuwingen te ontvangen
- E-mailmeldingen aan beheerders en abonnementseigenaren moeten zijn ingeschakeld in de Advanced Data Security-instellingen voor het beheerde SQL-exemplaar
- E-mailmeldingen aan beheerders en abonnementseigenaren moeten zijn ingeschakeld in de Advanced Data Security-instellingen van de SQL-server
Meer informatie over ingebouwd beleid.
Juni 2020
De updates in juni zijn onder meer:
- Beveiligingsscore-API (preview)
- Advanced-gegevensbeveiliging voor SQL-machines (Azure, andere clouds en on-premises) (preview)
- Two nieuwe aanbevelingen voor het implementeren van de Log Analytics-agent op Azure Arc machines (preview)
- Nieuw beleid voor het maken van configuraties voor continue export en werkstroomautomatisering op schaal
- Nieuwe aanbeveling voor het gebruik van netwerkbeveiligingsgroepen om niet op internet gerichte virtuele machines te beveiligen
- Nieuw beleid voor het inschakelen van beveiliging tegen bedreigingen en geavanceerde gegevensbeveiliging
Beveiligingsscore-API (preview)
U hebt nu toegang tot uw score via de Beveiligingsscore-API (momenteel als preview). De API-methoden bieden de flexibiliteit om query's uit te voeren op de gegevens en uw eigen rapportagemechanisme te bouwen van uw beveiligingsscores in de loop van de tijd. U kunt bijvoorbeeld de SECURE Scores-API gebruiken om de score voor een specifiek abonnement op te halen. Daarnaast kunt u de API voor besturingselementen van de beveiligingsscore gebruiken om de besturingselementen voor beveiliging en de huidige score van uw abonnementen weer te geven.
Zie het beveiligingsscoregebied van onze GitHub community voor voorbeelden van externe hulpprogramma's die mogelijk zijn gemaakt met de API voor secure score.
Meer informatie over secure score and security controls in Azure Security Center.
Geavanceerde gegevensbeveiliging voor SQL-machines (Azure, andere clouds en on-premises) (preview)
de geavanceerde gegevensbeveiliging van Azure Security Center voor SQL-machines beveiligt nu SQL-servers die worden gehost in Azure, in andere cloudomgevingen en zelfs on-premises machines. Hiermee worden de beveiligingen voor uw Azure systeemeigen SQL-servers uitgebreid om hybride omgevingen volledig te ondersteunen.
Geavanceerde gegevensbeveiliging biedt evaluatie van beveiligingsproblemen en geavanceerde beveiliging tegen bedreigingen voor uw SQL-machines, waar ze zich ook bevinden.
Het instellen bestaat uit twee stappen:
De Log Analytics-agent implementeren op de hostcomputer van uw SQL Server om de verbinding met Azure account te bieden.
Het inschakelen van de optionele bundel op de pagina met prijzen en instellingen van Security Center.
Meer informatie over geavanceerde gegevensbeveiliging voor SQL-machines.
Twee nieuwe aanbevelingen voor het implementeren van de Log Analytics-agent op Azure Arc machines (preview)
Er zijn twee nieuwe aanbevelingen toegevoegd om de Log Analytics Agent te implementeren op uw Azure Arc machines en ervoor te zorgen dat ze worden beveiligd door Azure Security Center:
- Log Analytics-agent moet zijn geïnstalleerd op uw Azure Arc Windows-machines (preview)
- Log Analytics agent moet zijn geïnstalleerd op uw Linux-Azure Arc machines (preview)
Deze nieuwe aanbevelingen worden weergegeven in dezelfde vier besturingselementen voor beveiliging als de bestaande (gerelateerde) aanbeveling, De bewakingsagent moet op uw computers worden geïnstalleerd: beveiligingsconfiguraties herstellen, adaptieve toepassingsregelaars toepassen, systeemupdates toepassen en eindpuntbeveiliging inschakelen.
De aanbevelingen omvatten ook de functie Snelle oplossing om het implementatieproces te versnellen.
Meer informatie over hoe Azure Security Center de agent gebruikt in Wat is de Log Analytics-agent?.
Meer informatie over extensions voor Azure Arc machines.
Nieuw beleid voor het maken van configuraties voor continue export en werkstroomautomatisering op schaal
Het automatiseren van de processen voor bewaking en reageren op incidenten van uw organisatie kan de tijd die nodig is om beveiligingsincidenten te onderzoeken en te verhelpen aanzienlijk verbeteren.
Als u uw automatiseringsconfiguraties in uw organisatie wilt implementeren, gebruikt u deze ingebouwde 'DeployIfdNotExist' Azure-beleid om continue export en werkstroomautomatisering procedures te maken en configureren:
De beleidsdefinities vindt u in Azure Policy:
| Goal | Policy | Beleids-id |
|---|---|---|
| Continue export naar Event Hubs | Export implementeren naar Event Hubs voor Azure Security Center waarschuwingen en aanbevelingen | cdfcce10-4578-4ecd-9703-530938e4abcb |
| Continue export naar Log Analytics werkruimte | Export implementeren naar Log Analytics werkruimte voor Azure Security Center waarschuwingen en aanbevelingen | ffb6f416-7bd2-4488-8828-56585fef2be9 |
| Werkstroomautomatisering voor beveiligingswaarschuwingen | Werkstroomautomatisering implementeren voor Azure Security Center waarschuwingen | f1525828-9a90-4fcf-be48-268cdd02361e |
| Werkstroomautomatisering voor beveiligingsaanbevelingen | Werkstroomautomatisering implementeren voor Azure Security Center aanbevelingen | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Aan de slag met werkstroomautomatiseringssjablonen.
Meer informatie over het gebruik van de twee exportbeleidsregels vindt u in Configure workflow automation at scale using the supplied policies (Werkstroomautomatisering op schaal configureren met de meegeleverde beleidsregels) en Set up a continuous export (Continue export instellen).
Nieuwe aanbeveling voor het gebruik van netwerkbeveiligingsgroepen om niet op internet gerichte virtuele machines te beveiligen
Het besturingselement voor beveiliging 'aanbevolen procedures voor beveiliging implementeren' bevat nu de volgende nieuwe aanbeveling:
- Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen
In een bestaande aanbeveling, Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen, werd geen onderscheid gemaakt tussen op internet gerichte en niet op internet gerichte virtuele machines. Voor beide werd een aanbeveling met een hoge urgentie gegenereerd als een virtuele machine niet aan een netwerkbeveiligingsgroep was toegewezen. In deze nieuwe aanbeveling wordt een onderscheid gemaakt met niet op internet gerichte machines om de fout-positieven te verminderen en onnodige waarschuwingen met hoge urgentie te voorkomen.
Nieuw beleid voor het inschakelen van beveiliging tegen bedreigingen en geavanceerde gegevensbeveiliging
De nieuwe beleidsdefinities hieronder zijn toegevoegd aan het ASC-standaardinitiatief en zijn ontworpen om te helpen bij het inschakelen van bedreigingsbeveiliging of geavanceerde gegevensbeveiliging voor de relevante resourcetypen.
De beleidsdefinities vindt u in Azure Policy:
| Policy | Beleids-id |
|---|---|
| Ontvanced gegevensbeveiliging moet zijn ingeschakeld op Azure SQL Database servers | 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2 |
| Advanced Data Security moet zijn ingeschakeld voor SQL-servers op computers | 6581d072-105e-4418-827f-bd446d56421b |
| Advanced Threat Protection moet zijn ingeschakeld voor Azure Storage accounts | 308fbb08-4ab8-4e67-9b29-592e93fb94fa |
| Advanced Threat Protection moet zijn ingeschakeld voor Azure Key Vault kluizen | 0e6763cc-5078-4e64-889d-ff4d9a839047 |
| Advanced Threat Protection moet zijn ingeschakeld voor Azure App Service plannen | 2913021d-f2fd-4f3d-b958-22354e2bdbcb |
| Advanced Threat Protection moet zijn ingeschakeld voor Azure Container Registry registers | c25d9a16-bc35-4e15-a7e5-9db606bf9ed4 |
| Advanced Threat Protection moet zijn ingeschakeld op Azure Kubernetes Service clusters | 523b5cd1-3e23-492f-a539-13118b6d1e3a |
| Advanced Threat Protection moet zijn ingeschakeld op Virtual Machines | 4da35fc9-c9e7-4960-aec9-797fe7d9051d |
Meer informatie over Threat-beveiliging in Azure Security Center.
Mei 2020
De updates in mei zijn onder meer:
- Regels voor waarschuwingsonderdrukking (preview)
- Evaluatie van beveiligingsproblemen van virtuele machines is nu algemeen beschikbaar
- Wijzigingen in de Just-In-Time-toegang van virtuele machines (VM)
- Aangepaste aanbevelingen zijn verplaatst naar een afzonderlijk besturingselement voor beveiliging
- Schakeloptie toegevoegd om aanbevelingen weer te geven in besturingselementen of als een platte lijst
- Besturingselement voor beveiliging 'Aanbevolen procedures voor beveiliging implementeren' uitgebreid
- Aangepaste beleidsregels met aangepaste metagegevens zijn nu algemeen beschikbaar
- Mogelijkheden voor crashdumpanalyse migreren naar detectie van bestandsloze aanvallen
Regels voor waarschuwingsonderdrukking (preview)
Met deze nieuwe functie (momenteel in preview) kunt u overbodige waarschuwingen verminderen. Gebruik regels om waarschuwingen waarvan bekend is dat ze onschuldig of gerelateerd zijn aan normale activiteiten in uw organisatie automatisch te verbergen. Zo kunt u zich richten op de meest relevante bedreigingen.
Waarschuwingen die overeenkomen met uw ingeschakelde onderdrukkingsregels worden nog steeds gegenereerd, maar de status wordt ingesteld op 'Genegeerd'. U kunt de status in de Azure-portal zien of de beveiligingswaarschuwingen van Security Center openen.
Met onderdrukkingsregels worden de criteria gedefinieerd waarvoor waarschuwingen automatisch moeten worden genegeerd. Normaal gesproken gebruikt u een onderdrukkingsregel voor het volgende:
waarschuwingen onderdrukken die u als fout-positieven hebt geïdentificeerd
waarschuwingen onderdrukken die te vaak worden geactiveerd om nuttig te zijn
Meer informatie over suppressing alerts from Azure Security Center's threat protection.
Evaluatie van beveiligingsproblemen van virtuele machines is nu algemeen beschikbaar
De Standaard-laag van Security Center bevat nu een geïntegreerde evaluatie van beveiligingsproblemen voor virtuele machines zonder extra kosten. Deze uitbreiding wordt mogelijk gemaakt door Qualys, maar rapporteert de resultaten direct terug naar Security Center. U hebt geen Qualys-licentie of Qualys-account nodig. De scans worden naadloos uitgevoerd in Security Center.
De nieuwe oplossing kan voortdurend uw virtuele machines scannen om beveiligingsproblemen op te sporen en de bevindingen in Security Center weergeven.
Als u de oplossing wilt implementeren, gebruikt u de nieuwe beveiligingsaanbeveling:
'De ingebouwde oplossing voor evaluatie van beveiligingsproblemen inschakelen op virtuele machines (mogelijk gemaakt door Qualys)'
Meer informatie over De geïntegreerde evaluatie van beveiligingsproblemen voor virtuele machines van Security Center.
Wijzigingen in de Just-In-Time-toegang van virtuele machines (VM)
Security Center bevat een optionele functie waarmee u de beheerpoorten van uw virtuele machines kunt beveiligen. Dit biedt een verdediging tegen de meest voorkomende vorm van beveiligingsaanvallen.
Met deze update worden de volgende wijzigingen doorgevoerd in deze functie:
De aanbeveling die u adviseert om JIT in te schakelen op een virtuele machine, is gewijzigd. Voorheen moet 'Just-In-Time-netwerktoegangsbeheer worden toegepast op virtuele machines' het is nu: 'Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer'.
De aanbeveling wordt alleen geactiveerd als er open beheerpoorten zijn.
Meer informatie over de JIT-toegangsfunctie.
Aangepaste aanbevelingen zijn verplaatst naar een afzonderlijk besturingselement voor beveiliging
Eén beveiligingsbeheer dat is geïntroduceerd met de verbeterde beveiligingsscore, was 'Best practices voor beveiliging implementeren'. Aangepaste aanbevelingen die zijn gemaakt voor uw abonnementen, worden automatisch in dat besturingselement geplaatst.
Om het gemakkelijker te maken om uw aangepaste aanbevelingen te vinden, hebben we deze verplaatst naar een speciaal beveiligingsbeheer, 'Aangepaste aanbevelingen'. Dit besturingselement heeft geen invloed op uw beveiligingsscore.
Meer informatie over beveiligingscontroles in Beveiligingsscore (preview) in Azure Security Center.
Schakeloptie toegevoegd om aanbevelingen weer te geven in besturingselementen of als een platte lijst
Besturingselementen voor beveiliging zijn logische groepen van gerelateerde beveiligingsaanbevelingen. Ze zijn gebaseerd op gebieden waar u kwetsbaar bent voor aanvallen. Een besturingselement is een reeks beveiligingsaanbevelingen met instructies die u helpen bij het implementeren van deze aanbevelingen.
Als u onmiddellijk wilt zien hoe goed uw organisatie een afzonderlijke kwetsbaarheid beveiligt, controleert u de scores voor elk besturingselement voor beveiliging.
Uw aanbevelingen worden standaard weergegeven in de besturingselementen voor beveiliging. Vanaf deze update kunt u ze ook als een lijst weergeven. Als u ze wilt weergeven als een eenvoudige lijst, gesorteerd op de status van de betrokken resources, gebruikt u de nieuwe schakeloptie 'Groeperen op besturingselementen'. De schakeloptie bevindt zich boven de lijst in de portal.
De besturingselementen voor beveiliging - en deze schakeloptie - maken deel uit van de vernieuwde beveiligingsscore. Vergeet niet om ons uw feedback te sturen vanuit de portal.
Meer informatie over beveiligingscontroles in Beveiligingsscore (preview) in Azure Security Center.
Besturingselement voor beveiliging 'Aanbevolen procedures voor beveiliging implementeren' uitgebreid
Eén beveiligingsbeheer dat is geïntroduceerd met de verbeterde beveiligingsscore, is 'Best practices voor beveiliging implementeren'. Wanneer een aanbeveling zich in dit besturingselement bevindt, heeft dit geen invloed op de beveiligingsscore.
Met deze update zijn drie aanbevelingen uit de besturingselementen waarin deze oorspronkelijk zijn geplaatst naar dit besturingselement voor aanbevolen procedures verplaatst. We hebben deze stap doorgevoerd omdat er is vastgesteld dat het risico van deze drie aanbevelingen lager is dan oorspronkelijk werd aangenomen.
Daarnaast zijn er twee nieuwe aanbevelingen geïntroduceerd en toegevoegd aan dit besturingselement.
De drie aanbevelingen die zijn verplaatst, zijn:
- MFA moet zijn ingeschakeld voor accounts met leesmachtigingen voor uw abonnement (oorspronkelijk in het besturingselement 'MFA inschakelen')
- Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement (oorspronkelijk in het besturingselement 'Toegang en machtigingen beheren')
- Er moeten maximaal drie eigenaren worden aangewezen voor uw abonnement (oorspronkelijk in het besturingselement 'Toegang en machtigingen beheren')
De twee nieuwe aanbevelingen die aan het besturingselement zijn toegevoegd, zijn:
Guest-configuratie-extensie moet worden geïnstalleerd op Windows virtuele machines (preview) - met Azure Policy gastconfiguratie biedt zichtbaarheid binnen virtuele machines voor server- en toepassingsinstellingen (alleen Windows).
Microsoft Defender Exploit Guard moet zijn ingeschakeld op uw machines (preview)- Microsoft Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard heeft vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen een groot aantal aanvalsvectoren en gedrag blokkeren dat vaak wordt gebruikt bij malwareaanvallen, terwijl ondernemingen hun beveiligingsrisico's en productiviteitsvereisten (alleen Windows) kunnen verdelen.
Meer informatie over Microsoft Defender Exploit Guard in Maak en implementeer een Exploit Guard-beleid.
Meer informatie over besturingselementen voor beveiliging vindt u in Verbeterde beveiligingsscore (preview).
Aangepaste beleidsregels met aangepaste metagegevens zijn nu algemeen beschikbaar
Aangepaste beleidsregels maken nu deel uit van de Security Center-aanbevelingen, de beveiligingsscore en het dashboard voor naleving van regelgeving. Deze functie is nu algemeen beschikbaar en biedt u de mogelijkheid om de dekking van de evaluatie van beveiligingsproblemen van uw organisatie in Security Center uit te breiden.
Maak een aangepast initiatief in Azure Policy, voeg er beleidsregels aan toe en onboard het aan Azure Security Center en visualiseer het als aanbevelingen.
We hebben nu ook de optie toegevoegd voor het bewerken van de aangepaste metagegevens voor aanbevelingen. Opties voor metagegevens zijn ernst, herstelstappen, informatie over bedreigingen en meer.
Meer informatie over uw aangepaste aanbevelingen verbeteren met gedetailleerde informatie.
Mogelijkheden voor crashdumpanalyse migreren naar detectie van bestandsloze aanvallen
We integreren de detectiemogelijkheden van Windows crashdumpanalyse (CDA) in bestandsloze aanvalsdetectie. Analyse van bestandsloze aanvalsdetectie biedt verbeterde versies van de volgende beveiligingswaarschuwingen voor Windows machines: Code-injectie gedetecteerd, Masquerading Windows Module gedetecteerd, Shell-code gedetecteerd en Verdacht codesegment gedetecteerd.
Enkele voordelen hiervan:
Proactieve en tijdige detectie van malware: bij de CDA-benadering werd gewacht op een crash, en werden vervolgens analyses uitgevoerd om schadelijke artefacten te vinden. Bij het gebruik van detectie van bestandsloze aanvallen worden bedreigingen in het geheugen proactief geïdentificeerd terwijl ze worden uitgevoerd.
Verrijkte waarschuwingen : de beveiligingswaarschuwingen van bestandsloze aanvalsdetectie omvatten verrijkingen die niet beschikbaar zijn via CDA, zoals de informatie over actieve netwerkverbindingen.
Aggregatie van waarschuwingen: wanneer CDA meerdere aanvalspatronen binnen één crashdump heeft gedetecteerd, heeft het meerdere beveiligingswaarschuwingen geactiveerd. Bij detectie van bestandsloze aanvallen worden alle geïdentificeerde aanvalspatronen uit hetzelfde proces gecombineerd tot één waarschuwing, waardoor de noodzaak om meerdere waarschuwingen met elkaar in verband te brengen, wordt weggenomen.
Reduceerde vereisten voor uw Log Analytics werkruimte : crashdumps met mogelijk gevoelige gegevens worden niet meer geüpload naar uw Log Analytics werkruimte.
April van 2020
De updates in april zijn onder meer:
- Dynamische nalevingspakketten zijn nu algemeen beschikbaar
- Identity-aanbevelingen zijn nu opgenomen in Azure Security Center gratis laag
Dynamische nalevingspakketten zijn nu algemeen beschikbaar
Het dashboard Azure Security Center naleving van regelgeving bevat nu dynamische nalevingspakketten (nu algemeen beschikbaar) om aanvullende industrie- en regelgevingsstandaarden bij te houden.
Dynamische nalevingspakketten kunnen worden toegevoegd aan uw abonnement of beheergroep via de pagina met beveiligingsbeleid van Security Center. Wanneer u een standaard of benchmark hebt geïntroduceerd, wordt de standaard weergegeven in het dashboard voor naleving van regelgeving met alle gekoppelde nalevingsgegevens die zijn gekoppeld als evaluaties. Er kan een overzichtsrapport voor alle geïntroduceerde standaarden worden gedownload.
U kunt nu standaarden toevoegen zoals:
- NIST SP 800-53 R4
- SWIFT CSP CSCF-v2020
- UK OFFICIAL en UK NHS
- Canada Federal PBMM
- Azure CIS 1.1.0 (nieuw) (een volledigere weergave van Azure CIS 1.1.0)
Daarnaast hebben we onlangs de Azure Security Benchmark toegevoegd, de door Microsoft geschreven Azure-specifieke richtlijnen voor aanbevolen procedures voor beveiliging en naleving op basis van algemene nalevingsframeworks. Er worden extra standaarden ondersteund in het dashboard zodra deze beschikbaar komen.
Meer informatie over het aanpassen van de set standaarden in uw dashboard voor naleving van regelgeving.
Identiteitsaanaanveling nu opgenomen in Azure Security Center gratis laag
Beveiligingsaankopen voor identiteit en toegang op de Azure Security Center gratis laag zijn nu algemeen beschikbaar. Dit maakt deel uit van de inspanningen om de CSPM-functies (Cloud Security Posture Management) gratis te maken. Tot nu toe zijn deze aanbevelingen alleen beschikbaar in de prijscategorie Standaard.
Voorbeelden van aanbevelingen voor identiteit en toegang zijn onder meer:
- 'Meervoudige verificatie moet zijn ingeschakeld voor accounts met eigenaarsmachtigingen voor uw abonnement.'
- 'Er moeten maximaal drie eigenaren worden aangewezen voor uw abonnement.'
- 'Afgeschafte accounts moeten worden verwijderd uit uw abonnement.'
Als u abonnementen hebt in de gratis laag, worden de beveiligingsscores ervan beïnvloed door deze wijziging omdat ze nooit zijn geëvalueerd op hun identiteits- en toegangsbeveiliging.
Maart 2020
Updates in maart zijn onder andere:
- Werkstroomautomatisering is nu algemeen beschikbaar
- Integratie van Azure Security Center met Windows Admin Center
- Beveiliging voor Azure Kubernetes Service
- Verbeterde Just-In-Time-ervaring
- Twee beveiligingsaanbeveling voor webtoepassingen afgeschaft
Werkstroomautomatisering is nu algemeen beschikbaar
De functie voor werkstroomautomatisering van Azure Security Center is nu algemeen beschikbaar. Gebruik deze functie om automatisch Logic Apps te activeren voor beveiligingswaarschuwingen en -aanbevelingen. Daarnaast zijn er handmatige triggers beschikbaar voor waarschuwingen en alle aanbevelingen met de optie voor snel oplossen.
Elk beveiligingsprogramma bevat meerdere werkstromen voor reacties op incidenten. Deze processen kunnen het melden aan relevante belanghebbenden, het starten van een wijzigingsbeheerproces en het toepassen van specifieke herstelstappen bevatten. Beveiligingsexperts raden u aan zo veel mogelijk stappen van deze procedures te automatiseren. Met automatisering vermindert u de overhead en kunt u de beveiliging verbeteren door ervoor te zorgen dat de processtappen snel, consistent en volgens uw vooraf gedefinieerde vereisten worden uitgevoerd.
Zie werkstroomautomatisering voor meer informatie over de automatische en handmatige Security Center-mogelijkheden voor het uitvoeren van uw werkstromen.
Meer informatie over het maken van Logic Apps.
Integratie van Azure Security Center met Windows Admin Center
Het is nu mogelijk om uw on-premises Windows servers rechtstreeks van de Windows Admin Center naar de Azure Security Center te verplaatsen. Security Center wordt vervolgens uw single pane of glass om beveiligingsinformatie weer te geven voor al uw Windows Admin Center resources, waaronder on-premises servers, virtuele machines en extra PaaS-workloads.
Nadat u een server van Windows Admin Center naar Azure Security Center hebt verplaatst, kunt u het volgende doen:
- Bekijk beveiligingswaarschuwingen en aanbevelingen in de Security Center-extensie van de Windows Admin Center.
- Bekijk de beveiligingspostuur en haal aanvullende gedetailleerde informatie op van uw Windows Admin Center beheerde servers in Security Center in de Azure-portal (of via een API).
Meer informatie over hoe u Azure Security Center kunt integreren met Windows Admin Center.
Beveiliging voor Azure Kubernetes Service
Azure Security Center breidt de beveiligingsfuncties voor containers uit om Azure Kubernetes Service (AKS) te beveiligen.
Het populaire opensource-platform Kubernetes wordt zo breed gebruikt dat het nu een industriestandaard is voor containerindeling. Ondanks deze wijdverspreide implementatie is er nog steeds geen begrip over het beveiligen van een Kubernetes-omgeving. Het verdedigen van de aanvalsoppervlakken van een toepassing die in een container is geplaatst, vereist ervaring om ervoor te zorgen dat de infrastructuur veilig wordt geconfigureerd en continu wordt bewaakt op mogelijke bedreigingen.
De verdediging van Security Center omvat het volgende:
- Detectie en zichtbaarheid : continue detectie van beheerde AKS-exemplaren binnen de abonnementen die zijn geregistreerd bij Security Center.
- Beveiligingsaanbeveling : aanbevelingen die kunnen worden uitgevoerd om u te helpen te voldoen aan de aanbevolen beveiligingsprocedures voor AKS. Deze aanbevelingen worden opgenomen in uw beveiligingsscore om ervoor te zorgen dat ze worden bekeken als onderdeel van de beveiligingspostuur van uw organisatie. Een voorbeeld van een AKS-gerelateerde aanbeveling die u ziet, is 'Op rollen gebaseerd toegangsbeheer moet worden gebruikt om de toegang tot een Kubernetes-servicecluster te beperken'.
- Bedreigingsbeveiliging : door continue analyse van uw AKS-implementatie waarschuwt Security Center u voor bedreigingen en schadelijke activiteiten die zijn gedetecteerd op host- en AKS-clusterniveau.
Meer informatie over Azure Kubernetes Services-integratie met Security Center.
Meer informatie over de beveiligingsfuncties van containers in Security Center.
Verbeterde Just-In-Time-ervaring
De functies, bewerkingen en gebruikersinterface voor de Just-In-Time-hulpprogramma's van Azure Security Center die uw beheerpoorten beveiligen, zijn als volgt verbeterd:
- Veld Aanpassen - Wanneer u toegang tot een virtuele machine (VM) aanvraagt via de Just-In-Time-pagina van de Azure-portal, is er een nieuw optioneel veld beschikbaar om een reden voor de aanvraag in te voeren. De informatie die in dit veld wordt ingevoerd, kan worden bijgehouden in het activiteitenlogboek.
- Automatisch opschonen van redundante Just-In-Time-regels (JIT): wanneer u een JIT-beleid bijwerkt, wordt er automatisch een opschoonprogramma uitgevoerd om de geldigheid van uw hele regelset te controleren. Er wordt met het hulpprogramma gecontroleerd of de regels in uw beleid en de regels in de netwerkbeveiligingsgroep (NSG) overeenkomen. Als het hulpprogramma voor opschonen een onjuiste overeenkomst vindt, wordt de oorzaak bepaald. Wanneer het veilig is om dit te doen, worden ingebouwde regels verwijderd die niet meer nodig zijn. Regels die u hebt gemaakt, worden nooit verwijderd door het opschoningsprogramma.
Meer informatie over de JIT-toegangsfunctie.
Twee beveiligingsaanbeveling voor webtoepassingen afgeschaft
Twee beveiligingsaanbevelingen met betrekking tot webtoepassingen worden afgeschaft:
De regels voor webtoepassingen op IaaS NSG's moeten strenger worden. (Gerelateerd beleid: de NSG-regels voor webtoepassingen op IaaS moeten worden beperkt)
Toegang tot App Services moet worden beperkt. (Gerelateerd beleid: Toegang tot App Services moet worden beperkt [preview])
Deze aanbevelingen worden niet meer weergegeven in de lijst met aanbevelingen van Security Center. Het gerelateerde beleid wordt niet meer opgenomen in het initiatief 'Security Center Default'.
Februari 2020
Detectie van bestandsloze aanvallen voor Linux (preview)
Naarmate aanvallers steeds meer verborgen methoden gebruiken om detectie te voorkomen, breidt Azure Security Center de detectie van bestandsloze aanvallen voor Linux uit, naast Windows. Bij bestandsloze aanvallen wordt misbruik gemaakt van beveiligingsproblemen in software, worden schadelijke nettoladingen ingevoerd in goedaardige systeemprocessen en worden items verborgen in het geheugen. Deze technieken:
- traceringen van malware op schijf minimaliseren of elimineren
- aanzienlijk verminderen van de kans op detectie door op schijf gebaseerde malwarescanoplossingen
Om deze bedreiging te voorkomen, Azure Security Center bestandsloze aanvalsdetectie uitgebracht voor Windows in oktober 2018 en heeft nu ook detectie van bestandsloze aanvallen op Linux uitgebreid.
Januari 2020
Verbeterde beveiligingsscore (preview)
Een verbeterde versie van de beveiligingsscorefunctie van Azure Security Center is nu beschikbaar in preview. In deze versie zijn meerdere aanbevelingen gegroepeerd in besturingselementen voor beveiliging die beter aansluiten op uw kwetsbaarheden voor aanvallen (bijvoorbeeld de toegang tot beheerpoorten beperken).
Maak uzelf tijdens de preview-fase vertrouwd met de wijzigingen die in de beveiligingsscores zijn doorgevoerd, en bepaal met welke andere herstelbewerkingen u uw omgeving verder kunt beveiligen.
Meer informatie over verbeterde beveiligingsscore (preview).
November 2019
Updates in november omvatten:
- Threat Protection voor Azure Key Vault in regio's in Noord-Amerika (preview)
- Threat Protection voor Azure Storage bevat malwarereputatiecontrole
- Werkstroomautomatisering met Logic Apps (preview)
- Snelle oplossing voor bulkbronnen algemeen beschikbaar
- Containerinstallatiekopieën scannen op beveiligingsproblemen (preview)
- Aanvullende nalevingsstandaarden voor regelgeving (preview)
- Threat Protection voor Azure Kubernetes Service (preview)
- Evaluatie van beveiligingsproblemen van virtuele machines (preview)
- Advanced-gegevensbeveiliging voor SQL-servers op Azure Virtuele Machines (preview)
- Ondersteuning voor aangepast beleid (preview)
- Extending Azure Security Center dekking met platform voor community en partners
- Geavanceerde integraties met export van aanbevelingen en waarschuwingen (preview)
- Onboard on-premises servers naar Security Center vanaf Windows Admin Center (preview)
Threat Protection voor Azure Key Vault in Regio's noord-Amerika (preview)
Azure Key Vault is een essentiële service voor het beveiligen van gegevens en het verbeteren van de prestaties van cloudtoepassingen door de mogelijkheid te bieden om sleutels, geheimen, cryptografische sleutels en beleidsregels centraal te beheren in de cloud. Omdat Azure Key Vault gevoelige en bedrijfskritieke gegevens opslaat, is maximale beveiliging vereist voor de sleutelkluizen en de gegevens die erin zijn opgeslagen.
Azure Security Center ondersteuning voor Threat Protection voor Azure Key Vault biedt een extra beveiligingslaag die ongebruikelijke en mogelijk schadelijke pogingen tot toegang tot sleutelkluizen detecteert of misbruikt. Dankzij deze nieuwe beschermingslaag kunnen klanten bedreigingen tegen hun sleutelkluizen afhandelen zonder een beveiligingsexpert te zijn of beveiligingsbewakingssystemen te moeten beheren. De functie is beschikbaar als openbare preview in regio's van Noord-Amerika.
Threat Protection voor Azure Storage omvat malwarereputatiecontrole
Bedreigingsbeveiliging voor Azure Storage biedt nieuwe detecties die mogelijk worden gemaakt door Microsoft Bedreigingsinformatie voor het detecteren van malware-uploads naar Azure Storage met behulp van hashreputatieanalyse en verdachte toegang vanaf een actief Tor-afsluitknooppunt (een geanonimiseerde proxy). U kunt nu gedetecteerde malware in opslagaccounts bekijken met behulp van Azure Security Center.
Werkstroomautomatisering met Logic Apps (preview)
Organisaties met centraal beheerde beveiliging en IT/operations implementeren interne werkstroomprocessen om aan te zetten tot de vereiste actie binnen de organisatie wanneer discrepanties worden ontdekt in hun omgevingen. In veel gevallen zijn deze werkstromen herhaalbare processen en automatisering kan processen binnen de organisatie aanzienlijk stroomlijnen.
Vandaag introduceren we een nieuwe functie in Security Center waarmee klanten automatiseringsconfiguraties kunnen maken die gebruikmaken van Azure Logic Apps en om beleidsregels te maken waarmee ze automatisch worden geactiveerd op basis van specifieke ASC-bevindingen, zoals aanbevelingen of waarschuwingen. Azure logische app kan worden geconfigureerd om aangepaste acties uit te voeren die worden ondersteund door de grote community van logic app-connectors, of gebruik een van de sjablonen van Security Center, zoals het verzenden van een e-mail of het openen van een ServiceNow-ticket™.
Zie werkstroomautomatisering voor meer informatie over de automatische en handmatige Security Center-mogelijkheden voor het uitvoeren van uw werkstromen.
Zie Azure Logic Apps voor meer informatie over het maken van Logic Apps.
Snelle oplossing voor bulkbronnen algemeen beschikbaar
Het kan een uitdaging zijn om problemen in een grote fleet effectief te herstellen omdat een gebruiker zo veel taken krijgt te verwerken als onderdeel van Secure Score.
Gebruik Snelle oplossing voor herstel om onjuiste configuraties van beveiliging op te lossen, aanbevelingen voor meerdere resources op te lossen en uw beveiligingsscore te verbeteren.
Hiermee kunt u de resources selecteren waarop u het herstel wilt toepassen en een herstelactie starten waarmee de instelling voor u wordt gestart.
Snelle oplossing is algemeen beschikbaar voor klanten als onderdeel van de aanbevelingenpagina van Security Center.
Containerinstallatiekopieën scannen op beveiligingsproblemen (preview)
Azure Security Center kan nu containerinstallatiekopieën in Azure Container Registry scannen op beveiligingsproblemen.
Tijdens de installatiekopiescan wordt de containerinstallatiekopie geparseerd en vervolgens wordt gecontroleerd of er bekende beveiligingsproblemen zijn (mogelijk gemaakt door Qualys).
De scan zelf wordt automatisch geactiveerd bij het pushen van nieuwe containerinstallatiekopieën naar Azure Container Registry. Gevonden beveiligingsproblemen worden weergegeven als Security Center-aanbevelingen en opgenomen in de beveiligingsscore, samen met informatie over het patchen van beveiligingsproblemen om het toegestane kwetsbaarheid voor aanvallen te verminderen.
Aanvullende nalevingsstandaarden voor regelgeving (preview)
Het dashboard Naleving van regelgeving biedt inzicht in uw compliancepostuur op basis van evaluaties van Security Center. Op het dashboard ziet u hoe uw omgeving voldoet aan bedieningen en vereisten ontworpen door specifieke regelgevende standaarden en benchmarks van de branche en biedt normatieve aanbevelingen met betrekking tot hoe deze vereisten moeten worden behandeld.
Het dashboard naleving van regelgeving ondersteunt tot nu toe vier ingebouwde standaarden: Azure CIS 1.1.0, PCI-DSS, ISO 27001 en SOC-TSP. We kondigen nu de openbare preview-release van aanvullende ondersteunde standaarden aan: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM en UK Official samen met UK NHS. We brengen ook een bijgewerkte versie van Azure CIS 1.1.0 uit, waarin meer besturingselementen van de standaard worden besproken en de uitbreidbaarheid wordt verbeterd.
Meer informatie over het aanpassen van de set standaarden in uw dashboard voor naleving van regelgeving.
Threat Protection voor Azure Kubernetes Service (preview)
Kubernetes wordt in hoog tempo de nieuwe standaard voor het implementeren en beheren van software in de cloud. Maar weinig mensen hebben veel ervaring met Kubernetes en velen richten zich dan alleen op algemene engineering en beheer en zien het beveiligingsaspect over het hoofd. De Kubernetes-omgeving moet zorgvuldig worden geconfigureerd om veilig te zijn, waarbij moet worden gecontroleerd of er geen op containers gerichte aanvallen mogelijk zijn door deuren die open staan en zichtbaar zijn voor aanvallers. Security Center breidt de ondersteuning in de containerruimte uit naar een van de snelst groeiende services in Azure - Azure Kubernetes Service (AKS).
De nieuwe mogelijkheden in deze openbare preview-release zijn onder andere:
- Detectie en zichtbaarheid : continue detectie van beheerde AKS-exemplaren binnen de geregistreerde abonnementen van Security Center.
- Aanbevelingen voor beveiligingsscore: actie-items om klanten te helpen voldoen aan de aanbevolen beveiligingsprocedures voor AKS en hun beveiligingsscore te verhogen. Aanbevelingen omvatten items zoals op rollen gebaseerd toegangsbeheer om de toegang tot een Kubernetes Service-cluster te beperken.
- Detectie van bedreigingen : host- en clusteranalyses, zoals 'Een bevoegde container gedetecteerd'.
Evaluatie van beveiligingsproblemen van virtuele machines (preview)
Toepassingen die zijn geïnstalleerd in virtuele machines kunnen vaak beveiligingsproblemen hebben die kunnen leiden tot een schending van de virtuele machine. We kondigen aan dat de Standard-laag van Security Center ingebouwde evaluatie van beveiligingsproblemen bevat voor virtuele machines zonder extra kosten. Met de evaluatie van beveiligingsproblemen, mogelijk gemaakt door Qualys in de openbare preview, kunt u continu alle geïnstalleerde toepassingen op een virtuele machine scannen om kwetsbare toepassingen te vinden en de bevindingen in de Security Center-portal te presenteren. Security Center zorgt voor alle implementatiebewerkingen, waardoor er geen extra werk wordt vereist van de gebruiker. In de toekomst zijn we van plan om evaluatieopties voor beveiligingsproblemen te bieden ter ondersteuning van de unieke bedrijfsbehoeften van onze klanten.
Meer informatie over evaluaties van beveiligingsproblemen voor uw Azure Virtuele Machines.
Geavanceerde gegevensbeveiliging voor SQL-servers op Azure Virtuele Machines (preview)
Azure Security Center ondersteuning voor bedreigingsbeveiliging en evaluatie van beveiligingsproblemen voor SQL DB's die worden uitgevoerd op IaaS-VM's, is nu in preview.
Evaluatie van beveiligingsproblemen is een eenvoudig te configureren service waarmee u potentiële beveiligingsproblemen in de database kunt detecteren, bijhouden en oplossen. Het biedt inzicht in uw beveiligingspostuur als onderdeel van een beveiligingsscore en bevat de stappen voor het oplossen van beveiligingsproblemen en het verbeteren van uw databaseversterkingen.
Advanced Threat Protection detecteert vreemde activiteiten die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te verkrijgen tot of op aanvallen op uw SQL-server. Met deze functie wordt uw database continu gecontroleerd op verdachte activiteiten en bij afwijkende databasetoegangspatronen worden beveiligingswaarschuwingen gegenereerd waarop acties kunnen worden ondernomen. Deze waarschuwingen bevatten detailinformatie over verdachte activiteiten en aanbevelingen voor het onderzoeken en tegenhouden ervan.
Ondersteuning voor aangepast beleid (preview)
Azure Security Center ondersteunt nu aangepaste beleidsregels (in preview).
Onze klanten willen hun huidige dekking voor beveiligingsevaluaties in Security Center uitbreiden met hun eigen beveiligingsevaluaties op basis van beleid dat ze in Azure Policy maken. Met de ondersteuning voor aangepast beleid is dit nu mogelijk.
Deze nieuwe beleidsregels gaan deel uitmaken van de aanbevelingen van Security Center, Secure Score en het dashboard wettelijke nalevingstandaarden. Met de ondersteuning voor aangepaste beleidsregels kunt u nu een aangepast initiatief maken in Azure Policy, het toevoegen als een beleid in Security Center en deze visualiseren als een aanbeveling.
Uitbreiding van Azure Security Center dekking met platform voor community en partners
Gebruik Security Center om niet alleen aanbevelingen te ontvangen van Microsoft, maar ook van bestaande oplossingen van partners zoals Check Point, Tenable en CyberArk met nog veel meer integraties. De eenvoudige onboardingstroom van Security Center kan uw bestaande oplossingen verbinden met Security Center, zodat u uw aanbevelingen voor beveiligingspostuur op één plaats kunt bekijken, geïntegreerde rapporten kunt uitvoeren en alle mogelijkheden van Security Center kunt gebruiken op basis van zowel ingebouwde als partneraanbeveling. U kunt ook Security Center-aanbevelingen naar producten van partners exporteren.
Meer informatie over Microsoft Intelligent Security Association.
Geavanceerde integraties met export van aanbevelingen en waarschuwingen (preview)
Als u scenario's op ondernemingsniveau boven op Security Center wilt inschakelen, is het nu mogelijk om Waarschuwingen en aanbevelingen van Security Center op extra plaatsen te gebruiken, met uitzondering van de Azure-portal of API. Deze kunnen rechtstreeks worden geëxporteerd naar een Event Hub en naar Log Analytics werkruimten. Hierna volgen enkele werkstromen die u kunt maken met betrekking tot deze nieuwe mogelijkheden:
- Met exporteren naar Log Analytics werkruimte kunt u aangepaste dashboards maken met Power BI.
- Met export naar Event Hubs kunt u Security Center-waarschuwingen en -aanbevelingen exporteren naar uw externe SIEM's, naar een externe oplossing of Azure Data Explorer.
On-premises servers onboarden naar Security Center vanuit Windows Admin Center (preview)
Windows Admin Center is een beheerportal voor Windows Servers die niet zijn geïmplementeerd in Azure ze verschillende Azure beheermogelijkheden bieden, zoals back-up- en systeemupdates. We hebben onlangs een mogelijkheid toegevoegd om deze niet-Azure servers rechtstreeks vanuit de Windows Admin Center ervaring te beveiligen door ASC.
Gebruikers kunnen nu een WAC-server onboarden om Azure Security Center en de beveiligingswaarschuwingen en aanbevelingen rechtstreeks in de Windows Admin Center-ervaring weer te geven.
September 2019
De updates in september zijn onder meer:
- Verbeteringen voor het beheren van regels met adaptieve toepassingsregelaars
- Aanveling voor containerbeveiliging beheren met behulp van Azure Policy
Verbeteringen voor het beheren van regels met adaptieve toepassingsregelaars
De ervaring van het beheren van regels voor virtuele machines met behulp van adaptieve toepassingsregelaars is verbeterd. met Azure Security Center adaptieve toepassingsbesturingselementen kunt u bepalen welke toepassingen op uw virtuele machines kunnen worden uitgevoerd. Naast een algemene verbetering voor het beheren van regels kunt u met een nieuw voordeel beheren welke bestandstypen worden beveiligd wanneer u een nieuwe regel toevoegt.
Meer informatie over adaptieve toepassingsregelaars.
Aanbevelingen voor containerbeveiliging beheren met behulp van Azure Policy
Azure Security Center aanbeveling voor het oplossen van beveiligingsproblemen in containerbeveiliging kan nu worden ingeschakeld of uitgeschakeld via Azure Policy.
Als u uw ingeschakelde beveiligingsbeleid wilt weergeven, opent u vanuit Security Center de pagina Beveiligingsbeleid.
Augustus 2019
De updates in augustus zijn onder meer:
- Jit-VM-toegang (Just-in-Time) voor Azure Firewall
- Herstel met één klik om uw beveiligingspostuur te verbeteren (preview)
- Beheer tussen tenants
Just-In-Time-VM-toegang (JIT) voor Azure Firewall
Just-In-Time-VM-toegang (JIT) voor Azure Firewall is nu algemeen beschikbaar. Gebruik het om uw Azure Firewall beveiligde omgevingen te beveiligen, naast uw met NSG beveiligde omgevingen.
JIT VM-toegang vermindert de blootstelling aan netwerkvolumetrische aanvallen door gecontroleerde toegang te bieden tot VM's alleen wanneer dat nodig is, met behulp van uw NSG en Azure Firewall regels.
Als u Just-In-Time inschakelt voor uw virtuele machines, maakt u een beleid waarmee wordt bepaald welke poorten worden beveiligd, hoe lang de poorten open blijven staan en vanaf welke IP-adressen deze poorten kunnen worden benaderd. Met dit beleid kunt u bepalen wat gebruikers kunnen doen wanneer ze toegang aanvragen.
Aanvragen worden vastgelegd in het Azure activiteitenlogboek, zodat u eenvoudig de toegang kunt controleren en controleren. Op de Just-In-Time-pagina kunt u ook snel bestaande VM's identificeren waarvoor JIT is ingeschakeld en VM's waarvoor JIT wordt aanbevolen.
Meer informatie over Azure Firewall.
Herstel met één klik om uw beveiligingspostuur te verbeteren (preview)
Secure Score is een hulpprogramma waarmee u de beveiligingsstatus van uw workload kunt bepalen. Dit hulpprogramma geeft u aanbevelingen voor beveiliging en bepaalt de volgorde van deze voor u, zodat u weet welke aanbevelingen het eerst moeten worden uitgevoerd. Hiermee ziet u direct de belangrijkste beveiligingsproblemen, zodat u weet wat prioriteit heeft.
Om het herstel van onjuiste beveiligingsconfiguraties te vereenvoudigen en u te helpen uw beveiligingsscore snel te verbeteren, hebben we een nieuwe mogelijkheid toegevoegd waarmee u in één klik een aanbeveling kunt herstellen voor een groot aantal resources.
Hiermee kunt u de resources selecteren waarop u het herstel wilt toepassen en een herstelactie starten waarmee de instelling voor u wordt gestart.
Beheer tussen tenants
Security Center biedt nu ondersteuning voor scenario's voor beheer tussen tenants als onderdeel van Azure Lighthouse. Hiermee kunt u zichtbaarheid vergroten en beveiligingspostuur beheren voor meerdere tenants in Security Center.
Meer informatie over beheerervaringen voor meerdere tenants.
Juli 2019
Updates voor netwerkaan aanbevelingen
Azure Security Center (ASC) heeft nieuwe netwerkaankopen gelanceerd en enkele bestaande aanbevelingen verbeterd. Als u nu Security Center gebruikt, zorgt dit voor een nog betere netwerkbeveiliging van uw resources.
2019 juni
Adaptieve netwerkbeveiliging - algemeen beschikbaar
Een van de grootste aanvalsoppervlakken voor workloads in de openbare cloud zijn verbindingen van en naar het openbare internet. Onze klanten vinden het moeilijk om te weten welke NSG-regels (Network Security Group) moeten worden geïmplementeerd om ervoor te zorgen dat Azure workloads alleen beschikbaar zijn voor vereiste bronbereiken. Met deze functie leert Security Center het netwerkverkeer en de verbindingspatronen van Azure workloads en biedt NSG-regelaankopen voor virtuele machines met internet. Dit helpt onze klanten hun beleid voor netwerktoegang beter te configureren en de blootstelling aan aanvallen te beperken.